📝

CISSPチャレンジセミナー受講メモ

2020/10/01に公開1件

CISSP

IT 勉強会

参加メモ

idea

published_at: 2018-10-23 23:02

10/23(火) 13:30 - 17:30 くらい
TKP新橋カンファレンスセンター

はじめに

少し考えたが公開しても話聞いてないと単語の羅列でしかないし
(ISC)2 のご迷惑にはならないであろうと思い。
「困ります」的なところがあれば削除等するのでお知らせいただければと。。

(ISC)2 と提供資格のご紹介

小熊慶一郎氏

ビデオ
- 準備はできていますか？
主な認定資格
- CISSP
- SSCP
- CCSP
  - 日本ではまだ 5 人くらい
  - 米英で多い
    - Cloud Fisrt 政策
    - 日本も、Cloud by default を進め始めている
資料について
- ドメインガイドブック
  - 受験時の手続き等も記載
- アンケート
  - よさげな回答を要請・・・
- CBKトレーニングの案内
  - 11月分はあと7枠
- News
  - (ISC)2 Night 11/16(金) 18:30 はじめ、隔月開催予定トノコト
CISSPの特徴
- CISSPとしての考え方
  - 業務のリスクを許容範囲内に抑える
    - 下げるのが目的ではない
    - 合理的に説明できるか
  - 組織の目標達成をサポートするセキュリティ
    - 例)ブレーキ
      - レースに勝つためのブレーキを考える -> CISSPの仕事
      - ブレーキマニアとは違う
- 米国国防総省のスキル定義に採用
(ISC)2 の活動
- 日本政府へのアプローチ
  - 内閣サイバーセキュリティセンター（NISC）
  - 入札条件としてのCISSP
    - 今後増えていく

CISSPならこう考える！CISOに必要な情報セキュリティの知識と考え方

主任講師　安田氏

13:30 - 14:40 講義#1

(30分遅れて開始)

サイバーセキュリティガイドライン Ver 2.0 より
- サイバーセキュリティ経営の三原則
- 担当幹部（CISO等）に指示すべき重要10項目
  - 経営者に気づかせる仕組みが必要
- CISOはどのようにリーダーシップをとるのか
  - IT活用について理解する
  - 内部と外部の情報に精通する
    - 実装の不備
    - 業務上の欠陥
裸の王様のCISO（情報システムの理解度）
- 客観的に見れているか
  - 財務の視点
  - 市場・顧客の視点
  - ビジネスプロセス視点
  - 学習と成長の視点
本セミナーの４つのテーマ
- 組織づくり
- リスクマネジメントの考え方と実践
- セキュリティガバナンスの考え方
- ガバナンスのためのIT活用
CISSPは「IT利用の禁止」をテーマにしない
情報セキュリティは何か
- 科学です
  - だれがやってもできるような管理策を考えていく必要がある
- 標準化も大事だが、強みを活かすことを考えるのがCISO
情報セキュリティ頭の体操その１：情報セキュリティ組織を作ることになったとする
- 情報セキュリティのライフサイクルを意識した組織づくりから始める
  - 必要な人数 -> アサインするではよくない
    - 役割を明確に -> アサイン
  - 職責や知る必要性に基づいた権限設定
    - Job Description がないと設定できない
- 情報セキュリティの意識向上
  - ベストプラクティス
  - セキュリティトレーニング
  - 報奨制度
    - 大抵の会社では「やっても何もならない」
      - モチベーション
- 情報セキュリティにおける責任
  - 指示と報告による組織づくりと責任の明確化
  - 最終責任は経営陣
- 経営幹部(CISO等)と実務者の役割と責任（ここ、Slackしててあまり聞いてなかった）
  - ドクロベエ
    - 絶対支配者
  - ドロンジョ
    - 美女のリーダー
  - ボヤッキー
    - 女子高生好きな発明家
  - トンズラー
    - 怪力男

14:50 - 16:00 講義#2

人的セキュリティ
- 雇用時のセキュリティ
  - どの役割に誰を適用するか
- 雇用中のセキュリティ
  - 最小特権
    - 権限を最小化
    - Default Deny
  - 知る必要性
    - 厳密に管理する必要がある
      - ネットワーク管理者といえど、顧客の承諾なくパケットキャプチャしていいってもんじゃない
  - ２人以上で作業
  - ジョブローテーション
    - お客さんと仲良くなって情報漏らしたりしないように（？そう言ったような気がしただけかも）
    - とはいえ、CISSPは「やったことない」部門へのローテーションを推奨しない
- 雇用終了時
情報セキュリティ計画
- 情報セキュリティの計画
  - ビジネスにおける必要性
  - セキュリティ要件の識別
  - 体系化された全体設計と全体最適化
- 情報セキュリティ要件
  - 機能要件
    - セキュリティ対策として実装すべき機能に関する要件を定義する
      - 認証
        
