インターネット・セキュリティ技術一般

Windows 10には、インターネットを閲覧するアプリとして、Edge（エッジ）と呼ばれるアプリがインストールされています。そのEdgeが、2019年1月より「Chromiumベース」となり、だいぶGoogle Chr […]

PC上手

PC上手

データのバックアップ データのバックアップとは、テープやその他のポータブルメディア上に、ハードディスクドライブで格納しているデータのコピーを二重に作成する作業です。データをバックアップする目的は、1次ストレージメディアハードディスクのデータが消失した場合、確実に使用できる最新のデータのコピーを障害復旧及びリストアできるようにすることです。 バックアップのローテーション方式 Grandfather・Father・Son方法 GFS方式のイメージ GFS方式と呼ばれ、メディアローテーションにより、複数世代の保持ができます。月次でのフルバックアップを長期保存用とする事で、テープコストを抑えながら長期…

iestudy

家studyをつづって

KGIとは KGI（key goal indicator）は、重要目標達成指標といい、企業などの組織において達成すべき最終的な成果を定量的に表した指標です。売上高や利益額のように具体的に定義できるものが選択されます。例として、自社の業界シェア来年度中までに2位まで伸ばしたい、などがあります。 KPIとは KPI(key performance indicator)は、重要業績評価指標といい、企業などの組織において、個人や部門の業績評価を定量的に評価するための指標です。達成すべき目標に対し、どれだけの進捗がみられたかを明確にできる指標が選択されます。 KGIは企業全体の方向性を示し、KPIはそれ…

iestudy

家studyをつづって

NISTによるクラウドコンピューティングの定義 発行機関：NIST発行年月日：2011年9月 https://www.ipa.go.jp/files/000025366.pdf NISTでは、クラウドコンピューティングを5つの基本的な特徴と、3つのサービスモデル、および4つの実装モデルで定義しています。 // 基本的な特徴 特徴 概要 オンデマンド・セルフサービス(On-demand self-service) ユーザは、各サービスの提供者と直接やりとりすることなく、必要に応じ、自動的に、サーバーの稼働時間やネットワークストレージのようなコンピューティング能力を一方的に設定できる。 幅広いネッ…

iestudy

家studyをつづって

連邦情報システムのためのセキュリティ計画策定ガイド (NIST SP800-18) 発行機関：NIST 発行年月日：2006年2月 https://www.ipa.go.jp/files/000025324.pdf // 概要 NIST SP800-18は、セキュリティ計画を策定する際のガイドラインです。セキュリティ計画にはいくつかのインプットが必要になります。 例えば、NIST SP800-53は、情報システムに対するセキュリティ管理策のベースラインが策定してあり、（アメリカの政府関連の）情報システムは上記に適合する必要があります。新たに策定するセキュリティ計画では、上記のセキュリティ管理策…

iestudy

家studyをつづって

火災には等級があり、それぞれ適した消火器を使用する必要があります。 // 火災の等級 等級 説明 等級A 木材、紙、布、ゴム、多くのプラスチック製品など、通常の可燃性物質による火災で、水または水を大量に含む溶液の消火・冷却効果を活用することが最も重要です。クラスAに分類される消火器は保有する水の量、消化できる火の量が示されています。 クラスA 等級B 引火性液体、グリース、油、タール、油性塗料、ラッカー等、引火性／可燃性のある液体による火災です。クラスBの火災は、空気を遮断するか、またはその供給を断って、化学的な連鎖反応を防ぐことが重要となります。 クラスB 等級C 電気設備内またはその付近で…

iestudy

家studyをつづって

情報および情報システムのタイプとセキュリティ分類のマッピングガイド(NIST SP800-60) 発行機関：NIST 発行年月日：2004年6月 https://www.ipa.go.jp/files/000025339.pdf // リスクマネジメントでの位置づけNIST SP800-60は、以下のセキュリティ文書と合わせて活用することができます。以下の文書は情報システムセキュリティ管理策の選択、特定、採用、評価のためのガイドラインであり、連邦情報セキュリティマネジメント法（FISMA）の要件を満たすことを目的としたガイドラインです。 RMFでの位置づけ 情報及び情報システムの分類 情報及び…

iestudy

家studyをつづって

情報システム開発ライフサイクルにおけるセキュリティの考慮事項(NIST SP800-64) 発行機関：NIST 発行年月日：2008年10月 https://www.ipa.go.jp/files/000025343.pdf // 概要NIST SP800-64「情報システム開発ライフサイクルにおけるセキュリティの考慮事項」は、セキュリティの手順をITシステム開発ライフサイクル（SDLC: System Development Life Cycle）に取り入れる際のガイドラインとして作成されました。 SDLCについて SDLCは以下のフェーズから構成されます。 「開始」 「開発／調達」 「イン…

