CISSPチャレンジセミナー受講メモ
published_at: 2018-10-23 23:02
10/23(火) 13:30 - 17:30 くらい
TKP新橋カンファレンスセンター
はじめに
- 少し考えたが公開しても話聞いてないと単語の羅列でしかないし
(ISC)2 のご迷惑にはならないであろうと思い。 - 「困ります」的なところがあれば削除等するのでお知らせいただければと。。
(ISC)2 と提供資格のご紹介
小熊 慶一郎 氏
-
ビデオ
準備はできていますか?
-
主な認定資格
- CISSP
- SSCP
- CCSP
- 日本ではまだ 5 人くらい
- 米英で多い
- Cloud Fisrt 政策
- 日本も、Cloud by default を進め始めている
-
資料について
- ドメインガイドブック
- 受験時の手続き等も記載
- アンケート
- よさげな回答を要請・・・
- CBKトレーニングの案内
- 11月分はあと7枠
- News
- (ISC)2 Night 11/16(金) 18:30 はじめ、隔月開催予定トノコト
- ドメインガイドブック
-
CISSPの特徴
- CISSPとしての考え方
- 業務のリスクを許容範囲内に抑える
- 下げるのが目的ではない
- 合理的に説明できるか
- 組織の目標達成をサポートするセキュリティ
- 例)ブレーキ
- レースに勝つためのブレーキを考える -> CISSPの仕事
- ブレーキマニアとは違う
- 例)ブレーキ
- 業務のリスクを許容範囲内に抑える
- 米国国防総省のスキル定義に採用
- CISSPとしての考え方
-
(ISC)2 の活動
- 日本政府へのアプローチ
- 内閣サイバーセキュリティセンター(NISC)
- 入札条件としてのCISSP
- 今後増えていく
- 日本政府へのアプローチ
CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方
主任講師 安田 氏
13:30 - 14:40 講義#1
(30分遅れて開始)
-
サイバーセキュリティガイドライン Ver 2.0 より
- サイバーセキュリティ経営の三原則
- 担当幹部(CISO等)に指示すべき重要10項目
- 経営者に気づかせる仕組みが必要
- CISOはどのようにリーダーシップをとるのか
- IT活用について理解する
-
内部 と外部の情報に精通する
- 実装の不備
- 業務上の欠陥
-
裸の王様のCISO(情報システムの理解度)
- 客観的に見れているか
- 財務の視点
- 市場・顧客の視点
- ビジネスプロセス視点
- 学習と成長の視点
- 客観的に見れているか
-
本セミナーの4つのテーマ
- 組織づくり
- リスクマネジメントの考え方と実践
- セキュリティガバナンスの考え方
- ガバナンスのためのIT活用
-
CISSPは「IT利用の禁止」をテーマにしない
-
情報セキュリティは何か
- 科学です
- だれがやってもできるような管理策を考えていく必要がある
- 標準化も大事だが、強みを活かすことを考えるのがCISO
- 科学です
-
情報セキュリティ頭の体操その1:情報セキュリティ組織を作ることになったとする
- 情報セキュリティのライフサイクルを意識した組織づくりから始める
- 必要な人数 -> アサインする ではよくない
- 役割を明確に -> アサイン
- 職責や知る必要性に基づいた権限設定
- Job Description がないと設定できない
- 必要な人数 -> アサインする ではよくない
- 情報セキュリティの意識向上
- ベストプラクティス
- セキュリティトレーニング
- 報奨制度
- 大抵の会社では「やっても何もならない」
- モチベーション
- 大抵の会社では「やっても何もならない」
- 情報セキュリティにおける責任
- 指示と報告による組織づくりと責任の明確化
- 最終責任は経営陣
- 経営幹部(CISO等)と実務者の役割と責任 (ここ、Slackしててあまり聞いてなかった)
- ドクロベエ
- 絶対支配者
- ドロンジョ
- 美女のリーダー
- ボヤッキー
- 女子高生好きな発明家
- トンズラー
- 怪力男
- ドクロベエ
- 情報セキュリティのライフサイクルを意識した組織づくりから始める
14:50 - 16:00 講義#2
-
人的セキュリティ
- 雇用時のセキュリティ
- どの役割に誰を適用するか
- 雇用中のセキュリティ
- 最小特権
- 権限を最小化
- Default Deny
- 知る必要性
- 厳密に管理する必要がある
- ネットワーク管理者といえど、顧客の承諾なくパケットキャプチャしていいってもんじゃない
- 厳密に管理する必要がある
- 2人以上で作業
- ジョブローテーション
- お客さんと仲良くなって情報漏らしたりしないように(?そう言ったような気がしただけかも)
- とはいえ、CISSPは「やったことない」部門へのローテーションを推奨しない
- 最小特権
- 雇用終了時
- 雇用時のセキュリティ
-
情報セキュリティ計画
- 情報セキュリティの計画
- ビジネスにおける必要性
- セキュリティ要件の識別
- 体系化された全体設計と全体最適化
- 情報セキュリティ要件
- 機能要件
- セキュリティ対策として実装すべき機能に関する要件を定義する
- 認証
- ログ
- 認証
- セキュリティ対策として実装すべき機能に関する要件を定義する
- 非機能要件
- 信頼性
- パフォーマンス
- 保証要件
- セキュリティ機能が期待通り機能しているという信頼を提供
- 機能要件
- 参考となるフレームワーク
- ISO/IEC 27000 シリーズ
