演習④で検討

参考：⽶国国⽴標準技術研究所, 重要インフラのサイバーセキュリティを向上させる    ためのフレームワーク, 2014年

（広義の）セキュリティ対策の分類

51

分類 カテゴリ

検知

異常とイベント

セキュリティの継続的なモニタリング 検知プロセス

対応

対応計画 伝達

分析 低減 改善 復旧

復旧計画 改善

伝達

演習④で検討

防御・保護対策の内容

52

カテゴリ 内容

アクセス制御 資産および関連施設へのアクセスを，承認されたユーザ，プロセ ス，またはデバイスと，承認された活動およびトランザクション に限定している．

意識向上とトレーニ

ング ⾃組織の職員およびパートナーに対して，関連するポリシー，⼿

順，契約に基づいた，情報セキュリティに関連する義務と責任を 果たせるようにするために，サイバーセキュリティ意識向上教育 と，⼗分なトレーニングを 実施している．

データセキュリティ 情報と記録（データ）を情報の機密性，完全性，可⽤性を保護す るために定められた⾃組織のリスク戦略に従って管理している．

情報を保護するため

のプロセスと⼿順 （⽬的，範囲，役割，責任，経営コミットメント，組織間の調整 を扱う）セキュリ ティポリシー，プロセス，⼿順を維持し，情報 システムと資産の保護の管理に使⽤している．

保守 産業⽤制御システムと情報システムのコンポーネントの保守と修 理をポリシーと⼿順に従って実施している．

保護技術 関連するポリシー，⼿順，契約に基づいて，システムと資産のセ キュリティと耐性・復旧⼒を確保するための，技術的なセキュリ ティソリューションを管理している．

検知対策の内容

53

カテゴリ 内容

異常とイベント 異常な活動を適切なタイミングで検知し，イベントがもたらす可 能性のある影響を把握している．

セキュリティの継続

的なモニタリング サイバーセキュリティイベントを検知し，保護対策の有効性を検 証するために，情報システムと資産を離散間隔でモニタリングし ている．

検知プロセス 異常なイベントを適切なタイミングで，かつ正確に検知するため の検知プロセスおよび⼿順を維持し，テストしている．

セキュリティ対策の例

•   _{アクセス制御技術}

•  認証（ユーザ認証，サーバ認証，機器認証）

•  _暗号化

•  _電⼦署名

•  鍵管理技術，公開鍵基盤（PKI）

•  _{耐タンパ性実現技術}

•  _{ファイアウォール}

•  侵⼊検知システム（IDS）

•  _{データログ収集，解析}

•  セキュアブート（プログラムの改ざん検知）

•  _{セキュアコーディング}

•  脆弱性検査ツール（静的解析，ファジング）

•  _{ハニーポット}

54

過去の知⾒の活かす

•   セキュアなシステム設計のためには，過去の知⾒を 活かすべき

•  IEEE Cyber-security Initiative: AVOIDING THE TOP 10 SOFTWARE SECURITY DESIGN FLAWS, 2014年

•  過去に報告された，セキュリティに関する設計ミス や脆弱性を元に，10個の設計指針がまとめられてい る

• 

例１：すべてのデータの妥当性が確認されたことを保証す る⽅法を規定すること

• 

例２：データと制御命令をしっかり区別し，信頼できない 相⼿からの制御命令は処理しないこと

• 

例３：採⽤した外部コンポーネントが，アタックサーフェ スをどう変えるかを理解すること

→ 当たり前のものもあるが，⾒直す価値は⾼い

55

では，脅威分析の続きと，対策検討を やってみましょう

56

演習⑤：受講者⾃⾝の振り返り＆所属組織への還元

⽬的

•  本演習を通じて学んだことをベースに，受 講者が所属する企業・組織の製品，サービ ス，開発プロセス等において，セキュリ ティの観点から改善すべきことを提案する

⽬標

•  受講者が所属する企業・組織の製品，サー ビス，開発プロセス等を列挙する（１０分 程度）

•  セキュリティの観点から，改善すべきこと を具体的に検討する（１５分程度）

57

まとめ

58