オルタナティブ・ブログ > IT雑貨屋、日々のつづり >
RSS
IT雑貨屋、日々のつづり

IT業界につとめる「雑貨屋(なんでも屋)」が、業界の事、情報セキュリティの事、趣味や日々雑感を綴っていきます。お暇な方はおつきあい下さい。

【情セキ.005】情報セキュリティの制度や取り組み

»

 佐藤@IT雑貨屋です。
 私は現在、ネットワーク関係の仕事に取り組んでいますが、業務に取り組む中で大なり小なりの情報セキュリティインシデントの事を耳にします。大抵の場合はそれほど深刻ではないのですが、報道を見ると偶に深刻かつ甚大なインシデントも発生していたりします。そういう報道を見るにつけ、インシデントを起こした本人もそうですが、それの対応・収拾にあたる人達の心労に心を向けてしまうのです。
 確かに不正行為を行う人には、それぞれ動機があり、そういった機会が巡って来た事もあるのでしょう。しかし一たび不正行為を行い、インシデントを起こしてしまえば、それこそ人生は軽く吹き飛んでしまいます。通信のインフラが整備され、スマートフォン等の情報端末を皆が扱う現在において、この情報セキュリティへの意識はしっかりと持つ事が、会社や組織を守り、自分自身の人生を守る事にもつながる事を、肝に銘じたいものですね。

 さて、情報資産への不正行為も複雑・高度化する中で、世の中には様々な制度や取り組みが存在します。脅威インテリジェンスと呼ばれていますが、情報資産の脅威に対応するために、専門家によって収集・整理された情報がこれに当たります。こういった情報が、組織横断的に共有される事によって、より効果的な対策も検討できるのでは無いでしょうか。

◆ISAC(Information Sharing and Analysis Center)
 これは民間企業間でセキュリティに関する情報を共有し、サイバー攻撃への防御力を高めるための組織で、電力ISAC、金融ISAC、交通ISACなど業界ごとに組織されています。
ISAC Japan:https://www.ict-isac.jp/

◆CSRIT(Computer Security Incident Response Team)
 主にセキュリティ対策のためにコンピューターやネットワークを監視し、問題が発生した際にはその原因や調査を行う組織です。これは以下のレベルで分類されます。
 ・組織内CSIRT(Internal CSIRT)
 各企業や公共団体などで、組織毎にインシデントに対応する組織。
 ・国際連携CSRIT(National CSRIT)
 国や地域を代表する形で組織内CSRITを連携し、問い合わせ窓口となる組織。日本では日本シーサート協議会(https://www.nca.gr.jp/)がこれに当たります。
 ・コーディネーションセンター(Coordination Center)
 他のCSRITとの情報連携や調査を行う組織で、日本ではJPCERT/CC(https://www.jpcert.or.jp/)がこれにあたります。
 組織内CSRITは、組織内で発生したインシデントに対応しますが、インシデント対応において、インシデント発生時以外にも準備や事後検討などを行うインシデントマネジメントが必要です。
 インシデント発生時から解決まで処理を行う活動をインシデントハンドリングと呼びますが、次の3つのフェーズで対応します。
 ①検知/連絡受付
  システムの異常検知や、外部組織や組織内からの通知によってインシデントは発見します。
 ②トリアージ
  対応すべきインシデントを判断するため、インシデント対応の優先順位付けを行います。
 ➂インシデントレスポンス
  CSRITが対応すべきと判断したインシデントに適切に対応します。

◆OWASP(Open Web Application Security Project)
 Webアプリケーションのセキュリティに対しての研究やガイドラインの作成、脆弱性診断ツールの開発などの活動を行う非営利機関です。アメリカのメリーランド州に本部を置き、日本支部も存在します。OWASPが公開している資料やツールには、以下のものがあります。
 ・OWASP Top 10
  Webアプリケーションのセキュリティに関する脅威や脆弱性について、現状をまとめた資料です。OWASPで研究、調査した中で危険度が最も高いと判断された10個の脆弱性についてまとめられています。
 ・OWASP ZAP
  脆弱性を調査するため無料で使えるツールです。Webアプリケーションお開発者が簡易的に脆弱性診断を実施する目的で作成されています。
 ・OWASP ASVS
  Webアプリケーションのセキュリティ検証のための標準です。Webアプリケーションの設計、開発、脆弱性診断時に必要となるセキュリティ要件についてまとめられています。

◆IPAセキュリティセンター
 IPAセキュリティセンターは、IPA(情報処理推進機関)内に設置されているセキュリティセンターです。ここでは情報セキュリティ早期警戒パートナーシップという制度を運用しており、コンピューターウィルス、不正アクセス、脆弱性などの届け出を受け付けています。
 また、情報セキュリティに関する様々な情報を発信しており、再発防止のための提言や、情報セキュリティに関する啓発活動も行っています。
 IPAセキュリティセンターが公表している、情報セキュリティ啓発のためのガイドラインには、主に次の様なものがあります。
 ①中小企業の情報セキュリティ対策ガイドライン
 ②組織における内部不正防止ガイドライン
 ➂安全なウェブサイトの作り方
  これらの情報については、適宜、確認をしておいた方が良いですね。