- 27001
- 27002
- COBIT
- COSO
- 内部統制
- CSA STAR
- クラウド
- AICPA SSAE 16 SOC
- サービスプロバイダの取り組みを監査する
- ISO/IEC 27000 シリーズ
- フレームワークを採用すると、測定可能になる
- 情報セキュリティの計画
-
情報セキュリティ頭の体操その2:情報セキュリティ計画を作ることになったとする
- リスクマネジメントの方針
- インシデントは全て対策する
- アクシデントとインシデント
- リスクの特定と低減
- 事故の発生源の特定
- リスクの受容
- リスク受容レベルの設定
- ビジネスの方針に従う
- インシデントは全て対策する
- リスクマネジメントフレームワーク
- (資料が届いたら貼る)
- (色の違いが何か、わからない)
- 適正なリスク受容レベルを設定
- (資料が届いたら貼る)
- リスクマネジメントの方針
-
リスク受容をしている状態
- すぐに気がつかないと危険な状態
- リスク受容レベルを適正に決める必要がある
- すぐに気がつかないと危険な状態
-
影響度と3つの指標
- 情報セキュリティの3つの項目と影響の関係
- 可用性:情報が使えない時の影響
- 完全性:情報が壊れてしまった時の影響
- 機密性:情報が漏れてしまった時の影響
- 情報セキュリティはどこまでやればよいのか
- 影響度とコストの関係を明確にする
- 影響度を金額で洗わずことができなければコストの比較を行うことができない
- 情報セキュリティの3つの項目と影響の関係
-
情報セキュリティ対策の4つの方針
- リスク受容
- リスクを受け入れ、インシデント発生時の影響を吸収する
- 最も費用対効果が高い
- リスクを受け入れ、インシデント発生時の影響を吸収する
- リスク低減
- 適切な管理策を適用する
- リスク移転/リスク共有
- 保険の加入
- アウトソーシング
- リスク回避(経営判断)
- リスクに対応できないため、使用または活動をやめる
- リスク受容
-
脅威のモデル化
- 個別の脅威に対応するのではなく、モデル化された脅威への対応とすることが重要
- 例えば、標的型メール攻撃は以下を複合した攻撃
- なりすまし
- マルウェアによる観戦
- 不正アクセス
- C国から、とか
- 情報持ち出しや情報の削除・改ざん
- 単体は、イベントにすぎない
- 「流れ」を止めて、インシデントを止める
- 例えば、標的型メール攻撃は以下を複合した攻撃
- 包括的なセキュリティ対策のために
- 個別の脅威に対応するのではなく、モデル化された脅威への対応とすることが重要
-
対策選択における原則
- 費用対効果
- 説明責任
- 設計上の秘密の排除
- 監査の機能
- ロギング
- 従業員による受け入れと容認
- 人間による介入と最小化
- フェイルセーフ
- バックアップ・レストア
- 元の状態に戻す手順の定義
- 管理と管理対象の独立性
- 権利を分離・独立
- 適用の普遍化
-
リスクアセスメントの例
- 定量的リスクアセスメント
- 金銭的価値に置き換える
- 年間損失の計算
- 単一損失予測(SLE)
- 年次発生頻度(ARO)
- 年次喪失予測(ALE)
- SLE x ARO = ALE
- 定性的リスクアセスメント
- シナリオ志向
- 想定したリスクへの対応
- ベースラインアプローチ
- 資産の重要性をベースにすると失敗することがある
- 資産の重要性は企業にとっての重要性であり(・・・資料出たら続き書く)
- シナリオ志向
- 定量的リスクアセスメント
-
情報セキュリティ頭の体操その3:平時の・・・(くー、スライド流れた・・・資料出たら書く)
- 情報セキュリティガバナンス
- 情報セキュリティが維持できているか
- 情報セキュリティ管理策の状況把握
- 現場からの意見の上がって来やすい組織づくり
- 風通しの良い環境
- 監査とエビデンス
- 監査できるルールかどうか
-
禁止ルールはエビデンスが残せない
- USB とか
- USBはこう使ってください -> 記録が残る
- USB とか
-
禁止ルールはエビデンスが残せない
- 情報セキュリティ管理策のエビデンス
- 監査できるルールかどうか
- モニタリングとSIEM
- 効果的なモニタリングのための仕組みづくり
- Security Information and Event Monitoring
- ハインリッヒの法則(1:29:300)・・・予兆・・・(・・・資料出たら書く)
- 情報セキュリティガバナンス
16:10 - 17:20 講義#3
-
情報セキュリティ頭の体操その4:重要な情報を保護したい。一方で情報を積極的に活用したい。
- 最初にすべきことは何か
- どうすればこれらを両立できるか
-
情報分類の方針と手順
- 情報分類の方針
- 目標
- ベネフィット
- 分類例
- 情報区分
- 情報分類の手順
- 範囲の決定
- プロセス
- 所有者
- 分類からの除外
- マーキングラベリング
- 情報分類の保証
- カテゴリー化
- 資産1つ1つを評価するのではなく、分類によって評価を行うためのプロセス
- 情報分類の方針
-
プライバシーの保護
- 個人は、自分の個人情報を管理できるべき
- ビッグデータなどの活用によるプライ(・・・資料出たら書く)
-
GDPRの通知義務の代償
- 起点(アラート)から 72 時間以内の通知義務
- 莫大な違約金
- 起点(アラート)から 72 時間以内の通知義務
-
法律や規則への動的リスク対応
- 監督先への通知
- データ保護オフィサーの設置
- CSIRTに連絡すればよいのか?
