kuzira_diver

情報セキュリティに関連する法令と契約 情報セキュリティに関連する法令と契約について、情報セキュリティ業務を実施するうえでの重要なポイントを学習する。

情報処理安全情報確保支援士の倫理 情報処理安全確保支援士の倫理と倫理的判断や行動の指針となる規範について学習する。

  平常時の対応 平常時に行うべき対応の全体像の把握、インシデント対応のための準備としての脆弱性情報の対応や状況把握、ユーザへの働きかけとしての普及啓発や注意喚起、訓練などを学習する。 第1章　平常時の対応に関する全体像 インシデントマネジメント活動 脆弱性対応 事象分析 普及啓発 注意喚起 その他インシデント関連業務 インシデントハンドリング（非常時） 『 一般社団法人 JPCERT コーディネーションセンター CSIRT ガイド 』 第2章　脆弱性対応 脆弱性対応における活動全般 『 IPA 脆弱性対策の効果的な進め方（ツール活用編） 』 資産と構成の把握 資産管理：IT資産の管理やライセンス管理などの実施⇒絶対数の把握 構成管理：ITサービスを構成する要素の管理を実施⇒構成数の把握 その他の管理情報：ネットワーク情報（ネットワーク図、ルーティング、ファイアウォール設定など）⇒リスクの把握 情報セキュリティの基本ポリシーに従い、物理的、環境的、技術的、人的な対策を実施する（ISO/IEC 27001） 契約時に合意すべき事項 『 IPA セキュリティ担当者のための脆弱性対応ガイド 』 脆弱性対応における情報収集先 JVN(Japan Vulnerability Notes） JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営 日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供 JVN脆弱性レポート 「情報セキュリティ早期警戒パートナーシップ」に基づき報告された脆弱性情報 海外の調整基幹と連携 第3章　事象分析 自組織が守るものを明確にする 誰が→オーナーの明確化 何を→資産とその価値の把握 どこに→オンプレミス、クラウドなど 何を守るべきか コストは有限である。どこを重点的に守るのかを明確にする。 何を守るかを検討する為に脅威も把握しておく必要がある。 状況の把握 資産情報の収集 サーバ／ネットワーク機器 OS、ミドルウェア・ファームウェアのバージョン 外部クラウド等 ネットワーク情報の収集 構成と装置 セキュリティ装置 システム ID 証跡ログ、設定情報監視（改ざん検知） ネットワーク ファイアウォール、IDS/IPS、WAF、プロキシ等の監視 エンドポイント アンチウイルスソ...

  インシデント対応 インシデント発生検知から対応の流れまでを学習する。 第1章　インシデントハンドリングの前に PSIRT（Product Security Incident Response Team）　自社製品やサービスのセキュリティレベル向上やインシデント対応を行う組織 「情報セキュリティ10大脅威 2020」 を公開。対応しなくてはならない脅威は組織によって異なる。 脅威とは「本来行われるべきではない行為によって、組織に負の影響をもたらすこと」 脅威は外部からだけでなく、内部からも発生する。 インシデントマネジメントとは、インシデントに対してCSIRTが行う一連の業務の総称。 セキュリティインシデントとは 組織のセキュリティポリシーやコンピュータ利用規定に反するもの イベントによって検知されることがある 組織によって「セキュリティインシデントとは何か」は異なる CSIRT ガイド 第2章　インシデントハンドリングの実務 インシデントハンドリングの流れ（準備＞検知分析＞封じ込め（根絶 復旧）＞事後の対応） NIST コンピュータセキュリティインシデント処理ガイド 準備フェーズで行うこと インシデント処理に必要なツール、リソースの準備 起こった事象を分析する為のツール 起こった事象を根絶、復旧させる為のツール インシデント処理の関係者へのエスカレするための設備 発生した事象を分析する為の各種情報 リスクアセスメントやリスクベースのセキュリティ対策などの予防 対応計画や体制 ホストセキュリティ ネットワークセキュリティ マルウェア対策 ユーザの意識向上とトレーニング 構成情報管理 情報収集体制の整備、外部連携の土台作り 検知・分析フェーズで行うこと インシデントの前兆・兆候を検知 インシデントの分析 インシデントの文書化 インシデントハンドリングの優先順位付け 関係者への通知 [手掛かり]→[IOCの作成]→[IOCの配備]→[被疑箇所特定]→[書庫集め]→[データ分析]→[IOCの作成へ戻る] IOC（Indicator of Compromise）侵害指標や痕跡情報（セキュリティ侵害インジケーターと呼ばれることも）。サイバー攻撃の痕跡を記録しデータベース化して技術仕様として活用する。 「アラート」や「ログ」といった客観的なデータが重要であり...

