絶対合格！情報処理安全確保支援士試験【第2回】情報セキュリティの組織・評価

日々進化する情報セキュリティ攻撃からの対策を覚えるのは非常に大変ですよね。

どんな組織があって、何をしているかを理解してから学習を進めることで理解を促進します！

また、セキュリティ評価についても正しく学習することで、セキュリティ管理ができるようになりましょう！

当記事では、情報処理安全確保支援士試験に出てくる組織やセキュリティ評価を厳選して解説します。

情報セキュリティ委員会には、CISO(Chief Information Security Officer)という情報セキュリティ管理責任者を中心にした経営層で構成されます。

SOCとは、セキュリティ管理サービスを提供する企業が顧客対応を集約しておこなうために設置されます。

CSIRTとは、セキュリティ対策をするために、コンピューターやネットワークを監視して、問題が起きたとき、なぜ発生したかの原因解析や問題調査をする組織のことです。

コーディネーションセンターとは、他のCSIRTとの情報連携や調整をする組織のことです。

日本におけるコーディネーションセンターには「JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)」という機関があるよ。

組織内CSIRTとは、企業や公共団体といった組織ごとのインシデントに対応する組織のことです。

国際連携CSIRTとは、国や地域といった単位での代表をする組織内CSIRTを連携して、問い合わせ窓口となる組織のことです。

ISACとは、同業の民間事業者同士でセキュリティに関する情報を共有して、サイバー攻撃への対策を強化するための組織のことです。

J-CRATとは、標的型サイバー攻撃特別相談窓口を設置して、相談を受けた組織の被害の低減であったり、攻撃の連鎖を止める支援を行う活動をしています。

総務省、国立研究開発法人情報通信研究機構（NICT）及びインターネットプロバイダが連携し、IoT機器へのアクセスによる、サイバー攻撃に悪用されるおそれのある機器の調査及び当該機器の利用者への注意喚起を行う取組のことです。

NICTERとは、無差別型のサイバー攻撃といった動向を把握することを目的とした観測・分析するシステムのことです。

ダークネットと呼ばれる未使用IPアドレスを大規模に観測しています。

OWASPとは、名前からも推測できる通り、Webアプリケーションのセキュリティに関する非営利機関だよ。

セキュリティの研究、脆弱性診断ツールの開発、ガイドライン作成といった活動をしていて、以下のような資料やツールを公開しています。

OWASP Top 10とは、OWASPが研究・調査している中で危険度が高いと判断された10個の脆弱性を厳選して公開しています。

OWASP ZAPとは、Webアプリケーションの開発に携わる人が、簡易的に脆弱性診断を実施することを可能できる便利なツールです。

OWASP ASVSとは、Webアプリケーションのセキュリティ設計・開発・脆弱性診断といったタイミングにおいて必要となるセキュリティ要件についてまとめられています。

日本で使用されているソフトウェア脆弱性関連の情報と対策を提供しています。

CRYPTRECには、電子政府における調達のために参照すべき暗号リストとして、次の３種類を公開しています。

• 電子政府推奨暗号リスト
• 推奨候補暗号リスト
• 運用監視暗号リスト

それぞれのリストについて説明します！

電子政府推奨暗号リストとは、CRYPTRECによる安全性や実装性能が確認済みである暗号技術であり、市場における利用を推奨する暗号技術リストのことです。

推奨候補暗号リストとは、CRYPTRECによる安全性や実装性能が確認されて、今後、電子政府推奨暗号リストに格上げされる可能性がある暗号技術リストのことです。

運用監視暗号リストとは、CRYPTRECによる推奨すべき状態ではなくなった暗号技術の中で互換性を維持するために継続するのを容認するリストのことです。

サイバー・フィジカル・セキュリティ対策フレームワークとは、サイバー空間とフィジカル空間を高度に融合させることによって実現される社会：Society5.0と人・モノ・技術・組織などが繋がることで新たな価値を創出するConnected Industriesというコンセプトに合わせて、新しいサプライチェーン全体のサイバーセキュリティを確保することを目的として作られています。

ISMS適合性評価制度は、次の３つの機関によって成立しています。

認証機関に申請し、審査の結果、認証を受けるとISMS認証を取得することができます。

認証を取得すると名刺やHPにも記載することができ、顧客や取引先から信頼性の向上に繋げることができるため、個人情報を扱う企業を中心に取得しております。

また、公官庁の入札であったり、電子商取引の参加条件としても提示されることもあり、ビジネスにとっても有利に働く評価制度となっています。

• 認証機関
  ISMSに適合しているかどうかを審査して登録する機関のことです。
  　
  　
• 要因認証機関
  ISMS審査員の資格を付与するための機関のことです。
  　
  　
• 認定機関
  上記２つの機関がその業務を行う能力を持っているかチェックする機関のことです。

CSMS適合性評価制度とは、重要なインフラであるエネルギー分野やプラント、交通インフラといった社会や産業を支える基盤システムを守るために策定されたセキュリティマネジメントの認証基準となっています。

