kuzira_diver

情報処理安全確保支援士 オンライン講習（2021年度）単元６：情報セキュリティ関連の標準やガイドライン 日時：2022年5月12日～5月15日 概要 情報セキュリティに関する標準やガイドラインの制定・改廃、社会通念の変化、国内外の動向、それらを活用する理由を学習する １章：セキュリティ対応における標準・ガイドラインの活用 ガイドラインを用いることにより、「自組織が相手に求めること」「自組織が満たしているセキュリティレベル」を共通言語で示すことができる ISMS-T標準化動向と今後 マネジメントコース 情報セキュリティマネジメントの実践ポイント ２章：国内のガイドライン NISC みんなで使おうサイバーセキュリティ・ポータルサイト 国内のサイバーセキュリティに関する公的機関等の施策・取り組みを紹介 サイバーセキュリティ経営ガイドラインVer.2.0および支援ツール サイバー・フィジカル・セキュリティ対策フレームワークの内容と要点を知り組織のガバナンスに有効活用することができる サイバーセキュリティ研修会WG　事務局説明資料 サイバーセキュリティ経営ガイドライン 経営者を対象としたガイドライン 経営者が認識する「3原則」、担当幹部に指示すべき「重要10項目」をまとめている サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 経営者、CISO等、セキュリティ担当者を読者として想定 重要10項目を実践するための考え方、ヒント、実践手順などを記載 サイバーセキュリティ体制構築・人材確保の手引き セキュリティリスク管理体制の構築 セキュリティ対策のための資源（予算・人材等）確保 サイバーセキュリティ経営可視化ツール サイバーセキュリティの実践状況を可視化するためのツール 状況を定量的に把握し、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資の判断につなげる 中小企業の情報セキュリティ対策ガイドライン 情報セキュリティ対策の指針、手順、手法をとりまとめたもの サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）のポイント サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）の概要 サイバー空間とフィジカル空間が融合した産業社会を３つの切り口（「企業間の繋がり」、「フィジカル空間とサイバー空間のつながり」、「サイバー...

情報処理安全確保支援士 オンライン講習（2021年度）単元５：倫理と法 日時：2022年5月8日～5月12日 概要 倫理の考え方、倫理的判断や行動の指針となる規範について学習する 理解しておくべき関連法制度や内部統制などについて学習する １章：倫理とは 倫理とは何か 善悪の判断をするための根拠となる規範を「倫理」と呼ぶ ２章：情報処理安全確保支援士の倫理観 情報処理安全確保支援士について（倫理の観点から） 機密情報に接する機会が多く、技術・知見から高度な技術的攻撃が可能 高い倫理観と規範意識が求められる 倫理的な行動ができるよう内発的・自発的に考えなければならない 無意識のうちに非倫理的な行為を行ってしまう危険も認識する 会社・組織が非倫理的な意思決定を行った場合、自らの倫理観とコンフリクトが起きる可能性がある どのように行動するべきかを内発的・自発的に考えなければならない 以上を認識し、自らの行為を客観視したり、第三者の意見を求めたりすることで、非倫理的な行為の防止に努める 情報処理安全確保支援士 倫理綱領 情報処理安全確保支援士 倫理綱領（説明付き） 安全確保支援士が業務を行っていくうえでの指針 倫理的判断が重要な理由 科学技術の進歩による専門分野の細分化、高度化により技術者の判断が難しくなってきている 相反する事態に遭遇することもある 例）コストの低減と公衆の安全確保、情報公開と守秘義務 判断結果が社会に多大な影響を与える可能性がある、など ３章：コンプライアンス 広義のコンプライアンス 倫理的な判断や行動を主体的に行う 狭義のコンプライアンス 明確化された法や規則に従う コンプライアンス経営 コンプライアンスを基礎に「経営倫理」の確立と実践を目指す経営 コンプライアンス経営の実践は組織の維持発展に寄与する 内部統制 コンプライアンスの目的実現のために、組織が主体的に取り組む手段 法律や内容は多岐にわたるが以下の趣旨・目的を理解しることが必要 会社法：株式会社に適用 金融商品取引法：上場企業等に適用 企業会計審議会による「財務報告に係る内部統制の評価及び監査の基準」 内部統制の基本的枠組み ４つの「内部統制の目的」 ６つの「内部統制の基本的要素」 要素のひとつに「ITへの対応」が含まれる 公益通報者保護法 労働者が、公益のために通報を行ったことを理由として不利...

