「Comptia Security+ Lesson」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
*** [[1 セキュリティロールとセキュリティ管理]]
要求事項評価・セキュリティシステム構築/強化/監視・攻撃対応/抑止を実施します。
セキュリティ機能は部門/ユニット,役割(ロール)によって実行されます。
セキュリティ機能はコンプライアンスとフレームワークによって選ばれ管理されます。
#region
**** A セキュリティロール
#region
-[[情報セキュリティ]]
機密性・完全性・可用性くらい知っておこうな!否認防止もあるぞ!
----
- [[サイバーセキュリティフレームワーク]]
NISTのフレームワークは以下の5段階に機能を分割します。
:識別|リスク・脅威・脆弱性を評価します
:保護|セキュリティ要求事項を満たすように、情報資産の入手・開発・インストール・運用・使用・停止のライフサイクルを管理する。
:検知|監視・管理を行いあらゆる脅威から保護できることを確認する
:対応|脅威を識別し対応実施、根絶を図ります
:回復|攻撃耐性を維持し、攻撃を受けた場合にも直ちに復旧する
----
:情報セキュリティ能力|開発から人材調達からガバナンス策定までなんでもやろう!
- リスク評価
- システムテスト
- セキュアなリソースの選定・調達・インストール・構築
-- リソース:デバイスもソフトウェアも
- アクセス制御・権限管理とドキュメンテーション
- ログ監視・インシデントレスポンス・レポーティング
- BCP策定・障害回復計画(サイバーレジリエンス)の手順の立案・計画・訓練
- セキュリティトレーニングや教育プログラムの実施・参加
----
- 役割と責任
-- CSO (チーフセキュリティオフィサー)/CISO(チーフインフォメーションセキュリティオフィサー)/セキュリティ部長
--- 彼らが運営する部門では責任を取るために日夜戦略策定が繰り広げられている。歴史的には情シス部門とか総務・経理・庶務部門とかの業務が拡張されて、責任が増えていることもあるとかないとか。
-- 管理者
--- 構築管理とか情シスとか経理とか部門単位に一人置いておく人。
-- 技術・専門スタッフ
--- 実際に守るために手を動かす係。ソルジャー。強くなるとISSO (情報システムセキュリティオフィサー)という肩書きをつけることもあるらしい[要出典]ポリシー実行・維持・監視の責任を持ち、システムとかネットワークに詳しかったりする。または、この責任を専門的に遂行する人材を用意することも。
-- 非技術スタッフ
---守るべき無辜の民。定められた組織のポリシーと法令は守ってね。
>取締役やオーナーは外部の責任・注意・義務遂行を担うけど、
>結局困るのは自分だから一定の責任は自分で取るんだぞ。
----
:[[セキュリティユニット]]|組織内のセキュリティ機能を実行する専門のチームがあったり委託したりするやつ。
- 特に主要な組織
-- [[SOC]](セキュリティオペレーションセンター)
--- セキュリティ専門のメンバーが組織の情報資産のやり取りを集約して保護・監視・検知したりするところ。正味SIEMでのSyslog収集とログ解析とレポーティングしてる。あとは、新しい攻撃の調査と検知方法の策定とか。
-- [[DevSecOps]]
--- まずDevOpsという、開発と運用を一体化する取り組みがある。共通のシステムの開発組織と運用組織を一体化させることで,システム改善の効率を高める取り組みのことでクラウドサービスのような広範なユーザーにメリットがあるものを包括的に取り扱うことで効率化できる考え方ですよと。DevSecOpsはそこにセキュリティ領域の機能も統合し[[シフトレフト]]により、設計・開発など上流からセキュリティ要件を加えることでサービス全体をよりセキュアにすることを試むものです。
-- [[CSIRT]]/コンピュータセキュリティインシデントレスポンスチーム/CIRT(サイバーインシデントレスポンスチーム)/CERT(コンピュータエマージェンシーレスポンスチーム)
--- セキュリティインシデントを報告する連絡先。SOCに内包されてたり独立組織になっていることもある。報告を受けたらその問題を迅速に根絶するために頑張る。
#endregion
----
**** B セキュリティの管理とフレームワーク
#region
- セキュリティ管理のカテゴリ
:技術的|技術的管理策は、システムやネットワークに対するセキュリティ対策を提供します。これには、暗号化、アクセス制御、ファイアウォール、侵入検知システム(IDS)などが含まれます。
:運用的|運用的管理策は、組織の日常運営におけるセキュリティ対策を提供します。これには、セキュリティポリシーの策定、セキュリティ教育、インシデントレスポンス計画などが含まれます。
:経営的|経営的管理策は、セキュリティ対策の全体的な方向性や方針を決定するための管理策を提供します。これには、リスク評価、セキュリティ監査、コンプライアンス管理、セキュリティ予算の配分などが含まれます。
----
- セキュリティ管理の機能タイプ
:予防的|予防的管理策は、セキュリティインシデントが発生するのを未然に防ぐための対策です。これには、アクセス制御、セキュリティポリシーの実施、ユーザー認証、ウイルス対策ソフトの導入などが含まれます。
:検知的|検知的管理策は、セキュリティインシデントが発生した場合にそれを迅速に検知するための対策です。これには、監視システム、侵入検知システム(IDS)、ログ管理、ネットワークトラフィック分析などが含まれます。
:是正的|是正的管理策は、セキュリティインシデントが発生した後にその影響を最小限に抑え、システムを正常な状態に戻すための対策です。これには、バックアップとリストア、インシデントレスポンス計画、パッチ管理などが含まれます。
:物理的|物理的管理策は、物理的な資産や施設を保護するための対策です。これには、アクセス制御システム、防犯カメラ、物理的な障壁、セキュリティガードなどが含まれます。
:抑止的|抑止的管理策は、セキュリティインシデントの発生を抑制するための対策です。これには、セキュリティ教育、監視カメラの設置、明示的なセキュリティポリシーの表示などが含まれます。
:補正的|補正的管理策は、既存のセキュリティ対策が不十分な場合にそれを補完するための対策です。これには、定期的なセキュリティレビュー、追加のセキュリティコントロールの導入、システムの改良などが含まれます。
----
- NISTサイバーセキュリティフレームワーク(CSF)
-- 米国国立標準技術研究所(NIST)が開発したサイバーセキュリティ管理のためのフレームワークです。組織がリスクを管理し、対応するための構造を提供します。CSFは5つの主要な機能で構成されています。
:[[識別]](Identify)|組織のビジネスコンテキスト、リソース、リスクを理解するプロセスです。資産、データ、ビジネス環境、リスク管理、ガバナンスなどを特定します。
:[[防御]](Protect)|インシデントが発生するのを防ぐための適切な安全対策を実装します。アクセス制御、トレーニング、データセキュリティ、情報保護プロセスなどが含まれます。
:[[検知]](Detect)|インシデントを迅速に検出するためのプロセスと手段を確立します。監視、アラート、検知プロセスの改善が含まれます。
:[[対応]](Respond)|検出されたインシデントに効果的に対応するための計画を策定し、実行します。対応計画、コミュニケーション、分析、軽減策の実行、改善が含まれます。
:[[復旧]](Recover)|インシデントからの復旧を迅速に行い、通常の業務運営を再開します。復旧計画の実行、改善活動、回復能力の向上が含まれます。
NIST CSFは、これらの機能を統合的に利用して、組織全体のセキュリティ体制を強化します。各機能はさらに細分化され、具体的なカテゴリとサブカテゴリに分かれており、組織が自分たちのニーズに合わせてカスタマイズできる柔軟性を持っています。
----
- ISOとクラウドフレームワーク
-- ISO 27K (ISO 2700X)
情報セキュリティ管理システム(ISMS)に関する規格です。国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で策定しています。以下に主要な規格を示します。
:ISO 27001|情報セキュリティ管理システム(ISMS)の要求事項を規定。組織が情報資産を適切に保護するためのフレームワークを提供します。
:ISO 27002|ISO 27001を補完するもので、情報セキュリティ管理の実践規範を提供。具体的な管理策とその実施方法を示します。
:ISO 27017|クラウドサービスにおける情報セキュリティ管理のガイドライン。クラウドサービスプロバイダーとクラウドサービス顧客の双方に適用されます。
:ISO 27018|パブリッククラウドにおける個人識別情報(PII)の保護に関する実践規範。クラウドサービスプロバイダーがPIIを適切に取り扱うためのガイドラインを提供します。
:ISO 27701|プライバシー情報管理システム(PIMS)の要求事項を規定。ISO 27001とISO 27002を基に、個人データの保護に焦点を当てたフレームワークを提供します。
- ISO 31K (ISO 3100X)
ISO 31Kシリーズは、リスクマネジメントに関する規格です。組織がリスクを識別、評価、管理するためのフレームワークを提供します。
- クラウドセキュリティアライアンス (CSA)
クラウドコンピューティングにおけるセキュリティを確保するための標準とベストプラクティスを推進する非営利団体です。
以下に主要なフレームワークを示します。
:セキュリティガイダンス|クラウドコンピューティングにおけるセキュリティ管理策の包括的なガイドラインを提供。クラウド導入の際のリスクと対策を詳細に解説します。
:エンタープライズリファレンスアーキテクチャ|クラウドコンピューティングにおけるセキュリティアーキテクチャのフレームワークを提供。企業がクラウドサービスを安全に利用するための設計原則とベストプラクティスを示します。
:クラウドコントロールマトリックス (CCM)|クラウドセキュリティコントロールのフレームワークを提供。セキュリティコントロールをクラウドサービスのリスクに対応させるための詳細なマトリックスを示します。
これらの規格とフレームワークは、組織が情報セキュリティとリスクマネジメントを効果的に実施するための基盤を提供します。クラウド環境においても、適切なセキュリティ対策を実装するための指針となります。
----
- 証明業務基準書(SSAE) / サービス組織統制(SOC)
:証明業務基準書(Statement on Standards for Attestation Engagements)|米国公認会計士協会(AICPA)が制定した証明業務の基準です。これに基づいて、会計士がクライアントの財務情報やシステムに対して信頼性のある証明を行います。
:TSC(Trust Services Criteria)|SSAEの一部で、特にクラウドサービスやITサービスなどの受託業務に対するセキュリティ、可用性、処理の完全性、機密性、およびプライバシーに関する基準を提供します。これらは、サービス組織が提供するサービスに対する信頼性を評価するための基準です。
:サービス組織統制(System and Organization Controls)|サービス提供組織が内部統制に関してどのように管理しているかを評価するための報告書です。SOC報告書は、SSAE基準に基づいて作成され、以下の3種類があります。
SSAE 16(SOC 1)
財務報告に影響を与える内部統制を評価。主にサービス組織の内部統制がクライアントの財務報告に与える影響を対象としています。
- SOC 1
:対象|財務報告に関連する内部統制
:目的|クライアント企業が財務報告を行う上で、サービス提供組織の内部統制が適切であることを確認する
- 報告書のタイプ
:タイプ1|特定時点での内部統制の設計
:タイプ2|特定期間における内部統制の設計および運用の有効性
SSAE 18(SOC 2、SOC 3)
セキュリティ、可用性、処理の完全性、機密性、およびプライバシーに関する内部統制を評価。主にITおよびクラウドサービスの信頼性を評価します。
- SOC 2
:対象|セキュリティ、可用性、処理の完全性、機密性、プライバシーに関する内部統制
:目的|サービス提供組織のシステムが顧客のデータをどのように保護しているかを評価する
- 報告書のタイプ
:タイプ1|特定時点での内部統制の設計
:タイプ2|特定期間における内部統制の設計および運用の有効性
- SOC 3
:対象|SOC 2と同様の基準
:目的|SOC 2の基準に基づき、一般公開向けにサービス提供組織のシステムの信頼性を証明する
- 報告書のタイプ
SOC 3は要約版であり、詳細な報告書ではなく、広く一般に公開されるためのもの
>SSAEとSOC報告書は、企業がサービス提供組織の内部統制やシステムの信頼性を評価するための重要な手段です。これにより、顧客や利害関係者はサービス提供組織の信頼性やデータ保護の状況を把握することができます。
----
- ベンチマークとセキュア構成ガイド
ITサービス立案を俯瞰的にとらえるのがフレームワークだが、詳細な実行ガイドというわけではない。ベンチマークとセキュア構成ガイドはそれらをカバーする。
:CIS(インターネットセキュリティセンター)|セキュリティベンチマークとガイドラインを提供する組織です。以下のリソースやガイドを提供しています。
:SANS Institute|情報セキュリティのトレーニングと認証を提供する非営利組織で、CISのベンチマークとガイドの策定に貢献しています。
:The 20 CIS Controls|20の基本的なセキュリティ対策(CISコントロール)は、組織がサイバーセキュリティリスクを軽減するためのベストプラクティスを提供します。
:CIS-RAM|CISリスクアセスメントメソドロジー(CIS-RAM)は、組織がリスクを評価し、適切なセキュリティ対策を実施するためのフレームワークです。
-ベンチマーク策定
CISは、さまざまな基準に基づいたセキュリティベンチマークを策定しています。
:PCI DSS|支払いカード業界データセキュリティ基準。カード会員データを保護するための要件。
:NIST 800-53|NISTのセキュリティとプライバシーの管理基準。連邦情報システムのセキュリティ管理。
:SOX|サーベンス・オクスリー法。企業の財務報告の透明性を確保するための規制。
:ISO 27K|ISO/IEC 27000シリーズ。情報セキュリティ管理の国際標準。
- OS・ネットワーク機器・ベンダー別ガイド
OSやネットワーク機器、ベンダーはそれぞれベストプラクティスな構成を示すガイドを提供していることが多い。
また、特定の組織がガイドラインを提供していることもあります。
国防省
サイバーエクスチェンジセキュリティガイドラインやSTIG(セキュリティ技術実装ガイド)は、システムやアプリケーションのセキュリティ構成を標準化するためのガイドラインを提供しています。
NIST
情報技術とサイバーセキュリティのための多くのガイドラインとベストプラクティスを提供しています。
NCP(National Checklist Program)は、セキュアな構成管理を促進するためのチェックリストを提供するプログラムです。
- Webアプリケーションサーバー
クライアントとデータベースの間でアプリケーションロジックを提供するミドルウェアの役割を果たします。
企業のITインフラストラクチャにおいて重要な役割を果たし、そのセキュリティ管理は極めて重要です。
- セキュリティ管理のポイント
:アクセス制御|アプリケーションサーバーへのアクセスを制限し、適切な認証と認可を設定します。
:データ暗号化|通信データの暗号化を行い、データの機密性を保護します。
:パッチ管理|最新のセキュリティパッチを適用し、既知の脆弱性を修正します。
:監視とログ管理|サーバーの活動を監視し、不正なアクセスや異常な活動を検知するためのログを管理します。
- OWASP(Open Web Application Security Project)
ウェブアプリケーションのセキュリティを向上させるための非営利団体であり、さまざまなリソースとフレームワークを提供しています。
特に「OWASP Top Ten」は、ウェブアプリケーションの最も重大なセキュリティリスクをリスト化し、対策を推奨しています。
- OWASP Top Ten
:1. インジェクション|SQLインジェクションやコマンドインジェクションなど、悪意のある入力をアプリケーションが誤って実行する脆弱性。
:2. 認証の不備|認証メカニズムの欠陥や弱点により、不正アクセスが可能になるリスク。
:3. 機密データの露出|機密データが適切に保護されていない場合、情報漏洩のリスクが高まる。
:4. XML外部エンティティ(XXE)|外部エンティティを含む不正なXML入力により、内部システムが攻撃される脆弱性。
:5. アクセス制御の不備|ユーザーの権限を超える操作が可能となるアクセス制御の欠陥。
:6. セキュリティ設定ミス|セキュリティ設定の誤りやデフォルト設定のまま使用することによる脆弱性。
:7. *クロスサイトスクリプティング(XSS)|悪意のあるスクリプトがウェブページに埋め込まれ、ユーザーのブラウザで実行される脆弱性。
:8. 不十分なインテグレーション|外部ライブラリやフレームワークの脆弱性を引き継ぐリスク。
:9. 安全でないデシリアライゼーション|信頼できないデータのデシリアライゼーションにより、リモートコード実行などの脅威が発生する。
:10. 十分なロギングと監視の欠如|セキュリティイベントのログ記録と監視が不十分で、攻撃の検知と対応が遅れるリスク。
- OWASPのリソース
-- OWASP ZAP(Zed Attack Proxy) : ウェブアプリケーションの脆弱性をテストするためのオープンソースツール。
-- OWASP ASVS(Application Security Verification Standard): ウェブアプリケーションのセキュリティ要件と検証プロセスを標準化したガイドライン。
-- OWASP Cheat Sheets:開発者が直面するセキュリティ課題に対する具体的な解決策を提供するリファレンス。
>アプリケーションサーバーのセキュリティ管理は、アクセス制御、データ暗号化、パッチ管理、監視とログ管理が重要です。
