参考:⽶国国⽴標準技術研究所, 重要インフラのサイバーセキュリティを向上させる ためのフレームワーク, 2014年
(広義の)セキュリティ対策の分類
51
分類 カテゴリ
検知
異常とイベント
セキュリティの継続的なモニタリング 検知プロセス
対応
対応計画 伝達
分析 低減 改善 復旧
復旧計画 改善
伝達
演習④で検討
防御・保護対策の内容
52
カテゴリ 内容
アクセス制御 資産および関連施設へのアクセスを,承認されたユーザ,プロセ ス,またはデバイスと,承認された活動およびトランザクション に限定している.
意識向上とトレーニ
ング ⾃組織の職員およびパートナーに対して,関連するポリシー,⼿
順,契約に基づいた,情報セキュリティに関連する義務と責任を 果たせるようにするために,サイバーセキュリティ意識向上教育 と,⼗分なトレーニングを 実施している.
データセキュリティ 情報と記録(データ)を情報の機密性,完全性,可⽤性を保護す るために定められた⾃組織のリスク戦略に従って管理している.
情報を保護するため
のプロセスと⼿順 (⽬的,範囲,役割,責任,経営コミットメント,組織間の調整 を扱う)セキュリ ティポリシー,プロセス,⼿順を維持し,情報 システムと資産の保護の管理に使⽤している.
保守 産業⽤制御システムと情報システムのコンポーネントの保守と修 理をポリシーと⼿順に従って実施している.
保護技術 関連するポリシー,⼿順,契約に基づいて,システムと資産のセ キュリティと耐性・復旧⼒を確保するための,技術的なセキュリ ティソリューションを管理している.
検知対策の内容
53
カテゴリ 内容
異常とイベント 異常な活動を適切なタイミングで検知し,イベントがもたらす可 能性のある影響を把握している.
セキュリティの継続
的なモニタリング サイバーセキュリティイベントを検知し,保護対策の有効性を検 証するために,情報システムと資産を離散間隔でモニタリングし ている.
検知プロセス 異常なイベントを適切なタイミングで,かつ正確に検知するため の検知プロセスおよび⼿順を維持し,テストしている.
セキュリティ対策の例
• アクセス制御技術
• 認証(ユーザ認証,サーバ認証,機器認証)
• 暗号化
• 電⼦署名
• 鍵管理技術,公開鍵基盤(PKI)
• 耐タンパ性実現技術
• ファイアウォール
• 侵⼊検知システム(IDS)
• データログ収集,解析
• セキュアブート(プログラムの改ざん検知)
• セキュアコーディング
• 脆弱性検査ツール(静的解析,ファジング)
• ハニーポット
54
過去の知⾒の活かす
• セキュアなシステム設計のためには,過去の知⾒を 活かすべき
• IEEE Cyber-security Initiative: AVOIDING THE TOP 10 SOFTWARE SECURITY DESIGN FLAWS, 2014年
• 過去に報告された,セキュリティに関する設計ミス や脆弱性を元に,10個の設計指針がまとめられてい る
•
例1:すべてのデータの妥当性が確認されたことを保証す る⽅法を規定すること
•
例2:データと制御命令をしっかり区別し,信頼できない 相⼿からの制御命令は処理しないこと
•
例3:採⽤した外部コンポーネントが,アタックサーフェ スをどう変えるかを理解すること
→ 当たり前のものもあるが,⾒直す価値は⾼い
55
では,脅威分析の続きと,対策検討を やってみましょう
56
演習⑤:受講者⾃⾝の振り返り&所属組織への還元
⽬的
• 本演習を通じて学んだことをベースに,受 講者が所属する企業・組織の製品,サービ ス,開発プロセス等において,セキュリ ティの観点から改善すべきことを提案する
⽬標
• 受講者が所属する企業・組織の製品,サー ビス,開発プロセス等を列挙する(10分 程度)
• セキュリティの観点から,改善すべきこと を具体的に検討する(15分程度)
57
まとめ
58