スキップしてメイン コンテンツに移動

情報処理安全確保支援士 オンライン講習(2021年度)単元3:継続して実施していくセキュリティ対応

情報処理安全確保支援士 オンライン講習(2021年度)単元3:継続して実施していくセキュリティ対応

日時:2022年5月2日~5月5日


概要
システムやソフトウェアのライフサイクルにおいて、開発を中心としてどのようにセキュリティを確保した設計、実装、試験を行うべきか学習する。

1章:変化するIT環境
  • ITインフラの変化の影響
    • ネットワーク範囲や防御すべきシステムは拡大しており境界防御が難しくなっている
  • 制御システムの変化
    • もともとクローズド環境で長期間の利用を想定しており、防御機能が十分でなく、都度のアップデートが難しいことからサイバー攻撃の標的となっている
  • クラウドファーストと安全性の考え方
    • 自組織のシステムに対して
      • システム環境や運用を正しく把握・管理する
      • 適切なセキュリティ対策を実施する
  • クラウド・バイ・デフォルト原則とは
2章:IT環境の把握
  • 資産と構成を把握し、最新の状態に維持することはセキュリティ対策を行う基本となる。
    • 資産管理情報⇒絶対数の管理
      • IT資産やライセンスなどの管理
    • 構成管理情報⇒構成物・数の把握
      • ITサービスを構成する要素の管理
    • その他管理情報⇒リスク・影響の把握
      • ネットワーク情報(全体ネットワーク図、ルーティング、ファイアウォール設定など)
      • 機器同士の相互関係
      • システム・ソフトウェアのライフサイクル
  • 正確に把握できない場合
    • 脆弱性の影響を受ける機器の把握ができない
    • セキュリティ対策の実施が徹底されているか把握ができない
    • 緊急時の影響範囲の特定、予測ができない
  • 情報システムの導入に際し、必要なデータを管理するルール・仕組みが必要
    • 情報システムや新規に導入するシステムの管理情報を適切に収集・登録する仕組み
    • 情報システムのライフサイクルを意識し、適切なシステム更改計画を立てる
  • サポート終了を見据えた計画を
  • 継続的なセキュリティ監視の重要性
    • 自組織の状況を正しく理解する必要がある。継続に情報を収集・分析し、システム全体が正常であること、事象分析に必要な情報が収集できていることを確認し、状態を維持することが重要。
    • 「正常である状態」を監視するために
      • 正常と異常の状態を定義し、その定義を基に分析を行う
      • 収集した除法のみで分析するのではなく、複数の情報を横断的に分析
      • 正常な状態であり、異常な状態でないことを、断続的に評価していく
3章:制御システムにおける脆弱性対応
  • 制御システムの特徴
    • セーフティ、システムの継続した安全な稼働
    • 技術サポート期間が情報システムと比較して長期間
    • 非常に高い可用性
  • IPA 制御システム利用者のための脆弱性対応ガイド
  • 制御システムのセキュリティリスク
    • 事業継続計画(BCP)において想定する主要なリスクの1つであり経営責任が問われる
    • 自組織だけでなく、サプライチェーン全体で取り組むべき課題
  • 制御システムネットワークを流れるデータおよびログデータの監視
    • 制御システムのネットワークを流れるデータを監視する
    • 専用のログ監視ツールを導入する
    • 制御システムにもともと組み込まれているログ管理機能を使用する
4章:セキュリティにおける脅威情報の収集と活用
  • 脅威とリスクの考え方
    • 脅威とは、何らかの損害(影響)を発生される可能性のある事象を指す
    • 脅威情報は脆弱性情報や攻撃活動の情報などから成り立つ
    • 脅威情報を基に、組織における情報資産の重要度や被害の発生可能性などを踏まえ、組織のリスクへの対策と対応を検討する
  • 登録セキスペに求められる対応
    • セキュリティに関する情報について正しく理解する
    • 日常的に情報を収集する
    • ビジネス活動のなかで各担当者と連携し、セキュリティ対応を推進する
  • セキュリティインデントは4つのフェーズに分けることができる
    1. 準備
    2. 検知と分析
    3. 封じ込め/根絶/復旧
    4. 事件後の対応
  • セキュリティ対応組織(SOC/CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」
  • 攻撃の検知、被害有無の分析の確認に必要な情報
    • 通信を介した攻撃に関する情報
      • 攻撃の特徴、攻撃コード、ログに記録されて特徴
        • 攻撃の仕組みを理解し、記録された通信ログを分析し被害の有無を調査
      • 攻撃元に関する情報
