CISSP合格ノート・CBK#10 物理的セキュリティ(Physical Security) 

CBK#10 物理的セキュリティ(Physical Security)

CISSP合格ノート

CISSP合格ノート

 

go to menu page



CBK#10 物理的セキュリティ(Physical Security) 

10.1 物理的セキュリティコントロール(Physical Security Controls)

10.1.1  制御の種類 (Types of controls)

├ 管理上の制御 (Administrative controls)
├ 施設選択もしくは建設 (Facility selection or construction)
├ 施設管理 (Facility management)
├ 人的管理 (Personnel controls)
├ 訓練 (Training)
├ 緊急対応と手順 (Emergency response and procedures)
├ 技術的な制御 (Technical controls)
├ アクセス制御 (Access controls)
├ 進入検知 (Intrusion detection)
├ 警報 (Alarms)
├ 監視 (Monitoring (CCTV))
├ 暖房、換気、空調 (Heating, ventilation and air conditioning (HVAC))
├ 電力供給 (Power supply)
├ 火災検知と消火 (Fire detection and suppression)
├ バックアップ (Backups)
├ 物理的制御 (Physical controls)
├ フェンス (Fencing)
├ 施錠 (Locks)
├ 証明 (Lighting)
└ 設備建築資材 (Facility construction materials)

 

10.2 施設管理(Facility Management)

ローケーション選定の課題 (Issues with selecting a location)

├ 見通し(Visibility)
├ 場所周辺の構成要素 (Surrounding area and external entities)
├ 可触性 (Accessibility)
└ 自然災害 (Natural disaster)

 

10.2.1. 設備や建物設計時の課題 (Construction issues when designing and building a facility)

├ 壁 (Walls)
├ 戸 (Doors)
├ 天井 (Ceilings)
├ 窓 (Windows)
├ 床 (Flooring)
├ 暖房と空調 (Heating and Air Conditioning)
├ 電源装置 (Power Supplies)
├ 水道、ガス (Water and Gas Lines)
└ 火災検知と消化 (Fire Detection and Suppression)

 

10.2.2. 懸念 (Concerns)
荷重

└ 異なる状況下で倒壊しないように建物の壁、天井及び床の荷重を推測し確実な計画を行う必要がある。

 

建設的なフロー (水道、ガス)

└ 建物から流れでるべきで流入してはいけない。

 

内部壁

└ 建物の多くは吊り天井を持っており、内部壁(パーティション)はその天井より上には伸びていないため、侵入者天井パネルを持ち上げ内部壁(パーティション)を越える事ができる。

 

10.3. 物理的なセキュリティコンポーネント選別過程
(Physical Security Component Selection Process.)

 

10.3.1. セキュリティ義務 (Security Musts)

└ 法律による安全基準に従わなければならない。

10.3.2 セキュリティ記載項目 (Security shoulds)

└ 保護手順の中には壊滅的な活動および、それらの結果から会社を保護する手順を盛り込む。

10.3.3 ハードウェア(Hardware)
サービス品質保証制度 (SLA: Service level agreements)

└ 通信サービスの事業者が、利用者にサービスの品質を保証する制度。回線の最低通信速度やネットワーク内の平均遅延時間、利用不能時間の上限などを保障する制度。

平均故障間隔時間 (MTBF: Mean Time Between Failure)

└ 装置の予測稼動期間、あるいは装置の提供期間を決定するために使用される。
├ コンピュータシステムが故障してから次に故障するまでの平均時間。
├「使用時間の和÷故障回数」として計算される。
└ システムの安定性の指標として用いられ、値が大きいほど故障間隔が長く、安定したシステムと言える。

平均復旧時間 (MTRF: Mean Time To Repair)

└ 修理間の時間の量を評価するために使用される。
├ 故障したコンピュータシステムの復旧にかかる時間の平均。
├「修理時間の和÷故障回数」として計算される。
└ システムの保全性の指標として用いられ、値が小さいほど復旧までの時間が短く、保全性が高いシステムといえる


10.4. 電源設備 (Power Supply)

10.4.1.電源保護 (Power protection)
オンライン・システム:

└ 貯蔵電池を使用

 

予備無停電電源装置 (Standby UPS):

└ 電源故障が発生するまで待機する。

予備電源 (Backup power supplies):

└ 主要な動力を供給するかあるいはUPSのシステムでのバッテリーを充電するために使用。

電圧調整器およびライン・コンディショナー (Voltage regulators and line conditioners):

└ 安定した滑らかな分配を保証するために使用する。

 

10.4.2. 電力定義 (Electrical Power Definitions)
接地 (Ground):

└ 過電圧を地に落とすための通り道。

雑音 (Noise):    

└ 電磁気もしくは周波数による干渉。

一時的な雑音 (Transient noise):

└ 短期間の電力線の中断

安定した電力 (Clean power)

└ クリーンで安定した電力

故障 (Fault)    

└ 瞬間的な電力の損失/切断

停電 (Blackout)    

└ 完全な/長期的な電力損失

降下 (Sag)    

└ 一時的な低電圧

一時的な電圧低下 (Brownout)

└ 長期的な低電圧

スパイク (Spike)    

└ 一時的な高電圧

サージ (Surges)    

└ 長期的な高電圧

突入電流 (inrush current)    

└ 初期の電力の変化

電磁妨害 (EMI: Electro Magic Interference):

├ 3種の回線間で発生する(熱線、中間線、アース)
└ モータ、電光等により発生する。

電波干渉 (RFI: Radio Frequency Interference):

├ 電気系統のコンポーネントによって発生する
└ 電線、蛍光灯、点火によって発生する。


10.5. 環境課題 (Environmental issues)

肯定的な排水管 (Positive drains) - Their contents flow out instead of in.

└ それらの内容は、それらの内容は外に流れます、の代わりに、の中で。

相対湿度

└ 許容範囲は40%~60%

高い湿度

└ 腐食を引き起こす。

低い湿度

└ 過度の静電気を引き起こす。

肯定的な気圧調節 (Positive pressurization)

└ 従業員がドアを開ける場合、大気は外に出て、外部の大気は中へ入らない。

10.5.1. 火災検知 (Fire detectors)
煙の活性化

└ 光電子写真装置 (Photoelectric device.)

熱の活性化(Heat activated)-

└ 温度上昇率センサーおよび調整された温度のセンサー

炎の活性化(Flame activated)

└ 赤外線エネルギーの感知

自動的なダイヤル・アップ・アラーム(Automatic Dial-up Alarm)

└検知された火を報告するために地方の消防署を呼びます。

10.5.2. 火の抑制 (Fire suppression)

└ ポータブル消火器は任意の電気機器の50フィート以内かつ、人の居る近くに置くべきである。

10.5.3. 火の等級および抑制媒体 (Fire classes and suppression medium)
Type
可燃物
消火

一般的な可燃物
(Common combustibles)
水、泡、化学泡

液体(Liquid)
ガス、二酸化炭素、泡、化学泡

電気(Electrical)
ガス、二酸化炭素、化学泡

可燃性金属
粉末

飲食店の厨房
強化液

 

水    ⇒    火を保持するのに必要な温度を抑える(冷やす)。
ソーダ酸    ⇒    火の燃料供給を抑えます。
二酸化炭素     ⇒     火を保持するのに必要な空気中の酸素を取り除く。(人命に係わる)
ハロン    ⇒    化学反応によって燃焼を抑える。
F200    ⇒    最も効果的なハロンの代替消化剤7%の濃縮が必要。

10.5.4. ハロンの代用品 (Replacement list for Halon)

└ FM-200, NAF-S-III, CEA-410, FE-13, Water, Inergen, Argon, Aragonite.

 

10.5.5. ウォータ・スプリンクラーの方式
ウェット・パイプ (Wet Pipe) 

└  常に給水管に水を含んでおり、通常、温度コントロール・レベル・センサーによって放出される。

 

ドライ・パイプ (Dry Pipe)

├ 特定の温度に到達するまで、水はバルブによって保持されます。
└ あらかじめ定められた温度と水のリリースの間に時間遅れがあります。

プレアクション (Preaction)

├ ウェット・パイプ・システムとドライパイプ・システムを組み合わせ使用
├ 水はパイプの中に保持されず、あらかじめ定められた温度に遭遇すれば、一旦パイプにリリースされます。
├ 一旦設定温度に達すれば、パイプは水で満たされます。しかし、それは散水しません。
└ 水が散水栓自体から放される前に、リンクは溶けなければなりません。

Deluge(大洪水??)

