Comptia Security+ Lesson - Cyber SEC TSM | サイバーセキュリティTSM

1 セキュリティロールとセキュリティ管理

要求事項評価・セキュリティシステム構築/強化/監視・攻撃対応/抑止を実施します。
セキュリティ機能は部門/ユニット，役割（ロール）によって実行されます。
セキュリティ機能はコンプライアンスとフレームワークによって選ばれ管理されます。

...

A セキュリティロール

...

• 情報セキュリティ

機密性・完全性・可用性くらい知っておこうな！否認防止もあるぞ！

---

• サイバーセキュリティフレームワーク

NISTのフレームワークは以下の5段階に機能を分割します。

識別

リスク・脅威・脆弱性を評価します

保護

セキュリティ要求事項を満たすように、情報資産の入手・開発・インストール・運用・使用・停止のライフサイクルを管理する。

検知

監視・管理を行いあらゆる脅威から保護できることを確認する

対応

脅威を識別し対応実施、根絶を図ります

回復

攻撃耐性を維持し、攻撃を受けた場合にも直ちに復旧する

---

情報セキュリティ能力

開発から人材調達からガバナンス策定までなんでもやろう！

• リスク評価
• システムテスト
• セキュアなリソースの選定・調達・インストール・構築
  • リソース：デバイスもソフトウェアも
• アクセス制御・権限管理とドキュメンテーション
• ログ監視・インシデントレスポンス・レポーティング
• BCP策定・障害回復計画(サイバーレジリエンス)の手順の立案・計画・訓練
• セキュリティトレーニングや教育プログラムの実施・参加

---

• 役割と責任
  • CSO (チーフセキュリティオフィサー)/CISO（チーフインフォメーションセキュリティオフィサー）/セキュリティ部長
    • 彼らが運営する部門では責任を取るために日夜戦略策定が繰り広げられている。歴史的には情シス部門とか総務・経理・庶務部門とかの業務が拡張されて、責任が増えていることもあるとかないとか。
  • 管理者
    • 構築管理とか情シスとか経理とか部門単位に一人置いておく人。
  • 技術・専門スタッフ
    • 実際に守るために手を動かす係。ソルジャー。強くなるとISSO (情報システムセキュリティオフィサー)という肩書きをつけることもあるらしい[要出典]ポリシー実行・維持・監視の責任を持ち、システムとかネットワークに詳しかったりする。または、この責任を専門的に遂行する人材を用意することも。
  • 非技術スタッフ
    • 守るべき無辜の民。定められた組織のポリシーと法令は守ってね。

取締役やオーナーは外部の責任・注意・義務遂行を担うけど、
結局困るのは自分だから一定の責任は自分で取るんだぞ。

---

セキュリティユニット

組織内のセキュリティ機能を実行する専門のチームがあったり委託したりするやつ。

• 特に主要な組織
  • SOC(セキュリティオペレーションセンター)
    • セキュリティ専門のメンバーが組織の情報資産のやり取りを集約して保護・監視・検知したりするところ。正味SIEMでのSyslog収集とログ解析とレポーティングしてる。あとは、新しい攻撃の調査と検知方法の策定とか。　　
  • DevSecOps
    • まずDevOpsという、開発と運用を一体化する取り組みがある。共通のシステムの開発組織と運用組織を一体化させることで，システム改善の効率を高める取り組みのことでクラウドサービスのような広範なユーザーにメリットがあるものを包括的に取り扱うことで効率化できる考え方ですよと。DevSecOpsはそこにセキュリティ領域の機能も統合しシフトレフトにより、設計・開発など上流からセキュリティ要件を加えることでサービス全体をよりセキュアにすることを試むものです。
  • CSIRT/コンピュータセキュリティインシデントレスポンスチーム/CIRT(サイバーインシデントレスポンスチーム)/CERT(コンピュータエマージェンシーレスポンスチーム)
    • セキュリティインシデントを報告する連絡先。SOCに内包されてたり独立組織になっていることもある。報告を受けたらその問題を迅速に根絶するために頑張る。

---

B セキュリティの管理とフレームワーク

...

• セキュリティ管理のカテゴリ

技術的

技術的管理策は、システムやネットワークに対するセキュリティ対策を提供します。これには、暗号化、アクセス制御、ファイアウォール、侵入検知システム（IDS）などが含まれます。

運用的

運用的管理策は、組織の日常運営におけるセキュリティ対策を提供します。これには、セキュリティポリシーの策定、セキュリティ教育、インシデントレスポンス計画などが含まれます。

経営的

経営的管理策は、セキュリティ対策の全体的な方向性や方針を決定するための管理策を提供します。これには、リスク評価、セキュリティ監査、コンプライアンス管理、セキュリティ予算の配分などが含まれます。

---

• セキュリティ管理の機能タイプ

予防的

予防的管理策は、セキュリティインシデントが発生するのを未然に防ぐための対策です。これには、アクセス制御、セキュリティポリシーの実施、ユーザー認証、ウイルス対策ソフトの導入などが含まれます。

検知的

検知的管理策は、セキュリティインシデントが発生した場合にそれを迅速に検知するための対策です。これには、監視システム、侵入検知システム（IDS）、ログ管理、ネットワークトラフィック分析などが含まれます。

是正的

是正的管理策は、セキュリティインシデントが発生した後にその影響を最小限に抑え、システムを正常な状態に戻すための対策です。これには、バックアップとリストア、インシデントレスポンス計画、パッチ管理などが含まれます。

物理的

物理的管理策は、物理的な資産や施設を保護するための対策です。これには、アクセス制御システム、防犯カメラ、物理的な障壁、セキュリティガードなどが含まれます。

抑止的

抑止的管理策は、セキュリティインシデントの発生を抑制するための対策です。これには、セキュリティ教育、監視カメラの設置、明示的なセキュリティポリシーの表示などが含まれます。

補正的

補正的管理策は、既存のセキュリティ対策が不十分な場合にそれを補完するための対策です。これには、定期的なセキュリティレビュー、追加のセキュリティコントロールの導入、システムの改良などが含まれます。

---

• NISTサイバーセキュリティフレームワーク(CSF)
  • 米国国立標準技術研究所（NIST）が開発したサイバーセキュリティ管理のためのフレームワークです。組織がリスクを管理し、対応するための構造を提供します。CSFは5つの主要な機能で構成されています。

識別（Identify）

組織のビジネスコンテキスト、リソース、リスクを理解するプロセスです。資産、データ、ビジネス環境、リスク管理、ガバナンスなどを特定します。

防御（Protect）

インシデントが発生するのを防ぐための適切な安全対策を実装します。アクセス制御、トレーニング、データセキュリティ、情報保護プロセスなどが含まれます。

検知（Detect）

インシデントを迅速に検出するためのプロセスと手段を確立します。監視、アラート、検知プロセスの改善が含まれます。

対応（Respond）

検出されたインシデントに効果的に対応するための計画を策定し、実行します。対応計画、コミュニケーション、分析、軽減策の実行、改善が含まれます。

復旧（Recover）

インシデントからの復旧を迅速に行い、通常の業務運営を再開します。復旧計画の実行、改善活動、回復能力の向上が含まれます。

NIST CSFは、これらの機能を統合的に利用して、組織全体のセキュリティ体制を強化します。各機能はさらに細分化され、具体的なカテゴリとサブカテゴリに分かれており、組織が自分たちのニーズに合わせてカスタマイズできる柔軟性を持っています。

---

• ISOとクラウドフレームワーク
  • ISO 27K (ISO 2700X)

情報セキュリティ管理システム（ISMS）に関する規格です。国際標準化機構（ISO）と国際電気標準会議（IEC）が共同で策定しています。以下に主要な規格を示します。

ISO 27001

情報セキュリティ管理システム（ISMS）の要求事項を規定。組織が情報資産を適切に保護するためのフレームワークを提供します。

ISO 27002

ISO 27001を補完するもので、情報セキュリティ管理の実践規範を提供。具体的な管理策とその実施方法を示します。

ISO 27017

クラウドサービスにおける情報セキュリティ管理のガイドライン。クラウドサービスプロバイダーとクラウドサービス顧客の双方に適用されます。

ISO 27018

パブリッククラウドにおける個人識別情報（PII）の保護に関する実践規範。クラウドサービスプロバイダーがPIIを適切に取り扱うためのガイドラインを提供します。

ISO 27701

プライバシー情報管理システム（PIMS）の要求事項を規定。ISO 27001とISO 27002を基に、個人データの保護に焦点を当てたフレームワークを提供します。

• ISO 31K (ISO 3100X)

ISO 31Kシリーズは、リスクマネジメントに関する規格です。組織がリスクを識別、評価、管理するためのフレームワークを提供します。

• クラウドセキュリティアライアンス (CSA)

クラウドコンピューティングにおけるセキュリティを確保するための標準とベストプラクティスを推進する非営利団体です。
以下に主要なフレームワークを示します。

セキュリティガイダンス

クラウドコンピューティングにおけるセキュリティ管理策の包括的なガイドラインを提供。クラウド導入の際のリスクと対策を詳細に解説します。

エンタープライズリファレンスアーキテクチャ

クラウドコンピューティングにおけるセキュリティアーキテクチャのフレームワークを提供。企業がクラウドサービスを安全に利用するための設計原則とベストプラクティスを示します。

クラウドコントロールマトリックス (CCM)

クラウドセキュリティコントロールのフレームワークを提供。セキュリティコントロールをクラウドサービスのリスクに対応させるための詳細なマトリックスを示します。

これらの規格とフレームワークは、組織が情報セキュリティとリスクマネジメントを効果的に実施するための基盤を提供します。クラウド環境においても、適切なセキュリティ対策を実装するための指針となります。

---

• 証明業務基準書(SSAE) / サービス組織統制(SOC)

証明業務基準書（Statement on Standards for Attestation Engagements）

米国公認会計士協会（AICPA）が制定した証明業務の基準です。これに基づいて、会計士がクライアントの財務情報やシステムに対して信頼性のある証明を行います。

TSC（Trust Services Criteria）

SSAEの一部で、特にクラウドサービスやITサービスなどの受託業務に対するセキュリティ、可用性、処理の完全性、機密性、およびプライバシーに関する基準を提供します。これらは、サービス組織が提供するサービスに対する信頼性を評価するための基準です。