  セキュリティ体制の構築 セキュリティ対策を推進する活動を継続させるには、経営者による理解とリーダーシップが不可欠な為、経営者の視点と実務者または支援者としての視点をこの章で学ぶ。 第1章　セキュリティ体制構築の必要性 『 サイバーセキュリティ経営ガイドライン 』 「経営者が認識すべき３原則」 経理者のリーダーシップが重要 自社以外のビジネスパートナー等にも配慮 平常時からのコミュニケーション・情報共有 担当幹部に指示すべき「サイバーセキュリティ経営の重要1０項目」 指示１「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」 指示２「サイバーセキュリティリスク管理体制の構築」 指示３「サイバーセキュリティ対策のための資源確保」 『 情報セキュリティ管理基準 』組織体における情報セキュリティマネジメントの円滑で効果的な確立を目指して、マネジメントサイクル構築の包括的な適用範囲を有する基準 『 サイバー・フィジカル・セキュリティ対策フレームワーク 』サイバー・フィジカル一体型の社会のセキュリティの新たなモデルを提示 第１層「企業（組織）間のつながり、第２層はフィジカル空間とサイバー空間のつながり、第３層はサイバー空間におけるつながりで整理      第2章　セキュリティ体制構築の具体的な手法 経営者によるサイバーセキュリティリスクの認識とリーダーシップ発揮による対策の推進 経営戦略としてのセキュリティ投資不可欠かつ経営者としての責務 サイバーセキュリティ対策を実施するうえでの責任者となる担当幹部を任命 情報セキュリティポリシーは経営層の意思表明 文章構成は一般的に「情報セキュリティ基本方針（ポリシー）」「情報セキュリティ対策基準（スタンダード）」「情報セキュリティ実施手順（プロシージャ）」の３階層となる 情報セキュリティマネジメントとPDCAサイクル 第3章　様々なセキュリティ組織の形態 セキュリティ体制の拡張と高度化 日本はシステム構築運用をアウトソースすることが多い為、分業体制を前提とし事業継続の観点から法令遵守、リスクマネジメント等に基づくセキュリティ推進活動を行う「セキュリティ統括（室）」に着目している。 セキュリティ統括室とは、期間となるIT領域、製造・運用のOT領域、IoT領域の全てのセキュリティ戦略に対応...

