The Journey to Stars〜未知への探求〜

好奇心の赴くままに。学んだことを中心に書いています。

  当サイトの記事には、広告・プロモーションが含まれています

<CISSP勉強メモ-ドメイン6>セキュリティアセスメントとテスト

CISSPを勉強した際の自分用のメモです。参考程度にとどめてください<(*_ _)>

関連記事はこちら⬇︎

受験記録
ドメイン1
ドメイン2
ドメイン3
ドメイン4
ドメイン5
ドメイン7
ドメイン8

 

セキュリティアセスメント

定量リスクアセスメント

定量的(数値で測る)リスクアセスメントの手法。財務リスクの分析に適している

定性的リスクアセスメント

リスクの影響度や緊急度に着目したリスクアセスメントの手法。無形のリスク分析に適している

konomamaowaru.hatenablog.jp

低減分析

システムを信頼境界、データフローパス、入力ポイント、特権操作、セキュリティコントロールに関する詳細情報という5つの主要な要素に分解して行う分析

脆弱性情報

CVE(Common Vulnerabilities and Exposures)

共通脆弱性識別子。アプリケーション、デバイスオペレーティングシステムなどに関して一般公開されている脆弱性をデータベース化し、固有のIDや名前が付けられている。セキュリティの脆弱性を特定する際に役立つ。米国の非営利団体MITREが発行

NVD(National Vulunerability Database)

CVEを基に、NISTがさらに情報を追加したデータベース。SCAP(SecurityContentAutomationProtocol、セキュリティ設定共通化手順)を利用する

CVSS(Common Vulnerability Scoring System)

共通脆弱性評価システム。ベンダーによらない汎用的な脆弱性の評価手法およびスコア。 基本評価基準・現状評価基準・環境評価基準で脆弱性を評価する

CWE(Common Weakness Enumeration)

共通脆弱性タイプ。ソフトウェアやハードウェアの脆弱性のタイプを一覧化したもの。米国の非営利団体MITREが発行

OWASP(Open Worldwide Application Security Project)

Webアプリケーションを取り巻く課題の解決を目指すオープンなコミュニティで、Webアプリケーションのセキュリティリスクを「OWASP Top 10」として発表している

Bugtraqメーリングリスト

セキュリティ上の欠陥を公開することに特化したサイバーセキュリティ業界初のメーリングリスト

ログレビュー

ログを定期的に確認し、問題が発生していないか確認する必要がある。

システムログ

各システムの記録は中央管理システムに送られ、定期的にレビューされる必要がある。
また改ざんが発生しないようにハッシュやタイムスタンプ技術を使って保護することが重要

イベントログ

メモリ、プロセス、システムパフォーマンス、稼働時間、ハードウェアの問題に関連するシステムの動きを記録するログのこと

監査ログ

ユーザーの行動を記録し監視するログのこと

セキュリティログ

ユーザーのアクセス履歴、特権操作、ファイヤウォールの検知ログ、IPS/IDSのアラートなど直接的または間接的にセキュリティに関わるログのこと

アクセスログ

アクアセスに関するログのこと

アプリケーションログ

ソフトウェアインシデントに関するログのこと

ログ管理システムの設計

ログデータ量・ネットワーク帯域・データセキュリティ・データ分析に必要な作業量を考慮して設計する必要がある

脆弱性スキャンツール

Nmap

オープンソースのポートスキャナー。開いているポート、そのポートで実行されているソフトウェア、OSバージョンの特定ができる。デフォルトでは1000のTCP/UDPポートしかスキャンしない。

代表的なポートの状態(STATE)の意味:

open:ポートが開いている
closed:ポートが閉じられている(リモートシステムでアクセスは可能)
filtered:パケットフィルタが適用されており、リモートシステムでアクセスできない

OpenVAS

オープンソース脆弱性スキャンツール

Nikto

Webサーバ、アプリケーションの脆弱性スキャナー

Burp Suite

Webアプリケーションセキュリティテストツール群

Wapiti

Pythonで書かれたWeb脆弱性スキャナー

MBSA(Microsoft Baseline Security Analyzer)

パッチのコンプライアンス適用状況について調査するツール

Nessus

脆弱性検知、診断ツール

sqlmap

データベース脆弱性スキャナー

Metasploit

オープンソースペネトレーションテストツール

aircrack-ng

無線のセキュリティを解析するツール

John the Ripper

パスワード解析を行うツール(パスワードクラッカー)

ペネトレーションテストの流れ

NIST SP 800-115の定義されている流れは以下

ペネトレーションテストの手法

ホワイトボックステスト/クリスタルボックステスト

テスターにネットワーク構成やシステム情報が提供された状態で実施されるテスト。現実性よりテストの有効性を最大化したいときに有効

ブラックボックステスト

テスターにネットワーク構成やシステム情報が提供されない状態で実施されるテスト

グレーボックステスト

テスターにネットワーク構成やシステム情報が一部分のみ提供される状態で実施されるテスト

ネットワークモニタリング・スキャン

シンセティック(合成)モニタリング

シュミレーション用トラフィックを使い、Webサイトのパフォーマンスを監視することで、問題を抽出する手法。プロアクティブ監視ともいう

パッシブモニタリング

ネットワークのトラフィックをコピーし、それをリアルタイムで監視し、分析する手法。不正なデバイスの特定に役立つ

監査関連

ITガバナンスの成熟度を測るフレームワークステークホルダーのニーズを満たす、事業体全体を包含する、統合されたフレームワークを適用する、包括的アプローチを実現する、マネジメントからガバナンスを分離する、という5つの原則がある

ISO 27002

企業などの組織における情報セキュリティマネジメントシステムの仕様を定めた規格

SSAE-18(Statement on Standards for Attestation Engagements)

米国公認会計士協会が定めた、アウトソーシングに係る内部統制の有効性の監査を行う基準 

SOC1 SOC2 SOC3(System and Organization Controls)

アウトソーシング業務で、受託会社が委託会社に提供するサービスなどの受託業務に係る内部統制の有効性および第三者機関による評価結果をまとめた報告書。

SOC1ー委託会社の財務報告に関連する内部統制の評価レポート
SOC2ー受託業務のセキュリティの評価レポート(セキュリティ・可用性・処理のインテグリティ・機密保持・プライバシーの中から任意で選択)
SOC3ー報告書主題はSOC2と同じ。公開を目的としているため、SOC2より簡素になる

SOC1,2にはType1,2が存在する。

Type1ー特定の日の断面での評価

Type2ー長期間(6ヶ月以上)適切に実装されていることの評価