サービス組織統制（System and Organization Controls）

サービス提供組織が内部統制に関してどのように管理しているかを評価するための報告書です。SOC報告書は、SSAE基準に基づいて作成され、以下の3種類があります。

SSAE 16（SOC 1）
財務報告に影響を与える内部統制を評価。主にサービス組織の内部統制がクライアントの財務報告に与える影響を対象としています。

• SOC 1

対象

財務報告に関連する内部統制

目的

クライアント企業が財務報告を行う上で、サービス提供組織の内部統制が適切であることを確認する

• 報告書のタイプ

タイプ1

特定時点での内部統制の設計

タイプ2

特定期間における内部統制の設計および運用の有効性

SSAE 18（SOC 2、SOC 3)
セキュリティ、可用性、処理の完全性、機密性、およびプライバシーに関する内部統制を評価。主にITおよびクラウドサービスの信頼性を評価します。

• SOC 2

対象

セキュリティ、可用性、処理の完全性、機密性、プライバシーに関する内部統制

目的

サービス提供組織のシステムが顧客のデータをどのように保護しているかを評価する

• 報告書のタイプ

タイプ1

特定時点での内部統制の設計

タイプ2

特定期間における内部統制の設計および運用の有効性

• SOC 3

対象

SOC 2と同様の基準

目的

SOC 2の基準に基づき、一般公開向けにサービス提供組織のシステムの信頼性を証明する

• 報告書のタイプ

SOC 3は要約版であり、詳細な報告書ではなく、広く一般に公開されるためのもの

SSAEとSOC報告書は、企業がサービス提供組織の内部統制やシステムの信頼性を評価するための重要な手段です。これにより、顧客や利害関係者はサービス提供組織の信頼性やデータ保護の状況を把握することができます。

---

• ベンチマークとセキュア構成ガイド

ITサービス立案を俯瞰的にとらえるのがフレームワークだが、詳細な実行ガイドというわけではない。ベンチマークとセキュア構成ガイドはそれらをカバーする。

CIS（インターネットセキュリティセンター）

セキュリティベンチマークとガイドラインを提供する組織です。以下のリソースやガイドを提供しています。

SANS Institute

情報セキュリティのトレーニングと認証を提供する非営利組織で、CISのベンチマークとガイドの策定に貢献しています。

The 20 CIS Controls

20の基本的なセキュリティ対策（CISコントロール）は、組織がサイバーセキュリティリスクを軽減するためのベストプラクティスを提供します。

CIS-RAM

CISリスクアセスメントメソドロジー（CIS-RAM）は、組織がリスクを評価し、適切なセキュリティ対策を実施するためのフレームワークです。

• ベンチマーク策定

CISは、さまざまな基準に基づいたセキュリティベンチマークを策定しています。

PCI DSS

支払いカード業界データセキュリティ基準。カード会員データを保護するための要件。

NIST 800-53

NISTのセキュリティとプライバシーの管理基準。連邦情報システムのセキュリティ管理。

SOX

サーベンス・オクスリー法。企業の財務報告の透明性を確保するための規制。

ISO 27K

ISO/IEC 27000シリーズ。情報セキュリティ管理の国際標準。

• OS・ネットワーク機器・ベンダー別ガイド

OSやネットワーク機器、ベンダーはそれぞれベストプラクティスな構成を示すガイドを提供していることが多い。
また、特定の組織がガイドラインを提供していることもあります。

国防省
サイバーエクスチェンジセキュリティガイドラインやSTIG（セキュリティ技術実装ガイド）は、システムやアプリケーションのセキュリティ構成を標準化するためのガイドラインを提供しています。

NIST
情報技術とサイバーセキュリティのための多くのガイドラインとベストプラクティスを提供しています。
NCP（National Checklist Program）は、セキュアな構成管理を促進するためのチェックリストを提供するプログラムです。

• Webアプリケーションサーバー

クライアントとデータベースの間でアプリケーションロジックを提供するミドルウェアの役割を果たします。
企業のITインフラストラクチャにおいて重要な役割を果たし、そのセキュリティ管理は極めて重要です。

• セキュリティ管理のポイント

アクセス制御

アプリケーションサーバーへのアクセスを制限し、適切な認証と認可を設定します。

データ暗号化

通信データの暗号化を行い、データの機密性を保護します。

パッチ管理

最新のセキュリティパッチを適用し、既知の脆弱性を修正します。

監視とログ管理

サーバーの活動を監視し、不正なアクセスや異常な活動を検知するためのログを管理します。

• OWASP（Open Web Application Security Project)

ウェブアプリケーションのセキュリティを向上させるための非営利団体であり、さまざまなリソースとフレームワークを提供しています。
特に「OWASP Top Ten」は、ウェブアプリケーションの最も重大なセキュリティリスクをリスト化し、対策を推奨しています。

• OWASP Top Ten

1. インジェクション

SQLインジェクションやコマンドインジェクションなど、悪意のある入力をアプリケーションが誤って実行する脆弱性。

2. 認証の不備

認証メカニズムの欠陥や弱点により、不正アクセスが可能になるリスク。

3. 機密データの露出

機密データが適切に保護されていない場合、情報漏洩のリスクが高まる。

4. XML外部エンティティ（XXE）

外部エンティティを含む不正なXML入力により、内部システムが攻撃される脆弱性。

5. アクセス制御の不備

ユーザーの権限を超える操作が可能となるアクセス制御の欠陥。

6. セキュリティ設定ミス

セキュリティ設定の誤りやデフォルト設定のまま使用することによる脆弱性。

7. *クロスサイトスクリプティング（XSS）

悪意のあるスクリプトがウェブページに埋め込まれ、ユーザーのブラウザで実行される脆弱性。

8. 不十分なインテグレーション

外部ライブラリやフレームワークの脆弱性を引き継ぐリスク。

9. 安全でないデシリアライゼーション

信頼できないデータのデシリアライゼーションにより、リモートコード実行などの脅威が発生する。

10. 十分なロギングと監視の欠如

セキュリティイベントのログ記録と監視が不十分で、攻撃の検知と対応が遅れるリスク。

• OWASPのリソース
  • OWASP ZAP（Zed Attack Proxy） : ウェブアプリケーションの脆弱性をテストするためのオープンソースツール。
  • OWASP ASVS（Application Security Verification Standard）: ウェブアプリケーションのセキュリティ要件と検証プロセスを標準化したガイドライン。
  • OWASP Cheat Sheets:開発者が直面するセキュリティ課題に対する具体的な解決策を提供するリファレンス。

アプリケーションサーバーのセキュリティ管理は、アクセス制御、データ暗号化、パッチ管理、監視とログ管理が重要です。
一方、OWASPはウェブアプリケーションセキュリティのフレームワークとして、具体的な脅威とその対策を提供しています。
特に「OWASP Top Ten」は、ウェブアプリケーション開発における基本的なセキュリティリスクの理解と対策に不可欠です。
これらのリソースとガイドラインを活用することで、組織はセキュアなアプリケーションサーバーとウェブアプリケーションを構築・運用できます。

---

規則，標準，法令
各国の法律や規則の要求事項、業界固有の規則の順守を実証するためにフレームワーク・ベンチマーク・構成ガイドが利用されることがあります。デューデリジェンスを満たすために各種ポリシーを達成する必要があります。

• SOX法

米国の上場企業に対する会計および財務報告の透明性を高めるための法律です。
セクション404では、内部統制の有効性を評価し、報告することを要求しています。

FISMA (連邦情報セキュリティ管理法)
米国連邦政府の情報システムのセキュリティを確保するための法律で、
連邦機関に対してリスク管理とセキュリティプログラムの実施を要求しています。

GDPR (一般データ保護規則)
EUにおける個人データの保護を規定した法律で、個人データの収集、処理、保存、削除に関する厳格な規則を設定しています。
データ主体の権利を強化し、違反に対して高額な罰金を科しています。

国家などの法律
各国の独自のデータ保護法や情報セキュリティ規制を指し、国ごとに異なる要件があります。

これには、各国のプライバシー法、データ保護法、サイバーセキュリティ法などが含まれます。

GLBA(グラム・リーチ・ブライリー法)
米国の金融機関に対するプライバシー保護を規定した法律で、顧客情報の保護、通知義務、および情報共有の制限を求めています。

水平型の個人データ保護規則
複数の業界にわたる個人データ保護のための規則で、特定の地域や国全体で適用されます。

CCPA(カリフォルニア消費者プライバシー法)
カリフォルニア州の消費者に対するプライバシー保護を規定した法律で、消費者の個人データの収集、利用、販売について厳格な規則を設けています。消費者にはデータアクセス権や削除権が付与されています。

HIPAA (医療保険の相互運用性と責任に関する法律)
米国の医療機関および保険会社に対するプライバシー保護を規定した法律で、患者情報の保護とセキュリティ要件を定めています。

PCI DSS (ペイメントカード業界データセキュリティ基準)
クレジットカード業界によって策定されたセキュリティ基準で、カード保有者データの取り扱いや保存に関する具体的な要件を定めています。これにより、データ漏洩や不正アクセスを防止します。

---

2 攻撃者と脅威インテリジェンス

攻撃者の属性やTTPを理解するのは保護と同程度に大切です。

...

A 攻撃者のタイプと攻撃ベクター

...

