Wondershare EdrawMind
EdrawMindCISSP-6-セキュリティの評価とテスト
マインドマップギャラリー CISSP-6-セキュリティの評価とテスト
- 5
CISSP-6-セキュリティの評価とテスト
CISSP-情報システムセキュリティプロフェッショナル認定資格セキュリティ評価およびテストマインドマップの主な内容には、基本概念、評価およびテスト戦略、セキュリティプロセスデータの収集、内部監査および第三者監査、および監査管理コントロールが含まれます。
2021-11-10 12:04:23 に編集されました- おすすめ
- アウトライン
セキュリティの評価とテスト
基本的な考え方
セキュリティの評価とテスト
セキュリティの評価とテストには、脆弱性とそれに関連するリスクを特定するために使用される、現在および時点での幅広いテスト方法が含まれます。
T&Eの基本目標
T&E はシステムと機能の開発の進捗状況を測定できます
T&E の専門知識は、システムのライフサイクルの開発プロセス中にシステムの長所と短所を早期に認識することにあります。
システム機能の開発、生産、運用、保守におけるリスク管理に役立つ知識を提供します。
適切かつタイムリーな是正措置を講じるために、システムの導入前に技術的、運用上、およびシステムの欠陥を特定する能力。
T&E戦略
テストおよび評価戦略の内容は、取得/開発プロセスに適用される機能、提供される機能要件、およびテクノロジーを推進するために必要な機能です。
する傾向があります
リスク管理に必要な意識
モデルとシミュレーションを検証するための経験的データ
技術的なパフォーマンスとシステムの成熟度のテスト
運用と保守の効率、適応性、存続可能性の判断
目標
リスクを特定、管理、軽減する
評価とテストの戦略 評価とテストの戦略
T&E戦略
戦略の役割
リスク管理に必要な意識
モデルとシミュレーションを検証するための経験的データ
技術的なパフォーマンスとシステムの成熟度のテスト
運用の有効性、適応性、生存可能性の判断。
システムエンジニアとセキュリティ専門家
スポンサー組織と協力して、プログラムの取得/開発をサポートするための T&E 戦略を確立または評価します。
リスクを徹底的に管理できる T&E メソッドを提供します。
T&E プロセスと必要となる可能性のある変更を監視します。
開発テストまたは運用テストのテスト計画と手順の適合性を評価し、推奨事項を提供します。
さらに、T&E 戦略を確立および実行するための買収/開発手順の背後にある理論的根拠を理解することが期待されます。
相互運用性テストなどの T&E テストの特定のアクティビティを理解することを期待します。
企業はワーキンググループを設立する必要がある
このグループは、T&E 統合製品チームと呼ばれることが多く、T&E の専門家、顧客ユーザーの代表者、その他の関係者で構成されます。
T&E 戦略は生きた文書であり、チームは必要に応じて更新する責任があります。
チームは、T&E プロセスに買収戦略が含まれていること、およびシステムが使用される機能に基づいた運用要件を満たしていることを確認する必要があります。
ログレビュー
コンピュータのセキュリティに関するログ
たとえば、ルーティング ログ分析は、セキュリティ インシデント、ポリシー違反、不正行為、運用上の問題を特定するのに役立ちます。
ログ機能
監査とフォレンジック調査を実施します。
内部調査をサポートします。
ベースラインを確立します。
運用傾向を特定し、長期的な問題を特定します。
チャレンジ
限られたログ管理リソースと継続的に生成されるログ データのバランスを取る必要がある
ログの生成と保存
さまざまなログソース
ログの内容、形式、タイムスタンプなどに一貫性がない。
ログデータの大量生成
ログの整合性、機密性、可用性を保護する必要がある
セキュリティを確保し、システムおよびネットワーク管理者はログ データを定期的かつ効果的に分析します。
ログ管理のポリシーと手順
ロギングの要件と目標を定義する
ログ管理活動に対する明確に定義された必須要件および推奨要件を策定する
ログの生成、配信、保管、分析、廃棄を含む
統合とサポートのログ管理の要件と推奨事項
経営陣は必要なサポートを提供する必要がある
ロギングの要件と推奨事項は、ロギングの実装と維持に必要なリソースと詳細な分析手法とともに生成する必要があります。
オリジナルログの保護
ネットワーク トラフィック ログのコピーを中央デバイスに送信する
ログ管理を優先する
認識されている組織のリスク軽減と、ログ管理の実行に必要なリソースと予想時間に基づいて、ログと要件を最適化します。
ログ管理の責任と役割を確立する
ログ管理アーキテクチャを確立および維持する
ログ管理アーキテクチャには、ログの生成、送信、保存、分析、処理に使用されるハードウェア、ソフトウェア、ネットワーク、およびメディアが含まれます。
ログ管理フレームワークを設計する場合は、管理フレームワークの現在および将来のニーズと、組織全体の独立したログ ソースを考慮する必要があります。
