スキップしてメイン コンテンツに移動

情報処理安全確保支援士 オンライン講習Cを受けた備忘録

情報処理安全確保支援士 オンライン講習を受けた備忘録

内容:情報処理安全確保支援士 オンライン講習C
日時:2019年2月

1章 情報セキュリティ重大脅威とは
  • 「攻撃の手法」「攻撃の目的」を知り最新の情報を知ることが大切。
  • 組織向けは2017年と比較してビジネスメール詐欺が増加。
  • 個人向けは「偽警告によるインターネット詐欺」がランクイン。
  • マルウェア感染させる手法はメールで送付するやり方から、ダウンロードさせたり、水飲み場型攻撃などの手法へ変化。また対象機器もPC・スマートフォンからIoT機器へ移り変わってきている。
  • hacktivism(ハクティビズム)とはアクティビズムとハックを掛け合わせた造語。
  • 2013年以降は組織内部の犯行による情報流出と共に犯罪者の低年齢化が進む。
  • 犯罪の目的80%が不正送金・不正購入。
  • 10大脅威の傾向①IoT機器に関する脅威②人がもつ脆弱性③犯罪のビジネス化④仮想通貨
  • ①IoT機器に関する脅威
    • ID/PWが初期設定のまま
    • 修正プログラムを適用しない
    • ネットワークと繋がっている認識が低い
    • マルウェア「Mirai、BASHLITE」
    • DDOS攻撃に利用「IoTRoop、IoT_reaper」
    • 脆弱性のある機器を見つける検索エンジン「SHODAN、Censys」
  • ②人がもつ脆弱性
    • ソーシャルエンジニアリング
    • 運用管理の不備
    • 不明確な担当者
    • 情シス部門が管理できていない機器(ウェブカメラ、複合機)
    • 不正ログインの手口
      • パスワードリスト攻撃
      • パスワード推測攻撃
      • ウイルス攻撃
    • 対策
      • パスワードを長く、複雑にし使いまわさない。
      • パスワード管理ソフトの利用
      • 多要素認証、サービスが推奨する認証方式
      • 利用をやめたサービスの退会
    • 「高度標的型攻撃」対策 に向けたシステム設計ガイド 
  • ③犯罪のビジネス化
    • ランサムウェアによる被害
    • インターネットバンキング・クレジットカード不正利用
    • ビジネスメール詐欺による被害
    • ワンクリック請求等の不正請求
  • ④仮想通貨
    • マルチシグ(マルチシグネチャ)対策がとられていない交換所・ウォレット
    • 各業者に依存したセキュリティレベル
  • GDPR(一般データ保護規則)ー EU版の個人情報保護法
  • データ主導経済 ①スマホ決済②ビッグデータ利用元年③第4次産業革命
2章 情報セキュリティ関連の制度や規格等の動向
 標準規格とは
標準規格のメリット ⇒ 認証機関における認証(利用者の安心感)
  • 製品の互換性・インターフェースの整合性確保
  • 生産効率向上
  • 製品の適切な品質を確保
  • 正確な情報の伝達・相互理解の促進
  • ISO9000シリーズ:品質マネジメント
  • ISO14000シリーズ:環境マネジメント
  • ISO27000シリーズ:セキュリティ
  • ISO/IEC27014情報セキュリティガバナンス:セキュリティは経営陣による評価、指示、モニタ、コミュニケーションが重要
  • ISO/IEC15408情報セキュリティ評価基準:第三者によるセキュリティ評価の必要性
管理(マネジメント)系
  • マネジメントとは、組織が目標を達成するために、定めた方向性と整合するように契約、構築、実行、モニタする。
  • マネジメントのシステム化(組織にあったシステム構築、文書化)、トップダウン、継続的な改善
  • 情報セキュリティガバナンス
  • ITガバナンスの範囲:情報を取得、加工、保存および普及するために必要な資源
  • 情報セキュリティガバナンスの範囲:情報の機密性、完全性、可用性
  • 情報セキュリティガバナンスの評価軍籍はリスクマネジメントの手法を利用
  • 情報セキュリティガバナンスの確立
  1. 組織全体の情報セキュリティを確立 
  2.  リスクに基づく取り組みを採用
  3. 投資決定のホオウ構成を設定
  4. 内部及び外部の要求事項との整合性を確実にする
  5. セキュリティに積極的な環境を情勢する
  6. 事業の結果に関するパフォーマンスをレビューする