情報処理安全確保支援士 オンライン講習（2021年度）単元４：様々な脅威への対応 日時：2022年5月5日～5月5日 概要 自組織における外部からの脅威だけではなく内部に潜む脅威や、脅威への継続した相合サイクルについて学習する １章：様々な場所に潜む脅威 情報システムを取り巻く環境の変化 情報システムはセキュリティ対策として内部と外部の境界を分離すること実施してきたが、クラウド化や働き方改革により、オフィス以外の場所での業務、協力会社や取引先とのサプライチェーンなどにより境界があいまいになり、情報システムの防御対策が難しくなっている 多様化した脅威に対応するセキュリティ対策 組織内部のシステムは外部公開システム同様のセキュリティ対策が必要 ゼロトラストのように、全てのアクセスがUntrusted（信用できない）であるという概念から、トラフィックを全て検証・認証していくアプローチもある セキスペが考える脅威への３ステップ 情報の収集と自組織のアップデート（システムや運用ライフサイクルの意識） 脅威の特定（脅威の要因や起こりうるシステムの把握） リスクへの対応（リスク対策の実施） ２章：内部に潜む脅威 テレワーク等のニューノーマルな働き方を狙った攻撃 テレワーク等の環境を考慮したポリシーの作成を行い、被害を受けた場合でも早期検知、対応ができる体制構築を行う 被害の予防 セキュリティ教育の実施 セキュリティに強いテレワーク環境 組織としての体制確立 CSIRTの構築 対策予算の確保と継続的な対策の実施 テレワークのセキュリティポリシー／規定／運用ルールの策定・整備 利用するソフトウェアの脆弱性情報の収集・周知 被害の早期検知 適切なログ取得と継続的な監視 ネットワーク監視、防御 被害後の対応 CSIRT運用によるインシデント対応 内部不正による情報漏えい 内部不正を出来ない環境を構築する、また不正が発生しても早期に検知できるよう対策をする 被害の予防 内部不正対策における基本方針の策定（内部不正チェックシートの活用） 情報資産の把握、体制の整備 情報モラルの向上 コンプライアンス教育 離職者に対する秘密保持義務を課す誓約書 被害の早期検知 システム操作履歴の監視 ログや証跡の監視 被害を受けた後の対応 自組織にて規定している報告先への連絡 影響調査、今後の対策強化 組織に...

情報処理安全確保支援士 オンライン講習（2021年度）単元３：継続して実施していくセキュリティ対応 日時：2022年5月2日～5月5日 概要 システムやソフトウェアのライフサイクルにおいて、開発を中心としてどのようにセキュリティを確保した設計、実装、試験を行うべきか学習する。 1章：変化するIT環境 ITインフラの変化の影響 ネットワーク範囲や防御すべきシステムは拡大しており境界防御が難しくなっている 制御システムの変化 もともとクローズド環境で長期間の利用を想定しており、防御機能が十分でなく、都度のアップデートが難しいことからサイバー攻撃の標的となっている クラウドファーストと安全性の考え方 自組織のシステムに対して システム環境や運用を正しく把握・管理する 適切なセキュリティ対策を実施する クラウド・バイ・デフォルト原則とは クラウド利用を第一候補と考え、クラウドの有効性を活用する政府方針 クラウドサービスの有効性（ 政府情報システムにおけるクラウドサービスの利用に関わる基本方針 ） 2章：IT環境の把握 資産と構成を把握し、最新の状態に維持することはセキュリティ対策を行う基本となる。 資産管理情報⇒絶対数の管理 IT資産やライセンスなどの管理 構成管理情報⇒構成物・数の把握 ITサービスを構成する要素の管理 その他管理情報⇒リスク・影響の把握 ネットワーク情報（全体ネットワーク図、ルーティング、ファイアウォール設定など） 機器同士の相互関係 システム・ソフトウェアのライフサイクル 正確に把握できない場合 脆弱性の影響を受ける機器の把握ができない セキュリティ対策の実施が徹底されているか把握ができない 緊急時の影響範囲の特定、予測ができない 情報システムの導入に際し、必要なデータを管理するルール・仕組みが必要 情報システムや新規に導入するシステムの管理情報を適切に収集・登録する仕組み 情報システムのライフサイクルを意識し、適切なシステム更改計画を立てる サポート終了を見据えた計画を IPA システム再構築を成功に導くユーザガイド 継続的なセキュリティ監視の重要性 自組織の状況を正しく理解する必要がある。継続に情報を収集・分析し、システム全体が正常であること、事象分析に必要な情報が収集できていることを確認し、状態を維持することが重要。 「正常である状態」を監視する...