◆脆弱性データベース
 JVN(Japan Vuinerability Notes)は、日本で使用されているソフトウェアなどの脆弱性関連情報と、その対策情報を提供すう脆弱性対策情報ポータルサイトです。JPCERT/CCとIPAが共同で運営しています。

◆内閣サイバーセキュリティセンター
 内閣サイバーセキュリティセンター(NISC:National center of Incident readliness and Strategy for Cyversecurity)とは内閣官房に設置されている組織です。
 サイバーセキュリティ基本法に基づき、内閣にサイバーセキュリティ戦略本部が設置され、同時に内閣官房にNISCが設置されました。NISCでは、サーバーセキュリティ戦略の立案と実施の推進などを行っています。
 内閣では2015年9月にサーバーセキュリティ戦略を定め呼応開しました。この戦略では目標達成のための施策の立案及び実施にあたっては以下の五つの基本原則に従うものとされています。
 ・サーバーセキュリティ戦略の基本原則
  ①情報の自由な流通の確保
  ②法の支配
  ➂開放性
  ④自律性
  ⑤多様な主体の連携

◆CRYPTREC(Cryptography Research and Evaluation Committees)
 電子政府推奨暗号の安全性を評価、監視し、暗号技術の適切な実装法や運用法を調査・検討するプロジェクトです。CRYPTRECでは「電子政府における調達のために参照すべき暗号リスト」(CRYPTREC暗号リスト)を公開しています。CRYPTREC暗号リストには、以下の3種類があります。
 ①電子政府推奨暗号リスト
  CRYPTECにより安全性及び実装性能が確認された暗号技術で、市場における利用実績が十分であるあ、今後普及が見込まれると判断され、利用を推奨するもののリストです。
 ②推奨候補暗号リスト
  CRYPTRECにより安全性及び実装性能が確認され、今後、電子政府推奨暗号リストに掲載される可能性のある暗号技術のリストです。
 ➂運用監視暗号リスト
  推奨すべき状態ではなくなった暗号リストのうち、互換性維持のために継続利用を容認するもののリストです。

◆J-CSIP(Initiative for Cyber Security Information sharing Partnership of Japan)
 サイバー情報共有イニシアチブとは、IPAがサイバー攻撃による被害の拡大を防止するために、経済産業省の強力を得て、重工、重電など重要インフラで利用される機器の製造業者を中心に、情報共有と早期対応の場として発足させた取り組みです。全体で8つのSIG(Special Interest Group:類似産業のグループ)、115の傘下組織による情報共有体制を確立し、サイバー攻撃に関する情報共有の実運用を行っています。

◆J-CRAT(Cyber Rescue and Advice Team against targeted attack of Japan)
 標準型サイバー攻撃の被害拡大防止のため、経済産業省の経量の下、2014年にIPAが設立した組織です。サイバーレスキュー隊とも呼ばれています。
 「標準型サイバー攻撃特別相談窓口」を設置して、相談を受けた組織の被害の低減と、攻撃の連鎖の遮断を支援する活動を行っています。

◆サイバー・フィジカル・セキュリティ対策フレームワーク
 経済産業省が策定した、産業に求められるセキュリティ対策の全体像を整理したフレームワークです。
 サイバー空間とフィジカル空間を高度に融合させることにより、実現される社会であるSociety5.0と、人・モノ・技術・組織などがつながって新たな価値創出を行うConnected Infustriesというコンセプトに合わせて、新たなサプライチェーン全体のサイバーセキュリティ確保を目的として策定されています。

◆NOTICE
 経済産業省、NICT及びインターネットプロバイダが連携し、IoT機器へのアクセスによる、サイバー攻撃に悪用される恐れのある機器の調査及び当該機器の利用者への注意喚起を行う取り組みです。

◆NICTER(Network Incident analysis Center for Tactical Emergemcy Respose)
 無差別サーバー攻撃の対極的な動向を把握することを目的としたサイバー攻撃観測・分析システムです。ダークネットと呼ばれる未使用のIPアドレスを大規模に観測しています。

◆セキュリティ情報共有技術
 脅威インテリジェンスを共有するためには、情報を記述する形式や交換の手順を定めておく必要があります。セキュリティ情報を共有するための技術仕様には次のものがあります。
 ・STIX(Structured Threadt Information eXpression)
  脅威情報構造化記述形式の事で、脅威に関する手口や攻撃手法、漸弱性や対処方法などを記述するための記述方式を標準化したXML仕様です。以下の8つの情報群からなります。
   ①サイバー攻撃活動(Campaigne)
   ②攻撃者(Threat_Actors)
   ➂攻撃手口(TTPs)
   ④検知指標(Indicators)
   ⑤観測事象(Observables)
   ⑥インシデント(Incidents)
   ⑦対処措置(Coueses_Of_Action)
   ⑧攻撃対象(Explobit_Targets)
 ・TAXII(Trusted Automated eXchange of Indicator)
  検知指標情報自動交換手順とは、STIXなどの脅威情報を適切に交換するための手順です。複数の宛先への情報配信、ピアツーピアによるN対Nでの情報交換に対応した技術仕様です。

佐藤 洋之 2024/04/08 08:00:00 Comment(0)