        ログ
  - 非機能要件
    - 信頼性
    - パフォーマンス
  - 保証要件
    - セキュリティ機能が期待通り機能しているという信頼を提供
- 参考となるフレームワーク
  - ISO/IEC 27000 シリーズ
    - 27001
    - 27002
  - COBIT
  - COSO
    - 内部統制
  - CSA STAR
    - クラウド
  - AICPA SSAE 16 SOC
    - サービスプロバイダの取り組みを監査する
- フレームワークを採用すると、測定可能になる
情報セキュリティ頭の体操その２：情報セキュリティ計画を作ることになったとする
- リスクマネジメントの方針
  - インシデントは全て対策する
    - アクシデントとインシデント
  - リスクの特定と低減
    - 事故の発生源の特定
    - リスクの受容
    - リスク受容レベルの設定
  - ビジネスの方針に従う
- リスクマネジメントフレームワーク
  - (資料が届いたら貼る)
    - (色の違いが何か、わからない)
    - 適正なリスク受容レベルを設定
リスク受容をしている状態
- すぐに気がつかないと危険な状態
  - リスク受容レベルを適正に決める必要がある
影響度と３つの指標
- 情報セキュリティの３つの項目と影響の関係
  - 可用性：情報が使えない時の影響
  - 完全性：情報が壊れてしまった時の影響
  - 機密性：情報が漏れてしまった時の影響
- 情報セキュリティはどこまでやればよいのか
  - 影響度とコストの関係を明確にする
  - 影響度を金額で洗わずことができなければコストの比較を行うことができない
情報セキュリティ対策の４つの方針
- リスク受容
  - リスクを受け入れ、インシデント発生時の影響を吸収する
    - 最も費用対効果が高い
- リスク低減
  - 適切な管理策を適用する
- リスク移転/リスク共有
  - 保険の加入
  - アウトソーシング
- リスク回避（経営判断）
  - リスクに対応できないため、使用または活動をやめる
脅威のモデル化
- 個別の脅威に対応するのではなく、モデル化された脅威への対応とすることが重要
  - 例えば、標的型メール攻撃は以下を複合した攻撃
    - なりすまし
    - マルウェアによる観戦
    - 不正アクセス
      - C国から、とか
    - 情報持ち出しや情報の削除・改ざん
  - 単体は、イベントにすぎない
  - 「流れ」を止めて、インシデントを止める
- 包括的なセキュリティ対策のために
対策選択における原則
- 費用対効果
- 説明責任
- 設計上の秘密の排除
- 監査の機能
  - ロギング
- 従業員による受け入れと容認
- 人間による介入と最小化
- フェイルセーフ
  - バックアップ・レストア
  - 元の状態に戻す手順の定義
- 管理と管理対象の独立性
  - 権利を分離・独立
- 適用の普遍化
リスクアセスメントの例
- 定量的リスクアセスメント
  - 金銭的価値に置き換える
  - 年間損失の計算
    - 単一損失予測（SLE）
    - 年次発生頻度（ARO）
    - 年次喪失予測（ALE）
    - SLE x ARO = ALE
- 定性的リスクアセスメント
  - シナリオ志向
    - 想定したリスクへの対応
    - ベースラインアプローチ
  - 資産の重要性をベースにすると失敗することがある
    - 資産の重要性は企業にとっての重要性であり（・・・資料出たら続き書く)
情報セキュリティ頭の体操その３：平時の・・・（くー、スライド流れた・・・資料出たら書く）
- 情報セキュリティガバナンス
  - 情報セキュリティが維持できているか
  - 情報セキュリティ管理策の状況把握
  - 現場からの意見の上がって来やすい組織づくり
    - 風通しの良い環境
- 監査とエビデンス
  - 監査できるルールかどうか
    - 禁止ルールはエビデンスが残せない
      - USB とか
        
        USBはこう使ってください -> 記録が残る
  - 情報セキュリティ管理策のエビデンス
- モニタリングとSIEM
  - 効果的なモニタリングのための仕組みづくり
  - Security Information and Event Monitoring
    - ハインリッヒの法則（1:29:300）・・・予兆・・・（・・・資料出たら書く）