• 脆弱性・脅威・リスク

脆弱性 × 脅威 = リスク
脆弱性とはシステムやネットワークの弱点を指し、
脅威はその弱点を利用して損害を与える可能性を意味します。
これらを組み合わせることでリスクが生じます。

攻撃者の属性

攻撃者の属性は多岐にわたり、それぞれの特徴を理解することで、適切な防御策を講じることができます。

• 内部/外部

内部攻撃者は組織内の関係者（従業員、契約者など）であり、
外部攻撃者は組織外の関係者（ハッカー、競合者など）です。

• 意図/動機

攻撃者の意図や動機は、金銭的利益、情報収集、破壊活動、政治的・社会的目的など多岐にわたります。

• 巧妙さ/能力/リソース/財源

攻撃者のスキルや利用可能なリソース、資金によって、攻撃の複雑さや規模が異なります。

攻撃者の種類

攻撃者のタイプに応じて、攻撃方法や動機が異なります。

• ハッカー（クラッカー）/スクリプトキディ/ハクティビスト
• ハッカー（クラッカー）は高度な技術を持つ攻撃者
• スクリプトキディは既製のツールを使って攻撃を行う初心者です。
• ハクティビストは政治的・社会的目的でハッキングを行います。

国家的アクター/APT攻撃

国家的アクターは国家の支援を受けた攻撃者

APT（Advanced Persistent Threat）攻撃を行い、

長期間にわたってターゲットに潜伏し、情報を収集します。

犯罪シンジケート/競合者(組織・企業・団体)

犯罪シンジケートは組織化された犯罪集団

競合者はビジネス上の利益を狙って攻撃を行います。

インサイダー攻撃者

インサイダー攻撃者は組織内部の関係者で、

内部の情報やシステムに対するアクセス権を利用して攻撃を行います。

攻撃対象と攻撃ベクター

攻撃者は特定のターゲットを狙い、さまざまな攻撃ベクター（方法）を用いて攻撃を実行します。

攻撃ベクター	説明
ダイレクトアクセス	物理的にシステムにアクセスして情報を盗む手法です。 ロックされていない端末を使用されたり，ブートディスクなどで悪意のあるツールのインストールを試みたり、機器を盗もうとします。
リムーバブルメディア	USBドライブや外付けハードドライブなどのリムーバブルメディアを介してマルウェアを広める方法です。 挿すだけで感染できるマルウェアなどもあります。
電子メール	フィッシングやマルウェアを添付したメールを送信し、受信者がリンクをクリックしたり、添付ファイルを開いたりすることで攻撃を実行します。
リモート/ワイヤレス	リモートアクセスやWi-Fiを利用した攻撃方法です。 認証情報の詐取、プロトコルの脆弱性を突くなどします。 その他、APになりすましてアカウント情報を奪うこともあります。
サプライチェーン攻撃	供給業者やパートナー企業を経由して攻撃を仕掛ける方法です。
ウェブ/ソーシャルメディア	ウェブサイトやソーシャルメディアプラットフォームを利用して、悪意のあるリンクやコンテンツを拡散させる方法です。 脆弱ばブラウザに対するドライブバイダウンロード攻撃やOSINTのソーシャルエンジニアリングによる攻撃活用、危険なリンクを設置するなど
クラウド	クラウドサービスの脆弱性を突いて攻撃を行います。%br()またはCSPを侵害したり、管理者アカウントの詐取を試みる可能性もあります。

巧妙な攻撃者
スマッシュアンドグラブ(ガラスケースを叩き壊して素早く奪い去る強盗)のような単一攻撃を避け、複数段階によるキャンペーンを展開します。
これにより、攻撃者はターゲットに対する持続的かつ複雑な攻撃を行い、最終的な目的を達成します。

B 脅威インテリジェンスと情報源

...

• 脅威調査リソース
  脅威アクターとそのTTPsを発見するための活動
  • セキュリティサービス提供顧客のログ
    サービスを提供している顧客のログから脅威を分析。
    顧客のセキュリティログを分析し、潜在的な脅威や攻撃パターンを特定します。
  • ハニーネット
    実際の攻撃を誘発させるための仮想ネットワーク。攻撃者の手法やツールを収集。
    意図的に脆弱なシステムを構築し、攻撃者を引き寄せて、その行動や技術を研究します。
  • ダークネット
    通常のインターネットとは異なる匿名性の高いネットワーク。
    • Tor
      匿名通信を可能にするネットワーク。
      通信を複数の中継ノードを通して暗号化することで、送信元を隠します。
    • Freenet
      検閲抵抗性のある分散型ファイル共有ネットワーク。
      データを分散保存し、検閲や追跡を困難にします。
    • I2P
      低レイテンシの匿名ネットワーク層。
      通信を匿名化し、プライバシーを保護します。
  • ダークウェブ
    特定のブラウザが必要でアクセスが制限されたウェブの一部。
    • 口コミ(World of Mouth)
      口コミなどで情報が広がる方式。
      信頼できる人からの口コミによって情報が伝わります。
    • 掲示板
      ダークウェブには、さまざまなフォーラムや掲示板が存在し、ユーザーが匿名で情報を共有します。
      • Hidden Wiki
        ダークウェブ上のさまざまなリンクを集めたディレクトリ。
        ここで他の掲示板やマーケットプレイスへのリンクが見つかることが多いです。
      • ブラックマーケットフォーラム
        非合法取引やハッキング情報が共有されるフォーラム。
        ここでは、ハッキングツール、データ販売、サイバー犯罪に関する情報がやり取りされます。

• 脅威インテリジェンスプロバイダー
  脅威に関する情報を提供するサービスや機関
  • 脅威行動リサーチ
    脅威アクターの行動パターンを研究。
    攻撃者の技術や戦術、手順を分析し、脅威のトレンドを把握します。
  • レピュテーション脅威インテリジェンス
    ドメインやIPアドレスの信頼性評価。
    悪意のあるIPアドレスやドメインを特定し、通信をブロックします。
  • 脅威データ
    脅威に関するデータベースの提供。
    攻撃や脆弱性に関する最新情報を収集し、分析します。

脅威データはSIEMなどで検知ルールやリファレンス情報として整理し各種通信と関連づけることで実際の脅威発見に役立てることができます。
こうした整理された情報はCTI(サイバー脅威インテリジェンス)と呼ばれ、関連付けすることでインシデント検知などに役立てます。

• 供給源の例
  • クローズド/プロプライエタリ
    特定企業や団体が提供する有料の情報。
  • IBM X-Force Exchange
    IBMが提供する脅威インテリジェンスプラットフォーム。
    最新の脅威情報やセキュリティ研究成果を共有します。
  • FireEye
    セキュリティ会社FireEyeが提供する情報。
    高度な脅威検知とインシデント対応サービスを提供します。
  • Recorded Future
    リアルタイムの脅威インテリジェンス。
    様々なデータソースから脅威情報をリアルタイムで収集し、分析します。
  • ベンダー
    セキュリティソリューションを提供する企業。
    セキュリティ製品やサービスを通じて、脅威インテリジェンスを提供します。
  • 公開/個人情報共有センター
    セキュリティ関連情報の共有。
    ブログやホームページなど。
  • ISAC
    情報共有分析センター。
    特定の業界や地域での脅威情報を共有し、協力して対策を講じます。
  • OSINT（オープンソースインテリジェンス）
    公開情報から収集するインテリジェンス。
  • AT&T OTX
    AT&Tの脅威インテリジェンスプラットフォーム。
    脅威情報をコミュニティと共有します。
  • MISP
    マルウェア情報共有プラットフォーム。
    マルウェアに関する情報を共有し、対策を協力して行います。
  • Spamhaus
    スパムとフィッシングを監視する非営利団体。
    悪意のある送信者のリストを提供します。
  • VirusTotal
    ファイルやURLを多数のアンチウイルスエンジンで分析するサービス。
    ファイルやURLの安全性を検証します。

• その他のリソース
  その他のセキュリティ情報源
  • 研究機関等定期刊行物
    定期的に発行されるセキュリティ関連の論文やレポート。
    最新の研究成果やトレンドを提供します。
  • 学会/カンファレンス
    専門家が集まるイベントでの情報共有。
    最新の技術や研究結果を発表し、議論します。
  • RFC
    インターネット標準に関する文書。
    新しいプロトコルや標準の提案と説明。規定外の通信を異常として取り扱うなど。
  • ソーシャルメディア
    ツイッターやフォーラムでの情報交換。
    リアルタイムで脅威情報やセキュリティニュースを共有します。

• 侵害の戦術・技術・手順・指標
  脅威の特定と対策に使用される手法
  • TTP
    攻撃者の戦術、技術、手順。
    攻撃者の行動パターンを分析し、対策を立てます。
    攻撃者の具体的な行動パターンを示します。
    戦術（Tactics）は、攻撃者が達成しようとする全体的な目標を指し、
    技術（Techniques）はその目標を達成するための手段や方法を示します。
    手順（Procedures）は、それらの技術をどのように実行するかの詳細な方法を表します。
    これらの情報を分析することで、セキュリティチームは攻撃の兆候を早期に察知し、適切な対策を講じることができます。
  • IoC（セキュリティ侵害インジケーター）

   攻撃の兆候や証拠。侵害の兆候を検知し、迅速に対応します。&br()&br()IoC（Indicators of Compromise）は、システムやネットワークが侵害されたことを示す証拠や兆候です。&br()これには、不審なファイル、異常なネットワークトラフィック、不正なログイン試行などが含まれます。&br()IoCを用いることで、セキュリティチームは早期に侵害を検出し、迅速に対応して被害を最小限に抑えることができます。

• 脅威データフィード
  脅威情報の標準化と共有
  • STIX（脅威情報構造化記述式）
    脅威情報の標準フォーマット。
  • OASIS CTIフレームワーク
    サイバー脅威情報の共有フレームワーク。
    サイバー脅威情報の標準化と相互運用性を提供します。
    共通の用語と形式でIoCを定義し、効率的な共有を実現します。
  • AIS（Automated Indicator Sharing）
    インジケーターの自動共有。
    自動化されたインジケーター共有システム。
    米国国土安全保障省によって運営され、脅威情報の迅速かつ安全な共有を促進します。
  • 脅威マップ
    脅威の地理的分布。世界中の脅威活動を視覚化します。
    地理的な視点から脅威の発生場所を示し、対策を強化します。
  • ファイル/コードレポジトリ
    既知のマルウェアコードのシグネチャなど脅威情報を集めたデータベース。
    • VirusTotal
      ファイルやURLの分析サービス。
      悪意のあるファイルやURLを検出します。
      複数のアンチウイルスエンジンを利用して、迅速に脅威を特定します。
  • データベースおよびフィードの脆弱性
    脆弱性情報の提供。
    • CVE
      共通脆弱性識別子。
      公開されている脆弱性のリスト。
      脆弱性を一意に識別し、詳細情報を提供します。
    • バグバウンティ
      報奨金を与える脆弱性報告プログラム。
      セキュリティ研究者が脆弱性を報告し、報酬を得ます。
      企業はこのプログラムを通じて脆弱性の早期発見と修正を促進します。

• 人工知能と予測分析
  AI技術の活用
  • AIと機械学習
    脅威の予測と検知にAI技術を利用。
    大量のデータを分析し、脅威を予測します。
    AIと機械学習は、大量のデータを迅速に処理し、脅威を特定するために利用されます。
    例えば、異常なネットワークトラフィックや不審なアクティビティを検知するために、過去の正常な行動パターンと比較することで異常を検出します。
    機械学習アルゴリズムは、攻撃の兆候を学習し、新たな脅威をリアルタイムで特定する能力を持ちます。
    これにより、従来のシグネチャベースの検出方法よりも早期に、かつ高精度で脅威を検知することが可能となります。
  • 予測分析
    未来の脅威を予測する分析手法。
    過去のデータを基に、将来の脅威を予測します。
    予測分析は、過去の攻撃データ、脆弱性情報、ネットワークトラフィックログなどを基に、将来発生しうる脅威を予測します。
    これにより、企業は事前に防御策を講じることが可能となります。
    例えば、特定の業界や地域に対する攻撃パターンを分析し、その業界特有の脅威を予測することができます。
    また、新たに発見された脆弱性を迅速に修正するための優先順位付けにも役立ちます。
    これにより、リソースを最も必要な場所に効果的に配分することができます。

---

3 セキュリティ評価

攻撃対象領域を評価するプロセスとそのツール
評価によってどのような攻撃を受けやすいかがわかる。
また、リスク緩和の方針を決定する指標になる。

...