  • サイバーセキュリティ経営ガイドライン

  1. 経営者はサイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要 
  2.  自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
  3. 平時および緊急時のいずれにおいてもサイバーセキュリティリスクや対策に関わる情報の開示等、関係者との適切なコミュニケーションが必要 

  •  ISO/IEC 27002 ⇒クラウド対応⇒ISO/IEC 27017 クラウドサービスに関する情報セキュリティ管理策のガイドライン
  • クラウドサービスの特徴:責任範囲の明確化、クラウド特有のリスク対応、クラウドセキュリティに関する内部監査の実施
  • データ侵害⇒転送、保存、その他の方法で処理される保護されたデータの偶発的もしくは不法な破壊、損失、改ざん、許可されない開示、その保護されたデータへのアクセスに繋がる情報セキュリティの侵害のこと
  • セキュアマルチテナンシ⇒1つのシステムの中で複数のサービスを提供するマルチテナント方式において、それぞれの領域をセキュアに分割することが可能な環境のこと。データ侵害から防御するために情報セキュリティ管理策を使用し、敵えつなガバナンスのために管理策の有効性を検証しちえるマルチテナントの形態を指す。各テナントのリスクがシングルテナント環境以下であるときに存在する「強いセキュリティ」が必要な場合には各テナントを識別するIDでさえ秘密にする必要がある。
  • ISO/IEC2000シリーズはITサービスマネジメントシステム(ITSMS)の為の規格
  • ITSMSが求められる理由
    • ITサービスは無形であり、手を掛ければキリがないが手を抜けばごまかしがきく。
    • SLAによる部分最適ではなく、サービス全体をマネジメントすることが必要である。
  • ITSMS3つの効果
    • ITサービスの品質向上を図ることができる
    • 顧客の要望に見合ったサービスの提供が可能になる
    • コスト削減を図ることができる
  • ISO/IEC 22301 事業継続マネジメントシステム(BCMS):事業継続の確立、導入、運用、監視、レビュー、維持及び改善を担う部分。
  • ISO 31000 リスクマネジメント:組織活動におけるリスクを特定・分析し、自らのリスク基準を満たすためにリスクを運用管理する。
  • リスクマネジメントの枠組みとプロセス
技術系
  • ISO/IEC 15408 情報セキュリティ評価(CC:コモンクライテリア):宣言する内容の形式や用語、検証する内容についての規格
    • セキュリティ評価の保証レベル(EAL1~7、1~4は一般、5~7は軍用)
  • ISO/IEC 17788 クラウドコンピューティングに関する概観および用語
  • ISO/IEC 17789 クラウドサービスを構成するコンポーネントの基本的な考え方
    • CCRA(クラウドコンピューティング参照アーキテクチャ)を規程
  • ISO/IEC 19790:2012 暗号モジュールのセキュリティ要求事項。暗号を実装した製品のセキュリティ試験・認証の規格。
    • 日本にはJCMVPと呼ばれる仕組みがあり
      • 暗号の実装が正しく行われているか
      • 重要情報が適切に保護されているか を認証することで
        • 電子政府推奨暗号リストに記載されている暗号アルゴリズムを正しく実装していること
        • 暗号鍵管理が適切に行われていること が確認できる
    • ISO/IEC 24759 暗号モジュールのセキュリティ試験要件
  • IEEE 802.11シリーズ 無線LAN規格
    • 暗号化方式
      • WEP:最古の暗号化方式、暗号化アルゴリズムは解析されており使用すべきではない。
      • WPA/TKIP:TKIPはWEPを拡張した規格。安全性は必ずしも高くない。
      • WPA2/AES:AESは現在無線LANで利用可能な最も堅牢な暗号化方式。
3章 インシデントハンドリング

