DNS解決
| 脅威・確認項目 | 重要度 | 状態の説明 | 想定される影響 | 推奨対応 |
|---|---|---|---|---|
| 調査対象の名前解決とIP洗い出し | low | ドメインをA/AAAA/CNAMEに解決し、後続診断で使うIPアドレスを確認します。 | 想定外のIP、不要な公開先、古い移行先への名前解決が残ると攻撃面の把握漏れにつながります。 | 解決先IPが想定した管理範囲か、不要な公開先がないか確認します。 |
登録済みの調査対象について、脅威の重大度、影響対象、優先対応を確認します。
登録済みの調査対象を選び、実行する診断項目と確認頻度を設定します。
直近の調査結果、診断別のFinding、証跡を確認します。
| 対象 | 間隔 | 次回確認 | 前回確認 | 直近判定 | 担当 | 操作 |
|---|
登録・検出されたIP、ドメイン、サービスを確認します。
| 資産 | 種別 | Provider | 重大度 | 公開ポート | Finding | 次アクション |
|---|
ASM診断資料の指摘を登録し、確認状況、対応予定、回答内容を管理します。
| IP | 指摘 | 重大度 | 状態 | 期限 | 回答 | 操作 |
|---|
このシステムで判定する脅威、重要度、想定される影響、推奨対応を確認します。
| 脅威・確認項目 | 重要度 | 状態の説明 | 想定される影響 | 推奨対応 |
|---|---|---|---|---|
| 調査対象の名前解決とIP洗い出し | low | ドメインをA/AAAA/CNAMEに解決し、後続診断で使うIPアドレスを確認します。 | 想定外のIP、不要な公開先、古い移行先への名前解決が残ると攻撃面の把握漏れにつながります。 | 解決先IPが想定した管理範囲か、不要な公開先がないか確認します。 |
| 脅威・確認項目 | 重要度 | 状態の説明 | 想定される影響 | 推奨対応 |
|---|---|---|---|---|
| AWS管理IPレンジとの一致確認 | low | 対象IPがAWS公開IPレンジに含まれるか確認します。 | 自社管理外のクラウド資産やCDN由来のIPを自社資産と誤認すると、対応判断を誤る可能性があります。 | 顧客管理のAWS資産か、外部サービスやCDN由来かを追加確認します。 |
| 脅威・確認項目 | 重要度 | 状態の説明 | 想定される影響 | 推奨対応 |
|---|---|---|---|---|
| クラウド/API認証情報の公開面露出 | critical/high | HTML、JavaScript、設定ファイルにキーやトークンらしき値が含まれています。 | クラウドリソース不正利用、情報漏えい、外部サービス不正操作につながります。 | 実認証情報なら直ちに無効化・再発行し、公開コードやビルド成果物から削除します。 |
| 脅威・確認項目 | 重要度 | 状態の説明 | 想定される影響 | 推奨対応 |
|---|---|---|---|---|
| 有効期限切れの証明書 | high | SSL/TLS証明書の期限が切れており、ブラウザ警告やHTTPS接続失敗が発生します。 | 通信内容の盗聴・改ざん、利用者離脱、サービス信頼性低下につながります。 | 証明書を即時更新し、自動更新と期限監視を設定します。 |
| SSL/TLS証明書の有効期限が近づいています | medium | 証明書の期限が近く、更新漏れによりサービス影響が発生する可能性があります。 | 期限切れになるとHTTPS警告や接続失敗につながります。 | 期限前に更新し、自動更新と監視通知を確認します。 |
| SPFポリシーの範囲が広すぎます | medium | `+all` や広すぎるIP範囲により、許可される送信元が過大です。 | なりすましメール、フィッシング、ブランド毀損、情報漏えい誘発につながります。 | 実際に利用する送信元だけを許可し、末尾は原則 `-all` または `~all` にします。 |
| HTTP CookieにHTTPOnly属性が未設定 | high | JavaScriptからCookieを参照できる状態です。 | XSS発生時にセッション情報が窃取され、アカウント不正利用につながります。 | セッションCookieに `HttpOnly` を設定します。 |
| HTTP CookieにSecureフラグが設定されていません | high | HTTPS以外の通信でもCookieが送信される可能性があります。 | 中間者攻撃によりCookieが窃取されるリスクがあります。 | HTTPS運用のCookieには `Secure` を設定します。 |
| HTTP Cookie SameSite attribute | medium | SameSiteが未設定、または用途に対して不適切です。 | CSRFにより、利用者の意図しない操作が実行される可能性があります。 | 用途に応じて `Lax`、`Strict`、必要時のみ `None; Secure` を設定します。 |
| HTTP Cookie Max-Age または Expires | low | Cookieの有効期限が明示されていない、または不要に長い可能性があります。 | 共有端末や端末紛失時にセッションが残存するリスクがあります。 | セッション用途と保持期間に応じて適切な有効期限を設定します。 |
