はじめに 1.人の脆弱性を突く攻撃が増加する 脅威の概要 関連する管理策の例(ISO/IEC 27001:2022 Annex Aより) 2.ディープフェイクのサイバー攻撃への利用が増加する 脅威の概要 関連する管理策の例(ISO/IEC 27001:2022 Annex Aより) 3.アカウント…
はじめに 1.管理策の概要 2.具体的な実施例 2-1)合意文書による遵守事項の維持 a)監視手法 b)レビュー内容 c)評価内容 2-2)セキュリティ事象、インシデント、及び問題に対する適切な管理 a)監視手法 b)レビュー内容 c)評価内容 2-3)供…
はじめに 管理策の概要 具体的な実施例 1.取得したICT製品に関する構成情報の理解 2.取得したICT製品のセキュリティ機能とその設定に関する理解 3.取得したICT製品の完全性・真正性の確保 4.その他 クラウドサービスの利用 まとめ 参考資料 脚注 は…
はじめに 1.管理策の概要 2.具体的な実施例 2.1.供給者との関係性を理解し、リスクアセスメントによりセキュリティ要件を明らかにする 1)情報の特定 2)リスクアセスメント ① 作成(Creat) ② 保存(Store) ③ 使用(Use) ④ 共有(Share) ⑤ ア…
はじめに 1.管理策の概要 2.具体的な実施例 1)状況の設定 ① 適用範囲 ② 組織と供給者の関係性 ③ 役割と責任 ④ 実施のタイミング ⑤ 実施手法 ⑥ リスクの重大性を決定するための基準 ⑦ リスクが受容可能かどうかを決定するための基準 ⑧ リスク対応の選択…
ー サプライチェーン上のセキュリティリスク ー はじめに 1.サプライチェーンのリスク要因 1.1.組織は供給者を直接管理できない 1.2.サプライチェーンの全体像を把握することは困難 2.サプライチェーン上のセキュリティリスクとは 2.1.サプ…
ー サプライチェーン上の情報の管理責任 ー はじめに 必要とされる背景 サプライチェーン上の情報の管理(保護)責任 デューケアの観点で考える管理責任 デューディリジェンスの観点で考える管理責任 まとめ 参考資料 脚注 はじめに 多くの組織では、「専門…
ー6.リスクコミュニケーションー はじめに 1)リスクコミュニケーションとは 2)具体的な実施方法 2-1)実施者(誰が) 2-2)実施目的(なぜ) ① リスクに関し正確な意思決定を行う ② リスクを監視する ③ 利害関係者と認識を共有する ④ 利害関係者…
ー5.モニタリング及びレビューー はじめに 1)モニタリング及びレビューとは? 2)具体的な実施例 2-1)セキュリティリスクを適切にコントロールするため ① 脅威の検知 ② 脆弱性の特定 ③ 脅威情報の収集 ④ 脆弱性情報の収集 ⑤ 法・規制情報の収集 ⑥ …
ー4.リスク対応ー はじめに 1)リスク対応とは 2)具体的な実施方法 2-1)リスク対応方針の決定 ① リスクを生じさせる活動を開始又は継続しないと決定することによってリスクを回避する ② ある機会を追求するために、リスクを取る又は増加させる ③ リ…
ー3.3.リスク評価ー はじめに 1)リスク評価とは 2)具体的な実施方法 2-1)リスク受容可否の決定 2-2)リスク許容について 2-3)リスク対応優先度の決定 まとめ 参考資料 脚注 はじめに 情報セキュリティリスクマネジメントのリスク評価プロ…
ー3.2.リスク分析ー はじめに 1)リスク分析とは 2)具体的な実施方法 2-1)起こりやすさの分析 ① 接触頻度(Contact Frequency) ② 実行の発生確率(Probability of Action) ③ 脅威の能力(Threat Capability) ④ 抵抗力の強さ(Resistance Stren…
ー3.1.リスク特定ー はじめに 1)リスク特定とは 2)組織及びその内外の状況の理解 ① 組織内標準 ② 内部の現状 ③ 外部の現状 ④ 内部の変化 ⑤ 外部の変化 3)リスク特定の実施例 3-1)リスクの特定 3-2)リスク所有者の特定 まとめ 参考資料 脚…
ー3.リスクアセスメントー はじめに 1)リスクアセスメントとは? 2)具体的な実施例 2-1)リスクアセスメントの実施時期 2-1-1)「あらかじめ定めた間隔」とは? 2-1-2)戦略サイクルと運用サイクル 2-2)リスクアセスメントのアプロー…
ー2.状況の設定ー はじめに 1)状況の設定とは 2)方針策定時に考慮すべき点 2-1)組織及びその内外の状況 2-2)情報セキュリティ方針(その他、組織内の上位方針) 3)方針で明らかにすべき点 3-1)役割と責任 3-2)実施のタイミング 3-…
