Wondershare EdrawMind
EdrawMindCISSP-7-セキュリティ運用
マインドマップギャラリー CISSP-7-セキュリティ運用
- 5
CISSP-7-セキュリティ運用
CISSP 情報システム セキュリティ プロフェッショナル認定資格のセキュリティ運用マインド マップ。これには、基本概念、セキュリティ運用の基本概念、変更管理、構成管理、パッチと脆弱性の管理、およびインシデント管理が含まれます。
2021-11-10 12:08:07 に編集されました- おすすめ
- アウトライン
安全な操作
基本的な考え方
運転上の安全性
集中環境および分散環境における情報資産の保護と制御に取り組みます。
運用セキュリティは他のサービスの品質であり、それ自体がサービスのセットです
安全な操作
セキュリティ サービスを効率的かつ確実に実行し続けるために必要な日常のタスク
事業継続計画と災害復旧計画
トピック
調査
証拠収集の取り扱い
報告と文書化
捜査手法
デジタルフォレンジック
調査の種類
稼働中
犯罪的
民事
規制
電子証拠開示 (eDicsovery)
ロギングとモニタリング
侵入の検知と防止
侵入の検知と防止
継続的な監視
出力監視
リソースのプロビジョニング
資産の在庫
構成管理
物理的資産
暗号資産
クラウド資産
アプリケーション
基本的なセキュリティ運用の概念
知っておくべき/最低限の権限
義務と責任の分離
モニターの特別な権限
ジョブローテーション
情報ライフサイクル
サービスレベルアグリーメント
リソース保護技術
メディア管理
ハードウェアおよびソフトウェア資産管理
インシデント対応
検出
応答
緩和
報告
回復
修復
学んだ教訓
予防措置
ファイアウォール
侵入検知および防御システム
ホワイトリスト/ブラックリスト
サードパーティのセキュリティ サービス
サンドボックス化
ハニーポット/ハニーネット
マルウェア対策
パッチと脆弱性の管理
変更管理プロセス
回復戦略
バックアップ ストレージ戦略 (オフサイト ストレージ、電子保管庫、テープ ローテーションなど) リカバリ サイト戦略
複数の処理サイト (例: 運用上の冗長システム)
システムの復元力、高可用性、サービス品質、耐障害性
災害復旧プロセス
応答
職員
コミュニケーション
評価
復元
トレーニングと意識向上
災害復旧計画
通読する
ウォークスルー
シミュレーション
平行
完全な中断
事業継続計画とその実行
物理的セキュリティ
周囲
内部
従業員の安全
目的
■ 調査を理解し、サポートします。
■ 調査タイプの要件を理解します。
■ ログ記録と監視アクティビティを実行します。
■ リソースのプロビジョニングを保護します。
■ 基本的なセキュリティ運用概念を理解し、適用します。
■ リソース保護手法を採用します。
■ インシデント対応を実施します。
■ 予防措置を運用および維持します。
■ パッチおよび脆弱性管理を実装およびサポートします。
■ 変更管理プロセス (バージョン管理、ベースライン設定、セキュリティ影響分析など) に参加し、理解します。
■ 回復戦略を実行します。
■ 災害復旧プロセスを実装します。
■ 災害復旧計画をテストします。
■ 事業継続計画とその実行に参加します。
■ 物理的なセキュリティを実装および管理します。
■ 従業員の安全に参加する(例:強迫、旅行、
安全運航の基本的な考え方
主要テーマ
運用上の回復力を維持する
重要なビジネスの回復力 継続性を維持する
緊急時の計画を立てる
リアルタイムの監視と対応
大切な資産を守る
さまざまな資産の定期メンテナンスを提供します
資産を損害から守る
制御システムアカウント
ビジネスクリティカルなシステムへのユーザーアクセスの制御を維持する
さまざまなアカウント、特に特権アカウントに小切手と残高を提供し、それらが正当なビジネス ニーズであることを確認します。
セキュリティ サービスを効果的に管理する
ITサービスの変更、構成、問題管理
ユーザー割り当てやヘルプデスクプログラムなどのセキュリティ関連プログラム
レポートとサービスの継続的改善の実践に重点を置く
運用スタッフの要件
賢明な人 責任感があり、賢明で、有能な人
十分な注意 十分な注意
合理的な保護措置が講じられています
デューデリジェンス デューデリジェンス
日々の管理において責任を果たします
特権アカウントを制御する
アカウントの数と種類を厳密に管理する
これらのソリューションを最も効果的に使用しながら、特権アカウントが慎重に管理されていることを確認します。
システムのアカウント管理権限を注意深く監視する
サービスアカウント
スクリプトを実行するアカウント
ID とアクセス管理 (IAM) ID とアクセス管理
ユーザーのプロビジョニングユーザー構成
複数のシステムにわたるアクセスの管理 複数のシステムにわたるアクセスの管理
ネイティブアクセス制御システムローカルアクセス制御システム
必要な知識と最低限の権限(相互補完)
知っておく必要があります
仕事またはビジネスのニーズに基づいて付与される最小限の知識とアクセス権
運転の安全性が鍵です
軍事でよく使われる
最低特権 最低特権
ユーザーまたはプロセスに、不必要なアクセス権限なしで作業、タスク、機能を実行することを要求する
目標
指定されたタスクを完了するために必要なリソースとツールのみにアクセスするようにユーザーとプロセスを制限する
限界
アクセス可能なリソース
ユーザーができること
グループとロールを使用してアカウントを管理する
さまざまな種類のアカウント
特権アカウント
ルートまたはビルトイン管理者アカウント
デバイスとシステムの管理に使用される汎用のデフォルト アカウント
安全に制御する
名前の変更は可能な限り厳密に行う
デフォルトのパスワードを変更する必要がある
ログには、root アカウントを使用した個人の行動が記録されます
rootアカウントでリモートログインする場合
セッションは強力に暗号化され、監視される必要があります
多要素認証方法を使用する
サービスアカウント
システムサービスとコアアプリケーションによって使用される特権アクセス
パスワードは複雑で頻繁に変更される
侵害されたアカウントを回収して閉鎖するための戦略を立てる
管理者アカウント
これらのアカウントは、メンテナンス タスクを実行するためにシステムへの特権アクセスを必要とする指定された個人に割り当てられます。
これらのアカウントはユーザーの通常のアカウントとは別のものにする必要があります
アカウントのパスワードは安全かつ確実に個人に配布される必要があります
管理者はアカウントの受領を書面で確認し、組織のルールに従う必要があります。
使用されなくなったアカウントはすぐに削除する必要があります。
すべての活動を監査する必要がある
追加のロギング システムを導入する
多要素認証
根
これらのアカウント権限は、作業上の要件により通常のユーザー権限を超えて付与されますが、管理者権限は必要ありません。
スーパーユーザーは自分のデスクトップにソフトウェアをインストールできる
アカウントの受け入れは書面で承認され、セキュリティ契約への署名などの組織のルールに従う必要があります。
通常または制限されたユーザー アカウント
ほとんどのユーザー
最小特権の原則に基づく、または何が必要かを認識する
職務の分離
定義: 重要なタスクを複数の部分に分割し、各部分を別の人が実行すること
共犯者
詐欺には多くの人々の共謀が必要です
目的
破壊行為の可能性を減らすための制約
意図しない省略やエラーの可能性を減らすための補足
理由
安全関連の作業が異なれば、必要なスキルも異なります
管理者のタスクを複数の役割に分割して、さまざまなレベルの信頼を与える
セキュリティ関連の機能が役割や個人に委任されないようにする
システム管理者
最低限の特権
必要なアクセスとアプリケーションを必要に応じて決定する
モニター
動作はログによって監査され、別の監査システムに送信されます。
不正行為を防止する
管理者は他者と共謀せずに悪意のある活動に関与することができません
身元調査
ジョブローテーション
オペレーター
職務上の責任
ホストの日常業務を実行し、スケジュールされた作業が効果的に実行されることを確認し、起こり得る問題を解決します。
権限の説明
オペレータは高い権限を持っていますが、システム管理者の権限よりは低いため、これらの権限の使用は監視され、ログが監査される必要があります。
安全に制御する
最低限の特権
モニター
オペレーターのアクションは記録され、オペレーターによって制御されない独立したシステムに送信されます。
職務の分離
管理者は、他のユーザーと共謀せずに悪意のある活動に関与することはできません。
身元調査
セキュリティ管理者
機能: システムのセキュリティ設定を定義し、管理者と協力して関連する構成を実行し、権限のチェックとバランスを提供し、システム管理者に監査とレビューのアクティビティを提供します。
主な任務
アカウント管理
機密ラベルの割り当て
システムセキュリティ設定
監査データのレビュー
ヘルプ/サービスデスク担当者
第一線のサポートを提供する
必要に応じてユーザーのパスワードをリセットする
モニタリングと身元調査の実施
一般ユーザー
情報技術リソースへのアクセスが必要
監視権限
ライセンス、適合性、身元調査
次の状況ではアクセスを許可すべきではありません (例: IDS とファイアウォールのログに基づいて、IP へのアクセスは直ちにブロックされるべきですが、そうではありません。クロックの調整やログの削除など)。
最近、適切な判断が著しく欠如している。
キャラクターに関して繰り返される高リスクの行動パターン
キャラクターのパフォーマンスは違法行為に関連しています。
アカウントの検証アカウントの検証
既存の非アクティブなアカウントを特定します (例: 退職/退職した従業員のアカウント、一時休暇中の従業員のアカウント)
ジョブローテーションジョブローテーション
個人間の共謀行為のリスクを軽減する
二人での操作
現場相互監視
強制休暇
情報ライフサイクル管理
情報には、作成、使用、最後に破壊というライフサイクルがある 情報のライフサイクルには、生成、配布、使用、保守、開示、廃棄(転送、安全な処理)が含まれる
情報所有者 情報所有者
■ 情報が組織の使命に与える影響を判断します。
■情報の代替コストを把握する(代替できる場合)情報の代替コストを把握する(代替できる場合)。
■ 組織内または組織外の誰がその情報を必要とし、どのような状況で情報を公開すべきかを決定します。組織内または組織外の誰が情報を必要とし、どのような状況で情報を公開すべきかを決定します。 。
■ 情報が不正確であるか、不要になり、破棄する必要がある場合を把握します。情報が不正確であるか、必要でなくなり、破棄する必要がある場合を把握します。
分類と分類分類と分類
分類は主にアクセスに関係します
軍事または政府の情報 (機密、極秘、極秘)。
分類は主に影響を考慮します。
機密性の完全性の喪失による影響、または情報の可用性の決定 (高、中、低、たとえば、外部公開された公開情報とリスク評価レポート)
防御ベースラインを標準化する ベースラインを標準化する
保持計画
■ ストレージコストの削減
■ 関連情報のみを保存して、検索とインデックス作成を高速化します。
■訴訟ホールドと電子開示では、エラー、事前決定、または交渉された情報に遭遇する可能性が低くなります。
(SLA) サービスレベル契約
何
SLA は、顧客がサプライヤーから受け取るサービスのレベルを説明する単純な文書であり、契約要件が満たされない場合のサービスの測定、修復、または罰則を示します。
顧客の過失により SLA が満たされなかった場合、ペナルティは課されません。
SLA
外部の
OLA (運用レベル合意)
内部
なぜ
双方が要件を理解していることを確認する
契約が意図的または非意図的に誤解されていないことを確認する
誰が
レベルが異なると価格も異なります
交渉の出発点
重要なセクション
サービス要素
特定のサービスを提供する
サービスの利用可能状況
サービス基準(時間帯)
アップグレード手順
すべての当事者の責任
コストとサービスのトレードオフ
管理要素
測定基準と方法の定義\報告プロセス\内容と頻度\紛争解決プロセス
SLA は常に更新されます
サプライヤーの能力とサービスニーズの変化
補償
サプライヤーは、保証違反に起因する第三者の費用を顧客に支払わなければなりません。
SLA は譲渡できません
SLA を確認する方法
統計
測定基準
サービスの可用性
欠陥率欠陥率
技術的品質
安全
ネットワーク サービス プロバイダーにとって一般的な稼働時間の規定とは
99% の可用性 (月あたり 7 時間を超える計画外のダウンタイムを許容)
99.9 パーセント (1 か月あたり 43.8 分)
99.99% (月あたり 4.4 分)。
SLA をいつ見直すか
変更管理
変更管理プロセス
リクエスト
影響評価影響評価
承認・不承認 承認・不承認
ビルドとテストビルドとテスト
通知通知
実装実装
検証検証
文書記録
構成管理
目標
製品、システム、プロジェクトのライフサイクル全体を通じて整合性を確立し、維持する
含む
ソフトウェア プロジェクトの構成アイテムの特定 ソフトウェア製品の構成アイテムの特定
これらの構成アイテムとその変更の制御, 構成アイテムとその変更の制御
これらの構成アイテムのステータスと変更アクティビティの記録とレポート、これらの構成アイテムのステータスと変更アクティビティの記録とレポート、および監査の実施
構成管理
初期コンセプトから設計、実装、テスト、ベースライン、ビルド、リリース、メンテナンスまでコンポーネントを管理します
避けられない変化を制御可能にする
ポリシーと基準
■ コンポーネントセットは構成管理の対象となります
■ コンポーネントの名前の付け方
■コンポーネントがコントロールセットに出入りする仕組み
■CM 下のコンポーネントの変更がどのように許可されるか。
■CM 下のコンポーネントのさまざまなバージョンが利用できる仕組み
■それぞれどのような状況で使用できますか?
