0.はじめに
情報セキュリティマネジメントを学習してます。
- 普段書籍で読んだ内容
- 超基本的な知識
- なかなか覚えられず、忘れてしまいやすい内容…など
そういった箇所から個人的に学習用として投稿しました。
第1章「基本知識」
第2章 「セキュリティ管理」
第4章「情報セキュリティ関連法規」
第5章「マネジメントについて」
第6章「テクノロジ ストラテジ」
参考文献
徹底攻略 情報セキュリティマネジメント教科書 令和2年度
著者 株式会社わくわくスタディワールド 瀬戸美月/齋藤健一 著
出版 インプレス
人的なセキュリティ対策
ガイドラインを作成し啓発活動を行う
組織における内部不正を防止するためには内部不正対策の体制を構築することが重要
基本的に五つの原則によって構成される
1.犯罪を難しくする:やりにくくする
2.捕まるリスクを高める:やると見つかる
3.犯罪の見返りを減らす:割に合わない
4.犯罪の誘因を減らす:その気にさせない
5.犯罪の弁明をさせない:言い訳をさせない
具体的な内部不正対策
1.資産管理
それぞれの情報にアクセス権を指定しアクセス管理を行う
機密情報に関しては秘密指定を行い外部漏洩しないように管理する
資産管理を行う際は__IT資産管理ツール__を用いることで円滑化
2.持ち込み持ち出し管理
持ち出し可能や PC やスマートフォンなどの情報機器 USB メモリーといった記録媒体について
持ち出しの証人記録等の管理を行う
基本的に個人情報機器や記録媒体の業務利用持ち込みは原則禁止
3.業務委託時の確認
事前にセキュリティ対策を確認し合意してから契約をする
委託先が対策を実施しているか定期的に確認する必要がある
4.証拠確保
アクセス履歴や操作履歴のログを残す
システム管理者以外の者が定期的に確認する必要がある
5.雇用終了時の手続き
退社時などに秘密保持義務を課す契約書の提出を求めるなど漏洩の不正が発生しないようにする必要がある
また使用していた情報システムの利用者 ID や権限を削除する業務も必要
6.適切なコミュニケーション
労働環境が悪いと不平不満が溜まり内部不正が発生する恐れが高くなる
適正な労働環境にしなければいけない
7.相互監視
単独で不正が発生する可能性が高いため相互監視ができない環境での仕事を制限する
具体的に休日や深夜は制限される
情報セキュリティ啓発
情報セキュリティに関する意識や知識を向上させるための取り組みを中止で低させていく活動のこと
1.教育
情報セキュリティ教育のこと
ソーシャルエンジニアリングに対する心構えなどを適切に伝える
内容は対象者の担当業務や役割によって異なる
2.訓練
攻撃を受けた際の実践手順に従って実際に対応するなどの訓練を行う
標的型攻撃メール訓練などが一例
レッドチーム演習など
パスワード管理
1.質の良いパスワードを設定する:推測されにくいものを使用する
2.使い回さない
3.組み合わせでパスワードを管理する:「紙」だけの管理ではなく「アプリ+紙」など複数の組み合わせでパスワードを管理すると漏洩の危険性が下がる
4.PCに保管しない:逐一入力し自動的に認証できるようにしないこと
利用者管理
利用者が使用するアカウントに対して適切にアカウント管理を行うことが重要
- needs to know の原則
最小権限の原則、必要最低限のアクセス権はあった業務に必要のない情報見せないようにすること
2.一人一アカウントの原作
利用者一人一人を識別できるようにするため誰がどこに今アクセスしているのか分かるようにする、アカウントの共有や貸し出しは原則禁止
3.責務の分離
それぞれのカウントに権限が集中しないよう責務を分離することが重要
特に職員の高い人に全てのアクセス権を与えるなどの運用は不正を扱いやすくするため職務に必要な最低限のアクセス権限を設定する必要がある
4.特権アカウント管理
システムを変更することができるアクセス権を特権的アクセス権
特権アカウントでも最小権限の原則に従いアカウントを付与する利用者を最小限にし必要最小限の権限のみを付与する