一元化されたログサーバーとログデータストレージ
処理する必要があるログ データの量
ネットワーク帯域幅、
オンラインおよびオフラインのデータ ストレージ
データセキュリティ要件
スタッフがログを分析するために必要な時間とリソース
ログ管理責任を負うすべての従業員に適切なサポートを提供する
システム管理者は適切なサポートを受ける必要があります。
情報の発信、研修の実施、質疑応答の窓口の提供など、 具体的な技術ガイダンス、対応するツールやドキュメントなどを提供します。
標準的なログ管理プロセス
ログ管理者の責任
ログステータスを監視する
ログのローテーションとアーカイブのプロセスを監視する
ログシステムのパッチを確認し、パッチを取得、テスト、展開する
ログ ソース システムのクロックが同期されていることを確認してください
ポリシーまたはテクノロジーが変更された場合、必要に応じてログを再構成します
ログ例外のログ記録とレポート
セキュリティ情報およびイベント管理システム (SIEM) などのログ統合ストレージを確保する
ログ管理プロセス
ログソースの構成、ログ分析の実行、 特定された認識への対応を開始し、ログの長期保存を管理します。
ログソース
Web ベースおよびホストベースのソフトウェア
ウイルス対策ソフト
IDS および IPS システム
リモートアクセスソフトウェア
ウェブプロキシ
脆弱性管理ソフトウェア
認証サーバー
ルーター
ファイアウォール
ネットワーク アクセス コントロール (NAC)/ネットワーク アクセス保護 (NAP) サーバー
オペレーティング システムのイベントと監査ログ
アプリケーションベースの
クライアントリクエストとサーバーレスポンス
口座情報
ご利用案内
重要な運用活動
チャレンジ
ログ分散プロパティ、ログ形式の不一致、およびログ容量はすべて、ログ管理の課題を引き起こします。
ログの完全性、機密性、可用性は保護されなければなりません
組織はログの可用性を保護する必要もあります。
アーカイブされたログの機密性と完全性も保護する必要があります。
システムおよびネットワーク管理者
ログを分析する必要がある
ログ分析を効果的に実行できない
良い訓練を受けなかった
ツールのサポートなし
ログ分析は多くの場合事後対応的です
多くのログ分析ではリアルタイムまたはほぼリアルタイムが必要です
重要な実践
組織全体でログ管理を適切に最適化する
監視ログ管理ポリシーと手順
セキュリティログ管理インフラの確立と維持
全社員に対してログ管理を適切にサポートする
合成取引 (代理取引) 対本物 (実際の取引)
リアルユーザー監視RUM
Web またはアプリ上のすべてのユーザーのすべてのトランザクションをキャプチャまたは分析するように設計された Web 監視手法
リアルユーザー測定、リアルユーザーメトリクス、またはエンドユーザーエクスペリエンスモニタリング (EUM) エンドユーザーエクスペリエンスモニタリングとも呼ばれます。
パッシブモニタリング パッシブモニタリング方式
Web モニタリング サービスを利用して、システム アクティビティを継続的に取得し、その可用性、機能、感度を追跡します。
モニターモード
ボトムアップ ボトムアップ形式
サーバー側の情報をキャプチャしてユーザー エクスペリエンスを再構築します。
トップダウン トップダウンのクライアント側 RUM
クライアント RUM は、ユーザーがアプリケーションとどのように対話し、どのように体験するかを直接確認できます。
サイトの速度とユーザー満足度に焦点を当て、アプリケーション コンポーネントの最適化と全体的なパフォーマンスの向上に関する詳細な洞察を提供します。
合成取引
プロアクティブな監視 プロアクティブまたは事前対応型の監視アプローチ
Web アプリケーションの代わりに外部エージェントを使用してスクリプト化されたトランザクションを実行する方法が含まれています。
これらのスクリプトは、ユーザーの検索方法、製品の表示方法、ログイン方法、支払い方法など、一般的なユーザー エクスペリエンスと比較してユーザー エクスペリエンスを測定します。
Synthetic Monitoring は軽量で低レベルのプロキシですが、ページ上で発生する JavaScript、CSS、および AJAX 呼び出しを処理するために Web ブラウザーを実行するために必要です。
実際のユーザーセッションを追跡しません
既知の一連のステップが、既知の場所で一定の間隔で、予測可能なパフォーマンスで実行されます。 サイトの可用性とネットワークの問題を評価するには RUM よりも優れています。
セレン
http://docs.seleniumhq.org
クライアントによる完全な制御が可能 クライアントを完全に制御
サンドボックス JAVA スクリプトによって駆動される RUM とは異なり、詳細をより客観的に取得できます
Microsoft System Center 運用管理ソフトウェア
Webサイトの監視
データベースの監視
TCPポート監視
値を増やす
24 時間 365 日のシステム可用性の監視 アプリケーションの可用性を 24 時間 365 日監視します。