A ネットワーク偵察ツールを使用したセキュリティ評価

(Security Assessment Using Network Reconnaissance Tools)

本セクションでは、CompTIA Security+において頻出となる

ネットワーク偵察（Network Reconnaissance）**を目的としたツールと手法を整理する。

ネットワーク偵察は、

攻撃前活動（Reconnaissance）**および

防御側の可視化・診断活動の両方で用いられる。

A-1 ネットワーク偵察の位置づけ

ネットワーク偵察は以下の目的で実施される。

ネットワーク構成の把握

ホスト・サービスの特定

通信経路・依存関係の理解

潜在的な攻撃面（Attack Surface）の洗い出し

Security+では
「どのツールで、何が分かるか」 を問われる。

A-2 トポロジーディスカバリとフットプリンティング

* トポロジーディスカバリ（Topology Discovery）

トポロジーディスカバリとは、
ネットワークの構造・接続関係・通信経路を明らかにする活動である。

取得できる情報：

ネットワークセグメント

ルータ・ゲートウェイ

通信経路

中継ノード

主なツール：

tracert

traceroute

pathping

nmap（トレース機能）

* フットプリンティング（Footprinting）

フットプリンティングとは、
システム・ネットワークに関する基本情報を収集する活動である。

取得できる情報：

IPアドレス

サブネット

デフォルトゲートウェイ

MACアドレス

DNS情報

主なツール：

ipconfig

ping

arp

nslookup

dig

A-3 基本ネットワークコマンド

* ipconfig

ipconfigは、
ローカルホストのネットワーク設定を確認するコマンドである。

主な確認項目：

IPアドレス

サブネットマスク

デフォルトゲートウェイ

DNSサーバ

* ping

pingは、
ICMPを用いた疎通確認ツールである。

用途：

ホストの生存確認

遅延・パケットロス確認

Security+では
「pingが通らない理由」を問う問題が頻出。

* arp

arpは、
IPアドレスとMACアドレスの対応関係を確認する。

用途：

ローカルネットワーク内のホスト把握

ARPスプーフィングの検出補助

A-4 ルーティング・接続性確認ツール

* traceroute / tracert

通信経路をホップ単位で可視化する。

取得情報：

経由ルータ

レイテンシ

通信遮断ポイント

* pathping

pathpingは、
traceroute + ping の複合的ツール。

用途：

経路品質評価

パケットロス分析

A-5 IPスキャナー・ネットワークスキャン

* ネットワークスキャンの目的

生存ホストの特定

サービスの検出

OS推定

* nmap / Zenmap

nmapは、Security+で最重要のスキャンツール。

主な機能：

ホストディスカバリ

ポートスキャン

サービス検出

OSフィンガープリント

ZenmapはnmapのGUI。

* SNMPスキャン

SNMPを利用し、
ネットワーク機器の情報を取得する。

取得情報：

デバイス名

インターフェース

稼働状況

A-6 サービスディスカバリ

* ポートスキャン手法

ハーフオープンスキャン（SYNスキャン）

UDPポートスキャン

ポートレンジスキャン

* OSフィンガープリント

OS・デバイス情報を推測する。

取得要素：

バナー情報（バナーグラブ）

プロトコル応答

ポート挙動

特定可能な情報：

OSタイプとバージョン

アプリケーション名・バージョン

デバイスタイプ

* CPE

CPE（Common Platform Enumeration）は、
製品・OS・アプリケーションの識別子。

脆弱性管理（CVE）と強く関連。

A-7 接続・名前解決関連ツール

* netstat

netstatは、
現在の通信状態を確認する。

取得情報：

リスニングポート

確立済み接続

プロトコル

* nslookup / dig

DNS情報の確認・診断を行う。

用途：

名前解決確認

ゾーン情報調査

A-8 OSINT・補助ツール

theHarvester

dnsenum

scanless

curl

Nessus（脆弱性スキャナ）

Security+では
「脆弱性スキャン」と「偵察」の違いが重要。

A-9 パケットキャプチャと解析

* パケットキャプチャ

通信内容を取得・解析する行為。

用途：

トラブルシューティング

不正通信検知

* tcpdump

tcpdumpはCLIベースのパケットキャプチャツール。

主な指定項目：

Type

Direction

フィルタ条件

* Wireshark

WiresharkはGUI型プロトコルアナライザ。

特徴：

プロトコル解析

トラフィック可視化

Follow TCP Stream 機能

A-10 パケット操作ツール

* パケットインジェクション

hping

tcpreplay

用途：

通信再現

テスト・検証

A-11 悪用フレームワーク（Attack Frameworks）

* Metasploit

Metasploit（Rapid7）は
攻撃・検証用フレームワーク。

* その他フレームワーク

RAT

sn1per

FireELP

RouterSploit

BeEF

ZAP

Pacu

A-12 その他重要ツール

* netcat

netcatは
「ネットワークのスイスアーミーナイフ」。

用途：

ポート確認

通信テスト

簡易サーバ構築

A-13 試験対策まとめ（Security+）

ツール名 → 取得できる情報を即答できる

ping / traceroute / nmap の役割差を理解

偵察と攻撃は別フェーズ

パケットキャプチャは「可視化」

B 脆弱性タイプと懸念事項

...

• 脆弱性とパッチ管理
  • OS
  • ファームウェア
• ゼロデイ攻撃とレガシーの脆弱性
  • ゼロデイ脆弱性
  • レガシープラットフォーム
• 脆弱なホスト構成
  • デフォルト設定
  • 脆弱なルートアカウント
  • オープンパーミッション
• 脆弱なネットワーク構成
  • オープンポート/オープンパーミッション　
  • 脆弱なプロトコル
  • 脆弱な暗号化
  • エラー
• 脆弱性による影響
  • データ侵害/流出
  • 個人情報盗難
  • データ消失/可用性損失
  • 財務と社会的な影響
• サードパーティリスク
  • ベンダー管理
  • コード開発の委託
  • データストレージ
  • クラウドベースとオンプレミスのリスク

C 脆弱性スキャン技術

...

• セキュリティ評価
  • 偵察/Reconnaissance
  • 発見/Discovery
  • セキュリティ評価タイプ
    • 脆弱性評価
    • 脅威ハンティング
    • ペネトレーションテスト
• 脆弱性スキャンのタイプ
  • ネットワーク脆弱性スキャナー
  • アプリケーションスキャナー
  • ウェブアプリケーションスキャナー
  • プロトコルアナライザー
  • ネットワークマッパー
  • ポートスキャナー
  • バナーグラビング
  • ネットワークスキャナー
  • 無許可(ローグ)システム検出
  • 構成コンプライアンススキャナー
  • ステガノグラフィツール
  • データサニテーションツール
• 共通脆弱性識別子(CVE)
  • 脆弱性フィード
    • Nessus/プラグイン
    • OpenVAS/NVT(ネットワーク脆弱性テスト)
  • SCAP(セキュリティ設定共通化手順)
  • CVSS
• 侵入型スキャンと非侵入型スキャン
  脆弱性スキャンには大きく分けて侵入型（アクティブ）スキャンと非侵入型（パッシブ）スキャンの二種類があります。それぞれのスキャン方法について詳しく説明します。
  • アクティブ（侵入型）スキャン
    アクティブスキャンは、ネットワークやシステムに対して積極的にリクエストを送信し、応答を解析することで脆弱性を検出する方法です。このスキャン方法は、以下の特徴を持ちます：
    • 積極的な問い合わせ: 対象システムに対してリクエストを送り、応答から脆弱性情報を収集します。
    • リアルタイムのデータ収集: 現在のシステム状態や設定の確認が可能です。
    • 高い精度: 非侵入型スキャンよりも正確に脆弱性を特定できます。
  • 代表的なアクティブスキャンツール：
    • Nmap: ネットワーク探索およびセキュリティ監査ツール。ポートスキャンやサービス識別などの機能を提供。
    • Tenable Nessus: 高度な脆弱性スキャナー。多種多様な脆弱性を検出可能。
  • アクティブスキャンのリスク：
    • システム負荷: 多数のリクエストを送信するため、ネットワークやシステムに負荷がかかることがあります。
    • 検出の可能性: 攻撃のように見えるため、セキュリティシステムに検出されることがあります。
    • 障害の発生: 一部の脆弱なシステムやサービスがダウンするリスクがあります。
  • パッシブ（非侵入型）スキャン
    パッシブスキャンは、ネットワークトラフィックを監視し、既存のデータから脆弱性を特定する方法です。このスキャン方法の特徴は以下の通りです
    • 監視ベース: システムに対して積極的なリクエストを送信せず、既存のトラフィックやログを分析します。
    • 低侵襲性: システムやネットワークに負荷をかけることなく脆弱性を検出します。
    • 検出の難しさ: アクティブスキャンよりも脆弱性の検出精度は低いですが、検出されにくいという利点があります。
  • 代表的なパッシブスキャンツール：
    • Wireshark: ネットワークプロトコルアナライザー。ネットワークトラフィックをキャプチャし、詳細な分析が可能。
    • tcpdump: コマンドラインベースのパケットキャプチャツール。リアルタイムでパケットをキャプチャし、解析できます。
  • スキャンの侵入性
    スキャンの侵入性は、スキャンが対象システムにどれだけ影響を与えるかを示します。アクティブスキャンは高侵入性であり、パッシブスキャンは低侵入性です。スキャンの選択は、セキュリティ評価の目的やシステムの許容範囲に応じて行われます。
  • スキャンのリスクとその回避
  • スキャンのリスク：
    ネットワーク遅延やダウンタイム: アクティブスキャンは大量のリクエストを送るため、ネットワーク遅延や一時的なダウンタイムを引き起こす可能性があります。
    誤検出（False Positives）: スキャン結果には誤検出が含まれる可能性があり、対応に不要なリソースが割かれることがあります。
    法的および倫理的な問題: 許可なくスキャンを行うと法的トラブルに発展することがあります。
  • リスク回避策：
    • 計画的な実施: スキャンは計画的に実施し、重要な業務時間外やメンテナンス期間中に行うようにします。
    • 許可の取得: スキャンを実施する前に、関係者からの許可を得ることが重要です。
    • スキャン設定の調整: スキャンの設定を調整し、ネットワークに対する負荷を最小限に抑えることが必要です。
    • 結果の検証: スキャン結果を検証し、誤検出を排除するためのプロセスを設けます。
• 誤検知・検知漏れ・ログレビュー
• 構成レビュー
  • SCAP
  • OVAL
  • XCCDF
• 脅威ハンティング
  • 助言と情報
  • インテリジェンス統合と脅威データ
  • マニューバー(Maneuver)

D ペネトレーションテスト

...