ー1.リスクの定義ー はじめに 1)リスクとは 1ー1)リスクに関する一般的なイメージ 1ー2)情報セキュリティリスクとは? 1ー3)情報セキュリティの目的とは? ① ISMSの実施目的 ② 情報セキュリティ目的 1ー4)情報セキュリティリスクマネジメン…
はじめに 各用語の使用例 解釈した内容 Exposure Intrusion Breach Compromise Indicators of Compromise(IoC)について 偵察フェーズ 侵入フェーズ 遠隔操作フェーズ 横展開フェーズ 探索フェーズ 目的実行フェーズ まとめ 参考資料 脚注 はじめに セキュ…
はじめに 多層防御とは? 具体的な実施例 1.攻撃シナリオに基づく多層防御 2.管理策の種別に基づく多層防御 3.管理策の機能に基づく多層防御 4.具体的な実施例 多重防御について まとめ 参考資料 脚注 はじめに セキュリティリスクに対応するための…
はじめに ベースライン管理策とは? 背景 組織内標準での位置付け 具体的な実施例 1.参照するベースラインカタログの選択 2.管理策のテーラリング(tailoring) 2-1.共通管理策の識別と指定 2-2.適用範囲の調整(scoping) 2-3.代替管理策の…
はじめに パスワードクラックに対し有効な管理策について 1.パスワードポリシーによる利用者への意識付け・義務化 2.パスワードの保管 3.パスワード登録・管理のための支援機能 あまり効果がないとされている管理策 まとめ 参考資料 脚注 はじめに 「…
はじめに 「オンライン攻撃」と「オフライン攻撃」 ・オンライン攻撃 ・オフライン攻撃 攻撃ツールの利用 パスワードクラック手法 1.総当たり攻撃(brute force attack) 2.辞書攻撃(dictionary attack) 3.マスク攻撃(mask attack) 4.レインボー…
はじめに 資格情報と認証情報 「資格情報」を奪取する攻撃と関連する管理策について 1. オンライン攻撃 (パスワードクラック) 2. 管理不備を含む脆弱性を悪用した資格情報の奪取 2-1. T1003 OS Credential Dumping(OS 資格情報のダンプ) 2-2. T1110 Brut…
はじめに 管理策の概要 認証情報の管理プロセス(手順)を明らかにする理由 具体的な実施例 1. 脆弱な管理(保護)状態を引き起こさないための管理策 2. 脆弱な資格情報の利用を避けるための管理策 3. 認証情報を奪取しようとする脅威から保護するための管理…
はじめに 管理策の概要 脅威インテリジェンスが必要とされる背景 より効果的・効率的なセキュリティ管理 サイバーセキュリティ上の脅威への検知・対応の速やかな実施 分類 1. 戦略インテリジェンス(Strategic Intelligence) 定義: 活用例: 2. 戦術インテ…
はじめに "risk acceptable" と "risk tolerable" の各文献での取り扱い ISO Guide 73 ALARP principle 結果 まとめ 参考資料 脚注 はじめに 海外のセキュリティ関連のガイドラインでは、リスク(特に残留リスク)を保有する場合、"risk acceptable" と "ris…
はじめに 「ID管理」とは? ID(Identity)とは? identity(ID)とidentifier(識別子) IDについてまとめ IDライフサイクルについて IDの状態について IDの状態遷移について 具体的な実施例 Enrolment(登録)時に考慮すべき事項の例: ・ID登録時の身元確…
はじめに 「アクセス制御」とは? 具体的な実施例 アクセス制御の概念 1.アクセス要求 2.識別 3.認証 4.認可 5.監査証跡 個別方針へ含めるべき内容 1.セキュリティの基本原則 2.関連する管理策の内容: その他 まとめ 参考資料 脚注 はじめに …
はじめに 「情報のラベル付け」とは? 具体的な実施例 情報の分類の伝達を容易にする(正確に伝達する) 情報の処理と管理を自動化する オブジェクトストレージの利用拡大 ラベル付け手順策定の際に考慮すべき事項 まとめ 参考資料 脚注 はじめに 情報セキュ…
はじめに 「情報の分類」とは? 具体的な実施例 リスクとの関連性 分類基準の例 個別方針への記載内容例 その他 分類の名称 情報の分類の一貫性 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「情報の…
はじめに 「情報及びその他関連資産の目録」とは? 具体的な実施例 管理責任について 目録により管理すべき資産の種類 目録により管理すべき項目 まとめ 参考資料 その他 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類…