■CM ツールが構成管理をどのように可能にし、強化するか
CM の CMMI ステップ
1. 構成管理下に置かれる構成項目、コンポーネント、および関連作業を特定します。
2. 作業成果物を制御するための構成管理および変更管理システムを確立および維持する
3. 内部使用のためのベースラインと顧客への提供のためのベースラインを確立して公開します。
4. 構成アイテムの変更リクエストを追跡します。
5. 構成アイテムの内容の変更を制御します。
6. 設定項目を説明する記録を作成し、維持する
7. 構成監査を実行して、構成項目の整合性を維持します。
資産リスト
ハードウェアライブラリ
1. ブランド
2.モデル
3.MACアドレス
4. シリアル番号
5. オペレーティング システムまたはファームウェアのバージョン
6. 所在地
7. BIOS およびその他のハードウェア関連のパスワード
8. 割り当てられた IP アドレス (該当する場合)
9. 組織の資産管理のためのラベルまたはバーコード
ソフトウェアライブラリ
1. ソフトウェア名
2. ソフトウェア ベンダー (および必要に応じて再販業者)
3. パスワードまたはアクティベーション コード (ハードウェア キーがある場合はメモしてください)
4. ライセンスの種類とバージョン
5.ライセンス数
6. ライセンスの有効期限
7. ライセンスのポータビリティ
8. 組織のソフトウェア ライブラリアンまたは資産管理者
9. インストールされたソフトウェアに関する組織の連絡先
10. アップグレード、完全ライセンスまたは限定ライセンス
ソフトウェアおよびハードウェア ライブラリのセキュリティの役割
セキュリティの専門家は、ハードウェアの種類とバージョンに関連する脆弱性を迅速に発見して軽減できます。
ネットワーク内のハードウェアの種類と場所がわかれば、影響を受けるデバイスを特定する手間が軽減されます。
ネットワーク上の不正なデバイスはスキャンによって検出できます
構成リストの保守
構成変更のログと追跡により、ネットワークの整合性と可用性が保証されます
定期的なチェックで不正な変更がないか確認する
CMはさまざまな種類の資産管理に適しています
■ 物理資産 (サーバー、ラップトップ、タブレット、スマートフォンなど)
■ 仮想資産 (Software Defined Network (SDN)、仮想 SAN (vSAN) など)
システム、仮想マシン (VM))
■ クラウド資産 (サービス、ファブリック、ストレージ ネットワーク、テナントなど)
■ アプリケーション (プライベート クラウド、Web サービス、Software as a Service (SaaS) のワークロードなど)
セキュリティ専門家の視点
パッチと脆弱性の管理
パッチ管理の目的
継続的な構成環境を確立して、オペレーティング システムとアプリケーションを既知の脆弱性から保護します。
メーカーがバージョンアップする際、バージョンアップの理由や理由を明らかにしないことがよくあります。
パッチ管理の手順
セキュリティ専門家はそれが脆弱性であるかどうかを判断する必要がある
パッチをアップグレードする必要がありますか?
リスクに基づいた意思決定
パッチの重要性
管理者とシステム所有者はパッチを更新するかどうかを決定します
ビジネスに影響はありますか?
更新パッチがテストされ、残留リスクが解決されました
更新をスケジュールする
導入前にユーザーに通知する
夜や週末に更新します
導入前のバックアップサーバー
更新が完了したら、本番環境で検証する必要があります
目に見えない問題が発生する可能性があります
導入が完了したら、適切なマシンがすべて更新されていることを確認します
すべての変更をログに記録する
セキュリティとパッチ情報の管理
重要なセクション
パッチ管理とは、セキュリティ問題とパッチ リリースの両方について知ることです
環境に関連するセキュリティ問題とソフトウェアのアップデートに注意する
専任の担当者とチームが管理者とユーザーにセキュリティの問題やアプリの更新について警告する責任を負うことをお勧めします。
パッチの優先順位付けとスケジュール設定 パッチの優先順位付けとジョブのスケジュール設定
1. パッチ ライフ サイクル (パッチ サイクル) は、パッチとシステム アップデートの通常の適用をガイドします。
サイクル
時間またはイベント駆動型
適用されている標準パッチのリリースと更新を支援します。
2. 重要なセキュリティおよび機能のパッチとアップデートを処理するための作業計画
パッチの優先度と緊急度のスケジューリング
ベンダーが報告した重大度 (高、中、低など)
システムの重要性
アプリケーションとデータの重要性 システム
パッチテスト
パッチテストの幅広さと奥深さ
システムの重要性
処理されたデータ
環境の複雑さ
可用性の要件
利用可能な資源
パッチ テスト プロセスは、ソフトウェア アップデートの取得と、運用展開後の継続的な受け入れテストから始まります。
パッチを入手する際には検証が必要です
ソース(ソース)検証
整合性チェック
デジタル署名
チェックサム
パッチ検証完了後のテスト
テスト環境は本番環境に可能な限り近い
本番システムのサブシステムをテスト環境として使用できます
パッチ変更管理
変更はパッチ管理のあらゆる段階で重要です
パッチ適用アプリケーションには緊急時対応計画とフォールバック計画を含める必要があります
変更管理プログラムにリスク軽減戦略を含める
変更管理プログラムにはモニタリングと受け入れ計画が含まれます
特定のマイルストーンと受け入れ基準を使用してパッチの成功を実証する
クローズド変更システムでの更新を許可する
パッチのインストールと展開
パッチ管理の展開フェーズには、経験豊富な管理者とエンジニアが必要です
インストールと展開とは、運用システムへのパッチとアップデートが実際に実装されることを意味します
パッチの展開に影響を与える技術的要因はツールの選択です
ツールの選択
買う
自作
ツールの種類
エージェントベース
エージェントレス システム、
セキュリティパッチを展開する
時間内に完了
制御可能かつ予測可能
パッチの監査と評価
定期的な監査と評価により、パッチ管理の成功と程度を測定します。
2つの質問
既知の脆弱性やバグに対してパッチを適用する必要があるシステムはどれですか?
システムは実際のパッチで更新されていますか?
重要な成功要因
資産とホストの管理
理想的なホスティング管理ソフトウェアはレポートを要求できる
管理ツール
監査および評価プロセスの一部としてのシステムの検出と監査
システム検出ツール
これらのシステムを明らかにし、正式なシステム管理とパッチ コンプライアンスの傘下に置くことを支援します。
一貫性と複合化
パッチ管理プログラムの監査および評価要素は、組織のガイドラインや不遵守を減らすためのその他の取り組みに準拠していないシステムを特定するのに役立ちます。
システム ビルド ツールとガイドラインは、インストール時にパッチ要件への準拠を保証するための主要な実施手段です。
パッチ管理テクノロジーは非常に重要ですが、テクノロジーだけでは十分ではありません
パッチ管理ソリューションは、組織固有の要件に対処するための共同作業に基づいてポリシーおよび運用ソリューションを提供するチームベースのテクノロジーです。
脆弱性管理システム
構成管理
組織がそのすべての部分を理解できるように支援する
脆弱性スキャン
これらの弱点を特定する
脆弱性の種類
システムの欠陥
製品設計上の欠陥
バッファオーバーフロー
構成エラー
システムを攻撃にさらす実装エラーを表します。
戦略エラー
個人が必要に応じてセキュリティを遵守または実装しない
ホストベースのスキャン
システム コンソールで、またはサーバーやワークステーション上のエージェントを使用して、システム全体にわたって実行されます。
サーバー上で不足しているセキュリティ更新プログラムを特定する
システムの侵害を示す可能性のある未承認のソフトウェアまたはサービスを特定する
セキュリティスキャンを適用する
データベースセキュリティスキャン
構成エラーが見つかりました
事故管理
事故管理
人、テクノロジー、プロセスを含む
すべてのインシデント関連アクティビティを指示し、セキュリティ担当者を事前に定義され、事前に承認された解決へのパスに導きます。
事件に関与した当事者の役割と責任に関連して行われた活動について説明します。
セキュリティテクノロジーを管理する
国境警備隊
より信頼できる環境と信頼できない環境の区別
ファイアウォール、ルーター、プロキシ、その他のテクノロジー
単一システム
コア機能とエンドユーザープロセスについて
セキュリティ運用は、テクノロジーが効果的に動作できるようにすることと、その有効性を継続的に監視することに重点を置いています。
セキュリティのメトリクスとレポート
セキュリティ管理の有効性の測定
安全技術
ID/IPS
検出またはブロックされた攻撃と検出またはブロックされた攻撃
長期にわたる傾向を提供する傾向分析を提供する
ファイアウォール
IP アドレスやその他の手段を介した一般的な攻撃元IP アドレスやその他の手段を介した攻撃元の追跡
メールセキュリティサービス安心メールサービス
検出およびブロックされているマルウェアまたはスパムの量について 検出およびブロックされているマルウェアまたはスパムの量について
指標(ウイルスの発生数、攻撃元 IP の上位 10 位、検出または削除されたスパムの数と割合)に焦点を当てる
報告
セキュリティ運用を成功させるための基礎 レポートはセキュリティ運用の基礎です
レポートの対象読者
技術レポートは、技術専門家または直接サービス提供の管理者向けに設計される傾向があります。
経営報告経営報告
複数のシステムの概要と、レポートの対象となる各サービスの主要な指標を提供します。
エグゼクティブ ダッシュボードエグゼクティブ ダッシュボード
複数のサービスのハイライトのみを表示する場合
現状の簡単な概要を提供し、幹部に現状の概要を提供する
通常はチャートやグラフなどの非常に視覚的な形式で行われます
報告頻度
運用レベル
毎年、毎月、毎週、あるいは毎日、
モニター
侵入検知の防止とシステム
セキュリティ関連の疑いのあるイベントをリアルタイムまたはほぼリアルタイムで特定して対応する。セキュリティ関連の疑いのあるイベントをリアルタイムまたはほぼリアルタイムで特定し、対応するために使用されます。
ネットワークベースの侵入システム
ネットワークトラフィック分析に基づくネットワークトラフィックの分析に焦点を当てる
ホストベースの侵入システム
単一システム内の監査ログとプロセスに焦点を当てる
IDS
帯域外
IPS
列をなして
シグネチャまたはパターン マッチング システム パターン マッチング (またはシグネチャ分析)
プロトコル異常ベースのシステム異常ベースの侵入検知システム
統計的異常に基づくシステム 統計的異常に基づく侵入検知システム
偽陽性
誤検知
偽陰性
偽陰性
マルウェア対策システム
個々のホスト、個々のホストおよびシステムに展開されたシステムにインストール
統合脅威管理 (UTM) セキュリティ ゲートウェイ
継続的更新ウイルスデータベースを継続的に更新します
それらがまだアクティブで効果的であることを確認するために監視されます
新しいメディアと電子メールの添付ファイルの自動スキャン メディアと電子メールの添付ファイルの自動スキャン ポリシーを展開します。
スキャンは定期的にスケジュールして実行する必要があります。
(SEIM) セキュリティ情報イベント管理システム
システム ログの欠点の 1 つは、単一システムのビューを提供できることです。システム ログの欠点は、単一システムの視点しか提供できず、複数のシステムに関係する関連イベントに関するログや情報を提供できないことです。
ログ収集、照合、およびリアルタイム分析のための共通プラットフォームを提供します。 ログ収集、照合、およびリアルタイム分析のための共通プラットフォームを提供します。
複数のソースからのログ情報を使用して、過去のイベントに関するレポートを提供する
ログ管理システムは類似している ログ管理システムは類似している
S E IM ソリューションと組み合わせる SEIM ソリューションと組み合わせる
リアルタイム関数はリアルタイム分析を提供します。
ログの保存とアーカイブの規律ある慣行を維持する ログの保存とアーカイブの厳格な規律を維持する
最新のレポート ツールを使用して、セキュリティ イベント情報を有用なビジネス インテリジェンスに変換することもできます。
応答
封じ込め戦略 (例: ウイルスソースをネットワークから遮断する、感染したホストを制御する)
■ 法的証拠を法的手段で保存するために、法的証拠を保存する必要性。
■ 影響を受けるコンポーネントが提供するサービスの可用性 サービスの可用性を維持するために、影響を受けるコンポーネントを提供します。
■ 影響を受けるコンポーネントをそのまま放置すると発生する可能性がある損傷の可能性 発生する可能性のある損傷を回避するために、影響を受けるコンポーネントを交換します。
■ 封じ込め戦略が効果を発揮するまでに必要な時間。
■ 影響を受けるコンポーネントを含めるために必要なリソース。
封じ込め戦略の遅れはより深刻な影響をもたらす
さらなる攻撃につながる
開始イベントと関連情報は可能な限り記録する必要があります。
セキュリティ運用チームによってインシデントが解決されたと判断されるまで、さらに多くの情報が収集される必要があります。
報告
ポリシーと手順ポリシーと手順を定義する必要があります
■ メディアや組織の渉外グループが関与する必要があるか? メディアや組織の渉外グループが関与する必要があるか?
