CompTIA CySA+出題範囲

※ 試験番号：CS0-003

• https://www.comptia.jp/pdf/CompTIA CySA%2B CS0-003 Exam Objectives_JA-JP.pdf

1.1 セキュリティオペレーションにおけるシステムとネットワークアーキテクチャの概念の重要性を説明できる。

• ログインジェスト
  • 時刻同期：システム間で時間を正確に一致させること。ログのタイムスタンプを正確に比較・分析するために重要です。
  • ロギングレベル：ログに記録する情報の詳細度を設定するレベル。例えば、エラーのみ、警告以上、全ての情報など。
• オペレーティングシステム(OS)の概念
  • Windowsレジストリ：Windows OSの設定やアプリケーション情報を保持するデータベース。
  • システムのハードニング：システムのセキュリティを強化するための設定や不要なサービスの無効化などのプロセス。
  • ファイル構造：OSがファイルやディレクトリを組織化する方法。
  • 構成ファイルの場所：システムやアプリケーションの設定が保存されているファイルの場所。
  • システムプロセス：OS上で実行されているプログラムやサービス。
  • ハードウェアのアーキテクチャ：コンピュータの物理的構造や設計。
• インフラストラクチャの概念
  • サーバーレス：開発者がサーバー管理を意識せずにコードを実行できるクラウドサービスの形態。
  • 仮想化：物理的なハードウェアを仮想的に分割し、複数の仮想マシンとして利用する技術。
  • コンテナ化：アプリケーションとその依存関係を一つのパッケージとしてまとめ、どこでも一貫して動作させる技術。
• ネットワークアーキテクチャ
  • オンプレミス：自社内に設置されたサーバーやネットワーク設備。
  • クラウド：インターネット経由で提供されるサーバーやサービス。
  • ハイブリッド：オンプレミスとクラウドを組み合わせた環境。
  • ネットワークセグメンテーション：ネットワークを複数のセグメントに分割し、セキュリティを強化する手法。
  • ゼロトラスト：全てのアクセスを信頼せず、常に検証を行うセキュリティモデル。
  • Secure Access Service Edge (SASE)：ネットワークとセキュリティサービスを統合し、クラウド上で提供するアーキテクチャ。
  • ソフトウェア定義ネットワーク(SDN)：ネットワークの制御をソフトウェアで行うアプローチ。
• ID・アクセス管理
  • 多要素認証(MFA)：複数の認証要素を組み合わせて本人確認を行う方法。
  • シングルサインオン(SSO)：一度の認証で複数のシステムやサービスにアクセスできる仕組み。
  • フェデレーション：異なる組織間での認証情報の共有を可能にする仕組み。
  • Privileged Access Management (PAM)：特権アクセスの管理と監視を行うセキュリティ手法。
  • パスワードレス：パスワードを使用せずに認証を行う方法。
  • Cloud Access Security Broker (CASB)：クラウドサービスの利用を監視し、セキュリティポリシーを適用するソリューション。
• 暗号化
  • 公開鍵インフラストラクチャ(PKI)：公開鍵暗号方式を利用したセキュリティ基盤。
  • SSLインスペクション：SSL/TLSで暗号化されたトラフィックを解読・検査する技術。
• 機密データ保護
  • データ損失防止(DLP)：機密データの漏洩を防ぐための技術やポリシー。
  • 個人を特定できる情報(PII)：個人を識別可能な情報。
  • カード会員のデータ(CHD: Cardholder Data)：クレジットカードの所有者に関する情報。

1.2 与えられたシナリオに基づいて、潜在的な悪意あるアクティビティの指標を分析できる。

ネットワーク関連

• 帯域幅の消費
  ネットワークの帯域幅が通常よりも高く消費される現象。DDoS攻撃や大量のデータ転送などが原因となり、他の正当なトラフィックに影響を及ぼす可能性があります。

• ビーコン
  マルウェアが攻撃者のサーバーと定期的に通信を行うこと。これにより、攻撃者は感染したシステムの状態を確認し、指示を送ることが可能となります。

• 不規則なピアツーピア通信
  通常のネットワークパターンとは異なるピアツーピア通信の発生。マルウェアが他の感染デバイスと連携する際に使用されることがあります。

• ネットワーク上の不正デバイス
  許可されていないデバイスがネットワークに接続されている状態。これらのデバイスはセキュリティリスクをもたらす可能性があります。

• スキャン/スイープ
  攻撃者がネットワーク内の脆弱性を探すために、ポートスキャンやIPスイープを実行する行為。これにより、攻撃可能なサービスやデバイスを特定しようとします。