>一方、OWASPはウェブアプリケーションセキュリティのフレームワークとして、具体的な脅威とその対策を提供しています。
>特に「OWASP Top Ten」は、ウェブアプリケーション開発における基本的なセキュリティリスクの理解と対策に不可欠です。
>これらのリソースとガイドラインを活用することで、組織はセキュアなアプリケーションサーバーとウェブアプリケーションを構築・運用できます。
----
規則,標準,法令
各国の法律や規則の要求事項、業界固有の規則の順守を実証するためにフレームワーク・ベンチマーク・構成ガイドが利用されることがあります。デューデリジェンスを満たすために各種ポリシーを達成する必要があります。
-SOX法
米国の上場企業に対する会計および財務報告の透明性を高めるための法律です。
セクション404では、内部統制の有効性を評価し、報告することを要求しています。
FISMA (連邦情報セキュリティ管理法)
米国連邦政府の情報システムのセキュリティを確保するための法律で、
連邦機関に対してリスク管理とセキュリティプログラムの実施を要求しています。
GDPR (一般データ保護規則)
EUにおける個人データの保護を規定した法律で、個人データの収集、処理、保存、削除に関する厳格な規則を設定しています。
データ主体の権利を強化し、違反に対して高額な罰金を科しています。
国家などの法律
各国の独自のデータ保護法や情報セキュリティ規制を指し、国ごとに異なる要件があります。
これには、各国のプライバシー法、データ保護法、サイバーセキュリティ法などが含まれます。
GLBA(グラム・リーチ・ブライリー法)
米国の金融機関に対するプライバシー保護を規定した法律で、顧客情報の保護、通知義務、および情報共有の制限を求めています。
水平型の個人データ保護規則
複数の業界にわたる個人データ保護のための規則で、特定の地域や国全体で適用されます。
>CCPA(カリフォルニア消費者プライバシー法)
>カリフォルニア州の消費者に対するプライバシー保護を規定した法律で、消費者の個人データの収集、利用、販売について厳格な規則を設けています。消費者にはデータアクセス権や削除権が付与されています。
HIPAA (医療保険の相互運用性と責任に関する法律)
米国の医療機関および保険会社に対するプライバシー保護を規定した法律で、患者情報の保護とセキュリティ要件を定めています。
PCI DSS (ペイメントカード業界データセキュリティ基準)
クレジットカード業界によって策定されたセキュリティ基準で、カード保有者データの取り扱いや保存に関する具体的な要件を定めています。これにより、データ漏洩や不正アクセスを防止します。
#endregion
----
#endregion
*** 2 攻撃者と脅威インテリジェンス
攻撃者の属性やTTPを理解するのは保護と同程度に大切です。
#region
**** A 攻撃者のタイプと攻撃ベクター
#region
- 脆弱性・脅威・リスク
脆弱性 × 脅威 = リスク
脆弱性とはシステムやネットワークの弱点を指し、
脅威はその弱点を利用して損害を与える可能性を意味します。
これらを組み合わせることでリスクが生じます。
:攻撃者の属性|攻撃者の属性は多岐にわたり、それぞれの特徴を理解することで、適切な防御策を講じることができます。
- 内部/外部
内部攻撃者は組織内の関係者(従業員、契約者など)であり、
外部攻撃者は組織外の関係者(ハッカー、競合者など)です。
- 意図/動機
攻撃者の意図や動機は、金銭的利益、情報収集、破壊活動、政治的・社会的目的など多岐にわたります。
- 巧妙さ/能力/リソース/財源
攻撃者のスキルや利用可能なリソース、資金によって、攻撃の複雑さや規模が異なります。
:攻撃者の種類|攻撃者のタイプに応じて、攻撃方法や動機が異なります。
- ハッカー(クラッカー)/スクリプトキディ/ハクティビスト
- ハッカー(クラッカー)は高度な技術を持つ攻撃者
- スクリプトキディは既製のツールを使って攻撃を行う初心者です。
- ハクティビストは政治的・社会的目的でハッキングを行います。
:国家的アクター/APT攻撃|
国家的アクターは国家の支援を受けた攻撃者
APT(Advanced Persistent Threat)攻撃を行い、
長期間にわたってターゲットに潜伏し、情報を収集します。
:犯罪シンジケート/競合者(組織・企業・団体)|
犯罪シンジケートは組織化された犯罪集団
競合者はビジネス上の利益を狙って攻撃を行います。
:インサイダー攻撃者|
インサイダー攻撃者は組織内部の関係者で、
内部の情報やシステムに対するアクセス権を利用して攻撃を行います。
:攻撃対象と攻撃ベクター|攻撃者は特定のターゲットを狙い、さまざまな攻撃ベクター(方法)を用いて攻撃を実行します。
|攻撃ベクター|説明|h
|ダイレクトアクセス|物理的にシステムにアクセスして情報を盗む手法です。&br()ロックされていない端末を使用されたり,ブートディスクなどで悪意のあるツールのインストールを試みたり、機器を盗もうとします。|
|リムーバブルメディア|USBドライブや外付けハードドライブなどのリムーバブルメディアを介してマルウェアを広める方法です。&br()挿すだけで感染できるマルウェアなどもあります。|
|電子メール|フィッシングやマルウェアを添付したメールを送信し、受信者がリンクをクリックしたり、添付ファイルを開いたりすることで攻撃を実行します。|
|リモート/ワイヤレス|リモートアクセスやWi-Fiを利用した攻撃方法です。&br()認証情報の詐取、プロトコルの脆弱性を突くなどします。&br()その他、APになりすましてアカウント情報を奪うこともあります。|
|サプライチェーン攻撃|供給業者やパートナー企業を経由して攻撃を仕掛ける方法です。|
|ウェブ/ソーシャルメディア|ウェブサイトやソーシャルメディアプラットフォームを利用して、悪意のあるリンクやコンテンツを拡散させる方法です。&br()脆弱ばブラウザに対するドライブバイダウンロード攻撃やOSINTのソーシャルエンジニアリングによる攻撃活用、危険なリンクを設置するなど|
|クラウド|クラウドサービスの脆弱性を突いて攻撃を行います。%br()またはCSPを侵害したり、管理者アカウントの詐取を試みる可能性もあります。|
>巧妙な攻撃者
>スマッシュアンドグラブ(ガラスケースを叩き壊して素早く奪い去る強盗)のような単一攻撃を避け、複数段階によるキャンペーンを展開します。
>これにより、攻撃者はターゲットに対する持続的かつ複雑な攻撃を行い、最終的な目的を達成します。
#endregion
**** B 脅威インテリジェンスと情報源
#region
- 脅威調査リソース&br()脅威アクターとそのTTPsを発見するための活動
-- セキュリティサービス提供顧客のログ&br()サービスを提供している顧客のログから脅威を分析。&br()顧客のセキュリティログを分析し、潜在的な脅威や攻撃パターンを特定します。
-- ハニーネット&br()実際の攻撃を誘発させるための仮想ネットワーク。攻撃者の手法やツールを収集。&br()意図的に脆弱なシステムを構築し、攻撃者を引き寄せて、その行動や技術を研究します。
-- ダークネット&br()通常のインターネットとは異なる匿名性の高いネットワーク。
--- Tor&br()匿名通信を可能にするネットワーク。&br()通信を複数の中継ノードを通して暗号化することで、送信元を隠します。
--- Freenet&br()検閲抵抗性のある分散型ファイル共有ネットワーク。&br()データを分散保存し、検閲や追跡を困難にします。
--- I2P&br()低レイテンシの匿名ネットワーク層。&br()通信を匿名化し、プライバシーを保護します。
-- ダークウェブ&br()特定のブラウザが必要でアクセスが制限されたウェブの一部。
--- 口コミ(World of Mouth)&br()口コミなどで情報が広がる方式。&br()信頼できる人からの口コミによって情報が伝わります。
--- 掲示板&br()ダークウェブには、さまざまなフォーラムや掲示板が存在し、ユーザーが匿名で情報を共有します。
---- Hidden Wiki&br()ダークウェブ上のさまざまなリンクを集めたディレクトリ。&br()ここで他の掲示板やマーケットプレイスへのリンクが見つかることが多いです。
---- ブラックマーケットフォーラム&br()非合法取引やハッキング情報が共有されるフォーラム。&br()ここでは、ハッキングツール、データ販売、サイバー犯罪に関する情報がやり取りされます。
- 脅威インテリジェンスプロバイダー&br()脅威に関する情報を提供するサービスや機関
-- 脅威行動リサーチ&br()脅威アクターの行動パターンを研究。&br()攻撃者の技術や戦術、手順を分析し、脅威のトレンドを把握します。
-- レピュテーション脅威インテリジェンス&br()ドメインやIPアドレスの信頼性評価。&br()悪意のあるIPアドレスやドメインを特定し、通信をブロックします。
-- 脅威データ&br()脅威に関するデータベースの提供。&br()攻撃や脆弱性に関する最新情報を収集し、分析します。
>脅威データはSIEMなどで検知ルールやリファレンス情報として整理し各種通信と関連づけることで実際の脅威発見に役立てることができます。
>こうした整理された情報はCTI(サイバー脅威インテリジェンス)と呼ばれ、関連付けすることでインシデント検知などに役立てます。
- 供給源の例
-- クローズド/プロプライエタリ&br()特定企業や団体が提供する有料の情報。
-- IBM X-Force Exchange&br()IBMが提供する脅威インテリジェンスプラットフォーム。&br()最新の脅威情報やセキュリティ研究成果を共有します。
-- FireEye&br()セキュリティ会社FireEyeが提供する情報。&br()高度な脅威検知とインシデント対応サービスを提供します。
-- Recorded Future&br()リアルタイムの脅威インテリジェンス。&br()様々なデータソースから脅威情報をリアルタイムで収集し、分析します。
-- ベンダー&br()セキュリティソリューションを提供する企業。&br()セキュリティ製品やサービスを通じて、脅威インテリジェンスを提供します。
-- 公開/個人情報共有センター&br()セキュリティ関連情報の共有。&br()ブログやホームページなど。
-- ISAC&br()情報共有分析センター。&br()特定の業界や地域での脅威情報を共有し、協力して対策を講じます。
-- OSINT(オープンソースインテリジェンス)&br()公開情報から収集するインテリジェンス。
-- AT&T OTX&br()AT&Tの脅威インテリジェンスプラットフォーム。&br()脅威情報をコミュニティと共有します。
-- MISP&br()マルウェア情報共有プラットフォーム。&br()マルウェアに関する情報を共有し、対策を協力して行います。
-- Spamhaus&br()スパムとフィッシングを監視する非営利団体。&br()悪意のある送信者のリストを提供します。
-- VirusTotal&br()ファイルやURLを多数のアンチウイルスエンジンで分析するサービス。&br()ファイルやURLの安全性を検証します。
- その他のリソース&br()その他のセキュリティ情報源
-- 研究機関等定期刊行物&br()定期的に発行されるセキュリティ関連の論文やレポート。&br()最新の研究成果やトレンドを提供します。
-- 学会/カンファレンス&br()専門家が集まるイベントでの情報共有。&br()最新の技術や研究結果を発表し、議論します。
-- RFC&br()インターネット標準に関する文書。&br()新しいプロトコルや標準の提案と説明。規定外の通信を異常として取り扱うなど。
-- ソーシャルメディア&br()ツイッターやフォーラムでの情報交換。&br()リアルタイムで脅威情報やセキュリティニュースを共有します。
- 侵害の戦術・技術・手順・指標&br()脅威の特定と対策に使用される手法
-- TTP&br()攻撃者の戦術、技術、手順。&br()攻撃者の行動パターンを分析し、対策を立てます。&br()攻撃者の具体的な行動パターンを示します。&br()戦術(Tactics)は、攻撃者が達成しようとする全体的な目標を指し、&br()技術(Techniques)はその目標を達成するための手段や方法を示します。&br()手順(Procedures)は、それらの技術をどのように実行するかの詳細な方法を表します。&br()これらの情報を分析することで、セキュリティチームは攻撃の兆候を早期に察知し、適切な対策を講じることができます。
-- IoC(セキュリティ侵害インジケーター)
攻撃の兆候や証拠。侵害の兆候を検知し、迅速に対応します。&br()&br()IoC(Indicators of Compromise)は、システムやネットワークが侵害されたことを示す証拠や兆候です。&br()これには、不審なファイル、異常なネットワークトラフィック、不正なログイン試行などが含まれます。&br()IoCを用いることで、セキュリティチームは早期に侵害を検出し、迅速に対応して被害を最小限に抑えることができます。
- 脅威データフィード&br()脅威情報の標準化と共有
-- STIX(脅威情報構造化記述式)&br()脅威情報の標準フォーマット。
-- OASIS CTIフレームワーク&br()サイバー脅威情報の共有フレームワーク。&br()サイバー脅威情報の標準化と相互運用性を提供します。&br()共通の用語と形式でIoCを定義し、効率的な共有を実現します。
-- AIS(Automated Indicator Sharing)&br()インジケーターの自動共有。&br()自動化されたインジケーター共有システム。&br()米国国土安全保障省によって運営され、脅威情報の迅速かつ安全な共有を促進します。
-- 脅威マップ&br()脅威の地理的分布。世界中の脅威活動を視覚化します。&br()地理的な視点から脅威の発生場所を示し、対策を強化します。
-- ファイル/コードレポジトリ&br()既知のマルウェアコードのシグネチャなど脅威情報を集めたデータベース。
--- VirusTotal&br()ファイルやURLの分析サービス。&br()悪意のあるファイルやURLを検出します。&br()複数のアンチウイルスエンジンを利用して、迅速に脅威を特定します。
-- データベースおよびフィードの脆弱性&br()脆弱性情報の提供。
--- CVE&br()共通脆弱性識別子。&br()公開されている脆弱性のリスト。&br()脆弱性を一意に識別し、詳細情報を提供します。
--- バグバウンティ&br()報奨金を与える脆弱性報告プログラム。&br()セキュリティ研究者が脆弱性を報告し、報酬を得ます。&br()企業はこのプログラムを通じて脆弱性の早期発見と修正を促進します。
- 人工知能と予測分析&br()AI技術の活用
-- AIと機械学習&br()脅威の予測と検知にAI技術を利用。&br()大量のデータを分析し、脅威を予測します。&br()AIと機械学習は、大量のデータを迅速に処理し、脅威を特定するために利用されます。&br()例えば、異常なネットワークトラフィックや不審なアクティビティを検知するために、過去の正常な行動パターンと比較することで異常を検出します。&br()機械学習アルゴリズムは、攻撃の兆候を学習し、新たな脅威をリアルタイムで特定する能力を持ちます。&br()これにより、従来のシグネチャベースの検出方法よりも早期に、かつ高精度で脅威を検知することが可能となります。
-- 予測分析&br()未来の脅威を予測する分析手法。&br()過去のデータを基に、将来の脅威を予測します。&br()予測分析は、過去の攻撃データ、脆弱性情報、ネットワークトラフィックログなどを基に、将来発生しうる脅威を予測します。&br()これにより、企業は事前に防御策を講じることが可能となります。&br()例えば、特定の業界や地域に対する攻撃パターンを分析し、その業界特有の脅威を予測することができます。&br()また、新たに発見された脆弱性を迅速に修正するための優先順位付けにも役立ちます。&br()これにより、リソースを最も必要な場所に効果的に配分することができます。
#endregion
----
#endregion
*** 3 セキュリティ評価
攻撃対象領域を評価するプロセスとそのツール
評価によってどのような攻撃を受けやすいかがわかる。
また、リスク緩和の方針を決定する指標になる。
#region
**** A ネットワーク偵察ツールを使用した�セキュリティ評価
#region
- ipconfig・ping・arp
-- トポロジーディスカバリ/フットプリンティング&br()ネットワーク偵察において、&br()トポロジーディスカバリ(ネットワークの物理的な構造や接続関係を特定する活動)と&br()フットプリンティング(システムやネットワーク環境に関する情報を収集する活動)は重要なステップです。&br()これらの活動は、セキュリティアナリストやペネトレーションテスターがネットワークに関する情報を獲得し、&br()潜在的な脆弱性や攻撃の手がかりを見つけるために行われます。
:トポロジーディスカバリ|ネットワークの物理的なレイアウトやデバイス間の接続を明らかにする活動です。&br()ネットワークスキャナーやトレースルートツールを使用して、ネットワークデバイスやサーバーの位置、IPアドレス、通信経路を特定します。&br()これにより、ネットワークの全体像を把握し、攻撃経路やセキュリティリスクを理解することができます。
:フットプリンティング|システムやアプリケーションに関する情報を収集する活動です。&br()ipconfigやping、arpなどのツールを使用して、ホストのIPアドレスやネットワーク設定情報を取得します。&br()さらに、arpを使ってネットワーク内のデバイスのMACアドレスを調べ、ホストやネットワークデバイスの可用性や稼働状況を把握します。&br()これにより、攻撃者は潜在的な攻撃目標や攻撃の手がかりを見つけることができます。
- コマンドなど
-- ipconfig
-- ping
-- arp
- route・traceroute
-- ルーティング構成/接続性試験
-- tracert
-- traceroute
-- pathping
- IPスキャナー・nmap
-- SNMP
-- Microsoft System Center Product
-- nmap
-- Zenmap
- サービスディスカバリ