■ 組織の法務チームがレビューに関与する必要がありますか? 組織の法務チームがレビューに関与する必要がありますか?
■ インシデントの通知はどの時点でライン管理者に上がり、インシデントはどの時点でライン管理者に上がり、中間管理者に通知されます。
中間管理職、上級管理職、取締役会、それとも上級管理職ですか?監督?取締役会ですか?
■ インシデント情報を保護するために必要な機密保持要件は何ですか?
■ 報告にはどのような方法が使用されますか? 電子メールが攻撃された場合、報告および通知のプロセスにどのような影響がありますか?電子メール システムが侵害された場合、報告と通知の手順はどのように開始されますか?携帯電話、固まり、緊急連絡先は?
回復する
コンピュータのイメージを損失のない状態に復元します
回復の第一歩は撲滅です
根絶は脅威を取り除くプロセスです。 (システムがウイルスに感染し、正常に機能しなくなった場合は、徹底的に駆除することで問題が解決されます。)
システムを既知の良好な状態に復元または修復します。
最後の既知の画像または状態にイベントの実際の原因が含まれている場合、 この場合、リカバリは非常に複雑になります。新しいイメージを生成する必要があります。 そして、実稼働環境に移行する前にアプリケーションをテストします。
修正とレビュー (教訓)
インシデント対応で最も重要なのは、経験と教訓を要約することです
(RCA) 根本原因分析
逆算して、そもそもイベントが発生した原因を特定します。根本原因が特定されるまで、層ごとに作業を進めて、イベントの原因を特定します。発見した。
R CA は、技術、文化、組織の境界を素早く越えることができます。RCA は、技術、文化、組織の境界を素早く越えることができます。
修復 修理
R C A からの情報は、その後、採用および実装について経営者によってレビューされます。 ルート分析は、経営者によってレビューされ、採用および実装するかどうかを決定します。
問題管理
事故管理
有害事象の管理
インシデントの影響を制限する、インシデントの影響を制限する。
問題管理
イベントを根本原因まで追跡し、根本的な問題に対処する イベントを根本原因まで追跡し、根本的な問題に対処する
インシデントを可能にした、またはより成功させた欠陥に対処する。
長期的な視点を持つと時間がかかる
運用環境で発生するインシデント 運用環境で発生するイベントの長期的な経過
頻繁には発生しない特定の条件が整うまでに必要な場合があるため、根本的な欠陥を追跡します。
セキュリティの監査とレビュー - 緩和策の先駆者
セキュリティ監査
独立した第三者によって実行される
必要な制御が実装される程度を決定します。 必要な制御が実装される程度が決まります。
内部レビュー内部レビュー
システムの管理責任を持たない組織のスタッフのメンバーによって実行されます。
外部レビュー外部レビュー
組織のセキュリティ要件に基づいてシステムを評価する外部の組織が関与します。
システムの独立した評価を提供します。
セキュリティレビューセキュリティレビュー
システム保守員またはセキュリティ担当者が実施して発見する システム保守員またはセキュリティ担当者が実施して発見する システム保守員またはセキュリティ担当者が実施してシステムの脆弱性を発見する
脆弱性評価 脆弱性評価
侵入テスト侵入テスト
システムへの物理的アクセス、またはシステムや施設の外部からの物理的アクセスによって実行されます。
セキュリティ監査およびレビュープロセスの結果セキュリティ監査およびレビュープロセスの結果は、対処すべき項目および問題として体系的にリストされる必要があります。
調査
用語集
デジタル調査
コンピューターフォレンジック、デジタルフォレンジック、ネットワークフォレンジックから電子データディスカバリー、サイバーフォレンジック、フォレンジックコンピューティングまで。
方法論的、検証可能、監査可能な手順とプロトコルに基づく
米国法医学アカデミー (AAFS) 米国法医学科学アカデミー
デジタル フォレンジック サイエンス 研究ワークショップ (DFRWS)デジタル フォレンジック サイエンス 研究ワークショップ
証拠収集ガイド
証拠の特定 証拠の特定
証拠の収集または取得証拠の収集または取得
証拠の調査または分析証拠の調査または分析
調査結果の提示証拠の提示
犯罪現場
形式原理
1. シーンを特定してシーンを決定し、
2. 環境を守る、環境を守る、
3. 証拠と潜在的な証拠源を特定する証拠と潜在的な証拠源を特定します。
4. 証拠を収集する証拠を収集し、
5. 汚染の程度を最小限に抑える
環境
物理的環境
サーバー、ワークステーション、ラップトップ、スマートフォン、デジタル音楽デバイス、タブレット
比較的簡単に対処できます。
仮想環境
証拠の正確な場所を特定したり、証拠を入手したりすることが困難である、
例: クラスター、GRID、またはストレージ エリア ネットワーク (SAN) 上のデータ)
動的な証拠
データは動的な動作環境に存在します
セキュリティ専門家にとって仮想シーンを保護することはより困難です
動機、機会、手段 MOM
モチベーション
誰が、なぜ
チャンス
いつ、どこで
方法
犯罪者には成功する能力が必要だ
コンピュータ犯罪
使用量MO
犯罪者はさまざまな手口で犯罪を行うため、さまざまな種類の犯罪を特定するのに役立ちます。
ロッカの交換法則
犯罪者が物を持ち去る際に忘れ物をしたと判断される
一般的なガイドライン G8
デジタル証拠を扱うときは、すべての一般的な法医学原則と手続き原則を適用する必要があります。
証拠を掴む行為によって証拠を変えることはできません。
オリジナルのデジタル証拠にアクセスする必要がある場合、その人はこの目的のためにトレーニングを受ける必要があります。
デジタル証拠の押収、アクセス、保管、送信に関連するすべての活動は、完全に文書化して保存し、レビューと検査に利用できるようにする必要があります。
デジタル証拠が誰かの所有物である場合、その人はデジタル証拠に関連するすべての活動に対して責任を負わなければなりません。
デジタル証拠の取得、アクセス、保存、送信を担当する機関は、これらの原則を遵守する責任があります。
経験則
■ 元のデータの取り扱いや破損を最小限に抑えます。
■ あらゆる変更を考慮し、アクションの詳細なログを保管します。
■ 証拠の 5 つのルールを遵守します。
■ 自分の知識を超えてはいけません。
■ ローカルのセキュリティ ポリシーに従い、書面による許可を取得してください。
■ 可能な限り正確なシステムのイメージをキャプチャします。
■ 証言する準備をしてください。
■ アクションが再現可能であることを確認します。
■ 早く仕事をしましょう。
■ 不安定な証拠から永続的な証拠に進みます。
■ 影響を受けるシステムではプログラムを実行しないでください。
イベント処理 戦略、役割、責任
ポリシーは明確かつ簡潔でなければならず、インシデント対応/処理チームがあらゆるインシデントに対処できるようにする必要があります。
スタッフが配置され、よく訓練されたインシデント対応チーム
仮想チーム
専任チーム
ハイブリッドモードチーム
アウトソーシングリソース
一部の組織が使用している 4 番目のモデルには、調査への参加や対応チームのメンバーとして「オンデマンド」で利用できる外部委託リソースが含まれます。
対応チームの中核分野
チームを設立するにはトレーニングとチームを最新の状態に保つことが必要であり、それには膨大なリソースが必要です。
公開情報の取り扱いには注意が必要です
インシデント対応
インシデント対応またはインシデント処理は、組織のセキュリティ部門の主な責任となっています
一般的な枠組み
対応能力の確立。
インシデントの処理と対応。
回復とフィードバック回復とフィードバック。
インシデントの処理と対応
意味
イベントとは、観察、検証、記録できるネガティブなイベントです。
インシデントとは、企業とその安全姿勢に悪影響を与える一連の出来事です。
インシデント対応: 何かが会社に影響を及ぼし、安全違反が発生し、問題への対処がインシデント対応またはインシデント処理になります。
ステップ
診断
イベントの検出、識別、通知などのサブフェーズが含まれます。
イベントの種類、ソース (内部または外部)、増加率、エラー抑制機能の影響を受ける潜在的なリスク レベルに従ってイベントを分類します。
誤検知イベント/誤検知の処理には最も時間がかかります。
それが実際のイベントの場合、分類(組織のニーズに基づく)と分類(イベントの潜在的なリスクまたは重大度のレベルを決定する)が必要です
調査
イベントの分析、解釈、対応、回復を直接処理します。
調査には、分析とその後の段階で使用される関連データの適切な収集が含まれます。
経営者は、法執行機関が捜査に関与しているのか、訴追のための証拠を収集しているのか、それとも単に抜け穴を補修しているのかを判断する必要があります。
含む
インシデントを封じ込め、その影響を軽減します。
封じ込め対策は、攻撃の種類、インシデントの影響を受ける資産、およびそれらの資産の重要性に基づいて行う必要があります。
適切な封じ込め対策は、インシデント対応チームがインシデントの根本原因を適切に調査して特定するための時間を稼ぎます。
適切な記録を維持し、潜在的な証拠源の取り扱いを維持する必要があります。
分析と追跡
分析段階でさらに多くのデータ (ログ、ビデオ、システムアクティビティなど) を収集して、インシデントの根本原因を理解し、インシデントの原因が内部か外部か、および侵入者がどのように侵入したかを判断します。
セキュリティの専門家は、適切な説明を行うために、正式なトレーニングと実際の経験を組み合わせる必要がありますが、多くの場合、十分な時間がありません。
追跡は分析や検査と連携して行われることが多く、誤ったリードや意図的な欺瞞の原因を取り除く必要があります。
また、根本原因を特定し、真の原因を追跡した後に何を行う必要があるかということも重要です。
客観的
現在の事件を止めるのに十分な情報を入手する
今後の「同様の」事件の発生を防ぐ
何が、誰に責任があるのかを特定する
回復期
目的は、ビジネスを再開して稼働させ、影響を受けたシステムを運用環境に戻し、他のアクティビティとの一貫性を保つことです。
このようなことが二度と起こらないように、必要な修理を行ってください。
修復作業には、機密性の高いポートのブロック、脆弱なサービスまたは機能の無効化、パッチの適用などが含まれます。
報告と記録
最も重要で見落とされがちな段階は、報告とフィードバックの段階です。
組織は多くの場合、出来事から多くのことを学び、失敗から成功へと移行します。
報告会には、インシデントの影響を受けた各チームの代表者を含むすべてのチームメンバーが必要です。
利点は、このフェーズでは、意味のあるデータを収集して対応チームのパフォーマンスを開発または追跡できることです。
指標により、予算の割り当て、人員配置のニーズ、ベースラインを決定し、慎重さと合理性を実証できます。
難しいのは、組織にとって意味のある統計分析と指標を作成することです。
証拠の収集と処理
証拠の保管過程
それが指すのは、証拠メディアには、最初の収集とラベル付けから、輸送、使用、中間保管、最終的な保管とアーカイブに至るまで、オリジナルの証拠メディアが絶対に存在することを保証する明確な記録(Document)と責任(Accountability)がなければならないということです。汚染 (Contaminate) や改ざん (Tamper) の可能性がありません。