• 異常なトラフィックの急増
  通常のトラフィックパターンから大きく逸脱したトラフィックの増加。DDoS攻撃や大量のデータ転送が原因である可能性があります。

• 想定外のポートでのアクティビティ
  通常使用されないポートでの通信活動。マルウェアや攻撃者が検出を回避するために非標準ポートを使用することがあります。

ホスト関連

• プロセッサの消費
  CPU使用率が異常に高い状態。マルウェアやリソースを大量に消費するアプリケーションが原因である可能性があります。

• メモリの消費
  システムメモリの使用量が異常に高い状態。メモリリークや悪意のあるプロセスが原因となることがあります。

• ドライブ容量の消費
  ディスク容量が予期せず大量に使用される現象。ログの急増やマルウェアによる大量のファイル生成が考えられます。

• 未承認のソフトウェア
  許可されていないソフトウェアがインストールされている状態。これらはセキュリティリスクを引き起こす可能性があります。

• 悪意のあるプロセス
  マルウェアや不正な活動を行うプロセス。システムのパフォーマンス低下やデータ漏洩の原因となります。

• 未承認の変更
  システム設定やファイルが許可なく変更されること。攻撃者がバックドアを設置する際などに行われます。

• 未承認の特権
  ユーザーやプロセスが許可されていない権限を持つ状態。権限昇格攻撃の結果として発生することがあります。

• データ流出
  機密情報が外部に漏洩すること。内部不正や攻撃者によるデータ窃取が原因となります。

• OSプロセスの異常なビヘイビア
  通常とは異なる動作をするOSプロセス。マルウェア感染やシステムの不正利用が疑われます。

• ファイルシステムの変更または異常
  予期しないファイルの変更や異常なファイル構造の発生。マルウェアがファイルを改ざんする際に見られます。

• レジストリの変更または異常
  Windowsレジストリの不正な変更。マルウェアが持続性を持たせるためにレジストリを改変することがあります。

• 許可されていないスケジュールされたタスク
  未承認のタスクがスケジュールされている状態。攻撃者が定期的な悪意のある活動を行うために設定することがあります。

アプリケーション関連

• 異常なアクティビティ
  アプリケーションが通常とは異なる動作をすること。マルウェア感染や不正な設定変更が原因となる場合があります。

• 新規アカウントの導入
  許可なく新しいユーザーアカウントが作成されること。攻撃者が不正アクセスを維持するために行う場合があります。

• 想定されていない出力
  アプリケーションから予期しないデータやメッセージが出力されること。エラーや攻撃の兆候である可能性があります。

• 想定されていないアウトバウンド通信
  アプリケーションが予期しない外部通信を行うこと。データ漏洩やマルウェアの活動

1.3 与えられたシナリオに基づいて、適切なツールまたはテクニックを使用して悪意のあるアクティビティを判断できる。

ツール

• パケットキャプチャ

  • Wireshark：ネットワーク上のトラフィックを詳細に解析するためのツール。パケットの内容を視覚的に表示し、異常な通信や不正なデータの検出に役立ちます。
  • tcpdump：コマンドラインベースのパケットキャプチャツール。ネットワークインターフェースから直接データを取得し、フィルタリングや解析を行います。

• ログ分析/相関分析

  • セキュリティ情報とイベント管理（SIEM）：組織内のさまざまなログデータを一元的に収集・分析し、リアルタイムでの脅威検出やコンプライアンス監視を行うシステム。
  • Security Orchestration, Automation, and Response（SOAR）：セキュリティ運用を自動化し、インシデント対応の効率化を図るプラットフォーム。手動プロセスを減らし、迅速な対応を可能にします。

• エンドポイントセキュリティ

  • エンドポイントでの検知と対応（EDR）：エンドポイントデバイス上の脅威をリアルタイムで検出し、詳細な分析と対応を行うツール。マルウェアや不正アクセスの早期発見に寄与します。

• ドメインネームサービス（DNS）とインターネットプロトコル（IP）レピュテーション

  • WHOIS：ドメイン名の登録情報を照会するサービス。ドメインの所有者や登録日などを確認し、不審なドメインの特定に利用されます。
  • AbuseIPDB：悪意のあるIPアドレスのデータベース。特定のIPアドレスが過去に報告された悪意ある活動に関連しているかを確認できます。

• ファイル分析

  • Strings/文字列：バイナリファイル内の可読文字列を抽出するツール。マルウェアの解析や隠された情報の検出に使用されます。
  • VirusTotal：ファイルやURLを複数のアンチウイルスエンジンでスキャンし、マルウェアの検出や分析を行うオンラインサービス。

• サンドボックス

  • Joe Sandbox：疑わしいファイルやURLを安全な仮想環境で実行し、その挙動を詳細に分析するプラットフォーム。
  • Cuckoo Sandbox：オープンソースの自動マルウェア解析システム。マルウェアの動作や影響を仮想環境内で観察・記録します。

一般的な技術

• パターン照合

  • 既知の攻撃パターンやシグネチャとシステム内の活動を比較し、コマンド＆コントロール（C&C）サーバーとの通信などの不正行為を検出します。

• 疑わしいコマンドの検証

  • システム上で実行されるコマンドを監視し、通常とは異なる、または許可されていないコマンドの実行を特定します。

• 電子メール分析

  • ヘッダー解析：メールの送信元や経路情報を確認し、スプーフィングやフィッシングの兆候を検出します。
  • 偽装検出：送信者情報の偽装や不正なリダイレクトを識別します。
  • DKIM（DomainKeys Identified Mail）：メールの送信元ドメインの真正性を確認するための電子署名技術。
  • DMARC（Domain-based Message Authentication, Reporting, and Conformance）：SPFやDKIMを活用し、メールの認証とポリシー適用を行う仕組み。
  • SPF（Sender Policy Framework）：送信元IPアドレスが許可されたものであるかを検証し、なりすましを防止します。
  • 組み込みリンクの検査：メール内のリンク先URLを解析し、フィッシングサイトやマルウェア配布サイトへの誘導を検出します。

• ファイル分析

  • ハッシュ化：ファイルのハッシュ値を計算し、既知のマルウェアや改ざんの検出に利用します。

• ユーザー行動分析

  • 異常なアカウントアクティビティ：通常の行動パターンから逸脱したユーザーの操作を検出します。
  • あり得ない移動（Impossible Travel）：短時間で地理的に離れた場所からのログインを検出し、不正アクセスの可能性を評価します。

プログラミング言語/スクリプティング

• Extensible Markup Language (XML)

  • データの構造化と共有のためのマークアップ言語です。セキュリティの観点では、XMLを解析する際の脆弱性（例：XML外部実体参照攻撃（XXE））に注意が必要です。

• Python

  • 広く利用されている高水準プログラミング言語で、セキュリティツールの開発や自動化スクリプトの作成に適しています。豊富なライブラリとシンプルな構文が特徴です。

• PowerShell

  • Windows環境でのタスク自動化や構成管理を行うためのスクリプト言語です。システム管理者によく使用されますが、攻撃者もPowerShellを悪用してシステムに侵入するケースがあるため、適切な監視と制御が重要です。

