セキュリティ管理のメモ帳

セキュリティに関する備忘録

リスクマネジメント

2023年 セキュリティ脅威予測まとめ

はじめに 1.人の脆弱性を突く攻撃が増加する 脅威の概要 関連する管理策の例(ISO/IEC 27001:2022 Annex Aより) 2.ディープフェイクのサイバー攻撃への利用が増加する 脅威の概要 関連する管理策の例(ISO/IEC 27001:2022 Annex Aより) 3.アカウント…

サプライチェーンセキュリティリスクマネジメント(後)

ー サプライチェーン上のセキュリティリスク ー はじめに 1.サプライチェーンのリスク要因 1.1.組織は供給者を直接管理できない 1.2.サプライチェーンの全体像を把握することは困難 2.サプライチェーン上のセキュリティリスクとは 2.1.サプ…

サプライチェーンセキュリティリスクマネジメント(前)

ー サプライチェーン上の情報の管理責任 ー はじめに 必要とされる背景 サプライチェーン上の情報の管理(保護)責任 デューケアの観点で考える管理責任 デューディリジェンスの観点で考える管理責任 まとめ 参考資料 脚注 はじめに 多くの組織では、「専門…

情報セキュリティリスクマネジメントについて(9)

ー6.リスクコミュニケーションー はじめに 1)リスクコミュニケーションとは 2)具体的な実施方法 2-1)実施者(誰が) 2-2)実施目的(なぜ) ① リスクに関し正確な意思決定を行う ② リスクを監視する ③ 利害関係者と認識を共有する ④ 利害関係者…

情報セキュリティリスクマネジメントについて(8)

ー5.モニタリング及びレビューー はじめに 1)モニタリング及びレビューとは? 2)具体的な実施例 2-1)セキュリティリスクを適切にコントロールするため ① 脅威の検知 ② 脆弱性の特定 ③ 脅威情報の収集 ④ 脆弱性情報の収集 ⑤ 法・規制情報の収集 ⑥ …

情報セキュリティリスクマネジメントについて(7)

ー4.リスク対応ー はじめに 1)リスク対応とは 2)具体的な実施方法 2-1)リスク対応方針の決定 ① リスクを生じさせる活動を開始又は継続しないと決定することによってリスクを回避する ② ある機会を追求するために、リスクを取る又は増加させる ③ リ…

情報セキュリティリスクマネジメントについて(6)

ー3.3.リスク評価ー はじめに 1)リスク評価とは 2)具体的な実施方法 2-1)リスク受容可否の決定 2-2)リスク許容について 2-3)リスク対応優先度の決定 まとめ 参考資料 脚注 はじめに 情報セキュリティリスクマネジメントのリスク評価プロ…

情報セキュリティリスクマネジメントについて(5)

ー3.2.リスク分析ー はじめに 1)リスク分析とは 2)具体的な実施方法 2-1)起こりやすさの分析 ① 接触頻度(Contact Frequency) ② 実行の発生確率(Probability of Action) ③ 脅威の能力(Threat Capability) ④ 抵抗力の強さ(Resistance Stren…

情報セキュリティリスクマネジメントについて(4)

ー3.1.リスク特定ー はじめに 1)リスク特定とは 2)組織及びその内外の状況の理解 ① 組織内標準 ② 内部の現状 ③ 外部の現状 ④ 内部の変化 ⑤ 外部の変化 3)リスク特定の実施例 3-1)リスクの特定 3-2)リスク所有者の特定 まとめ 参考資料 脚…

情報セキュリティリスクマネジメントについて(3)

ー3.リスクアセスメントー はじめに 1)リスクアセスメントとは? 2)具体的な実施例 2-1)リスクアセスメントの実施時期 2-1-1)「あらかじめ定めた間隔」とは? 2-1-2)戦略サイクルと運用サイクル 2-2)リスクアセスメントのアプロー…

情報セキュリティリスクマネジメントについて(2)

ー2.状況の設定ー はじめに 1)状況の設定とは 2)方針策定時に考慮すべき点 2-1)組織及びその内外の状況 2-2)情報セキュリティ方針(その他、組織内の上位方針) 3)方針で明らかにすべき点 3-1)役割と責任 3-2)実施のタイミング 3-…

情報セキュリティリスクマネジメントについて(1)

ー1.リスクの定義ー はじめに 1)リスクとは 1ー1)リスクに関する一般的なイメージ 1ー2)情報セキュリティリスクとは? 1ー3)情報セキュリティの目的とは? ① ISMSの実施目的 ② 情報セキュリティ目的 1ー4)情報セキュリティリスクマネジメン…

セキュリティ侵害を表す用語とIoCについて

はじめに 各用語の使用例 解釈した内容 Exposure Intrusion Breach Compromise Indicators of Compromise(IoC)について 偵察フェーズ 侵入フェーズ 遠隔操作フェーズ 横展開フェーズ 探索フェーズ 目的実行フェーズ まとめ 参考資料 脚注 はじめに セキュ…

セキュリティ上の「多層防御」について

はじめに 多層防御とは? 具体的な実施例 1.攻撃シナリオに基づく多層防御 2.管理策の種別に基づく多層防御 3.管理策の機能に基づく多層防御 4.具体的な実施例 多重防御について まとめ 参考資料 脚注 はじめに セキュリティリスクに対応するための…

ベースライン管理策(セキュリティベースライン)について

はじめに ベースライン管理策とは? 背景 組織内標準での位置付け 具体的な実施例 1.参照するベースラインカタログの選択 2.管理策のテーラリング(tailoring) 2-1.共通管理策の識別と指定 2-2.適用範囲の調整(scoping) 2-3.代替管理策の…

「risk acceptable(受容可能なリスク)」 と「risk tolerable(許容可能なリスク)」の違いについて

はじめに "risk acceptable" と "risk tolerable" の各文献での取り扱い ISO Guide 73 ALARP principle 結果 まとめ 参考資料 脚注 はじめに 海外のセキュリティ関連のガイドラインでは、リスク(特に残留リスク)を保有する場合、"risk acceptable" と "ris…