証拠のライフサイクル全体を通じて、誰が、何を、いつ、どこで、どのように証拠を扱うかがすべてです。
ハッシュ (SHA-256) とデジタル署名を利用して証拠の信頼性と完全性を保証します。
インタビュー
捜査の中で最もデリケートな部分は、証人や容疑者への聞き取りです。
面接の前に、戦略を検討し、経営陣に通知し、会社の法律顧問に連絡する必要があります。
可能であれば、面接中は一人にならないでください。証拠として面接全体を記録してください。
フォレンジックプロセスを理解する
法廷で認められる証拠
証拠の分類
プレゼンテーション方法の分類
書かれた
オーラル
証人による証言
コンピュータで生成された
視覚的または聴覚的
犯罪中または犯罪直後に撮影された出来事
影響力別に分類
最良の証拠
元の契約書
補助証拠
口頭証拠、原本書類のコピー
直接証拠
証人の証言
目撃者の五感をもとに集めた証拠
決定的な証拠
状況証拠
別の事実の存在を推測または決定するために使用できる中間事実を確認します。
決定的な証拠
アイデアや意見を提供するために使用される裏付け証拠
意見証拠
専門家証人が語る教育的視点
一般の証人は事実しか証言できない
伝聞証拠
法廷で提出された口頭または書面による証拠(中古品)
証拠の特徴
信憑性または関連性
調査結果に対して控えめかつ現実的な関係が必要です
誠実さ
証拠は真実全体を提示しなければなりません
適切性または信頼性
理性的な人に捜査の信頼性を納得させるのに十分な説得が必要であり、証拠は強力で簡単に疑われるものでなければなりません。
信頼性または正確性
事実と一致していなければなりません。一人の個人の意見や原本のコピーに基づく場合、その証拠は信頼できません。
コンピュータのログ
ビジネス記録を除き、ビジネスの標準化プロセス中に収集する必要があることが前提となっています。
ほとんどのコンピュータ関連文書は伝聞、つまり二次証拠とみなされるべきではありません。
証拠収集の原則
調査の結果として講じられたいかなる措置も、記憶媒体またはデジタル デバイス上のデータを変更してはなりません。
データにアクセスする人は、データにアクセスする資格があり、自分の行動を説明できなければなりません
第三者監査に適し、プロセスに適用される監査証跡またはその他の記録が生成および保護される必要があり、調査の各ステップが正確に文書化される必要があります。
調査責任者は、上記の秩序と政府法の遵守を確保することに完全な責任を負わなければなりません
データを入手する人々の行為に関しては、証拠を変更してはなりません。
必要な担当者が元の証拠にアクセスできる場合、法的資格を持っている必要があります
デジタル証拠の取得、アクセス、保管、送信に関連する行為は慎重に記録、保存し、監査に利用できるようにする必要があります。
デジタル証拠が誰かによって保持されている場合、その人は証拠に関して取られた行動に対して全責任を負わなければなりません
オーストラリアのコンピュータフォレンジック一般ガイドライン
生データの処理や破損は最小限に抑えられます
すべてのアクションを文書化し、変更点を説明する
証拠の 5 つの原則 (受け入れられる、信頼できる、完全、正確、説得力がある) に従ってください。
証拠の処理や関連付けが自分の知識、スキル、能力を超えている場合は、より経験豊富な人々の助けを求めてください。
組織構造のセキュリティ ポリシーに従い、フォレンジック調査を管理するために経営陣から書面による許可を取得します。
可能な限り迅速かつ正確にシステムのイメージをキャプチャします。
法廷で証言する準備をする
不安定な証拠から永続的な証拠まで、行動に優先順位を付けます
証拠となる可能性のあるプログラムをシステム上で実行しないでください
倫理的かつ誠実に科学捜査を管理し、何かを損なおうとしないでください
証拠分析方法
メディア分析: 情報メディアから情報または証拠を回復する。
ネットワーク分析: 潜在的な証拠として使用されるウェブログとネットワーク活動の分析と調査。
ソフトウェア分析: プログラム コード (ソース コード、コンパイル済みコード、マシン コードを含む) を分析および検査し、作成者の特定やコンテンツ分析などを含むデコードおよびリバース エンジニアリング技術を使用します。
ハードウェア/組み込みデバイスの分析: モバイル デバイスの分析を含める必要があります。
調査タイプの要件
必要
望ましい行動の表現。
オブジェクトまたはエンティティを扱います。
彼らがとり得る州、
状態またはオブジェクトの特性を変更するために実行される機能。
コンピュータ犯罪
コンピューターが犯罪の対象であるか、犯罪の道具であるか、犯罪に関連する証拠の保管であるかを問わず、コンピューターによって促進および補助される違法行為。
最初の返信者
重要なインポート
犯罪捜査の三要素
情報の蓄積 情報の蓄積:調査の基本要素
計測ツール: コンピューター システムが関与する金融関連の犯罪を捜査する際に使用されるツールは、主にログと記録の追跡と分析を中心に展開し、正常なパターンの不一致や異常を特定します。
聞き取り調査: 特に攻撃者が内部関係者の場合、動機や使用された可能性のある手法についての洞察などの間接的なツールを調査員に提供します。
継続的な輸出監視
出力監視 出力監視
出力フィルタリングは、ネットワークの一方の側からもう一方の側への情報の流れを監視し、場合によっては制限する実践です。
プライベート ネットワークからインターネットへの情報の流れは監視および制御される必要があります。
ネットワーク トラフィックは厳密に制御、監視、監査される必要があります。
物理的および論理的なアクセス制御メカニズムを使用して、ネットワーク トラフィックと帯域幅に影響を与え、管理します。
新しいアプリケーションが外部ネットワーク アクセスを必要とする場合は常に、ポリシーの変更と管理管理メカニズムが必要になる場合があります。
境界デバイスは、イントラネットから送信されるデータ パケットを検査し、すべての送信パケットの送信元 IP アドレスが割り当てられた内部アドレス ブロックに属していることを確認して、イントラネットが受信する IP アドレスに対するスプーフィング攻撃を防ぎます。
継続的監視システムは、組織のニーズを満たすように設計されています。
継続的な監視システムを導入し、重要な政府機関の施設を保護します。
詳細は「第6章 セキュリティ評価とテスト」の「セキュリティデータの収集」を参照してください。
いくつかのコンピューター犯罪
サラミアタック
プロバイダーは、それらが組み合わさって大きな犯罪に発展して注目を集めないことを期待して、いくつかの小規模な犯罪を犯します。
データの欺瞞
既存のデータの変更
パスワードスニッフィング
コンピュータ間で送信されたパスワードを取得する
IPスプーフィング
攻撃者は、自分の本当のアドレスを他人に知られたくないため、パケットの IP アドレスを変更して、別のアドレスを指すようにします。
スパム検索
他の人のゴミ箱を調べて、その人や会社に対して利用される可能性のある捨てられた文書、情報、その他の貴重品を見つけます。
盗聴
受動的な攻撃であり、通信を盗聴するために使用されるツールには、無線電話スキャナー、無線受信機、マイク受信機、ボイス レコーダー、ネットワーク スニファーなどが含まれます。
ドメイン名不法占拠
これは、誰かが同様のドメイン名を使用して企業に損害を与えたり、金銭を強要したりする目的でドメイン名を購入する場合です。
リソースの保護
会社の貴重な資産をすべて保護するわけではありません
有形および無形の資産
有形資産は物理的な資産であり、伝統的資産のカテゴリーに分類されます。
無形資産は物理的なものではなく、知的財産(特許証明書、フランチャイズ権)のカテゴリーに分類されます。
施設の保護
施設には、動作環境を維持するために適切なシステムと制御が必要です
火災検知および消火システム
暖房、換気、空調システム
上下水道システムはあらゆる施設に不可欠な部分です
電力供給および配電システム
安定した通信
施設のアクセス制御および侵入検知システム
ハードウェア
ハードウェアには、必要な機密性、完全性、可用性を維持するために適切な物理的セキュリティ対策が必要です
アクセスはオペレーター端末と職場に限定する必要があります
施設へのアクセスを制限する必要がある
モバイル資産は保護される必要がある
印刷設備は認定ユーザー別館に設置する必要があります。
ネットワークデバイスは中核的な資産であり、保護する必要があります
メディア管理
タイプ
ソフトコピーメディア
磁気、光学、固体
フラッシュドライブとメモリカード。
ハードコピーメディア
紙とマイクロフィッシュ。
メディアの保護
機密情報や機密情報を含むメディアは暗号化する必要があります
侵害を軽減するには、暗号化を使用してデータを保護する必要があります。
特殊な種類のメディア
製品ソフトウェア
システムとアプリケーションのオリジナルのコピーとインストールされたバージョン
ソフトウェア ライブラリアンを通じて制御されます。
リムーバブルメディア
質問
組織は情報がいつ流出するかを知りません
組織は情報が侵害されたかどうかを知りません
ユーザーは通常、違反を報告しません。
解決策の提案
DLP を整理して実装する
a USB およびその他の外部ポートの監視と制限
a DVD、Blu-ray、およびその他の書き込み可能なディスクドライブの監視
安全なリムーバブルメディア管理ソリューション
強力な認証を使用して暗号化を強制する
メディアに転送された情報を監視し、ログに記録します
在庫管理機能
リモートワイプ機能
地理的な場所をターゲットにする機能
アーカイブとオフラインストレージ
バックアップとアーカイブは、情報を保存するために使用される 2 つの異なるタイプの方法です
バックアップ
定期的に、または災害発生時に情報やシステムを復元するために使用されます。
ユーザーが毎日処理する情報が含まれます
アーカイブ。
歴史的な目的があり、継続的に使用されない情報は保持し、システムから削除する必要があります。
バックアップからのリカバリ
修復が正しい順序で行われることを保証するために、明確に定義され文書化された手順が用意されています。
すべてのバックアップおよびアーカイブ メディアは定期的にテストされます
クラウドストレージと仮想ストレージ
クラウドストレージ
デジタルデータは論理プールに保存されます
同じ場所にあるクラウド コンピューティング サービス、Web サービスのアプリケーション プログラミング インターフェイス (API) を介して、または API を利用するアプリケーションによってアクセスできます。
クラウドストレージサービス
■ 多くの分散リソースで構成されていますが、依然として 1 つとして機能します。
■ データの冗長性と分散による高度な耐障害性。
■ バージョン付きコピーの作成により耐久性が高くなります。
いくつかの懸念
データが分散されると、より多くの場所に保存されるため、データへの不正な物理アクセスのリスクが高まります。
データにアクセスして侵害される可能性がある (つまり、賄賂や強制など) 可能性がある人の数は劇的に増加します。
データが通過するネットワークの数が増加します
ストレージやネットワークを他の多くのユーザー/顧客と共有している場合、場合によっては誤った操作、機器の欠陥、バグ、または犯罪的意図が原因で、他の顧客があなたのデータにアクセスする可能性があります。
仮想ストレージ