        • IPアドレスやドメイン情報、FQDN、URLと紐づけて被害の有無を調査
      • セキュリティ製品の検知情報
        • FWやIDS/IPSなどのネットワーク対策製品における検知情報
    • マルウェアを用いた攻撃に関する情報
      • 攻撃に関する痕跡情報(IoC)や分析情報
        • 攻撃に使われたマルウェアのファイル名やハッシュ値、配備されたフォルダパス
        • マルウェアの持つ機能や、マルウェアの通信先情報や通信の特徴など
      • セキュリティ製品の検知情報
        • マルウェア対策製品におけるマルウェアの検知名やエンドポイントセキュリティ製品で検出される不審な挙動の検知名など
      • 実際のセキュリティ対応事例
  • 経営層と連携した協力体制
  • セキュリティに関する脅威情報の収集
5章:脆弱性情報の流通に関わる取り組み
6章:普及啓発と注意喚起
  • 普及啓発と注意喚起で登録セキスペに求められること
    • 組織の定めるセキュリティポリシーやルールを適切に理解する
    • 自組織やセキュリティ団体が行っている注意喚起の情報を収集する
    • 業務活動においてルールの徹底や注意喚起の対応の実施を広めていく
  • Webminの脆弱性(CVE-2019-15107)を標的としたアクセスの観測について
  • フィッシングメールへの注意喚起
    • 従業員向けの情報
      • 攻撃の全体像および攻撃手法
      • 攻撃の具体的事例、特徴や注意点
    • システム管理者向けの情報
      • 攻撃の具体的事例/インディケータ情報
      • セキュリティ対策法/対応事項
  • マルウェア感性への注意喚起
    • 従業員向けの情報
      • 攻撃の全体像および攻撃手法
      • 攻撃の具体的事例、特徴や注意点
      • 対策指示事項(定義ファイル更新など)
    • システム管理者向けの情報
      • 攻撃の具体的事例/インディケータ情報
      • セキュリティ対策法/対応事項
      • 感染報告があった際の対応フロー
  • 観測による攻撃動向の注意喚起
    • 従業員向けの情報
      • 攻撃の具体的事例、特徴や注意点
      • 対策指示事項(アップデートなど)
      • 影響対象かの確認方法
    • システム管理者向けの情報
      • 指示事項(機器確認、アップデートなど)
      • セキュリティ対策法/対応事項
      • 被害確認方法、被害があった際のフロー
  • 感染を防ぐ、気づくための継続的な対策
    • 注意喚起自体は、感染を抑える具体的な対策とはなりえない
    • 攻撃者の攻撃方法は、既存のセキュリティ対策で検知できないよう、継続的に変化する
    • 同様の攻撃手法を用いて、異なるマルウェアを配信する攻撃者も出現することもある
  • セキュリティを実施する目的は
    • セキュリティを担保し、ビジネス価値を向上させる
    • 危惧すべきリスクが守られているか確認できる
    • ⇒利用者への過度の負担とならないよう、施策や効率的なチェックの仕組みの検討が必要
7章:情報セキュリティ監査
  • 監査とは
    • 組織の経営活動とその結果の正確性確認・妥当性判断を行い、報告を受けることで、監査の対象と、その目的によって様々な監査の種類がある
  • 情報セキュリティ監査
    • 情報資産を守るための対策・管理について確認
    • 情報セキュリティに関わるリスクマネジメントの効果的な実施が目的
  • システム監査
    • システムに関するリスク・コントロールについて確認
  • 会計監査
    • 会計・決算の報告に虚偽等を行っていないか確認
  • 業務監査
    • 会計以外の業務の適法性や経営目的との合致を確認
  • 情報セキュリティ監査とシステム監査の違い
    • 共通点:リスクアセスメントに基づくコントロールの整備状況を独立かつ客観的に評価し、状況に対して保証または助言を行う
    • 相違点:情報セキュリティ監査は「情報資産」を対象とするが、システム監査は「情報システム」を対象としてリスク・コントロールを行う
  • 情報セキュリティ監査における基準
  • 情報セキュリティ監査における対象
    • 監査対象組織の情報セキュリティに関するマネジメントやマネジメントにおけるコントロールを対象として監査する
  • 情報セキュリティ監査における目的
  • 情報セキュリティサービス審査登録制度
    • 一定品質の維持・向上が図られている情報セキュリティサービスを審査・とりまとめ・リスト化して公開する制度
  • ISMAP - 政府情報システムのためのセキュリティ評価制度
    • 政府の求めるセキュリティ要求を満たすクラウドサービスを予め評価・登録し政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的とした制度
ラベル:

コメント

コメントを投稿

このブログの人気の投稿

sendmailでの転送設定

某システムにてメールを配信する機能を開発へ依頼。 受け取った後、PHPの mb_send_mail はsendmailが無いと動かない事実を伝えられる。 うちのメールサーバはPostfixですよ。。。 Σ(|||▽||| ) 仕方が無いので、WEBサーバにsendmailを立て DMZ 内のpostfixへリレーするようする。 意外と内部のメールサーバに転送する文献がなかったので、備忘録として残すことにした。 ■sendmail-cf-8.13.8-8.el5.i386.rpmのインストール 設定ファイルをコンパイルするm4コマンドを使う為に必要。     ・モジュールの確認           # rpm -qa | grep sendmail         sendmail-8.13.8-8.el5         sendmail-cf-8.13.8-8.el5         「sendmail-cf-8.13.8-8.el5」がインストールされていなければ以下を実施     ・パッケージのインストール           # rpm -ivh sendmail-cf-8.13.8-8.el5.i386.rpm     ・再度モジュールの確認           # rpm -qa | grep sendmail         sendmail-8.13.8-8.el5         sendmail-cf-8.13.8-8.el5 ■hostsファイルの確認           ・hostnameの確認           # hostname        ...
コメントを投稿
続きを読む

Android端末の操作を自動化する

システムの運用保守をやってると、必ず実機確認(サービス正常性確認)というモノをやらされる訳であります。 スマホアプリ操作なんかだと、複雑なうえに素早く実施しないとイケない。 はっきり言って、アラフォー男子には限界があります。そこで 自動化 を思いつきます。 FRep - Finger Replayer が有力そうだけど、Root化しないとイケない?業務端末では無理です!! 有償で良さ気なソフトもありそうですが、まずは自力でチャレンジ。調べて見るとadbコマンドを使ってタップやスワイプのイベントを端末に送信できることがわかりました。早速、作業に取り掛かります。 2015/05/05 時点でリリースされている最新版を使って開発環境を構築します。 開発環境となるPCのOSはWindows7 Professional SP1 64bit。 作業は全て管理者権限が付与されたユーザで実施しています。 1. Android SDK をインストール ここ からAndroid SDKをダウンロードします。 サイトの下の方に「SDK Tools Only」があるので、そこから[installer_r24.2-windows.exe]をダウンロードしてインストールします。 次にシステム環境変数の中の[Path]変数を編集し、以下のパスを登録します。 "C:\android-sdk-windows\platforms" "C:\android-sdk-windows\tools"    ※"C:\"はご自身のインストール先によって異なります。 2. PCにAndroid端末を繋げる ①Android端末本体の「設定」から「アプリケーション」>「開発」>「USBデバッグ」にチェック。 ②Android端末をUSBでPCに接続。 ③コマンドプロンプトを立ち上げ、adbコマンドで端末の接続を確認。  > adb devices 以上で準備が整いました。 3. 画面キャプチャを撮って、座標を調べる 次に画面を操作する為、座標を調べます。画面キャプチャをペイント等のアプリで開いてみましょう。図の左下に座標が表示されます。ここではFace...
コメントを投稿
続きを読む