• ペンテスト/倫理的ハッキング
  • 脅威の存在確認
  • セキュリティ管理のバイパス
  • セキュリティ管理のアクティブなテスト
  • 脆弱性の悪用
  • pwn(pwnable)
• 行動規則
  • 攻撃プロファイル
  • バグバウンティ
• 演習タイプ
  • レッドチーム
  • ブルーチーム
  • ホワイトチーム
  • 典型的なプロセス
• パッシブ偵察・アクティブ偵察
  • OSINT
  • ソーシャルエンジニアリング
  • フットプリンティング
  • ウォードライビング
  • ドローン/UAV
• ペンテストのライフサイクル
  • 持続性
  • 特権エスカレーション
  • ラテラルムーブメント
  • ピボット
  • 目的実行
  • クリーンアップ

---

4 ソーシャルエンジニアリングとマルウェア

セキュリティ評価をするにあたり、情報システム以外にも目を向ける必要があります。
攻撃対象は従業員なども含まれるためです。
不正なアクセスのためのアカウント情報などを詐取すされるリスクがあります。
同僚や顧客がこうした攻撃を検知し報告する仕組みを作りましょう。

...

A ソーシャルエンジニアリング

(Social Engineering)

ソーシャルエンジニアリングとは、
技術的な脆弱性ではなく、人間の心理・行動を悪用する攻撃手法の総称である。

CompTIA Security+では
「技術的対策では防げない攻撃」として頻出し、
攻撃手法の分類・心理原則・対策の組み合わせが問われる。

A-1 ソーシャルエンジニアリングの特徴

技術的スキルが低くても成立

成功率が高い

ログに残りにくい

人が単一障害点（Human SPOF）になる

A-2 ソーシャルエンジニアリングの原則

(Social Engineering Principles)

ソーシャルエンジニアリングは、以下の心理原則を利用する。

* 親密性・好意（Liking）

親密性や好意を感じる相手の要求を断りにくくなる心理。

例：

同僚を装う

雑談を交え信頼を得る

* コンセンサス・社会的証明（Consensus）

社会的証明により
「他人がやっているなら正しい」と判断してしまう。

例：

「みんな対応しています」

「他部署も既に提出済みです」

* 権威と萎縮（Authority）

権威ある立場への服従心理を利用。

例：

上司

管理者

外部監査人

* 希少性と緊急性（Scarcity / Urgency）

緊急性を強調し、冷静な判断を奪う。

例：

「今すぐ対応しないとアカウント停止」

「本日中に対応必須」

A-3 なりすましと信頼の悪用

* なりすまし（Impersonation）

なりすましは、
特定の人物・役割・組織を装う行為。

例：

IT管理者

ベンダー

上司

* 信頼関係の悪用

既存の信頼を前提に要求を通す。

Security+では
「内部者脅威（Insider Threat）」と関連付けて出題される。

A-4 物理的ソーシャルエンジニアリング

* ダンプスターダイビング

ダンプスターダイビングは、
廃棄物から情報を収集する手法。

取得される情報：

印刷物

メモ

設定情報

認証情報

* テールゲーティング

テールゲーティングは、
正規利用者に続いて物理的に侵入する行為。

関連用語：

ピギーバッキング

A-5 個人情報詐欺・請求書詐欺

* 個人情報詐欺

個人情報を不正取得し、
不正利用・なりすましに用いる。

* 請求書詐欺

請求書詐欺は、
正規の請求を装って支払いを誘導する。

* 認証情報データベース

認証情報データベースは
過去に漏洩したID・パスワードの集合。

* ショルダーサーフィン

ショルダーサーフィンは、
画面・入力を覗き見る行為。

* ランチタイム攻撃

ランチタイム攻撃は、
席を離れた端末を狙う。

A-6 フィッシング系攻撃

* フィッシング

フィッシングは、
偽装メール・Webを用いた情報詐取。

* ホエーリング

ホエーリングは、
経営層・役員を狙う高度フィッシング。

* ビッシング

ビッシングは、
音声通話を用いた詐欺。

* スミッシング

スミッシングは、
SMSを利用したフィッシング。

A-7 スパム・虚偽・プリペンディング

* スパム

スパムは、
大量送信される不要メッセージ。

* 虚偽情報

虚偽の情報で判断を誤らせる。

* プリペンディング

プリペンディングは、
件名に「RE:」「FW:」を付与し信頼させる。

A-8 ファーミングと認証情報収集

* ファーミング

ファーミングは、
DNS改ざんなどにより偽サイトへ誘導。

* クレデンシャルハーベスティング

クレデンシャルハーベスティングは、
ID・パスワード収集を目的とする。

A-9 インフルエンスキャンペーン

* インフルエンスキャンペーン

インフルエンスキャンペーンは、
長期的に意識・行動を操作する活動。

例：

世論誘導

偽情報拡散

内部不信の醸成

A-10 防御と対策（Security+視点）

セキュリティ教育

セキュリティ意識向上トレーニング

多要素認証

最小権限の原則

物理セキュリティ

技術対策だけでは不十分である点が重要。

A-11 試験対策まとめ

用語の違いを正確に区別

心理原則と攻撃例を結びつける

技術対策で防げない点を理解

人的対策＝教育が最重要

B マルウェアベースIoC

• マルウェア分類
  • ウィルス・ワーム
  • トロイの木馬
  • PUP (潜在的に望ましくないプログラム)
• コンピュータウィルス
  • 非常駐/ファイルインフェクター
  • メモリ常駐
  • ブート
  • スクリプト/マクロ
  • ポリモーフィック
  • マルチパータイト
• ワームとファイルレスマルウェア
• スパイウェアとキーロガー
  • トラッキングcookie
  • アドウェア
  • スパイウェア
  • キーロガー
• バックドア・RAT (リモートアクセス型鳥の木馬)
• ルートキット
• ランサムウェア・クリプトマルウェア・ロジックボム(論理爆弾)　
• マルウェアインジケータ
  • アンチウィルスソフトの通知
  • サンドボックスの実行
  • リソースの消費
  • ファイルシステム
• プロセス分析

5 暗号化

暗号化はセキュリティシステムの大部分と担う技術です。
どのような種類の暗号化がCIAの何を担うのかを比較理解し、
その脆弱性を把握する必要があります。

...

A 暗号文

• 暗号化のコンセプト
• ハッシュ化アルゴリズム
• 暗号化と鍵
• 共通鍵暗号方式(対象鍵暗号方式)
• ストリーム暗号・ブロック暗号
  • AES
• 公開鍵暗号方式
  • RSA
• 公開鍵暗号化アルゴリズム

B 暗号動作モード

• デジタル署名
  • DSA
    • 楕円曲線暗号方式(ECC)
• デジタルエンベロープ・鍵交換
• デジタル証明書
• Perfect Forward Secrecy
  • DHE(Diffie-Hellman Key agreement)
  • EDHアルゴリズム
  • ECDHE
• 暗号スイート・動作モード
  • CBC
  • カウンターモード
• 認証された動作モード
  • メッセージ認証符号(MAC)
  • AEAD
  • AES-GCM
  • AES-CCM
  • ChaCha-Poly1305

C 暗号化のユースケースと脆弱性

• 認証・否認防止をサポート
  • 暗号プリミティブ
• 機密性をサポート
  • ファイル暗号化
  • 転送暗号化
• 完全性と復元力をサポート
• 暗号の性能限界
  • 時間/レイテンシー
  • サイズ
  • コンピューテーショナルオーバーヘッド
  • 特定のユースケース
• 暗号方式のセキュリティの限界
  • エントロピーと弱い鍵
  • TRNG/PRNG
  • 予測可能性と再利用
• 寿命・暗号化攻撃
• 中間車攻撃・ダウングレード攻撃
• キーストレッチング・ソルト
  • PBKFD2
  • ソルト
• 衝突・誕生日攻撃

D その他の暗号化技術

• 量子・ポスト量子
  • 計算
  • 通信
  • ポスト量子
  • 軽量暗号
• 準同型暗号
• ブロックチェーン
• ステガノグラフィ

6 公開鍵インフラストラクチャ（PKI）

デジタル証明書とPKIはほとんどの電子サービスで利用される重要な概念です。
機密性や完全性の管理に重要な証明書の種類などを把握しましょう。

...

A 証明書と認証機関

• 公開鍵と秘密鍵の使用
• 認証機関(CA)
• PKI信頼モデル
• 登録認定機関とCSR
• デジタル証明書
• 証明書の属性
• 対象名属性
• 証明書の種類
• Webサーバーの証明書
  • DV
  • EV
• その他の証明書

B PKI管理

• 証明書・キー管理
• 証明書の有効期限
• 証明書失効リスト
• OCSP(オンライン証明書プロトコルレスポンダ)
• 証明書のピン留め
• 証明書フォーマット
• 証明書の問題

7 認証制御

認証管理・アクセス管理(IAM)の概念を理解し、端末からアカウントを使ったアクセスを識別し認証するプロセスを知りましょう。

...

A 認証設計

• 個人情報・アクセス管理
• 認証要素
• 認証設計
• 多要素認証
• 認証属性

B ナレッジベース認証

• ローカルネットワーク・リモート認証
• Kerberos認証
• Kerberos認可
• PAP・CHAP・MS-CHAP
• パスワード攻撃
• ブルートフォース攻撃・辞書攻撃
• パスワードクラッカー
• 認証管理

C 認証技術

• スマートカード認証
• 鍵管理デバイス
• 拡張認証プロトコル/IEEE 802.1X
• RADIUS(リモート認証ダイヤルインユーザーサービス)
• TACACS(Terminal Access Controller Access-Control System)
• トークン鍵・静的コード
• オープン認証
• 2段階認証

D 生体認証

• 生体認証
• 指紋認証
• 顔認証
• 行動認証技術

8 ID・アカウント管理制御

オンプレとクラウドの融合状態により管理するリソースは複雑に分散しています。
包括的なアカウント管理と権限付与は人事や組織ポリシーなども含めた俯瞰した立場から行わなければなりません。

...

