平常時の対応
平常時に行うべき対応の全体像の把握、インシデント対応のための準備としての脆弱性情報の対応や状況把握、ユーザへの働きかけとしての普及啓発や注意喚起、訓練などを学習する。
第1章 平常時の対応に関する全体像
- インシデントマネジメント活動
- 脆弱性対応
- 事象分析
- 普及啓発
- 注意喚起
- その他インシデント関連業務
- インシデントハンドリング(非常時)
- 『一般社団法人 JPCERT コーディネーションセンター CSIRT ガイド』
第2章 脆弱性対応
- 脆弱性対応における活動全般
- 資産と構成の把握
- 資産管理:IT資産の管理やライセンス管理などの実施⇒絶対数の把握
- 構成管理:ITサービスを構成する要素の管理を実施⇒構成数の把握
- その他の管理情報:ネットワーク情報(ネットワーク図、ルーティング、ファイアウォール設定など)⇒リスクの把握
- 情報セキュリティの基本ポリシーに従い、物理的、環境的、技術的、人的な対策を実施する(ISO/IEC 27001)
- 契約時に合意すべき事項
- 脆弱性対応における情報収集先
- JVN(Japan Vulnerability Notes)
- JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営
- 日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供
- JVN脆弱性レポート
- 「情報セキュリティ早期警戒パートナーシップ」に基づき報告された脆弱性情報
- 海外の調整基幹と連携
第3章 事象分析
- 自組織が守るものを明確にする
- 誰が→オーナーの明確化
- 何を→資産とその価値の把握
- どこに→オンプレミス、クラウドなど
- 何を守るべきか
- コストは有限である。どこを重点的に守るのかを明確にする。
- 何を守るかを検討する為に脅威も把握しておく必要がある。
- 状況の把握
- 資産情報の収集
- サーバ/ネットワーク機器
- OS、ミドルウェア・ファームウェアのバージョン
- 外部クラウド等
- ネットワーク情報の収集
- 構成と装置
- セキュリティ装置
- システム
- ID
- 証跡ログ、設定情報監視(改ざん検知)
- ネットワーク
- ファイアウォール、IDS/IPS、WAF、プロキシ等の監視
- エンドポイント
- アンチウイルスソフトによるエンドポイント監視
- 近年ではEDR(Endpoint Detection and Response)との組み合わせた対策
- 定期的な状況把握
- 脆弱性診断
- 脆弱性やセキュリティ機能の不足を網羅的に洗い出す
- ペネトレーションテスト
- 明確な意図を持った攻撃者が、その目的を達成することが可能か試みる検証
- 脆弱性診断士スキルマッププロジェクト「ペネトレーションテストについて」
- 分析
- リアルタイムアナリシス(即時分析)
- 事象をリアルタイムに把握し、都度分析を行う
- ディープアナリシス(深堀分析)
- リアルタイム分析では判断できない内容について深く分析を行う
- 脅威分析
- 外部/内部からの用意を把握し自組織に対する影響を分析
第4章 普及啓発
第5章 注意喚起
第6章 その他インシデント関連業務
- セキュリティ対応活動のアウトプット
- 経営層に対して、状況の可視化を行ない報告する。
- CISOダッシュボード
- 日本ネットワークセキュリティ境界(JNSA) 『CISO ハンドブック』
コメント
コメントを投稿