情報処理安全確保支援士 オンライン講習（2021年度）単元２：セキュア開発 日時：2022年4月27日～5月1日 概要 システムやソフトウェアのライフサイクルにおいて、開発を中心としてどのようにセキュリティを確保した設計、実装、試験を行うべきか学習する。 1章：システムライフサイクルとセキュリティ 政府機関等のサイバーセキュリティ対策のための統一基準群 システムライフサイクルの企画・設計（早い段階）でセキュリティを意識して高める「セキュリティ・バイ・デザイン」「ビルトイン・セキュリティ」 企画・要件上の問題として、発注側もセキュリティ要件を定義すること システムライフサイクルを考えて、企画。要件定義、設計、製造などの開発プロセスを進めることが重要。 運用終了時には確実な廃棄を実施し、その証明を求める。 ２章：セキュアな企画と要件定義 セキュリティ・バイ・デザイン 企画段階からのセキュリティ確保 手戻りが少なく納期が守れる 最終的にコストを少なくできる 保守性の良いソフトウェアができる IPA セキュリティ・バイ・デザイン入門 発注側からセキュリティを意識 業務要件の検討 守るべき情報資産を洗い出す 環境やインシデント時の影響など業務要件を詳細化 セキュリティ要件の策定 業務要件からリスク評価し、対策方針を検討 費用対効果や優先度を考慮し対策要件を決定 発注仕様に具体的な対策要件を記載 セキュリティ要件に基づいて予算化・発注 企画段階から各段階においてセキュリティ対策を組み込み不可欠なものであると受注側に示す 予算や期間、人材などのリソースを確保 機能要件と非機能要件 機能要件 ステークホルダーがシステムの目的に対して意図した機能を実現する要件 発注側も意識してこの要件を受注側に提示 非機能要件 ステークホルダーが意図しない機能以外の当然対応されるべきものと考えられる要件 快適に利用できる、安全に利用できるなどの期待、セキュリティ要件も含まれる 非機能要件の課題 発注側が当然と考える非機能要件を機能要件として的確に定義することは難しい 発注側が意図したセキュリティ対策になっていない 運用監視ができるログが出力されない 非機能要求グレードの活用 IPAから提供されているツール群 システム構築の上流工程強化（非機能要求グレード） 残存リスク 組織の資源や目的に対する悪影響...

情報処理安全確保支援士 オンライン講習（2021年度）単元１：情報処理安全確保支援士に期待される役割と知識 日時：2022年4月10日～4月27日 1. 情報処理安全確保支援士に期待される役割と知識 1章：情報処理確保支援士の人材像 安全確保支援士が活躍する場面は情報システムのライフサイクル全般 ①経営課題への対応 ②システム等の設計・開発 ③運用・保守 ④緊急対応 「情報処理安全確保支援士　倫理綱領」役割と責任を果たすために従うべき規範（１．公正と誠実、２．秘密保持、３．法令等の遵守、４．信用保持、５．自己研鑽） 【倫理が重要な理由】 ・専門分野の細分化、高度化により、技術者に要求される判断が難しくなっている ・相反する事態に遭遇することがある ・判断結果が、社会に多大な影響を与える可能性がある 【倫理と法律】 ・倫理的問題に対し、妥当な結論を導くための「考える力」が必要となる ・一定の「法律」の知識も必要 ・「法律」は倫理の内容として重要な位置を占める ・組織の「内部統制」「公益通報」に関し、法律は多くの規定がある 2章：情報処理確保支援士に期待されること DXが加速しサイバーセキュリティが経営課題と認識さえっる企業や組織において、必要不可欠な存在     ・技術を安全に事業に活かすという視点をもった専門家     ・セキュリティリスクを経営層、事業部門にも平易に説明し、必要な支援、協力、連携を取り付ける     ・セキュリティ事故発生時も必要な専門家と連携しながら早期に回復できるよう、経営層、事業部部門、情シス部門の橋渡しを推進 必要な情報を組み合わせ、活用できるように伝える セキュリティ対応サイクル（導入、実行、運用、対応、見直し）の中で様々な支援を求められる（ セキュリティ対応組織の教科書 ） 3章：情報セキュリティを取り巻く環境の変遷 OT・IoTへの広がりにより「境界防御」の概念が曖昧に、セキュリティ確保が難しくなっている。 サプライチェーンの弱点を悪用した攻撃も2019年からランクイン 攻撃者の主な分類：金銭、ハクティビズム、愉快犯、諜報 4章：セキュリティ対応　導入フェーズの知識 ■「導入」の場面で必要となる知識　～必要性～ 「サイバーセキュリティ経営ガイドライン」 経営者が認識すべき「3原...