-- nmap
--- ハーフオープンスキャン
--- UDPポートスキャン
--- ポートレンジスキャン
--- OSフィンガープリント
---- バナーグラブ
---- プロトコル
---- ポート
---- アプリケーション名とバージョン
---- OSタイプとバージョン
---- デバイスタイプ
---CPE(Common Platform Enumeration)
- netstat・nslookup
-- netstat
-- nslookup/dig
- その他のツール
-- Harvester
-- dnsenum
-- scanless
-- curl
-- Nessus
- Packet Capture・tcpdump
-- スニファ
-- パケット分析
-- プロトコル分析
-- tcpdump
--- Type
--- Direction
--- その他
- Wireshark
-- プロトコルアナライザー
-- トラフィック分析
-- Follow TCP Streamコンテキストコマンド
- パケットインジェクション・リプレイ
-- hping
-- tcpreplay
- 悪用フレームワーク
-- RAT(Remote Access Trojan)
-- metasploit
--- rapid7
--sn1per
--- fireELP
--- RouterSploit
--- BeEF(Browser Expoitation Framework)
--- Zed Attack Proxy(ZAP)
--- Pacu
- netcat
#endregion
**** B 脆弱性タイプと懸念事項
#region
- 脆弱性とパッチ管理
-- OS
-- ファームウェア
- ゼロデイ攻撃とレガシーの脆弱性
-- ゼロデイ脆弱性
-- レガシープラットフォーム
- 脆弱なホスト構成
-- デフォルト設定
-- 脆弱なルートアカウント
-- オープンパーミッション
- 脆弱なネットワーク構成
-- オープンポート/オープンパーミッション
-- 脆弱なプロトコル
-- 脆弱な暗号化
-- エラー
- 脆弱性による影響
-- データ侵害/流出
-- 個人情報盗難
-- データ消失/可用性損失
-- 財務と社会的な影響
- サードパーティリスク
-- ベンダー管理
-- コード開発の委託
-- データストレージ
-- クラウドベースとオンプレミスのリスク
#endregion
**** C 脆弱性スキャン技術
#region
- セキュリティ評価
-- 偵察/Reconnaissance
-- 発見/Discovery
-- セキュリティ評価タイプ
--- 脆弱性評価
--- 脅威ハンティング
--- ペネトレーションテスト
- 脆弱性スキャンのタイプ
-- ネットワーク脆弱性スキャナー
-- アプリケーションスキャナー
-- ウェブアプリケーションスキャナー
-- プロトコルアナライザー
-- ネットワークマッパー
-- ポートスキャナー
-- バナーグラビング
-- ネットワークスキャナー
-- 無許可(ローグ)システム検出
-- 構成コンプライアンススキャナー
-- ステガノグラフィツール
-- データサニテーションツール
- 共通脆弱性識別子(CVE)
-- 脆弱性フィード
--- Nessus/プラグイン
--- OpenVAS/NVT(ネットワーク脆弱性テスト)
-- SCAP(セキュリティ設定共通化手順)
-- CVSS
- 侵入型スキャンと非侵入型スキャン&br()脆弱性スキャンには大きく分けて侵入型(アクティブ)スキャンと非侵入型(パッシブ)スキャンの二種類があります。それぞれのスキャン方法について詳しく説明します。
--アクティブ(侵入型)スキャン&br()アクティブスキャンは、ネットワークやシステムに対して積極的にリクエストを送信し、応答を解析することで脆弱性を検出する方法です。このスキャン方法は、以下の特徴を持ちます:
--- 積極的な問い合わせ: 対象システムに対してリクエストを送り、応答から脆弱性情報を収集します。
--- リアルタイムのデータ収集: 現在のシステム状態や設定の確認が可能です。
--- 高い精度: 非侵入型スキャンよりも正確に脆弱性を特定できます。
--代表的なアクティブスキャンツール:
--- Nmap: ネットワーク探索およびセキュリティ監査ツール。ポートスキャンやサービス識別などの機能を提供。
--- Tenable Nessus: 高度な脆弱性スキャナー。多種多様な脆弱性を検出可能。
-- アクティブスキャンのリスク:
--- システム負荷: 多数のリクエストを送信するため、ネットワークやシステムに負荷がかかることがあります。
--- 検出の可能性: 攻撃のように見えるため、セキュリティシステムに検出されることがあります。
--- 障害の発生: 一部の脆弱なシステムやサービスがダウンするリスクがあります。
-- パッシブ(非侵入型)スキャン&br()パッシブスキャンは、ネットワークトラフィックを監視し、既存のデータから脆弱性を特定する方法です。このスキャン方法の特徴は以下の通りです
--- 監視ベース: システムに対して積極的なリクエストを送信せず、既存のトラフィックやログを分析します。
--- 低侵襲性: システムやネットワークに負荷をかけることなく脆弱性を検出します。
--- 検出の難しさ: アクティブスキャンよりも脆弱性の検出精度は低いですが、検出されにくいという利点があります。
-- 代表的なパッシブスキャンツール:
--- Wireshark: ネットワークプロトコルアナライザー。ネットワークトラフィックをキャプチャし、詳細な分析が可能。
--- tcpdump: コマンドラインベースのパケットキャプチャツール。リアルタイムでパケットをキャプチャし、解析できます。
-- スキャンの侵入性&br()スキャンの侵入性は、スキャンが対象システムにどれだけ影響を与えるかを示します。アクティブスキャンは高侵入性であり、パッシブスキャンは低侵入性です。スキャンの選択は、セキュリティ評価の目的やシステムの許容範囲に応じて行われます。
-- スキャンのリスクとその回避
-- スキャンのリスク:&br()ネットワーク遅延やダウンタイム: アクティブスキャンは大量のリクエストを送るため、ネットワーク遅延や一時的なダウンタイムを引き起こす可能性があります。&br()誤検出(False Positives): スキャン結果には誤検出が含まれる可能性があり、対応に不要なリソースが割かれることがあります。&br()法的および倫理的な問題: 許可なくスキャンを行うと法的トラブルに発展することがあります。
--リスク回避策:
--- 計画的な実施: スキャンは計画的に実施し、重要な業務時間外やメンテナンス期間中に行うようにします。
--- 許可の取得: スキャンを実施する前に、関係者からの許可を得ることが重要です。
--- スキャン設定の調整: スキャンの設定を調整し、ネットワークに対する負荷を最小限に抑えることが必要です。
--- 結果の検証: スキャン結果を検証し、誤検出を排除するためのプロセスを設けます。
- 誤検知・検知漏れ・ログレビュー
- 構成レビュー
-- SCAP
-- OVAL
-- XCCDF
- 脅威ハンティング
-- 助言と情報
-- インテリジェンス統合と脅威データ
-- マニューバー(Maneuver)
#endregion
**** D ペネトレーションテスト
#region
- ペンテスト/倫理的ハッキング
-- 脅威の存在確認
-- セキュリティ管理のバイパス
-- セキュリティ管理のアクティブなテスト
-- 脆弱性の悪用
-- pwn(pwnable)
- 行動規則
-- 攻撃プロファイル
-- バグバウンティ
- 演習タイプ
-- レッドチーム
-- ブルーチーム
-- ホワイトチーム
-- 典型的なプロセス
- パッシブ偵察・アクティブ偵察
-- OSINT
-- ソーシャルエンジニアリング
-- フットプリンティング
-- ウォードライビング
-- ドローン/UAV
- ペンテストのライフサイクル
-- 持続性
-- 特権エスカレーション
-- ラテラルムーブメント
-- ピボット
-- 目的実行
-- クリーンアップ
#endregion
----
#endregion
*** 4 ソーシャルエンジニアリングとマルウェア
セキュリティ評価をするにあたり、情報システム以外にも目を向ける必要があります。
攻撃対象は従業員なども含まれるためです。
不正なアクセスのためのアカウント情報などを詐取すされるリスクがあります。
同僚や顧客がこうした攻撃を検知し報告する仕組みを作りましょう。
#region
**** A ソーシャルエンジニアリング
- ソーシャルエンジニアリング
- ソーシャルエンジニアリングの原則
-- 親密性/好意
-- コンセンサス/社会的証明
-- 権威と萎縮
-- 希少性と緊急性
- なりすまし・信頼
- ダンプスターダイビング・テールゲート
- 個人情報詐欺・請求書詐欺
-- 認証情報データベース
-- ショルダーサーフィン
-- ランチタイム攻撃
- フィッシング・ホエーリング・ビッシング・スミッシング
- スパム・虚偽・プリペンディング
- ファーミング・クレデンシャルハーベスティング
- インフルエンスキャンペーン
**** B マルウェアベースIoC
- マルウェア分類
-- ウィルス・ワーム
-- トロイの木馬
-- PUP (潜在的に望ましくないプログラム)
- コンピュータウィルス
-- 非常駐/ファイルインフェクター
-- メモリ常駐
-- ブート
-- スクリプト/マクロ
-- ポリモーフィック
-- マルチパータイト
- ワームとファイルレスマルウェア
- スパイウェアとキーロガー
-- トラッキングcookie
-- アドウェア
-- スパイウェア
-- キーロガー
- バックドア・RAT (リモートアクセス型鳥の木馬)
- ルートキット
- ランサムウェア・クリプトマルウェア・ロジックボム(論理爆弾)
- マルウェアインジケータ
-- アンチウィルスソフトの通知
-- サンドボックスの実行
-- リソースの消費
-- ファイルシステム
- プロセス分析
#endregion
*** 5 暗号化
暗号化はセキュリティシステムの大部分と担う技術です。
どのような種類の暗号化がCIAの何を担うのかを比較理解し、
その脆弱性を把握する必要があります。
#region
**** A 暗号文
- 暗号化のコンセプト
- ハッシュ化アルゴリズム
- 暗号化と鍵
- 共通鍵暗号方式(対象鍵暗号方式)
- ストリーム暗号・ブロック暗号
-- AES
- 公開鍵暗号方式
-- RSA
- 公開鍵暗号化アルゴリズム
**** B 暗号動作モード
- デジタル署名
-- DSA
--- 楕円曲線暗号方式(ECC)
- デジタルエンベロープ・鍵交換
- デジタル証明書
- Perfect Forward Secrecy
-- DHE(Diffie-Hellman Key agreement)
-- EDHアルゴリズム
-- ECDHE
- 暗号スイート・動作モード
-- CBC
-- カウンターモード
- 認証された動作モード
-- メッセージ認証符号(MAC)
-- AEAD
-- AES-GCM
-- AES-CCM
-- ChaCha-Poly1305
**** C 暗号化のユースケースと脆弱性
- 認証・否認防止をサポート
-- 暗号プリミティブ
- 機密性をサポート
-- ファイル暗号化
-- 転送暗号化
- 完全性と復元力をサポート
- 暗号の性能限界
-- 時間/レイテンシー
-- サイズ
-- コンピューテーショナルオーバーヘッド
-- 特定のユースケース
- 暗号方式のセキュリティの限界
-- エントロピーと弱い鍵
-- TRNG/PRNG
--予測可能性と再利用
- 寿命・暗号化攻撃
- 中間車攻撃・ダウングレード攻撃
- キーストレッチング・ソルト
-- PBKFD2
-- ソルト
- 衝突・誕生日攻撃
**** D その他の暗号化技術
- 量子・ポスト量子
-- 計算
-- 通信
-- ポスト量子
-- 軽量暗号
- 準同型暗号
- ブロックチェーン
- ステガノグラフィ
#endregion
*** 6 公開鍵インフラストラクチャ(PKI)
デジタル証明書とPKIはほとんどの電子サービスで利用される重要な概念です。
機密性や完全性の管理に重要な証明書の種類などを把握しましょう。
#region
**** A 証明書と認証機関
- 公開鍵と秘密鍵の使用
- 認証機関(CA)
- PKI信頼モデル
- 登録認定機関とCSR
- デジタル証明書
- 証明書の属性
- 対象名属性
- 証明書の種類
- Webサーバーの証明書
-- DV
-- EV
- その他の証明書
**** B PKI管理
- 証明書・キー管理
- 証明書の有効期限
- 証明書失効リスト
- OCSP(オンライン証明書プロトコルレスポンダ)
- 証明書のピン留め
- 証明書フォーマット
- 証明書の問題
#endregion
*** 7 認証制御
認証管理・アクセス管理(IAM)の概念を理解し、端末からアカウントを使ったアクセスを識別し認証するプロセスを知りましょう。
#region
**** A 認証設計
- 個人情報・アクセス管理
- 認証要素
- 認証設計
- 多要素認証
- 認証属性
**** B ナレッジベース認証
- ローカルネットワーク・リモート認証
- Kerberos認証
- Kerberos認可
- PAP・CHAP・MS-CHAP
- パスワード攻撃
- ブルートフォース攻撃・辞書攻撃
- パスワードクラッカー
- 認証管理
**** C 認証技術
- スマートカード認証
- 鍵管理デバイス
- 拡張認証プロトコル/IEEE 802.1X
- RADIUS(リモート認証ダイヤルインユーザーサービス)
- TACACS(Terminal Access Controller Access-Control System)
- トークン鍵・静的コード
- オープン認証
- 2段階認証
**** D 生体認証
- 生体認証
- 指紋認証
- 顔認証
- 行動認証技術
#endregion
*** 8 ID・アカウント管理制御
オンプレとクラウドの融合状態により管理するリソースは複雑に分散しています。
包括的なアカウント管理と権限付与は人事や組織ポリシーなども含めた俯瞰した立場から行わなければなりません。
#region
**** A IDとアカウントタイプ
- ID管理制御
- バックグラウンドチェックとオンボーディングポリシー
- 権限管理のための人事ポリシー
- オフボーディングポリシー
- セキュリティアカウントの種類・認証情報管理
- セキュリティグループベース管理
- 管理者・ルールアカウント
- サービスアカウント
- 共有・汎用のデバイスアカウントと認証情報
- SSH鍵とサードパーティ認証情報
**** B アカウントポリシー
- アカウント属性とアクセスポリシー
- パスワードポリシー
- アカウント制御
- アカウント監査
- アカウント権限
- 使用状況監査
- アカウントロック・無効化
**** C 認可ソリューション
- 任意アクセス制御・ロールベースアクセス制御
- ファイルシステム権限
- 強制アクセス制御・属性ベースアクセス制御
- ルールベースアクセス制御
- ディレクトリサービス
- フェデレーション・構成証明
- SAML (セキュリティアサーションマークアップ言語)
- OAuth・OpenIDコネクト
**** D 人事ポリシー
- 行動に関するポリシー
-- 利用規定(AUP)
-- 行動規範とソーシャルメディア分析
-- 職場における個人所有デバイスの使用
-- デスクの整理整頓ポリシー
- ユーザーとロールに基づく訓練
-- 組織のセキュリティポリシーと違反罰則
-- インシデント特定と報告
-- 安全訓練・サイトセキュリティ
-- ドキュメント・データ・個人情報の取り扱い
-- パスワード・アカウント管理
-- ソーシャルエンジニアリングやマルウェアへの意識向上
-- ソフトウェアとSNSのセキュアな利用
-- NIST National Initiative for Cyberscurity Education
--- KSAA
-- NIST SB800-50
- トレーニング技術
-- フィッシングキャンペーン
-- キャプチャーザフラッグ
-- CBTトレーニング
-- ゲーミフィケーション
--- シミュレーション
--- シナリオ
#endregion
*** 9 セキュアネットワーク
ネットワーク基盤はCIAを満たせるように設計されていなければなりません。
ルータ・スイッチ・アクセスポイント・ロードバランサなどの機能や構成について理解しましょう。
#region
**** A セキュアネットワーク設計
- ネットワーク設計
- ビジネスワークフロー・ネットワークアーキテクチャ
- ネットワークアプライアンス
- ルーティング・スイッチング
- ネットワークセグメント
- ネットワークトポロジー/ゾーン
- DMZ (非武装地帯)
- DMZのトポロジー
- IPv6
- その他の検討事項
**** B セキュアスイッチング・ルーティング
- 中間者攻撃とL2攻撃
- ループ防止
- 物理ポートセキュリティ・MACフィルタリング
- NAC (ネットワークアクセス制御)
- ルートセキュリティ
**** C セキュアワイヤレスネットワーク
- 設置に関する検討事項
- コントローラーとアクセスポイントのセキュリティ
- WPA(WiFi Protected Access)
- WiFi認証方法
- WPS(WiFi Protected Setup)
- オープン認証・キャプティブポータル
- IEEE 802.1X
- EAP(拡張認証プロトコル)
- PEAP・EAP-TTLS・EAP-FAST
- RADIUSフェデレーション
- 不正アクセスポイント・エビルツイン
- Disassociation攻撃・リプレイ攻撃
- ジャミング攻撃
**** D ロードバランサー
- DDoS攻撃(分散型サービス拒否攻撃)
- アンプ攻撃・アプリケーション攻撃・OT攻撃
- DDoS攻撃の軽減
- ロードバランシング
- クラスタリング
- QoS(サービスの品質)
#endregion
*** 10 ネットワークセキュリティアプライアンス
ネットワーク設計においてRTやSW以外にも、
ファイアウォール・IPS/IDS・プロキシなどといったアプライアンスを適用することも可能です。
#region