-
データオーナー
- データオーナー
- データに関する責任を持つ
- データ保護
- アクセス権の設定(ポリシーに基づく)
- ライフサイクルを意識した管理
- データに関する責任を持つ
- 情報オーナー
- その情報が組織のミッションに(・・・資料出たら書く)
- データオーナー
-
データの残留性
- データがどこかに残っているかの確認
- 何らかの方法で消去された物理的データの残留
- PCやシステム上のデータの残留
- 通信データの残留
- 電子メールによる添付ファイルによる拡散したデータの残留
- メディアに応じた廃棄の仕方を考慮する
- クリアリング(・・・資料出たら書く)
- クラウド上では暗号化したデータの鍵を(・・・資料出たら書く)
- データがどこかに残っているかの確認
-
データの暗号化
- 保存されたデータの暗号化
- メディアに対する攻撃について検討する
- 保存されているデータは適切に管理されているデータ以外にも存在する
- 通信中・移動中のデータの暗号化
- リンク暗号化
- エンドツーエンドの暗号化
- 保存されたデータの暗号化
-
プライバシーと個人情報
- 権利と義務
- 個人識別情報
- 国際的な対応
- (・・・資料出たら書く)
-
情報セキュリティ頭の体操その5:
-
インシデントレスポンス
- 目的
- 問題の検出
- 原因の特定
- 損失の極小化
- 問題の解決
- 対応のそれぞれのステップで文書化することで、将来の参考にする
- 問題に関する効果的かつ適切な伝達
- インシデントレスポンスのフェーズ
- トリアージ
- 封じ込め
- 調査
- 分析と追跡
- 復旧
- 報告
- メトリック
- 外部開示
- あらかじめ明確に決めておいて、淡々とやっていく
- 有事の時は議論してる場合じゃない
- 目的
-
調査の方針
- 目的
- 影響の低減(最優先)
- 原因の識別
- バックアップの取得、できる限り短い時間で元に戻すこと
- インシデントの再発防止
- 考慮事項
- 組織のポリシーに従う
- 機密性など
- 法令や規則の適用
- 適切な証拠の管理と扱い
- 組織のポリシーに従う
- プロセス
- 容疑者の識別
- 目撃者の識別
- システムの識別
- 体制の識別
- 捜査令状
- 着眼点
- 所有権と保有の分析
- 手段・機会・動機
- MOM : means, opportunity, motive
- 目的
-
分析と追跡
- 目的
- 終息させるために十分な情報の取得
- 将来起こらないようにする
- 何に問題があるのかを特定する
- 記録の重要性
- ログの動的な性質
- 追跡プロセスのもとにする
- 他のエンティティと関連させる(相関分析)
- レポートと文書化
- 法令上の課題
- 訴訟手続きのための準備
- ポリシー、規則の遵守
- 目的
-
コンピュータフォレンジック(・・・このページ、資料出たら書く)
- 目的
- 潜在的証拠
- 証拠と法システム
- フェーズ
- 証拠の識別
- 証拠の収集
- (・・・資料出たら書く)
- 管理の連鎖
- 証拠保全の手順
- ReadOnlyで生ログを開く
- 書かれたら証拠で無くなる
- ReadOnlyで生ログを開く
- 目的
-
情報セキュリティ頭の体操その6:(・・・資料出たら書く)
-
アクセス制御のフェーズ
- 識別
- ID:誰なのか
- 認証
- パスワード
- 指紋
- 認可
- R/W/X
- 権限
- R/W/X
- 識別
-
識別
- 確認手段
- ガイドライン
- RFID
- MACアドレスとIPアドレス
- セキュアなユーザー登録
-
認証方式
- 知識による認証
- 所有物による認証
- トークン
- XXXカード
- 個人属性による認証
- 指紋など
- フランスなどでは採用しない
- 交換可能性のリスク
- フランスなどでは採用しない
- バイオメトリクス認証
- 静的特徴によるもの
- 動的特徴によるもの
- 指紋など
-
アクセス制御
- 任意アクセス制御
- 強制アクセス制御
-
アクセス制御の技術
- シングルサインオン
- ケルベロス
- SESAME など