情報処理安全確保支援士に期待される役割と知識 情報処理確保支援士に何が期待されているか把握し、どのような知識が必要なのかを学習する。 第１章　情報処理安全確保支援士の人材像（役割と責任） サイバーセキュリティを確保し、国民が安全で安心して暮らせる社会を実現すること 『情報処理安全確保支援士　倫理綱領』役割と責任を果たすために従うべき規範 公正と誠実 秘密保持 法令等の遵守 信用保持 自己研鑽 第２章　情報セキュリティを取り巻く環境の変遷 これまでは境界の内側は安全で、外部は危険があるので外からの脅威を防ぐ「境界防御」の考え方が一般的であった。しかし情報システムのクラウド化により、守るべき情報資産が外部にあるケースが増え、「境界」は曖昧なものへ。 サプライチェーン上の脆弱なポイントを攻撃者は狙ってくる。 「ゼロトラスト」 第３章　情報処理安全確保支援士に期待されること セキュリティにおいて、実務と経営をつなぐ（意思決定：経営層、助言指示：戦略マネジメント層、対策実施：実務者・技術者層） セキュリティ対応組織（SOC/CSIRT）の教科書 セキュリティ対応サイクルの各フェーズで求められる知識を提供。 第４章　セキュリティ対応 導入フェーズの知識 「導入」では企業経営、産業構造、機能的な視点が必要 サイバーセキュリティ経営ガイドライン 　経営者が認識すべき「３原則」 　経営者がCISO等い指示すべき「重要10項目」 サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）の概要 　産業社会を「三層構造」に整理し、セキュリティ対策の概念を整理したもの 重要インフラのサイバーセキュリティを改善するためのフレームワーク 　 セキュリティ対策の基本機能を５つに分類。 体制や役割の参考  ユーザ企業のためのセキュリティ統括室　構築・運用キット　（統括室キット） CSIRTマテリアル セキュリティ対応組織の教科書 v2.1 CSIRTサービスフレームワーク 適切な人材の配置、新たな人材の登用、人材の育成の３つの観点で検討。 産業横断 人材定義リファレンス ：事業活動の観点から要求知識や業務区分、スキルを整理したもの セキュリティ知識分野（SecBoK2019） ：人材育成の観点から、スキルだけでなくタスクやロールを整理しまとめたもの CSIRT 人材の定義と確保 ：人...

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（６） 内容：情報処理安全確保支援士　オンライン講習A 日時：2020年5月 情報セキュリティ従事者としての倫理的責任と義務～【後編】 目標　情報セキュリティ従事者として適切な行動を理解し、遵守できるようになる １章　インシデントから学ぶということ 倫理的問題を解決する手法 二分法：対照的な二つの選択肢の中から一方を選ぶことで問題を解決する方法 線引き問題：段階的な複数の選択肢が与えられたとき、どこまでを許容できるか選ぶ問題 相反問題：一方の選択肢を選ぶと、もう一方に悪い影響を与える問題 ７ Step Guide：倫理的判断を行うためのボトムアップ型の方法 IPA 「組織における内部不正防止ガイドライン」 ２章　守秘義務のインシデント 契約・覚書に違反した場合の罰則、漏洩により発生した損害の賠償に関する事項がふくまれている事業者は５割前後 登録セキスペとして求められる対応 「地方公共団体における情報セキュリティポリシーに関するガイドライン」 「外部委託先管理規定」 「委託関係における情報セキュリティ対策ガイドライン」 監督責任者として求められる対応 「組織における内部不正防止ガイドライン」 「委託関係における情報セキュリティ対策ガイドライン」 「中小企業の情報セキュリティ対策ガイドライン第３版」 システム監査等の監査人に求められる対応 「システム監査を知るための小冊子」 「情報セキュリティ監査基準」 ３章　誠実義務のインシデント 業務中の私用メール 登録セキスペとして求められる対応 社内規定の策定、メール等を監査、発見した場合の監督責任への指導依頼、私物のケイタイ持ち込み（BYOD）の条件整理 「 情報漏えい対策のしおり 」 「 スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書 」 監督責任者として求められる対応 私用メールを定期的にチェック、部下の指導、教育・啓発実施、BUOD利用申請の承認、運用の管理 「中小企業の情報セキュリティ対策ガイドライン」 「 スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書 」 システム監査等の監査人として求められる対応 ...