スプリンクラーヘッド(散水栓)が開いている以外は、ドライパイプ・システムと同じ。


10.6. 周辺セキュリティ (Perimeter Security)
10.6.1. 設備アクセス・コントロール (Facility Access Control)
(物理的・技術的なコンポーネントにより強化される。)
鍵 (Locks)

├ より安価なアクセスコントロールの仕組み。
├ 半ば本気の侵入者と重大な侵入者の進行を妨げる抑止力を検討する。
├ 前もって準備した鍵 
└ 鍵は通常ドアに使う

暗号ロック(Cipher Locks / programmable locks)

├  設備エリアにアクセスするための、制御管理にキーパッドを使用します。
└ 多くの暗号ロックがオプションとしで利用可能

ドア・ディレイ(Door delay)

└ ドアの開閉に時間がかかる場合、その人物の行動が疑わしいとし、アラームを鳴らす。

 

鍵の無効化(Key-override)

└ 緊急時の中で使用されるように、特定の組み合わせは通常の手順を無効にする、あるいは監視を無効にするのためにプログラムすることができます。

 

優れた施錠(Master-keying)

└ 監視人員がアクセス・コードおよび暗号ロックの他の特徴を変更することを可能にする。

 

ホステージ・アラーム(Hostage alarm)

└ 個人が脅迫にいてかつ、または、人質を拘留したならば、警戒ステーションおよび(または)警察署へこの状況を伝えるために、彼または彼女が入力するコンビネーションがありえます。

バイス・ロック(Device Lock)

└ スイッチ・コントロール、スロット・ロック、ポート・コントロール、周辺のスイッチ・コントロールおよびケーブル持ち物の使用により、装置を保護すること。

10.6.2. 人員アクセス制御 (Personnel Access Controls)

適切な身分照明を証明する人が、もし設備もしくはエリアへのアクセス試みる場合は、現実に許可されるべき。

ピギーバッキング(Piggybacking)

└ アクセス許可のある者のうしろから、アクセス許可の無いものがいき続入る。
 └ マントラップにより防御する。

 

10.6.3 磁気カード (magnetic cards)
メモリーカード(Memory card)

└ カード・リーダーはカードから情報を引出しアクセスの決定を下す。

スマート・カード(Smart card)

└  カード内に保持された情報リーダー(読み取り機)はそれを比較するために。個人は、PINかパスワードの入力を要求される。

10.6.4. 無線接近リーダ (Wireless Proximity Readers)
ユーザ・アクティベート (User activated)
└ リーダに値のシーケンスを送信します。

システム・センシング(System sensing)
└ 特定のエリア内のコード化された装置の存在を認識する。

中継機器 (Transponders)

└ カードおよびリーダはレシーバー、発信機およびバッテリーを持っています。

受動装置 (Passive devices)

└ カードは、それ自身の動力源を持っていません。

フィールド・パワーデバイス (Field-powered devices)

└ カードおよびリーダは発信機および活発なエレクトロニクスを包含する。

10.6.5 外部境界保護メカニズム (External Boundary Protection Mechanism)
柵(Fencing)
3~4フィート

└ 偶然の侵入者を防止します。

6~7フィート

└  高すぎると考えるには、登り易い

8フィートで3ストランドの有刺鉄線 

└  侵入者を防ぐ

二重ドア(Mantrap) 

└ ガードマンによってモニターされた入り口で、ドアが2重になっており、一度に一枚のドアしか開かない。

 

10.6.6. 照明 (Lighting)

├ 侵入者を落胆させせる。
└ 人員の出入り口や駐車場エリアおよび重大なセクションに安全性を供給するために使用する。
└ 重大なエリアの照明は、高さ8フィートで2フィートは外へ出す。


10.6.7. 監視手段 (Surveillance Devices)
(3つの主な種類)
ガードマン (Patrol Force and Guards)

└ 判断する事ができる。

 犬

└ 忠実である、信頼できる、また匂いの感覚および聞くことを持っている。

CCTV、カメラ

└ 視覚的な記録する装置

10.6.8. 検出 (Detecting)
接近検知システム/キャパシタンス検知器(Proximity Detection System / Capacitance detector)

└ 使用にいる間測定可能な磁界を放射します。フィールドが分裂する場合、この電気的なフィールドおよびアラームが鳴らす検知器モニター

光電子測光システム(Photoelectric / Photometric System)

└ エリア内の光レベルの変化を検知します。

波形パターン (Wave Patterns -)

└ エリア一帯に送られ、レシーバーに反映される波パターンを生成します。

受動的赤外線システム(Passive Infrared System )

└ 発熱による赤外線の発光を検知するセンサーで、センサーライトなどに使われるものと同様のものです。

音響振動検知システム(Acoustical-Seismic Detection System )

└ 音と振動に敏感で、それがそうであるエリアの騒音レベルの変化が置いたことを検知します。


  
10.7. メディア記憶必要条件 (Media Storage Requirements)
メディアの破壊

└ 長期間必要でないもしくは使用しないデータは破壊されなれければならない。

オブジェクトの再使用

└ 初回の使用の後にデータ記憶メディアを再使用する概念

データ残留磁気(Data permanence)

└ 抹消の後にメディアに残る残余の情報の問題です。

データ抹消の段階

撤去>

: データメディアの上書きは、同じ組織で再利用されるつもりであったか、または環境をモニターしました。

除去>

: モニターされた環境から取り除かれるのが意図されたメディアを、消磁するか、または上書きします。
破壊: メディアを完全に破壊して、したがって、残りのデータ。

 

go to menu page

 

ここまで

 

narto.hatenablog.com

CISSP合格ノート・CBK#09 法律、調査、倫理(Law、Investigations & Ethics)

go to menu page

 

 

CBK#09 法律、調査、倫理(Law、Investigations & Ethics)

11.1. 倫理 (Ethics)

11.1.1. ISC2
倫理綱領(Code of Ethics Canons):

├ 社会、団体、インフラストラクチャーを守る。
├ 立派に、正直に、正しく、責任を持ち、合法的に行動する。
├ 雇用主に、勤勉で有能なサービスを提供する。
└ 仕事を進歩させ、守る。

11.1.2. IAB: Internet Activities Board
非倫理的で受け入れられない行動は。

├ 意図的に、インターネットのリソースに対して許可されないアクセスを行おうとすること。
├ インターネットの使用を意図的に妨害すること。
├ 意図的な行動によってリソースを浪費すること。
├ コンピュータベースの情報の完全性を破壊すること。
├ 他社のプライバシーを危うくすること。
└ インターネット上の実験の実行を無視すること。

11.1.3. 一般的に受け入れられるシステムセキュリティ原則 
(GASSP: Generally Accepted System Security Principles)

セキュリティ専門家、IT製品開発者、情報オーナー、あるいは情報セキュリティの原則の定義や制定に豊富な経験を持つ他の組織からの指導により、GASSPを策定し維持することを求める。

 

11.1.4. 動機、機会、手段 (MOM: Motivations、Opportunities and Means)

├ 動機(Motivations)    : ある犯罪の「誰が」と「なぜ」
├ 機会(Opportunities)    : ある犯罪の「どこで」と「いつ」
└ 手段(Means)    : ある犯罪が成功するために必要な能力。


11.2. 運用セキュリティ (Operations security)

11.2.1. サラミ (Salami)

└ 量がわずかで気づかれないことを狙い、アカウントから小額の資金を差し引くこと。

11.2.2. データ搾取 (Data Diddling)

└ 現存するデータの改竄を指し、しばしばこうした変更はアプリケーションに入力される前や、処理を終えるとすぐに行われ、アプリケーションから出力される。

11.2.3. 過剰な権限 (Excessive Privileges)

└ タスクを実行するために必要である以上のコンピュータ権限、許可、特権を持っている場合に起きる。

11.2.4. パスワード・スニフィング (Password Sniffing)
コンピュータ間で送信されるパスワードを得ようとしてネットワークトラフィックを盗聴すること。
IPスプーフィング(IP Spoofing):

└ パケット内のIP アドレスを他のアドレスに手動で変更する。

11.2.5. サービス不能 (DoS: Denial of Service):

└ システムが通常提供するサービスの提供を拒否させる。

11.2.6. ごみ箱漁り (Dumpster Diving)

└ 人や企業の攻撃に使うために他の人のごみを漁り、捨てられたドキュメント、情報、その他の価値ある物を探すこと。

11.2.7. Emanations Capturing

└ 電子機器から放射される電波の盗聴。

11.2.8. Wiretapping

└ 通信シグナルの盗聴。

11.2.9. ソーシャル・エンジニアリング (Social Engineering)

└ 騙されて知らず知らずのうちに与えてしまう情報を使う技術。

11.2.10. 偽装 (Masquerading)

└ 攻撃者がアイデンティティを欺く方法

11.3. 責任とその派生 (Liability and Its Ramifications)

11.3.1. 妥当な注意(Due Care)

└ 経営陣および受託責任者は、自社のセキュリティを確保するために、一定の要件を満たさなければならないという概念である。

11.3.2. 妥当な努力(Due Diligence)

└ 保護メカニズムを継続的に維持、運営する継続的なアクティビティー

11.3.3. 分別のある規則(Prudent man rule)

└ 似た状況で懸命な人々が取ると思われる任務を遂行すること。

11.3.4. Downstream liabilities

└ 複数の企業が、統合されたやり方で協働するときには、特別なケアによりそれぞれの企業が必要なレベルの保護、義務、責任を提供することを約束しなければならない。そしてこれらはそれぞれの企業が署名する契約書に明確に定義されている必要がある。

11.3.5. Legally recognized obligation

└ 他者を不当なリスクから保護するために企業に求められる行動根拠がある。企業がこの規準を遵守しない場合は他者の障害や損害につながる。

11.3.6. 直接的因果関係 (Proximate causation)

└ 損害がその企業の責任で引き起こされたものであると証明することができる。

11.4. 法律の種類 (Types of Laws)

11.4.1. 民法 (Civil law)

不法行為とも呼ばれる。
└ 個人や企業にとっての損害につながる悪事を扱う。民事訴訟の結果は懲役刑ではなく財務的制限となる。

11.4.2. 刑法 (Criminal law)

