セキュリティーフレームワークを列挙してみる
Masayoshi Tohna@おれさまラボMotivation
「(私のように)セキュリティを何から始めれば良いか分からない開発者の方へ」というセッションを視聴しました! | DevelopersIO を読んでいるときに、「世に溢れるセキュリティーのフレームワーク(溢れるといっても数は知れてるはず)を比較したら何か見えてくるんじゃないだろうか?」というお気持ちになったのでボチボチメモしていこうかなと思う。
Masayoshi Tohna@おれさまラボいくつかに分類できそう。それぞれ階層構造にもできそうだ。
- 目線:経営者目線、システム利用者目線、システム提供者・開発者・管理者目線、攻撃者目線、攻撃する側⇔守る側
- まとめ方:フレームワーク・分類、ガイドライン・方針・指針、サービス分類、攻撃分類、概念・原則、ベストプラクティス集、定義、手法、法律
- 目的:システムを作る、情シス的な管理(エンプラ)
Masayoshi Tohna@おれさまラボAWS によるセキュリティー分類
AWSのセキュリティーサービス群は以下のようにカテゴライズされている。
- IDとアクセス管理
- 発見的制御
- インフラ保護
- データ保護
- インシデント対応
- コンプライアンス
参考:「(私のように)セキュリティを何から始めれば良いか分からない開発者の方へ」というセッションを視聴しました! | DevelopersIO
Masayoshi Tohna@おれさまラボ情報セキュリティのCIA
言わずと知れた、有名なあれ。そもそもセキュリティってなんだよの定義。
- Confidentiality(機密性)
- Integrity(完全性)
- Avilability(可用性)
Masayoshi Tohna@おれさまラボSTRIDE
脅威モデリング手法のひとつで、Microsoftが提唱している。
- Spoofing(なりすまし)
- Tampering(改ざん)
- Requdiation(否認)
- Information Disclosure(情報漏洩)
- Denial of Service(サービス拒否)
- Elevation of Privilege(権限昇格)
Masayoshi Tohna@おれさまラボShift-Left
ソフトウェア開発のライフサイクルの早い段階からセキュリティに取り組むという考え方。
Masayoshi Tohna@おれさまラボNIST CSF
NIST サイバーセキュリティフレームワーク(CSF)。
セキュリティフレームワークと言ったらこれ、というくらい有名なやつ。
- コア(Core):組織の種類や規模を問わない共通のサイバーセキュリティ対策の一覧
- ティア(Tier):対策状況を数値化し、組織を評価する基準
- プロファイル(Profile):組織のサイバーセキュリティ対策の「as is (現在の姿)」と「to be (目指すべき姿)」をまとめたもの
コアは覚えておくと良い。
- 識別(Identify)
- 防御(Protect)
- 検知(Detect)
- 対応(Respond)
- 復旧(Recover)
Masayoshi Tohna@おれさまラボISMS(情報セキュリティマネジメントシステム)
いろんな会社がこの認証を取るために多大な労力と時間を浪費しているやつ。
Masayoshi Tohna@おれさまラボゼロトラストの原則
セキュリティの原則、概念。
侵害が発生することを前提(性悪説)とし、最小権限・明示的な検証などを原則とする。
Masayoshi Tohna@おれさまラボAzure 向けの Microsoft クラウド導入フレームワーク
Microsoft が Azure Cloud を使うにあたって公開しているベストプラクティス集。
参考:https://docs.microsoft.com/ja-jp/azure/cloud-adoption-framework/overview
Masayoshi Tohna@おれさまラボMITRE ATT&CK
攻撃側の視点から、攻撃の戦略や手法を分類した文書。
Masayoshi Tohna@おれさまラボサイバーキルチェーン(Cyber Kill Chain)
攻撃者の視点から目的達成までを7つのフェーズに分類したフレームワーク。
- 偵察
- 武器化
- デリバリー
- エクスプロイト
- インストール
- C&C
- 目的の実行
Masayoshi Tohna@おれさまラボサイバーセキュリティ経営ガイドライン
経済産業省と独立行政法人情報処理推進機構(IPA)が協力して作成した、経営者がリーダーシップを取ってサイバーセキュリティ対策を推進するためのガイドライン。
参考:https://www.meti.go.jp/policy/netsecurity/mng_guide.html
Masayoshi Tohna@おれさまラボNIST SP800シリーズ
SP800シリーズは、CSDが発行するコンピュータセキュリティ関係のレポートです。米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられた文書ですが、 内容的には、セキュリティマネジメント、リスクマネジメント、セキュリティ技術、セキュリティの対策状況を評価する指標、セキュリティ教育、インシデント対応など、セキュリティに関し、幅広く網羅しており、政府機関、民間企業を問わず、セキュリティ担当者にとって有益な文書です。
参考:https://www.ipa.go.jp/security/publications/nist/nist_publications.html#r2
Masayoshi Tohna@おれさまラボ情報セキュリティ5か条
IPAが公開している「やって当たり前」を示す指針。
参考:https://www.ipa.go.jp/security/security-action/download/5point_poster.pdf
Masayoshi Tohna@おれさまラボセキュアコーディング
堅牢なプログラムを書くための手法。
Masayoshi Tohna@おれさまラボBuilding Security in Maturity Model(BSIMM)
ソフトウェア・セキュリティ対策で実施されているアクティビティを定量化し、さまざまなソフトウェア・セキュリティのコミュニティが自身の対策を計画、実行、評価するための支援を行うことを目的とした文書らしい。
参考:https://www.bsimm.com/ja-jp/about.html
参考:https://www.synopsys.com/blogs/software-security/ja-jp/bsimm-software-security-activities/
Masayoshi Tohna@おれさまラボCISコントロール
「18のコントロール」と「153の具体的なセーフガード(保護手段)」が記載されたセキュリティ対策のガイドライン。
参考:https://www.lac.co.jp/lacwatch/people/20211025_002766.html
Masayoshi Tohna@おれさまラボCISベンチマーク
OSやミドルウエアの安全な設定に関するベストプラクティス集。
参考:https://www.lac.co.jp/lacwatch/people/20211025_002766.html
Masayoshi Tohna@おれさまラボHIPPA
HIPAA(Health Insurance Portability and Accountability Act)法。電子化した医療情報に関するプライバシー保護・セキュリティ確保について定めたアメリカの法律。
参考:https://www.digital-transformation-real.com/blog/what-is-hipaa-and-hitech.html
Masayoshi Tohna@おれさまラボHITECH
HITECH(Health Information Technology for Economic and Clinical Health Act)法。HIPAA法を拡張し違反に対する罰則を厳しくしたアメリカの法律。
参考:https://www.digital-transformation-real.com/blog/what-is-hipaa-and-hitech.html
Masayoshi Tohna@おれさまラボ日本の情報セキュリティ関連の法律
- 刑法
- サイバーセキュリティ基本法
- 著作権法
- 電気通信事業法
- 電子署名及び認証業務に関する法律
- 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律
- 電波法
- 特定電子メールの送信の適正化等に関する法律
- 不正アクセス行為の禁止等に関する法律
- 有線電気通信法
参考:https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/legal/index.html
Masayoshi Tohna@おれさまラボSOC
System and Organization Controls (SOC)
企業のデータを安全に管理するための監査手順。