• シェルスクリプト

  • Unix/Linux環境でのタスク自動化やシステム管理を行うためのスクリプトです。bashやshなどのシェルを用いて記述され、日常的な管理作業の効率化に寄与します。

• 正規表現

  • 文字列のパターンマッチングを行うための表現方法です。ログ解析やデータ抽出、入力検証など、さまざまな場面で利用されます。ただし、複雑な正規表現はパフォーマンスや可読性に影響を与える可能性があるため、適切な設計が求められます。

1.4 脅威インテリジェンスと脅威ハンティングの概念を比較対照できる。

脅威アクター（Threat Actor）

• 高度標的型攻撃（APT: Advanced Persistent Threat）：特定の組織や個人を長期間にわたり標的とする高度なサイバー攻撃。国家や高度な技術を持つ組織が関与することが多い。

• ハクティビスト（Hacktivist）：政治的・社会的な主張を目的としてハッキング活動を行う個人や集団。

• 組織犯罪（Organized Crime）：金銭的利益を目的とした犯罪組織によるサイバー攻撃。

• 国家（Nation-State）：国家の利益や戦略的目的のために行われるサイバー攻撃。

• スクリプトキディ（Script Kiddie）：既存のハッキングツールやスクリプトを使用して攻撃を行う初心者的ハッカー。

• インサイダーの脅威（Insider Threat）：組織内部の関係者（従業員など）による意図的または意図しないセキュリティ脅威。

• サプライチェーン（Supply Chain）：供給網における脆弱性を狙った攻撃。

戦術、技術、手順（TTP: Tactics, Techniques, and Procedures）：攻撃者が使用する手法や行動パターンの総称。

信頼水準（Confidence Level）

• 適時性（Timeliness）：情報がどれだけ迅速に提供されるか。

• 関連性（Relevance）：情報が特定の状況や脅威にどれだけ関連しているか。

• 正確性（Accuracy）：情報の正確性や信頼性。

収集手段と情報源

• オープンソース（Open Source）：公開されている情報源からの情報収集。

  • ソーシャルメディア：TwitterやFacebookなどのSNS。

  • ブログ/フォーラム：専門家のブログやディスカッションフォーラム。

  • 政府広報：政府機関からの公式発表や警告。

  • CERT/CSIRT：コンピュータ緊急対応チームからの情報。

  • ディープ/ダークウェブ：通常の検索エンジンではアクセスできないウェブ領域。

• クローズドソース（Closed Source）：限定された情報源からの情報収集。

  • 有料フィード：有料で提供される脅威インテリジェンス情報。

  • 情報共有組織（Information Sharing Organizations）：特定の業界や団体内での情報共有。

  • 内部ソース：組織内部のログや監視データ。

脅威インテリジェンス共有

• インシデントレスポンス：セキュリティインシデントへの対応。

• 脆弱性管理：システムやネットワークの脆弱性を特定し、対策を講じるプロセス。

• リスク管理：組織が直面するリスクを評価し、適切に対処するプロセス。

• セキュリティエンジニアリング：セキュリティ要件を満たすシステムやプロセスの設計・構築。

• 検出とモニタリング：脅威や異常な活動を検出し、監視するプロセス。

脅威ハンティング（Threat Hunting）

• 侵害の指標（IoC: Indicators of Compromise）：システムやネットワークが侵害されたことを示す証拠。

  • 収集：IoCの収集プロセス。

  • 分析：収集したIoCの分析。

  • 適用：分析結果の適用。

• 重点分野

  • 構成/構成ミス：システムやネットワークの設定ミス。

  • 隔離されたネットワーク：他のネットワークから分離されたネットワーク。

  • ビジネスクリティカルなアセットとプロセス：ビジネスに重要な資産やプロセス。

• アクティブな防御（Active Defense）：攻撃者に対して積極的に対抗する防御戦略。

• ハニーポット（Honeypot）：攻撃者を誘引するための偽のシステムやサービス。

1.5 セキュリティオペレーションにおける効率化とプロセス改善の重要性を説明できる。

標準化プロセス

自動化に適したタスクの特定: 反復的で人手を必要としないタスクを見極め、自動化の候補とすること。これにより、手作業のミスを減らし、効率を向上させます。​

自動化を管理・促進するためのチーム連携: 自動化プロセスを効果的に導入・運用するために、関連するチーム間での協力とコミュニケーションを強化すること。​

オペレーションの効率化

自動化とオーケストレーション: セキュリティ業務において、手動で行われていたプロセスを自動化し、さらに複数の自動化されたタスクやツールを連携させて一連のワークフローを構築すること。これにより、インシデント対応の迅速化やリソースの最適化が可能となります。​

• Security Orchestration, Automation, and Response (SOAR): セキュリティ運用における自動化とオーケストレーションを実現するためのプラットフォームやツール群。インシデントの検出から対応までのプロセスを自動化し、効率的なセキュリティ運用を支援します。

技術とツールの統合

セキュリティオペレーションにおいて、複数の技術やツールを効果的に統合することは、運用効率の向上と迅速な意思決定に不可欠です。異なるシステムやアプリケーションからのデータを一元的に管理・分析することで、全体的な可視性が向上し、潜在的な脅威の早期検出や対応が可能となります。これにより、手動によるプロセスを削減し、人的ミスのリスクを低減することができます。

Single Pane of Glass（SPOG）

Single Pane of Glass（SPOG）とは、複数のシステムやデータソースからの情報を一つの統合されたダッシュボードやプラットフォームで表示・管理する概念を指します。これにより、ユーザーは異なるツールやインターフェースを切り替えることなく、必要な情報を一元的に把握できます。SPOGの主な特徴と利点は以下の通りです：