情報セキュリティに関連する法令と契約 情報セキュリティに関連する法令と契約について、情報セキュリティ業務を実施するうえでの重要なポイントを学習する。

情報処理安全情報確保支援士の倫理 情報処理安全確保支援士の倫理と倫理的判断や行動の指針となる規範について学習する。

  平常時の対応 平常時に行うべき対応の全体像の把握、インシデント対応のための準備としての脆弱性情報の対応や状況把握、ユーザへの働きかけとしての普及啓発や注意喚起、訓練などを学習する。 第1章　平常時の対応に関する全体像 インシデントマネジメント活動 脆弱性対応 事象分析 普及啓発 注意喚起 その他インシデント関連業務 インシデントハンドリング（非常時） 『 一般社団法人 JPCERT コーディネーションセンター CSIRT ガイド 』 第2章　脆弱性対応 脆弱性対応における活動全般 『 IPA 脆弱性対策の効果的な進め方（ツール活用編） 』 資産と構成の把握 資産管理：IT資産の管理やライセンス管理などの実施⇒絶対数の把握 構成管理：ITサービスを構成する要素の管理を実施⇒構成数の把握 その他の管理情報：ネットワーク情報（ネットワーク図、ルーティング、ファイアウォール設定など）⇒リスクの把握 情報セキュリティの基本ポリシーに従い、物理的、環境的、技術的、人的な対策を実施する（ISO/IEC 27001） 契約時に合意すべき事項 『 IPA セキュリティ担当者のための脆弱性対応ガイド 』 脆弱性対応における情報収集先 JVN(Japan Vulnerability Notes） JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営 日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供 JVN脆弱性レポート 「情報セキュリティ早期警戒パートナーシップ」に基づき報告された脆弱性情報 海外の調整基幹と連携 第3章　事象分析 自組織が守るものを明確にする 誰が→オーナーの明確化 何を→資産とその価値の把握 どこに→オンプレミス、クラウドなど 何を守るべきか コストは有限である。どこを重点的に守るのかを明確にする。 何を守るかを検討する為に脅威も把握しておく必要がある。 状況の把握 資産情報の収集 サーバ／ネットワーク機器 OS、ミドルウェア・ファームウェアのバージョン 外部クラウド等 ネットワーク情報の収集 構成と装置 セキュリティ装置 システム ID 証跡ログ、設定情報監視（改ざん検知） ネットワーク ファイアウォール、IDS/IPS、WAF、プロキシ等の監視 エンドポイント アンチウイルスソ...

  インシデント対応 インシデント発生検知から対応の流れまでを学習する。 第1章　インシデントハンドリングの前に PSIRT（Product Security Incident Response Team）　自社製品やサービスのセキュリティレベル向上やインシデント対応を行う組織 「情報セキュリティ10大脅威 2020」 を公開。対応しなくてはならない脅威は組織によって異なる。 脅威とは「本来行われるべきではない行為によって、組織に負の影響をもたらすこと」 脅威は外部からだけでなく、内部からも発生する。 インシデントマネジメントとは、インシデントに対してCSIRTが行う一連の業務の総称。 セキュリティインシデントとは 組織のセキュリティポリシーやコンピュータ利用規定に反するもの イベントによって検知されることがある 組織によって「セキュリティインシデントとは何か」は異なる CSIRT ガイド 第2章　インシデントハンドリングの実務 インシデントハンドリングの流れ（準備＞検知分析＞封じ込め（根絶 復旧）＞事後の対応） NIST コンピュータセキュリティインシデント処理ガイド 準備フェーズで行うこと インシデント処理に必要なツール、リソースの準備 起こった事象を分析する為のツール 起こった事象を根絶、復旧させる為のツール インシデント処理の関係者へのエスカレするための設備 発生した事象を分析する為の各種情報 リスクアセスメントやリスクベースのセキュリティ対策などの予防 対応計画や体制 ホストセキュリティ ネットワークセキュリティ マルウェア対策 ユーザの意識向上とトレーニング 構成情報管理 情報収集体制の整備、外部連携の土台作り 検知・分析フェーズで行うこと インシデントの前兆・兆候を検知 インシデントの分析 インシデントの文書化 インシデントハンドリングの優先順位付け 関係者への通知 [手掛かり]→[IOCの作成]→[IOCの配備]→[被疑箇所特定]→[書庫集め]→[データ分析]→[IOCの作成へ戻る] IOC（Indicator of Compromise）侵害指標や痕跡情報（セキュリティ侵害インジケーターと呼ばれることも）。サイバー攻撃の痕跡を記録しデータベース化して技術仕様として活用する。 「アラート」や「ログ」といった客観的なデータが重要であり...

