情報処理安全確保支援士 オンライン講習(2021年度)単元1:情報処理安全確保支援士に期待される役割と知識
日時:2022年4月10日~4月27日1.情報処理安全確保支援士に期待される役割と知識
1章:情報処理確保支援士の人材像
安全確保支援士が活躍する場面は情報システムのライフサイクル全般
①経営課題への対応
②システム等の設計・開発
③運用・保守
④緊急対応
「情報処理安全確保支援士 倫理綱領」役割と責任を果たすために従うべき規範(1.公正と誠実、2.秘密保持、3.法令等の遵守、4.信用保持、5.自己研鑽)
【倫理が重要な理由】
・専門分野の細分化、高度化により、技術者に要求される判断が難しくなっている
・相反する事態に遭遇することがある
・判断結果が、社会に多大な影響を与える可能性がある
【倫理と法律】
・倫理的問題に対し、妥当な結論を導くための「考える力」が必要となる
・一定の「法律」の知識も必要
・「法律」は倫理の内容として重要な位置を占める
・組織の「内部統制」「公益通報」に関し、法律は多くの規定がある
2章:情報処理確保支援士に期待されること
DXが加速しサイバーセキュリティが経営課題と認識さえっる企業や組織において、必要不可欠な存在
・技術を安全に事業に活かすという視点をもった専門家
・セキュリティリスクを経営層、事業部門にも平易に説明し、必要な支援、協力、連携を取り付ける
・セキュリティ事故発生時も必要な専門家と連携しながら早期に回復できるよう、経営層、事業部部門、情シス部門の橋渡しを推進
必要な情報を組み合わせ、活用できるように伝える
セキュリティ対応サイクル(導入、実行、運用、対応、見直し)の中で様々な支援を求められる(セキュリティ対応組織の教科書)
3章:情報セキュリティを取り巻く環境の変遷
OT・IoTへの広がりにより「境界防御」の概念が曖昧に、セキュリティ確保が難しくなっている。
サプライチェーンの弱点を悪用した攻撃も2019年からランクイン
攻撃者の主な分類:金銭、ハクティビズム、愉快犯、諜報
4章:セキュリティ対応 導入フェーズの知識
■「導入」の場面で必要となる知識 ~必要性~
「サイバーセキュリティ経営ガイドライン」
- 経営者が認識すべき「3原則」
- 経営者のリーダーシップが必要
- 自社以外にも配慮
- 平時からのコミュニケーション・情報共有
- 経営者がCISO等に指示すべき「重要10項目」
- サイバーセキュリティ対応方針策定
- リスク管理体制の構築
- 資源(予算・人材等)の確保
- リスクの把握と対処計画策定
- 保護施策(防御・検知・分析)の実施
- PDCAの実施
- 緊急対応体制の整備
- 復旧体制の整備
- サプライチェーンセキュリティ対策
- 情報共有活動への対策
- 三層構造モデルを利用し信頼性を確保するためのアプローチ
- 第1層 企業間のつながり:企業(組織)のマネジメントの信頼性
- 第2層 フィジカル空間とサイバー空間のつながり:要求される情報の正確性に応じて適切な正確さで情報が変換される「転写」機能の信頼性
- 第3層 サイバー空間におけるつながり:サイバー空間のつながりにおける、データの信頼性
- セキュリティ対策の基本機能
- 識別:システム、人、資産、データ、機能に対するサイバーセキュリティリスクの管理に必要な理解を深める。
- 防御:重要サービスの提供を確実にするための適切な保護対策を検討、実施する。
- 検知:サイバーセキュリティイベントの発生を識別するのに適した対策を検討、実施する。
- 対応:検知されたサイバーセキュリティインシデントに対処するための適切な対策を検討、実施する。
- 復旧:レジリエンスを実現するための計画を策定・維持じ、サイバーセキュリティインシデントによって阻害されたあらゆる機能やサービスを元に戻すための適切な対策を検討、実施する。
■「導入」の場面で必要となる知識 ~体制・役割~
- セキュリティ対策を組織に導入していくにあたり、どのようなカタチにするかは体系的な観点から具体的に落とし込む必要がある。
- ユーザ企業のためのセキュリティ統括室 構築・運用キット
- セキュリティ施策を取りまとめるセキュリティ統括について整理したもの
- 産業横断サイバーセキュリティ検討会
- CSIRT Services Framework
■「導入」の場面で必要となる知識 ~人材・スキル~
- 適切な人材の配置、新たな人材の登用、人材の育成
- 産業横断 人材定義リファレンス