リモート サイトが到達可能かどうかを確認する
ビジネス アプリケーション システムに対するサードパーティ サービスのパフォーマンスへの影響を理解する
SaaS アプリケーションのパフォーマンスと可用性を監視する
SOAP、REST、またはその他の Web サービスを使用して B2B Web サイトをテストする
重要なデータベースの可用性を監視する
サービス レベル アグリーメント (SLA) の測定
ビジネストラフィックが少ない期間中の実際のユーザー監視の補償として
パフォーマンスのベースラインを確立し、パフォーマンスの傾向分析を実行する
コードのレビューとテスト
脆弱性の一般的な原因 脆弱性が引き起こされる
ユーザーデータに影響するチェック漏れ、SQLインジェクション(入力検証)などの不適切なプログラミングパターン
セキュリティ インフラストラクチャの不一致: 過剰なアクセス制御または弱い暗号化構成。
セキュリティ インフラストラクチャの機能エラー: アクセス制御実施機能自体はシステムへのアクセスを制限しません。
実装プロセスにおける論理エラー: たとえば、ユーザーが料金を支払わずに注文した場合などです。
一般的なソフトウェアの脆弱性 一般的なソフトウェアの脆弱性
トップ25
■ コンポーネント間の安全でない相互作用
■ リスクのあるリソースの管理
■ 多孔質防御
試験技術 テスト技術
ホワイト ボックス (構造テスト/オープン ボックス テスト) vs ブラック ボックス テスト (機能テスト/クローズ ボックス テスト)
動的テスト VS. 静的テスト 動的テストと静的テスト
手動と自動化 手動テストと自動テスト
セキュリティテストの考慮事項 セキュリティテストを検討中
攻撃対象領域
アプリの種類
品質
サポート技術
パフォーマンスとリソース使用率
企画・設計段階 企画・設計時
アーキテクチャのセキュリティのレビュー
前提条件: 建築モデル
長所: 検証アーキテクチャがセキュリティ標準から逸脱している
脅威モデリング -
前提条件: ビジネスのユースケースまたは使用シナリオ
ソフトウェア製品開発プロセスに特有の脅威、その影響、および潜在的な制御を特定します。
ストライドモデル
アプリケーション開発段階 アプリケーション開発中
静的ソース コード分析 (SAST) と手動コード レビュー (静的コード分析と手動コード レビュー)
アプリケーションのソースコードを分析して、アプリケーションを実行せずに弱点を見つけます。
前提条件: アプリケーションのソースコード
利点: 安全でないプログラミング、古いコードベース、構成ミスを検出します。
静的バイナリ コード分析と手動バイナリ レビュー (静的バイナリ コード分析と手動バイナリ レビュー)
コンパイルされたアプリケーションは分析されて弱点が見つかりますが、アプリケーションは実行されません。
不正確であり、修正に関する推奨事項は提供されていません。
テスト環境で実行可能 テスト環境で実行可能
手動または自動の侵入テスト
攻撃者のようにデータを送信し、その行動を発見します。
利点: 導入されたアプリケーションの多数の脆弱性を特定します。
自動脆弱性スキャン
安全でないことが知られているシステム コンポーネントまたは構成を使用するアプリをテストします。
攻撃前モードを設定し、システムの指紋を分析します。
利点: 既知の脆弱性を検出します。
ファズテストツール ファズテストツール
利点: 重要なアプリケーションのクラッシュ (バッファ オーバーフローなどによる) を検出します。
ランダムなデータを送信します (多くの場合、アプリケーションが予期するよりもはるかに大きな塊で) アプリケーション入力チャネルに接続してアプリケーションをクラッシュさせます。
システム運用保守におけるテスト
ソフトウェアテストの特徴
システムの動作を監視し、システム ログを分析するには、パッシブ セキュリティ テスト テクノロジを使用することをお勧めします。
ソフトウェアのメンテナンス中はパッチテストが非常に重要です
パッチには徹底的なセキュリティテストが必要です
ソフトウェアのテストには限界があり、100% のテストを完了することは不可能です
すべてのプログラム機能とすべてのプログラム コードをテストしても、プログラムが 100% 正しいという意味ではありません。
テスト計画とテスト ケースは、ソフトウェア開発段階のできるだけ早い段階で作成する必要があります。
コードベースのテスト コードベースのテスト
ソフトウェア セキュリティ テストは通常、ユニット レベルのテストで始まり、システム レベルのテストで終わります。
構造化されたテスト (「ホワイトボックス」テスト) 開封テスト
構造化テストは主にモジュール レベルでのテストです。
構造化テストのレベルは、指標としてテストされているソフトウェア構造の割合として測定できます。
テスト ケースは、ソース コード、詳細な設計仕様、その他の開発ドキュメントから得られた知識に基づいています。
共通の構造範囲 テストカバレッジ(ホワイトボックスの場合)