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（５） 内容：情報処理安全確保支援士　オンライン講習A 日時：2020年5月 情報セキュリティ従事者としての倫理的責任と義務～【前編】 目標　倫理的責任と義務を遂行するために規範について学習し、情報セキュリティ従事者として適切な行動を理解し遵守する １章　なぜ倫理的責任と義務を学ぶ必要があるか 倫理：人々が自主的に遵守するように期待される自律的な規範 法：人々が遵守するように国家等の権力によって強制される他律的な規範 コンプライアンス（法令遵守・社会的責任） 法令や規則を守ること 法律だけでなく社会規範として倫理を守ることも含まれる 社会的責任には以下が含まれる 倫理的責任 応答責任 説明責任 結果責任など 法的責任 ２章　倫理的責任 企業倫理 信頼にこたえるために遵守すべき規範 経営理念や行動原理として従業員に周知徹底する 技術者倫理 作り出したモノやサービスによって「公衆の安全、健康、福利」に貢献する 社会的責任（ISO26000） 組織活動が社会および環境に及ぼす影響に対して組織が担う責任 企業ではCSRを意識 社会的責任を果たすことで社会からの信頼を得る ７つの原則 説明責任 透明性 倫理的な行動 ステークホルダーの利害尊重 法の支配の尊重 国際行動規範の尊重 人権の尊重 ７つの中核主題 組織統治 人権 労働慣行 環境 公正な事業慣行 消費者課題 コミュニティへの参画 公益通報者保護法：内部告発者を保護する法律 セキュリティ業界では「OECD 情報システム及びネットワークのセキュリティのためのガイドライン」 ３章　倫理的義務 義務 やらなければならないこと 義務に反した場合、制裁が科せられる場合がある 倫理的義務 守秘義務（公衆の安全の方が優先される） 誠実義務 注意義務 登録セキスペの活動は「情報処理安全確保支援士倫理綱領」に従わなけれなならない まとめ 経営課題への対応 社会的責任を意識して行動する ITセキュリティだけでなく、内部告発等の対応も意識して行動する システム等の設計...

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（４） 内容：情報処理安全確保支援士　オンライン講習A 日時：2020年5月 Japan Vulnerability Notes（JVN）【後編】 目標　IPA提供のツール「AppGoat」で学習できる脆弱性の種類と内容、ツールの利用方法を含め、セキュリティ人材育成に活用できるようになる １章　脆弱性診断とは 脆弱性診断 ツールを使う自動型 典型的な攻撃パターンを効率的に実行 機械的に診断が可能なため安価 破壊型と非破壊型のツールが存在 手動型 柔軟な診断、細やかな検査が可能 時間とコストがかかる 通信監査型：ブラウザとウェブアプリケーション間でのやり取りされる通信を分析 脆弱性は後工程になるほど修正の影響が大きくなる、事前に解消し攻撃に対するリスクを軽減する ２章　ウェブアプリケーションの脆弱性診断 脆弱性の調査に有用なツール Fiddler ネットワークキャプチャツール HTTPリクエストやレスポンスの確認や書き換えが可能 OpenVAS 脆弱性診断ツール WEBアプリだけでなくポートスキャン、OSやミドルウェアの調査も可能 OWASP ZAP WEBアプリ脆弱性診断ツール Nmap ポートスキャンツール OSやサービスの名前だけでなくバージョンも調査可能 ３章　AppGoatの使用について AppGoat ：IPAが開発した脆弱性体験学習ツール ４章　脆弱性検査ツールMyJVN MyJVN：ソフトウェアのバージョンを検査するツール「.NET」が必要 まとめ 経営課題への対応 脆弱性が発見されるリスクを考慮し脆弱性診断を行う リリース前に脆弱性診断が行われているか監査を行う システム等の設計・開発 セキュアコーディングを行う 開発時にセキュリティテストを行い、脆弱性を作り込んでないことを確認 運用・保守 セキュリティについて品質管理や情報収集を行う 教育・啓発を行う 緊急対応 脆弱性によるインシデント対応の体制を用意する 脆弱性の影響調査を行い、緊急での対応の必要性等について検討する