• 統合された可視性：組織全体のデータやシステムのメトリクスを一箇所で確認でき、迅速な意思決定をサポートします。

• リアルタイムのインサイト：最新のデータを基にシステムのパフォーマンスやセキュリティ状況を監視し、問題の早期発見と対応が可能となります。

• カスタマイズ可能なダッシュボード：ユーザーの役割やニーズに応じて、表示する情報やレイアウトを調整でき、効率的な運用が実現します。

脅威インテリジェンスデータのオーケストレーション

データエンリッチメント:
データエンリッチメントとは、既存の脅威インテリジェンスデータに追加の情報を付加し、その価値や有用性を高めるプロセスを指します。例えば、検出されたIPアドレスに対して、その地理的位置や関連する既知の脅威情報を付加することで、セキュリティアナリストが迅速かつ的確な判断を下せるよう支援します。

脅威フィードの組み合わせ:
脅威フィードの組み合わせとは、複数の脅威インテリジェンスソースからのデータを統合し、一元的に管理・分析することを指します。これにより、異なるソースからの情報を相互参照し、より包括的な脅威状況の把握が可能となります。例えば、オープンソースの脅威フィードと商用の脅威フィードを組み合わせることで、検出精度の向上や誤検知の低減が期待できます。

人的関与の最小化:
人的関与の最小化とは、セキュリティ運用における手作業を減らし、自動化やオーケストレーションを活用して効率化を図ることを指します。これにより、人的ミスの削減、対応速度の向上、リソースの最適化が実現されます。例えば、インシデント検出から初動対応までのプロセスを自動化することで、セキュリティチームの負担を軽減し、迅速な対応が可能となります。

アプリケーションプログラミングインターフェース(API)

Webhooks:
Webhooksとは、特定のイベントが発生した際に、事前に指定されたURLへHTTPリクエストを自動的に送信する仕組みです。これにより、異なるアプリケーション間でリアルタイムなデータ連携や通知が可能となります。例えば、GitHubでコードがプッシュされた際に、CI/CDツールが自動的にビルドプロセスを開始する、といった連携が実現できます。

プラグイン:
プラグインとは、既存のソフトウェアに新たな機能を追加するための拡張モジュールやコンポーネントを指します。プラグインを利用することで、基盤となるアプリケーションのコードを変更することなく、必要な機能を柔軟に追加・カスタマイズできます。例えば、ウェブブラウザに広告ブロッカーやパスワードマネージャーの機能を追加するプラグインが挙げられます。

これらの概念を理解し適切に活用することで、セキュリティオペレーションの効率化やシステム間の連携強化が実現可能となります。

2.1 与えられたシナリオに基づいて、脆弱性スキャンの方法と概念を実装できる。

■ アセットディスカバリー（資産発見）

• マップスキャン：ネットワークに接続されているホストやポートを識別するスキャン手法。例：nmap。
• デバイスフィンガープリンティング：OSやサービスのバージョン、種類を識別する技術。

■ 特別な考慮事項

• スケジュール：スキャンを定期的に行う時間帯（業務時間外が望ましいなど）。
• オペレーション：業務への影響を考慮してスキャン方法を選択すること。
• パフォーマンス：スキャンによるネットワークやシステムへの負荷を最小限に抑える。
• 機密性レベル：機密情報を扱うシステムは、より慎重にスキャンする必要がある。
• セグメンテーション：ネットワークが分割されている場合、各セグメントごとにスキャン対象や方法を調整。
• 規制要件：PCI DSSやISOなどのガイドラインに準拠する必要がある。

■ 内部スキャンと外部スキャン

• 内部スキャン：社内ネットワークから実施。実際のユーザと同様の視点。
• 外部スキャン：外部からの攻撃者の視点でスキャン。

■ エージェント型とエージェントレス型

• エージェント型：対象端末に小さなソフトウェア（エージェント）をインストール。
• エージェントレス型：外部からネットワーク経由でスキャン。

■ クレデンシャルとノンクレデンシャル

• クレデンシャル：管理者権限などを使って詳細情報を取得。
• ノンクレデンシャル：ログインせず、外部から見える情報だけ取得。

■ パッシブとアクティブ

• パッシブ：通信の監視だけを行い、トラフィックを生成しない。
• アクティブ：ポートスキャンなど、実際にトラフィックを送信して情報収集。

■ 静的と動的

• リバースエンジニアリング：バイナリファイルやコードを解析し、動作を理解。
• ファジング：意図的に異常なデータを送信し、システムの挙動を観察。

■ 重要なインフラストラクチャ

• OT（オペレーショナルテクノロジー）：工場や制御システムに関わる技術。
• ICS（産業用制御システム）：産業設備の管理に使われる制御ネットワーク。
• SCADA：遠隔制御・監視用のシステム。OT/ICSの一部。

■ セキュリティベースラインスキャン

• システムやネットワークの望ましいセキュリティ設定と実際の設定を比較するスキャン。

■ 業界のフレームワーク

• PCI DSS：クレジットカード業界のセキュリティ標準。
• CIS Benchmarks：安全な設定に関するガイドライン。
• OWASP：Webアプリの脆弱性に関するベストプラクティス（例：OWASP Top 10）。
• ISO 27000シリーズ：情報セキュリティマネジメントの国際標準。

2.2 与えられたシナリオに基づいて、脆弱性評価ツールからの出力を分析できる。

🔍 ツール分類別の解説

✅ ネットワークスキャンとマッピング

🌐 Webアプリケーションスキャナー

🛡️ 脆弱性スキャナー

🐞 デバッガ

🧰 多目的ツール

☁ クラウドインフラストラクチャアセスメントツール

2.3 与えられたシナリオに基づいて、データを分析して脆弱性の優先順位付けができる。

🔹 共通脆弱性スコアリングシステム（CVSS）の解釈

CVSS（Common Vulnerability Scoring System）は、脆弱性の深刻度を定量的に評価するための標準的なスコアリングシステムです。
NVD（National Vulnerability Database）などで使われており、0.0 ～ 10.0 のスコアで表示されます。