├ 個人の行動が、一般市民を守るために制定された政府の法律を犯すときに使われる。
└ 刑罰は普通、懲役刑である。

11.4.3. 行政法 (Administrative law)

├ 業績や振る舞いを規制する基準を扱う.
└ 政府機関がこうした基準を作成し、企業や企業内の個人に適用される。


11.5. 知的所有権法 (Intellectual Property Laws)

11.5.1. 企業秘密 (Trade secret)

└ 企業秘密とされるリソースは極秘にされ、確実な予防措置や行動で守られなければならない。

└ リソースのアイディアの表現を保護する。

11.5.3. 商標権 (Trademark)

└ 言葉、名前、シンボル、音、形、色、装置、もしくはこれらの組み合わせを保護する。

11.5.4. 特許権 (Patent)

├ 個人や企業が法的所有権を与えられ、特許権によってカバーされる革新の複製について他者を排除することができる。
著作権により17年間の所有権の制限を与えられる。

 

11.6. コンピュータ犯罪調査 (Computer Crime Investigations)

11.6.1. Incident response team
基本アイテム

├ 連絡を取ったり報告をしたりする外部機関やリソースのリスト。
├ 連絡を取るコンピュータフォレンジック専門家のリスト。
├ 証拠を安全に保存する手順。
├ 証拠を探す手順。
├ 報告に含めるべきアイテムのリスト。
└ 同様の状況で他のシステムをどのように扱うかについて示すリスト。


11.6.2. コンピュータ・フォレンジックス (Computer Forensics)
フォレンジック調査 (Forensics investigation) :
第一ステップ:

├ 攻撃されたシステムの信頼できるイメージを作成し、このコピーでフォレンジック分析を行う。
├ 調査の段階でデータの破壊をしてしまっても、オリジナルのシステムには影響を与えないことを保証できる。
└ また、システム上で何かをしたり電源を切ったりする前に、システムのメモリはファイルにダンプしなければならない。


第二ステップ:

├ 分析過程の管理 (Chain of custody):
├ 証拠を収集し整理する際には、非常に厳格できちんとした手順に従わなければならない。
├ 全ての証拠にはラベルを貼り、誰がその証拠を安全にし、有効にしたかを示すことを定める。
├ 分析過程の管理は、証拠が法廷に証拠として示されるためにどのように収集、分析、輸送、保存されてきたかを示す履歴である。
└ 電子的な証拠は簡単に変更できるため、明確に定義された分析過程の管理によって証拠が信頼しうるものであることを実証する。

 

11.6.3. 証拠のライフサイクル (The life cycle of evidence)
以下が含まれる。

├ 収集と特定
├ 保管、保存及び輸送 (Storage、preservation and transportation.)
├ 法廷での提出
└ 被害者もしくは所有者に返される。

11.6.4. 証拠 (Evidence)
最良の証拠 (Best evidence) :

├ 最も信頼性が高いため、裁判で使用される一次的証拠。
└ 契約書のような文書証拠にも使われる。

二次的証拠 (Secondary evidence) :

└ 最良の証拠に比べ、有罪、無罪を証明する際に信頼性や強さで劣ると見られる。

直接証拠 (Direct evidence) :

└ バックアップ情報を参照せずに、それだけで事実を証明できる。

決定的証拠 (Conclusive evidence):

└ 反駁や否定できない証拠。

状況証拠 (Circumstantial evidence):

└ 中間事実を証明でき、それにより他の事実の推定や推測に使われる。

補強証拠 (Corroborative evidence):

├ 考えやポイントを証明する助けとなる証拠。
└ それ自体では役に立たず、一時的証拠の保管ツールとして使われる。

意見証拠 (Opinion evidence) :

└ 目撃者が証言するとき、意見ルールによって事実に関するその人の意見ではなく事実のみを証言することが定められている。

伝聞証拠 (Hearsay evidence):

└ 法廷で提出される口頭もしくは書面の証拠に関しては、また聞きであったりあるいは正確さや信頼性の直接の証明がなかったりする。

 

11.6.5 証拠の特徴(Characteristics of evidence)

証拠たりうるには以下の要件を満たさなくてはならない:

満足な (Sufficient):

└ 論理的な人に対して発見の有効性を説得するに足りること。また、簡単に疑問視されないこと。

信頼できる(Reliable) / 適切(Competent) :

└ 事実と矛盾せず、事実に基づき、状況的でないこと。

関連(Relevant):

└ 発見に対して合理的でふさわしいこと。

合法的(Legally permissible):

└ 合法的に得たものであること。

誘惑(Enticement) <-> おとり(Entrapment):

├ 誘惑 (Enticement):
└ 合法かつ倫理的。
└ おとり (Entrapment):
└ 違法で非倫理的。

11.7. フォン・フリーカー (Phone Phreakers)

Blue boxing

 └ 電話会社のシステムに対して、長距離電話をかけることができるように欺くトーンをシミュレートする装置。

Red boxes :

└ 公衆電話で硬貨を入れる音をシミュレートする。

Black boxes :

└ フリーダイヤルを受けるために回線の電圧を操作する。

 

go to menu page

ここまで

 

narto.hatenablog.com

 

CISSP合格ノート・CBK#08 事業継続計画と災害復旧計画 (Business Continuity Planning &Disaster Recovery Planning)

CBK#08 事業継続計画と災害復旧計画

go to menu page

 

CBK#08 事業継続計画と災害復旧計画
(Business Continuity Planning &Disaster Recovery Planning)

10.1. 事業継続計画 (BCP: Business Continuity Planning)

BCP定義:

├ あらかじめ決められた期間内にクリティカルなビジネス機能を回復させることにより、事業運営の復旧を円滑に行い、災害の全体的な影響を減らす。
├ 損失を最小限にとどめる。
└ できるだけ早期に、損害を受けた設備を修復または交換する。

BCP要件:

├ 復旧手順の文章化、試験、訓練により、危険の際に生じる混乱を避けること。
├ 災害を宣言するための明確な指針。
├ クリティカルなサービスをタイムリーに再開するために必要な指示を与えること。
├ クリティカルなシステムとサポート機能の格納、防護および復旧手順を文章化すること。
├ 主要拠点が深刻な機能停止に至った場合に、代替拠点でクリティカルな業務を再開するために必要な処置やリソースを記述すること。
└ 復旧手順を文章化して、事情に通じている人員が手順を実行できるようにすること。

 

BCPの諸段階:

1. プロジェクトの管理と開始
2. 事業影響度分析(BIA)
3. 復旧戦略
4.計画の設計と作成
5.実装
6.試験
7.維持管理、認識、訓練

復旧のプロセス:

    1. 災害への対処
    2. クリティカルな機能の修復
    3. クリティカルでない機能の修復
    4. 回復および修復
    5. 本来拠点の復帰

主要な要素:

├ 範囲と計画の開始 (Scope and Plan Initiation)
├ ビジネス影響分析 (Business Impact Assessment)
├ 事業継続計画作成 (Business Continuity Plan Development)
└ 計画の承認と実施 (Plan Approval and Implementation)

 

10.1.1. 範囲と計画の開始 (Scope and Plan Initiation)
BCPプロセスを開始する。
計画の範囲策定を伴う。

├ 役割と責任 (Roles and Responsibilities) :
├ BCP委員会 (The BCP Committee):
├ 委員会は、計画の策定、実行、テストを行う責任を負うために作られる。
└ 上級管理職や全てのファンクショナルビジネスユニット、情報システムおよびセキュリティ管理者の代表から成る。
└ 上級管理職の役割:
└ 計画の4 段階の全てに関して最終的な責任を負う。

 

10.1.2. ビジネス影響分析 (BIA: Business Impact Assessment)

├ 事業部門において中断イベントによる影響を把握するためのプロセスである。
├ 影響は財務に関わるもの(数量的)か、運営に関わるもの(質的、例えば顧客に対応することができない等)である。
脆弱性評価はBIAプロセスの一部であることが多い。
└ 企業の存続にとって致命的となるシステムを特定し、災害や中断イベントによって引き起こされる許容休止時間を見積もる。

 

BIAの主要な3つのゴール:
臨界優先順位 (Criticality Prioritization):

└ 致命的となる事業部門のプロセス全てを確認して優先順位をつけ、中断イベントの影響を見積もらなければならない。

ダウンタイムの見積もり (Downtime Estimation):

└ 存続している企業であり続け、事業が許容できるMTB(Maximum Tolerable Downtime、 最大許容ダウンタイム)を見積もらなければならない。

リソース要件 (Resource Requirements):

└ 重要なプロセスに必要なリソースをこの段階で明確にする。 最も時間に依存するプロセスに最大のリソース割り当てを行う。

BIAの4つのステップ:
必要な評価材料を収集する:

└ 許容レベルの運営を続けるためにどの事業部門が重要であるか見定める。

脆弱性評価を実施する:

├ 完全なリスク評価より小規模で、BCPもしくはDRPのための情報を提供することに焦点を絞っている。
├ 機能は損失影響分析を実施することである。
└ 重要なサポート分野を定義しなければならない。

収集した情報を分析する:
文章化と提言:

└ 調査内容をもとに評価しを報告するとともに、提言する。

10.1.3. 事業継続計画の整備 (Business Continuity Plan Development)