インシデントマネジメントとCSIRT
  • 「事故を未然に防ぐ」=「事前対応」では不十分、事故が発生している最中に被害を最小限に食い止める「事中」、事故からの復旧、原因究明および再発防止策の検討・実施などの「事後」の対応が求められる。
  • リスクアセスメントの実施の手引き
  • リスクアセスメントの結果から対応方法の分類:リスク低減、リスク回避、リスク保有、リスク転移
  • リスク低減⇒対策を講じることにより、脅威が発生する可能性を下げる⇒インシデントマネジメントが必要
  • NIST SP800-61(r1) インシデント対応ガイド
    • 準備
    • 検知と分析
    • 封じ込め、根絶、復旧
    • 事件後の対応
  • インシデントハンドリングマニュアル
  • 経営リスクと情報セキュリティ ~ CSIRT:緊急対応体制が必要な理由 ~
  • インシデントマネジメントはリスクマネジメントの一部としてインシデントを最小限に抑える活動。
  • インシデントマネジメントの1要素としてインシデントハンドリングがあり、インシデントマネジメントを実施する中心的役割がCSIRTである。
  • JPCERT/CCは日本の窓口となるCSIRT「国際連携CSIRT」「コーディネーションセンター」「分析センター」の役割を担う。
  • FIRST(Forum of Incident Response and Security Teams) 世界中のCSIRTの情報交換、インシデント対応の協力関係の構築等を目的とした国際フォーラム
  • CSIRTガイド
インシデントハンドリング
インシデントレスポンス例
  • 高度標的型攻撃APT攻撃)⇒ ハッカーが標的とした組織のネットワークへ不正に侵入し、検出されないまま長期的に潜伏し標的を分析・攻撃するステルス性のサイバー攻撃。
  • PII(Personally Identifiable Information) 個人を特定できる情報
4章 セキュア設計、セキュア開発の概説

