CISSP ドメイン１ セキュリティとリスクマネジメント

CISSPの考え方

• 企業目標を達成するためのセキュリテイ：企業目標が前提にあって、それを実現するために戦略にあってるとか、現実的な範囲内のセキュリティをやるべし。セキュリティに注力しすぎて目標達成できないのはNG
• 安全な状態などない：暗号化しても鍵が漏れるかもしれない。セキュリティで財源圧迫するなど、常にリスクはゼロではない。試験で安全とかリスクがないと断言している場合はおかしいと考える。
• 全てはお金で説明：上級管理職の言語はお金。セキュリティもお金に換算する必要がある。主観で判断せず客観的に定量的になるべく示す。よくわからないコストとしてセキュリティ対策を講じるのはNG
• 組織の一員としての判断：やったほうがいいというポリシー違反を犯してはだめ。業務効率化とかビジネス転換はセキュリティのために行ってはいけない。あくまでアドバイザーみたいな評価や助言する立ち位置。

防御

下記の両方を実施

• 抽象化：情報が存在していること自体をわからせないようにする
• 隠蔽：情報があると分かっていても辿り着かせないようにする

CIA(機密性、完全性、可用性）

バランスが大事。ログインを何回も求めたら機密性はいいけど、業務やりづらいので可用性がよくないとか。
生体認証とかにしてバランス損なわずセキュリティアップするとかが重要

機密性の分解

• 感受性：漏洩した時に問題が発生する可能性がある度合い？顧客情報とか要配慮情報は感度が高いみたいな使い方。
• 裁量：損害を最小限に。機密文書うのアクセス制御とか、権限の割り当て、隠すとか
• 重要度
• プライバシー
• 独立：情報が混ざらないようにしないといけない

機密性の脅威

• ソーシャルエンジニアリング、脆弱な暗号化、余計なドキュメントへの埋め込み

機密性対策

• アクセス制御
• 認証認可
• 暗号化、TLS、IPSEC、生体認証
• （知る権利、最小権限の原則でアクセス制御を考えること。知る権利があっても業務上不要なら最小権限の原則でアクセス権はつけないなど。またオブジェクトをラベリングすることで制御の対象を分類する）

完全性の分解

• 正確性
• 真実性
• 真正性
• 妥当性：事実上、論理的に健全
• 否認防止：ログ等による改竄とかが否定できないこと
• 説明責任：ログとかで説明できるようにすること（否認防止と似てる）
• 包括性：ログとかに実行する悪事とかを網羅的に含むこと。

完全性の脅威と対策

• 脅威：改ざん、SQLインジェクション、ウィルス、不正アクセス、アプリエラー、バックドア
• 対策：改ざん検知、デジタル署名、アクセス制御/認証、侵入検知、職務の分離、システム開発ライフサイクルにおける承認の設置

可用性の分解

• ユーザビリティ
• アクセシビリティ：広範囲の利用者が利用可能ということ
• 適時性：適切な時間内に収める（処理実行時間とか）

可用性脅威と対策

• 脅威：DDOS、災害（人災：不用意な容量計画/テスト不足/老朽化の進んだHW）、自然災害
• 対策：冗長化。RAID、HAクラスター、十分な帯域、パフォーマンス、バックアップ、FWでDDOSの対応

アクセスコントロールタイプ

• 管理的コントロール
  • 組織でコントロール。ルール化や教育
• 技術的コントロール
• 物理的コントロール
  ↓
• 行動指示：教育とか、やらないでね
• 抑止的：攻撃の前に諦めさせる
• 物理的：
• 防止的：やりにくさを上げる
• 検知的：
• 補強的：防御力向上
• 回復的：
• 是正的：再発防止策

認証

AAAプロトコル。識別（IDと属性）、認証、認可、計上、監査

• 認証。３要素に加え、位置（IP／MACアドレス）、振る舞い
• 計上とはログに残しておくこと。否認不可。フォレンジックの原則らしい
• 否認防止が重要！→完全生、本人であること、ログ、デジタル証明、トランザクションログとかが必要
• AAAで保護メカニズム
  • 多層防御：多要素認証
  • データ隠蔽：DB,文書。認可が重要。存在する情報に辿り着かないようにする