16:10 - 17:20 講義#3

情報セキュリティ頭の体操その４：重要な情報を保護したい。一方で情報を積極的に活用したい。
- 最初にすべきことは何か
- どうすればこれらを両立できるか
情報分類の方針と手順
- 情報分類の方針
  - 目標
  - ベネフィット
  - 分類例
  - 情報区分
- 情報分類の手順
  - 範囲の決定
  - プロセス
    - 所有者
    - 分類からの除外
  - マーキングラベリング
  - 情報分類の保証
- カテゴリー化
  - 資産１つ１つを評価するのではなく、分類によって評価を行うためのプロセス
プライバシーの保護
- 個人は、自分の個人情報を管理できるべき
- ビッグデータなどの活用によるプライ（・・・資料出たら書く）
GDPRの通知義務の代償
- 起点（アラート）から 72 時間以内の通知義務
  - 莫大な違約金
法律や規則への動的リスク対応
- 監督先への通知
- データ保護オフィサーの設置
  - CSIRTに連絡すればよいのか？
データオーナー
- データオーナー
  - データに関する責任を持つ
    - データ保護
    - アクセス権の設定（ポリシーに基づく）
    - ライフサイクルを意識した管理
- 情報オーナー
  - その情報が組織のミッションに（・・・資料出たら書く）
データの残留性
- データがどこかに残っているかの確認
  - 何らかの方法で消去された物理的データの残留
  - PCやシステム上のデータの残留
  - 通信データの残留
  - 電子メールによる添付ファイルによる拡散したデータの残留
- メディアに応じた廃棄の仕方を考慮する
  - クリアリング（・・・資料出たら書く）
  - クラウド上では暗号化したデータの鍵を（・・・資料出たら書く）
データの暗号化
- 保存されたデータの暗号化
  - メディアに対する攻撃について検討する
  - 保存されているデータは適切に管理されているデータ以外にも存在する
- 通信中・移動中のデータの暗号化
  - リンク暗号化
  - エンドツーエンドの暗号化
プライバシーと個人情報
- 権利と義務
- 個人識別情報
- 国際的な対応
- （・・・資料出たら書く）
情報セキュリティ頭の体操その５：
インシデントレスポンス
- 目的
  - 問題の検出
  - 原因の特定
  - 損失の極小化
  - 問題の解決
  - 対応のそれぞれのステップで文書化することで、将来の参考にする
  - 問題に関する効果的かつ適切な伝達
- インシデントレスポンスのフェーズ
  - トリアージ
  - 封じ込め
  - 調査
  - 分析と追跡
  - 復旧
- 報告
  - メトリック
  - 外部開示
    - あらかじめ明確に決めておいて、淡々とやっていく
    - 有事の時は議論してる場合じゃない
調査の方針
- 目的
  - 影響の低減（最優先）
  - 原因の識別
  - バックアップの取得、できる限り短い時間で元に戻すこと
  - インシデントの再発防止
- 考慮事項
  - 組織のポリシーに従う
    - 機密性など
  - 法令や規則の適用
  - 適切な証拠の管理と扱い
- プロセス
  - 容疑者の識別
  - 目撃者の識別
  - システムの識別
  - 体制の識別
  - 捜査令状
- 着眼点
  - 所有権と保有の分析
  - 手段・機会・動機
    - MOM : means, opportunity, motive
分析と追跡
- 目的
  - 終息させるために十分な情報の取得
  - 将来起こらないようにする
  - 何に問題があるのかを特定する
- 記録の重要性
  - ログの動的な性質
  - 追跡プロセスのもとにする
  - 他のエンティティと関連させる（相関分析）
- レポートと文書化
  - 法令上の課題
  - 訴訟手続きのための準備
  - ポリシー、規則の遵守
コンピュータフォレンジック（・・・このページ、資料出たら書く）
- 目的
  - 潜在的証拠
  - 証拠と法システム
- フェーズ
  - 証拠の識別
  - 証拠の収集
  - （・・・資料出たら書く）
- 管理の連鎖
- 証拠保全の手順
  - ReadOnlyで生ログを開く
    - 書かれたら証拠で無くなる
情報セキュリティ頭の体操その６：（・・・資料出たら書く）
アクセス制御のフェーズ
- 識別
  - ID：誰なのか
- 認証
  - パスワード
  - 指紋
- 認可
  - R/W/X
    - 権限
識別
- 確認手段
- ガイドライン
- RFID
- MACアドレスとIPアドレス