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（３） 内容：情報処理安全確保支援士　オンライン講習A 日時：2020年5月 Japan Vulnerability Notes（JVN）【前編】 目標　JVNがどのような脆弱性と対策情報を発ししているのかを理解し、自組織で活用・共有できるようになる １章　JVNとは 目的『脆弱性関連情報の円滑な流通、および対策の普及を図る』 対応方法の把握 発見者として[脆弱性を発見]⇒[IPAに報告] 開発者・運営者として JVNポータルサイト メリット 各ベンダからの情報を一覧で収集 統一したフォーマットで確認できる デメリット 情報が登録されるまでに少し時間を要する 情報の入手先 IPA（重要なセキュリティ情報、脆弱性情報） https://www.ipa.go.jp/ 経済産業省（情報セキュリティ政策） https://www.meti.go.jp/policy/netsecurity/ 総務省（国民のための情報セキュリティサイト） https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/ 警察庁（サイバーポリスエージェンシー、サイバー犯罪対策プロジェクト） https://www.npa.go.jp/cybersecurity/ https://www.npa.go.jp/cyber/ JVNとは JPCERT/CCとIPAが共同運営する脆弱性対策情報ポータルサイト 情報源は「情報セキュリティ早期警戒パートナーシップ」精度とCERT/CC等の海外の調整機関と連携した脆弱性情報 JVN iPediaとは 脆弱性対策情報データベース 国内外を問わず、情報を収集、蓄積 JVNとiPediaの違いは脆弱性情報の収集範囲 JVNはJPCERT/CCに届けられた情報、US-CERTのAlerts、Vulnerability Notesが掲載 iPediaは上記に加え、日本国内に流通している製品の脆弱性情報が掲載 ただしJVNとiPediaの情報公開が同じとは限らない ２章　JVN脆弱性レポート JVN脆弱性レポートとは、...

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（２） 内容：情報処理安全確保支援士　オンライン講習A 日時：2020年4月 情報セキュリティ早期警戒 パートナーシップガイドライン 目標『情報セキュリティ早期警戒パートナーシップガイドライン』の内容と仕組みを学び、活用できるようになる １章　目的と背景 目的『脆弱性関連情報の円滑な流通、および対策の普及を図る』 対応方法の把握 発見者として[脆弱性を発見]⇒[IPAに報告] 開発者・運営者として ソフトウェア製品の場合、[JPCERT/CCより連絡]⇒[対応開始] WEBアプリの場合、[IPAより連絡]⇒[対応開始] 報告しない場合のデメリット 情報の網羅性が担保されない 脆弱性があることに気づかずに使用 脆弱性を狙った攻撃の成立 発見者は対応状況が分からず不安 対応の遅れによる脆弱性の悪用 開発企業のブランド価値の毀損 登録セキスペ 倫理観：高い倫理観を持ち、常に全力でセキュリティを維持することに努める 使命・役割：継続的な講習受講により、知識・技能を保持する者として行動する 法律や規約：国家資格であり秘密保持義務や信用失墜行為の禁止等の義務を順守する 2章　用語と適用範囲 脆弱性とは「ソフトウェア製品やWEBアプリケーション等におけるセキュリティ上の問題個所」 脆弱性関連情報とは、脆弱性情報、検証方法、攻撃方法のいづかに該当する情報 対策方法とは、脆弱性から生じる問題を回避する方法、解決を図る方法 発見者とは、脆弱性関連情報を発見または取得した人（インターネット上で脆弱性関連情報を入手した人も含む ※脆弱性を発見した人だけではない ガイドラインのソフトウェア製品における適用範囲 「国内で利用されている」ソフトウェア製品 「仕様自体の脆弱性は含まない」 ウェブアプリケーションの適用範囲 「主に日本国内からのアクセスが想定されているサイト」で稼働するウェブアプリケーション 3章　ソフトウェア製品に係る脆弱性関連情報の取り扱い 情報セキュリティ早期警戒パートナーシップガイドライン 情報非開示依頼 - 発見者はIPAおよびJPCERT/CCが脆弱性情報を公開するまでの間は脆...