ガバナンス

• スタートはビジネスケース。どのようなビジネスをやりたいからこういうセキュリティが必要
• これらを決めるのは経営幹部。ボトムアップでは決まらないのでトップダウンが多い。トップが承認するので、トップがなぜやるのか、何をどんな風にやるのか、何かあったら会社としてどう対応するのかとかトップの教育が必要）
• ポリシー：目的、実現イメージの明確化。なりたい姿。（セキュリティの要件。セキュリティの範囲、どの程度の機能が必要。セキュリティ要件、フレームワークを決める）
• スタンダード：必要な要素の具体化。実現方法
  • スコーピング：個別のシステムにベースラインのコントロールを適用していくこと
  • テーラリング：組織への落とし込み方
• ベースライン：スタンダードの根拠（何の規格から引用したか、政府勧告か、世の中標準化、他社がやってるからとか、固有リスクが何かなど）
• ガイドライン：実現可能性の担保などの補強。もうちょい具体的にこう実現しますみたいな話と理解。システム構成や安全なパスワードの作り方。スタンダードの補助資料。
• プロシージャ：手順レベル（アカウント登録手順、インシデント対応手順とか）

CISSPとしての倫理

• コンピュータの十戒
• 社会の安全性とか福利。法律遵守。十分なサービス提供。専門性の維持。

内部統制

• ガバナンス：ステークホルダーとの信頼関係を構築するための統治。信頼のある体制を考える。
• マネジメント：事業目標を達成するための管理
• ガバナンスにはデューデリジェンスが重要。組織とか個人が納得できて、現実的に守れるような適切なガバナンス。怪しいサイトにアクセスするなはOKだけど、何が怪しいかわからないので、中央で怪しいサイトを定義するとか。職務権限とかも含まれる。適切な組織体制と言える。
• デューケア：特に書いてないけど、一般的に考えればこうだよねという考え方。デューデリジェンスはルールとか仕組みを作って組織に提供し、デューケアは教育でこういうのが当たり前だからってやる。
• 業務受託会社監査。委託先の会社にまで監査を行うこと
• SOC1：財務周りの監査
• SOC2、３：財務以外の情報資産が守られているかの監査。２は受託会社、３は不特定（利用者）に公開し安心して利用者が利用できることを目的とした監査。安全に顧客情報が管理され業務が回せているかの監査
• ガバナンスはCISOによるトップダウンが大事。自信を持って外部にセキュリティプロセスが説明できることが体制のこと。トップダウンが大事になってくるから取締役会はいろんな分野の人が集まって最適な意見をまとめることが大事。
• ガバナンスは適当に経験則で作ったらダメ。政府からのルールとか、NIST、CISベンチマークみたいな信頼できる外部基準で作るべき。外部の監査人とかが作成に関わる。コンサルとか。
• 組織内外の人に監査する。Cobit（現場のセキュリティレベルを図る）とかのフレームワーク。悪いことでも公開して結果として組織が良くなるように監査では正直に。オープンな議論が重要。
• 監査は最終的にはセキュリティガバナンスを規程した文書のレビューとなる。そこには規定されたビジネス上の方法や実用性、効率性、リスクをしっかり低減しセキュリティ目標を達成できるようになってるか。リモートでもビジネスを進められるようになっているか。文書だけでなく、実態が伴っているかが重要。文書は十分な資料があるかとかそういうことを見て、その後現場の確認する。文書通りかとか。

法律

• 刑法：社会秩序を保つための法律。検察官が合理的な疑いで基礎。

• 民法：被害を受けた人を助けるための法律

• 行政法：政府機関のための法律

• 証拠保全：証拠能力を保つため。いつ、どこで、誰が、何をしたものなのか。
  　証拠になるためには。伝聞証拠はダメ、勘違いや記憶すり替えがある。裁量証拠は模造品よりオリジナル。口頭と文書の証拠なら文書優先が基本。犯人に犯罪する意図がないのに犯罪をさせる行為はNG（範囲誘発）。すでに違反性の意図があり、その証拠を抑えるために誘導するのは合法。

知的財産

• 商標：ブランド力。右上にRがあるやつ。会社名とかブランド名
• 特許：薬とかに使用の独占。創造的なアイデア。q
• 著作権：創造し考えたものに対する権利。制約：消尽（権利の行使は１度のみ）、一次使用（複製品には適用されない）。アメリカでは死亡から70年、公表から95年、開発から120年で著作権が失効する。
• ライセンス：アプリなどの利用の権利。購入済みのアプリを使い続けるのはアプリを利用する権利があるから。
• 営業秘密：顧客情報、製品技術、製造方法などの事業活動に有益な情報。有益、秘密にしてることが成立条件。
• デジタルミレニアム著作法：デジタルコンテンツの著作権。他のサイトで使われてたら権利主張できる。インターネットは広いので発見できないかもしれないので、識別子としてSampleという文字入れたりする。画像自体に著作を埋め込むこともできる。
• 連邦経済スパイ法：営業秘密を漏らして罰する法律。民間ではトレードシークレット法。