- セキュアなユーザー登録
認証方式
- 知識による認証
- 所有物による認証
  - トークン
  - XXXカード
- 個人属性による認証
  - 指紋など
    - フランスなどでは採用しない
      - 交換可能性のリスク
  - バイオメトリクス認証
    - 静的特徴によるもの
    - 動的特徴によるもの
アクセス制御
- 任意アクセス制御
- 強制アクセス制御
アクセス制御の技術
- シングルサインオン
  - ケルベロス
  - SESAME など
- ディレクトリサービス
  - LDAP
  - NIS など
    - STNS もここかな・・・
- セキュリティドメイン
  - 改装ドメイン関係
  - サブジェクトによる分類
アクセス制御の種類と実装
- アクセス制御の種類
  - 役割による
  - ルールによる
  - コンテンツによる
  - 一時的な時間による
    - システム管理者は、管理をするときだけ
  - UIの制限
- アクセス制御の実装
  - ACリスト
  - ACマトリクス
  - ケイパビリティテーブル
アクセス制御システムに対する攻撃
- DoS攻撃
- パスワード攻撃
  - 辞書攻撃
  - (あと2つ)
- キーロガー
- なりすまし
- 盗聴
- ショルダーハック
- ゴミ箱あさり
- 廃棄品
- TOC/TOU
情報セキュリティ頭の体操その７：（・・・資料出たら書く）
システムプロビジョニング
- アーキテクチャ構造
  - （・・・資料出たら書く）
- ストレージ容量見積もりの課題
  - 年々増大するストレージ容量への対応
  - ストレージ容量不足への懸案
  - 必要以上のストレージ容量の要求による無駄
- シンプロビジョニング
  - ストレージを仮想化する技術
  - 利用者の要求に応じたストレージ容量の提供
- シンリクレメーション
  - 必要のなくなったストレージの再割り当て
Service Oriented Architecture
- 技術上の利点
- （・・・資料出たら書く）
管理者特権
- 管理者の権限
- 管理者の種類：分けると安全
  - システム管理者
  - ネットワーク管理者
  - データベース管理者
- 権限の種類（一部）
  - ネットワークオペレーションの管理
    - サーバの起動とシャットダウン
    - システム設定のリセット
    - バックアップ
    - （・・・資料出たら書く）
バックアップ方針
- バックアップの対象
  - データ
  - OS
  - アプリケーション
  - トランザクション
  - 構成（コンフィグ）
  - レポート
- バックアップの完全性
- バックアップの手法
  - ファイルイメージ
  - システムイメージ
  - データミラーリング
  - 電子的保管庫
  - リモートジャーナル
  - （・・・資料出たら書く）
構成管理
- 構成管理の要素
  - HW資産一覧
  - HWの構成チャート
  - （・・・資料出たら書く）
- 資産一覧の項目例
  - （・・・資料出たら書く）
- 変更管理とパッチ管理
  - （・・・資料出たら書く）
媒体管理とオブジェクトの再利用
- メディアの管理
  - （・・・資料出たら書く）
- 再利用における注意事項
  - （・・・資料出たら書く）
記録の管理
- （・・・資料出たら書く）
テストや評価の課題
- 私たちは自分が何を知らないのかを知らない
リソースの活用
- 脅威や脆弱性
  - SANS TOP25
  - OWASP
  - 各国CERTの注意喚起など
- 内部の情報を知るためにたログを
内部監査と第三者監査
- サービスプロバイダ監査が注目されている
- SOC2/SOC3
事業継続計画
- （・・・資料出たら書く）
[全体像の絵]
- CISSPがサイバーセキュリティ経営を支える
  - 防止/多層管理策/監視・対応環境を計画

３行感想

とてもよかった。費用対効果抜群。
濃厚すぎて脳みそパンクする。覚えきれない。頭痛い。刺さった。
セキュリティ機関は半端ないと感じた。願わくば自分も今後この領域を仕事にしたいと。

その他

WiFiは提供なし（想定通り）
超満員だすげぇ 12 x 8 = 96 人はいる
紙のアンケート・・・
- ボールペン持ってない・・・
スライドは１週間以内に登録のメールアドレスにURLリンクを送る
（・・・資料出たら書く）は、書かない気がする・・・

Discussion

valmet083

都合合わず参加できなかったのですが、こんな内容だったんですねぇ