意味
異なるタイプの複数の独立した物理ストレージ本体を指します。 ソフトウェアおよびハードウェア テクノロジを通じて、統合は論理仮想ストレージ ユニットに変換されます。 ユーザーが一元的に使用できるように一元管理します。
利点
汎用ハードウェアまたはより安価なストレージを使用して、エンタープライズ クラスの機能を提供できます。
主な仮想化の種類
ブロック仮想化
論理ストレージの抽象化(分離)
ファイル仮想化
種類
ホストベース
ストレージデバイスベース
プライマリ ストレージ コントローラは仮想化サービスを提供し、他のストレージ コントローラの直接接続を可能にします。
プライマリ コントローラーはプーリング サービスとメタデータ管理サービスを提供します。
ネットワークベース
最も一般的に利用可能で実装されている形式
ハードコピーの記録
記録および情報管理プログラム (RIM)
災害発生時に組織が情報を利用できるようにする
ハードコピー記録を保護する
危険
火災、洪水、ハリケーンによって紙の記録の紛失または損傷が発生する可能性があります
廃棄に関する推奨事項
重要なハードコピーを保護するための戦略
文書には、安全で清潔で環境的に安定した容器に保管することが含まれます。
バックアップコピーを作成し、温度と湿度が安定した安全なオフサイトエリアにバックアップを保管します。
マイクロフィッシュのコピーを作る
廃棄と再利用
残ったデータは慎重に消去する必要があります
単純な削除またはフォーマット
情報へのポインタを削除するだけです。
ソフトウェア削除ツール
ランダムまたは事前に決定されたパターンを使用して、磁気メディアのすべての部分を上書きします
欠点がある
1 回の上書きは簡単に回復できます。機密情報は複数回上書きする必要があります。
ラボツールで簡単に回復可能
残留磁性
情報の残りの物理的表現を何らかの形で消去する、媒体内の残留磁場の測定値
危険な
消磁
電磁場を使用して磁気を除去する
それは、媒体上の磁場をゼロにすることです。
より安全なアプローチ
物理的破壊
粉砕、燃焼、粉砕が一般的な方法です
最も安全ですが、粒度に注意してください
資源保護技術
Unauthorized Disclosure不正開示
懸念に値する脅威である
マルウェアや悪意のあるユーザーの悪意のある活動により、重要な情報が失われる可能性があります。
破壊行為、破壊行為、盗難
マルウェアや悪意のあるユーザーによる悪意のある活動により、大量の情報が失われる可能性があります。
サービスの中断は、通常の業務運営に多大な影響を与える可能性もあります
盗難も一般的な脅威です。
破損または不適切な変更
重要なシステムを保護し、適切な手順を提供します
侵入検知システムのアーキテクチャ
保護範囲による分類
ネットワーク侵入検知システム (NIDS) に基づく
パッシブアーキテクチャ
ネットワークタップの取り付け、ハブへの接続、
または、スイッチ上のポートを N ID S 専用ポートにミラーリングします。
そのデバイス上のすべてのポートの合計トラフィック負荷と同等 (またはそれ以上) のトラフィック スループットを処理します。
暗号化されたデータを監視できない
現在、セッション暗号化を破る可能性のあるテクノロジーが多数存在します。
ユーザートレーニングとプライバシーの問題
タップまたはスイッチのデバッグ ポートまたはハブに導入されたネットワーク トラフィックのリアルタイム監視
ホストベースの侵入検知システム (HIDS)
ホスト監査ログと各主要ホストでの展開のリアルタイム監視
単一ホスト システムの境界に限定されます。
マルチホスト IDS
複数のホストからのデータを識別して応答する
ポリシー情報の共有とリアルタイム攻撃
欠点
ホストのオペレーティング システムに非常に有害です
通常のシステム処理を妨害し、CPU とメモリを過剰に消費する
アプリケーションIDSに基づく
特定のアプリケーションの悪意のある動作を監視する IDS
保護原則による分類
機能ベースの IDS
ウイルス対策ソフトウェアと同様の署名照合
署名ベースの IDS
機能は継続的に更新する必要がある
以前に特定された攻撃シグネチャのみが検出され、新しい攻撃は検出されません
カテゴリ: 機能マッチング、ステータスマッチング
ルールベースのIDS
エキスパート システムでのルールベースの手順 IF/THEN の使用
人工知能を許可する
ルールが複雑になればなるほど、ソフトウェアとハードウェアのパフォーマンスに対する要件が高くなります。
新たな攻撃を検出できない
異常IDSに基づく
環境内の「日常的な」活動の学習を必要とする行動ベースのシステム
新たな攻撃を検知できる
欠点がある
システムの瞬間的な異常により、攻撃以外のイベントを誤って検出する可能性がある
動作ベースまたはヒューリスティックとも呼ばれます
分類
統計的異常
プロトコル例外
交通異常
侵入への対応
IDS が侵入を検知した場合
システムトラフィックを制限またはブロックする
他のデバイスと統合して対応することもできます
たとえば、ルーター、VPN ゲートウェイ、VLAN スイッチング デバイスなどにルールを挿入します。
IDS の初期バージョンは、許可されたトラフィックに対して提案されたルールをファイアウォールが実装するようにガイドするために、ファイアウォールと統合されました。
ルールの有効化のプロセス中に通常のビジネスが影響を受ける可能性があります
誤報率は厳密に管理する必要がある
アラートとアラート
IDSの基本コンポーネント
1. センサー
導入検出メカニズム
イベントを特定する
適切な通知を生成する
管理者に通知する
ルールをアクティブにする
2. 制御と通信 指令と制御と通信
アラーム情報の処理
電子メールやテキストメッセージなどを送信します。
3. 宣告者出版社
リレーシステム
ローカルおよびリモートのリソースに迅速に通知する
情報を受け取ることができる人を決定する
タイムリーな情報配信メカニズムを確保する
受信したアラートの種類と情報の緊急性を判断する
郵便
ショートメッセージ
IDS管理
IDS は、企業で広く採用されているセキュリティ技術の 1 つです。
シンプルな投資
メンテナンスはまったく必要ないか、ほとんど必要ありません
広範なメンテナンス サポートが必要
効果的な IDS 管理
IDS の選択、実装、構成、実行、保守を行うために技術的な知識のある人を雇う
新しい攻撃特性でシステムを定期的に更新し、予想される動作特性を評価します
IDS の脆弱性に注目し、効果的に保護する
攻撃者は IDS/IPS システムを無効にする攻撃を開始する可能性があります
電子メール保護 - ホワイトリスト、ブラックリスト、グレーリスト
ホワイトリスト
「適切な」送信者としてリストされている電子メール アドレスまたは IP アドレスなどのリスト
ブラックリスト
「悪い」送信者のリスト
グレーリスト
あなたが誰なのか知りませんし、あなたの電子メールを受け入れるまでに余分な手順がスキップされます。」
グレーリストは、送信側電子メール サーバーに新しい電子メールをすぐに再送信するように指示します。
非営利団体
非営利団体
インターネットスパムの活動とソースを追跡する
インターネットにリアルタイムで効果的なスパム保護を提供します
DLP (Data Leak/Loss Prevention) データ漏洩防止
意味
企業の機密情報の漏洩を防ぐことを目的とした一連の技術
3 つの重要な目標
企業全体に保存されている機密情報を見つけてカタログ化します。
企業全体にわたる機密情報の移動を監視および制御します。
エンドユーザーシステムからの機密情報の移動を監視および制御します。
組織の機密情報の分類、保管場所、および送信経路
組織は、処理する情報の種類と場所を認識していないことがよくあります。DLP ソリューションを購入する場合、まず機密データの種類と、システム間およびシステムからユーザーへのデータ フローを理解する必要があります。
分類には、プライバシー データ、財務データ、知的財産などの属性カテゴリを含めることができます。
データが適切に識別され、分類されると、より詳細な分析プロセスがプライマリ データと重要なデータ パスを特定するのに役立ちます。
企業データのライフサイクルに注意を払う必要があり、データの処理、保守、保存、廃棄を理解することで、より深いデータの保存と送信パスを明らかにすることができます。
DLP 導入の利点
重要なビジネスデータと知的財産を保護します。
コンプライアンスの強化。
データ侵害のリスクを軽減します。
トレーニングと意識を高める
ビジネスプロセスを改善する。
ディスク容量とネットワーク帯域幅を最適化します。
不正/マルウェアを検出
保存データ静的データ
特定のファイルの種類を検索して識別し、情報が保存されている場所を識別して記録します。
ファイルが見つかると、DLP はファイルを開いてその内容を識別します。
DLP はクローラー システムを使用します。
Data in Motion (ネットワーク) 動的データ
DLP ソリューション
1. ネットワークトラフィックを受動的に監視します。
2. キャプチャされた正しいデータ トラフィックを特定します。
3. 収集したデータを組み立てます。
4. データ ストリームでファイルの再構築を実行します。
5. 静的データに対して同じ分析を実行し、ファイルの内容の一部がそのルールによって制限されていることを確認します。
企業ネットワークのデータ移動を監視するために、DLP ソリューションは特別なネットワーク デバイスまたは組み込みテクノロジを使用して、ネットワーク トラフィックを選択的にキャプチャして分析します。
ディープ パケット インスペクション (DPI) テクノロジーは、DLP の中核機能として、基本ヘッダー情報を超えたパケット ペイロード コンテンツを読み取ることができます。
DPI テクノロジにより、DLP は転送中のデータを検出し、コンテンツ、ソース、宛先を判断できます。
DLP には、暗号化されたデータを (たとえば、暗号化キーを使用して) 処理したり、検出前に復号化し、検出完了後に暗号化を継続したりする機能があります。
使用中のデータ (エンドポイント)使用中のデータ
エンドユーザーがワークステーション上で実行するデータ移動アクションを監視する
エージェントを使用してタスクを完了する
DLP機能
ポリシーの作成と管理ポリシーの作成と管理
ディレクトリサービスの統合
ワークフロー管理ワークフロー管理
バックアップと復元バックアップと復元
レポートレポート
ステガノグラフィーと透かし技術
透かし
ステガノグラフィーは、写真やビデオ ファイル内の大量の情報を隠す情報隠蔽テクノロジーです。
情報の隠蔽には、秘密のチャネル、Web ページ上のテキストの隠蔽、可視ファイルの隠蔽、および空のパスワードが含まれます。
サードパーティのサービス、サンドボックス、マルウェア対策、ハニーポット システム、ハニーネット
サードパーティのセキュリティ サービスサードパーティのサービス
動的アプリケーションセキュリティテスト (DAST)
アプリケーションの実行状態におけるセキュリティの脆弱性を検出するために使用されます。
公開されている HTTP および HTML の問題のほとんどは、WEB の脆弱性に基づいています。
一部は非 Web プロトコルやデータの不正です
方法
動的アプリケーションセキュリティテストはサービスです
RIA (リッチ インターネット アプリケーション) をテストするためのクローラー機能がある