📊 CVSSの構成

CVSSは以下の3つの指標（メトリクスグループ）で構成されています：

✅ CVSSスコアの読み方（例）

以下は CVSS 3.1 のスコア例です：

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

この表記は「ベクトル文字列」と呼ばれ、個々の要素で脆弱性の深刻度を構成します。1つずつ分解します：

✅ スコアの解釈（CVSS v3.1）

🔧 実際の確認方法

CVSSスコアは以下のようなサイトで確認可能

• NVD（National Vulnerability Database）
• FIRST CVSS Calculator

📘 CVSS v3.1 基本評価基準（Base Metrics）

1. Attack Vector（AV）- 攻撃元区分

2. Attack Complexity（AC）- 攻撃の複雑さ

3. Privileges Required（PR）- 必要な権限

4. User Interaction（UI）- ユーザーの関与

5. Scope（S）- スコープ

6. Confidentiality（C）- 機密性への影響

7. Integrity（I）- 完全性への影響

8. Availability（A）- 可用性への影響

🧩 例：CVSSベクトルの読み方

例: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L

• AV:N → ネットワーク経由で攻撃可能
• AC:L → 攻撃の複雑さは低い
• PR:N → 権限不要
• UI:R → ユーザーの操作が必要
• S:U → スコープに変更なし
• C:H → 機密性に重大な影響
• I:H → 完全性に重大な影響
• A:L → 可用性に中程度の影響

🔹 影響（Impacts）

CVSSでは、脆弱性がシステムにもたらす影響も評価します。

• 機密性（Confidentiality）：データの漏洩や閲覧可能性。
• 完全性（Integrity）：データやシステムが改ざんされるリスク。
• 可用性（Availability）：サービス停止やパフォーマンス低下の可能性。

🔹 検証（Validation）

• True/False Positives（真陽性／偽陽性）：
  • 真陽性：実際に存在する脆弱性を正しく検出。
  • 偽陽性：実際には問題がないのに脆弱性と誤検出。
• True/False Negatives（真陰性／偽陰性）：
  • 真陰性：問題のない状態を正しく無視。
  • 偽陰性：実際には存在する脆弱性を見逃す。

🔹 コンテキストアウェアネス（Context Awareness）

脆弱性のリスク評価にはその環境（コンテキスト）も重要です。

• 内部：社内ネットワークなど信頼された環境。
• 外部：インターネットに公開されているサービスなど。
• 隔離：他システムから物理・論理的に分離された領域。

🔹 悪用可能性／武器化（Exploitability / Weaponization）

• 脆弱性が攻撃に利用される可能性。攻撃コードの入手可否や普及度合いも考慮。

🔹 資産価値（Asset Value）

• 対象システムやデータの価値。機密性が高ければリスクも高い。

🔹 ゼロデイ（Zero-Day）

• ベンダーがまだ対処していない（パッチが存在しない）新たな脆弱性。検出と対応が困難。

2.4 与えられたシナリオに基づいて、攻撃とソフトウェアの脆弱性を低減するためのコントロールを推奨することができる。

🔸 クロスサイトスクリプティング（XSS）

• 反射型（Reflected）: 悪意のあるスクリプトが一時的にURLなどに挿入され、即座に実行される。
• 永続的（Stored）: データベース等に悪意のあるスクリプトが保存され、後の利用者に実行される。

🔸 オーバーフロー脆弱性

• バッファオーバーフロー: メモリ領域に許容量以上のデータを書き込み、コード実行やクラッシュを誘発。
• 整数オーバーフロー: 整数の最大値を超える操作によって誤動作が起きる。
• ヒープオーバーフロー: 動的確保メモリ領域（ヒープ）への過剰な書き込み。
• スタックオーバーフロー: コールスタックへの過剰なデータによる処理の乗っ取り。

🔸 データポイズニング

• 学習済みのAI/MLモデルやデータベースに誤情報を混入させる攻撃。

🔸 アクセス制御の不備

• ユーザーのアクセス制限が適切に設定されていない。例：認証後のユーザーによる水平/垂直権限昇格。

🔸 暗号化の失敗

• セキュアでない暗号化方式の利用、鍵管理ミス、暗号化漏れなど。

🔸 インジェクションフロー

• SQLインジェクションやOSコマンドインジェクションなど、外部からの入力が処理フローに注入される。

🔸 クロスサイトリクエストフォージェリ（CSRF）

• ユーザーがログイン中のセッションを悪用して不正操作を実行。

🔸 ディレクトリトラバーサル

• 上位ディレクトリへのパスを操作し、機密ファイルにアクセスする攻撃。

🔸 セキュアでない設計

• 初期段階の設計からセキュリティ要件が考慮されていないシステム。

🔸 セキュリティの構成ミス

• 誤ったファイアウォール設定、未使用サービスの有効化、デフォルト設定の放置など。

🔸 エンドオブライフまたは古いコンポーネント

• サポート終了済みのソフトウェア・ミドルウェア・ライブラリなどを使用している状態。

🔸 識別と認証の失敗

• パスワードの強度不足、認証なしAPI、認証バイパスなど。

🔸 サーバーサイドリクエストフォージェリ（SSRF）

• サーバーが外部リソースへのリクエストをユーザー入力から実行してしまう攻撃。

🔸 リモートコード実行（RCE）

• 攻撃者が遠隔から任意のコードを実行できてしまう深刻な脆弱性。

🔸 特権エスカレーション

• 通常ユーザーが管理者権限を取得するなど、許可されていない権限に昇格する行為。

🔸 ローカルファイルインクルード（LFI）/ リモートファイルインクルード（RFI）

• LFI: ローカルファイルを読み込み、情報漏洩やコード実行を引き起こす。
• RFI: リモートにあるスクリプトを読み込んで実行する。外部からコードを注入可能。