├ BIAで収集した情報を用いて実際の事業継続計画を整備すること。
└ これには計画の実施、テスト、進行中の計画の保守が含まれる。

主な2つのステップ:
継続戦略を定義する:

└ ビジネスは災害による中断イベントをどのように管理すると想定されるか。

継続戦略を文書化する:
└ 結果を文書化する。

10.1.4. 計画の承認と実施 (Plan Approval and Implementation)

└ 最終的なシニアマネジメントの署名をもらい、全社レベルで計画を認知し、必要に応じてメンテナンス手順を実施することが含まれる。

10.2. 災害復旧計画 (DRP: Disaster Recovery Planning)

├ 情報システムリソースに多大な損失を与える中断イベントについて、事前、事中、事後に取るべきである首尾一貫した行動の包括的なステートメント
└ 主要な目的は、代替サイトで重要なプロセスを実行し、迅速な復旧手順によって、組織にとっての損失が最小になるようなタイムフレームで本来のサイトと通常のプロセスに戻ることができるようにすることである。

災害復旧プロセスのフェイズ:

├ データ処理継続計画 (Data Processing Continuity Planning)
└ データ復旧計画のメンテナンス (Data Recovery Plan Maintenance)

10.2.1. データ処理継続計画 (Data Processing Continuity Planning)
代表的な代替処理タイプ:

└ 相互扶助契約 (Mutual aid agreements / Reciprocal agreements):
├ 似たようなコンピューティングニーズを持った他の企業との契約。
├ 利点は低コスト
└ 欠点は、イベントの最中にそれぞれの組織が完全な運営プロセスを行えるほどの、余分なキャパシティを持っていることが非常にありそうにないことであるという点である。

10.2.2. サブスクリプションサービス (Subscription services)
ホットサイト (Hot site):

├ 完全に設定したコンピュータ設備で、電力、暖房、換気、空調(HVAC)、機能しているファイルサーバやプリンタサーバ、ワークステーションを持つ。
├ 利点は24時間/7日利用可能なことである。
└ 欠点は費用がかかること、サービスプロバイダがキャパシティ以上のものを売るかもしれないこと、情報が2カ所に保存される際のセキュリティの危険、コントロールを2回行われなければならないため管理リソースを多く必要とすることである。

ウォームサイト (Warm site):

├ 電力、暖房、換気、空調とコンピュータを持つ設備であるが、アプリケーションがインストールされていない場合がある。
├ 利点はコストがホットサイトよりかからないこと、サイト(場所)の選択が柔軟に行えること、ホットサイトと比較して管理リソースが少なくて済むことである。
└ 欠点は、新しいサイトで生産処理を始めるための時間と労力の差である。

コールドサイト (Cold site):

├ 緊急時に設備を持ち込むことができるが、サイトにハードウェアは全くない。
├ 利点は低コスト。
└ 欠点は災害が起こった際に機能しない可能性があることである。

10.2.3. 複数センター (Multiple centers)

├ 処理が複数のセンターに分散しており、冗長性に関して分散アプローチを取り、利用可能なリソースを共有する。
├ 利点は低コスト。
└ 欠点は大きな災害では複数サイトの処理能力を簡単に凌駕してしまうことである。

10.2.4. サービスビューロー (Service Bureaus)

├ 代替バックアッププロセスサービスの全てを提供してもらうことをサービスビューローと契約する。
├ 利点 ⇒ 迅速な反応と可用性である。
└ 欠点 ⇒ 大規模な災害時に費用とリソースの取り合いになることである。

データセンターバックアップの他の選択肢:

├ ローリング / モバイルバックアップサイト (Rolling / Mobile backup sites)
├ 組織内もしくは外部からの代替ハードウェア供給
└ プレハブビルディング

移行処理における耐障害性と冗長性レベルに使用される3つのコンセプト:
Electronic vaulting:

├ バックアップデータをオフサイトの場所に転送すること。
└ これは主に代替サイトのサーバに、コミュニケーションラインを通じてデータのダンプを行うバッチ処理である。

リモートジャーナリング (Remote journaling):

├ 代替サイトにトランザクション処理を平行して行うこと。
└ データが生じるたびに、リアルタイムのデータがコミュニケーションラインを使って送信される。

データベースシャドーイング (Database shadowing):

└ リモートジャーナリングのライブ処理を使用するが、複数のサーバにデータベースセットを複製することによって、さらなる冗長性を持たせる。

 

10.2.5. データ復旧計画のメンテナンス (Data Recovery Plan Maintenance):
計画を最新で適切な物に保つ。
10.2.6. DRPのテスト (Testing the DRP: Disaster Recovery Plan):
テストのタイプ:
チェックリスト (Checklist):

└ 計画のコピーがマネジメントにレビューのために配布される。

構造化ウォークスルー (Structured Walk-Through):

└ ビジネスユニットのマネジメントが計画のレビューのために集まる。

シミュレーションテスト (Simulation Test):

└ 全てのサポート要員が訓練の遂行セッションで集まる。

パラレルテスト (Parallel Test):

└ 重要なシステムが代替サイトで実行される。

完全中断テスト (Full-Interruption Test):

└ 通常の生産が中断され, 実際の災害復旧プロセスが行われる。

災害復旧プロセスの主要な要素:
復旧チーム(The recovery team):

├ 災害の宣言時に復旧手順を実行する任務が明確に定義される。
└ 主要な職務はあらかじめ決められた重要なビジネス機能を代替のバックアップ処理サイトで行うことである。

10.2.7. 救助チーム (The Salvage Team):

├ 本来のサイトを通常業務環境の状態に戻すために派遣される。
└ このチームは多くの場合、本来のサイトを再開できるかどうかの宣言をする権限を与えられる。

10.2.8 通常業務再開 (Normal Operations Resume):

├ 最小の混乱やリスクで生産業務を代替の場所から本来の場所に戻す全ての手順。
└ 全ての業務が本来のサイトで完全に生産モードに戻るまで緊急事態が終わったとは言えない。

10.2.9. その他の復旧問題 (Other recovery issues):

├ 外部のグループとのインターフェイス
├ 従業員関係
├ 不正行為と犯罪
├ 金銭出費
└ メディア関係

 

go to menu page

ここまで

narto.hatenablog.com

CISSP合格ノート・CBK#07 運用セキュリティ(Operations Security)

CBK#07 運用セキュリティ(Operations Security)

CISSP 合格ノート

go to menu page

CBK#07 運用セキュリティ(Operations Security)

7.1. 制御と防御 (Controls and Protections):

ハードウェア、ソフトウェア、メディアリソースを以下の事項から守るために行う。

├ 運用環境内の脅威
├ 内部、外部の侵入者
└ リソースに対して不適切なアクセスを行うオペレータ

7.1.1 制御のカテゴリ(Categories of Controls):
予防制御 (Preventative Controls):

セキュリティポリシー侵害またはリスク増大につながる行為を阻止するための措置、仕組み、ツール。

行為指示制御 (Directive Controls):

└ リスクを減らすために、行動を阻止するあるいは命じるための規定および手順。

検知制御 (Detective Controls):

└ セキュリティ侵害を特定し、それに対処するための措置、処理、ツール。

是正制御 (Corrective Controls):

└ 攻撃に対処するための措置、処理、応用、または攻撃によるリスクを低減あるいは除くための是正措置の方法。

復旧制御 (Recovery Controls):

└ 攻撃を受けた後、またはシステム障害が発生した後、通常の運用状態に戻すための措置、処理、仕組み。

抑制制御 (Deterrent Controls): 

└ 侵害行為を阻む。

アプリケーション制御 (Application Controls):

└ ソフトウェアの運用上の不正を最小にし、また検知するためにソフトウェアアプリケーション内に設計された制御。

トランザクション制御(Transaction Controls):

トランザクションの様々な段階に対して行う制御。制御のタイプは、入力、処理、出力、変更、テストである。

 

7.1.2. オレンジブックコントロール (Orange Book Controls):

├ 運用上の保証 (Operational assurance):
├ システム構造 (System architecture)
├ システム完全性 (System integrity)
├ コバートチャネル分析 (Covert channel analysis)
├ 高信頼設備管理 (Trusted facility management)
└ 高信頼リカバリ (Trusted recovery)

 

7.1.3. ライフサイクル保証 (Life cycle assurance):

├ セキュリティテスト (Security testing)
├ 設計の仕様と検証 (Design specification and testing)
コンフィギュレーション管理 (Configuration management)
└ 高信頼配布 (Trusted distribution)


7.1.4. コバートチャネル分析 (Covert channel analysis):
B2:

├ システムにはコバートストレージチャネルに対する防御策がなければならない。
└ 全てのコバートストレージチャネルについてコバートチャネル分析を行わなければならない。

B3およびA1:

├ システムにはコバートストレージチャネルおよびコバートタイミングチャネルに対する防御策がなければならない。
└ 両タイプについてコバートチャネル分析を行わなければならない。

 

7.1.5. 高信頼設備管理 (Trusted Facility Management):
B2:

└ システムにおいてオペレータとシステム管理者のロールを分けなければならない。

B3およびA1:

└ システムにおいてセキュリティ関連機能を行うセキュリティ管理者機能を明確に特定しなければならない。

 

7.1.6. 高信頼リカバリ (Trusted Recovery)