**** A ファイアウォールとプロキシ
- パケットフィルタリングファイアウォール
- ステートフルインスペクションファイアウォール
- ファイアウォールの実装
- プロキシ・ゲートウェイ
- アクセス制御リスト
- NAT (ネットワークアドレス変換)
- 仮想ファイアウォール
- OSSFWと専用ファイアウォール
**** B ネットワーク監視
- IDS
- TAP・ポートミラー
- IPS
- シグネチャ型検知
- ふるまい検知・異常検知
- NGFW・コンテンツフィルター
- HIDS(ホスト型IDS)
- WAF(Web Aplication FireWall)
**** C SIEM運用
- 監視サービス
- SIEM(セキュリティ情報イベント管理)
- ログ収集
- 分析とレポートのレビュー
- ログファイル操作
- 正規表現とgrep
#endregion
*** 11 セキュアな通信プロトコル
HTTPやPOP/SMTP、VoIP、DNS、DHCPなど各種プロトコルは安全なバージョンや設定・管理で利用しましょう。
#region
**** A ネットワークオペレーションプロトコル
- DHCP(ネットワークアドレスの割り当て)
- DNS(ドメイン名前解決)
- セキュアなディレクトリサービス
- NTP(時刻同期)
- SNMP(簡易ネットワーク管理プロトコル)
**** B アプリケーションプロトコル
- HTTP
- SSL/TLS
- WebAPI検討事項
- サブスクリプションサービス
- FTP
- SMTP
- ボイス/ビデオサービス
**** C リモートアクセスプロトコル
- リモートアクセスアーキテクチャ
- TLS/SSL VPN
- IPSec
- IPSecの動作モード
- IKE(インターネット鍵交換)
- L2TP・IKE v2
- VPNクライアント構成
- RDP(リモートデスクトップ)
- アウトオブバウンド管理とジャンプサーバー
- SSH(Secure Shell)
#endregion
*** 12 ホストセキュリティソリューション
PCやラップトップ、スマートフォン、組み込みシステムなどの様々種類のホストセキュリティを把握しましょう。
#region
**** A セキュアファームウェア
- ハードウェアRot(信頼の起点:Root of Trust)
- ブート時の完全性
- ディスクの暗号化
- USB/フラッシュドライブのセキュリティ
- サードパーティのリスク管理
- EoS/EoLなシステム
- 組織的なセキュリティ協定
**** B エンドポイントセキュリティ
- ハードニング
- ベースライン構成・レジストリ設定
- パッチ管理
- エンドポイント保護
- 次世代エンドポイント保護
- ウィルス対策
**** C 組み込みシステムのセキュリティリスク
- 組込みシステム
- 組込みシステムの論理コントローラー
- 組込みシステムの通信に関する考慮事項
- ICS(産業用制御システム)
- IoT(モノのインターネット)
- 工場自動化特化システム
- IT特化システム
- 車両・ドローン特化システム
- 医療デバイス特化システム
- 組込みシステムのセキュリティ
#endregion
*** 13 セキュアモバイルソリューション
モバイル端末が広く業務利用されるにあたって統合的なエンドポイント管理は重要ですね。
#region
**** A モバイルデバイス管理
- モバイルデバイスデプロイモデル
- エンタープライズモビリティ管理
- 企業におけるiOS
- 企業におけるAndroid
- モバイルアクセス制御システム
- リモートワイプ
- デバイスのフル暗号化/外部メディア
- ロケーションサービス
- アプリケーション管理
- コンテンツ管理
- root化/ジェイルブレイク
**** B セキュアモバイルコネクション
- 携帯ネットワーク接続方式とGPS接続方式
- 携帯データ接続
- Wi-FI接続方式・テザリング接続方式
- Bluetooth接続方式
- 赤外線・RFID
- NFC・モバイル決済
- USB接続方式
- SMS/MMS/RCSとプッシュ通知
- ファームウェアのover-the-air更新
- マイクロ波無線接続方式
#endregion
*** 14 セキュアなアプリケーション
DevSecOPSを踏まえたセキュアなソフトウェアの開発の手法についても把握しましょう。
#region
**** A アプリケーション攻撃のインジケータ
- アプリケーション攻撃
- オーバーフロー脆弱性
- nullポインタ逆参照・競合状態
- メモリリーク・リソース不足
- DLLインジェクション・ドライバ操作
- Pass the Hash 攻撃
**** B Webアプリ攻撃のインジケータ
- URL分析
- API攻撃
- リプレイ攻撃
- セッションハイジャック・XSRF(CSRF)
- XSS
- SQLインジェクション
- XML/LDAPインジェクション
- ディレクトリトラバーサル/コマンドインジェクション
- SSRF(サーバーサイドリクエストフォージェリ)
**** C セキュアコーディング
- コーディング技法
- サーバーサイド/クライアントサイドの検証
- Webアプリケーションセキュリティ
- データの漏洩とメモリ管理
- コードの再利用
- その他のコーディング慣行
- 静的コード分析
- 動的コード分析
**** D セキュアなスクリプト実行環境
- スクリプト
- Python
- Powershell
- 実行制御
- 悪意のあるコードのインジケータ
- Powershellの場合
- Bash/Pythonの場合
-- リバースシェル
- マクロ/VBA
- Man-in-the-Browser攻撃
**** E デプロイと自動化
- 開発・デプロイ・自動化
- セキュアな開発環境
- プロビジョニング・デプロビジョニング・バージョン管理
- コードリリースの自動化のパラダイム
- ソフトウェアの多様性
#endregion
*** 15 セキュアクラウドソリューション
物理的な存在が高度に抽象化されているクラウドコンピューティングの普及に伴うセキュリティ要素について把握しましょう。
#region
**** A クラウドサービスと仮想化
- クラウドデプロイモデル
- クラウドサービスも出る
- Anything as a Service
- Security as a Service
- 仮想化テクノロジーとハイパーバイザの種類
- VDIとシンクライアント
- アプリケーションの仮想化とコンテナ技術
- VMエスケープ保護
- VMスプロールの回避
**** B クラウドセキュリティソリューション
- クラウドセキュリティの完全性と監査
- クラウドセキュリティ管理
- クラウドコンピューティングのセキュリティ
- クラウドストレージのセキュリティ
- 高可用性
- クラウドネットワーキングのセキュリティ
- VPCとトランジットゲートウェイ
- VPCエンドポイント
- クラウドファイアウォールのセキュリティ
- セキュリティグループ
- (CASB)クラウドアクセスセキュリティブローカー
**** C Infrastructure as Code(コードとしてのインフラ)
- サービスインテグレーションとマイクロサービス
- サーバーレスアーキテクチャ
- Infrastructure as Code
- SDN(Software Define Network)
- SDV(Software Define Visibility)
- フォッグコンピューティング/エッジコンピューティング
#endregion
*** 16 プライバシー保護
組織にとって最も重要な資産は人であり、その次がデータと言われています。
データとプライバシーを保護するにはどのようにすればよいでしょうか。
#region
**** A センシティビティ
- プライバシーとセンシティブデータ
- データに関する役割と責任
- データ分類
- データタイプ
- プライバシー通知とデータ保持
- データ主権と地理的考慮事項
- プライバシー侵害とデータ侵害
- データ共有と契約書のプライバシー条項
**** B データ保護制御
- データ保護
- データの持ち出し
- DLP(データ損失防止)
- IRM(インフォメーションライツマネージメント)
- プライバシー強化技術
- データベース匿名化方式
#endregion
*** 17 インシデント対応
監視システムやユーザーの報告によって検知された問題を調査します。
セキュリティエキスパートの業務のほとんどはこれのことです。
#region
**** A インシデント対応手順
- インシデント対応プロセス
- CSIRT(サイバーインシデント対応チーム)
- 報告計画とステークホルダー管理
- サイバーキルチェーン
- その他のフレームワーク
- インシデント対応訓練
- インシデント対応・障害回復・保持ポリシー
**** B 対応に利用するデータソース
- インシデントの識別
- SIEM
- ロギングプラットフォーム
- ネットワーク・OS・セキュリティのログファイル
- アプリケーションのログファイル
- メタデータ
- ネットワークデータソース
**** C 緩和策
- インシデントの封じ込め
- インシデントの根絶・回復
- ファイアウォールの構成変更
- コンテンツフィルターの構成変更
- エンドポイントの構成変更
- セキュリティのオーケストレーション・自動化・レスポンス
- 敵対的な人工知能
#endregion
*** 18 デジタルフォレンジクス
インシデントの調査と攻撃者特定の実施が必要になることもあります。
インシデント対応では悪性アクティビティの迅速な根絶が目標となりますが、
デジタルフォレンジクスでは法的措置などに利用可能な活動の痕跡を
調査・収集・保全・解析することが求められます。
#region
**** A 文書
- デジタルフォレンジクス主要素
- レポート
- 電子情報開示
- 動画と目撃者の事情聴取
- タイムライン
- イベントログとネットワークトラフィック
- 戦略的インテリジェンス・カウンターインテリジェンス
**** B 証拠取得
- データ収集と揮発性
-- CPUレジスタ・キャッシュメモリ
-- RAM
-- ストレージデバイス
--- パーティション・ファイルシステム
--- スワップスペース・仮想メモリ・システムメモリキャッシュ
--- ブラウザキャッシュ・一時キャッシュ
-- リモートロギング・監視ログ
-- 物理構成・ネットワークトポロジ
-- アーカイブメディア・印刷された文書
- デジタルフォレンジクスのソフトウェア
-- EnCase Forensic / Guidance Software
-- FTK(Forensic Tool Kit) / AccesssData
-- Sleuth Kit・Autopsy
-- WinHex/X-Ways
-- Volatility Framework
- システムメモリの取得
-- ライブ取得
--- WinHEX
--- Memoryze/FireEye
--- F-Response TACTICAL
--- memdump
--- dd
--- pmem/fmem/LIME・/dev/mem
-- クラッシュダンプ
--- \WINDOWS\memory.dmp
--- C:\Windows\Minidumps
-- 休止ファイルとページファイル
- ディスクイメージの取得
- 証拠の保管と完全性
- その他のデータ収集
- クラウド向けデジタルフォレンジクス
#endregion
*** 19 リスク管理
ひとたびインシデントが発生すると経済的か社会的かは問わず何らかの損失が発生します。
損失がどの程度の規模になるかを管理することは重要な関心事の一つでしょう。
組織的な計画を遂行するとき脅威と脆弱性を把握しリスク管理のスコープに捕捉し
適切な是正措置をとれるようにしましょう。
#region
**** A リスク管理プロセス
- リスク管理プロセス
-- 任務上必要不可欠な機能の特定
-- 脆弱性の特定
-- 脅威を特定
-- ビジネスインパクトを分析
-- リスク対応を特定
-- 発生の可能性
-- インパクト
-- ERM(エンタープライズリスク管理)
-- RCSA(リスク制御の自己評価)
- リスクの種類
-- 外部
-- 内部
-- マルチパーティ
-- 知的財産(IP)の盗難
-- ソフトウェアコンプライアンス/ライセンシング
-- レガシーシステム
- 定量的リスク評価
-- SLE(単一損失予想)
-- ALE(年間予測損失額)
-- ARO(年間発生率)
- 定性的リスク評価
-- 資産
--- 交換不可・高価値・中価値・低価値
-- 確率
--- クリティカル・高・中・低
-- ヒートマップ・信号機インパクトマトリックス
-- FIPS199
- JRAM
- CRAMM
- リスク管理戦略
-- 固有リスク
-- リスクの完全な排除は不可能
-- リスク体制
-- リスク緩和・リスク修復
-- リスク抑止・リスク低減
-- ROSI(セキュリティ投資対効果)
- リスク回避・リスク移動
-- リスク回避
-- リスク移動・リスク共有
- リスク許容・リスクアペタイト
-- リスク許容
-- 残存リスクとリスクアペタイト
-- 制御リスク
- リスク認識
-- リスクの登録
**** B ビジネスインパクト分析
- ビジネスインパクト分析
- 任務上必要不可欠な機能(MEF)
-- MTD
-- RTO
-- WRT
-- RPO
- 重要なシステムの確認
-- 資産
--- 人
--- 有形資産
--- 無形資産
--- 手順
-- BPA (ビジネスプロセス分析)
--- 入力
--- ハードウェア
--- 機能をサポートする従業員とその他のリソース
--- 出力
--- プロセスフロー
- 単一障害点(SPoF)
-- MTTF
-- MTBF
-- MTTR
- 障害発生
-- 内部と外部
-- 人工/人為
-- 環境的
-- サイトのリスク評価
- 障害回復計画
-- DRP
- 災害回復計画
-- ウォークスルー・ワークショップ・オリエンテーション・セミナー
-- 机上演習
-- 機能演習
-- フルスケール演習
#endregion
*** 20 サイバーセキュリティレジリエンス
攻撃を受けたとしてもその被害を最小限にする必要があります。
被害を限定的にとどめと即座に復旧するための技術を身につけましょう。
#region
**** A 冗長性戦略
- 高可用性
-- スケーラビリティ
-- エラスティシティ
- 冗長電源
-- ブラウンアウト
-- デュアル電源
-- PDU(管理された電源ユニット)
-- UPS(バッテリーバックアップ・無停電電源装置)
-- 発電機
- ネットワークの冗長性
-- NICチーミング
-- スイッチングとルーティング
-- ロードバランサー
- ディスクの冗長性
-- RAID
-- マルチパス
- 地理的な冗長性・レプリケーション
-- 地理的分散
-- 非同期・同期レプリケーション
-- オンプレミス・クラウド
**** B バックアップ戦略
- バックアップと保持ポリシー
- バックアップの種類
-- 完全バックアップ
-- 増分バックアップ
-- さ分バックアップ
-- コピーバックアップ
- スナップショット・イメージ
- バックアップストレージに関する問題
-- オフサイトストレージ
-- オンライン・オフラインバックアップ
- バックアップメディアの種類
-- ディスク
-- NAS(ネットワークアクセスストレージ)
-- テープ
-- SAN(ストレージエリアネットワーク)とクラウド
- 復元順序
- 非永続的
**** C サイバーセキュリティレジリエンス
- 構成管理
- 資産管理
- 変更制御と変更管理
- サイトの復元
- 多様化と多層防御
- 詐欺と中断の戦略|アクティブディフェンス
-- 詐欺の戦略
--- ハニーポット・ハニーネット・ハニーファイル
-- 中断の戦略
--- 偽装DNSエントリ
--- 囮ディレクトリ/囮Webページ
--- 偽装テレメトリ
--- DNSシンクホール
#endregion
*** 21 物理的セキュリティ
ソーシャルエンジニアリング・ワイヤレスバックドア・モバイルデバイスによるDLPなどの侵害リスクは物理的な保護が重要なセキュリティ事項だということを示しています。
サイト設計や運用から考慮する。
アクセス制御や人為災害・自然災害への耐性についても検討しましょう。
#region
**** A 物理的サイトセキュリティ
- 物理的セキュリティ管理
-- 認証
-- 許可
-- アカウンティング
- サイトレイアウト
- バリケードとゲート
- フェンス
- 照明
- ゲートとロック
-- 従来型
-- 電子錠
-- 生体認証
- IDカードとUSBに対する攻撃
-- カードクローニング
-- スキミング
- 管理システムとセンサー
-- 回路
-- 動作検出
-- ノイズ検出
-- 近接型
-- 脅迫状態
- 警備員とカメラ
-- CCTV(クローズドサーキットテレビジョン)|監視カメラ
-- 動作認識
-- オブジェクト検知
-- ロボットセントリー
-- ドローン/UAV
- 受付とIDバッジ
**** B 物理的ホストセキュリティ
- セキュアなエリア
- エアギャップ・非武装地帯
- 金庫・金庫室
- 保護されたディストリビューションとファラデーゲージ
- 暖房・換気・空調
- ホット/コールドアイル
- 火災の探知・消化
-- ドライパイプ
-- プレアクション
-- ハロン
-- クリーンエージェント
- セキュアなデータ破棄
-- 焼却
-- 裁断/シュレッディング/パルピング
-- 粉砕
-- 消磁(デガウス)
- データサニタイズツール
-- Active KillDisk
- セキュア消去(SE)
-- SATA仕様
-- SAS仕様
-- インスタントセキュア消去(ISE)
--- FIPS140-2,FIPS140-3
#endregion
*** [[1 セキュリティロールとセキュリティ管理]]
要求事項評価・セキュリティシステム構築/強化/監視・攻撃対応/抑止を実施します。
セキュリティ機能は部門/ユニット,役割(ロール)によって実行されます。
セキュリティ機能はコンプライアンスとフレームワークによって選ばれ管理されます。
#region
**** A セキュリティロール
#region
-[[情報セキュリティ]]
機密性・完全性・可用性くらい知っておこうな!否認防止もあるぞ!