2.5 脆弱性への対応、取り扱い、管理に関連する概念を説明できる。

🔹 補正コントロール（Compensating Control）

• 本来のセキュリティコントロールが導入できない場合に、代替手段としてリスクを軽減する制御。

🔹 コントロールのタイプ

🔹 パッチと構成の管理

🔹 リスク管理の原則

🔹 ポリシー、ガバナンス、サービスレベル目標（SLO）

• ポリシー：組織の方針。
• ガバナンス：方針を守る仕組み。
• SLO（Service Level Objective）：サービス品質の目標指標（可用性・応答時間など）。

🔹 優先順位とエスカレーション

• 問題の深刻度に応じて、優先順位を設定し、必要に応じて上位部門に引き継ぐプロセス。

🔹 攻撃対象領域管理

🔹 セキュアコーディングのベストプラクティス

🔹 セキュアソフトウェア開発ライフサイクル（SDLC）

• 要件定義 → 設計 → 実装 → テスト → デプロイ → 保守の各段階でセキュリティを考慮する手法。

🔹 脅威のモデリング（Threat Modeling）

• 攻撃者の視点から資産・脅威・脆弱性を洗い出し、防御策を設計する分析手法（例：STRIDE, DREADなど）。

3.1 攻撃手法のフレームワークに関連する概念を説明できる。

🔹 サイバーキルチェーン（Cyber Kill Chain）

• 攻撃者がサイバー攻撃を実行する際の典型的なステップをモデル化したフレームワーク。
• Lockheed Martin社が開発。

7つのステップ：

1. 偵察（Reconnaissance） – 標的に関する情報収集
2. 武器化（Weaponization） – 攻撃に使用するマルウェアの準備
3. 配送（Delivery） – メール添付やリンクなどで標的にマルウェアを送る
4. エクスプロイト（Exploitation） – 脆弱性を突いて攻撃を開始
5. インストール（Installation） – バックドアなどをインストール
6. C2（Command and Control） – 外部の攻撃者が操作
7. 目標達成（Actions on Objectives） – 情報の窃取、破壊など目的達成

🔹 侵入分析のダイヤモンドモデル（Diamond Model of Intrusion Analysis）

• サイバー攻撃を4つの要素（攻撃者、能力、インフラ、被害者）で分析するモデル。

主な構成要素：

1. Adversary（攻撃者）
2. Infrastructure（攻撃で使う道具や手法）
3. Capability（能力）
4. Victim（標的）

→ これらの関連性を分析し、攻撃の全体像や関連性を明らかにする。

🔹 MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）

• 現実の攻撃者が使う戦術・技術を体系化した知識ベース。
• 攻撃のライフサイクルを**14の戦術（Tactics）と、それに紐づく技術（Techniques）**で分類。

例：

• Initial Access（初期アクセス）
• Persistence（永続化）
• Privilege Escalation（権限昇格） など

→ セキュリティ分析、脅威ハンティング、対策の優先順位付けに活用される。

🔹 OSS TMM（Open Source Security Testing Methodology Manual）

• セキュリティテストの標準手法と手順を提供するドキュメント。
• 目的：オープンで一貫性のある、再現可能なセキュリティテストの提供。

特徴：

• テスト対象の明確化
• 倫理的ガイドラインの明示
• 実施手順とレポートの標準化

→ ホワイトハットテストや監査などで利用される。

🔹 OWASPテスティングガイド（OWASP Testing Guide）

• OWASP（Open Web Application Security Project）が提供するWebアプリケーションのセキュリティテストガイド。

代表的な内容：

• 認証やセッション管理の確認
• SQLインジェクション、XSSなどの脆弱性チェック
• セキュアなコーディング実践の確認

→ Webアプリの開発・運用における脆弱性診断のベースライン。

3.2 与えられたシナリオに基づいて、インシデントレスポンスアクティビティを実行できる。

🔍 検知と分析

● IoC（Indicator of Compromise）

• 侵害の痕跡を示すもの。
• 例：マルウェアのハッシュ、C2通信先のIPアドレス、不審なログインなど。

→ これを使って「攻撃があった証拠」を特定・分析する。

● 証拠の取得

インシデント対応では証拠の収集・保全が超重要です。

・証拠の連鎖（Chain of Custody）

• 証拠の扱いに関する記録の完全な履歴。
• 誰が、いつ、どのように触れたかを記録。

→ 訴訟や法的証拠として使えるようにするために必須。

・データの完全性検証

• 証拠が改ざんされていないことを確認するため、**ハッシュ値（SHA-256など）**を使ってチェック。

・保全

• オリジナルデータに手を加えず、複製をとって解析するのが基本ルール。

・訴訟ホールド（Litigation Hold）

• 訴訟が予期される際、証拠となり得るデータの削除や変更を防ぐために保持命令を出す処置。

● データとログ解析

• ファイアウォール、EDR、Webサーバなどのログから攻撃の痕跡を探す。
• 時系列でアクセスや異常動作を確認し、攻撃の全体像を把握するのが目的。

🔒 封じ込め、根絶、および復旧

● 範囲（Scope）

• どの範囲まで影響が及んでいるかを特定する作業。
  → 例：被害を受けたシステム数、ネットワークセグメントなど。

● 影響（Impact）

• 具体的にどんな被害があったかを評価する。
  → 例：データ漏洩、ダウンタイム、法的影響など。

● 隔離（Isolation）

• 感染システムをネットワークから遮断して拡大を防ぐ処置。
  → EDRを使ったリモート隔離など。

● 改善（Remediation）

• 攻撃の原因を取り除くための対応。
  → 例：脆弱性パッチ適用、不正ユーザー削除、悪意のあるファイル削除など。

● イメージの再取得

• 感染前に戻すために、**ゴールドイメージ（クリーンなバックアップ）**から再構築する作業。
  → ランサムウェア対策などで重要。

● 補正コントロール（Corrective Controls）

• 再発防止のために導入されるコントロール。
  → 例：多要素認証（MFA）、WAFの導入、ネットワークセグメンテーションなど。

🧠 補足：インシデントレスポンスのフェーズ（NIST CSF準拠）

1. 準備（Preparation）
2. 検知と分析（Detection and Analysis）
3. 封じ込め・根絶・復旧（Containment, Eradication, and Recovery）
4. 教訓の共有（Lessons Learned）