システム故障やシステム不具合が生じたときに、セキュリティが侵害されないことを保証すること。

B3レベルとA1レベルのシステムにのみ必要。
故障の準備(Failure preparation):

└ 定期的に重要なファイル全てのバックアップを取る。

システムリカバリ(System recovery):

└ コモン・クライテリアにおいて以下の3つの階層型リカバリタイプが定義されている。
├ 手動リカバリ (Manual recovery)
├ 自動リカバリ (Automated recovery)
└ 不適切な損害のない自動リカバリ (Automated recovery without undue Loss)

7.1.7. 人事セキュリティ

従業員の経歴と評定が、機密あるいはクリティカルな任務に必要な信用性を裏付けるか確かめる手順。
└ アクセス権を持つ人員は、一定のセキュリティクリアランス(機密事項取扱資格)を持っている場合があるが“知る必要性(need to know)”を持つとは限らない。
ポリシー、スタンダード、プロシージャ、ベースライン、ガイドラインへの準拠を監督する。


7.1.6. 職務分離とジョブローテーション (Separation of duties and job rotation):
最小特権 (Least privilege):

└ システムのユーザは、自分の仕事を行うのに必要な最小限の権利と特権を持っており、 それらはまた最小限の期間だけ認められていることを意味する。

Two-man control:

└ 2人のオペレータがそれぞれの仕事をリビューし、承認し合う。これにより責任が生じ、非常に慎重を期すべきトランザクションや、リスクの高いトランザクションにおける不正行為を極力減らすことができる。

デュアルコントロール (Dual control):

└ 慎重を期すべきタスクを完了するために2人のオペレータが必要である。

ジョブローテーション (Job rotation):

└ 異なるセキュリティ分類の異なるタスクに移る前に、セキュリティ関連タスクを遂行するためにオペレータに割り当てられた期間を制限するプロセス。

 

7.1.8. コンフィギュレーション変更管理制御 (Configuration Change Management Control):
コンフィギュレーション管理

├ システムのハードウェア、ソフトウェア、および文章への変更を管理する。
└ 不正な変更が行われないように管理する。

変更制御プロセスを実行・サポートする手順:

├ 変更の申し出 (Applying to introduce a change)
├ 意図した変更のカタロギング (Cataloging the intended change)
├ 変更のスケジューリング (Scheduling the change)
├ 変更の実施 (Implementing the change)
└ 適切な関係者への変更のレポート (Reporting the change to the appropriate parties)

7.1.9. クリッピングレベル (Clipping Levels):

└ あるタイプのエラーやミスが許される閾値で、 不審であるとみなす前に許されるミスの回数。 クリッピングレベルを超えると、更なる違反はリビューのために記録される。

 

7.1.10. 管理上の制御 (Administrative Controls):
コンピュータセキュリティに対する脅威や影響を軽減するために、経営管理によって行われる制御。

├ パーソナルセキュリティ (Personal Security)
├ 雇用前調査と経歴調査 (Employment Screening or Background Checks)
├ 1 週間単位での休暇取得義務 (Mandatory Taking of Vacation in One Week Increment)
├ ジョブアクション警告もしくは解雇 (Job Action Warnings or Termination)
├ 職務と責任の分離 (Separation of Duties and Responsibilities)
├ 最小特権 (Least Privilege)
├ 知る必要性 (Need to Know)
├ 変更/コンフィギュレーション管理制御 (Change/Configuration Management Controls)
└ 記録保存と文書化 (Record Retention and Documentation)


7.1.11. 記録保持 (Record Retention):
データ残存 (Data purging): 

└ 消去後のメディアに残っているデータのこと。

7.1.12. 運用制御 (Operations Controls):

コンピュータオペレーションを守るために行われる日々の手順。

リソース保護 (Resource Protection):

└  組織のコンピューティング資源と資産を損失や侵害から保護するコンセプト。ハードウェア、ソフトウェア、データ資源をカバーする。

 

7.1.13. ハードウェア制御 (Hardware Controls)

├ ハードウェア保守 (Hardware Maintenance )
├ 保守アカウント (Maintenance Accounts)
├ 診断ポート制御 (Diagnostics Port Control)
└ ハードウェア物理制御 (Hardware Physical Control)

7.1.14. ソフトウェア制御 (Software Controls)

アンチウイルス管理 (Anti-virus Management)
ソフトウェアテスト (Software Testing)
├ ソフトウェアユーティリティ (Software Utilities)
├ 安全なソフトウェア保存 (Safe Software Storage)
└ バックアップ制御 (Backup Controls)

7.1.15. 特権エンティティー制御 / 特権オペレーション機能
(Privileged Entity Controls / Privileged operations functions)

├ システムコマンドへの特別アクセス(Special access to system commands)
├ 特殊パラメータへのアクセス(Access to special parameters)
└ システム制御プログラムへのアクセス(Access to the system control program)

7.1.16. メディア資源保護 (Media Resource Protection)

意図の有無に関わらず、機密データの漏洩による全てのセキュリティリスクから保護するために行われる。

メディアセキュリティ制御 (Media Security Controls):

機密情報の損失を防ぐために設計されるべきであり、また以下のことが行える:

├ ロギング
├ アクセス制御
└ 適切な廃棄

メディア・実行可能性制御 (Media Viability Controls):

データストレージメディアの実行可能性(viability)を守るために使用されるべきであり、システムリカバリプロセスにおいて必要とされる。
├ マーキング (Marking)
├ ハンドリング (Handling)
└ 保管 (Storage)

7.1.17. 物理アクセス制御 (Physical Access Controls):

外部サポートプロバイダがデータセンターに入る場合には、特別な監視の手配が行わなければならない。

├ 対象
├ ハードウェア
└ ソフトウェア

ピギーバッキング(Piggybacking): 

├ 許可されていない人物が、許可された人物の後ろからドアを通ること。
└ これを防ぐためにマントラップの概念が設計された。

 

7.2. 監視と監査 (Monitoring and Auditing)

7.2.1. 監視 (Monitoring)

コンピュータ設備のオペレーションに影響を及ぼしかねないセキュリティ事件の発見のためのメカニズム、ツール、手法を含んでいる。

監視手法 (Monitoring techniques) 

├ 侵入検知 (Intrusion detection)
├ 侵入テスト (Penetration testing)
├ スキャンとプローブ(Scanning and probing)
├ デーモンダイヤリング(Demon Dialling)
├ スニフィング(Sniffing)
├ ゴミ箱あさり(Dumpster Diving)
ソーシャルエンジニアリング(Social Engineering)
クリッピングレベルを使用した違反処理

7.2.2. 監査 (Auditing)

運用上のセキュリティ制御監視の基礎となる。

監査証跡 (Audit Trails):

└ これにより、セキュリティ実行者がトランザクション履歴を追うことができる。

問題管理コンセプト (Problem Management Concepts):

├ 管理可能なレベルに不具合を減らす
├ 問題の発生、再発生を防ぐ
└ 問題がコンピュータサービスやリソースに及ぼす悪影響を軽減する。


7.3. 脅威と脆弱性 (Threats and Vulnerabilities)
7.3.1. 脅威 (Threats)
不慮の損害 (Accidental loss):

└ 意図せずに生じる損害で、オペレータ教育や習熟の不足やアプリケーション処理手順の不具合による。
├ オペレータの入力ミスや削除
トランザクション処理エラー

 

不適切なアクティビティ(Inappropriate Activities):

└ 犯罪行為までは行かないがジョブアクションや解雇につながるコンピュータ行動。
├ 不適切な内容
├ 会社のリソースの無駄遣い
セクシャルハラスメントや人種ハラスメント
└ 特権や権利の濫用

 

不法なコンピュータオペレーションと意図的な攻撃:

└ 個人の経済的利益や、破壊を目的とし、意図的で不法と見なされるコンピュータアクティビティ。
├ 盗聴 (Eavesdropping)
├ 不正行為 (Fraud)
├ 窃盗 (Theft)
サボタージュ (Sabotage)
└ 外部攻撃 (External Attack)

7.3.2. 脆弱性 (Vulnerabilities):

トラフィック分析/トレンド分析 (Traffic / Trend Analysis)
├ 保守アカウント (Maintenance Accounts)
├ データスキャベンジング攻撃 (Data Scavenging Attacks)
├ IPL 脆弱性 (IPL Vulnerabilities)
└ ネットワークアドレスハイジャック (Network Address Hijacking)

7.4. 電子メイルとインターネットセキュリティ問題 (E-mail and Internet Security Issues)

7.4.1. 電子メイル (E-mail)
SMTP

└ メッセージを転送するエージェントとして働く。

POP

├ インターネットメイルサーバプロトコルで、メッセージの出入りをサポートする。 
└ メッセージがPOPサーバからダウンロードされると、通常はサーバから削除される。

IMAP

インターネットプロトコルで、ユーザがメイルサーバ上のメイルにアクセスすることを可能にする。
└ メッセージはメイルサーバからダウンロードされるか、サーバ上のメイルボックスと呼ばれるユーザ自身のリモートメッセージフォルダに残される。

 

7.4.2. ハッキングと攻撃の手法 (Hack and Attack Methods)
ポートスキャンとネットワークマッピング (Port Scanning and Networking mapping):