なぜセキュア設計とセキュア開発について知る必要があるか
  • ビルドイン・セキュリティ、セキュリティ・バイ・デザイン → 設計・開発段階で対策(セキュリティレビュー、ソースコードレビュー)を行うことでセキュリティを高めることで後工程の対策コストを抑える。
脅威と開発の原則
  • リスク=目的に対する不確かさの影響
  • 「不確かさ」事象、その結果またはその起こりやすさに関する情報、理解または知識がたとえ部分的にでも欠落している状態
  • 「リスク源」それ自体、または他との組み合わせにより、リスクを生じさせる力を潜在的に持っている要素
  • 脅威はコントロールできないものと考え、脆弱性を作り込まない事が重要。
  • セキュアプログラミング
    • 脆弱性を作り込まない「根本的解決」
    • 予防的に影響を軽減する「保険的対策」
  • 脅威モデリング→開発対象のソフトウェアがさらされている脅威や攻略される可能性を洗い出す活動の1つ。セキュアプログラミング講座
  • NIST「SP 800-30」におけるリスクアセスメント
  • ソフトウェアの脅威6分類(STRIDE)Microsoftが提唱
  • Saltzer & Schroederによる8つの設計原則
    • 効率的なメカニズム
    • フェイルセーフなデフォルト
    • 完全な仲介
    • オープンな設計
    • 権限の分離
    • 最小限の権限
    • 共通メカニズムの最小化
    • 心理学的受容性
  • SEI CERTによる10の実装原則(Top 10 Secure Coding Practices)のSEI CERT Coding Standardsは見る価値あり。
  • 認証と認可の違い
    • 認証:アクセスしてきている対象が本物かどうか確認
    • 認可:リソースの使用を許可された対象のみに制限
開発プロセス
  • セキュリティレビュー
    • セキュリティポリシーを満たしているか
    • セキュリティ要件の対策漏れはないか
    • 既知の脆弱性対策を行えているか
  • ソースコードレビュー
    • 読みやすいか
    • わかりやすいか
    • 脆弱性、その兆しはないか
    • セキュアコーディングに準拠しているか
    • 既知の脆弱性対策を行えているか
    • セキュリティ上注意するライブラリ関数を呼び出している箇所はないか。
    • 設計で予定されていないデバッグ機能や保守機能などがプログラマ判断で実装されていないか。情報漏洩やアクセス制御の迂回がおこらないか。
    • 領域からデータがあふれうる箇所はないか。
  • セキュリティテスト
    • 既知の脆弱性パターンに陥ってないか。
    • セキュリティ設計どおりの実装ができているか
    • 設計工程までに検討しきれなかった脆弱性がないか
安全なウェブサイトの作り方
  • 代表的な脆弱性
    • SQLインジェクション
    • OSコマンド・インジェクション
    • パス名パラメータの未チェック/ディレクトリ・トラバーサル
    • セッション管理の不備
    • クロスサイトスクリプティング
    • CSRF
    • HTTPヘッダ・インジェクション
    • メールヘッダ・インジェクション
    • クリックジャッキング
    • バッファオーバーフロー
    • アクセス制御や認可制御の欠落
高度標的型攻撃対策向けのシステム設計
システム設計対策セットの活用
  • システム設計対策セットとは、APT攻撃を防ぐために防御目的に合わせてIPAが提供している資料(高度標的型攻撃』対策に向けたシステム設計ガイド
  • 6つの対策セットでは「防御遮断策」と「監視強化策」を整理
  • ファイル共有の制限とトラップアカウントによる監視←忘れがち
  • ファズテスト (fuzz test)とは異常系テストのひとつ。脆弱性を発見するためのテスト手法。予測不可能な入力データを与え意図的に例外を発生させ例外の挙動を確認する。
5章 倫理・コンプライアンスの概念
なぜ倫理・コンプライアンスが必要化
  • 被害の低年齢化やトラブルなどで、法律だけでなく、倫理やコンプライアンスが求められる。
情報社会における倫理
  • 2016年度情報セキュリティに対する意識調査 ⇒ 60代以上はITの倫理教育を受けた人が少ない。
  • 「他人に危害を加えなければ何をしようと自由である」
  • 古い情報を提供することは、情報処理安全確保支援士としての倫理的な行動とは言えない。
  • 情報セキュリティ早期警戒パートナーシップガイドライン ⇒ インシデントの発生時等、適切なタイミングで情報を公開する必要がある。
  • 5つの倫理原則
    • 1.誠実性の原則
      • 常に誠実な態度で専門的な基準及び事実とデータに基づいたサービスを提供。
    • 2.公正性の原則
      • 事故の偏見や複数の顧客同士、顧客や雇用主と自己との利益相反、他社からの鑑賞などの影響を排除し、客観的に行動
    • 3.能力および正当な注意の原則
      • Due Careの原則。情報セキュリティは常に変化する。登録セキスペも継続的に学び続け、専門家としての知識とスキルを維持するよう注意を払う。
    • 4.守秘義務の原則
      • 専門的、業務所知り得た情報の機密性を厳守する。
    • 5.Due Careの原則
      • Due Care:適度に慎重な個人が持つ行動の基準となる知識、行動原理。
コンプライアンス

  • コンプライアンス「法令遵守」と約されるが、その範囲は法令だけでなく、自主的に定めたルール、倫理観なども範囲に該当する。
  • ISO 26000 やさしい社会的責任
  • ポリシー 中小企業の情報セキュリティ対策ガイドライン
    • セキュリティポリシー
    • プライバシーポリシー
    • コンプライアンスポリシー
  • 内部統制(COSOフレームワークによる定義)
    • 3つの目的「業務」「報告」「コンプライアンス」
    • 5つの要素「統制環境、リスク評価、統制活動、情報と伝達、モニタリング活動」
    • JSOXは「ITへの対応」が要素に追加されている
  • IT全般統制(COBITフレームワーク)
6章 「RFC1087 倫理とインターネット」及び「情報処理学会倫理綱領」概説
なぜ倫理綱領(りんりこうりょう)が必要か
  • アプリ管理責任の拡散と制御規律の不在⇒制御は困難な為、緩いガイドラインで抑止(倫理綱領の作成)
  • 情報処理技術者は制度的に専門的と認められていない為、自ら行動規範を持つべき
  • ガイドラインの目的
    • 専門家の行動を促す
    • 専門家の独善を防ぐ
    • 自律的な行動規範とする
RFC1087 倫理とインターネット
情報処理学会倫理綱領とは
  • 情報処理学会倫理綱領
  • 次の行動規範を遵守する
    • 社会人として
      • 他社の生命、安全、財産を侵害しない
      • 他社の自覚とプライバシーを尊重する
      • 他社の知的財産権と知的成果を尊重する
      • 情報システムや通信ネットワークの運用規則を遵守する
      • 社会における文化の多様性に配慮する
    • 専門家として
      • たえず専門能力の向上に努め、業務においては最善を尽くす
      • 事実やデータを尊重する
      • 情報処理技術がもたらす社会やユーザへの影響とリスクについて配慮する
      • 依頼者との契約や合意を尊重し、依頼者の秘匿情報を守る
    • 組織責任者として
      • 情報システムの開発と運用によって影響を受けるすべての人々の要求に応じ、その尊厳を損なわないように配慮する
      • 情報システムの相互接続について、管理方針の異なる情報システムが存在することを認め、その接続がいかなる人々の自覚をも侵害しないように配慮する
      • 情報システムの開発と運用について、資源の正当かつ適切な利用の為の規則を作成し、その実施に責任を持つ
      • 情報処理技術の原則、制約、リスクについて、自己が属する組織の構成員が学ぶ機会を設ける