iestudy

家studyをつづって

コモンクライテリア(Common Criteria、ISO/IEC 15408) とは コモンクライテリアとは、セキュリティの観点から情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。 // 欧米諸国では1980年代から自国のセキュリティ評価基準と評価制度を持ち、活用されてきました。1990年代になり、これらのセキュリティ評価で先行していた国々により商用製品の活用や国際的な市場からの調達などを目的とした国際的なセキュリティの共通評価基準を作成するプロジェクトが発足したことがコモンクライテリアの始まりです。1999年にコモンク…

iestudy

家studyをつづって

2019年11月に気になったニュースをまとめます。 // 記事の投稿日 概要 2019/10/31 公衆電話からSMS 機能の背景 2019/10/31 DDoS攻撃を示唆し仮想通貨を要求する脅迫メールに注意喚起＝JPCERT/CC 2019/10/31 北朝鮮のハッカー集団が作成したマルウェアが原子力発電所のネットワークに侵入 2019/10/31 ロシアのハッカー集団が東京五輪に照準、スポーツ機関を攻撃 2019/10/31 2020年にも企業のIT利活用に法定指針、国がついに経営者の尻を叩く 2019/11/01 ウォッチガード、拡大するセキュリティの盲点を払拭し、フィッシング攻撃の防御…

iestudy

家studyをつづって

SCAPとは SCAPはSecurity Content Automation Protocol（セキュリティ設定共通化手順）の略で、セキュリティに関する作業負荷を低減するため、自動化や作業の効率化を目的に、セキュリティ情報を伝達する際のフォーマットや命名を標準化する仕様群です。なお、SCAPはNIST SP800-126で仕様が策定されています。 https://csrc.nist.gov/csrc/media/publications/sp/800-126/rev-3/draft/documents/sp800_126_r3_draft.pdf // SCAPの構成要素 SCAPは次の6つ…

iestudy

家studyをつづって

ISCMの定義された背景として セキュリティの脅威は高度化しているため、リスクの分析や評価を継続的に行うことが重要となります。セキュリティの管理プロセスを定義したものとして、ISO27005があります。 // 「ISO/IEC 27005」は、国際標準化機構(ISO)と国際電気標準会議(IEC)が策定した情報セキュリティ管理とリスク管理プロセスにかかわる作業を規格化したガイドラインです。ISO27005では、情報セキュリティリスク管理プロセスを以下のように定義しています。 状況規定＝リスク管理の境界を定義 リスク分析(リスク特定/評価の段階)＝リスクの程度を評価 リスク調査(リスク分析/評価の…

iestudy

家studyをつづって

ガントチャート及びPERT図は、プロジェクト完了のためのタスクを表示するプロジェクトマネジメント手法です。 // ガントチャートガントチャートは、プロジェクトの計画とスケジューリングのための使用される表です。ガントチャートは、プロジェクトが時間の経過と共に小さいな作業や具体的なタスクに分割されます。ガントチャートでは、表の横棒で作業の進捗状況を表し、各タスクの継続時間、進捗状況などを確認できます。 ガントチャートのイメージ ja.wikipedia.org PERT図（アローダイアグラム）PERT図（Program Evaluation and Review Technique）は、複雑なプロ…

iestudy

家studyをつづって

COBIT（Control Objectives for Information and related Technology）は、組織における情報システム管理に関するガイドラインです。COBITは、IT統制に関する国際的な団体ITGI（IT Governance Institute）およびISACA（Information Systems Audit and Control Association）が公表しています。COBITは情報システム管理についてのベストプラクティス集（フレームワーク）であり、ITガバナンスや内部統制に関する指標となります。COBITは日本でも活用されており、経済産業省…

iestudy

家studyをつづって

証拠保全ガイドライン（第7版） 発行機関：デジタル・フォレンジック研究会 発行年月日：2018年7月20日 digitalforensic.jp // フォレンジックとはフォレンジックは、インシデントレスポンスや法的紛争・訴訟の際に、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の技術を言います。 フォレンジックの重要性とガイドラインの目的ICTの活用が進むにつれて個人や企業、または国をまたいでの法的紛争が発生し、電磁的記録の証拠保全及び調査・分析を適切に行い、行動の正当性を積極的に検証するフォレンジック技術の重要性が高まってい…

iestudy

家studyをつづって

個人情報保護法とは 個人情報保護法は、2005年4月に施行された法律で個人情報を保護するための法律です。施行を受け、各省庁ごとに法案で使われている用語や、各業界向けの安全管理の具体的な例が公開されています。 個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインhttp://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf 金融分野における個人情報保護に関するガイドラインhttps://www.fsa.go.jp/common/law/kj-hogo/01.pdf また、ビッグデータやIoTの流れを受け、201…