5.速やかな削除変更
アクセス権が不要になった場合は速やかに削除すること
会社の人事制度と連動させたりユーザー毎ではなくロールを用いたアクセス制御を行うなどアカウントの変更完了速やかに行う仕組みを構築することが重要
技術的なセキュリティ対策
不正アクセス対策やマルウェア対策など様々なものがある
製品やサービスなどもある、導入から管理、更新共に重要
WAF( Web Application Firewall)
・ブラックリスト方式
攻撃と判断できるパターンを登録してそれに該当する通信を遮断する方式
ベンダーが提供し適宜更新するため追加運用コストがかからない
・ホワイトリスト方式
正常と判断できる方を登録しておきそれに該当する通信のみを通過させる方式
ユーザーが独自に設定をする
IDS( Intrusion Detection System )
Detection:検知 検出
侵入や攻撃など不正なアクセスを感知したら通知するシステム
種類がある
・NIDS
ネットワーク全体を監視するネットワーク型
・HIDS
ホストにインストールされ特定のホストを監視するホスト型
ファイアウォールと IDS の違いは
ファイアウォールでは IP header TCP ヘッダーやアプリケーション減ったら取ってあげられた情報しか
チェックすることしかできないのに対して
IDS では検知する内容を自由に設定できる
・UTM( Unified Threat Management )
総合脅威管理
不正アクセスやウィルスなどの脅威からネットワークを全体的に報告する為の管理手法
ファイアウォール IPS ウィルス対策ソフトは迷惑メールフィルターなどセキュリティに必要な機能を1台にまとめた機器を指すことが多い
1台導入していることで一通りのセキュリティ対策ができる利点がある
パーソナルファイアウォール
PCなどのコンピュータ1台1台に導入するファイアウォール機能を持ったソフトウェア
・DLP ( Data Loss Prevention )
機密情報外部へ漏洩させないための包括的な対策法
・PCなどにDLPエージェント
・集中管理を行うDLPサーバ
・ネットワーク上の流れるデータを監視するDLPアプライアンス
上記3点で構成されている
フォールスポジティブフォールスネガティブ
正常な通信を異常と判断して遮断してしまうことを フォールスポジティブ
攻撃など異常な通信を正常と判断して通過させてしまうことをフォールスネガティブ
2つの均衡を合わせ、適切な状態に調節することが最適
マルウェア不正プログラム対策
・ウイルス対策ソフトの導入
・ウイルス定義ファイルの更新:パターンファイルを常に更新し最新の状態に維持すること、__パターンマッチング__と言ったファイルと比較することでウイルスを検出する方法がある
・ソフトウェア脆弱性の修正: OS やアプリケーションの脆弱性を修正するセキュリティパッチが公表される
上記3点が正しく行われないと感染する確率が上がる
検疫ネットワーク
持出が頻発する端末などから社内のネットワークに接続するコンピュータに対し
マルウェア対策を行う専用のネットワークのこと
マルウェアに感染していない状態かつウイルス定義ファイルが最新版であることが確認できたコンピューターのみ接続することが可能
携帯端末無線 LAN のセキュリティ対策
有線 LAN 以上にセキュリティ対策が重要
無線だと盗聴が容易にされる
・小さなパソコンと考え PC と同様に管理する
・ OS をアップデートする
・改造行為を行う
・ 信頼できる場所からアプリケーションをインストールする
といったような対策が重要
組織内のスマートデバイスの管理
会社から支給されるものや
個人で使用しているスマートデバイスの業務利用する
2種類の方法がある
会社支給はコストが多くかかるためすべての組織の導入されていないのが現状
MDM (Mobile Device Magament )
モバイル端末管理
組織内の端末を全体的に一元管理すること