備忘録として残したけど、情報処理安全確保支援士試験 (SC)対策として役立つかな。




















ラベル:

コメント

コメントを投稿

このブログの人気の投稿

sendmailでの転送設定

某システムにてメールを配信する機能を開発へ依頼。 受け取った後、PHPの mb_send_mail はsendmailが無いと動かない事実を伝えられる。 うちのメールサーバはPostfixですよ。。。 Σ(|||▽||| ) 仕方が無いので、WEBサーバにsendmailを立て DMZ 内のpostfixへリレーするようする。 意外と内部のメールサーバに転送する文献がなかったので、備忘録として残すことにした。 ■sendmail-cf-8.13.8-8.el5.i386.rpmのインストール 設定ファイルをコンパイルするm4コマンドを使う為に必要。     ・モジュールの確認           # rpm -qa | grep sendmail         sendmail-8.13.8-8.el5         sendmail-cf-8.13.8-8.el5         「sendmail-cf-8.13.8-8.el5」がインストールされていなければ以下を実施     ・パッケージのインストール           # rpm -ivh sendmail-cf-8.13.8-8.el5.i386.rpm     ・再度モジュールの確認           # rpm -qa | grep sendmail         sendmail-8.13.8-8.el5         sendmail-cf-8.13.8-8.el5 ■hostsファイルの確認           ・hostnameの確認           # hostname        ...
コメントを投稿
続きを読む

Android端末の操作を自動化する

システムの運用保守をやってると、必ず実機確認(サービス正常性確認)というモノをやらされる訳であります。 スマホアプリ操作なんかだと、複雑なうえに素早く実施しないとイケない。 はっきり言って、アラフォー男子には限界があります。そこで 自動化 を思いつきます。 FRep - Finger Replayer が有力そうだけど、Root化しないとイケない?業務端末では無理です!! 有償で良さ気なソフトもありそうですが、まずは自力でチャレンジ。調べて見るとadbコマンドを使ってタップやスワイプのイベントを端末に送信できることがわかりました。早速、作業に取り掛かります。 2015/05/05 時点でリリースされている最新版を使って開発環境を構築します。 開発環境となるPCのOSはWindows7 Professional SP1 64bit。 作業は全て管理者権限が付与されたユーザで実施しています。 1. Android SDK をインストール ここ からAndroid SDKをダウンロードします。 サイトの下の方に「SDK Tools Only」があるので、そこから[installer_r24.2-windows.exe]をダウンロードしてインストールします。 次にシステム環境変数の中の[Path]変数を編集し、以下のパスを登録します。 "C:\android-sdk-windows\platforms" "C:\android-sdk-windows\tools"    ※"C:\"はご自身のインストール先によって異なります。 2. PCにAndroid端末を繋げる ①Android端末本体の「設定」から「アプリケーション」>「開発」>「USBデバッグ」にチェック。 ②Android端末をUSBでPCに接続。 ③コマンドプロンプトを立ち上げ、adbコマンドで端末の接続を確認。  > adb devices 以上で準備が整いました。 3. 画面キャプチャを撮って、座標を調べる 次に画面を操作する為、座標を調べます。画面キャプチャをペイント等のアプリで開いてみましょう。図の左下に座標が表示されます。ここではFace...
コメントを投稿
続きを読む