├ ネットワークマッピングツールは、ネットワーク上のたくさんのシステムに対して、一見悪意のないパケットを送る。
└ ポートスキャンは、コンピュータ上の開いているポートを特定する。

 

スーパーザッピング (Super zapping):

└ IBMメインフレームセンターで使用されるユーティリティで、オペレーティングシステム内のアクセス制御を回避することができる。


ブラウジング (Browsing):

├ 侵入者がアクセスを許可されていない情報を得るために使用される。
└ サーバやワークステーション上に保存されている他人のファイルを見たり、不注意に捨てられた情報をゴミの中から探したり、フロッピーディスクに保存された情報を見ることによって行われる。

スニファ(Sniffers):

トラフィックをモニタするツール。
└ このツールはハードウェア、もしくはプロミスキャスモードのネットワークインターフェイスカード(NIC)を持ったコンピュータ上で動くソフトウェアである。

 

セッションハイジャック (Session Hijacking):

└ 攻撃者は検知されることなく会話の間に入り込む。

パスワードクラッキング(Password Cracking):

└ パスワードを捕らえ暴く-

辞書攻撃 (Dictionary attack): 

├ ハッキングツールに大量の単語のリストを入れる。
└ このツールは捕らえたパスワードと、リスト内の単語に一方向ハッシュ関数をかけ、ハッシュ値が合致するかどうか比較する。もし合致したらパスワードが得られ、そうでなければリスト内の次の単語に進む。

総当たり攻撃(Brute force attack): 

└  数多くの様々な文字のバリエーションを試す。それぞれのバリエーションに対してハッシュ値を求め、それを捕らえたパスワードのハッシュ値と比較する。

バックドア(Backdoors):

└ 攻撃者によりインストールされたプログラムで、後日、ログイン情報を入力したり認証プロセスを経たりすることなしにコンピュータに再度入り込むことができるもの

 

go to menu page

ここまで

narto.hatenablog.com

CISSP合格ノート・CBK#06 セキュリティ構造とモデル (Security Architecture & Models)

CBK#6 セキュリティ構造とモデル (Security Architecture & Models)



go to menu page

CBK#6 セキュリティ構造とモデル (Security Architecture & Models)

6.1. セキュリティモデル (Security Model)

└ 特定のセキュリティポリシーを適切にサポートするための要件を概説するもの。

6.2. コンピュータアーキテクチャー (Computer Architecture)

6.2.1. 中央演算装置 (CPU: Central Processing Unit)
マイクロプロセッサ。

├ 制御ユニット、整数論理演算ユニット(ALU、Arithmetic Logic Unit)、主記憶装置(primary storage)を持つ。
├ CPU が必要とする命令とデータは主記憶装置に保持される。
├ 主記憶装置は命令を保持する一時記憶領域で、命令はCPU が解釈しデータ処理をする。

バッファーオーバーフロー(Buffer overflow) 。

├ 処理されるデータはブロック単位でCPU に入力される。 
└ ソフトウェア命令において入力されるデータのブロックの大きさを適切に設定されていないと、余分なデータが入り込み実行されてしまう。

実記憶装置(Real storage) :

└ 命令とデータが処理されると、システムの記憶領域、実記憶装置に移動される。

6.2.2. メモリ (Memory)
RAM / ランダムアクセスメモリ(Random Access Memory) :

└ 電源が切れると内容が消える揮発性メモリである。

RAMのタイプ:

├ スタティックRAM (Static RAM) :
└ データを保存すると、継続的にフラッシュしなくても保持されている。
└ ダイナミックRAM (Dynamic RAM) :
電荷が漏洩し減少していくため、保存されているデータを定期的にリフレッシュする必要がある。
ROM/リードオンリーメモリー(Read-only memory) :
└ 不揮発性メモ、ROM内に保存されたソフトウェアはファームウェアと呼ばれる。
EPROM/ (Erasable and programmable read-only memory) :
└ 保持しているデータを電気的に消したり書いたりできる。

6.2.3. キャッシュメモリ (Cache memory)

└ RAM の一部で、高速な読み書きに使用される。

6.2.4. PLD. プログラマブル・ロジックデバイス(Programmable Logic Device)

└ プログラミング処理によって変更できるコネクションや内部ゲートを持つ集積回路

6.2.5. メモリマッピング (Memory Mapping)
実メモリもしくはプライマリメモリ(Real or primary memory) :

├ CPU が直接アクセスできる。 
└ 実行されているプログラムに関連する命令やデータの格納に利用される。

セカンダリメモリ(Secondary memory) : 
└ より遅いメモリ(磁気ディスク等)で、不揮発性のストレージを提供する。

順次メモリ (Sequential memory) :

├ その場所に直接アクセスするのではなく、先頭から順に探すことによって情報が得られる。 
└ 磁気テープなど。

仮想メモリ (Virtual memory) :

└ プライマリメモリと協働してセカンダリメモリを使用し、CPU に対して、実メモリロケーションのように見える大きなアドレススペースを提供する。

8.2.6. メモリアドレッシング (Memory addressing)
レジスタアドレッシング(Register addressing) :

└ CPU 内のレジスタや、主記憶装置内で指定された特殊目的レジスタをアドレッシングする。

直接アドレッシング(Direct addressing) :

├ メモリ位置の実際のアドレスを特定することにより主記憶装置のある部分をアドレッシングする。 
└ メモリアドレスは通常実行されるメモリページか、ページ0に制限されている。

絶対アドレッシング(Absolute addressing) :

└ プライマリメモリスペース全てのアドレッシング。
インデックス付きアドレッシング(Indexed addressing) :
└ プログラムの命令で定義されたアドレスの内容を、インデックスレジスタの内容に加えることによりメモリアドレスとする。この、計算によって出された有効なアドレスが、要求されたメモリ位置へのアクセスに使用される。したがって、インデックスレジスタがインクリメントあるいはデクリメントされると、メモリ位置の範囲にアクセスできる。

含意アドレッシング(Implied addressing):

└ プロセッサ内のオペレーションが実行されなければならないとき、例えば算術操作の結果としてセットされた桁上がりビットをクリアする場合などに使用される。この操作は内部レジスタに対して行わなければならず、また内部レジスタは命令自体の中に指定されるので、アドレスを与える必要はない。

間接アドレッシング(Indirect addressing) :

└ アドレス位置がプログラムの命令内で指定され、最終的に要求する位置のアドレスを含んでいるときのアドレッシング。

6.2.7. CPUモードとプロテクションリング (CPU Modes and Protection Rings)
プロテクションリング(Protection rings) :

├ それぞれのリング内のどのプロセスがアクセスでき、どのコマンドが実行できるかについての厳格な境界を定める。 
└ 内部リング内で動いているプロセス(スーパーバイザーモード/特権モード)は外部リングで動いているプロセス(ユーザモード)よりも多くの権限を持つ。

6.2.8. オペレーションの状態 (Operating states)
実行可能状態 (Ready state):

└ アプリケーションは処理を再開する準備ができている。

管理状態 (Supervisory state):

└ システムは、システムもしくは優先順位の高いルーチンを実行している。

問題状態 (Problem state):

└ システムはアプリケーションを実行している。

待ち状態 (Wait state):

└ アプリケーションは特定のイベント、例えば文字入力やプリントジョブの完了を待っている。

6.2.9. マルチスレッディング、マルチタスキング、マルチプロセシング 
(Multi-threading, tasking, processing)
マルチスレッディング(Multithreading) :

└ 1つのアプリケーションが、異なるスレッドを使用するコールを一度に複数実行できる。

マルチタスキング(Multitasking) :

└ CPU が一度に複数のプロセスやタスクを実行できる。

マルチプロセシング(Multiprocessing) :

└ コンピュータが複数のCPU を持ち、命令の実行にそれらをパラレルで使用することができる。

6.2.10. 入出力装置管理 (Input/Output Device Management)
デッドロック状態(Deadlock situation):

└ 使用後に構造が壊されてリリースされない場合、リソースは他のプログラムやプロセスに使用されなければならない。


6.3. システム構造 (System architecture)
6.3.1. 高信頼コンピューティング基盤 (TCB: Trusted Computing Base)

├ コンピュータシステム内のプロテクションメカニズムのトータルな組み合わせとして定義されている。
├ ハードウェア、ソフトウェア、ファームウェアを含む。
オレンジブックに由来する。
オレンジブックでは、高信頼システムとは、アクセス権やセキュリティポリシーに反することなくユーザのために機密性の高い、あるいはそれ以外のデータの完全性を守るための対策を活用するハードウェア、ソフトウェアとして定義されている。
└ システム内の全ての防御メカニズムを網羅して、セキュリティポリシーを施行し、期待されるように振る舞う環境を提供する。

6.3.2. セキュリティ境界 (Security perimeter)

├ TCBの外部のリソースとして定義される。
└ 機密情報が意図しない方法で流れないようにするために、信頼されたコンポーネントと信頼されていないコンポーネントとの間のコミュニケーションをコントロールしなければならない。

6.3.3. 参照モニタ (Reference monitor)

├ 抽象的な機械で、サブジェクトのオブジェクトに対する全てのアクセスを仲介し、サブジェクトが必要なアクセス権を持った上で許可されないアクセスからオブジェクトを保護して有害な変更から守る。
└ これはアクセス制御コンセプトであり、実際の物理的コンポーネントではない。