----
- [[サイバーセキュリティフレームワーク]]
NISTのフレームワークは以下の5段階に機能を分割します。
:識別|リスク・脅威・脆弱性を評価します
:保護|セキュリティ要求事項を満たすように、情報資産の入手・開発・インストール・運用・使用・停止のライフサイクルを管理する。
:検知|監視・管理を行いあらゆる脅威から保護できることを確認する
:対応|脅威を識別し対応実施、根絶を図ります
:回復|攻撃耐性を維持し、攻撃を受けた場合にも直ちに復旧する
----
:情報セキュリティ能力|開発から人材調達からガバナンス策定までなんでもやろう!
- リスク評価
- システムテスト
- セキュアなリソースの選定・調達・インストール・構築
-- リソース:デバイスもソフトウェアも
- アクセス制御・権限管理とドキュメンテーション
- ログ監視・インシデントレスポンス・レポーティング
- BCP策定・障害回復計画(サイバーレジリエンス)の手順の立案・計画・訓練
- セキュリティトレーニングや教育プログラムの実施・参加
----
- 役割と責任
-- CSO (チーフセキュリティオフィサー)/CISO(チーフインフォメーションセキュリティオフィサー)/セキュリティ部長
--- 彼らが運営する部門では責任を取るために日夜戦略策定が繰り広げられている。歴史的には情シス部門とか総務・経理・庶務部門とかの業務が拡張されて、責任が増えていることもあるとかないとか。
-- 管理者
--- 構築管理とか情シスとか経理とか部門単位に一人置いておく人。
-- 技術・専門スタッフ
--- 実際に守るために手を動かす係。ソルジャー。強くなるとISSO (情報システムセキュリティオフィサー)という肩書きをつけることもあるらしい[要出典]ポリシー実行・維持・監視の責任を持ち、システムとかネットワークに詳しかったりする。または、この責任を専門的に遂行する人材を用意することも。
-- 非技術スタッフ
---守るべき無辜の民。定められた組織のポリシーと法令は守ってね。
>取締役やオーナーは外部の責任・注意・義務遂行を担うけど、
>結局困るのは自分だから一定の責任は自分で取るんだぞ。
----
:[[セキュリティユニット]]|組織内のセキュリティ機能を実行する専門のチームがあったり委託したりするやつ。
- 特に主要な組織
-- [[SOC]](セキュリティオペレーションセンター)
--- セキュリティ専門のメンバーが組織の情報資産のやり取りを集約して保護・監視・検知したりするところ。正味SIEMでのSyslog収集とログ解析とレポーティングしてる。あとは、新しい攻撃の調査と検知方法の策定とか。
-- [[DevSecOps]]
--- まずDevOpsという、開発と運用を一体化する取り組みがある。共通のシステムの開発組織と運用組織を一体化させることで,システム改善の効率を高める取り組みのことでクラウドサービスのような広範なユーザーにメリットがあるものを包括的に取り扱うことで効率化できる考え方ですよと。DevSecOpsはそこにセキュリティ領域の機能も統合し[[シフトレフト]]により、設計・開発など上流からセキュリティ要件を加えることでサービス全体をよりセキュアにすることを試むものです。
-- [[CSIRT]]/コンピュータセキュリティインシデントレスポンスチーム/CIRT(サイバーインシデントレスポンスチーム)/CERT(コンピュータエマージェンシーレスポンスチーム)
--- セキュリティインシデントを報告する連絡先。SOCに内包されてたり独立組織になっていることもある。報告を受けたらその問題を迅速に根絶するために頑張る。
#endregion
----
**** B セキュリティの管理とフレームワーク
#region
- セキュリティ管理のカテゴリ
:技術的|技術的管理策は、システムやネットワークに対するセキュリティ対策を提供します。これには、暗号化、アクセス制御、ファイアウォール、侵入検知システム(IDS)などが含まれます。
:運用的|運用的管理策は、組織の日常運営におけるセキュリティ対策を提供します。これには、セキュリティポリシーの策定、セキュリティ教育、インシデントレスポンス計画などが含まれます。
:経営的|経営的管理策は、セキュリティ対策の全体的な方向性や方針を決定するための管理策を提供します。これには、リスク評価、セキュリティ監査、コンプライアンス管理、セキュリティ予算の配分などが含まれます。
----
- セキュリティ管理の機能タイプ
:予防的|予防的管理策は、セキュリティインシデントが発生するのを未然に防ぐための対策です。これには、アクセス制御、セキュリティポリシーの実施、ユーザー認証、ウイルス対策ソフトの導入などが含まれます。
:検知的|検知的管理策は、セキュリティインシデントが発生した場合にそれを迅速に検知するための対策です。これには、監視システム、侵入検知システム(IDS)、ログ管理、ネットワークトラフィック分析などが含まれます。
:是正的|是正的管理策は、セキュリティインシデントが発生した後にその影響を最小限に抑え、システムを正常な状態に戻すための対策です。これには、バックアップとリストア、インシデントレスポンス計画、パッチ管理などが含まれます。
:物理的|物理的管理策は、物理的な資産や施設を保護するための対策です。これには、アクセス制御システム、防犯カメラ、物理的な障壁、セキュリティガードなどが含まれます。
:抑止的|抑止的管理策は、セキュリティインシデントの発生を抑制するための対策です。これには、セキュリティ教育、監視カメラの設置、明示的なセキュリティポリシーの表示などが含まれます。
:補正的|補正的管理策は、既存のセキュリティ対策が不十分な場合にそれを補完するための対策です。これには、定期的なセキュリティレビュー、追加のセキュリティコントロールの導入、システムの改良などが含まれます。
----
- NISTサイバーセキュリティフレームワーク(CSF)
-- 米国国立標準技術研究所(NIST)が開発したサイバーセキュリティ管理のためのフレームワークです。組織がリスクを管理し、対応するための構造を提供します。CSFは5つの主要な機能で構成されています。
:[[識別]](Identify)|組織のビジネスコンテキスト、リソース、リスクを理解するプロセスです。資産、データ、ビジネス環境、リスク管理、ガバナンスなどを特定します。
:[[防御]](Protect)|インシデントが発生するのを防ぐための適切な安全対策を実装します。アクセス制御、トレーニング、データセキュリティ、情報保護プロセスなどが含まれます。
:[[検知]](Detect)|インシデントを迅速に検出するためのプロセスと手段を確立します。監視、アラート、検知プロセスの改善が含まれます。
:[[対応]](Respond)|検出されたインシデントに効果的に対応するための計画を策定し、実行します。対応計画、コミュニケーション、分析、軽減策の実行、改善が含まれます。
:[[復旧]](Recover)|インシデントからの復旧を迅速に行い、通常の業務運営を再開します。復旧計画の実行、改善活動、回復能力の向上が含まれます。
NIST CSFは、これらの機能を統合的に利用して、組織全体のセキュリティ体制を強化します。各機能はさらに細分化され、具体的なカテゴリとサブカテゴリに分かれており、組織が自分たちのニーズに合わせてカスタマイズできる柔軟性を持っています。
----
- ISOとクラウドフレームワーク
-- ISO 27K (ISO 2700X)
情報セキュリティ管理システム(ISMS)に関する規格です。国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で策定しています。以下に主要な規格を示します。
:ISO 27001|情報セキュリティ管理システム(ISMS)の要求事項を規定。組織が情報資産を適切に保護するためのフレームワークを提供します。
:ISO 27002|ISO 27001を補完するもので、情報セキュリティ管理の実践規範を提供。具体的な管理策とその実施方法を示します。
:ISO 27017|クラウドサービスにおける情報セキュリティ管理のガイドライン。クラウドサービスプロバイダーとクラウドサービス顧客の双方に適用されます。
:ISO 27018|パブリッククラウドにおける個人識別情報(PII)の保護に関する実践規範。クラウドサービスプロバイダーがPIIを適切に取り扱うためのガイドラインを提供します。
:ISO 27701|プライバシー情報管理システム(PIMS)の要求事項を規定。ISO 27001とISO 27002を基に、個人データの保護に焦点を当てたフレームワークを提供します。
- ISO 31K (ISO 3100X)
ISO 31Kシリーズは、リスクマネジメントに関する規格です。組織がリスクを識別、評価、管理するためのフレームワークを提供します。
- クラウドセキュリティアライアンス (CSA)
クラウドコンピューティングにおけるセキュリティを確保するための標準とベストプラクティスを推進する非営利団体です。
以下に主要なフレームワークを示します。
:セキュリティガイダンス|クラウドコンピューティングにおけるセキュリティ管理策の包括的なガイドラインを提供。クラウド導入の際のリスクと対策を詳細に解説します。
:エンタープライズリファレンスアーキテクチャ|クラウドコンピューティングにおけるセキュリティアーキテクチャのフレームワークを提供。企業がクラウドサービスを安全に利用するための設計原則とベストプラクティスを示します。
:クラウドコントロールマトリックス (CCM)|クラウドセキュリティコントロールのフレームワークを提供。セキュリティコントロールをクラウドサービスのリスクに対応させるための詳細なマトリックスを示します。
これらの規格とフレームワークは、組織が情報セキュリティとリスクマネジメントを効果的に実施するための基盤を提供します。クラウド環境においても、適切なセキュリティ対策を実装するための指針となります。
----
- 証明業務基準書(SSAE) / サービス組織統制(SOC)
:証明業務基準書(Statement on Standards for Attestation Engagements)|米国公認会計士協会(AICPA)が制定した証明業務の基準です。これに基づいて、会計士がクライアントの財務情報やシステムに対して信頼性のある証明を行います。
:TSC(Trust Services Criteria)|SSAEの一部で、特にクラウドサービスやITサービスなどの受託業務に対するセキュリティ、可用性、処理の完全性、機密性、およびプライバシーに関する基準を提供します。これらは、サービス組織が提供するサービスに対する信頼性を評価するための基準です。
:サービス組織統制(System and Organization Controls)|サービス提供組織が内部統制に関してどのように管理しているかを評価するための報告書です。SOC報告書は、SSAE基準に基づいて作成され、以下の3種類があります。
SSAE 16(SOC 1)
財務報告に影響を与える内部統制を評価。主にサービス組織の内部統制がクライアントの財務報告に与える影響を対象としています。
- SOC 1
:対象|財務報告に関連する内部統制
:目的|クライアント企業が財務報告を行う上で、サービス提供組織の内部統制が適切であることを確認する
- 報告書のタイプ
:タイプ1|特定時点での内部統制の設計
:タイプ2|特定期間における内部統制の設計および運用の有効性
SSAE 18(SOC 2、SOC 3)
セキュリティ、可用性、処理の完全性、機密性、およびプライバシーに関する内部統制を評価。主にITおよびクラウドサービスの信頼性を評価します。
- SOC 2
:対象|セキュリティ、可用性、処理の完全性、機密性、プライバシーに関する内部統制
:目的|サービス提供組織のシステムが顧客のデータをどのように保護しているかを評価する
- 報告書のタイプ
:タイプ1|特定時点での内部統制の設計
:タイプ2|特定期間における内部統制の設計および運用の有効性
- SOC 3
:対象|SOC 2と同様の基準
:目的|SOC 2の基準に基づき、一般公開向けにサービス提供組織のシステムの信頼性を証明する
- 報告書のタイプ
SOC 3は要約版であり、詳細な報告書ではなく、広く一般に公開されるためのもの
>SSAEとSOC報告書は、企業がサービス提供組織の内部統制やシステムの信頼性を評価するための重要な手段です。これにより、顧客や利害関係者はサービス提供組織の信頼性やデータ保護の状況を把握することができます。
----
- ベンチマークとセキュア構成ガイド
ITサービス立案を俯瞰的にとらえるのがフレームワークだが、詳細な実行ガイドというわけではない。ベンチマークとセキュア構成ガイドはそれらをカバーする。
:CIS(インターネットセキュリティセンター)|セキュリティベンチマークとガイドラインを提供する組織です。以下のリソースやガイドを提供しています。
:SANS Institute|情報セキュリティのトレーニングと認証を提供する非営利組織で、CISのベンチマークとガイドの策定に貢献しています。
:The 20 CIS Controls|20の基本的なセキュリティ対策(CISコントロール)は、組織がサイバーセキュリティリスクを軽減するためのベストプラクティスを提供します。
:CIS-RAM|CISリスクアセスメントメソドロジー(CIS-RAM)は、組織がリスクを評価し、適切なセキュリティ対策を実施するためのフレームワークです。
-ベンチマーク策定
CISは、さまざまな基準に基づいたセキュリティベンチマークを策定しています。
:PCI DSS|支払いカード業界データセキュリティ基準。カード会員データを保護するための要件。
:NIST 800-53|NISTのセキュリティとプライバシーの管理基準。連邦情報システムのセキュリティ管理。
:SOX|サーベンス・オクスリー法。企業の財務報告の透明性を確保するための規制。
:ISO 27K|ISO/IEC 27000シリーズ。情報セキュリティ管理の国際標準。
- OS・ネットワーク機器・ベンダー別ガイド
OSやネットワーク機器、ベンダーはそれぞれベストプラクティスな構成を示すガイドを提供していることが多い。
また、特定の組織がガイドラインを提供していることもあります。
国防省
サイバーエクスチェンジセキュリティガイドラインやSTIG(セキュリティ技術実装ガイド)は、システムやアプリケーションのセキュリティ構成を標準化するためのガイドラインを提供しています。
NIST
情報技術とサイバーセキュリティのための多くのガイドラインとベストプラクティスを提供しています。
NCP(National Checklist Program)は、セキュアな構成管理を促進するためのチェックリストを提供するプログラムです。
- Webアプリケーションサーバー
クライアントとデータベースの間でアプリケーションロジックを提供するミドルウェアの役割を果たします。
企業のITインフラストラクチャにおいて重要な役割を果たし、そのセキュリティ管理は極めて重要です。
- セキュリティ管理のポイント
:アクセス制御|アプリケーションサーバーへのアクセスを制限し、適切な認証と認可を設定します。
:データ暗号化|通信データの暗号化を行い、データの機密性を保護します。
:パッチ管理|最新のセキュリティパッチを適用し、既知の脆弱性を修正します。
:監視とログ管理|サーバーの活動を監視し、不正なアクセスや異常な活動を検知するためのログを管理します。
- OWASP(Open Web Application Security Project)
ウェブアプリケーションのセキュリティを向上させるための非営利団体であり、さまざまなリソースとフレームワークを提供しています。
特に「OWASP Top Ten」は、ウェブアプリケーションの最も重大なセキュリティリスクをリスト化し、対策を推奨しています。
- OWASP Top Ten
:1. インジェクション|SQLインジェクションやコマンドインジェクションなど、悪意のある入力をアプリケーションが誤って実行する脆弱性。
:2. 認証の不備|認証メカニズムの欠陥や弱点により、不正アクセスが可能になるリスク。
:3. 機密データの露出|機密データが適切に保護されていない場合、情報漏洩のリスクが高まる。
:4. XML外部エンティティ(XXE)|外部エンティティを含む不正なXML入力により、内部システムが攻撃される脆弱性。
:5. アクセス制御の不備|ユーザーの権限を超える操作が可能となるアクセス制御の欠陥。
:6. セキュリティ設定ミス|セキュリティ設定の誤りやデフォルト設定のまま使用することによる脆弱性。
:7. *クロスサイトスクリプティング(XSS)|悪意のあるスクリプトがウェブページに埋め込まれ、ユーザーのブラウザで実行される脆弱性。
:8. 不十分なインテグレーション|外部ライブラリやフレームワークの脆弱性を引き継ぐリスク。
:9. 安全でないデシリアライゼーション|信頼できないデータのデシリアライゼーションにより、リモートコード実行などの脅威が発生する。
:10. 十分なロギングと監視の欠如|セキュリティイベントのログ記録と監視が不十分で、攻撃の検知と対応が遅れるリスク。
- OWASPのリソース
-- OWASP ZAP(Zed Attack Proxy) : ウェブアプリケーションの脆弱性をテストするためのオープンソースツール。
-- OWASP ASVS(Application Security Verification Standard): ウェブアプリケーションのセキュリティ要件と検証プロセスを標準化したガイドライン。
-- OWASP Cheat Sheets:開発者が直面するセキュリティ課題に対する具体的な解決策を提供するリファレンス。
>アプリケーションサーバーのセキュリティ管理は、アクセス制御、データ暗号化、パッチ管理、監視とログ管理が重要です。
>一方、OWASPはウェブアプリケーションセキュリティのフレームワークとして、具体的な脅威とその対策を提供しています。
>特に「OWASP Top Ten」は、ウェブアプリケーション開発における基本的なセキュリティリスクの理解と対策に不可欠です。
>これらのリソースとガイドラインを活用することで、組織はセキュアなアプリケーションサーバーとウェブアプリケーションを構築・運用できます。
----
規則,標準,法令