  セキュリティ体制の構築 セキュリティ対策を推進する活動を継続させるには、経営者による理解とリーダーシップが不可欠な為、経営者の視点と実務者または支援者としての視点をこの章で学ぶ。 第1章　セキュリティ体制構築の必要性 『 サイバーセキュリティ経営ガイドライン 』 「経営者が認識すべき３原則」 経理者のリーダーシップが重要 自社以外のビジネスパートナー等にも配慮 平常時からのコミュニケーション・情報共有 担当幹部に指示すべき「サイバーセキュリティ経営の重要1０項目」 指示１「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」 指示２「サイバーセキュリティリスク管理体制の構築」 指示３「サイバーセキュリティ対策のための資源確保」 『 情報セキュリティ管理基準 』組織体における情報セキュリティマネジメントの円滑で効果的な確立を目指して、マネジメントサイクル構築の包括的な適用範囲を有する基準 『 サイバー・フィジカル・セキュリティ対策フレームワーク 』サイバー・フィジカル一体型の社会のセキュリティの新たなモデルを提示 第１層「企業（組織）間のつながり、第２層はフィジカル空間とサイバー空間のつながり、第３層はサイバー空間におけるつながりで整理      第2章　セキュリティ体制構築の具体的な手法 経営者によるサイバーセキュリティリスクの認識とリーダーシップ発揮による対策の推進 経営戦略としてのセキュリティ投資不可欠かつ経営者としての責務 サイバーセキュリティ対策を実施するうえでの責任者となる担当幹部を任命 情報セキュリティポリシーは経営層の意思表明 文章構成は一般的に「情報セキュリティ基本方針（ポリシー）」「情報セキュリティ対策基準（スタンダード）」「情報セキュリティ実施手順（プロシージャ）」の３階層となる 情報セキュリティマネジメントとPDCAサイクル 第3章　様々なセキュリティ組織の形態 セキュリティ体制の拡張と高度化 日本はシステム構築運用をアウトソースすることが多い為、分業体制を前提とし事業継続の観点から法令遵守、リスクマネジメント等に基づくセキュリティ推進活動を行う「セキュリティ統括（室）」に着目している。 セキュリティ統括室とは、期間となるIT領域、製造・運用のOT領域、IoT領域の全てのセキュリティ戦略に対応...

情報処理安全確保支援士に期待される役割と知識 情報処理確保支援士に何が期待されているか把握し、どのような知識が必要なのかを学習する。 第１章　情報処理安全確保支援士の人材像（役割と責任） サイバーセキュリティを確保し、国民が安全で安心して暮らせる社会を実現すること 『情報処理安全確保支援士　倫理綱領』役割と責任を果たすために従うべき規範 公正と誠実 秘密保持 法令等の遵守 信用保持 自己研鑽 第２章　情報セキュリティを取り巻く環境の変遷 これまでは境界の内側は安全で、外部は危険があるので外からの脅威を防ぐ「境界防御」の考え方が一般的であった。しかし情報システムのクラウド化により、守るべき情報資産が外部にあるケースが増え、「境界」は曖昧なものへ。 サプライチェーン上の脆弱なポイントを攻撃者は狙ってくる。 「ゼロトラスト」 第３章　情報処理安全確保支援士に期待されること セキュリティにおいて、実務と経営をつなぐ（意思決定：経営層、助言指示：戦略マネジメント層、対策実施：実務者・技術者層） セキュリティ対応組織（SOC/CSIRT）の教科書 セキュリティ対応サイクルの各フェーズで求められる知識を提供。 第４章　セキュリティ対応 導入フェーズの知識 「導入」では企業経営、産業構造、機能的な視点が必要 サイバーセキュリティ経営ガイドライン 　経営者が認識すべき「３原則」 　経営者がCISO等い指示すべき「重要10項目」 サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）の概要 　産業社会を「三層構造」に整理し、セキュリティ対策の概念を整理したもの 重要インフラのサイバーセキュリティを改善するためのフレームワーク 　 セキュリティ対策の基本機能を５つに分類。 体制や役割の参考  ユーザ企業のためのセキュリティ統括室　構築・運用キット　（統括室キット） CSIRTマテリアル セキュリティ対応組織の教科書 v2.1 CSIRTサービスフレームワーク 適切な人材の配置、新たな人材の登用、人材の育成の３つの観点で検討。 産業横断 人材定義リファレンス ：事業活動の観点から要求知識や業務区分、スキルを整理したもの セキュリティ知識分野（SecBoK2019） ：人材育成の観点から、スキルだけでなくタスクやロールを整理しまとめたもの CSIRT 人材の定義と確保 ：人...