ステートメントの対象範囲 ステートメントの範囲
決定(支店)カバレッジ 決定カバレッジ
条件補償条件補償範囲、
複数条件のカバレッジ 複数条件のカバレッジ
ループ カバレッジ ループ カバレッジ
パス カバレッジ パス カバレッジ
データ フロー カバレッジ データ フロー カバレッジ
機能テストまたは「ブラック ボックス」テスト/クローズド ボックス テスト (機能テストまたはブラックボックステスト)
テスト ケースは、ソフトウェア製品が具体的に実行することになっている内容に基づいて定義されます。
テスト ケースの主な課題は、プログラムの使用目的と機能、およびプログラムの内部および外部インターフェイスです。
機能テストは、単体テストからシステム レベルのテストまで、あらゆるレベルのソフトウェア テストに適用する必要があります。
ソフトウェアの機能テスト ソフトウェアの機能テスト
通常のケース 一般的な使用例
出力強制出力要件、
堅牢性 堅牢性
入力の組み合わせ 入力の組み合わせ
弱さ
構造化テストと機能テストの完了基準をソフトウェア製品の信頼性に結び付けるのは困難です。
統計的テスト方法 統計的テスト
高い構造範囲を提供します
動作環境 (ソフトウェア製品の意図された使用、危険な使用、または悪意のある使用) に基づいて定義されたディストリビューションからランダム データを生成します。
大量のテスト データを生成し、それを使用して特定の領域や懸念事項をカバーすることで、設計者やテスト担当者が予期しなかった単一の非常にまれな動作条件を特定できる可能性が高まります。
ソフトウェア変更テスト
理由
発見された問題をデバッグして修正します。
新たなニーズまたは変化するニーズ。
より効率的または効果的に実装できる設計変更を発見します。
目的
変更は正しく実装されました
他の部位への悪影響はありません
回帰分析とテスト
回帰分析: 関連ドキュメントに基づいて、変更の影響を判断します。 (ソフトウェア仕様書、設計仕様書、ソースコード等)レビュー、 また、必要な回帰テストを特定して適用するためにも使用されます。
回帰テスト: 以前のプログラムを使用して正しいテスト ケースを実行します。 既存の結果を以前の結果と比較して、ソフトウェア変更による意図しない結果を特定します。
厳格かつ完全なテスト (V字型モデル)
ユニット(モジュールまたはコンポーネント)レベルのテスト 単体テスト
統合レベルのテスト 統合テスト(モジュール間のインターフェースのテスト)
トップダウン
ボトムアップ
サンドイッチ法
システムレベルのテスト システムテスト
セキュリティとプライバシー (例: 暗号化機能、セキュリティ ログ レポート)
パフォーマンスの問題 (応答時間、信頼性の測定など)
ストレス条件下での応答 (例: 最大負荷下での動作)
内部および外部のセキュリティ機能の操作
回復手順の有効性
使いやすさ。
さまざまな構成でのパフォーマンス
文書の正確性
他のソフトウェアとの互換性
受け入れテスト
UAT (ユーザー受け入れテスト)
QAT(品質保証試験)
テストに関する考慮事項
システム テストでは、特定の環境におけるソフトウェア製品の動作が示されます。
テスト手順、テストデータ、およびテスト結果は、合否を決定できる方法で文書化する必要があります。
エンタープライズ ソフトウェア製品は複雑であり、ソフトウェア製品のテストでは一貫性、完全性、有効性を維持する必要があります。
ソフトウェアのメンテナンス作業はハードウェアのメンテナンスとは異なります。ハードウェアには予防メンテナンス手段がありますが、ソフトウェアにはありません。
変更の有効な検証が必要です
その他のメンテナンス作業
ソフトウェア検証計画の改訂ソフトウェア検証計画の改訂、
異常評価例外検証、
問題の特定と解決策の追跡 問題の特定と解決策の追跡、
提案された変更評価 変更評価をリクエストする
タスクの反復タスクの反復、
ドキュメントの更新 ドキュメントの更新
ユースケースと誤用ケース
ユースケース
システムを使用する一般ユーザーの視点からのテストケース
誤用例 誤用例:
システムに悪意を持った人の視点から見たユースケース。
陽性検査方法 陽性検査
アプリケーションが期待どおりに動作することを確認し、フォワード テスト中にエラーが見つかった場合は失敗するようにします。
陰性検査 陰性検査
アプリが無効な入力や予期しないユーザーの動作を適切に処理するようにしてください。
インターフェーステスト
目的
これは主に、アプリケーションまたはシステム開発のさまざまなコンポーネントが相互に同期しているかどうかをチェックします。
技術レベルから見ると、インターフェーステストは主に次のようなさまざまな機能を決定するために使用されます。 システムのさまざまな要素間でデータが設計どおりに転送されるかどうか。
ソフトウェアの品質を保証するために使用されます
侵入テスト
所有者の要求に応じて、ネットワークとそのシステムを攻撃するプロセスをシミュレートします
ペネトレーション テストの種類は、組織、そのセキュリティ目標、経営者の目標よりも後回しにされます。
