登録セキスペ オンライン講習2020 4/6
四つ目は「インシデント対応の全体プロセス」です。3/6では平常時に実施すべきことを学習しましたが、今回はインシデントハンドリングの対応として下記NISTのSP800-61 Rev.2に基づき流れを学習しました。
https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final
インシデントハンドリング自体はCSIRTの事後対応型サービスとして位置付けられています。
尚、自社内のシステムに対するセキュリティ部隊CSIRTですが、下記の活動が一連の業務として説明されています。
・事前対応型サービス…平常時に行うサービス
・品質管理サービス
・事後対応型サービス…アラートと警告/インシデントハンドリング/脆弱性ハンドリング/アーティファクトハンドリング
詳細は下記リンクのようなHPが参考になります。
現代のCSIRTが提供するサービスをまとめた一覧「FIRST CSIRT Framework Version 1.1」【海外セキュリティ】 - INTERNET Watch
近年では、自社製品に対するインシデントハンドリングを目的とした「PSIRT」組織も増えているとのことです。
ちなみにリンク貼りましたがまだ読めてません(笑)
続きは来週振り返りながらやりたいと思います。
登録セキスペ オンライン講習2020 3/6
三つ目は「平常時の対応」です。
インシデント発生時の対応は、平常時にどれだけ準備ができているかにも依存しており、平常時に活動を正しく定義し実施していない場合、インシデント発生時に混乱が起こり対応が後手に回りかねません。登録セキスペは平常時にセキュリティ対応組織の設計や活動の支援を行うなど、活動が求められることになる…とのこと(‘o‘ : !! 脆弱性対応、事象発生の際の事象分析、ユーザ教育の方法などについて説明されています。
6章の「その他インシデント関連業務」に興味をひかれたのでこちらについて少し。
昨今、どこの現場でも「標的型攻撃メール訓練」が行われています。(訓練期間はいつもドキドキしていますが、私はなかなか被害者役は当たらず対象になることは稀です(笑))標的型攻撃メール訓練では、Step1~4の段階を意識して実施するとよいとのこと。下記資料に記載の通り、ユーザはStep.2or3の行動がとれることを目標にする(メールや添付資料に違和感を感じたらシステム管理部門へ報告)と効果が挙げられるようです。学校・職場の避難訓練と同じく、有事の際の動きを体に叩き込むことで訓練効果が上がります。
https://www.ipa.go.jp/files/000053336.pdf
ほかに企業が実施できるセキュリティ訓練や演習の種類として、講習資料には下記が挙げられています。
1.サイバー演習(シナリオ型:自組織)
自組織でセキュリティインシデントが発生した際のシナリオで訓練・演習
2.サイバー演習(シナリオ型:仮想組織)
仮想的な組織にてセキュリティインシデントが発生した際のシナリオで訓練・演習
3.サイバー演習(技術型)
セキュリティインシデントにおける技術を中心とした演習を実施
4.標的型攻撃メール訓練
従業員の標的型攻撃メールへの意識向上とエスカレーションフローの確認
5.事業継続能力確認
インシデント発生時における自組織のビジネスやサービス視点での継続能力の確認
上記の中で1.4.5は経営層を巻き込んだ訓練・演習を実施するとよいとのことでした。理由は下記の通りです。
1.事業判断の実施
インシデント発生時に経営層が判断を下せる情報が上がってくるかを演習・訓練により確認できる。
2.インシデントに関する説明
事業に対して影響が発生した場合は、記者会見等で内外への説明責任が問われるため、日ごろの訓練・演習で自組織の状況を知っておく。
3.経営層を標的とした攻撃
経営層のアクセス権や社会的信用を悪用するケースを想定。訓練により経営層自身がサイバー攻撃に対する意識を高めることができる。
資料に記載されているのは以上です。上記を踏まえ、企業のセキュリティ対策として経営層をまきこんだ訓練を実施したい場合、どんな演習ができるか考えてみると楽しそうです。
4.標的型攻撃メール訓練のみの対策訓練は各社が有償でサービスを提供しています。今後は5.経営層を標的とした攻撃、あるいは4.と5.を包括した1.サイバー演習(シナリオ型:自組織)も普及していくのかもしれません。中小組織では経営陣の対応公開含め実施していそうですね。
各自アイディアは自社にて提案してみてください(笑)良案であればホットなセキュリティサービスの構築へつながっていくかもしれません…!
登録セキスペ オンライン講習2020 2/6
二つ目は「セキュリティ体制の構築」。
社内CSRITを立ち上げた時の体制図例や、組織のセキュリティ計画の立て方などをひととおり学習しました。
ちなみに、1-2章で、登録セキスペは、経営層と現場をつなぐ「経営層の右腕」としての活躍が期待されるとの記載があります。セキュリティの体制構築について提言・または推進していくことが求められることもある…そうです。重要な任務ですね!