ISMS適合性評価制度と考え方は同じですが、管理する対象が制御システムに特化しており、その分システムについて細かく、より深い対策が必要となります。

ISO/IEC 15408とは、IT関連製品や情報システムのセキュリティレベルを評価しているよ。

CC(Common Criteria コモンクライテリア)とも呼ばれており、以下のような概念があるんだ。

• ST(Security Target：セキュリティターゲット)
  セキュリティの基本設計書のことです。製品やシステム開発する際にSTを作成することが最も重要であると規定されているよ。利用者が自らの要求仕様を文書化してものとなります。　
  　
• EAL(Evaluation Assurance Level：評価保障レベル)
  製品の保証要件を示すものであり、製品やシステムといったもののセキュリティレベルを評価するための指標です。EAL1(機能テストの保証)～EAL7(形式的な設計の検証及びテストの保証)まであって、数値が高いほど保証レベルが高いです。

SCAPは、以下の６個の標準仕様から構成されています。

• CVE(Common Vulnerabilities and Exposures)
  個別製品の脆弱性を対象として、米国政府の支援を受けた非営利団体であるMITRE社が採番している脆弱性の識別子のことです。脆弱性検査ツールやJVNといった脆弱性対策情報提供サービスの多くがCVEを利用しています。
  　
  　
• CVSS(Common Vulnerability Scoring System)
  情報システムの脆弱性の深刻度を定量的に評価する手法のことです。CVSSは、「基本評価基準」「現状評価基準」「環境評価基準」の３つの視点から評価します。　
  　
  　
• CCE(Common Configuration Enumeration)
  システムの設定情報に関する識別番号である「CCE-ID」を付与して、セキュリティ設定項目を識別します。
  　
  　
• CPE(Common Platforom Enumeration)
  ハードウェア、ソフトウェアといった情報システムを構成するものを識別するための共通プラットフォーム一覧・名称基準のことです。　
  　
  　
• XCCDF(eXtensible Configuration Checklist Description Format)
  セキュリティ設定のチェックリストやベンチマークなどを記述するための仕様言語のことです。
  　
  　
• OVAL(Open Vulnerability and Assement Language)
  コンピュータのセキュリティ設定状況をチェックするための仕様のことです。
  

CWEとは、数多くある脆弱性の種類を階層化し、分かり易くするために分類した共通脆弱性タイプのことです。

それぞれにCWE識別子(CWE-ID)を付与しており、４つの種類「①ビュー」「②カテゴリ」「③脆弱性」「④複数要因」に分類されるよ。

PCI DSSは、クレジットカード利用業者が守るべき事項をまとめており、以下の６つの目的・１２個の要件が定められており、要件の部分が午前・午後問題で出題されることがあるので要チェックです！

＜目的１：安全なネットワークの構築と維持＞

・要件１：カード会員データを保護するために、ファイアウォールをインストールして構成を維持する

・要件２：システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

＜目的２：カード会員データの保護＞

・要件３：保存されるカード会員データを保護する

・要件４：オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

＜目的３：脆弱性管理プログラムの維持＞

・要件５：すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する

・要件６：安全性の高いシステムとアプリケーションを開発し、保護する

＜目的４：強力なアクセス制御方法の導入＞

・要件７：カード会員データへのアクセスを業務上必要な範囲内に制限する

・要件８：システムコンポーネントへのアクセスを業務上必要な範囲内に制限する

・要件９：カード会員データへの物理アクセスを制限する

＜目的５：ネットワークの定期的な監視及びテスト＞

・要件10：ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

・要件11：セキュリティシステムおよびプロセスを定期的にテストする

＜目的６：情報セキュリティポリシーの維持＞

・要件12：すべての担当者の情報セキュリティに対応するポリシーを維持する

JISECとは、ISO/IEC 15408に基づいて、IT製品のセキュリティ機能を適切性や確実性を評価して認定する制度のことです。

評価は、第三者機関である評価機関が行い、認証はIPA(情報処理推進機構)が行うよ。

JCMVPとは、暗号化やハッシュ、署名といったセキュリティ機能を実装しているハードウェア・ソフトウェアから構成される暗号モジュールが、セキュリティ機能や内部情報を適切に保護できているかを評価・認証する制度のことです。

IPAによって運用されている製品認証制度の一つでもあります。

情報セキュリティ対策ベンチマークとは、Web上の質問に答えることで、散布図やレーダチャート、スコアといった診断結果が自動的に表示されるよ！

他者の対策状況を比較することもできるので、自社の対策状況の立ち位置も知ることができるね。

以下のIPA公式HPのWEBページから試すことができます。

情報セキュリティ診断TOP | IPA 独立行政法人 情報処理推進機構

ファジングとは、検査対象であるソフトウェア製品にファズ(Fuzz)と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する手法のことです。

ペネトレーションテストでは、類似攻撃を実際に行うため、あらかじめ攻撃の許可を得ておき、攻撃によるシステムに影響がないよう準備しておくことが必要となります。

ポートスキャナとは、OSの種類を検出したり、サービスに対する簡単な脆弱性検査を行います。