- ディレクトリサービス
- LDAP
- NIS など
- STNS もここかな・・・
- セキュリティドメイン
- 改装ドメイン関係
- サブジェクトによる分類
- シングルサインオン
-
アクセス制御の種類と実装
- アクセス制御の種類
- 役割による
- ルールによる
- コンテンツによる
- 一時的な時間による
- システム管理者は、管理をするときだけ
- UIの制限
- アクセス制御の実装
- ACリスト
- ACマトリクス
- ケイパビリティテーブル
- アクセス制御の種類
-
アクセス制御システムに対する攻撃
- DoS攻撃
- パスワード攻撃
- 辞書攻撃
- (あと2つ)
- キーロガー
- なりすまし
- 盗聴
- ショルダーハック
- ゴミ箱あさり
- 廃棄品
- TOC/TOU
-
情報セキュリティ頭の体操その7:(・・・資料出たら書く)
-
システムプロビジョニング
- アーキテクチャ構造
- (・・・資料出たら書く)
- ストレージ容量見積もりの課題
- 年々増大するストレージ容量への対応
- ストレージ容量不足への懸案
- 必要以上のストレージ容量の要求による無駄
- シンプロビジョニング
- ストレージを仮想化する技術
- 利用者の要求に応じたストレージ容量の提供
- シンリクレメーション
- 必要のなくなったストレージの再割り当て
- アーキテクチャ構造
-
Service Oriented Architecture
- 技術上の利点
- (・・・資料出たら書く)
-
管理者特権
- 管理者の権限
- 管理者の種類:分けると安全
- システム管理者
- ネットワーク管理者
- データベース管理者
- 権限の種類(一部)
- ネットワークオペレーションの管理
- サーバの起動とシャットダウン
- システム設定のリセット
- バックアップ
- (・・・資料出たら書く)
- ネットワークオペレーションの管理
-
バックアップ方針
- バックアップの対象
- データ
- OS
- アプリケーション
- トランザクション
- 構成(コンフィグ)
- レポート
- バックアップの完全性
- バックアップの手法
- ファイルイメージ
- システムイメージ
- データミラーリング
- 電子的保管庫
- リモートジャーナル
- (・・・資料出たら書く)
- バックアップの対象
-
構成管理
- 構成管理の要素
- HW資産一覧
- HWの構成チャート
- (・・・資料出たら書く)
- 資産一覧の項目例
- (・・・資料出たら書く)
- 変更管理とパッチ管理
- (・・・資料出たら書く)
- 構成管理の要素
-
媒体管理とオブジェクトの再利用
- メディアの管理
- (・・・資料出たら書く)
- 再利用における注意事項
- (・・・資料出たら書く)
- メディアの管理
-
記録の管理
- (・・・資料出たら書く)
-
テストや評価の課題
- 私たちは自分が何を知らないのかを知らない
-
リソースの活用
- 脅威や脆弱性
- SANS TOP25
- OWASP
- 各国CERTの注意喚起など
- 内部の情報を知るためにたログを
- 脅威や脆弱性
-
内部監査と第三者監査
- サービスプロバイダ監査が注目されている
- SOC2/SOC3
-
事業継続計画
- (・・・資料出たら書く)
-
[全体像の絵]
- CISSPがサイバーセキュリティ経営を支える
- 防止/多層管理策/監視・対応環境を計画
- CISSPがサイバーセキュリティ経営を支える
3行感想
- とてもよかった。費用対効果抜群。
- 濃厚すぎて脳みそパンクする。覚えきれない。頭痛い。刺さった。
- セキュリティ機関は半端ないと感じた。願わくば自分も今後この領域を仕事にしたいと。
その他
- WiFiは提供なし(想定通り)
- 超満員だすげぇ 12 x 8 = 96 人はいる
- 紙のアンケート・・・
- ボールペン持ってない・・・
- スライドは1週間以内に登録のメールアドレスにURLリンクを送る
- (・・・資料出たら書く)は、書かない気がする・・・
Discussion
都合合わず参加できなかったのですが、こんな内容だったんですねぇ