A IDとアカウントタイプ

• ID管理制御
• バックグラウンドチェックとオンボーディングポリシー
• 権限管理のための人事ポリシー
• オフボーディングポリシー
• セキュリティアカウントの種類・認証情報管理
• セキュリティグループベース管理
• 管理者・ルールアカウント
• サービスアカウント
• 共有・汎用のデバイスアカウントと認証情報
• SSH鍵とサードパーティ認証情報

B アカウントポリシー

• アカウント属性とアクセスポリシー
• パスワードポリシー
• アカウント制御
• アカウント監査
• アカウント権限
• 使用状況監査
• アカウントロック・無効化

C 認可ソリューション

• 任意アクセス制御・ロールベースアクセス制御
• ファイルシステム権限
• 強制アクセス制御・属性ベースアクセス制御
• ルールベースアクセス制御
• ディレクトリサービス
• フェデレーション・構成証明
• SAML (セキュリティアサーションマークアップ言語)
• OAuth・OpenIDコネクト

D 人事ポリシー

• 行動に関するポリシー
  • 利用規定(AUP)
  • 行動規範とソーシャルメディア分析
  • 職場における個人所有デバイスの使用
  • デスクの整理整頓ポリシー
• ユーザーとロールに基づく訓練
  • 組織のセキュリティポリシーと違反罰則
  • インシデント特定と報告
  • 安全訓練・サイトセキュリティ
  • ドキュメント・データ・個人情報の取り扱い
  • パスワード・アカウント管理
  • ソーシャルエンジニアリングやマルウェアへの意識向上
  • ソフトウェアとSNSのセキュアな利用
  • NIST National Initiative for Cyberscurity Education
    • KSAA
  • NIST SB800-50
• トレーニング技術
  • フィッシングキャンペーン
  • キャプチャーザフラッグ
  • CBTトレーニング
  • ゲーミフィケーション
    • シミュレーション
    • シナリオ

9 セキュアネットワーク

ネットワーク基盤はCIAを満たせるように設計されていなければなりません。
ルータ・スイッチ・アクセスポイント・ロードバランサなどの機能や構成について理解しましょう。

...

A セキュアネットワーク設計

• ネットワーク設計
• ビジネスワークフロー・ネットワークアーキテクチャ
• ネットワークアプライアンス
• ルーティング・スイッチング
• ネットワークセグメント
• ネットワークトポロジー/ゾーン
• DMZ (非武装地帯)
• DMZのトポロジー
• IPv6
• その他の検討事項

B セキュアスイッチング・ルーティング

• 中間者攻撃とL2攻撃
• ループ防止
• 物理ポートセキュリティ・MACフィルタリング
• NAC (ネットワークアクセス制御)
• ルートセキュリティ

C セキュアワイヤレスネットワーク

• 設置に関する検討事項
• コントローラーとアクセスポイントのセキュリティ
• WPA(WiFi Protected Access)
• WiFi認証方法
• WPS(WiFi Protected Setup)
• オープン認証・キャプティブポータル
• IEEE 802.1X
• EAP(拡張認証プロトコル)
• PEAP・EAP-TTLS・EAP-FAST
• RADIUSフェデレーション
• 不正アクセスポイント・エビルツイン
• Disassociation攻撃・リプレイ攻撃
• ジャミング攻撃

D ロードバランサー

• DDoS攻撃(分散型サービス拒否攻撃)
• アンプ攻撃・アプリケーション攻撃・OT攻撃
• DDoS攻撃の軽減
• ロードバランシング
• クラスタリング
• QoS(サービスの品質)

10 ネットワークセキュリティアプライアンス

ネットワーク設計においてRTやSW以外にも、
ファイアウォール・IPS/IDS・プロキシなどといったアプライアンスを適用することも可能です。

...

A ファイアウォールとプロキシ

Comptia Security+ Lesson

概要

ファイアウォールおよびプロキシは、ネットワーク境界やセグメント間において通信を制御し、
不正アクセス・マルウェア・情報漏えいなどのリスクを低減するための基本的かつ重要なセキュリティコントロールである。

CompTIA Security+ では、

ファイアウォールの種類と動作原理

プロキシとの役割の違い

NAT・ACL・仮想化環境での実装

といった観点が頻出する。

パケットフィルタリングファイアウォール

パケットフィルタリングファイアウォールは、
OSI参照モデルのネットワーク層およびトランスポート層の情報を基に通信を制御する。

主な判定要素

送信元IPアドレス

宛先IPアドレス

プロトコル（TCP / UDP / ICMP 等）

送信元ポート番号

宛先ポート番号

特徴

処理が高速で実装が容易

セッション状態を保持しない（ステートレス）

アプリケーション内容は確認できない

試験ポイント

「最も基本的なファイアウォール」

「ステート情報を保持しない点」がキーワード

ステートフルインスペクションファイアウォール

ステートフルインスペクションファイアウォールは、
通信のセッション状態を追跡し、正当な通信かどうかを判断する。

主な特徴

TCPの3ウェイハンドシェイクを理解して動作

内部から開始された通信の戻りトラフィックを自動許可

ステートテーブルを保持

メリット

パケットフィルタリングより高いセキュリティ

設定負荷が比較的低い

注意点

ステートテーブル枯渇によるDoS攻撃のリスク

試験ポイント

「セッションを追跡する」

「戻り通信を自動許可」

ファイアウォールの実装

ファイアウォールは配置場所により役割が異なる。

代表的な配置

境界ファイアウォール（インターネット境界）

内部セグメンテーション用ファイアウォール

ホスト型ファイアウォール（OS内蔵）

実装形態

ハードウェアアプライアンス

ソフトウェアファイアウォール

仮想アプライアンス

試験ポイント

「配置場所」と「守る対象」を結びつける

プロキシ・ゲートウェイ

プロキシは、クライアントとサーバの間に入り、通信を代理する仕組みである。

主な役割

クライアントの匿名化

コンテンツフィルタリング

キャッシュによる通信効率化

DLPやマルウェア検査

種類

フォワードプロキシ

リバースプロキシ

ファイアウォールとの違い

ファイアウォール：通信の「通過可否」

プロキシ：通信内容の「中身」を理解・制御

試験ポイント

「アプリケーション層で動作」

「代理通信」

アクセス制御リスト

アクセス制御リスト（ACL）は、
通信やリソースへのアクセス可否を定義したルール集合である。

使用例

ルータ・ファイアウォールの通信制御

ファイルシステムのアクセス制御

クラウドIAMポリシー

評価順序

上から順に評価

最初に一致したルールを適用

注意点

暗黙のDeny Allルールの存在

試験ポイント

「順序依存」

「最後は拒否」

NAT (ネットワークアドレス変換)

NATは、
プライベートIPアドレスとグローバルIPアドレスを変換する仕組みである。

主な種類

スタティックNAT

ダイナミックNAT

PAT（ポートアドレス変換）

セキュリティ上の効果

内部IPアドレスの秘匿

直接的な攻撃対象の縮小

※ NAT自体はセキュリティ機能ではない点に注意

試験ポイント

「アドレス変換」

「セキュリティは副次効果」

仮想ファイアウォール

仮想ファイアウォールは、
仮想化基盤やクラウド環境で動作するファイアウォールである。

特徴

仮想マシン単位での制御

マイクロセグメンテーションの実現

スケーラブルな運用

代表例

クラウドセキュリティグループ

仮想アプライアンスFW

試験ポイント

「クラウド環境でのFW」

「論理的分離」

OSSFWと専用ファイアウォール

OSSFW

例：iptables、pf、nftables

高い柔軟性

運用者のスキル依存が大きい

専用ファイアウォール

ベンダー製アプライアンス

GUI管理・サポートあり

コストが高い場合がある

比較観点

運用負荷

サポート体制

拡張性と可視性

試験ポイント

「OSS = 柔軟 / 専用 = 管理容易」

試験対策まとめ

ファイアウォールは「通信の可否」

プロキシは「通信の中身」

ステートフルか否かは頻出論点

NATはセキュリティ機能ではない

クラウド＝仮想ファイアウォールの文脈で出題されやすい

B ネットワーク監視

• IDS
• TAP・ポートミラー
• IPS
• シグネチャ型検知
• ふるまい検知・異常検知
• NGFW・コンテンツフィルター
• HIDS(ホスト型IDS)
• WAF(Web Aplication FireWall)

C SIEM運用

• 監視サービス
• SIEM(セキュリティ情報イベント管理)
• ログ収集
• 分析とレポートのレビュー
• ログファイル操作
• 正規表現とgrep

11 セキュアな通信プロトコル

HTTPやPOP/SMTP、VoIP、DNS、DHCPなど各種プロトコルは安全なバージョンや設定・管理で利用しましょう。

...

A ネットワークオペレーションプロトコル

• DHCP(ネットワークアドレスの割り当て)
• DNS(ドメイン名前解決)
• セキュアなディレクトリサービス
• NTP(時刻同期)
• SNMP(簡易ネットワーク管理プロトコル)

B アプリケーションプロトコル

• HTTP
• SSL/TLS
• WebAPI検討事項
• サブスクリプションサービス
• FTP
• SMTP
• ボイス/ビデオサービス

C リモートアクセスプロトコル

• リモートアクセスアーキテクチャ
• TLS/SSL VPN
• IPSec
• IPSecの動作モード
• IKE(インターネット鍵交換)
• L2TP・IKE v2
• VPNクライアント構成
• RDP(リモートデスクトップ)
• アウトオブバウンド管理とジャンプサーバー
• SSH(Secure Shell)

12 ホストセキュリティソリューション

PCやラップトップ、スマートフォン、組み込みシステムなどの様々種類のホストセキュリティを把握しましょう。

...