iestudy

家studyをつづって

Underlying Technical Models for Information Technology Security(NIST SP800-33) 発行機関：NIST 発行年月日：2001年12月 csrc.nist.gov ※このガイドラインは2018年8月1日に廃止文書になりました。このガイドラインの内容はRMF（NIST SP800-37）や、CSFに取り込まれました。 参考 NIST SP800-37連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド（NIST SP800 37） - 家studyをつづって CSF「重要インフラのサイバーセキュリティを改善…

iestudy

家studyをつづって

PKIとは PKI（Public Key Infrastructure）は「公開鍵基盤」ともいい、「公開鍵暗号方式」という技術を利用し、暗号化、デジタル署名、認証等のセキュリティ対策が実現する基盤です。 // PKIの全体イメージ PKIの機能 PKIは以下の2つの機能を提供します。 種別 説明 暗号化 (Encryption) データを暗号化し、第3者に読まれることを防ぎます。 デジタル署名 (Digital Signature) データに対して、そのデータの作成者を特定するための署名を付与します。 暗号化とデジタル署名の機能を用いて、PKIは以下のセキュリティサービスを提供します。 種別 …

iestudy

家studyをつづって

セキュア･プログラミング講座 発行機関：情報処理推進機構 発行年月日：2016年10月 www.ipa.go.jp // 概要 「セキュア・プログラミング講座」では、製品プログラミングや、Webプログラミングを対象にした、ガイドラインを公開しています。このガイドラインでは、これまでの内容をまとめ、共通的なセキュリティ原則を抽出し、広く開発分野に関わる人に向けた、開発のガイドラインとして公開しています。 リスク＝【情報資産】×【脅威】×【脆弱性】 上記の式に基づき、それぞれの要素を0に近づけることで、リスク低減をはかっています。 セキュア・プログラミングには、脆弱性を作りこまない根本的解決策と予…

iestudy

家studyをつづって

COSOとフレームワーク COSO（Committee of Sponsoring Organizations of the Treadway Commission、トレッドウェイ委員会組織委員会）の略称です。COSOでは内部統制のフレームワーク（COSOフレームワーク）公開しており、当該フレームワークは様々な規定に組み込まれています。COBITの内部統制に関する基準も、COSOフレームワークの考え方を取り入れています。日本では、金融庁「金融検査マニュアル」などもCOSOを参考にしています。 // COSOの内部統制定義 COSOでは内部統制を、”以下の目的を達成するために、合理的な保証を提供…

iestudy

家studyをつづって

前提として コンピュータシステムの信頼性を総合的に評価する基準として、RASISという概念があります。 Reliability（信頼性） Availability（可用性） Serviceability（保守性） Integrity（保全性） Security（機密性） // 信頼性（Reliability）は、システムが安定して稼働し続けている時間からみた安定性の指標で、平均稼働時間（MTBF）で表されます。 MTBFの求め方 なお、MTBFの逆数をとることで、故障率を求めることができます。 故障率の求め方 保守性（Serviceability）は平均修理時間（Mean Time To Re…

iestudy

家studyをつづって

2019年12月に気になったニュースをまとめます。 // 記事の投稿日 概要 2019/12/02 国へのサイバー攻撃、ハッキングのビジネス化など、2020年のサイバー脅威（サイファーマ） 2019/12/02 「PHP-FPM」の脆弱性を狙うアクセスが増加（警察庁） 2019/12/02 職員のPCがウイルス感染、迷惑メールを複数送信（京都市観光協会） //

iestudy

家studyをつづって

パスワードに対する攻撃はパスワードクラッキングといいます。パスワードクラッキングは、システムに保存されたもの、もしくは通信されるデータからパスワードを割り出す攻撃があり、以下のようなものがあります。 // パスワードクラッキング手法一覧 名称 概要 ブルートフォースアタック 一つのアカウントに対して、パスワードの組み合わせを総当たりで試行する攻撃です。 パスワードに対してアカウントを総当たりで試行する攻撃手法はリバースブルートフォース攻撃と呼ばれます。 辞書攻撃 辞書や人名リストなどにある単語の組み合わせから、パスワードを推測する攻撃です。 リスト型攻撃 外部に流出したアカウント情報（リスト）…

iestudy

家studyをつづって

ウェブサイトにおける脆弱性検査手法の紹介発行機関：IPA発行年月日：2013年12月 www.ipa.go.jp https://www.ipa.go.jp/files/000035859.pdf // 2013年は脆弱性が原因で、情報漏洩などのインシデントが多数発生しました。このレポートでは、管理者がコストをかけずに脆弱性の診断ができるように、オープンソースの脆弱性検査ツールについて、特徴や使い勝手をまとめています。 脆弱性診断ツール一覧 タイプ ツール名 検査対象 特徴 手動検査 Paros Webアプリ 脆弱性検査に脆弱性を検出するコードの知識が必要となる 手動検査 WebScrab W…