6.3.4. セキュリティカーネル (Security kernel)

├ TCBの中のメカニズムから成り、参照モニタコンセプトを強化する。
├ TCBの中心部分で、高信頼コンピューティングシステムを構築するアプローチとして最も一般的に使われる。
(3つの要件)
├ 参照モニタコンセプトを実行するプロセスを分離し、不正防止機能がなければならない。
├ 参照モニタは全てのアクセス試行に対して呼び出され、これを回避することができてはならないしたがって、参照モニタは完全でかつフールプルーフ機能が備わっていなければならない。
└ 完全かつ包括的にテスト・検証することができるように十分に小さくなければならない。

6.3.5. ドメイン (Domains):

サブジェクトがアクセスできるオブジェクトの集合として定義される。

実行ドメイン (Execution Domain):

└ 特権ドメイン内のプログラムは異なるドメイン内のプログラムが、環境に悪影響を及ぼさないことを保証しながら命令の実行やデータの処理を行うことができる必要がある。

セキュリティドメイン (Security Domain):
サブジェクトあるいはオブジェクトが割り当てられたプロテクションリングに対して、直接の相関を持つ。
└ プロテクションリングの番号が小さいほど特権が高く、セキュリティドメインが大きい。

6.3.6. リソース隔離 (Resource isolation):
ハードウェアセグメンテーション(Hardware segmentation):

└ メモリは論理的にだけでなく物理的にも分離される。

6.3.7. セキュリティポリシー (Security policy):

└ ルール、実行、手順をまとめたもので、機密情報をどのように管理、保護、配布するかについて定めている。
複数レベルセキュリティポリシー(Multilevel security policy) :
└ 高セキュリティレベルから低セキュリティレベルへの情報フローを阻止するセキュリティポリシー

6.3.8. 最小特権 (Least privilege)

└ リソースやプロセスは、機能を遂行するために必要なレベル以上の特権を持たないということを意味する。

6.3.9. レイヤー化 (Layering)

└ 構造化されたヒエラルキー構造で、基本機能は低いレイヤーで、より複雑な機能は高いレイヤーで処理する。

6.3.10. データ隠蔽 (Data hiding)

└ 異なるレイヤーのプロセスがお互いにコミュニケートする必要がない場合には、そのためのインターフェイスを持たない。

6.3.11. 抽出(Abstraction)

└ オブジェクトのクラスが特定のパーミッションを割り当てられ、受け入れられるアクティビティが定義される。これによりそれぞれのオブジェクト毎にクラスが扱われないため、異なるオブジェクトの管理が容易になる。

 

6.4. セキュリティモデル (Security Models)

セキュリティポリシーを実行するのに必要なデータ構造と技法の仕様を定めることにより、ポリシーの抽象ゴールを情報システムの言葉にマッピングする。


6.4.1. 状態機械モデル (State machine model)

└ システムのセキュリティを検証するために状態が使用される。 つまり、現在のパーミッションおよびオブジェクトにアクセスしているサブジェクトのインスタンスは全て捕らえられなければならない。

状態遷移(State transitions) :

├ 状態を変えることができるアクティビティ。
├ 状態機械モデルを採用したシステムは、その存在の全てのインスタンスにおいてセキュアな状態である。 
├ セキュアな状態で起動し、コマンドを実行し、セキュアにトランザクションを行う。
サブジェクトはセキュアな状態においてのみリソースへのアクセスを許可される。

6.4.2. Bell-LaPadula モデル (Bell-LaPadula model)

└ 情報の機密性問題を形式的に扱う。

複数レベルセキュリティシステム(Multilevel security system) :

├ Bell-LaPadula モデルを採用したシステムでは、異なるクリアランスを持つユーザがシステムを使用し、システムは異なる分類のデータを処理する。
├ 情報が分類されるレベルは使用される操作手続きを決め、格子を形成する。
├ 格子(Lattice)認証されたアクセスの下限と上限。
├ アクセスコントロールの機密性の面を実現する状態機械モデルである。
├ アクセス制御行列とセキュリティレベルが、異なるオブジェクトへのサブジェクトのアクセス可否を決めるために使用される。
├ このモデルではサブジェクト、オブジェクト、アクセス操作(読み、書き、読み書き)、セキュリティレベルが使用される。
└ 情報フローセキュリティモデルで、情報は下位のあるいは比較できない分類のオブジェクトには流れない。

(主要なルール):
シンプルセキュリティ属性 (The simple security property):

├ あるセキュリティレベルのサブジェクトはより上位のセキュリティレベルのデータを読むことができない。
└“no read up”と呼ばれる。

スタープロパティ (star* property):

├ あるセキュリティレベルのサブジェクトはより下位のレベルに書き込むことができない。
├“no write down”と呼ばれる。
└ セキュアな状態は、セキュアコンピューティング環境と、セキュリティ維持オペレーションによって許可されたアクションとして定義される。

強化スター属性 (Strong star* property):

サブジェクトは、機密度がより高いオブジェクト、またはより低いオブジェクトに対して読み込み/書き込みを実施できない。


基本セキュリティ定理(Basic Security Theorem) :

├ システムがセキュリティ状態で初期化され、全ての繊維がセキュアであれば、その後の状態は入力に関わらずセキュアである。
└ このモデルは機密性を提供するが、システムが保持するデータの完全性は扱わない。

6.4.3. Biba モデル (Biba model)

├ コンピュータシステムの完全性について最初に取り組んだモデル。
├ 階層格子モデルの完全性レベルに基づく。
├ 情報フローモデルであるセキュリティレベルから別のセキュリティレベルへの情報フローについて扱う。
├ 状態機械モデルを採用している。
サブジェクトが下位レベルのデータを読むことができるときに脅威となる、データの完全性の問題を扱っている。
├ 不正ユーザによるデータの変更を防ぐ。
└ あらゆる完全性レベルからのより上位レベルへの情報フローを阻止する。

(主要なルール):
シンプルインテグリティ属性 (Simple Integrity Condition)

サブジェクトは、完全性がより低いオブジェクトを読み取る事が出来ない。
└ “no read down“
インテグリティスター属性 (Integrity star* property)
サブジェクトは完全性がより高いオブジェクトに書き込むことは出来ない。
└ “no write up“
呼び出し属性
サブジェクトは、完全性がより高いサブジェクトにメッセージ(サービスの論理要求)を送信する事が出来ない。

 

6.4.4. Clark-Wilson モデル (Clark-Wilson model):
完全性の3つ全ての目標が対象

├ 不正ユーザによるデータの変更を防ぐ。
├ 正規ユーザによる不適切な変更を防ぐ。
└ 内部と外部の整合性を維持する。

定型化されたトランザクション

├ 内部整合性を維持/保障する。
└ ユーザは、内部整合性が保障される方法でのみデータを操作できる。

責務の分離 (第一の完全性目標と責務の分離を実装)
├ 操作を細分化する。
├ 各部をそれぞれ異なる担当者が実行する。
├ 外部との整合性を保障する。
└ 正規ユーザによる不正な変更を防ぐ。

- 商業アプリケーションにおいて、許可されたユーザが許可されていないデータの更新、不正、エラーを行うことを防止することに焦点をあてることにより情報の完全性を守る。
- ユーザはオブジェクトに直接アクセスしたり操作したりすることができず、プログラムを通じてオブジェクトにアクセスしなければならない。
- また、操作を様々な部分に分けてそれぞれの部分を別のユーザが行わなければならない職務分離も採用している。 このことにより許可されたユーザが許可されていないデータの更新を行うことを防ぎ、完全性が守られる。
- システム外部からの情報を追跡するために監査も必要である。

6.4.5. Chinese Wall Security Policy (Brewer and Nash Model)

├ 公正な競争を確保する。
├ 動的に変化するアクセス許可の実装に用いられる数学的理論
├ ウォール(壁)を定義し、サブジェクトウォールの反対側にいるオブジェクトにアクセスすることのないように、一連の規則を策定する。
├ 各人は、以前アクセスしたデータと軋轢を起こさないデータにのみアクセスが出来る。
├ 利害関係の衝突がないようにするため、制御機能を設置できるようにする。
├ ある会社のデータにユーザがアクセスした場合、競合のデータは自動的に「使用禁止」と見なされるようにできる。
├ 同じ競合データベース内で、競合データを分離する方法。
└ ユーザがオブジェクトに対しての不正な実行が出来ないことの保障を試みる。

6.4.6.情報フローモデル (Information flow model)

├ フローの方向だけでなく、あらゆる種類の情報フローを扱うことができる。
├ オブジェクトセキュリティモデルに基づく。(オブジェクトのセキュリティ属性に従う)
└ 不正な情報フローが許可されていない場合にシステムはセキュアである。

6.4.7. 非干渉モデル (Non interference Model)

└ 上位セキュリティレベルで行われたアクションが、下位で行われたアクションに対して影響を与えたり干渉したりすることのないよう保証する。

 

6.5. 運用のセキュリティモード (Security Modes of Operation)
6.5.1. 専用セキュリティモード (Dedicated Security Mode)

├ 全てのユーザにクリアランスもしくは承認が与えられており、またシステム内で処理されるデータに関して「知る必要」がある。
├ 全てのユーザには、システム上の情報へのアクセス承認が与えられ、この情報に関して機密保持契約に署名している。
└ システムでは情報の分類レベルを1つ使用することが出来る。