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（６） 内容：情報処理安全確保支援士　オンライン講習A 日時：2020年5月 情報セキュリティ従事者としての倫理的責任と義務～【後編】 目標　情報セキュリティ従事者として適切な行動を理解し、遵守できるようになる １章　インシデントから学ぶということ 倫理的問題を解決する手法 二分法：対照的な二つの選択肢の中から一方を選ぶことで問題を解決する方法 線引き問題：段階的な複数の選択肢が与えられたとき、どこまでを許容できるか選ぶ問題 相反問題：一方の選択肢を選ぶと、もう一方に悪い影響を与える問題 ７ Step Guide：倫理的判断を行うためのボトムアップ型の方法 IPA 「組織における内部不正防止ガイドライン」 ２章　守秘義務のインシデント 契約・覚書に違反した場合の罰則、漏洩により発生した損害の賠償に関する事項がふくまれている事業者は５割前後 登録セキスペとして求められる対応 「地方公共団体における情報セキュリティポリシーに関するガイドライン」 「外部委託先管理規定」 「委託関係における情報セキュリティ対策ガイドライン」 監督責任者として求められる対応 「組織における内部不正防止ガイドライン」 「委託関係における情報セキュリティ対策ガイドライン」 「中小企業の情報セキュリティ対策ガイドライン第３版」 システム監査等の監査人に求められる対応 「システム監査を知るための小冊子」 「情報セキュリティ監査基準」 ３章　誠実義務のインシデント 業務中の私用メール 登録セキスペとして求められる対応 社内規定の策定、メール等を監査、発見した場合の監督責任への指導依頼、私物のケイタイ持ち込み（BYOD）の条件整理 「 情報漏えい対策のしおり 」 「 スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書 」 監督責任者として求められる対応 私用メールを定期的にチェック、部下の指導、教育・啓発実施、BUOD利用申請の承認、運用の管理 「中小企業の情報セキュリティ対策ガイドライン」 「 スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書 」 システム監査等の監査人として求められる対応 ...

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（５） 内容：情報処理安全確保支援士　オンライン講習A 日時：2020年5月 情報セキュリティ従事者としての倫理的責任と義務～【前編】 目標　倫理的責任と義務を遂行するために規範について学習し、情報セキュリティ従事者として適切な行動を理解し遵守する １章　なぜ倫理的責任と義務を学ぶ必要があるか 倫理：人々が自主的に遵守するように期待される自律的な規範 法：人々が遵守するように国家等の権力によって強制される他律的な規範 コンプライアンス（法令遵守・社会的責任） 法令や規則を守ること 法律だけでなく社会規範として倫理を守ることも含まれる 社会的責任には以下が含まれる 倫理的責任 応答責任 説明責任 結果責任など 法的責任 ２章　倫理的責任 企業倫理 信頼にこたえるために遵守すべき規範 経営理念や行動原理として従業員に周知徹底する 技術者倫理 作り出したモノやサービスによって「公衆の安全、健康、福利」に貢献する 社会的責任（ISO26000） 組織活動が社会および環境に及ぼす影響に対して組織が担う責任 企業ではCSRを意識 社会的責任を果たすことで社会からの信頼を得る ７つの原則 説明責任 透明性 倫理的な行動 ステークホルダーの利害尊重 法の支配の尊重 国際行動規範の尊重 人権の尊重 ７つの中核主題 組織統治 人権 労働慣行 環境 公正な事業慣行 消費者課題 コミュニティへの参画 公益通報者保護法：内部告発者を保護する法律 セキュリティ業界では「OECD 情報システム及びネットワークのセキュリティのためのガイドライン」 ３章　倫理的義務 義務 やらなければならないこと 義務に反した場合、制裁が科せられる場合がある 倫理的義務 守秘義務（公衆の安全の方が優先される） 誠実義務 注意義務 登録セキスペの活動は「情報処理安全確保支援士倫理綱領」に従わなけれなならない まとめ 経営課題への対応 社会的責任を意識して行動する ITセキュリティだけでなく、内部告発等の対応も意識して行動する システム等の設計...

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（４） 内容：情報処理安全確保支援士　オンライン講習A 日時：2020年5月 Japan Vulnerability Notes（JVN）【後編】 目標　IPA提供のツール「AppGoat」で学習できる脆弱性の種類と内容、ツールの利用方法を含め、セキュリティ人材育成に活用できるようになる １章　脆弱性診断とは 脆弱性診断 ツールを使う自動型 典型的な攻撃パターンを効率的に実行 機械的に診断が可能なため安価 破壊型と非破壊型のツールが存在 手動型 柔軟な診断、細やかな検査が可能 時間とコストがかかる 通信監査型：ブラウザとウェブアプリケーション間でのやり取りされる通信を分析 脆弱性は後工程になるほど修正の影響が大きくなる、事前に解消し攻撃に対するリスクを軽減する ２章　ウェブアプリケーションの脆弱性診断 脆弱性の調査に有用なツール Fiddler ネットワークキャプチャツール HTTPリクエストやレスポンスの確認や書き換えが可能 OpenVAS 脆弱性診断ツール WEBアプリだけでなくポートスキャン、OSやミドルウェアの調査も可能 OWASP ZAP WEBアプリ脆弱性診断ツール Nmap ポートスキャンツール OSやサービスの名前だけでなくバージョンも調査可能 ３章　AppGoatの使用について AppGoat ：IPAが開発した脆弱性体験学習ツール ４章　脆弱性検査ツールMyJVN MyJVN：ソフトウェアのバージョンを検査するツール「.NET」が必要 まとめ 経営課題への対応 脆弱性が発見されるリスクを考慮し脆弱性診断を行う リリース前に脆弱性診断が行われているか監査を行う システム等の設計・開発 セキュアコーディングを行う 開発時にセキュリティテストを行い、脆弱性を作り込んでないことを確認 運用・保守 セキュリティについて品質管理や情報収集を行う 教育・啓発を行う 緊急対応 脆弱性によるインシデント対応の体制を用意する 脆弱性の影響調査を行い、緊急での対応の必要性等について検討する