3.3インシデント管理ライフサイクルの準備段階とインシデント後のアクティビティ段階を説明できる。

🔧【準備段階（Preparation Phase）】

インシデントが起きる「前」に行う重要な準備です。

● インシデントレスポンスプラン（IRP）

• インシデントが起きたときに誰が何をするかをあらかじめ定めた計画書。
• 役割、連絡体制、フロー図、報告書テンプレートなどが含まれる。

● ツール

• インシデント対応で使用するソフトウェアやハードウェア。
• 例：
  • SIEM（ログ集約と相関分析）
  • パケットキャプチャツール（Wiresharkなど）
  • EDR（検知と隔離）

● プレイブック（Playbook）

• インシデントの種類別に詳細な対応手順をまとめた手引書。
• 例：マルウェア感染用、DDoS攻撃用、内部不正用など

● 机上演習（Tabletop Exercise）

• 実際にシステムを動かさず、想定シナリオに基づく疑似対応演習。
• 関係者が集まり、対応フローを確認しながらシミュレーションする。

● トレーニング

• 実務者（SOCアナリストなど）のスキル強化のための訓練。
• 新人教育や継続的教育に含まれる。

● 事業継続性（BC）／災害復旧（DR）

• BC（Business Continuity）：インシデント発生後も業務を継続する計画。
• DR（Disaster Recovery）：ITシステムを復旧する計画。
  • 例：バックアップからの復元、DRサイトへの切替え

🛠【インシデント後のアクティビティ（Post-Incident Phase）】

インシデント発生後に行う振り返り・分析フェーズです。

● フォレンジック分析（Forensic Analysis）

• 証拠保全しながら詳細に技術的調査を行うプロセス。
• 目的：攻撃経路、感染元、攻撃者の手法などを特定する。
• ハッシュ検証、ログ解析、マルウェア分析などが含まれる。

● 根本原因分析（Root Cause Analysis）

• なぜそのインシデントが起きたのかを技術的・組織的に深掘りする分析。
• 表面的な原因ではなく、真の原因を追求することで再発防止につなげる。

● 教訓（Lessons Learned）

• インシデント対応を通じて得た気付き・反省点をまとめて今後に活かす活動。
• 例：
  • 手順が不十分だった → プレイブック更新
  • 検知が遅れた → SIEMルール改善
  • 関係者の連携不足 → 連絡フロー見直し

🔁 まとめ：インシデント管理ライフサイクル（NIST SP 800-61ベース）

1. 準備（Preparation）
2. 検知と分析（Detection & Analysis）
3. 封じ込め、根絶、復旧（Containment, Eradication, Recovery）
4. インシデント後のアクティビティ（Post-Incident Activity）

4.1 脆弱性管理の報告とコミュニケーションの重要性

脆弱性管理の報告

脆弱性

システム、アプリケーション、またはネットワークに存在する弱点や欠陥で、攻撃者に悪用される可能性があるもの。脆弱性は適切に特定、評価、対処されなければ、セキュリティインシデントの原因となる。

影響を受けたホスト

脆弱性が確認されたサーバー、ワークステーション、IoTデバイスなどのネットワーク接続機器。影響を受けたホストのリストは、脆弱性の範囲と潜在的なリスクを評価する上で重要。

リスクスコア

脆弱性の重大度を数値化したもの。通常、CVSS（共通脆弱性評価システム）などの標準的な評価基準に基づいて計算され、リスクの優先順位付けに使用される。

低減

脆弱性による潜在的な影響を軽減するために実施される対策。パッチ適用、設定変更、または代替コントロールの実装などが含まれる。

再発

一度解決した脆弱性が再び発生すること。再発は、根本的な原因が解決されていない、または修正プロセスが効果的でないことを示す可能性がある。

優先順位

限られたリソースを効率的に使用するために、脆弱性の修正に優先順位を付けるプロセス。通常、リスクスコア、業務への影響、潜在的な被害などの要素に基づいて決定される。

コンプライアンスレポート

組織が業界標準や規制要件に準拠しているかを示すレポート。脆弱性管理活動がコンプライアンス要件を満たしていることを証明するために使用される。

アクションプラン

特定された脆弱性に対処するための詳細な計画。担当者、タイムライン、具体的な対策などが含まれる。

構成管理

ITインフラストラクチャの設定変更を管理するプロセス。脆弱性が発生しないように、設定の標準化と制御を維持する。

パッチ適用

ソフトウェアやシステムの脆弱性を修正するためのアップデートを適用するプロセス。効果的なパッチ管理は脆弱性リスクを大幅に軽減する。

補正コントロール

脆弱性を直接修正できない場合に実装される代替セキュリティ対策。一時的または永続的に脆弱性の悪用を防止または軽減する。

意識向上、教育、トレーニング

セキュリティに関する従業員の意識を高め、スキルを向上させるための活動。脆弱性管理の文化を組織全体に浸透させるために重要。

ビジネス要件の変化

組織の業務要件の変更が脆弱性管理プロセスに与える影響。新しいシステム、アプリケーション、またはサービスの導入に伴い、新たな脆弱性が発生する可能性がある。

改善の阻害要因

覚書(MOU)

組織間の合意や理解を文書化したもの。脆弱性管理に関する責任と期待事項を明確にするが、法的拘束力はない場合が多い。

サービスレベル合意書(SLA)