侵入テストレポートは管理者に提出する必要があります
テスト範囲を承認する承認書に署名する必要があります(経営陣からの書面による承認が必要です)
ステップ
ディスカバリー、ターゲットに関する情報収集(ディスカバリー)
オペレーティング システム CentOS 5.1 のバージョンを確認します。
掘る
DNS フットプリント ツール、検出フェーズ中に情報を収集
ポートスキャンおよびリソース識別方法の列挙、実行
nbtstat は列挙に属しており、検出フェーズではなく列挙フェーズにあります。
脆弱性の調査、特定されたシステムおよびリソースの脆弱性を特定する
脆弱性テストのカテゴリ
人間の脆弱性
物理的な脆弱性
システムとネットワークの脆弱性
不正アクセスを取得するために脆弱性を悪用する、悪用を試みる
経営者に報告し、報告書と安全性に関する推奨事項を経営者に提出します
分類
ブラック ボックス テスト、理解ゼロ、ペネトレーション チームはテストの目標を理解せずにテストを行う
グレーボックステスト、テスト目標に関連するいくつかの情報を知っていることに基づいたテスト
ホワイトボックステスト、対象の本質を理解したテスト
ペネトレーションテストチームの分類
知識0
ゴールについては何も知らない
部分的な知識
ターゲットに関する部分的な知識
すべての知識
ターゲットの状況を完全に理解する
例: ウォーダイヤル
さまざまな電話番号にダイヤルして、利用可能なモデムを見つけます
一部の組織では今でも通信のバックアップにモデムを使用しています
戦争ダイヤルは、ファイアウォールや侵入検知システム (IDS) を回避するために設計された組織のネットワークへの侵入の一形態です。
ウォー ダイヤル攻撃には、ダイヤルイン アクセスを通じて組織の内部コンピューティングおよびネットワーク リソースにアクセスしようとする試みが含まれます。 これはハッカーにとって利便性をもたらします。
セルフテスト
管理者はウォーダイヤル方式で組織内でテストを行う モデムの不正なインストール、 組織内の臨時の設置者を再教育します。
その他の脆弱性の種類
カーネルの欠陥 カーネルの欠陥
カーネル層に脆弱性がある
対策: 脆弱性の範囲を可能な限り小さく保つために、環境内で適切なテストを行った後、オペレーティング システムへのセキュリティ パッチが直ちに展開されるようにします。
バッファ オーバーフローバッファ オーバーフロー
対策: 適切なプログラミング実践と開発教育、自動スキャナーのソース コード、 強力な言語型付けを使用してバッファ オーバーフローを禁止するための強化されたプログラミング ライブラリ
シンボリックリンク シンボリックリンク
ハッカーはシンボリック リンクをリダイレクトして不正アクセスを取得します。
対策: プログラム (特にスクリプト) を作成する場合、ファイルのフルパスを避ける方法はありません。
ファイル記述子攻撃 ファイル記述子攻撃
ファイル記述子は、プロセス内で開いているファイルを表すために多くのオペレーティング システムで使用される番号であり、特定のファイル記述子番号は普遍的であり、すべてのプログラムに対して同じ意味を持ちます。
プログラムがファイル記述子を安全でない方法で使用すると、攻撃者がプログラムの特権を悪用して、プログラムに予期しない入力を提供したり、出力が予期しない場所に出力されたりする可能性があります。
対策: 適切なプログラミングの実践と開発教育、自動ソース コード スキャナー、およびアプリケーションのセキュリティ テストはすべて、この種の脆弱性を軽減する方法です。
競合状態 競合状態 (マルチプロセス、マルチスレッド環境の場合)
手順を実行する前に環境脆弱性要因を排除しない
攻撃者が予期しないデータを読み書きしたり、不正なコマンドを実行したりする可能性があります。
対策: 適切なプログラミング実践と開発教育、自動ソース コード スキャナーとアプリケーション セキュリティ テスト
親プロセスが子プロセスを作成するときは、競合状態と最小限の許可に注意を払う必要があります。
ファイルとディレクトリのアクセス許可 ファイルとディレクトリのアクセス許可
不適切なファイルまたはディレクトリのアクセス許可
対策: ファイルの整合性をチェックし、予想されるファイルとディレクトリのアクセス許可もチェックします。
セキュリティ プロセス データの収集 セキュリティ プロセス データの収集
情報セキュリティ継続的監視 (ISCM) 情報セキュリティ継続的監視
ISCM
組織の情報セキュリティリスクの決定をサポートするために、現在の情報セキュリティ、脆弱性、危険性を定義するために使用される認識。
組織全体の情報セキュリティ監視をサポートするために使用される取り組みとプロセスは、上級リーダーによって定義された洗練された ISCM 戦略から始める必要があります。
ISCM戦略
これは、組織のリスク許容度を明確に理解した上で構築されており、企業が優先順位を設定し、組織全体のリスクの一貫性を管理するのに役立ちます。
すべての組織レベルでのセキュリティ体制の真の意味を提供する指標を含めます。