プライバシー法

• 個人情報の取り扱い。機密性。社会保険、身体情報、財産情報とかも対象。
• 医療保険の携行性と責任に関する法律：電子化した医療情報に対するプライバシー保護、セキュリティの確保。個人の健康や支払い情報を保護。HIPAAを拡張して違反を罰する。医療機関がHIPAAのプライバシー規則やセキュリティ規則に準拠しているかを監査する
• EU：GDPR
  • 集中化：EU加盟国はデータ保護当局に集中する
  • データ違反通知：違反は72時間以内にデータ保護当局に連絡する
  • アクセス：個人が自分のデータにアクセスできるようにする
  • 忘れられる権利：企業が不要になったら個人情報の削除を要求できる権利
• アメリカ：児童オンラインプライバシー法。13歳未満の子供をオンラインサービスから守る。13歳未満の情報を集めている会社に適用。SNSとか。親の許可が必要で子供がお金を払うことを禁止している。

金融法

• 上場企業会計改革及び投資家保護法：SOX法。粉飾させないようにする方法。投資家を保護するため。
• グラムリーチブライリー法：銀行、証券、保険業の兼業規制を緩めた。グラススティーガル法を緩めてこれらの業務の会社を統合や合併を許容した。

国家保護のための法律

• テロを抑止する法律。
• 米国愛国者法：テロ抑止目的。国内/国外の電話の監視強化、省庁間のコミュニケーション緩和、テロ犯罪の罰則強化とテロ容疑にかける活動の拡大
• 連邦情報セキュリティマネジメント法：情報セキュリティは効果あるから予算を取って整備していくという法律。連邦政府関連お組織はセキュリティ報告書をOMBってとこに送らないといけない
• NIST（国立標準技術研究所）が国家としてのセキュリティ標準を作っている

コンプライアンス（ツボ）

• 法令遵守だけでなく、倫理観とかこうじょりょうじょくとかも重要。従業員にポリシーを理解してもらって、考えながら行動する。細いルールを記憶は無理。原理原則とか、具体的にこの行動やったらダメだよね見たいな教育。
• ベンダ契約：ベンダ契約では、業務内容、スケジュール、達成条件、制約事項。会社ごとに考え方は異なる。
  　SLAを規定することで期待値を擦り合わせる。性能や耐障害性、サービスレベルを下回った場合の救済措置。
  　クラウドサービスは不特定多数の会社へのサービス提供なので、個別カスタマイズは困難なので後戻りしにくい。性能とかサポートとかはわかりやすいけど障害あった時の対応などセキュリティの話とかは出づらい。
  システム開発をアウトソーシングも注意。受注を受ける場合、ベンダは契約を満たせば良いとなるので、真剣にならないケースもある。Gitにソースあげちゃう場合もある。ベンダ管理システムを発注〜納品まで管理する。