A セキュアファームウェア

• ハードウェアRot(信頼の起点:Root of Trust)
• ブート時の完全性
• ディスクの暗号化
• USB/フラッシュドライブのセキュリティ
• サードパーティのリスク管理
• EoS/EoLなシステム
• 組織的なセキュリティ協定

B エンドポイントセキュリティ

• ハードニング
• ベースライン構成・レジストリ設定
• パッチ管理
• エンドポイント保護
• 次世代エンドポイント保護
• ウィルス対策

C 組み込みシステムのセキュリティリスク

• 組込みシステム
• 組込みシステムの論理コントローラー
• 組込みシステムの通信に関する考慮事項
• ICS(産業用制御システム)
• IoT(モノのインターネット)
• 工場自動化特化システム
• IT特化システム
• 車両・ドローン特化システム
• 医療デバイス特化システム
• 組込みシステムのセキュリティ

13 セキュアモバイルソリューション

モバイル端末が広く業務利用されるにあたって統合的なエンドポイント管理は重要ですね。

...

A モバイルデバイス管理

• モバイルデバイスデプロイモデル
• エンタープライズモビリティ管理
• 企業におけるiOS
• 企業におけるAndroid
• モバイルアクセス制御システム
• リモートワイプ
• デバイスのフル暗号化/外部メディア
• ロケーションサービス
• アプリケーション管理
• コンテンツ管理
• root化/ジェイルブレイク

B セキュアモバイルコネクション

• 携帯ネットワーク接続方式とGPS接続方式
• 携帯データ接続
• Wi-FI接続方式・テザリング接続方式
• Bluetooth接続方式
• 赤外線・RFID
• NFC・モバイル決済
• USB接続方式
• SMS/MMS/RCSとプッシュ通知
• ファームウェアのover-the-air更新
• マイクロ波無線接続方式

14 セキュアなアプリケーション

DevSecOPSを踏まえたセキュアなソフトウェアの開発の手法についても把握しましょう。

...

A アプリケーション攻撃のインジケータ

• アプリケーション攻撃
• オーバーフロー脆弱性
• nullポインタ逆参照・競合状態
• メモリリーク・リソース不足
• DLLインジェクション・ドライバ操作
• Pass the Hash 攻撃

B Webアプリ攻撃のインジケータ

• URL分析
• API攻撃
• リプレイ攻撃
• セッションハイジャック・XSRF(CSRF)
• XSS
• SQLインジェクション
• XML/LDAPインジェクション
• ディレクトリトラバーサル/コマンドインジェクション
• SSRF(サーバーサイドリクエストフォージェリ)

C セキュアコーディング

• コーディング技法
• サーバーサイド/クライアントサイドの検証
• Webアプリケーションセキュリティ
• データの漏洩とメモリ管理
• コードの再利用
• その他のコーディング慣行
• 静的コード分析
• 動的コード分析

D セキュアなスクリプト実行環境

• スクリプト
• Python
• Powershell
• 実行制御
• 悪意のあるコードのインジケータ
• Powershellの場合
• Bash/Pythonの場合
  • リバースシェル
• マクロ/VBA
• Man-in-the-Browser攻撃

E デプロイと自動化

• 開発・デプロイ・自動化
• セキュアな開発環境
• プロビジョニング・デプロビジョニング・バージョン管理
• コードリリースの自動化のパラダイム
• ソフトウェアの多様性

15 セキュアクラウドソリューション

物理的な存在が高度に抽象化されているクラウドコンピューティングの普及に伴うセキュリティ要素について把握しましょう。

...

A クラウドサービスと仮想化

• クラウドデプロイモデル
• クラウドサービスも出る
• Anything as a Service
• Security as a Service
• 仮想化テクノロジーとハイパーバイザの種類
• VDIとシンクライアント
• アプリケーションの仮想化とコンテナ技術
• VMエスケープ保護
• VMスプロールの回避

B クラウドセキュリティソリューション

• クラウドセキュリティの完全性と監査
• クラウドセキュリティ管理
• クラウドコンピューティングのセキュリティ
• クラウドストレージのセキュリティ
• 高可用性
• クラウドネットワーキングのセキュリティ
• VPCとトランジットゲートウェイ
• VPCエンドポイント
• クラウドファイアウォールのセキュリティ
• セキュリティグループ
• (CASB)クラウドアクセスセキュリティブローカー

C Infrastructure as Code(コードとしてのインフラ)

• サービスインテグレーションとマイクロサービス
• サーバーレスアーキテクチャ
• Infrastructure as Code
• SDN(Software Define Network)
• SDV(Software Define Visibility)
• フォッグコンピューティング/エッジコンピューティング

16 プライバシー保護

組織にとって最も重要な資産は人であり、その次がデータと言われています。
データとプライバシーを保護するにはどのようにすればよいでしょうか。

...

A センシティビティ

• プライバシーとセンシティブデータ
  • プライバシーセキュリティ
  • 情報ライフサイクル管理
    • 作成/収集
    • 配布/使用
    • 保持
    • 破棄
• データに関する役割と責任
  • データガバナンスポリシー
  • データ所有者
  • データスチュワード
  • データカストディアン
  • データ保護責任者(DPO)
  • データ管理者
  • データ処理者
• データ分類
  • パブリック
  • 機密
  • 極秘
  • 専有
  • プライベート/個人データ
  • 要配慮(センシティブ)
• データタイプ
  • PII(個人を特定できる情報)
  • 顧客データ
  • PHI(医療情報)
  • 財務情報
  • 政府のデータ
• プライバシー通知とデータ保持
  • インパクトアセスメント
  • データ保持
• データ主権と地理的考慮事項
  • データ主権
  • 地理的考慮事項
• プライバシー侵害とデータ侵害
  • 組織的影響
  • 侵害の通知
  • エスカレーション
  • 公示と開示
• データ共有と契約書のプライバシー条項
  • SLA
  • ISA
  • NDA
  • データの共有と使用に関する同意書

B データ保護制御

• データ保護
• データの持ち出し
• DLP(データ損失防止)
• IRM(インフォメーションライツマネージメント)
• プライバシー強化技術
• データベース匿名化方式

17 インシデント対応

監視システムやユーザーの報告によって検知された問題を調査します。
セキュリティエキスパートの業務のほとんどはこれのことです。

...

A インシデント対応手順

• インシデント対応プロセス
• CSIRT(サイバーインシデント対応チーム)
• 報告計画とステークホルダー管理
• サイバーキルチェーン
• その他のフレームワーク
• インシデント対応訓練
• インシデント対応・障害回復・保持ポリシー

B 対応に利用するデータソース

• インシデントの識別
• SIEM
• ロギングプラットフォーム
• ネットワーク・OS・セキュリティのログファイル
• アプリケーションのログファイル
• メタデータ
• ネットワークデータソース

C 緩和策

• インシデントの封じ込め
• インシデントの根絶・回復
• ファイアウォールの構成変更
• コンテンツフィルターの構成変更
• エンドポイントの構成変更
• セキュリティのオーケストレーション・自動化・レスポンス
• 敵対的な人工知能

18 デジタルフォレンジクス

インシデントの調査と攻撃者特定の実施が必要になることもあります。
インシデント対応では悪性アクティビティの迅速な根絶が目標となりますが、
デジタルフォレンジクスでは法的措置などに利用可能な活動の痕跡を
調査・収集・保全・解析することが求められます。

...

A 文書

• デジタルフォレンジクス主要素
• レポート
• 電子情報開示
• 動画と目撃者の事情聴取
• タイムライン
• イベントログとネットワークトラフィック
• 戦略的インテリジェンス・カウンターインテリジェンス

B 証拠取得

• データ収集と揮発性
  • CPUレジスタ・キャッシュメモリ
  • RAM
  • ストレージデバイス
    • パーティション・ファイルシステム
    • スワップスペース・仮想メモリ・システムメモリキャッシュ
    • ブラウザキャッシュ・一時キャッシュ
  • リモートロギング・監視ログ
  • 物理構成・ネットワークトポロジ
  • アーカイブメディア・印刷された文書
• デジタルフォレンジクスのソフトウェア
  • EnCase Forensic / Guidance Software
  • FTK(Forensic Tool Kit) / AccesssData
  • Sleuth Kit・Autopsy
  • WinHex/X-Ways
  • Volatility Framework
• システムメモリの取得
  • ライブ取得
    • WinHEX
    • Memoryze/FireEye
    • F-Response TACTICAL
    • memdump
    • dd
    • pmem/fmem/LIME・/dev/mem
  • クラッシュダンプ
    • \WINDOWS\memory.dmp
    • C:\Windows\Minidumps
  • 休止ファイルとページファイル
• ディスクイメージの取得
• 証拠の保管と完全性
• その他のデータ収集
• クラウド向けデジタルフォレンジクス

19 リスク管理

ひとたびインシデントが発生すると経済的か社会的かは問わず何らかの損失が発生します。
損失がどの程度の規模になるかを管理することは重要な関心事の一つでしょう。
組織的な計画を遂行するとき脅威と脆弱性を把握しリスク管理のスコープに捕捉し
適切な是正措置をとれるようにしましょう。

...

A リスク管理プロセス

• リスク管理プロセス
  • 任務上必要不可欠な機能の特定
  • 脆弱性の特定
  • 脅威を特定
  • ビジネスインパクトを分析
  • リスク対応を特定
  • 発生の可能性
  • インパクト
  • ERM(エンタープライズリスク管理)
  • RCSA(リスク制御の自己評価)
• リスクの種類
  • 外部
  • 内部
  • マルチパーティ
  • 知的財産(IP)の盗難
  • ソフトウェアコンプライアンス/ライセンシング
  • レガシーシステム
• 定量的リスク評価
  • SLE(単一損失予想)
  • ALE(年間予測損失額)
  • ARO(年間発生率)
• 定性的リスク評価
  • 資産
    • 交換不可・高価値・中価値・低価値
  • 確率
    • クリティカル・高・中・低
  • ヒートマップ・信号機インパクトマトリックス
  • FIPS199
• JRAM
• CRAMM
• リスク管理戦略
  • 固有リスク
  • リスクの完全な排除は不可能
  • リスク体制
  • リスク緩和・リスク修復
  • リスク抑止・リスク低減
  • ROSI(セキュリティ投資対効果)
• リスク回避・リスク移動
  • リスク回避
  • リスク移動・リスク共有
• リスク許容・リスクアペタイト
  • リスク許容
  • 残存リスクとリスクアペタイト
  • 制御リスク
• リスク認識
  • リスクの登録

B ビジネスインパクト分析

• ビジネスインパクト分析
• 任務上必要不可欠な機能(MEF)
  • MTD
  • RTO
  • WRT
  • RPO
• 重要なシステムの確認
  • 資産
    • 人
    • 有形資産
    • 無形資産
    • 手順
  • BPA (ビジネスプロセス分析)
    • 入力
    • ハードウェア
    • 機能をサポートする従業員とその他のリソース
    • 出力
    • プロセスフロー
• 単一障害点(SPoF)
  • MTTF
  • MTBF
  • MTTR
• 障害発生
  • 内部と外部
  • 人工/人為
  • 環境的
  • サイトのリスク評価
• 障害回復計画
  • DRP
• 災害回復計画
  • ウォークスルー・ワークショップ・オリエンテーション・セミナー
  • 机上演習
  • 機能演習
  • フルスケール演習

20 サイバーセキュリティレジリエンス

攻撃を受けたとしてもその被害を最小限にする必要があります。
被害を限定的にとどめと即座に復旧するための技術を身につけましょう。

...