すべてのセキュリティ管理の継続的な有効性を確保します。
組織の使命/事業機能、国内法規制、ガイダンス、ガイダンス基準に基づく情報セキュリティ要件への準拠を検証します。
すべての組織の IT 資産に情報が提供され、資産セキュリティの可視化が支援されます。
組織システムと環境の変更に関する知識と管理を確保します。
脅威と脆弱性に対する認識を維持します。
NIST SP 800-137
連邦情報システムおよび組織の情報セキュリティ継続的監視 (ISCM)
特徴
ISCM プログラムは、事前に設定された測定指標に基づいてデータを収集するために確立されており、実装されているセキュリティ制御を通じて部分的に情報変更を悪用することが容易になります。
組織全体のリスク監視は、個別の手動プロセスや自動化されたプロセスのみに依存しても効果的に達成できません。
ISCM戦略プロセスの策定
リスク許容度に基づいて ISCM ポリシーを定義し、資産の可視性、脆弱性の認識、脅威情報の更新、ミッション/ビジネスへの影響を維持します。
測定指標、状態監視頻度、制御評価頻度を決定し、ISCM 技術アーキテクチャを確立するための ISCM 計画を確立します。
ISCM プログラムを実施し、測定、評価、報告に必要な安全関連情報を収集します。可能な限り収集、分析、レポートを自動化します。
収集されたすべてのデータを分析し、結果を報告して、適切な対応を決定します。既存の監視データを明確にしたり補足したりするために追加情報を収集する必要があります。
活動の縮小、受け入れ、転送/共有、回避/拒否などの技術的、管理的、運用的活動を通じて発見事項に対応します。
ISCM プログラムを見直して更新し、ISCMC ポリシーと成熟した測定機能を調整して、資産の可視性と脆弱性への認識を高め、より組織的な情報セキュリティ アーキテクチャとデータドリブンな制御を実現し、組織の復元力を高めます。
メトリクス
測定指標の定義と内容
測定には、自動化ツールや手動手順によって生成された評価と監視から得られるすべてのセキュリティ関連情報が含まれ、意思決定とレポート要件をサポートするために有意義な情報に整理されます。
セキュリティ体制を維持または改善するには、指標は特定の目標に基づいて決定される必要があります。
メトリクスは、ミッション/ビジネスコンテキストまたは組織のリスク管理を理解するシステムレベルのデータを作成します。
測定メトリクスは、さまざまな時間およびさまざまなレベルの遅延で取得されたセキュリティ関連情報です。
例例
測定指標を確立するための原則 NIST SP 800-137
セキュリティ制御の不安定性セキュリティ制御の不安定性
システム カテゴリ/影響レベル システム カテゴリ/影響レベル
重要な機能を提供するセキュリティ コントロールまたは特定の評価オブジェクト重要な機能を提供するセキュリティ コントロールまたは特定の評価オブジェクト
弱点が特定されたセキュリティ管理 弱点が特定されたセキュリティ管理
組織のリスク許容度 組織のリスク許容度、
脅威情報脅威情報
脆弱性情報
リスク評価結果リスク評価結果
報告要件通知要件
変化の要因
組織のリスク管理フレームワークにおける重要なステップとしてのリスク管理フレームワーク (RMF)
組織の担当者にオンデマンドでセキュリティ関連情報にアクセスできる機能を提供します。 認可の決定を含む、タイムリーなリスク管理の決定を下します。
内部監査および第三者監査
監査要件
法的および規制上の要件
たとえば、米国連邦情報セキュリティ管理法 (FISMA 連邦情報セキュリティ管理法) は、連邦政府機関に対し、組織の情報セキュリティ システムの自己監査と独立した第三者による監査を少なくとも年に 1 回実施することを義務付けています。
情報セキュリティの専門家は、保護を提供するために法的標準に概説されている要件を理解する必要がありますが、情報システムの完全な保護やリスク管理が達成されることはほとんどありません。
情報セキュリティの専門家は、ターゲット システムに適切なレベルで適切な数の制御を取得するために、適切な範囲と調整を確保する必要があります。
コンプライアンス
ビジネス主導型
コアコンピテンシーに集中し、経費を削減し、新しいアプリケーション機能をより迅速に展開するために、組織は システム、ビジネスプロセス、データ処理をサービスプロバイダーに継続的にアウトソーシングする。
組織は、アウトソーシング サービス プロバイダーの監視プロセスと管理およびアウトソーシング リスクを頻繁に更新します。
これまで多くの組織は、アウトソーシング活動を快適に行うために監査基準に関するステートメント (SAS) 70 レポートに依存してきました。しかし、SAS 70 は、システムの可用性やセキュリティではなく、財務報告に係る内部統制 (ICOFR) に重点を置いています。
SAS70 レポートは 2011 年に廃止され、SOC (Service Organization Control) レポートに置き換えられました。
内部監査(第一者監査)