- セキュリティ知識分野(SecBok2019)
- CSIRT 人材の定義と確保
5章:セキュリティ対応 実行フェーズの知識
セキュリティ対策の「実行」にあたってはベストプラクティスや方法論を参考し、紐解きながら応用していくことが求められる。
- 「サイバーセキュリティ経営ガイドライン」
- 「サイバー・フィジカル・セキュリティ対策フレームワーク」
- 「中小企業の情報セキュリティ対策ガイドライン」
6章:セキュリティ対応 見直しフェーズの知識
- 「見直し」の場面で必要となる知識
- 情報資産管理ができているかのチェッkう
- 経済産業省「情報セキュリティ管理基準」
- 受けるサービス(セキュリティ・クラウド)のチェック
- IPA「情報セキュリティサービス基準適合サービスリスト」
- IPA「ISMAPクラウドサービスリスト」
- 自組織の成熟度合いのチェック
- ISOG-J「セキュリティ対応組織成熟度モデル」
- ENISA「SIM3」ヨーロッパ中心のCSIRT成熟度モデル
- 開発に関わるセキュリティのチェック
- CSAJ「ソフトウェア出荷判定セキュリティ基準チェックリスト」
- JPCERT/CC「IoTセキュリティチェックリスト」
- 「情報セキュリティ管理基準」
- マネジメント基準:情報セキュリティマネジメントの計画、実行、点検、処置に必要な実施事項を定めている。
- 管理策基準:組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与える。
- 「ISMAPクラウドサービスリスト」
- 政府情報システムのためのセキュリティ評価制度 ISMAP(イスマップ)は政府が求めるガバナンス基準、マネジメント基準、管理策基準の3点を満たしているクラウドサービスをリスト化。
- 「ソフトウェア出荷判定セキュリティ基準チェックリスト」
- ソフトウェア製品・サービス企画、仕様策定、方式設計、詳細設計、テスト、運用に至るライフサイクルのなかで、一定レベルのセキュリティ品質を確保する観点から、管理対象項目と管理手法を定義。
- 開発における各ステップ単位でチェックリストを作成することもでき、セキュリティ品質の可視化により、信頼性の向上を図ることができる。
- 「IoTセキュリティチェックリスト」
- IoTデバイスが脅威の存在する環境においても安全に運用する為に実装しておきたいセキュリティ機能をチェックできる。
- 脆弱性情報:ソフトウェア製品やウェブアプリケーション等におけるセキュリティ上の問題個所についての情報を収集し、関係者に対し、プログラムの修正やソフトウェア更新、開発ソフトウェアへの対策プログラムの組み込みなどタイミングを逸しない適切な対応を促す。
- 脅威情報:攻撃に関連する情報を収集、様々な情報ソースから必要となる情報を整理し、自組織において、その攻撃が発生していないか、被害がでていないか、防御できているか、を適切に見極めるために活用を促す。
- インシデント対応ライフサイクルに沿って、情報の利用目的を考える。
- NIST
- 準備⇒検知・分析⇒封じ込め/根絶・復旧⇒事後対応
- インシデント対応ライフサイクルをベースに情報の活用の流れを定義
- セキュリティ対応組織力をあげるコツ~成熟度の可視化と、情報共有の心得~
- MITRE ATT&CK
- [攻撃グループ][利用するソフトウェア][テクニック][達成されるべき戦術]
- 例)攻撃グループ「XXX」が「xyz-dos」というソフトウェアを用いて「Credintial DDos」というテクニックで「AAAA」を達成した。
- セキュリティ対応 運用・対応フェーズの知識
- 予防:未然に攻撃を止めたり、無効化したりする方法についての情報
- 検知および分析:攻撃を検知する監視の実施と被害の有無についての判断ができる情報
- 封じ込め/根絶/復旧:攻撃を止めたり無効化したりする方法、及び復旧手段についての情報
- 準備(予防):未然に攻撃を止めたり、無効化したりする方法についての情報
- 事件後の対応:具体的に実施してきた対応内容のまとめ
- 情報収集において、正確性と網羅性を確保するために
- 正確性を確かめるため、必ず一次情報源も確認する
- 網羅性を上げるため、いくつかの情報源を継続的に確認する
- ※どのような情報源であれ、「情報共有のトライアングル(ジレンマ) 」からは逃れられない
コメント
コメントを投稿