情報処理安全確保支援士に期待される役割と知識
情報処理確保支援士に何が期待されているか把握し、どのような知識が必要なのかを学習する。第1章 情報処理安全確保支援士の人材像(役割と責任)- サイバーセキュリティを確保し、国民が安全で安心して暮らせる社会を実現すること
- 『情報処理安全確保支援士 倫理綱領』役割と責任を果たすために従うべき規範
- 公正と誠実
- 秘密保持
- 法令等の遵守
- 信用保持
- 自己研鑽
第2章 情報セキュリティを取り巻く環境の変遷
- サイバーセキュリティを確保し、国民が安全で安心して暮らせる社会を実現すること
- 『情報処理安全確保支援士 倫理綱領』役割と責任を果たすために従うべき規範
- 公正と誠実
- 秘密保持
- 法令等の遵守
- 信用保持
- 自己研鑽
第2章 情報セキュリティを取り巻く環境の変遷
これまでは境界の内側は安全で、外部は危険があるので外からの脅威を防ぐ「境界防御」の考え方が一般的であった。しかし情報システムのクラウド化により、守るべき情報資産が外部にあるケースが増え、「境界」は曖昧なものへ。サプライチェーン上の脆弱なポイントを攻撃者は狙ってくる。「ゼロトラスト」
第3章 情報処理安全確保支援士に期待されること
セキュリティにおいて、実務と経営をつなぐ(意思決定:経営層、助言指示:戦略マネジメント層、対策実施:実務者・技術者層)セキュリティ対応サイクルの各フェーズで求められる知識を提供。
第4章 セキュリティ対応 導入フェーズの知識
「導入」では企業経営、産業構造、機能的な視点が必要 経営者が認識すべき「3原則」 経営者がCISO等い指示すべき「重要10項目」 産業社会を「三層構造」に整理し、セキュリティ対策の概念を整理したもの セキュリティ対策の基本機能を5つに分類。
サプライチェーン上の脆弱なポイントを攻撃者は狙ってくる。
「ゼロトラスト」
第3章 情報処理安全確保支援士に期待されること
セキュリティにおいて、実務と経営をつなぐ(意思決定:経営層、助言指示:戦略マネジメント層、対策実施:実務者・技術者層)
セキュリティ対応サイクルの各フェーズで求められる知識を提供。
第4章 セキュリティ対応 導入フェーズの知識
「導入」では企業経営、産業構造、機能的な視点が必要
経営者が認識すべき「3原則」
経営者がCISO等い指示すべき「重要10項目」
産業社会を「三層構造」に整理し、セキュリティ対策の概念を整理したもの
セキュリティ対策の基本機能を5つに分類。
体制や役割の参考
適切な人材の配置、新たな人材の登用、人材の育成の3つの観点で検討。
- 産業横断 人材定義リファレンス:事業活動の観点から要求知識や業務区分、スキルを整理したもの
- セキュリティ知識分野(SecBoK2019):人材育成の観点から、スキルだけでなくタスクやロールを整理しまとめたもの
- CSIRT 人材の定義と確保:人材登用・育成の観点から、CSIRTにおけるスキルや人材像を整理しまとめたもの
第5章 セキュリティ対応 実行フェーズの知識
「実行」の場面で必要となる知識はベストプラクティスや方法論を参考にする。
サイバーセキュリティ経営ガイドライン 実践のためのプラクティス集:重要10項目を実践する際の実施手順、事例
サイバー・フィジカル・セキュリティ対策フレームワーク 第Ⅱ部:リスクマネジメントの考え方、ユースケースを利用した自組織の内容に近いケースが参考になる。
サイバー・フィジカル・セキュリティ対策フレームワーク 第Ⅲ部:対応要件に対して3段階に分けた具体的な対策例が列挙されており、どう対策すればよいかの指標となる。添付C
中小企業の情報セキュリティ対策ガイドライン:すぐに使える雛形やサンプルが付録されている。
第6章 セキュリティ対応 見直しフェーズの知識
「見直し」の場面で必要となる知識→セキュリティレベルのさらなる向上
情報資産管理ができているか
- 『情報セキュリティ管理基準』情報セキュリティマネジメントの円滑で効果的な確立を目指してマネジメントサイクル構築から管理策までの基準。ISMSにも整合されるよう配慮されている。マネジメント基準(計画、実行、点検、処置)、管理策基準(リスク対応方針に従って管理策を選択する際の選択肢)の観点により整備と運用を行う。
受けるセキュリティサービスのチェック
- 『情報セキュリティサービス基準適合サービスリスト』4つのサービス分野において、技術要件・品質管理要件をクリアしているサービスをリスト化
自組織の成熟度合いのチェック
- 『セキュリティ対応組織成熟度モデル』組織の成熟度として9つの昨日別と54の役割別に5段階で評価可能。「セキュリティ対応組織成熟度セルフチェックシート」
- 『SIM3(Security Incident Management Maturity Model) 』CSIRT組織の成熟度として、Organization, Human, Tools, Processesの4カテゴリで44項目を5段階評価
第7章 セキュリティ対応 運用・対応フェーズの知識
- 「運用」と「対応」の場面で必要となる知識
『脆弱性情報』ソフトウェア製品はウェブアプリケーション等におけるセキュリティ上の問題箇所についての情報を収集し、関係者に対しプログラムの修正やソフトウェア更新、開発ソフトウェアへの対策プログラムの組み込みなど、タイミングを逸しない適切な対応を促す。『脅威情報』攻撃に関連する様々な情報を収集し、様々な粒度の情報ソースから、真に必要となる情報を整理し自組織においてその攻撃が発生しないか、被害が出てないか、どのように防御できるかなどを適切に見極める為に活用を促す。
- インシデント対応ライフサイクルに沿って情報の利用目的を考える
- 「準備(予防)」→「検知および分析」→「封じ込め/根絶/復旧」→「事件後の対応」
- 参考『NIST Computer Security Incident Handling Guide』
- 「Why:何を目的に」「When:どのようなタイミングで」「What:何の情報を」に着目し情報共有を行うことが大切
- 情報を活用したセキュリティ対応の流れ(WhyとWhen)
- インシデント対応ライフサイクルに入る前に本当に対応が必要となる情報なのか判断(Why)、その情報を求められるタイミングがWhen
- 『セキュリティ対応組織 (SOC,CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」 v2.0 (2019年4月)』
- 情報を活用する目的(What)
- 適切な情報(What)を伝える場合に、目的とタイミングを把握したうえで「何を伝えるのか」明確にする
- 情報共有のトライアングル(ジレンマ)
- 3点のうち何を犠牲にしているか正確に伝える必要がある
- 早くて正確なものは網羅性に問題が出る
- 早くて網羅的なものは正確性に問題が出る
- 正確で網羅的なものは早さに問題が出る
- 『セキュリティ対応組織力を上げるコツ』
- 脆弱性情報収集
- 『脆弱性対策の効果的な進め方 ツール活用編』オープンソースソフトウェアのVulsを活用した脆弱性対策の手順
- 脅威情報を基にした対策『The Pyramid of Pain』
- 守る側と攻撃する側に分けた分類「守る側の対策の難易度が高いが、攻撃側も手を変えにくい」「守る側が対策しやすいが、攻撃側も手を変えやすい」
- 脅威情報を基にした対策『MITER ATT&CK』
- 情報を「Adversary Group(攻撃の主体)」「Software(利用するソフトウェア)」「Technique(駆使するテクニック)」「Tactic(達成されるべき戦術)」の4つの観点で整理。
- 攻撃グループや戦術などを紐付けやすくなる
コメント
コメントを投稿