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（３） 内容：情報処理安全確保支援士　オンライン講習A 日時：2020年5月 Japan Vulnerability Notes（JVN）【前編】 目標　JVNがどのような脆弱性と対策情報を発ししているのかを理解し、自組織で活用・共有できるようになる １章　JVNとは 目的『脆弱性関連情報の円滑な流通、および対策の普及を図る』 対応方法の把握 発見者として[脆弱性を発見]⇒[IPAに報告] 開発者・運営者として JVNポータルサイト メリット 各ベンダからの情報を一覧で収集 統一したフォーマットで確認できる デメリット 情報が登録されるまでに少し時間を要する 情報の入手先 IPA（重要なセキュリティ情報、脆弱性情報） https://www.ipa.go.jp/ 経済産業省（情報セキュリティ政策） https://www.meti.go.jp/policy/netsecurity/ 総務省（国民のための情報セキュリティサイト） https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/ 警察庁（サイバーポリスエージェンシー、サイバー犯罪対策プロジェクト） https://www.npa.go.jp/cybersecurity/ https://www.npa.go.jp/cyber/ JVNとは JPCERT/CCとIPAが共同運営する脆弱性対策情報ポータルサイト 情報源は「情報セキュリティ早期警戒パートナーシップ」精度とCERT/CC等の海外の調整機関と連携した脆弱性情報 JVN iPediaとは 脆弱性対策情報データベース 国内外を問わず、情報を収集、蓄積 JVNとiPediaの違いは脆弱性情報の収集範囲 JVNはJPCERT/CCに届けられた情報、US-CERTのAlerts、Vulnerability Notesが掲載 iPediaは上記に加え、日本国内に流通している製品の脆弱性情報が掲載 ただしJVNとiPediaの情報公開が同じとは限らない ２章　JVN脆弱性レポート JVN脆弱性レポートとは、...

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（２） 内容：情報処理安全確保支援士　オンライン講習A 日時：2020年4月 情報セキュリティ早期警戒 パートナーシップガイドライン 目標『情報セキュリティ早期警戒パートナーシップガイドライン』の内容と仕組みを学び、活用できるようになる １章　目的と背景 目的『脆弱性関連情報の円滑な流通、および対策の普及を図る』 対応方法の把握 発見者として[脆弱性を発見]⇒[IPAに報告] 開発者・運営者として ソフトウェア製品の場合、[JPCERT/CCより連絡]⇒[対応開始] WEBアプリの場合、[IPAより連絡]⇒[対応開始] 報告しない場合のデメリット 情報の網羅性が担保されない 脆弱性があることに気づかずに使用 脆弱性を狙った攻撃の成立 発見者は対応状況が分からず不安 対応の遅れによる脆弱性の悪用 開発企業のブランド価値の毀損 登録セキスペ 倫理観：高い倫理観を持ち、常に全力でセキュリティを維持することに努める 使命・役割：継続的な講習受講により、知識・技能を保持する者として行動する 法律や規約：国家資格であり秘密保持義務や信用失墜行為の禁止等の義務を順守する 2章　用語と適用範囲 脆弱性とは「ソフトウェア製品やWEBアプリケーション等におけるセキュリティ上の問題個所」 脆弱性関連情報とは、脆弱性情報、検証方法、攻撃方法のいづかに該当する情報 対策方法とは、脆弱性から生じる問題を回避する方法、解決を図る方法 発見者とは、脆弱性関連情報を発見または取得した人（インターネット上で脆弱性関連情報を入手した人も含む ※脆弱性を発見した人だけではない ガイドラインのソフトウェア製品における適用範囲 「国内で利用されている」ソフトウェア製品 「仕様自体の脆弱性は含まない」 ウェブアプリケーションの適用範囲 「主に日本国内からのアクセスが想定されているサイト」で稼働するウェブアプリケーション 3章　ソフトウェア製品に係る脆弱性関連情報の取り扱い 情報セキュリティ早期警戒パートナーシップガイドライン 情報非開示依頼 - 発見者はIPAおよびJPCERT/CCが脆弱性情報を公開するまでの間は脆...