| Referrer-Policy ヘッダー未設定 | low | 外部遷移時に参照元URLの送信範囲を制御できていません。 | URL内の内部パス、識別子、クエリ情報が外部サイトに渡る可能性があります。 | `strict-origin-when-cross-origin` などを設定します。 |
| Strict-Transport-Security ヘッダー未設定 | high | HTTPSサイトでHSTSが設定されておらず、ブラウザにHTTPS強制を指示できていません。 | HTTPへのダウングレード、中間者攻撃、Cookie窃取のリスクがあります。 | HTTPS運用を確認後、`Strict-Transport-Security` を段階的に設定します。 |
| Content-Security-Policy ヘッダー未設定 | high | 読み込み可能なスクリプト、画像、外部リソースの制御がありません。 | XSS、不正スクリプト実行、情報窃取、クリックジャッキング補助につながります。 | 必要なリソースだけを許可するCSPを段階導入します。 |
| X-Frame-Options ヘッダー未設定 | medium | 他サイトからiframe埋め込みされる可能性があります。 | クリックジャッキングにより、利用者が意図しない操作を誘導される可能性があります。 | `DENY` または `SAMEORIGIN` を設定します。 |
| X-Content-Type-Options ヘッダー未設定 | medium | ブラウザがMIMEタイプを推測する余地があります。 | MIMEスニッフィングにより、想定外のスクリプト実行やXSS誘発につながります。 | `X-Content-Type-Options: nosniff` を設定します。 |
| 代替Webポート TCP/4443, 8081-8094 公開 | medium | 管理UI、製品独自UI、テスト環境が外部公開されている可能性があります。 | 認証不備や脆弱な管理画面により、情報漏えい・不正操作につながります。 | 用途、認証、アクセス制限を確認し、不要なら閉塞します。 |
| 脅威・確認項目 | 重要度 | 状態の説明 | 想定される影響 | 推奨対応 |
|---|---|---|---|---|
| 外部公開ポートの確認 | medium | 指定ポートに外部からTCP接続できるかを確認します。 | 意図しない公開ポートは侵入口になり、脆弱なサービスや認証不備の攻撃面になります。 | 意図しない公開であればファイアウォール、Security Group、公開設定を見直します。 |
| 脅威・確認項目 | 重要度 | 状態の説明 | 想定される影響 | 推奨対応 |
|---|---|---|---|---|
| SSHバナーからの製品・バージョン確認 | low | TCP/22がopenの場合のみ、最初のSSHバナー行を読み取ります。 | 製品名やバージョンが外部から把握できると、既知脆弱性の探索や標的化に使われます。 | 公開が必要なSSHか、バージョン表示と修正適用状況を確認します。 |
| 脅威・確認項目 | 重要度 | 状態の説明 | 想定される影響 | 推奨対応 |
|---|---|---|---|---|
| AWS利用状況の確認 | low | ReadOnlyロールでEC2/EIP/ENI/Security Group等の現在状態を照合します。 | 管理資産の特定漏れや公開範囲の見落としがあると、是正対象の判断を誤る可能性があります。 | 該当資産があれば管理者、Security Group、公開範囲を確認します。 |
| 脅威・確認項目 | 重要度 | 状態の説明 | 想定される影響 | 推奨対応 |
|---|---|---|---|---|
| 過去利用・証跡確認 | low | CloudTrail Event History等から過去利用の痕跡を確認します。 | 過去利用の把握漏れがあると、廃止済み資産や一時公開の証跡確認が不十分になります。 | 過去利用があれば、削除済み資産や一時利用の記録と照合します。 |
| 脅威・確認項目 | 重要度 | 状態の説明 | 想定される影響 | 推奨対応 |
|---|---|---|---|---|
| CVE-2024-6387 | high | OpenSSH regreSSHion に関する外部公開・到達性・バナー確認の判定項目です。 | 影響条件を満たすSSHが外部公開されている場合、リモートからの攻撃対象になる可能性があります。 | TCP/22の公開状況、OpenSSHバージョン、OS配布元の修正適用状況を確認します。 |
過去の調査結果、判定、証跡、再調査の操作を確認します。
| 日時 | 対象 | ポート | CVE | 状態 | 判定 | 操作 |
|---|
調査対象を顧客ごとに分けて管理します。
サイドメニューの対象顧客セレクトで切り替えます。
調査を許可されたIP、CIDR、ドメインを登録します。
superuserのみがユーザーの追加、権限変更、無効化を行えます。
| メール | 表示名 | 権限 | 状態 | 最終ログイン | 操作 |
|---|