HTML5。
クロール機能があり、他の Web プロトコル インターフェイスを使用してアプリケーションをテストする
静的アプリケーション テスト機能 (SAST)。
インタラクティブなセキュリティテスト。
包括的なファズテスト
モバイルおよびクラウドベースのアプリケーションのテスト。
ハニーポットとハニーネットハニーポット システムとハニーネット
おとりサーバーとして機能し、システム上で動作している攻撃者または侵入者に関する情報を収集します。
IDSの亜種
情報収集と欺瞞にさらに重点を置く
共通ツール
グラストフ
フローインタラクション、
オープンソースのハニーポット
スペクター -
コマーシャル
ゴーストUSB
無料のUSBエミュレーションハニーポット
KFセンサー
Windows ベースのハニーポット侵入検知システム (IDS)。
サンドボックス化
ソフトウェア仮想化技術
プログラムとプロセスを隔離された環境で実行できるようにする
他のシステムファイルやシステムへのアクセスを制限する
サンドボックスで起こることはサンドボックスでのみ起こります
従来のシグネチャベースのウイルス対策の代替品
ゼロデイ脆弱性や隠れた攻撃を検出できる可能性
マルウェアはさまざまな手法を使用して検出を回避します
フック
マルウェアを検出するために導入されたテクノロジー
プログラムに直接挿入して、関数またはライブラリの呼び出し (コールバック) の通知を取得します。
この手法ではプログラム コードの変更が必要です
マルウェアに注意してください
動的コード生成を中断する
主な問題
サンドボックスは、呼び出されたときにマルウェアによって実行される命令を確認できません。
環境チェック環境モニタリング
マルウェア対策 マルウェア対策
マルウェア対策テスト標準化機構 (AMTSO マルウェア対策テスト標準化機構)
マルウェアのテストと関連製品のディスカッションのためのフォーラム
マルウェアテストの客観的な基準とベストプラクティスを公開する
マルウェア テストの問題に関する教育と意識を促進する
標準化されたテストと方法論に特化したツールとリソースを提供する
ウィンドウズ
1. マルウェア (EICAR.COM) の手動ダウンロードに対する保護が有効になっているかどうかをテストします。
2. ドライブバイ ダウンロードに対する保護 (EICAR.COM) が有効かどうかをテストします。
3. 望ましくない可能性のあるアプリケーション (PUA) のダウンロードに対する保護が有効になっているかどうかをテストします。
4. フィッシング ページへのアクセスに対する保護が有効になっているかどうかをテストします。
5. クラウド保護が有効になっているかどうかをテストします。
アンドロイド
災害からの回復
回復戦略を策定する
考慮すべき回復戦略
存続サイト存続サイト
セルフサービスセルフサービス
内部取決め 内部取決め
相互協定・相互扶助協定 相互協定・相互扶助協定
専用の代替サイト 専用の代替サイト
在宅勤務 在宅勤務
外部サプライヤー 外部サプライヤー
取り決めなし 取り決めなし
回復戦略の選択は組織のニーズを満たす必要があります
費用対効果分析 (CBA)
戦略を立てるための初期費用
回復戦略ソリューションを維持するための継続的なコスト
計画の定期テストの費用
通信関連費用
バックアップストレージ戦略を導入する
目標復旧時間 (RTO)\最大許容ダウンタイム (MTD)\目標復旧時点 (RPO)
バックアップ方法
準備万端
増分バックアップ
最後に完全バックアップまたは増分バックアップが取られてから変更されたファイルのみのコピーを作成します。
アーカイブビットを「0」に設定します。
復元に最も時間がかかる
差分バックアップ
前回の完全バックアップ以降にデータが変更されたファイルのみをコピーします
最後の完全バックアップ以降、アーカイブ ビット値は変更されません。
リカバリーサイト戦略
デュアル データ センターデュアル データ センター
この戦略を使用すると、アプリケーションのダウンタイムが組織に影響を与えることを許容できなくなります。
アドバンテージ
ダウンタイムが少ない、またはまったくない
メンテナンスが簡単
復元する必要はありません
欠点がある
より高いコスト
冗長なハードウェア、ネットワーク、人員が必要
距離によって制限される
熱いサイト熱い戦争
内部ホットサイト 内部ホットサイト
アプリケーションの実行に必要なすべてのテクノロジーと機器を備えたスタンバイ サイトを準備します。
時間に依存しない実行
開発環境やテスト環境など
外部ホット サイト外部ホット サイト
設備は整っているが、環境の再構築が必要
これらのサービスはサービスプロバイダー契約の対象となります
アドバンテージ
回復戦略のテストを許可する
高可用性
サイトは数時間以内に復元可能
欠点がある
内部サーマル ステーションは外部サーマル ステーションよりも高価です
外部ホットステーションにソフトウェアとハードウェアの互換性の問題があります
ウォームサイト ウォームサイト
一部の機器は備えていますが、実際のコンピュータは備えていないレンタル施設
コールドサイト コールドサイト
コールド サイトは、フロアに技術的設備のないシェルまたは空のデータ センターです。
アドバンテージ
低コスト
より長い回復のために
欠点がある
時間内に回復できません
事前に完全なテスト作業を行う必要はない
モバイルサイト モバイルサイト
これは、適切な通信機器と IT 機器を備えた移動式トレーラーまたは標準コンテナです。 柔軟にドラッグ、ドロップし、必要な代替場所に配置して、電話交換機能などの主要なアプリケーション サービスを提供できます。
アドバンテージ
機動性が高く、輸送が比較的容易
データセンター構築へのモジュール式アプローチ
建築時に屋内設備は不要
欠点がある
指定された場所にコールドサイト機能を確立する必要がある
コンテナの密度と設計により、アップグレードとカスタマイズが非常に困難になります
災害時の運送契約の維持や設備の移動には費用がかかる
マルチプロセッシングデータセンター
このソリューションは、組織が全国または世界中に施設を持っている場合に使用できます。
十分な帯域幅と遅延がある
組織内の「相互合意」と考えることができます。
処理契約
相互協定 相互協定
組織間でダウンタイムのリスクを共有するために使用されます
災害が発生した場合、各組織は互いのデータを引き継ぎ、タスクを処理することを約束します。
質問
他の組織のために予備の処理能力を確保するか、他の組織がダウンしたときに処理能力を削減するという組織の取り組み
組織はまずこれらのプロトコルに準拠できる必要があります
業界内または競合他社の中から適切なパートナーを見つけるのが難しい
アウトソーシング アウトソーシング
企業の費用対効果のニーズを満たす
未知の機能と要件を満たす能力のリスクを負う
SAL 契約では、一定期間サービスが提供されることを示すことができますが、災害時の補償を真に保証するものではありません。
アドバンテージ
オンデマンドサービス
すべての要件と執行責任は第三者にあります
コストがかからない
より幅広い地理的選択を提供する
欠点がある
コンピテンシーの維持を確認するためのより積極的なテストと評価
協定を巡る議論によりメーカーは協定を施行できない
プライベート システムの導入によりベンダーが固定化される
停止が頻繁に発生する場合、能力構築にかかるコストが高くなる可能性があります
システムの復元力と耐障害性の要件
信頼できるパスとフェールセーフ メカニズム
信頼できるパス
特権ユーザー機能のための信頼できるインターフェイスを提供します
このパスを使用する通信が傍受されたり破損したりしないことを保証する手段を提供します
代表的な対策
フェイルセーフ
停電などの障害が発生した場合に自動的にスイッチがオンになります。
人命やシステムの安全性が懸念される
フェイルセキュア フェイルセキュア プロパティ セキュリティ
障害発生時(停電など)の自動ロックアウト
障害発生後、システムが不整合な状態にあるときに、制御された方法でアクセスをブロックすることに重点を置きます。
冗長性と耐障害性
デバイスのバックアップ
スペアパーツ
コールドスタンバイ
スペアパーツは開始されていません
メインデバイスと全く同じ
必要に応じて使用できます
通常はメインデバイスの近くに保管されます
人工環境以外では使用できません
ウォームスタンバイ
すでにシステムに導入されていますが、必要な場合を除き有効化されていません
ホットスタンバイ
システムに挿入し、ウェイクアップする必要があるまで起動します
冗長システム
一般的な冗長構成
アクティブ/スタンバイペアモード
メインシステムはすべてのサービスを提供します
プライマリ システムを監視するパッシブ システムの問題
集まる
2 つ以上がクラスタに参加し、同時にサービスを提供します
電源バックアップ
冗長(またはデュアル)電源
UPS)
代替エネルギー源(ディーゼル発電機など)
ドライブとデータストレージ
SANとNAS
SANストレージエリアネットワーク
SAN は、専用ネットワーク上の専用のブロック レベルのストレージで構成されます。
テープ ライブラリ、光学ドライブ、ディスク アレイなどの多数のストレージ デバイス
iSCSI などのプロトコルがオペレーティング システムにローカルに接続されたデバイスとして認識される
ディスクの大規模なバンクは、専用のコントローラまたはインターネット プロトコル (IP) ネットワーク経由で接続する複数のシステムで利用できるようになります。
NASネットワーク接続ストレージ
ブロックレベルではなくファイルレベル
ファイルを単純に保存して提供するように設計されています
FTPサーバー
共有ファイルサーバー
ネットワークドライブ
NAS は、ネットワーク上の複数のシステムにストレージを提供するために使用することもできます。
RAID 安価な冗長ディスク アレイ
複数の物理ディスクを論理的に結合して論理アレイを形成することにより、冗長性を高めたりパフォーマンスを向上させるために使用されるテクノロジー。データを保存すると、その情報がすべてのドライバーに書き込まれます
RAID 0
パリティ情報を使用せずに、複数のディスクにストライプ状にファイルを書き込みます。
速い読み書き
すべてのディスクに並行してアクセスできます。
冗長性を提供しません
RAID 0を使用して一時データを保存する
RAID 1
このレベルでは、あるディスクから別のディスクへのすべてのディスク書き込みが複製され、2 つの同一のドライブが作成されます。
データミラーリング。
冗長性
高価な
RAID 2
この R A ID レベルは多かれ少なかれ理論上のものであり、実際には使用されません。
ハミング誤り訂正符号
RAID 3 および 4 -
これらのレベルを実装するには、3 つ以上のドライブが必要です。
データのストライピングを取得する
パリティドライブ
パリティ情報
専用ディスクに書き込まれる
データがストライプ化されている
RAID 3 の場合はバイト レベルで、RAID 4 の場合はブロック レベルで複数のディスクにまたがります。
致命的な弱点
パリティドライブ
RAID 5
RAID 4に似ています
パリティ情報はすべてのドライブにわたってストライプ化されます
一般的なデータストレージに最もよく使用されます。
RAID 6
R A ID 5 の機能を拡張します