組織には独自の監査チームがあり、組織のセキュリティ体制を継続的に改善できます。
アドバンテージ
彼らは組織内の作業プロセスに精通しています。
高い作業効率
最も問題のある点を正確に特定できる
これにより、監査の作業がより柔軟になり、経営者は監査のニーズを常に変更できるため、監査チームはそれに応じて監査計画を調整できます。
欠点がある
情報システムへのアクセスは比較的限られている
客観性を損なう利益相反が生じる可能性があります。
第三者監査
アドバンテージ
さまざまな情報システムを監査しており、豊富な経験を持っています
彼らは、対象となる組織内の力学や政治性を知りません。客観的かつ中立的な立場を保ちます
欠点がある
高コスト
NDA があったとしても、追加されたリソースを整理して作業を監督する必要があります。
組織の内部の仕組みに対する理解が不足している。
監査基準に関する声明 (SAS) 70
特に財務報告に係る内部統制(ICOFR)に関連するリスクについて。
以前は、アウトソーシング サービスを利用するほとんどの組織は SAS70 レポートを必要としていました。 しかし、財務的な観点だけから見ると、多くのユーザーはセキュリティ、使いやすさ、そしてプライバシーに重点を置き始めました。
SOCレポート
SAS70 レポートの代わりに、SOC レポートを使用します。
SOC 1 レポート
SOC 1/SOC 2 レポートとは対照的に、SOC 1 レポートでは、サービス プロバイダーが自社のシステムを説明し、財務報告に対する内部統制に関連する管理目標と統制を定義することが求められます。
SOC1 レポートは通常、ユーザーの ICOFR レポートに関係のないサービスや制御はカバーしません。
SOC1 レポートは、2011 年に多くのサービス プロバイダーによって中核的な金融処理サービスに使用され始めました。
SOC 2/SOC 3 レポート
設計と運用の有効性を対象とした一定期間のレポート 一定の期間にわたる設計と運用の有効性を対象としたレポート
原則とガイドラインでは、セキュリティ、可用性、機密性、処理の完全性、プライバシーを具体的に定義しています。
財務報告に関する内部統制 (ICOFR) を超えたものを提供します。
サービスプロバイダーとそのユーザーのニーズに基づいて、モジュール式のアプローチを使用して、 SOC2/SOC3 レポートは 1 つ以上の原則をカバーできます。
IT サービス プロバイダーがユーザーの金融システムに影響を与えないか、間接的に影響を与える場合は、SOC2 レポートが使用されます。
SOC3 レポートは通常、詳細な制御やテスト結果を公開せずに、幅広いユーザーに保証レベルを知らせるために使用されます。
監査管理統制
アカウント管理
アカウントを追加する
1. 新入社員は利用規定 (AUP) を読み、署名する必要があります。
2. 従業員のアカウントを監査して、従業員が AUP に準拠していることを確認します。
3. 人事部門から新入社員のリストを取得し、IT 部門がシステムに開設した従業員アカウントと比較して、2 つの部門間のコミュニケーションの有効性を確保します。
4. ポリシーでは、アカウントの有効期限、パスワード ポリシー、ユーザーがアクセスできる情報の範囲も明確にする必要があります。
アカウントの変更
特権アカウントの使用に関する問題
1. 通常、各コンピュータ ユーザー アカウントにはローカル管理者権限があり、サーバー管理および保守担当者にはドメイン管理者権限が与えられますが、どちらも危険です。
2. アカウントの追加、削除、変更は厳密に管理され、文書化される必要があります。
3. 管理者アカウントの権限の階層管理を実装します。
4. 必要な場合にのみ特権アカウントを使用し、日常のメンテナンス作業には制限付きアカウントを使用します。
アカウントを一時停止する
1. 使用されなくなったアカウントを一時停止します。
2. 人的資源省から短期および長期離職者のリストを入手します。 アカウントの状況をITシステムと照合し、長期休業している従業員のアカウントを削除します。 また、短期休職の場合はアカウントの利用を停止します。
バックアップの検証
データの種類
ユーザーファイル
複数のバージョンとバックアップ場所ファイルの間には不一致があり、データ保持原則に違反する状況も存在します。
データベース
必要に応じてデータベースのバックアップを本番環境に復元できるようにします。
メールデータ
サーバーのストレージ容量が限られていることを考慮すると、中規模および大規模な電子メールはバックアップされず、電子証拠収集方法と組み合わせる必要があります。
認証方法
テストデータのバックアップ状況
組織が直面する可能性のある脅威のさまざまなシナリオを分析する
各シナリオですべてのミッションクリティカルなデータのバックアップをテストする計画を作成します。
自動化を活用して監査人の作業負荷を最小限に抑え、テストが定期的に行われるようにします
データ バックアップ テスト計画がビジネス プロセスに与える影響を最小限に抑え、定期的に実行できるようにします。