さてさて、内容について。
予算と人材の確保については、経営層に「対応優先度」と「費用」を繰り返し報告するプロセスが重要との記載があります。セキュリティ対策の費用対効果は見えにくいため、経営者からサイバーセキュリティ対策の予算確保への理解は得られにくい、と書かれてしまっています!(しかし、同じことを今夏の授業でも聞いたような気がします。)
自組織を中心に連携すべき領域以外は専門ベンダの活用を検討するのも良いとの記載がありました。これを活用すれば、自組織の人材は「専門ベンダとコミュニケーションできるレベルのセキュリティの基礎知識」「自社にとって最適なサイバーセキュリティ対策を選択する能力」を有すればよいので、教育範囲が絞れます。
下記に業務のインソース・アウトソースに関するモデルが公表されています。
https://cyber-risk.or.jp/contents/xs_20160914_C_Report_JinzaiTeigiReference_1.0.pdf
産業横断サイバーセキュリティ人材育成検討委員会 産業横断セキュリティオペレーションアウトソーシングガイド
さて、じつは私は実務でアウトソースにセキュリティ対策を委託している場面に出くわしたことがないのですが、世の中にはどんな専門ベンダがいるのでしょうか?
セキュリティ機器のレンタルや監視要員の派遣などではなく、リスク評価・分析やサイバー攻撃上表提供・脆弱性診断など、より専門性の高いものを想定して検索するとインターネット検索でのヒット数は少ない印象です。「セキュリティ アウトソーシング」で検索したところ、大手ベンダだと下記がヒットしました。
実際の現場では懇意のベンダーへの相談から話が始まるのでネットで広告を見つけて相談するケースは稀なんだと思います。
他方、セキュリティ人材をアウトソースで賄うことについては、近年のIT記事がいくつか載っています。
中小企業こそセキュリティをアウトソースすべき? 任せるときに知っておきたいこと - ITmedia エンタープライズ
セキュリティ人材不足の特効薬は、"アウトソース"にあり | マイナビニュース
企業のセキュリティ対策は“アウトソース”がカギ | Bizコンパス -ITによるビジネス課題解決事例満載!
これだけテレワークも進みセキュリティ対策が騒がれている昨今、セキュリティ対策専門に特化した会社も探せばたくさんありそうです。時間があるときに調べてみます。
登録セキスペ オンライン講習2020 1/6
法改正により、オンライン講習の名称が少々変わったようです。
(A・B…→年度の数字へ)
お正月早々ですが、今年度分を実施したいと思います。
各講習の見出しを見る限り、今年の講習はマネジメント系と法律・倫理系が多そうです。第1章は「情報処理安全確保支援士に期待される役割と知識」ということでした。章末の確認テスト(満点以外は不可)を5回もチャレンジしてしまいました(^^;
時事ネタとしては、今年のセキュリティ10第脅威。
サプライチェーンやIoT,業務サービス等脅威の発生範囲は広がっており、守るべき領域も広く煩雑になってきているとのこと。ちなみにコロナの話は特にありませんでした。(来年度はあるかも?)
https://www.ipa.go.jp/security/vuln/10threats2020.html
またAPT10による攻撃が主な攻撃事例として載っていました。
https://www.fireeye.jp/company/press-releases/2017/apt10-menupass-group.html
上記記事にも判明している攻撃についていくつか記述があります。独自のマルウェアのみならず、オープンソースツールが使用されることもしばしばあり、攻撃者の意図を正確に探るのはますます難しくなってきている、とのこと。
この集団へは英国および米国等が2018年12月21日に声明文を発表しており、日本でも外務報道官談話として外務省サイトに記事が載っています。
https://www.mofa.go.jp/mofaj/press/danwa/page4_004594.html
後半ではセキュリティに関する各種基準や制度など、便利そうなものが多数紹介されています。この辺ものちほど振り返りたいと思います。
IPAと関係ないのですが
私事ですが、先日大学院の入試に合格しました。Congratuation!!
まだ他の大学も検討中ですが、順当にいくとこのまま春から正規学生です。
今年度はこちらの科目履修生としていくつか講義を受講しています。
夏にはISO27001を用いた社内システムのセキュリティ評価に関わる講義などを受けていました。
お世話になっているのはこちら→https://aiit.ac.jp/
この辺の話もいずれまた。
2020年秋季試験が見送りになりました
https://www.jitec.ipa.go.jp/1_00topic/topic_20200918.html
なんと今年は秋季試験が実施見送りになりました…!
ちなみに私は3.と4.が該当します。
午前Ⅰ免除も次回春で切れてしまうので、
今後を考えると春は 午前Ⅰ+午前Ⅱ~NWです(とほほ)
ランキング参加中。よろしくお願いします。↓
令和2年度の試験日程
申し込みそびれた!と顔を青くしていたら春季試験の振り替えの案内でした。
https://www.jitec.ipa.go.jp/1_00topic/topic_20200324_2.html
今年度の秋季試験は11月以降に行われるようです。
試験自体は11月以降とのこと、HPをマメにチェックするようにします(^^;