2 セットのパリティ情報を計算します。
このレベルのパフォーマンスはわずかに劣ります
RAID 0 1 および RAID 1 0 -
2 つの異なる R A ID タイプを組み合わせる
独立テープの冗長アレイ (RAIT)。
データベースのシャドウイング
データベース管理システムで複数のポイントでレコードを更新するために使用されます。
リモート使用のためのデータベースの完全コピー
システムのバックアップと復元
バックアップ データには重要なシステム ファイルとユーザー データが含まれます
バックアップウィンドウ
十分な大きさ
準備万端
十分大きくない
差分バックアップまたは増分バックアップ
バックアップには、実稼働システムからリモート メディアへのデータのコピーが含まれます。
高密度テープを別の場所に輸送または保管する場合など
少なくとも 3 つのバックアップ テープ
オリジナルサイト
障害が発生した単一システムを回復する
現場近く
プライマリ サイトで一般的な障害が発生し、テープが破損しました
リモートサイト
オフサイトサイト
メインサイトから少し離れた安全な場所
電子送信
ネットワーク経由でデータをバックアップする
ミラーリングを実装する
メインシステムへの変更はリアルタイムで図書館サーバーに送信されます
リポジトリサーバー
ストレージデバイスのように構成
リアルタイム更新とは対照的に、ファイルの変更は増分バックアップと差分バックアップを使用してリポジトリに配信されます。
ログまたはトランザクション記録
データベース管理システムは、トランザクションの冗長性を提供する技術を使用します。
柔軟な人員配置
主要担当者の単一障害点を回避する
適切な人員配置レベル
適切なトレーニングと教育
ローテーショントレーニング
災害復旧プロセス
DRエリア
DR には、対応、人材、コミュニケーション、評価、復旧、トレーニングが含まれます
プロセスは記録する必要があります。
組織レベルの継続的テスト戦略
取締役会と上級管理職
テスト戦略と計画
BIA とリスク評価の使用を含む
主要な役割と責任を特定し、テストの頻度、範囲、結果レポートのベースライン要件など、組織の事業継続性テストの最小要件を確立します。
テスト戦略は組織の範囲とリスクシナリオによって異なります
組織とそのサービスプロバイダーのテスト問題に対処する
内部システムのテスト戦略には、システムとデータ ファイルのテストに関与する人々を含める必要があります。
計画の文書化
さまざまな事件に対応した文書復旧
文書はすべての回収施設に保管する必要があります
この文書は、関連するスキルを持つ人が初めてでも完了できるように、技術的な回復操作に十分な詳細を記載する必要があります。
毎回復旧計画をテストし、必要に応じて更新します
応答
インシデント発生後に集中コミュニケーションチームに通知します。
集中番号
ヘルプデスク
テクニカルオペレーションセンター
物理的なセキュリティ担当者
監視員
対応計画
緊急連絡先リストを作成する
評価チーム
最初に通知する
インシデントにエスカレーションが必要かどうかを判断する
最初のアップグレードチーム
イベントオーナー
インシデント対応者
コミュニケーションチャネルを確立する
電話会議
社内および社外に代替コミュニケーション チャネルを確立する
一部のサービスが利用できないことを忘れないでください
速達便
水道と電気のサービス
緊急事態管理チーム
組織内の上級マネージャーで構成されています
最初の対応部分を行う必要はありません
組織と事業の再生に全責任を負います
事件後は指令センターに配置される
日常の運用やメンテナンスの管理が不要
経営幹部は、指導が必要な問題に対応し、解決を支援する必要がある
戦略的な対応に重点を置く
危機管理と危機リーダーシップ
管理します
応答
短期
プロセス
狭い
戦術レベル
主要な
期待する
長さ
原則として
広範な注意
戦略レベル
緊急事態管理チーム
指令センターに直接報告する
災害復旧チームの監視と復旧および回復プロセスの開発を担当します。
インシデントの状況を上級管理者に報告する
回復をサポートする決定を下す
メイン機能
災害復旧チーム
オフサイトに保存されているオフサイトの記録とリカバリ情報を取得する
オフサイトサイトに報告する
優先順位に従ってリカバリ手順を実行する
必要に応じて復旧状況を指令センターに伝達する
問題を特定し、解決のために管理チームに報告します。
24時間365日のシフトをサポートする回復チームを設立します
主要なビジネス ユーザーおよび担当者との連絡関係を確立する
通常の運用を再開するために機器と必要なソフトウェアを修理および交換します
指令センター
緊急時のコミュニケーションと意思決定のセンター
災害が発生した場合、災害への対応に必要な緊急対応文書やその他のリソースを提供します。
経済的な問題に対処するための手順も含まれます
初動対応計画
複数の拠点を持つ組織には、各事業所の計画が必要になります
このサイトの主要なビジネスまたはテクノロジーは何ですか?
適切な回復戦略を準備する
意思決定者は誰ですか
建物に戻れなくなったらどこへ行けばいいのでしょうか?
災害を宣言するプロセス
バックアップサイトの場所
バックアップサイトへの出張オプション
バックアップサイトでのワークステーションの割り当て
バックアップサイト周辺のホテル\輸送サービスと物流
人員
多くの計画の問題は人材の問題です
災害は人々に大きな影響を与える可能性があります
災害時、組織は自らのニーズに応えるだけでなく、チームの家族の苦難にも注意を払う必要があります。
支援チームのメンバーのレベルは災害そのものの性質によって明確に定義されます
復旧チームの一員として管理サポートを組み込む
通信する
従業員に通知する
緊急時には、緊急連絡先リストのメンバーに責任管理チームが直接連絡します。
組織が残りのメンバーにどのように連絡するかを説明する
緊急情報ラインの設置
発生した災害について従業員に常に知らせる
社員バッジの裏や冷蔵庫のマグネットに貼ってください
ステークホルダー
従業員とその家族
請負業者およびビジネスパートナー
Q 施設および現場の管理者
Q スタッフマネージャー (人事、IT など)
Q 取締役会の上級管理者
機関投資家および株主
保険代理店
サプライヤーと代理店
お客様
政府の規制当局と政治家
競合他社
労働組合
コミュニティ
業界活動家グループ
インターネット ユーザーまたはブロガー
メディア関係者
どのように言って
災害復旧プロセス中、各従業員は顧客またはベンダーに状況について一貫した内容を伝える必要があります。
企業はすべての関係者に回復状況に関する最新情報を提供する必要があります
正直
正確な
セキュリティ専門家は問題の報告と管理のプロセスを確立する必要がある
会議ブリッジ
評価する
インシデントでは、インシデントの影響を判断する必要があります
階層またはカテゴリ
事件なし 事件なし
事件
経営陣への報告
重大インシデント 重大インシデント
管理報告書が必要です
回復する
計画の最後の部分は、メイン環境の復元と通常の運用への移行です。
組織の残りのメンバーは、代替サイトでの組織の回復に取り組んでいます。
焦点の一部は、主要な施設の生産環境に戻すために何をする必要があるかにあります。
プライマリ サイトを復元する前に、法務部門と保険会社に連絡する必要があります。
行動を起こす前に写真を撮る
移行計画には、移行方法のプロセスと詳細を文書化する必要があります。
資産交換
データセンターの構築または復旧のための機器を提供するためにベンダーと交渉する
トレーニングを提供する
どんなに良い計画を立てても、誰も知らなければ機能しません。
チームを率いる
危機管理を知る
災害復旧では、復旧を実行することではなく、組織を正常な状態に戻すことが重要です。
技術チーム
リカバリを実行する手順を理解する
そして彼らが向かう物流施設。
従業員
避難計画
BCP計画の一部を新入社員研修に組み込む
訓練、評価、メンテナンス計画
テスト戦略
■ BIA およびリスク評価と一致する事業継続性テストの目標の達成を実証するための事業分野およびサポート機能への期待。
■ 実行するテストの深さと範囲の説明。
■ スタッフ、技術、設備の関与。
■ 内部および外部の相互依存関係をテストすることへの期待。
■ テスト戦略の策定に使用される仮定の妥当性の評価。
テスト戦略にはテストの目標と範囲が含まれます
少なくとも年に1回はBCPテストを実施
大きな変更が発生した場合はテストが必要です
テストの目的は簡単に開始でき、徐々に複雑さ、参加レベル、機能、物理的な場所を増やしていきます。
テストによって通常の業務運営が危険にさらされることがあってはなりません
テストでは、模擬危機下でのさまざまな管理および対応能力を実証し、徐々にリソースと参加者を追加します。
テスト手順を修正できるように不備を明らかにする
テスト スクリプトから逸脱して、主要な個人やサービスの喪失などの予期しないイベントを挿入することを検討してください。
復元施設の適切な能力と機能性を確保するために、あらゆる種類のトランザクションを十分な量含めます。
テスト戦略にはテスト計画が含まれます
あらかじめ定められたテスト範囲と目的に基づく
テスト計画のレビュープロセスが含まれています
さまざまなテストシナリオや手法の開発を含む
テスト計画
マスター テスト計画には、すべてのテスト目標を含める必要があります
テストの目的と方法の具体的な説明
サポート役割を含むすべてのテスト参加者
テスト参加者の代表団
意思決定者とフォローアップ計画をテストする
試験会場
テストのアップグレード条件とテストの連絡先情報
テスト計画のレビュー
テスト戦略
テストの範囲と目標
BIA、RTO と RPO を確認する
テスト戦略
上級管理職によって設定される
役割の責任、頻度、範囲、および結果の報告
ビジネス復旧および災害復旧演習
事業回復
テスト事業ラインの運用に注目
災害からの回復
技術的な部分の連続性のテストに重点を置く
チェックリストの確認
BCP のコピーを各主要ビジネスユニットのマネージャーに配布します。
自分の部門に適した計画の部分をレビューするよう依頼します。
机上演習/構造化演習テスト
初期テストを計画するためのツールとして使用されますが、テストに最適な方法ではありません
目標
すべての分野の主要担当者が BCP に精通していることを確認する
計画的に対応する組織の災害からの復旧能力を確保する
特徴
会議室連絡、低コスト
リハーサル訓練・シミュレーション訓練
テーブルトップ ウォークスルーよりも多くのコンテンツが含まれています
参加者はBCPに適用する特定のイベントシナリオを選択します
機能テスト/並列テスト
コミュニケーションを確立し、BCP 規制に従って実際の復旧手順を実行するために、他のサイトに移動する実際の担当者も含めます。
主な目的は、担当者が BCP で指定された手順を適用した場合に、重要なシステムを代替処理サイトで復元できるかどうかを判断することです。
特徴
フルブレイク/フルテスト
最も複雑なテスト
可能な限り現実のシーンをシミュレートする
ビジネスに影響を与えることはできません
アップデートとメンテナンスのスケジュール
どのチームも変更管理プロセスに参加する義務があります
計画文書とすべての関連手順は 3 か月ごとにレビューされます
少なくとも年に 1 回、プログラムの正式な監査を行う
計画はバージョン管理する必要がある
プロジェクトからプログラムへ
継続計画は継続的なプロセスです