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（１） 内容：情報処理安全確保支援士　オンライン講習A 日時：2020年4月 情報処理安全確保支援士として認識しておくべき脅威や対策に向けての情報収集・活用について 目的『脅威を認識して必要な情報を集め整理し、指導・助言・支援を求めている人に適切な対策を伝えられるようになること』 １章　情報処理安全確保支援士の人材像（役割と責任） サイバーセキュリティ基本法１条「サイバーセキュリティを確保することで、国民が安全で安心して暮らしていける社会を実現する」 「情報処理安全確保支援士 倫理綱領」行動規範 基本原則 公正と誠実 秘密保持 法令等の遵守 信用保持 自己研鑽 参考資料 サイバーセキュリティ基本法 情報処理の促進に関する法律 情報処理学会倫理綱領 倫理とインターネット ２章　情報セキュリティを取り巻く環境の変遷 これまでは外部からの脅威を防ぎ内部を安全に保つ「境界防御」という考え方が主流であったが、情報システムのクラウド化により内部外部の境界が曖昧に。 攻撃者の意図は単純化できない 攻撃手法は有効なものであれば古い手法も使い続けられる DXが加速しNWやシステムの繋がりは広く、またIoT化も進みさらに境界は曖昧に。 境界防御の概念では十分なセキュリティを確保するのは難しく「ゼロトラスト」に代表されるよう、どんな場所であっても危険が潜んでいると考え、脅威に目を光らせる必要がある。 「全て信頼できない（ゼロトラスト）ことを前提として「全てのトラフィックを検査、ログ取得を行う」という性悪説のアプローチ。ゼロトラストネットワークなど。 ３章　情報処理安全確保支援士が扱う情報とその目的 脆弱性情報　ソフトウェアやWEBアプリにおけるセキュリティ上の問題個所について情報を収集 脅威情報　攻撃に関連する様々な情報を収集 セキュリティ対応プロセスのモデル 米国 上記をもとに日本版としては インシデント対応プロセス「NIST SP 800-61」情報が本当に対応が必要なモノなのかを判断 5W1Hで情報の目的とタイミングを判断「セキュリティ対応組織強化に向けたサイバーセキュリティ情報共有の「5W1H」」参照 イ...

情報処理安全確保支援士　オンライン講習を受けた備忘録 内容：情報処理安全確保支援士　オンライン講習C 日時：2019年2月 1章　情報セキュリティ重大脅威とは 「攻撃の手法」「攻撃の目的」を知り最新の情報を知ることが大切。 組織向けは2017年と比較してビジネスメール詐欺が増加。 個人向けは「偽警告によるインターネット詐欺」がランクイン。 マルウェア感染させる手法はメールで送付するやり方から、ダウンロードさせたり、水飲み場型攻撃などの手法へ変化。また対象機器もPC・スマートフォンからIoT機器へ移り変わってきている。 hacktivism(ハクティビズム)とはアクティビズムとハックを掛け合わせた造語。 2013年以降は組織内部の犯行による情報流出と共に犯罪者の低年齢化が進む。 犯罪の目的80％が不正送金・不正購入。 10大脅威の傾向①IoT機器に関する脅威②人がもつ脆弱性③犯罪のビジネス化④仮想通貨 ①IoT機器に関する脅威 ID/PWが初期設定のまま 修正プログラムを適用しない ネットワークと繋がっている認識が低い マルウェア「Mirai、BASHLITE」 DDOS攻撃に利用「IoTRoop、IoT_reaper」 脆弱性のある機器を見つける検索エンジン「SHODAN、Censys」 ②人がもつ脆弱性 ソーシャルエンジニアリング 運用管理の不備 不明確な担当者 情シス部門が管理できていない機器（ウェブカメラ、複合機） 不正ログインの手口 パスワードリスト攻撃 パスワード推測攻撃 ウイルス攻撃 対策 パスワードを長く、複雑にし使いまわさない。 パスワード管理ソフトの利用 多要素認証、サービスが推奨する認証方式 利用をやめたサービスの退会 「高度標的型攻撃」対策 に向けたシステム設計ガイド  ③犯罪のビジネス化 ランサムウェアによる被害 インターネットバンキング・クレジットカード不正利用 ビジネスメール詐欺による被害 ワンクリック請求等の不正請求 ④仮想通貨 マルチシグ（マルチシグネチャ）対策がとられていない交換所・ウォレット 各業者に依存したセキュリティレベル GDPR（一般データ保護規則）ー EU版の個人情報保護法 データ主導経済　①...