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（１） 内容：情報処理安全確保支援士　オンライン講習A 日時：2020年4月 情報処理安全確保支援士として認識しておくべき脅威や対策に向けての情報収集・活用について 目的『脅威を認識して必要な情報を集め整理し、指導・助言・支援を求めている人に適切な対策を伝えられるようになること』 １章　情報処理安全確保支援士の人材像（役割と責任） サイバーセキュリティ基本法１条「サイバーセキュリティを確保することで、国民が安全で安心して暮らしていける社会を実現する」 「情報処理安全確保支援士 倫理綱領」行動規範 基本原則 公正と誠実 秘密保持 法令等の遵守 信用保持 自己研鑽 参考資料 サイバーセキュリティ基本法 情報処理の促進に関する法律 情報処理学会倫理綱領 倫理とインターネット ２章　情報セキュリティを取り巻く環境の変遷 これまでは外部からの脅威を防ぎ内部を安全に保つ「境界防御」という考え方が主流であったが、情報システムのクラウド化により内部外部の境界が曖昧に。 攻撃者の意図は単純化できない 攻撃手法は有効なものであれば古い手法も使い続けられる DXが加速しNWやシステムの繋がりは広く、またIoT化も進みさらに境界は曖昧に。 境界防御の概念では十分なセキュリティを確保するのは難しく「ゼロトラスト」に代表されるよう、どんな場所であっても危険が潜んでいると考え、脅威に目を光らせる必要がある。 「全て信頼できない（ゼロトラスト）ことを前提として「全てのトラフィックを検査、ログ取得を行う」という性悪説のアプローチ。ゼロトラストネットワークなど。 ３章　情報処理安全確保支援士が扱う情報とその目的 脆弱性情報　ソフトウェアやWEBアプリにおけるセキュリティ上の問題個所について情報を収集 脅威情報　攻撃に関連する様々な情報を収集 セキュリティ対応プロセスのモデル 米国 上記をもとに日本版としては インシデント対応プロセス「NIST SP 800-61」情報が本当に対応が必要なモノなのかを判断 5W1Hで情報の目的とタイミングを判断「セキュリティ対応組織強化に向けたサイバーセキュリティ情報共有の「5W1H」」参照 イ...

情報処理安全確保支援士　オンライン講習を受けた備忘録 内容：情報処理安全確保支援士　オンライン講習C 日時：2019年2月 1章　情報セキュリティ重大脅威とは 「攻撃の手法」「攻撃の目的」を知り最新の情報を知ることが大切。 組織向けは2017年と比較してビジネスメール詐欺が増加。 個人向けは「偽警告によるインターネット詐欺」がランクイン。 マルウェア感染させる手法はメールで送付するやり方から、ダウンロードさせたり、水飲み場型攻撃などの手法へ変化。また対象機器もPC・スマートフォンからIoT機器へ移り変わってきている。 hacktivism(ハクティビズム)とはアクティビズムとハックを掛け合わせた造語。 2013年以降は組織内部の犯行による情報流出と共に犯罪者の低年齢化が進む。 犯罪の目的80％が不正送金・不正購入。 10大脅威の傾向①IoT機器に関する脅威②人がもつ脆弱性③犯罪のビジネス化④仮想通貨 ①IoT機器に関する脅威 ID/PWが初期設定のまま 修正プログラムを適用しない ネットワークと繋がっている認識が低い マルウェア「Mirai、BASHLITE」 DDOS攻撃に利用「IoTRoop、IoT_reaper」 脆弱性のある機器を見つける検索エンジン「SHODAN、Censys」 ②人がもつ脆弱性 ソーシャルエンジニアリング 運用管理の不備 不明確な担当者 情シス部門が管理できていない機器（ウェブカメラ、複合機） 不正ログインの手口 パスワードリスト攻撃 パスワード推測攻撃 ウイルス攻撃 対策 パスワードを長く、複雑にし使いまわさない。 パスワード管理ソフトの利用 多要素認証、サービスが推奨する認証方式 利用をやめたサービスの退会 「高度標的型攻撃」対策 に向けたシステム設計ガイド  ③犯罪のビジネス化 ランサムウェアによる被害 インターネットバンキング・クレジットカード不正利用 ビジネスメール詐欺による被害 ワンクリック請求等の不正請求 ④仮想通貨 マルチシグ（マルチシグネチャ）対策がとられていない交換所・ウォレット 各業者に依存したセキュリティレベル GDPR（一般データ保護規則）ー EU版の個人情報保護法 データ主導経済　①...