定義されたすべてのタスクは最新の状態に維持され、既存の環境と整合性が保たれる必要があります。
年次要件がある必要があります
危機管理組織 (EMO) 危機管理組織
正式な管理対応プロセス
現場での対応、サポート、専門知識
対象地域
■セキュリティ
■不動産
■ システム
■人材
■組織コミュニケーション
■コンプライアンス
■リスクと保険の管理』
■ 組織的な緊急時対応計画
チームの責任
■ 事件・緊急事態への対応
■ 差し迫った緊急事態または実際の緊急事態の範囲の判断
■ 上級管理職とのコミュニケーションの確立と維持
■従業員やお客様とのコミュニケーション
■ メディア通信、セキュリティ、システム、設備の管理
■事業継続計画担当者の連携・統合
組織の緊急オペレーションセンター (EOC)
場所を提供する
EMO が開始されるかどうかに関係なく、組織の回復を管理するために必要なリソースを提供します。
役割と責任 役割と責任
組織の緊急時対応計画グループ
■ BC と効果的な緊急事態管理を確保するために、すべての組織単位の戦略的方向性と計画を設定します。
■ 組織の性質上必要な場合、組織単位全体で緊急時対応計画プロセスを統合します。
■ 上級レベルの緊急時対応マネージャーにコンサルティング サービスと指示を提供します。
■ 緊急対応組織の活性化を組織単位と調整し、統合する。
■ 定期的な管理レポートとステータスの提供。
■ 経営幹部が緊急時対応計画プログラムに準拠していることを確認します。
■ すべての重要な組織機能と要件の特定と維持を確実に行う。
■ 技術的または組織的を問わず、会社の運営の回復をサポートするために使用される代替サイトを調達および管理します。
■ すべての組織部門が従うべきポリシーとガイドラインを開発、実装、維持する。
■ すべての緊急時対応計画組織向けのテストおよびメンテナンス プログラムを開発および維持します。
■ 承認された緊急時対応計画ツールのトレーニング、メンテナンス、およびサポートを提供します。
事業継続プランナー
■ 組織の中断時に調整対応を行うために、各部門の主な連絡先を提供します。
■ 担当範囲内で緊急時対応計画の取り組みのためのリソースとして機能します。
■ すべての緊急時対応計画および対応チームの任命、トレーニング、およびバックアップを確保します。
■ 代替サイトの設計と保守を支援します。
■ 図 7.8 にリストされているすべての成果物を含む、すべての緊急時対応計画文書の最新性を維持します。
■プログラム要件
事業継続およびその他のリスク領域
BC は他のセキュリティ ドメインと非常に重要な関係を持っています
物理的なアクセス制御
国境警備の実施と運用
物理的セキュリティの目的
物理的施設へのアクセスの制御、施設保護の最初の障壁
多層防御 多層防御
メカニズムの 1 つの層に障害が発生しても、他のメカニズムが機能します
最も弱いリンクを確保する 最も弱いリンクを確保する
「守護の指輪」
抑止-検出-遅延-応答 抑止-検出-遅延-応答
主要な建築コンポーネントの例
■ 非常用発電機(燃料システム、デイタンク、消火用スプリンクラー、給水を含む) 非常用発電機
■燃料貯蔵庫
■ 電話分配器および主開閉器
■消防ポンプ 消防ポンプ
■ ビル管理センタービル管理センター
■ 重要な機能を制御する無停電電源装置 (UPS) システム
■ 建物の運用に不可欠な HVAC システムの場合
■ エレベータ機械および制御装置 巻上機械および制御装置
■ 階段、エレベーター、ユーティリティ用シャフト 階段、エレベーター、ユーティリティ用シャフト
■ 非常用電源の重要な配電フィーダ
ドアと壁
バリア バリア
バリアは、山、川、緑地帯などの自然または人工の要素で構成されます。
アクセスを妨害または拒否するように指定されています。
客観的
フェンス
フェンスは、侵入者を防ぐために設計および設置される境界識別子です。
チェーンでつながれたフェンス
主に心理的な抑止力
境界マーカー
ゲイツ
ゲートはアクセスを容易にし、制御するために存在します。
壁 壁
壁はフェンスと同じ役割を果たします
壁の高さは 7 フィートで、その上に有刺鉄線を 3 ~ 4 本張ります。
境界侵入検知
赤外線センサー 赤外線センサー
アクティブ赤外線センサー
送信機を介して赤外線信号を送信します。
受信場所は受信機です。
通常の IR 信号の中断は、侵入者または物体が経路をブロックしたことを示します
パッシブ赤外線センサー
パッシブ赤外線センサーは人体検知用に設計されているため、人の接近を検知するのに最適です。
受動的赤外線センサーが生物体から発せられる熱を検出します
電子レンジ
2つの構成
バイスタティックとモノスタティック
制御されたパターンのマイクロ波エネルギーを保護領域に放射します。
送信されたマイクロ波信号が受信され、基本レベルの「侵入なし」信号が確立されます。
バイスタティックセンサー
送信機と受信機の間の空間を満たす目に見えない体積検出フィールドを送信します。
モノスタティックマイクロ波センサー
送信機能と受信機能の両方を組み込んだ単一のセンシングユニットを使用します。
同軸耐ひずみケーブル 同軸耐ひずみケーブル
これらのシステムは、フェンスの生地に織り込まれた同軸ケーブルを使用します。
同軸ケーブルは電界を伝達します
タイムドメイン反射率測定 (TDR) システム タイムドメイン反射率測定 (TDR) システム
タイム ドメイン反射率測定 (TDR) システムは、フェンス ファブリックに取り付けられたケーブルを通じて誘導無線周波数 (RF) 信号を送信します。
侵入者がフェンスに登ったり、フェンスを曲げたりすると、信号経路に欠陥が生じ、警報信号に変換される可能性があります。
ビデオ コンテンツ分析とモーション パス分析 ビデオ コンテンツ分析とモーション パス分析
は、カメラ画像の高度なソフトウェア分析です。
CCTV カメラ システムは、侵入検知システムとして使用されることが増えています。
複雑なアルゴリズムを使用することで、CCTV システムが侵入者を検出できるようになります
イルミネーション
セキュリティ照明は、施設の周囲に加えて施設全体の照明に提供され、夜間でもセキュリティ担当者が視覚的な評価を維持できるようにすることができます。
現実的な抑止力と心理的な抑止力の両方を提供する
照明システムの種類
連続点灯 連続点灯
待機照明 待機照明
可動照明 可動照明
非常照明 非常照明
0.2 フィート キャンドル
ライトの種類
蛍光灯
水銀蒸気ライト 水銀蒸気ライト
ナトリウム蒸気灯 ナトリウム蒸気灯
石英ランプ 石英ランプ
アメリカ建築家協会
室内照明レベル
範囲は5〜10fcです。
屋外照明の要件
■建物入口(5fc)
■歩道(1.5fc)
■駐車場(5台)
■敷地景観(0.5fc)
■ 建物の直近周辺エリア(1fc)
■ 車道(0.5fc)
監視活動には適切な照明が重要です。
赤外線照明器 赤外線照明器
ほとんどのモノクロCCTV
カードの種類
磁気ストライプカード
クレジットカードなどの機密用語がPVC素材に添付されています
近接カード
内蔵アンテナ、アンテナバッグには識別コード付きのチップが装備されており、リーダーは磁場を通してチップの内容を読み取ることができます。
スマートカード
マイクロプロセッサチップを搭載した IC カードには、一定のデータ処理機能があります
他のセキュリティ対策も統合可能
キーストロークまたはPINコードによる生体認証測定
CCTV閉回路テレビ
関数
監視・監督
評価
抑止力 抑止力
イベントアーカイブ証拠アーカイブ
カメラ
カラーカメラではさらに多くの情報が提供されます。
屋外カメラ
屋外カメラの設置は、環境に配慮してカメラを設置、加熱、換気する必要があるため、屋内カメラよりも費用がかかります
固定位置カメラ 固定位置カメラ
固定位置のカメラは回転またはパンできません
パン/チルト/ズーム (PTZ) カメラ パン/チルト/ズーム (PTZ) カメラ
PTZ カメラ マウントにより、カメラの回転、パン、チルト、ズームが可能になります
ドームカメラ
インターネット プロトコル (IP) カメラ
IP カメラはビデオ画像をデジタル的にキャプチャします
IP カメラはローカル エリア ネットワーク上にあります
レンズの選択
焦点距離は、レンズの表面から焦点までの距離であり、ミリメートル単位で測定されます。
レンズの焦点距離は固定または可変です
照明要件
「明暗」の比率
解決
画像解像度
1 秒あたりのフレーム数 (FPS)
1秒あたりのフレーム数
1 秒あたりのフレーム数 (fps)。
CCTV カメラは画像フレームでビデオを送信します
圧縮
MPEG-4。
デジタル ビデオ レコーダー (DVR) デジタル ハードディスク レコーダー
DVR には通常、8 ポートまたは 16 ポートのバージョンがあり、一度に 8 台または 16 台のカメラを録画できます。
モニタリング表示
単一画像表示 単一画像表示
画面分割 画面分割表示
大判ディスプレイのマトリックス表示
警察を呼んで下さい
監視センター
セキュリティ コンソール センターとも呼ばれます
配送センター
24 時間 365 日のセキュリティ管理センターを維持するには、シフトごとに少なくとも 2 人の担当者が必要です。
設計要件
ドアマン
物理的保護対策では、最終的には警報に対応するために人員が介入する必要があります。
警備員が悪意を持って建物内を巡回したり、一定の場所に停止したりする
社員証によるアクセス管理
抑止力は強いがコストが高い
限られた人員の信頼性
警備員を選ぶ際には、信頼できる人材を厳選することがより重要です。
独自の
専有警備員は軍団の精神と共同体意識から恩恵を受ける
デメリット
ハイブリッド
内部セキュリティ
内部侵入検知システム
バランス型磁気スイッチ (BMS) バランス型磁気スイッチ
モーション起動カメラはカメラを動的に起動します
音響センサー 音響センサー
赤外線リニア ビーム センサー 赤外線リニア ビーム センサー
パッシブ赤外線 (PIR) センサー パッシブ赤外線センサー
デュアルテクノロジーセンサー
エスコートとアクセス制御
訪問者は施設内にいる間常に付き添われます
他のタイプの訪問者管理システムは、コンピュータベースのシステムまたは特定の訪問者ソフトウェア製品を使用します。
建物とその内部のセキュリティ
ドア
ドアロック
ロックは一般的に使用されており、侵入を阻止または遅らせることができる優れたコスト効率の高い保護メカニズムを備えています。新しいロックにはアクセス記録機能が追加されており、キーの紛失や複製の防止の問題が考慮されています。
電気錠電子錠
Electric Strikes 電子制御ロック
磁気ロック磁気ロック
アンチパスバックアンチトラッキング検出設定
ロックカテゴリ
リムロック スプリングロック
ほぞ穴ロック
ロッキングシリンダー
サイファーロック パスワードロック
ダイヤルロックはキーパッドを使用し、プログラム可能です
ハイテクケブズ
「インテリジェントキー」
「インスタントキー
金庫
耐工具安全クラスTL-15。
必要とする
ボールトリポジトリ
■ クラス M - 15 時間
■ クラス 1 - 30 分
■ クラス 2 - 1 時間
■ クラス 3 - 2 時間
コンテナ
キーコントロール
重要な要素
個人の安全
プライバシー プライバシー
すべての人はプライバシーを期待しています
旅行
あなたが知っておくべき
旅行の前に
デバイスを準備します。
外出中
いつ戻るの
強迫行為