すべてのシステムがテストされるようにカバレッジを確保しますが、必ずしも同じテスト内でテストされる必要はありません。
結果を記録して、何がうまくいったのか、何が必要だったのかを把握できるようにする
文書化した問題を修正または改善します。
災害復旧と事業継続
事業継続計画のテストと修正
テストの種類
チェックリストテスト チェックリストテスト
BCP のコピーを各主要ビジネスユニットのマネージャーに配布します。
自分の部門に適した計画の部分をレビューするよう依頼します。
構造化ウォークスルー テスト 構造化ウォークスルー テスト
初期テストを計画するためのツールとして使用されますが、テストに最適な方法ではありません
目標
すべての分野の主要担当者が BCP に精通していることを確認する
計画的に対応する組織の災害からの復旧能力を確保する
特徴
会議室連絡、低コスト
シミュレーションテスト シミュレーションテスト
テーブルトップ ウォークスルーよりも多くのコンテンツが含まれています
参加者はBCPに適用する特定のイベントシナリオを選択します
並列テスト 並列テスト
コミュニケーションを確立し、DRP 規制に準拠した実際の復旧手順を実行するために、実際の人々を他のサイトに移動することが含まれます。
主な目的は、担当者が DRP で指定された手順を適用した場合に、重要なシステムを代替処理サイトで復元できるかどうかを判断することです。
完全遮断テスト 完全遮断テスト
最も危険なテスト
可能な限り現実のシーンをシミュレートする
ビジネスに影響を与えることはできません
セキュリティトレーニングとセキュリティ意識向上トレーニング
安全教育と安全意識教育の違い
安全トレーニングとは、人々が特定の機能をより良く実行できるようにするためのスキルまたは一連のスキルを教えるプロセスを指します。
セキュリティ意識向上トレーニングは、人々がセキュリティ問題を認識し、より適切に対応できるようにするためのプロセスです。
ソーシャルエンジニアリング
情報セキュリティの文脈では、個人を操作してセキュリティ プロトコルに違反するアクションを実行させるプロセスです。
オンラインの安全性 オンラインの安全性
フィッシングは、デジタル通信を介したソーシャル エンジニアリングです。
ドライバーのダウンロードは、悪意のある Web サイトにアクセスするだけで引き起こされる自動攻撃です。
データ保護
文化
主要なパフォーマンス指標とリスク指標
重要業績評価指標 (KPI)
主要業績評価指標 (KPI) は、組織が特定の時間に特定のタスクをどれだけ効果的に実行するかを測定します。
主要リスク指標 (KRI)
特定のアクションまたは一連のアクションの実行に固有のリスクの尺度。
報告
効果的なレポートは、特定の読者を念頭に置いて作成する必要があります。
技術レポート
技術レポートは、自動スキャン ツールや一般的なインベントリの出力以上のものである必要があります。
優れた監査技術報告書の要素
脅かす
脆弱性
脆弱性が悪用される確率
影響レベル
改善のための提案
エグゼクティブサマリー
上級リーダーへのレポートは、重要な調査結果と推奨事項に焦点を当て、簡潔で理解しやすいものにする必要があります。
リスクは定量的に説明するのが最も適切であり、リスクを定量化する 1 つの方法は、リスクを金額で表すことです。
一般的なリスク測定方法
原価計算方法
最も一般的な計算方法
所得の計算方法
一般的な式は、価値が期待(または潜在的な)収入を資本化率で割ったものに等しいというものです。
市場の計算方法
市場アプローチは、市場の同様の資産に対して他の企業がどれだけの金額を支払っているかを判断することに基づいています。
マネジメントレビュー
マネジメントレビューは、組織の上級リーダーがマネジメントシステムが効果的にその目標を達成しているかどうかを判断する正式な会議です。
マネジメントレビュー前
管理レビューは定期的に実行する必要があります。そうしないと、検査リスクが事前対応型から事後対応型に変化してしまいます。
会議の頻度は、前回のレビューの決定を実行するのに必要な時間の長さと同期する必要もあります。
入力内容を確認する
重要なインプットは、外部および内部の両方の関連する監査の結果です。
監査レポートをレビューできるようにすることに加えて、主要な調査結果、組織への影響、および推奨される変更 (存在する場合) を説明する概要を作成することも必要です。これらの要約はビジネス言語で書くことを忘れないでください。
もう 1 つの入力は、前回のレビュー中に見つかった問題とその修正のリストです。
カスタマーレビュー
最後の入力は、他のすべての入力に基づく改善の提案です。
管理アクション
上級リーダーはすべての意見を検討し、多くの場合的を絞った質問をして、推奨事項の承認、拒否、延期を決定します。
上級管理職は、推奨事項を全面的に受け入れるか、コメントは受け入れるが軽微な変更を加えるか、コメントを拒否するか、あるいは ISMS チームに追加の裏付けデータを再収集するか、提案されたオプションを再設計するよう依頼するかを決定します。