各国の法律や規則の要求事項、業界固有の規則の順守を実証するためにフレームワーク・ベンチマーク・構成ガイドが利用されることがあります。デューデリジェンスを満たすために各種ポリシーを達成する必要があります。
-SOX法
米国の上場企業に対する会計および財務報告の透明性を高めるための法律です。
セクション404では、内部統制の有効性を評価し、報告することを要求しています。
FISMA (連邦情報セキュリティ管理法)
米国連邦政府の情報システムのセキュリティを確保するための法律で、
連邦機関に対してリスク管理とセキュリティプログラムの実施を要求しています。
GDPR (一般データ保護規則)
EUにおける個人データの保護を規定した法律で、個人データの収集、処理、保存、削除に関する厳格な規則を設定しています。
データ主体の権利を強化し、違反に対して高額な罰金を科しています。
国家などの法律
各国の独自のデータ保護法や情報セキュリティ規制を指し、国ごとに異なる要件があります。
これには、各国のプライバシー法、データ保護法、サイバーセキュリティ法などが含まれます。
GLBA(グラム・リーチ・ブライリー法)
米国の金融機関に対するプライバシー保護を規定した法律で、顧客情報の保護、通知義務、および情報共有の制限を求めています。
水平型の個人データ保護規則
複数の業界にわたる個人データ保護のための規則で、特定の地域や国全体で適用されます。
>CCPA(カリフォルニア消費者プライバシー法)
>カリフォルニア州の消費者に対するプライバシー保護を規定した法律で、消費者の個人データの収集、利用、販売について厳格な規則を設けています。消費者にはデータアクセス権や削除権が付与されています。
HIPAA (医療保険の相互運用性と責任に関する法律)
米国の医療機関および保険会社に対するプライバシー保護を規定した法律で、患者情報の保護とセキュリティ要件を定めています。
PCI DSS (ペイメントカード業界データセキュリティ基準)
クレジットカード業界によって策定されたセキュリティ基準で、カード保有者データの取り扱いや保存に関する具体的な要件を定めています。これにより、データ漏洩や不正アクセスを防止します。
#endregion
----
#endregion
*** 2 攻撃者と脅威インテリジェンス
攻撃者の属性やTTPを理解するのは保護と同程度に大切です。
#region
**** A 攻撃者のタイプと攻撃ベクター
#region
- 脆弱性・脅威・リスク
脆弱性 × 脅威 = リスク
脆弱性とはシステムやネットワークの弱点を指し、
脅威はその弱点を利用して損害を与える可能性を意味します。
これらを組み合わせることでリスクが生じます。
:攻撃者の属性|攻撃者の属性は多岐にわたり、それぞれの特徴を理解することで、適切な防御策を講じることができます。
- 内部/外部
内部攻撃者は組織内の関係者(従業員、契約者など)であり、
外部攻撃者は組織外の関係者(ハッカー、競合者など)です。
- 意図/動機
攻撃者の意図や動機は、金銭的利益、情報収集、破壊活動、政治的・社会的目的など多岐にわたります。
- 巧妙さ/能力/リソース/財源
攻撃者のスキルや利用可能なリソース、資金によって、攻撃の複雑さや規模が異なります。
:攻撃者の種類|攻撃者のタイプに応じて、攻撃方法や動機が異なります。
- ハッカー(クラッカー)/スクリプトキディ/ハクティビスト
- ハッカー(クラッカー)は高度な技術を持つ攻撃者
- スクリプトキディは既製のツールを使って攻撃を行う初心者です。
- ハクティビストは政治的・社会的目的でハッキングを行います。
:国家的アクター/APT攻撃|
国家的アクターは国家の支援を受けた攻撃者
APT(Advanced Persistent Threat)攻撃を行い、
長期間にわたってターゲットに潜伏し、情報を収集します。
:犯罪シンジケート/競合者(組織・企業・団体)|
犯罪シンジケートは組織化された犯罪集団
競合者はビジネス上の利益を狙って攻撃を行います。
:インサイダー攻撃者|
インサイダー攻撃者は組織内部の関係者で、
内部の情報やシステムに対するアクセス権を利用して攻撃を行います。
:攻撃対象と攻撃ベクター|攻撃者は特定のターゲットを狙い、さまざまな攻撃ベクター(方法)を用いて攻撃を実行します。
|攻撃ベクター|説明|h
|ダイレクトアクセス|物理的にシステムにアクセスして情報を盗む手法です。&br()ロックされていない端末を使用されたり,ブートディスクなどで悪意のあるツールのインストールを試みたり、機器を盗もうとします。|
|リムーバブルメディア|USBドライブや外付けハードドライブなどのリムーバブルメディアを介してマルウェアを広める方法です。&br()挿すだけで感染できるマルウェアなどもあります。|
|電子メール|フィッシングやマルウェアを添付したメールを送信し、受信者がリンクをクリックしたり、添付ファイルを開いたりすることで攻撃を実行します。|
|リモート/ワイヤレス|リモートアクセスやWi-Fiを利用した攻撃方法です。&br()認証情報の詐取、プロトコルの脆弱性を突くなどします。&br()その他、APになりすましてアカウント情報を奪うこともあります。|
|サプライチェーン攻撃|供給業者やパートナー企業を経由して攻撃を仕掛ける方法です。|
|ウェブ/ソーシャルメディア|ウェブサイトやソーシャルメディアプラットフォームを利用して、悪意のあるリンクやコンテンツを拡散させる方法です。&br()脆弱ばブラウザに対するドライブバイダウンロード攻撃やOSINTのソーシャルエンジニアリングによる攻撃活用、危険なリンクを設置するなど|
|クラウド|クラウドサービスの脆弱性を突いて攻撃を行います。%br()またはCSPを侵害したり、管理者アカウントの詐取を試みる可能性もあります。|
>巧妙な攻撃者
>スマッシュアンドグラブ(ガラスケースを叩き壊して素早く奪い去る強盗)のような単一攻撃を避け、複数段階によるキャンペーンを展開します。
>これにより、攻撃者はターゲットに対する持続的かつ複雑な攻撃を行い、最終的な目的を達成します。
#endregion
**** B 脅威インテリジェンスと情報源
#region
- 脅威調査リソース&br()脅威アクターとそのTTPsを発見するための活動
-- セキュリティサービス提供顧客のログ&br()サービスを提供している顧客のログから脅威を分析。&br()顧客のセキュリティログを分析し、潜在的な脅威や攻撃パターンを特定します。
-- ハニーネット&br()実際の攻撃を誘発させるための仮想ネットワーク。攻撃者の手法やツールを収集。&br()意図的に脆弱なシステムを構築し、攻撃者を引き寄せて、その行動や技術を研究します。
-- ダークネット&br()通常のインターネットとは異なる匿名性の高いネットワーク。
--- Tor&br()匿名通信を可能にするネットワーク。&br()通信を複数の中継ノードを通して暗号化することで、送信元を隠します。
--- Freenet&br()検閲抵抗性のある分散型ファイル共有ネットワーク。&br()データを分散保存し、検閲や追跡を困難にします。
--- I2P&br()低レイテンシの匿名ネットワーク層。&br()通信を匿名化し、プライバシーを保護します。
-- ダークウェブ&br()特定のブラウザが必要でアクセスが制限されたウェブの一部。
--- 口コミ(World of Mouth)&br()口コミなどで情報が広がる方式。&br()信頼できる人からの口コミによって情報が伝わります。
--- 掲示板&br()ダークウェブには、さまざまなフォーラムや掲示板が存在し、ユーザーが匿名で情報を共有します。
---- Hidden Wiki&br()ダークウェブ上のさまざまなリンクを集めたディレクトリ。&br()ここで他の掲示板やマーケットプレイスへのリンクが見つかることが多いです。
---- ブラックマーケットフォーラム&br()非合法取引やハッキング情報が共有されるフォーラム。&br()ここでは、ハッキングツール、データ販売、サイバー犯罪に関する情報がやり取りされます。
- 脅威インテリジェンスプロバイダー&br()脅威に関する情報を提供するサービスや機関
-- 脅威行動リサーチ&br()脅威アクターの行動パターンを研究。&br()攻撃者の技術や戦術、手順を分析し、脅威のトレンドを把握します。
-- レピュテーション脅威インテリジェンス&br()ドメインやIPアドレスの信頼性評価。&br()悪意のあるIPアドレスやドメインを特定し、通信をブロックします。
-- 脅威データ&br()脅威に関するデータベースの提供。&br()攻撃や脆弱性に関する最新情報を収集し、分析します。
>脅威データはSIEMなどで検知ルールやリファレンス情報として整理し各種通信と関連づけることで実際の脅威発見に役立てることができます。
>こうした整理された情報はCTI(サイバー脅威インテリジェンス)と呼ばれ、関連付けすることでインシデント検知などに役立てます。
- 供給源の例
-- クローズド/プロプライエタリ&br()特定企業や団体が提供する有料の情報。
-- IBM X-Force Exchange&br()IBMが提供する脅威インテリジェンスプラットフォーム。&br()最新の脅威情報やセキュリティ研究成果を共有します。
-- FireEye&br()セキュリティ会社FireEyeが提供する情報。&br()高度な脅威検知とインシデント対応サービスを提供します。
-- Recorded Future&br()リアルタイムの脅威インテリジェンス。&br()様々なデータソースから脅威情報をリアルタイムで収集し、分析します。
-- ベンダー&br()セキュリティソリューションを提供する企業。&br()セキュリティ製品やサービスを通じて、脅威インテリジェンスを提供します。
-- 公開/個人情報共有センター&br()セキュリティ関連情報の共有。&br()ブログやホームページなど。
-- ISAC&br()情報共有分析センター。&br()特定の業界や地域での脅威情報を共有し、協力して対策を講じます。
-- OSINT(オープンソースインテリジェンス)&br()公開情報から収集するインテリジェンス。
-- AT&T OTX&br()AT&Tの脅威インテリジェンスプラットフォーム。&br()脅威情報をコミュニティと共有します。
-- MISP&br()マルウェア情報共有プラットフォーム。&br()マルウェアに関する情報を共有し、対策を協力して行います。
-- Spamhaus&br()スパムとフィッシングを監視する非営利団体。&br()悪意のある送信者のリストを提供します。
-- VirusTotal&br()ファイルやURLを多数のアンチウイルスエンジンで分析するサービス。&br()ファイルやURLの安全性を検証します。
- その他のリソース&br()その他のセキュリティ情報源
-- 研究機関等定期刊行物&br()定期的に発行されるセキュリティ関連の論文やレポート。&br()最新の研究成果やトレンドを提供します。
-- 学会/カンファレンス&br()専門家が集まるイベントでの情報共有。&br()最新の技術や研究結果を発表し、議論します。
-- RFC&br()インターネット標準に関する文書。&br()新しいプロトコルや標準の提案と説明。規定外の通信を異常として取り扱うなど。
-- ソーシャルメディア&br()ツイッターやフォーラムでの情報交換。&br()リアルタイムで脅威情報やセキュリティニュースを共有します。
- 侵害の戦術・技術・手順・指標&br()脅威の特定と対策に使用される手法
-- TTP&br()攻撃者の戦術、技術、手順。&br()攻撃者の行動パターンを分析し、対策を立てます。&br()攻撃者の具体的な行動パターンを示します。&br()戦術(Tactics)は、攻撃者が達成しようとする全体的な目標を指し、&br()技術(Techniques)はその目標を達成するための手段や方法を示します。&br()手順(Procedures)は、それらの技術をどのように実行するかの詳細な方法を表します。&br()これらの情報を分析することで、セキュリティチームは攻撃の兆候を早期に察知し、適切な対策を講じることができます。
-- IoC(セキュリティ侵害インジケーター)
攻撃の兆候や証拠。侵害の兆候を検知し、迅速に対応します。&br()&br()IoC(Indicators of Compromise)は、システムやネットワークが侵害されたことを示す証拠や兆候です。&br()これには、不審なファイル、異常なネットワークトラフィック、不正なログイン試行などが含まれます。&br()IoCを用いることで、セキュリティチームは早期に侵害を検出し、迅速に対応して被害を最小限に抑えることができます。
- 脅威データフィード&br()脅威情報の標準化と共有
-- STIX(脅威情報構造化記述式)&br()脅威情報の標準フォーマット。
-- OASIS CTIフレームワーク&br()サイバー脅威情報の共有フレームワーク。&br()サイバー脅威情報の標準化と相互運用性を提供します。&br()共通の用語と形式でIoCを定義し、効率的な共有を実現します。
-- AIS(Automated Indicator Sharing)&br()インジケーターの自動共有。&br()自動化されたインジケーター共有システム。&br()米国国土安全保障省によって運営され、脅威情報の迅速かつ安全な共有を促進します。
-- 脅威マップ&br()脅威の地理的分布。世界中の脅威活動を視覚化します。&br()地理的な視点から脅威の発生場所を示し、対策を強化します。
-- ファイル/コードレポジトリ&br()既知のマルウェアコードのシグネチャなど脅威情報を集めたデータベース。
--- VirusTotal&br()ファイルやURLの分析サービス。&br()悪意のあるファイルやURLを検出します。&br()複数のアンチウイルスエンジンを利用して、迅速に脅威を特定します。
-- データベースおよびフィードの脆弱性&br()脆弱性情報の提供。
--- CVE&br()共通脆弱性識別子。&br()公開されている脆弱性のリスト。&br()脆弱性を一意に識別し、詳細情報を提供します。
--- バグバウンティ&br()報奨金を与える脆弱性報告プログラム。&br()セキュリティ研究者が脆弱性を報告し、報酬を得ます。&br()企業はこのプログラムを通じて脆弱性の早期発見と修正を促進します。
- 人工知能と予測分析&br()AI技術の活用
-- AIと機械学習&br()脅威の予測と検知にAI技術を利用。&br()大量のデータを分析し、脅威を予測します。&br()AIと機械学習は、大量のデータを迅速に処理し、脅威を特定するために利用されます。&br()例えば、異常なネットワークトラフィックや不審なアクティビティを検知するために、過去の正常な行動パターンと比較することで異常を検出します。&br()機械学習アルゴリズムは、攻撃の兆候を学習し、新たな脅威をリアルタイムで特定する能力を持ちます。&br()これにより、従来のシグネチャベースの検出方法よりも早期に、かつ高精度で脅威を検知することが可能となります。
-- 予測分析&br()未来の脅威を予測する分析手法。&br()過去のデータを基に、将来の脅威を予測します。&br()予測分析は、過去の攻撃データ、脆弱性情報、ネットワークトラフィックログなどを基に、将来発生しうる脅威を予測します。&br()これにより、企業は事前に防御策を講じることが可能となります。&br()例えば、特定の業界や地域に対する攻撃パターンを分析し、その業界特有の脅威を予測することができます。&br()また、新たに発見された脆弱性を迅速に修正するための優先順位付けにも役立ちます。&br()これにより、リソースを最も必要な場所に効果的に配分することができます。
#endregion
----
#endregion
*** 3 セキュリティ評価
攻撃対象領域を評価するプロセスとそのツール
評価によってどのような攻撃を受けやすいかがわかる。
また、リスク緩和の方針を決定する指標になる。
#region
**** A ネットワーク偵察ツールを使用した�セキュリティ評価
#region
- ipconfig・ping・arp
-- トポロジーディスカバリ/フットプリンティング&br()ネットワーク偵察において、&br()トポロジーディスカバリ(ネットワークの物理的な構造や接続関係を特定する活動)と&br()フットプリンティング(システムやネットワーク環境に関する情報を収集する活動)は重要なステップです。&br()これらの活動は、セキュリティアナリストやペネトレーションテスターがネットワークに関する情報を獲得し、&br()潜在的な脆弱性や攻撃の手がかりを見つけるために行われます。
:トポロジーディスカバリ|ネットワークの物理的なレイアウトやデバイス間の接続を明らかにする活動です。&br()ネットワークスキャナーやトレースルートツールを使用して、ネットワークデバイスやサーバーの位置、IPアドレス、通信経路を特定します。&br()これにより、ネットワークの全体像を把握し、攻撃経路やセキュリティリスクを理解することができます。
:フットプリンティング|システムやアプリケーションに関する情報を収集する活動です。&br()ipconfigやping、arpなどのツールを使用して、ホストのIPアドレスやネットワーク設定情報を取得します。&br()さらに、arpを使ってネットワーク内のデバイスのMACアドレスを調べ、ホストやネットワークデバイスの可用性や稼働状況を把握します。&br()これにより、攻撃者は潜在的な攻撃目標や攻撃の手がかりを見つけることができます。
- コマンドなど
-- ipconfig
-- ping
-- arp
- route・traceroute
-- ルーティング構成/接続性試験
-- tracert
-- traceroute
-- pathping
- IPスキャナー・nmap
-- SNMP
-- Microsoft System Center Product
-- nmap
-- Zenmap
- サービスディスカバリ
-- nmap
--- ハーフオープンスキャン
--- UDPポートスキャン
--- ポートレンジスキャン
--- OSフィンガープリント
---- バナーグラブ
---- プロトコル
---- ポート
---- アプリケーション名とバージョン
---- OSタイプとバージョン
---- デバイスタイプ
---CPE(Common Platform Enumeration)
- netstat・nslookup
-- netstat
-- nslookup/dig
- その他のツール