iestudy

家studyをつづって

ソフトウェアテストに関する言葉を整理しました。 // Vモデル V字モデル V字の左半分は、ウォーターフォールに沿った開発工程を上流工程から順番に右下がりに並べています。V字の右半分は、左の開発工程に対応したテスト工程が並んでおり、それぞれの工程で行うテストを確認できます。 単体テスト単体テストは、クラスや関数等、プログラム単位でのテストです。 機能確認テスト1つのモジュールが設計書や仕様書通りに動作することを確認するテスト 制御フローテストプログラム構造に沿って、命令や分岐が実行されるかを確認するテスト データフローテストデータや変数が定義されたから消滅するまでを確認するテスト ※モジュール…

iestudy

家studyをつづって

CSAとは クラウドセキュリティアライアンス（CSA）は、クラウド利用にあたってのセキュリティの考え方について発信している非営利法人団体です。 www.cloudsecurityalliance.jp // CCMについてCloud Controls Matrix(CCM)は、クラウドサービスのセキュリティリスクを総合的に評価するための指針です。CCMではクラウドのセキュリティ管理策のフレームワークを16のドメインに分けて記述しています。 CCMの16ドメイン Application & Interface Security （アプリケーションとインターフェースセキュリティ） Audit As…

iestudy

家studyをつづって

ファジング実践資料(テストデータ編) 発行機関：IPA 発行年月日：2013年11月 https://www.ipa.go.jp/files/000035160.pdf // 概要 ファジング実践資料(テストデータ編)は、ファジングで問題を検出するための「テストデータ」に焦点を当てた実践資料です。IPAでは、ファジングにおけるテストデータの考え方「データ構造の『どの部分』を『どのように』細工するか」を解説しています。 ファジングとはファジング（fuzzing）とは、問題を起こしそうなデータ（例：極端に長い文字列）を対象製品に送り、対象製品の動作状態から脆弱性などを発見するテスト手法です。 ファ…

iestudy

家studyをつづって

電話回線の種類 電話回線は大きく分けると、アナログ回線、デジタル回線、光回線の3種類があります。 アナログ回線アナログ回線はアナログ信号で音声及びデータの送受信を行う電話回線です。黒電話の時代から使われているもので、回線には銅線を使っているので、メタル回線とも呼ばれます。 デジタル回線（ISDN）デジタル回線はデジタル信号でデータの送受信を行う通信回線の総称です。アナログ回線が音声をそのまま電気に乗せて送信しているのに対して、デジタル回線は音声をデジタルデータに変換して送信するため、アナログよりも音声がクリアに聞こえるのが特徴です。 光回線光回線は、アナログ回線やデジタル回線で使われていた銅線…

iestudy

家studyをつづって

TCPとは TCP(Transmission Control Protocol)は、トランスポート層で動作するプロトコルです。TCPは、信頼性の高い通信を実現するために使用されるプロトコルです。トランスポート層のプロトコルにはUDPもあり、UDPは信頼性が高くない代わりに、高速性やリアルタイム性を求める通信に使用されるプロトコルです。 // TCPでは通信の信頼性のために、通信先だってセッションを確立します。 3wayハンドシェイク 3way-ハンドシェイク ポート番号の割り当て ポート番号のタイプ ポート番号の範囲 説明 ウェルノウンポート番号 0～1023 IANAで管理。 サーバのアプリ…

iestudy

家studyをつづって

個人的な今年の目標として、CISSPの取得を目指していました。 そして年末ギリギリになりましたが、念願かなって試験に合格することができました。 受験の記録として、CISSP受験前から試験が終わった後の流れをまとめていきます。 // 試験勉強 2019年4月になり、新年度の目標にCISSPの取得を掲げ勉強を開始しました。まずはCISSPの教本を買い、CBK(Common Body of Knowledge)の内容を勉強しました。平日は1日1時間程度、休日は2～3時間ぐらいで少しずつ読み進めていました。日によっては読めない日もあり、勉強時間はまちまちだったので、教本を読み終わったのは8月ぐらいでし…

iestudy

家studyをつづって

ISO27000シリーズについて ISO27000ファミリーは、国際標準化機構（ISO）と国際電気標準会議（IEC）によって策定された情報セキュリティマネジメントシステムに関する規格群のことで、中核を成すISO27001を始めとしたISMSに関する第三者認証規格のことです。 activation-service.jp // ISO27001 ISO27001は組織のISMSを認証するための要求事項が示されています。組織はこの要求事項に準じたマネジメントシステムを構築することで規格の認証を受けることが可能です。ISMSの認証を得ることを「ISO27001を取得する」と表現するのは、ISO2700…

iestudy

家studyをつづって