サービスプロバイダーと顧客間の契約で、サービスの品質や対応時間などが明記される。脆弱性の修正に関する時間枠やプロセスを定義することができる。

組織的ガバナンス

脆弱性管理を含むセキュリティ活動を管理・統制するための組織構造、ポリシー、プロセス。効果的なガバナンスが欠如していると、脆弱性管理が効率的に機能しない。

ビジネスプロセスの中断

脆弱性修正のためのシステム停止やパッチ適用が業務に与える影響。対応計画の策定には、ビジネス影響を最小化する配慮が必要。

機能の低下

セキュリティ対策の実装により、システムのパフォーマンスや機能が一時的または永続的に低下する可能性。

レガシーシステム

古いシステムや更新が終了したシステムで、サポートが限られ、パッチが利用できない場合がある。これらのシステムは特に脆弱性リスクが高い。

プロプライエタリシステム

独自仕様のシステムで、ベンダーによる修正が必要となり、組織が直接対応できない場合がある。

測定基準と重要業績評価指標(KPI)

傾向

脆弱性の発見数、修正時間、再発率などの経時的な変化。これらのトレンドは脆弱性管理プロセスの有効性を示す。

トップ10

最も重大な、または最も一般的な脆弱性のリスト。限られたリソースを効果的に使用するための優先順位付けに役立つ。

重大な脆弱性とゼロデイ

即時の対応が必要な極めて重大な脆弱性。ゼロデイ脆弱性は、パッチや対策が利用可能になる前に悪用される可能性がある。

SLO (Service Level Objective)

サービスの品質目標で、例えば「重大な脆弱性は24時間以内に対応する」などの目標を設定する。SLAの基礎となるもの。

ステークホルダーの識別とコミュニケーション

脆弱性管理プロセスに関わる全ての利害関係者を特定し、適切なコミュニケーション戦略を開発すること。効果的なコミュニケーションには、技術的なチーム、経営陣、外部パートナーなどが含まれ、各ステークホルダーに適した情報を提供する必要がある。

4.2 インシデントレスポンスの報告とコミュニケーションの重要性を説明できる。

ステークホルダーの識別とコミュニケーション

セキュリティインシデント発生時に情報を共有すべき利害関係者を特定し、適切なコミュニケーション計画を策定すること。ステークホルダーには、経営幹部、IT部門、法務部門、広報部門、顧客、規制当局などが含まれる。各ステークホルダーに対して、その役割と責任に応じた適切な情報を提供する必要がある。

インシデントの宣言とエスカレーション

インシデントの宣言

潜在的なセキュリティイベントを正式にインシデントとして分類し、インシデント対応プロセスを開始する決定。特定の基準（重大度レベルなど）に基づいて行われる。

エスカレーション

インシデントの重大度に応じて、より高いレベルの意思決定者や専門家に報告・対応を引き上げるプロセス。適切なタイミングでのエスカレーションは、効果的なインシデント対応に不可欠。

インシデントレスポンス報告

エグゼクティブサマリー

経営幹部向けに作成された簡潔な概要。技術的な詳細は最小限に抑え、ビジネスへの影響と対応の概要を中心に記載される。

誰が、何を、いつ、どこで、なぜ

インシデントの基本情報を明確に記録する「5W1H」アプローチ。関与した人物、何が起きたか、発生時期、場所、原因、および対応方法を文書化する。

推奨

インシデントから学んだ教訓に基づく改善提案。再発防止策や将来のセキュリティ体制強化のための具体的な推奨事項を含む。

タイムライン

インシデントの発見から解決までの重要なイベントを時系列で記録したもの。対応の効率性評価や将来のインシデント対応計画改善に役立つ。

影響

インシデントがビジネス運営、データ、システム、顧客、評判などに与えた影響の評価。財務的損失や業務中断などの定量的・定性的影響を含む。

範囲

インシデントの影響を受けたシステム、データ、ユーザー、地理的領域などの範囲。インシデントの全体像を把握するために重要。

証拠

インシデント調査中に収集されたデータやアーティファクト。ログファイル、ネットワークトラフィック記録、マルウェアサンプルなどが含まれ、法的手続きや内部調査に使用される。

コミュニケーション

法務

法的義務、規制要件、潜在的な法的影響に関するコミュニケーション。個人情報漏洩や規制違反が発生した場合に特に重要。

広報

メディアや一般向けのコミュニケーション戦略。企業の評判を守りながら透明性を維持するためのメッセージング。

顧客コミュニケーション

影響を受けた顧客への通知と対応。透明性があり、タイムリーで、有用な情報を提供することが重要。

メディア

報道機関とのコミュニケーション。一貫したメッセージングと、指定されたスポークスパーソンを通じた情報提供が必要。

規制報告

業界の規制当局に対する必要な報告。PCI DSS、HIPAA、GDPRなどの規制フレームワークに基づく報告要件を満たす。

法執行機関

犯罪行為が疑われる場合の警察や連邦捜査機関とのコミュニケーション。どのような情報をいつ共有すべきかの方針が必要。

根本原因分析

インシデントの根本的な原因を特定するための体系的な調査プロセス。表面的な症状だけでなく、根本的な脆弱性や問題を特定し、それに対処することで再発を防止する。

教訓

インシデント対応プロセスから学んだ教訓を文書化し、将来のセキュリティ態勢と対応能力を改善するために活用する取り組み。成功した戦略と改善が必要な領域の両方を評価する。

測定基準とKPI

平均検出時間

セキュリティイベントが発生してから検出されるまでの平均時間。検出能力の効率性を測定する指標。

平均応答時間

インシデントが検出されてから初期対応が開始されるまでの平均時間。インシデント対応体制の即応性を評価する。

平均修正時間

インシデントが検出されてから完全に解決されるまでの平均時間。対応プロセス全体の効率性を測定する。

アラートボリューム

セキュリティツールやシステムから生成されるアラートの量。偽陽性の割合と共に、監視システムの効果と調整の必要性を評価するのに役立つ。