-- Harvester
-- dnsenum
-- scanless
-- curl
-- Nessus
- Packet Capture・tcpdump
-- スニファ
-- パケット分析
-- プロトコル分析
-- tcpdump
--- Type
--- Direction
--- その他
- Wireshark
-- プロトコルアナライザー
-- トラフィック分析
-- Follow TCP Streamコンテキストコマンド
- パケットインジェクション・リプレイ
-- hping
-- tcpreplay
- 悪用フレームワーク
-- RAT(Remote Access Trojan)
-- metasploit
--- rapid7
--sn1per
--- fireELP
--- RouterSploit
--- BeEF(Browser Expoitation Framework)
--- Zed Attack Proxy(ZAP)
--- Pacu
- netcat
#endregion
**** B 脆弱性タイプと懸念事項
#region
- 脆弱性とパッチ管理
-- OS
-- ファームウェア
- ゼロデイ攻撃とレガシーの脆弱性
-- ゼロデイ脆弱性
-- レガシープラットフォーム
- 脆弱なホスト構成
-- デフォルト設定
-- 脆弱なルートアカウント
-- オープンパーミッション
- 脆弱なネットワーク構成
-- オープンポート/オープンパーミッション
-- 脆弱なプロトコル
-- 脆弱な暗号化
-- エラー
- 脆弱性による影響
-- データ侵害/流出
-- 個人情報盗難
-- データ消失/可用性損失
-- 財務と社会的な影響
- サードパーティリスク
-- ベンダー管理
-- コード開発の委託
-- データストレージ
-- クラウドベースとオンプレミスのリスク
#endregion
**** C 脆弱性スキャン技術
#region
- セキュリティ評価
-- 偵察/Reconnaissance
-- 発見/Discovery
-- セキュリティ評価タイプ
--- 脆弱性評価
--- 脅威ハンティング
--- ペネトレーションテスト
- 脆弱性スキャンのタイプ
-- ネットワーク脆弱性スキャナー
-- アプリケーションスキャナー
-- ウェブアプリケーションスキャナー
-- プロトコルアナライザー
-- ネットワークマッパー
-- ポートスキャナー
-- バナーグラビング
-- ネットワークスキャナー
-- 無許可(ローグ)システム検出
-- 構成コンプライアンススキャナー
-- ステガノグラフィツール
-- データサニテーションツール
- 共通脆弱性識別子(CVE)
-- 脆弱性フィード
--- Nessus/プラグイン
--- OpenVAS/NVT(ネットワーク脆弱性テスト)
-- SCAP(セキュリティ設定共通化手順)
-- CVSS
- 侵入型スキャンと非侵入型スキャン&br()脆弱性スキャンには大きく分けて侵入型(アクティブ)スキャンと非侵入型(パッシブ)スキャンの二種類があります。それぞれのスキャン方法について詳しく説明します。
--アクティブ(侵入型)スキャン&br()アクティブスキャンは、ネットワークやシステムに対して積極的にリクエストを送信し、応答を解析することで脆弱性を検出する方法です。このスキャン方法は、以下の特徴を持ちます:
--- 積極的な問い合わせ: 対象システムに対してリクエストを送り、応答から脆弱性情報を収集します。
--- リアルタイムのデータ収集: 現在のシステム状態や設定の確認が可能です。
--- 高い精度: 非侵入型スキャンよりも正確に脆弱性を特定できます。
--代表的なアクティブスキャンツール:
--- Nmap: ネットワーク探索およびセキュリティ監査ツール。ポートスキャンやサービス識別などの機能を提供。
--- Tenable Nessus: 高度な脆弱性スキャナー。多種多様な脆弱性を検出可能。
-- アクティブスキャンのリスク:
--- システム負荷: 多数のリクエストを送信するため、ネットワークやシステムに負荷がかかることがあります。
--- 検出の可能性: 攻撃のように見えるため、セキュリティシステムに検出されることがあります。
--- 障害の発生: 一部の脆弱なシステムやサービスがダウンするリスクがあります。
-- パッシブ(非侵入型)スキャン&br()パッシブスキャンは、ネットワークトラフィックを監視し、既存のデータから脆弱性を特定する方法です。このスキャン方法の特徴は以下の通りです
--- 監視ベース: システムに対して積極的なリクエストを送信せず、既存のトラフィックやログを分析します。
--- 低侵襲性: システムやネットワークに負荷をかけることなく脆弱性を検出します。
--- 検出の難しさ: アクティブスキャンよりも脆弱性の検出精度は低いですが、検出されにくいという利点があります。
-- 代表的なパッシブスキャンツール:
--- Wireshark: ネットワークプロトコルアナライザー。ネットワークトラフィックをキャプチャし、詳細な分析が可能。
--- tcpdump: コマンドラインベースのパケットキャプチャツール。リアルタイムでパケットをキャプチャし、解析できます。
-- スキャンの侵入性&br()スキャンの侵入性は、スキャンが対象システムにどれだけ影響を与えるかを示します。アクティブスキャンは高侵入性であり、パッシブスキャンは低侵入性です。スキャンの選択は、セキュリティ評価の目的やシステムの許容範囲に応じて行われます。
-- スキャンのリスクとその回避
-- スキャンのリスク:&br()ネットワーク遅延やダウンタイム: アクティブスキャンは大量のリクエストを送るため、ネットワーク遅延や一時的なダウンタイムを引き起こす可能性があります。&br()誤検出(False Positives): スキャン結果には誤検出が含まれる可能性があり、対応に不要なリソースが割かれることがあります。&br()法的および倫理的な問題: 許可なくスキャンを行うと法的トラブルに発展することがあります。
--リスク回避策:
--- 計画的な実施: スキャンは計画的に実施し、重要な業務時間外やメンテナンス期間中に行うようにします。
--- 許可の取得: スキャンを実施する前に、関係者からの許可を得ることが重要です。
--- スキャン設定の調整: スキャンの設定を調整し、ネットワークに対する負荷を最小限に抑えることが必要です。
--- 結果の検証: スキャン結果を検証し、誤検出を排除するためのプロセスを設けます。
- 誤検知・検知漏れ・ログレビュー
- 構成レビュー
-- SCAP
-- OVAL
-- XCCDF
- 脅威ハンティング
-- 助言と情報
-- インテリジェンス統合と脅威データ
-- マニューバー(Maneuver)
#endregion
**** D ペネトレーションテスト
#region
- ペンテスト/倫理的ハッキング
-- 脅威の存在確認
-- セキュリティ管理のバイパス
-- セキュリティ管理のアクティブなテスト
-- 脆弱性の悪用
-- pwn(pwnable)
- 行動規則
-- 攻撃プロファイル
-- バグバウンティ
- 演習タイプ
-- レッドチーム
-- ブルーチーム
-- ホワイトチーム
-- 典型的なプロセス
- パッシブ偵察・アクティブ偵察
-- OSINT
-- ソーシャルエンジニアリング
-- フットプリンティング
-- ウォードライビング
-- ドローン/UAV
- ペンテストのライフサイクル
-- 持続性
-- 特権エスカレーション
-- ラテラルムーブメント
-- ピボット
-- 目的実行
-- クリーンアップ
#endregion
----
#endregion
*** 4 ソーシャルエンジニアリングとマルウェア
セキュリティ評価をするにあたり、情報システム以外にも目を向ける必要があります。
攻撃対象は従業員なども含まれるためです。
不正なアクセスのためのアカウント情報などを詐取すされるリスクがあります。
同僚や顧客がこうした攻撃を検知し報告する仕組みを作りましょう。
#region
**** A ソーシャルエンジニアリング
- ソーシャルエンジニアリング
- ソーシャルエンジニアリングの原則
-- 親密性/好意
-- コンセンサス/社会的証明
-- 権威と萎縮
-- 希少性と緊急性
- なりすまし・信頼
- ダンプスターダイビング・テールゲート
- 個人情報詐欺・請求書詐欺
-- 認証情報データベース
-- ショルダーサーフィン
-- ランチタイム攻撃
- フィッシング・ホエーリング・ビッシング・スミッシング
- スパム・虚偽・プリペンディング
- ファーミング・クレデンシャルハーベスティング
- インフルエンスキャンペーン
**** B マルウェアベースIoC
- マルウェア分類
-- ウィルス・ワーム
-- トロイの木馬
-- PUP (潜在的に望ましくないプログラム)
- コンピュータウィルス
-- 非常駐/ファイルインフェクター
-- メモリ常駐
-- ブート
-- スクリプト/マクロ
-- ポリモーフィック
-- マルチパータイト
- ワームとファイルレスマルウェア
- スパイウェアとキーロガー
-- トラッキングcookie
-- アドウェア
-- スパイウェア
-- キーロガー
- バックドア・RAT (リモートアクセス型鳥の木馬)
- ルートキット
- ランサムウェア・クリプトマルウェア・ロジックボム(論理爆弾)
- マルウェアインジケータ
-- アンチウィルスソフトの通知
-- サンドボックスの実行
-- リソースの消費
-- ファイルシステム
- プロセス分析
#endregion
*** 5 暗号化
暗号化はセキュリティシステムの大部分と担う技術です。
どのような種類の暗号化がCIAの何を担うのかを比較理解し、
その脆弱性を把握する必要があります。
#region
**** A 暗号文
- 暗号化のコンセプト
- ハッシュ化アルゴリズム
- 暗号化と鍵
- 共通鍵暗号方式(対象鍵暗号方式)
- ストリーム暗号・ブロック暗号
-- AES
- 公開鍵暗号方式
-- RSA
- 公開鍵暗号化アルゴリズム
**** B 暗号動作モード
- デジタル署名
-- DSA
--- 楕円曲線暗号方式(ECC)
- デジタルエンベロープ・鍵交換
- デジタル証明書
- Perfect Forward Secrecy
-- DHE(Diffie-Hellman Key agreement)
-- EDHアルゴリズム
-- ECDHE
- 暗号スイート・動作モード
-- CBC
-- カウンターモード
- 認証された動作モード
-- メッセージ認証符号(MAC)
-- AEAD
-- AES-GCM
-- AES-CCM
-- ChaCha-Poly1305
**** C 暗号化のユースケースと脆弱性
- 認証・否認防止をサポート
-- 暗号プリミティブ
- 機密性をサポート
-- ファイル暗号化
-- 転送暗号化
- 完全性と復元力をサポート
- 暗号の性能限界
-- 時間/レイテンシー
-- サイズ
-- コンピューテーショナルオーバーヘッド
-- 特定のユースケース
- 暗号方式のセキュリティの限界
-- エントロピーと弱い鍵
-- TRNG/PRNG
--予測可能性と再利用
- 寿命・暗号化攻撃
- 中間車攻撃・ダウングレード攻撃
- キーストレッチング・ソルト
-- PBKFD2
-- ソルト
- 衝突・誕生日攻撃
**** D その他の暗号化技術
- 量子・ポスト量子
-- 計算
-- 通信
-- ポスト量子
-- 軽量暗号
- 準同型暗号
- ブロックチェーン
- ステガノグラフィ
#endregion
*** 6 公開鍵インフラストラクチャ(PKI)
デジタル証明書とPKIはほとんどの電子サービスで利用される重要な概念です。
機密性や完全性の管理に重要な証明書の種類などを把握しましょう。
#region
**** A 証明書と認証機関
- 公開鍵と秘密鍵の使用
- 認証機関(CA)
- PKI信頼モデル
- 登録認定機関とCSR
- デジタル証明書
- 証明書の属性
- 対象名属性
- 証明書の種類
- Webサーバーの証明書
-- DV
-- EV
- その他の証明書
**** B PKI管理
- 証明書・キー管理
- 証明書の有効期限
- 証明書失効リスト
- OCSP(オンライン証明書プロトコルレスポンダ)
- 証明書のピン留め
- 証明書フォーマット
- 証明書の問題
#endregion
*** 7 認証制御
認証管理・アクセス管理(IAM)の概念を理解し、端末からアカウントを使ったアクセスを識別し認証するプロセスを知りましょう。
#region
**** A 認証設計
- 個人情報・アクセス管理
- 認証要素
- 認証設計
- 多要素認証
- 認証属性
**** B ナレッジベース認証
- ローカルネットワーク・リモート認証
- Kerberos認証
- Kerberos認可
- PAP・CHAP・MS-CHAP
- パスワード攻撃
- ブルートフォース攻撃・辞書攻撃
- パスワードクラッカー
- 認証管理
**** C 認証技術
- スマートカード認証
- 鍵管理デバイス
- 拡張認証プロトコル/IEEE 802.1X
- RADIUS(リモート認証ダイヤルインユーザーサービス)
- TACACS(Terminal Access Controller Access-Control System)
- トークン鍵・静的コード
- オープン認証
- 2段階認証
**** D 生体認証
- 生体認証
- 指紋認証
- 顔認証
- 行動認証技術
#endregion
*** 8 ID・アカウント管理制御
オンプレとクラウドの融合状態により管理するリソースは複雑に分散しています。
包括的なアカウント管理と権限付与は人事や組織ポリシーなども含めた俯瞰した立場から行わなければなりません。
#region
**** A IDとアカウントタイプ
- ID管理制御
- バックグラウンドチェックとオンボーディングポリシー
- 権限管理のための人事ポリシー
- オフボーディングポリシー
- セキュリティアカウントの種類・認証情報管理
- セキュリティグループベース管理
- 管理者・ルールアカウント
- サービスアカウント
- 共有・汎用のデバイスアカウントと認証情報
- SSH鍵とサードパーティ認証情報
**** B アカウントポリシー
- アカウント属性とアクセスポリシー
- パスワードポリシー
- アカウント制御
- アカウント監査
- アカウント権限
- 使用状況監査
- アカウントロック・無効化
**** C 認可ソリューション
- 任意アクセス制御・ロールベースアクセス制御
- ファイルシステム権限
- 強制アクセス制御・属性ベースアクセス制御
- ルールベースアクセス制御
- ディレクトリサービス
- フェデレーション・構成証明
- SAML (セキュリティアサーションマークアップ言語)
- OAuth・OpenIDコネクト
**** D 人事ポリシー
- 行動に関するポリシー
-- 利用規定(AUP)
-- 行動規範とソーシャルメディア分析
-- 職場における個人所有デバイスの使用
-- デスクの整理整頓ポリシー
- ユーザーとロールに基づく訓練
-- 組織のセキュリティポリシーと違反罰則
-- インシデント特定と報告
-- 安全訓練・サイトセキュリティ
-- ドキュメント・データ・個人情報の取り扱い
-- パスワード・アカウント管理
-- ソーシャルエンジニアリングやマルウェアへの意識向上
-- ソフトウェアとSNSのセキュアな利用
-- NIST National Initiative for Cyberscurity Education
--- KSAA
-- NIST SB800-50
- トレーニング技術
-- フィッシングキャンペーン
-- キャプチャーザフラッグ
-- CBTトレーニング
-- ゲーミフィケーション
--- シミュレーション
--- シナリオ
#endregion
*** 9 セキュアネットワーク
ネットワーク基盤はCIAを満たせるように設計されていなければなりません。
ルータ・スイッチ・アクセスポイント・ロードバランサなどの機能や構成について理解しましょう。
#region
**** A セキュアネットワーク設計
- ネットワーク設計
- ビジネスワークフロー・ネットワークアーキテクチャ
- ネットワークアプライアンス
- ルーティング・スイッチング
- ネットワークセグメント
- ネットワークトポロジー/ゾーン
- DMZ (非武装地帯)
- DMZのトポロジー
- IPv6
- その他の検討事項
**** B セキュアスイッチング・ルーティング
- 中間者攻撃とL2攻撃
- ループ防止
- 物理ポートセキュリティ・MACフィルタリング
- NAC (ネットワークアクセス制御)
- ルートセキュリティ
**** C セキュアワイヤレスネットワーク
- 設置に関する検討事項
- コントローラーとアクセスポイントのセキュリティ
- WPA(WiFi Protected Access)
- WiFi認証方法
- WPS(WiFi Protected Setup)
- オープン認証・キャプティブポータル
- IEEE 802.1X
- EAP(拡張認証プロトコル)
- PEAP・EAP-TTLS・EAP-FAST
- RADIUSフェデレーション
- 不正アクセスポイント・エビルツイン
- Disassociation攻撃・リプレイ攻撃
- ジャミング攻撃
**** D ロードバランサー
- DDoS攻撃(分散型サービス拒否攻撃)
- アンプ攻撃・アプリケーション攻撃・OT攻撃
- DDoS攻撃の軽減
- ロードバランシング
- クラスタリング
- QoS(サービスの品質)
#endregion
*** 10 ネットワークセキュリティアプライアンス
ネットワーク設計においてRTやSW以外にも、
ファイアウォール・IPS/IDS・プロキシなどといったアプライアンスを適用することも可能です。
#region
**** A ファイアウォールとプロキシ
- パケットフィルタリングファイアウォール
- ステートフルインスペクションファイアウォール
- ファイアウォールの実装
- プロキシ・ゲートウェイ
- アクセス制御リスト
- NAT (ネットワークアドレス変換)
- 仮想ファイアウォール
- OSSFWと専用ファイアウォール
**** B ネットワーク監視
- IDS
- TAP・ポートミラー
- IPS
- シグネチャ型検知
- ふるまい検知・異常検知