A 冗長性戦略

• 高可用性
  • スケーラビリティ
  • エラスティシティ
• 冗長電源
  • ブラウンアウト
  • デュアル電源
  • PDU(管理された電源ユニット)
  • UPS(バッテリーバックアップ・無停電電源装置)
  • 発電機
• ネットワークの冗長性
  • NICチーミング
  • スイッチングとルーティング
  • ロードバランサー
• ディスクの冗長性
  • RAID
  • マルチパス
• 地理的な冗長性・レプリケーション
  • 地理的分散
  • 非同期・同期レプリケーション
  • オンプレミス・クラウド

B バックアップ戦略

• バックアップと保持ポリシー
• バックアップの種類
  • 完全バックアップ
  • 増分バックアップ
  • さ分バックアップ
  • コピーバックアップ
• スナップショット・イメージ
• バックアップストレージに関する問題
  • オフサイトストレージ
  • オンライン・オフラインバックアップ
• バックアップメディアの種類
  • ディスク
  • NAS(ネットワークアクセスストレージ)
  • テープ
  • SAN(ストレージエリアネットワーク)とクラウド
• 復元順序
• 非永続的

C サイバーセキュリティレジリエンス

• 構成管理
• 資産管理
• 変更制御と変更管理
• サイトの復元
• 多様化と多層防御
• 詐欺と中断の戦略｜アクティブディフェンス
  • 　詐欺の戦略
    • ハニーポット・ハニーネット・ハニーファイル
  • 中断の戦略
    • 偽装DNSエントリ
    • 囮ディレクトリ/囮Webページ
    • 偽装テレメトリ
    • DNSシンクホール

21 物理的セキュリティ

ソーシャルエンジニアリング・ワイヤレスバックドア・モバイルデバイスによるDLPなどの侵害リスクは物理的な保護が重要なセキュリティ事項だということを示しています。
サイト設計や運用から考慮する。
アクセス制御や人為災害・自然災害への耐性についても検討しましょう。

...

A 物理的サイトセキュリティ

概要

物理的サイトセキュリティは、
建物・設備・人・物理資産を対象としたセキュリティ対策であり、
論理セキュリティ（ネットワーク・システム）を成立させる前提条件となる。

どれほど高度な暗号やIAMを導入しても、
サーバ室に侵入できる・USBを挿せる・端末を持ち出せる
という状態ではセキュリティは成立しない。

Security+ では
AAAの概念・物理的コントロールの種類
人的・技術的・物理的対策の違い
が頻繁に問われる。

物理的セキュリティ管理

物理セキュリティ管理も、論理セキュリティと同様に AAA の考え方で整理される。

認証

認証は「誰であるか」を確認するプロセスである。

物理的認証の例

IDカード

PINコード

生体認証

警備員による目視確認

試験ポイント

「本人確認」であり、権限付与ではない

許可

許可は「何ができるか」を決定するプロセスである。

例

特定エリアへの入室許可

サーバ室への立ち入り制限

時間帯制御（営業時間のみ許可）

試験ポイント

認証後に行われる

最小権限の原則が適用される

アカウンティング

アカウンティングは「誰が・いつ・どこで・何をしたか」を記録する。

例

入退室ログ

監視カメラ映像

センサーイベントログ

試験ポイント

事後追跡・フォレンジックに重要

サイトレイアウト

サイトレイアウトは、防御を多層化するための設計思想である。

代表的な考え方

ディフェンスインデプス

公開エリア／制限エリア／高セキュリティエリアの分離

受付を必ず通過させる動線設計

試験ポイント

「一枚の防御に依存しない」

バリケードとゲート

バリケードやゲートは、
車両や人の侵入を物理的に阻止・誘導する。

例

車止め（ボラード）

チェーンゲート

自動開閉ゲート

試験ポイント

車両突入対策（RAM攻撃）

フェンス

フェンスは敷地境界を明確化し、侵入を遅延させる。

特徴

視認性が高い

センサー連携が可能

単体では突破可能

試験ポイント

「遅延」と「検知」が目的

照明

照明は心理的抑止と監視精度向上を目的とする。

効果

侵入者の可視化

カメラ性能の補完

犯罪抑止効果

試験ポイント

「直接防御ではないが重要」

ゲートとロック

従来型

従来型ロックは物理鍵を使用する。

欠点

鍵の複製

紛失時のリスク

電子錠

電子錠はIDカードやPINを利用する。

特徴

ログ取得可能

遠隔制御可能

試験ポイント

アカウンティングとの親和性

生体認証

生体認証は身体的特徴を用いる。

例

指紋

虹彩

顔認証

注意点

FAR / FRR

偽造リスク

IDカードとUSBに対する攻撃

カードクローニング

カードクローニングはRFID等を複製する攻撃。

対策

暗号化カード

シールドケース

スキミング

スキミングはカード情報を非接触で盗む。

試験ポイント

非接触型カードのリスク

管理システムとセンサー

回路

回路は断線・短絡を検知する。

動作検出

動作検出は赤外線などで動きを検知。

ノイズ検出

ノイズ検出はガラス破壊音などを検知。

近接型

近接型センサーは接近を検知。

脅迫状態

脅迫状態（デュレス）は、強制入力を検知する仕組み。

例

デュレスコード

強制入室アラート

警備員とカメラ

CCTV(クローズドサーキットテレビジョン)|監視カメラ

CCTVは常時監視と記録を担う。

動作認識

動作認識はAIで不審行動を検知。

オブジェクト検知

オブジェクト検知は置き去り物などを検知。

ロボットセントリー

ロボットセントリーは自律巡回型警備。

ドローン/UAV

ドローンは広域監視に利用される。

受付とIDバッジ

受付とIDバッジは人的セキュリティの要である。

ポイント

常時着用

色分け

期限管理

試験ポイント

テールゲート対策として重要

試験対策まとめ

物理セキュリティもAAAで整理

防御の目的は「阻止・遅延・検知」

人・物・設備すべてが対象

ログ取得＝アカウンティング

B 物理的ホストセキュリティ

概要

物理的ホストセキュリティは、
サーバ・端末・ストレージ・ネットワーク機器といった
個々のホスト（機器）そのものを物理的に保護するセキュリティ対策である。

物理的サイトセキュリティが「敷地・建物レベル」の防御であるのに対し、
本章は ホスト単位の直接的な破壊・盗難・改ざん・情報漏えい を防ぐ点に焦点を当てる。

Security+ では物理環境と論理環境の相互依存
データ破棄・消去手法の違い
環境要因（火災・空調・電磁波）
が頻出テーマ。

セキュアなエリア

セキュアなエリアとは、
特定のホストや機密機器を設置するために制限された物理空間である。

特徴

入退室制御

監視カメラ

権限分離

例

サーバ室

ネットワーク機器室

HSM設置室

試験ポイント

「アクセス制御が明確であること」

エアギャップ・非武装地帯

エアギャップ

エアギャップは、
ネットワーク的に完全に分離された環境を指す。

用途

重要インフラ

制御系システム

高機密データ処理

注意点

USB等による人的持ち込みリスク

運用コストが高い

非武装地帯

DMZ（非武装地帯）は、
内部ネットワークと外部ネットワークの中間に配置されるゾーン。

ポイント

エアギャップとは異なり「接続はある」

サーバ配置が主用途

金庫・金庫室

金庫・金庫室は、
ストレージ媒体やバックアップ媒体の保管に用いられる。

保管対象

バックアップテープ

暗号鍵

機密書類

試験ポイント

論理暗号化と物理保管は補完関係

保護されたディストリビューションとファラデーゲージ

保護されたディストリビューション

保護されたディストリビューションは、
通信ケーブルを物理的に保護する設計。

例

金属管

専用配管

ファラデーゲージ

ファラデーゲージは、
電磁波の漏洩・侵入を防ぐシールド構造。

対策対象

TEMPEST

電磁盗聴

試験ポイント

電磁波＝論理では防げない

暖房・換気・空調

HVAC（暖房・換気・空調）は、
ホストの安定稼働に直結する。

リスク

過熱

結露

粉塵

試験ポイント

セキュリティと可用性の交差点

ホット/コールドアイル

ホットアイル／コールドアイルは、
データセンターの空調効率を高める配置設計。

効果

冷却効率向上

機器寿命延長

障害低減

火災の探知・消化

ドライパイプ

ドライパイプは、
通常は水が入っていない配管。

利点

誤作動リスク低減

プレアクション

プレアクションは、
検知後にのみ放水される方式。

用途

サーバ室

ハロン

ハロンは、
旧来のガス消火剤。

注意

環境規制により非推奨

クリーンエージェント

クリーンエージェントは、
電子機器に影響を与えない消火剤。

例

FM-200

Novec 1230

セキュアなデータ破棄

焼却

焼却は物理破壊として最も強力。

裁断/シュレッディング/パルピング

シュレッディングやパルピングは
紙媒体や光学メディア向け。

粉砕

粉砕はHDDやSSDの物理破壊。

消磁(デガウス)

消磁（デガウス）は、
磁気媒体のデータを破壊。

注意

SSDには無効

データサニタイズツール

データサニタイズは、
再利用前提の論理的消去。

Active KillDisk

Active KillDiskは、
多重上書き方式を提供するツール。

試験ポイント

物理破壊との使い分け

セキュア消去(SE)

SATA仕様

Secure EraseはSATA標準コマンド。

SAS仕様

SAS Secure Eraseも同様の概念。

インスタントセキュア消去(ISE)

ISEは暗号鍵を即時破棄する方式。

利点

高速

SSD向き

FIPS140-2,FIPS140-3

FIPS140-2 / FIPS140-3は、
暗号モジュールの認証基準。

試験ポイント

ISEとの関連性

試験対策まとめ

ホストは「盗まれる前提」で考える

火災・空調・電磁波は頻出

HDDとSSDで破棄方法が違う

論理消去と物理破壊を区別