端末の紛失時にスマートデバイスをロックするリモートロック機能
出荷時の状態に戻すリモートワイプ機能
管理人に便利
SSID ステルス
無線 LAN において
アクセスポイントなどに設定されるネットワークを識別する ID が通常はネットワーク上で SSID を通知するが
不正アクセスされやすいためネットワーク通知せず SSID を隠す方法のことを SSID ステルスという
無線 LAN 暗号化方式
改良に改良を重ねて現在では WPA 3が最新版の無線 LAN 暗号方式になっている
暗号速度192 Bit
WPA ( wi-fi protected Access )
ディジタルフォレンジックス
法科学の分野のこと
不正アクセスや機密情報の漏洩などで法的な紛争が生じた際
原因追求や操作に必要なデータを収集、分析しその法的な証拠性を明らかにする手段や技術のこと
→例)ログを証拠とする場合ログが改ざんされないようにする
証拠保全技術
ログを証拠として有効活用するために様々な技術を利用する
・時刻同期(NTP):サーバーの時刻を全て同じにすることで不正アクセス時の経路の特定に役立つ
・SIEM ( Security information and EVENT Management)
情報分析し異常があれば管理者に通知する知らせる仕組み
・WORM( Write Once Read Many)
書き込みが一回しかできない記録媒体のこと
・電子透かし
映像音楽などのデジタルコンテンツの情報を埋め込む技術
・ステガノグラフィ
電子透かしの元になった技術に対して画像などのデータの中に秘密にしとい情報他社に気づかれることなく埋め込む技術
その他の技術的セキュリティ対策
秘匿化
情報秘密にし必要な人以外、読めないようにすること
脆弱性管理
セキュリティホールという脆弱性は OS やアプリケーションにおいて随時発見され修正プログラムを配布するなどの対策が実施されている
DNSSEC
DNS でのセキュリティに対する拡張使用
クライアントとサーバー側の両方が DNS 設定に対応しており該当するドメイン情報が登録されていれば DNS 応答レコードの偽造や改ざんなど検出ができる
#物理的なセキュリティ対策
鍵をかけたりデータを遠隔地に運んだりクリアデスクといった物理的な対策がある
RASIS
・Reliability 信頼性
・Availability 可用性
・Serviceability 保守性
・Integrity 完全性
・Security 機密性
RAS技術
信頼可用保守三つを向上させるための技術を RAS 技術
高い信頼性を総合的に確保するためのもので部品を故障しにくくすることで信頼性を上げ万一の故障に備えて自動回復を行うことで保守性を上げ自動回復に失敗した場合は故障箇所を切り離すことで可用性を上げるといった複数の技術を持ち合わせて実現されている
耐震対策
ハードが壊れないように
入退室管理
アンチパスバック
直前に入退室する人の後ろについて認証すり抜ける__ピギーバック共同連れ__
が行われる危険性がある
アンチパスバックは入室時の認証にもちらなかった ID カードでの体質を許可しないまたは退室時の認証にもちらなかった ID カードの再入室を許可しない方法
インターロックゲート
ピギーバックを防止するため入退室をチェックするゲートに一人しか入れない空間を用意し自動ドアを用いることで一人ずつの認証を可能にする方法
TPMOR( Two Person Minimum Occupancy Rule )
一人の状態だと不正が可能になるため最低でも二人以上の入室を義務付ける仕組みのこと
クリアデスククリアスクリーン
離席時には PC にロックをかけたり帰宅時にはテーブルをきれいにする(使用している PC をロッカーに入れたりすることで)不正防止に役立つ
S/MIME
認証局 CAで正当化が確認できた公開鍵を用いる
ハイブリッド暗号と言う共通鍵を生成しその共通鍵でメール本文を暗号化し元々あった共通鍵を受信者の公開鍵で暗号化をするハイブリッド暗号と言う暗号化方式を用いる