- NGFW・コンテンツフィルター
- HIDS(ホスト型IDS)
- WAF(Web Aplication FireWall)
**** C SIEM運用
- 監視サービス
- SIEM(セキュリティ情報イベント管理)
- ログ収集
- 分析とレポートのレビュー
- ログファイル操作
- 正規表現とgrep
#endregion
*** 11 セキュアな通信プロトコル
HTTPやPOP/SMTP、VoIP、DNS、DHCPなど各種プロトコルは安全なバージョンや設定・管理で利用しましょう。
#region
**** A ネットワークオペレーションプロトコル
- DHCP(ネットワークアドレスの割り当て)
- DNS(ドメイン名前解決)
- セキュアなディレクトリサービス
- NTP(時刻同期)
- SNMP(簡易ネットワーク管理プロトコル)
**** B アプリケーションプロトコル
- HTTP
- SSL/TLS
- WebAPI検討事項
- サブスクリプションサービス
- FTP
- SMTP
- ボイス/ビデオサービス
**** C リモートアクセスプロトコル
- リモートアクセスアーキテクチャ
- TLS/SSL VPN
- IPSec
- IPSecの動作モード
- IKE(インターネット鍵交換)
- L2TP・IKE v2
- VPNクライアント構成
- RDP(リモートデスクトップ)
- アウトオブバウンド管理とジャンプサーバー
- SSH(Secure Shell)
#endregion
*** 12 ホストセキュリティソリューション
PCやラップトップ、スマートフォン、組み込みシステムなどの様々種類のホストセキュリティを把握しましょう。
#region
**** A セキュアファームウェア
- ハードウェアRot(信頼の起点:Root of Trust)
- ブート時の完全性
- ディスクの暗号化
- USB/フラッシュドライブのセキュリティ
- サードパーティのリスク管理
- EoS/EoLなシステム
- 組織的なセキュリティ協定
**** B エンドポイントセキュリティ
- ハードニング
- ベースライン構成・レジストリ設定
- パッチ管理
- エンドポイント保護
- 次世代エンドポイント保護
- ウィルス対策
**** C 組み込みシステムのセキュリティリスク
- 組込みシステム
- 組込みシステムの論理コントローラー
- 組込みシステムの通信に関する考慮事項
- ICS(産業用制御システム)
- IoT(モノのインターネット)
- 工場自動化特化システム
- IT特化システム
- 車両・ドローン特化システム
- 医療デバイス特化システム
- 組込みシステムのセキュリティ
#endregion
*** 13 セキュアモバイルソリューション
モバイル端末が広く業務利用されるにあたって統合的なエンドポイント管理は重要ですね。
#region
**** A モバイルデバイス管理
- モバイルデバイスデプロイモデル
- エンタープライズモビリティ管理
- 企業におけるiOS
- 企業におけるAndroid
- モバイルアクセス制御システム
- リモートワイプ
- デバイスのフル暗号化/外部メディア
- ロケーションサービス
- アプリケーション管理
- コンテンツ管理
- root化/ジェイルブレイク
**** B セキュアモバイルコネクション
- 携帯ネットワーク接続方式とGPS接続方式
- 携帯データ接続
- Wi-FI接続方式・テザリング接続方式
- Bluetooth接続方式
- 赤外線・RFID
- NFC・モバイル決済
- USB接続方式
- SMS/MMS/RCSとプッシュ通知
- ファームウェアのover-the-air更新
- マイクロ波無線接続方式
#endregion
*** 14 セキュアなアプリケーション
DevSecOPSを踏まえたセキュアなソフトウェアの開発の手法についても把握しましょう。
#region
**** A アプリケーション攻撃のインジケータ
- アプリケーション攻撃
- オーバーフロー脆弱性
- nullポインタ逆参照・競合状態
- メモリリーク・リソース不足
- DLLインジェクション・ドライバ操作
- Pass the Hash 攻撃
**** B Webアプリ攻撃のインジケータ
- URL分析
- API攻撃
- リプレイ攻撃
- セッションハイジャック・XSRF(CSRF)
- XSS
- SQLインジェクション
- XML/LDAPインジェクション
- ディレクトリトラバーサル/コマンドインジェクション
- SSRF(サーバーサイドリクエストフォージェリ)
**** C セキュアコーディング
- コーディング技法
- サーバーサイド/クライアントサイドの検証
- Webアプリケーションセキュリティ
- データの漏洩とメモリ管理
- コードの再利用
- その他のコーディング慣行
- 静的コード分析
- 動的コード分析
**** D セキュアなスクリプト実行環境
- スクリプト
- Python
- Powershell
- 実行制御
- 悪意のあるコードのインジケータ
- Powershellの場合
- Bash/Pythonの場合
-- リバースシェル
- マクロ/VBA
- Man-in-the-Browser攻撃
**** E デプロイと自動化
- 開発・デプロイ・自動化
- セキュアな開発環境
- プロビジョニング・デプロビジョニング・バージョン管理
- コードリリースの自動化のパラダイム
- ソフトウェアの多様性
#endregion
*** 15 セキュアクラウドソリューション
物理的な存在が高度に抽象化されているクラウドコンピューティングの普及に伴うセキュリティ要素について把握しましょう。
#region
**** A クラウドサービスと仮想化
- クラウドデプロイモデル
- クラウドサービスも出る
- Anything as a Service
- Security as a Service
- 仮想化テクノロジーとハイパーバイザの種類
- VDIとシンクライアント
- アプリケーションの仮想化とコンテナ技術
- VMエスケープ保護
- VMスプロールの回避
**** B クラウドセキュリティソリューション
- クラウドセキュリティの完全性と監査
- クラウドセキュリティ管理
- クラウドコンピューティングのセキュリティ
- クラウドストレージのセキュリティ
- 高可用性
- クラウドネットワーキングのセキュリティ
- VPCとトランジットゲートウェイ
- VPCエンドポイント
- クラウドファイアウォールのセキュリティ
- セキュリティグループ
- (CASB)クラウドアクセスセキュリティブローカー
**** C Infrastructure as Code(コードとしてのインフラ)
- サービスインテグレーションとマイクロサービス
- サーバーレスアーキテクチャ
- Infrastructure as Code
- SDN(Software Define Network)
- SDV(Software Define Visibility)
- フォッグコンピューティング/エッジコンピューティング
#endregion
*** 16 プライバシー保護
組織にとって最も重要な資産は人であり、その次がデータと言われています。
データとプライバシーを保護するにはどのようにすればよいでしょうか。
#region
**** A センシティビティ
- プライバシーとセンシティブデータ
-- プライバシーセキュリティ
-- 情報ライフサイクル管理
--- 作成/収集
--- 配布/使用
--- 保持
--- 破棄
- データに関する役割と責任
-- データガバナンスポリシー
-- データ所有者
-- データスチュワード
-- データカストディアン
-- データ保護責任者(DPO)
-- データ管理者
-- データ処理者
- データ分類
-- パブリック
-- 機密
-- 極秘
-- 専有
-- プライベート/個人データ
-- 要配慮(センシティブ)
- データタイプ
-- PII(個人を特定できる情報)
-- 顧客データ
-- PHI(医療情報)
-- 財務情報
-- 政府のデータ
- プライバシー通知とデータ保持
-- インパクトアセスメント
-- データ保持
- データ主権と地理的考慮事項
-- データ主権
-- 地理的考慮事項
- プライバシー侵害とデータ侵害
-- 組織的影響
-- 侵害の通知
-- エスカレーション
-- 公示と開示
- データ共有と契約書のプライバシー条項
-- SLA
-- ISA
-- NDA
-- データの共有と使用に関する同意書
**** B データ保護制御
- データ保護
- データの持ち出し
- DLP(データ損失防止)
- IRM(インフォメーションライツマネージメント)
- プライバシー強化技術
- データベース匿名化方式
#endregion
*** 17 インシデント対応
監視システムやユーザーの報告によって検知された問題を調査します。
セキュリティエキスパートの業務のほとんどはこれのことです。
#region
**** A インシデント対応手順
- インシデント対応プロセス
- CSIRT(サイバーインシデント対応チーム)
- 報告計画とステークホルダー管理
- サイバーキルチェーン
- その他のフレームワーク
- インシデント対応訓練
- インシデント対応・障害回復・保持ポリシー
**** B 対応に利用するデータソース
- インシデントの識別
- SIEM
- ロギングプラットフォーム
- ネットワーク・OS・セキュリティのログファイル
- アプリケーションのログファイル
- メタデータ
- ネットワークデータソース
**** C 緩和策
- インシデントの封じ込め
- インシデントの根絶・回復
- ファイアウォールの構成変更
- コンテンツフィルターの構成変更
- エンドポイントの構成変更
- セキュリティのオーケストレーション・自動化・レスポンス
- 敵対的な人工知能
#endregion
*** 18 デジタルフォレンジクス
インシデントの調査と攻撃者特定の実施が必要になることもあります。
インシデント対応では悪性アクティビティの迅速な根絶が目標となりますが、
デジタルフォレンジクスでは法的措置などに利用可能な活動の痕跡を
調査・収集・保全・解析することが求められます。
#region
**** A 文書
- デジタルフォレンジクス主要素
- レポート
- 電子情報開示
- 動画と目撃者の事情聴取
- タイムライン
- イベントログとネットワークトラフィック
- 戦略的インテリジェンス・カウンターインテリジェンス
**** B 証拠取得
- データ収集と揮発性
-- CPUレジスタ・キャッシュメモリ
-- RAM
-- ストレージデバイス
--- パーティション・ファイルシステム
--- スワップスペース・仮想メモリ・システムメモリキャッシュ
--- ブラウザキャッシュ・一時キャッシュ
-- リモートロギング・監視ログ
-- 物理構成・ネットワークトポロジ
-- アーカイブメディア・印刷された文書
- デジタルフォレンジクスのソフトウェア
-- EnCase Forensic / Guidance Software
-- FTK(Forensic Tool Kit) / AccesssData
-- Sleuth Kit・Autopsy
-- WinHex/X-Ways
-- Volatility Framework
- システムメモリの取得
-- ライブ取得
--- WinHEX
--- Memoryze/FireEye
--- F-Response TACTICAL
--- memdump
--- dd
--- pmem/fmem/LIME・/dev/mem
-- クラッシュダンプ
--- \WINDOWS\memory.dmp
--- C:\Windows\Minidumps
-- 休止ファイルとページファイル
- ディスクイメージの取得
- 証拠の保管と完全性
- その他のデータ収集
- クラウド向けデジタルフォレンジクス
#endregion
*** 19 リスク管理
ひとたびインシデントが発生すると経済的か社会的かは問わず何らかの損失が発生します。
損失がどの程度の規模になるかを管理することは重要な関心事の一つでしょう。
組織的な計画を遂行するとき脅威と脆弱性を把握しリスク管理のスコープに捕捉し
適切な是正措置をとれるようにしましょう。
#region
**** A リスク管理プロセス
- リスク管理プロセス
-- 任務上必要不可欠な機能の特定
-- 脆弱性の特定
-- 脅威を特定
-- ビジネスインパクトを分析
-- リスク対応を特定
-- 発生の可能性
-- インパクト
-- ERM(エンタープライズリスク管理)
-- RCSA(リスク制御の自己評価)
- リスクの種類
-- 外部
-- 内部
-- マルチパーティ
-- 知的財産(IP)の盗難
-- ソフトウェアコンプライアンス/ライセンシング
-- レガシーシステム
- 定量的リスク評価
-- SLE(単一損失予想)
-- ALE(年間予測損失額)
-- ARO(年間発生率)
- 定性的リスク評価
-- 資産
--- 交換不可・高価値・中価値・低価値
-- 確率
--- クリティカル・高・中・低
-- ヒートマップ・信号機インパクトマトリックス
-- FIPS199
- JRAM
- CRAMM
- リスク管理戦略
-- 固有リスク
-- リスクの完全な排除は不可能
-- リスク体制
-- リスク緩和・リスク修復
-- リスク抑止・リスク低減
-- ROSI(セキュリティ投資対効果)
- リスク回避・リスク移動
-- リスク回避
-- リスク移動・リスク共有
- リスク許容・リスクアペタイト
-- リスク許容
-- 残存リスクとリスクアペタイト
-- 制御リスク
- リスク認識
-- リスクの登録
**** B ビジネスインパクト分析
- ビジネスインパクト分析
- 任務上必要不可欠な機能(MEF)
-- MTD
-- RTO
-- WRT
-- RPO
- 重要なシステムの確認
-- 資産
--- 人
--- 有形資産
--- 無形資産
--- 手順
-- BPA (ビジネスプロセス分析)
--- 入力
--- ハードウェア
--- 機能をサポートする従業員とその他のリソース
--- 出力
--- プロセスフロー
- 単一障害点(SPoF)
-- MTTF
-- MTBF
-- MTTR
- 障害発生
-- 内部と外部
-- 人工/人為
-- 環境的
-- サイトのリスク評価
- 障害回復計画
-- DRP
- 災害回復計画
-- ウォークスルー・ワークショップ・オリエンテーション・セミナー
-- 机上演習
-- 機能演習
-- フルスケール演習
#endregion
*** 20 サイバーセキュリティレジリエンス
攻撃を受けたとしてもその被害を最小限にする必要があります。
被害を限定的にとどめと即座に復旧するための技術を身につけましょう。
#region
**** A 冗長性戦略
- 高可用性
-- スケーラビリティ
-- エラスティシティ
- 冗長電源
-- ブラウンアウト
-- デュアル電源
-- PDU(管理された電源ユニット)
-- UPS(バッテリーバックアップ・無停電電源装置)
-- 発電機
- ネットワークの冗長性
-- NICチーミング
-- スイッチングとルーティング
-- ロードバランサー
- ディスクの冗長性
-- RAID
-- マルチパス
- 地理的な冗長性・レプリケーション
-- 地理的分散
-- 非同期・同期レプリケーション
-- オンプレミス・クラウド
**** B バックアップ戦略
- バックアップと保持ポリシー
- バックアップの種類
-- 完全バックアップ
-- 増分バックアップ
-- さ分バックアップ
-- コピーバックアップ
- スナップショット・イメージ
- バックアップストレージに関する問題
-- オフサイトストレージ
-- オンライン・オフラインバックアップ
- バックアップメディアの種類
-- ディスク
-- NAS(ネットワークアクセスストレージ)
-- テープ
-- SAN(ストレージエリアネットワーク)とクラウド
- 復元順序
- 非永続的
**** C サイバーセキュリティレジリエンス
- 構成管理
- 資産管理
- 変更制御と変更管理
- サイトの復元
- 多様化と多層防御
- 詐欺と中断の戦略|アクティブディフェンス
-- 詐欺の戦略
--- ハニーポット・ハニーネット・ハニーファイル
-- 中断の戦略
--- 偽装DNSエントリ
--- 囮ディレクトリ/囮Webページ
--- 偽装テレメトリ
--- DNSシンクホール
#endregion
*** 21 物理的セキュリティ
ソーシャルエンジニアリング・ワイヤレスバックドア・モバイルデバイスによるDLPなどの侵害リスクは物理的な保護が重要なセキュリティ事項だということを示しています。
サイト設計や運用から考慮する。
アクセス制御や人為災害・自然災害への耐性についても検討しましょう。
#region
**** A 物理的サイトセキュリティ
- 物理的セキュリティ管理
-- 認証
-- 許可
-- アカウンティング
- サイトレイアウト
- バリケードとゲート
- フェンス
- 照明
- ゲートとロック
-- 従来型
-- 電子錠
-- 生体認証
- IDカードとUSBに対する攻撃
-- カードクローニング
-- スキミング
- 管理システムとセンサー
-- 回路
-- 動作検出
-- ノイズ検出
-- 近接型
-- 脅迫状態
- 警備員とカメラ
-- CCTV(クローズドサーキットテレビジョン)|監視カメラ
-- 動作認識
-- オブジェクト検知
-- ロボットセントリー
-- ドローン/UAV
- 受付とIDバッジ
**** B 物理的ホストセキュリティ
- セキュアなエリア
- エアギャップ・非武装地帯
- 金庫・金庫室
- 保護されたディストリビューションとファラデーゲージ
- 暖房・換気・空調
- ホット/コールドアイル
- 火災の探知・消化
-- ドライパイプ
-- プレアクション
-- ハロン
-- クリーンエージェント
- セキュアなデータ破棄
-- 焼却
-- 裁断/シュレッディング/パルピング
-- 粉砕
-- 消磁(デガウス)
- データサニタイズツール
-- Active KillDisk
- セキュア消去(SE)
-- SATA仕様
-- SAS仕様
-- インスタントセキュア消去(ISE)
--- FIPS140-2,FIPS140-3
#endregion