CFAA（ツボ）

リスク分析

• リスク＝脅威✖️脆弱性
• NIST SP ８００-30でリスク分析プロセス定義されてる。下記をぐるぐるPDCAで回す
  • システムの特徴づけ（リスクアセスメントの目的、範囲、制約や前提、情報源（インプット）あたり）
  • 脅威の特定
    • STRIDE（なりすまし、改ざん、否認、情報漏洩、サービス不能、権限昇格）
    • DREAD評価：その脅威が本当に自社に取っての脅威になるかの評価。そもそも起きるのか、発生難易度とか。評価軸は被害の可能性、再現可能性（その脅威をシミュレーションとか実証できるか）、攻撃利用の可能性（実際の攻撃に転じるか）、ユーザ影響（顧客影響あるか）、発見可能性（攻撃された場合に発見できるか）
    • PASTA：攻撃をシミュレーションする手順。どれだけ大きな脅威になるのかの評価ができる。リスク分析のための目的定義、技術範囲の定義、アプリケーション分解と分析、脅威分析、弱みと脆弱性分析、攻撃モデリングとシミュレーション、リスク分析と管理
  • 脆弱性の特定
    • 脆弱性分析
      • 共通脆弱性評価システム
        • 基本評価基準：脆弱性そのものの特性を評価する。SNSの誹謗中傷は簡単だからこの基準は高い
        • 現状評価基準：脆弱性の現在の深刻度の評価。香山がSNSで誹謗中傷しても社会的影響ないからこの基準は低い
        • 環境評価基準：利用者を含め最終的な脆弱性の深刻度を評価する。SNSの例では内容によっては仲間を巻き込んでしまう場合があるので、そういう意味で高いと判断できるかも。
  • 影響分析
    • 定性分析
      • リスク分析マトリックス：影響度と発生確度で判断。
    • 定量分析
      • 資産価値の特定と価値算出：価値の算出。似た資産を参考にするor将来発生する価値を予測or資産に使ったコスト
      • 損失資産の計算：リスクが発生した場合に無くなる価値の割合（暴露係数）を算出。価値✖️暴露係数＝損失
      • 年間発生率(ARO)
      • 年間損失予想：上記３つの掛け算(ALE)
      • コスト、利益分析：全資産を計算してTCO出して、利益と比較して投資対効果を計算する
  • リスク決定
    • 回避（影響大、頻度大）、軽減（影響小、頻度大）、転嫁（影響大、頻度小）、受容（影響小、頻度小）
  • コントロール推奨
  • 結果の文書化
• ツボ
  • リスクマネジメントの目的はリスクを許容可能なレベルに低減すること
  • 組織ごとにリスクの内容や程度が変わってくるので、組織ごとにマネジメントしていく必要がある
  • リスク分析：リスク特定、影響度、対応すべきリスクが優先順位づけされる
  • リスク対応：リスクを低減したり、回避を考えること。ここで受容レベルまで下げる。
  • 脅威と脆弱性からリスクはなるが、脅威から特定すると大変。自社に関係のない脅威も含まれがちなので無駄。次にやりすぎは禁物、その資産を保護する必要あるの？とか。３つ目は資産価値の計測に時間をかけすぎないこと、資産価値なんて水物で人にもよるし、ざっくりで。この正確性が問題ではないんで。リスクマネジメントは一人でやらないこと。専門知識を持った人にやってもらうのが一番いい。リスクがなくなるまで頑張らないこと。リスクゼロじゃなくてベターなやり方を選ぶ。リスクで出る損害と対応の費用で後者が高いと意味がない。
    サポート切れの製品は気をつけること。

投資対効果

結局ここ重要

脅威の見つけ方

• 脅威を全部あげ出したらキリがないので、システム構成図とか書いて脅威を見つけるのが有効（結局なりすましとかの脅威を念頭に置いた上で、自社の構成に基づくリスクシナリオ描くのが一番早い）。データの所在、データの流れ、信頼領域の区分か、IF、権限が必要な要素。脆弱性や攻撃のポイントに気づく。
• 脅威は災害とかも含まれる。一覧化して、確率/被害可能性ランキングとかでリスク評価。あとはDread評価システム。他の数値的な評価よりも定性的。評価がおわったら対策の効率的なやつを見つける。

サプライチェーン全体のリスクマネジメント

• 原材料調達〜在庫管理、物流とか消費者に渡るまでの一連がSC M。
• 全網羅的に検査はもう細かすぎて無理。ファームウェアとかをやられている可能性もあるので、このメーカまで調べるのは困難。

マルウェア

• スクリプトキディ：世の中に出回っているハッキングツールで専門知識なく、ハッキングする人
• スパイウェア：広告動画を流している間に悪さをする
• トロイの木馬：普通の便利なアプリを装って、裏で悪さする
• ランサムウェアは自動的にNWとか経由して感染を広げるためワームになる。
• メールを開いて感染するのはユーザの行為を伴うのでトロイの木馬に分類される
• マルウェア検知
  • 静的：ファイル内に記載のある特徴的なワードとか。あとは処理をみて確認。
  • 動的：サンドボックスで実際の挙動を確認する。未知マルウェアは静的は難しかったりするので、実際に動かす。
• Zip化すると文字列が隠れるので静的解析はできない
• LOL攻撃。正規のプログラム（Powershell)とかに実行させる。ただ動的解析してして仕舞えばOKだけど、攻撃開始のトリガーをサンドボックスでは引かないようにするようにしたりしてるので、その場合は動かないので、OKとなってしまう
• 有名マルウェア
  • ILOVEYOU：メールに送付して、開くと、アドレス帳全部に転送される。
  • スタックスネット：USB経由。抜き差しするだけで感染。NW関係ない。