6.5.2. システム高度セキュリティモード (System-High Security Mode)

├ 全てのユーザには、情報アクセスのためのセキュリティクリアランスもしくは承認が与えられているが、システム内で処理される情報に関して「知る必要」は必ずしもない(データの一部のみ)。
└ 全てのユーザには最高レベルのクリアランスが必要だが、ユーザはアクセス制御行列を通じて制限される。


6.5.3. 分割セキュリティモード (Compartmented Security Mode)

├ 全てのユーザにはシステムで処理される情報へのアクセスのクリアランスが与えられるが、「知る必要」や正式なアクセス承認はないかもしれない。
├ 職務を遂行するために必要がないため、ユーザはある程度の情報へのアクセスのみに制限されている。
├ また、ユーザはデータに対する正式なアクセス許可は与えられていない。
├ コンパートメントはそれぞれのレベルでのサブジェクトのアクセスの回数が制限されているセキュリティレベルである。
└ CMW / コンパートメント(Compartments): もし必要なクリアランスを持っているなら、ユーザはデータの複数のコンパートメントを処理することが出来る。

6.5.4. 複数レベルセキュリティモード (Multilevel Security Mode):

└ システムで処理される情報に対する正式なアクセス許可を全てのユーザが持っていないとき、同時に2つ以上の情報分類レベルを処理することを許可する。

6.5.5. 信頼と保証 (Trust and Assurance)
信頼(Trust):

└ 顧客に対して、当該システムにどれくらいのセキュリティを期待できるか、どのレベルのセキュリティが提供されるかについて述べる。

保証(Assurance):

└ 全てのコンピューティング状況において、システムは正しく、また期待されたように動く。


6.6. システム評価方法 (System Evaluation Methods)

└ システムのうちセキュリティに関連した部分、つまりTCB、アクセス制御メカニズム、参照モニタ、カーネル、保護メカニズムを評価する。

6.6.1. オレンジブック (The Orange Book) / TCSEC
TCSEC: Trusted Computer System Evaluation Criteria

├ 製品について、うたわれているセキュリティプロパティがあるか、特定のアプリケーションや機能に適切であるかを評価する。
├ 評価においては、システムの機能、効率性、保証について調べセキュリティ要件の典型的なパターンを扱うクラスを使用する。
└ オペレーティングシステムに的を絞っている。

セキュリティレベルのヒエラルキー区分:

├ A. 検証された保護 (Verified protection)
├ B. 必須の保護 (Mandatory protection)
├ C. 任意保護 (Discretionary protection)
└ D. 最低限の保護 (Minimal security)
セキュリティポリシー、責任追跡性、保証、文書化領域)
セキュリティポリシー (Security policy):
 └ 明確でしかもきちんと定義され、システム内のメカニズムによって実行される。

識別 (Identification):

└ 個々のサブジェクトはユニークに識別されなければならない。

ラベル (Labels):

└ アクセス制御ラベルはオブジェクトに適切に関連付けられていなければならない。

文書化 (Documentation):

└ テスト、デザイン、仕様ドキュメント、ユーザガイド、マニュアルを含む。

責任追跡性 (Accountability):

└ 監査データは、責任追跡性のために残し、保護しておかなければならない。

└ ソフトウェア、ハードウェア、ファームウェアは個々にテストすることができ、それぞれがライフタイム中効率的にセキュリティポリシーを実行しなければならない。

継続的保護(Continuous protection):

└ セキュリティメカニズムとシステム全体は、異なる状況にも継続的に期待通りにまた受け入れられるように働かなければならない。

評価レベル

D. 最低限の保護 (Minimal Protection)
C1. 任意セキュリティ保護 (Discretionary Security Protection)    DAC
C2. アクセス制御による保護 (Controlled Access Protection)    DAC
B1. ラベル式保護 (Labeled Security)    MAC
B2. 構造化保護 (Structured Protection)    MAC
B3. セキュリティドメイン (Security Domains)    MAC、ACL
A1. 検証された設計 (Verified Design)    MAC

 

6.6.2. レッドブック (The Red Book) / TNI
TNI: Trusted Network Interpretation.

├ ネットワークとネットワークコンポーネントのセキュリティ評価トピックを扱う。
└ 隔離されたローカルエリアネットワークと広域インターネットワークシステムの両方を扱っている。

(扱っているセキュリティアイテム)
コミュニケーションの完全性(Communication integrity)

├ 認証 (Authentication)
├ メッセージ完全性 (Message integrity)
└ 否認防止 (Non repudiation)

サービス拒否の予防 (Denial of service prevention)

├ 運用の継続 (Continuity of operations)
└ ネットワーク管理 (Network management)

コンプロマイズ予防(Compromise protection)

├ データの機密性
トラフィックフローの機密性
└選択的ルーティング(Selective routing)

レーティング

├ なし(None)
├ C1 . 可(Minimum)
├ C2 . 良(Fair)
└ B2 . 優(Good)

6.6.3. ITSEC 
情報技術セキュリティ評価規格
(ITSEC: Information Technology Security Evaluation Criteria).

├ ヨーロッパでのみ使われている
(2つの主要な属性)
 機能と保証(Functionality and Assurance.)
└ セキュリティ製品とセキュリティシステムの両方のクライテリアで、その両方を評価対象(TOE: Target of Evaluation)として扱っている。

 

6.6.4. コモン・クライテリア (Common Criteria)
 国際的な評価基準.

├ 評価保証レベル(EAL: Evaluation assurance level):
├ プロテクション・プロファイル(Protection profile):
└ セキュリティ要件、その意味、理由の集合で、EAL 評価に相当する。

(2つの主な属性)

機能と保証(Functionality and Assurance.)

└ プロテクション・プロファイルの5つのセクション:
├ 記述要素 (Descriptive elements)
├ 根拠 (Rationale)
├ 機能要件 (Functional requirements)
├ 開発保証要件 (Development assurance requirements)
└ 評価保証要件 (Evaluation assurance requirements)


6.7. 認証 (Certification) <-> 認定 (Accreditation)

対象となる運用環境システムが適切に動作することを評価するためのシステム

6.7.1. 認証 (Certification)

├ システムのセキュリティ機能と防護柵を総合的に(技術的)に分析すること。
├ セキュリティコンポーネントとその整合性の技術的な評価で、認定のために行われる。
└ セキュリティメカニズムと制御およびそれらの効率性の査定プロセスである。

6.7.2. 認定 (Accreditation)

├ システムの全体的なセキュリティが適切であることを、マネジメントが正式に受け入れること。
└ 認証プロセスの結果の情報をマネジメントが公式に受け入れること。


6.8. オープンシステム (Open Systems) <-> クローズドシステム (Closed Systems)
6.8.1. オープンシステム (Open Systems)

├ 公開された仕様に基づくシステムで、サードパーティーベンダがアドオンコンポーネントや装置を開発できる。
└ 異なるベンダの異なるOS、アプリケーション、ハードウェア装置との間の相互運用性を提供する。

 

6.8.2. クローズドシステム (Closed Systems)

├ 業界の標準に従わないアーキテクチャーを採用している。
├ 異なるタイプのシステムやアドオン機能との間のコミュニケーションを簡単にするための相互運用性と標準インターフェイスは採用されていない。
└ 独自仕様であり、似たシステムとだけコミュニケーションができる。


6.9. セキュリティモデルとセキュリティ構造に対する脅威
6.9.1. コバートチャネル (Covert Channels):

許可されていない方法で、エンティティーが情報を受け取る方法で、セキュリティメカニズムでコントロールされない情報フローである。

コバートタイミングチャネル(Covert timing channel) :

└ システムリソースの使用を調節することによって情報を他のプロセスにリレーする。

コバートストレージチャネル(Covert storage channel) :

├ プロセスがあるストレージロケーションにデータを書き込むときに、他のプロセスが直接あるいは間接にそれを読むこと。
└ この問題はプロセスが別々のセキュリティレベルにある場合に生じる。 したがって機密データの共有のためのものではない。

対策:

├ こうしたチャネルに対してユーザができることはあまりない。
└ HTTPを使ったトロイの木馬に対しては、不正侵入検知システムや監査によって隠れたチャネルを見つけることが出来る場合もある。

 

6.9.2. バックドア (Back Doors)
メンテナンスフック ( maintenance hooks)とも呼ばれる。

└ 開発者だけが知っていて呼び出すことが出来る、ソフトウェア内の命令。

 

対策:

└ コードのリビューとユニットテスト、統合テストを行うことによってバックドアを見つけることができる。

バックドアに対する防御策
├ ホスト型不正侵入検知システム。
├ 設定ファイルや機密情報の書き換えから防ぐためにファイルシステムパーミッションを使用する。
├ 厳格なアクセス制御
ファイルシステムの暗号化
└ 監査

 

6.9.3. タイミング問題 (Timing Issues)
非同期攻撃とも呼ばれる。

└ システムがタスクを完了するために必要な一連のステップのタイミング差を利用する。


対策:

├ ホスト型不正侵入検知システム
ファイルシステムパーミッションと暗号化
├ 厳格なアクセス制御
└ 監査

8.9.4. バッファーオーバーフロー (Buffer Overflows)

smashing the stackとも呼ばれる。
└ プログラムに入力されるデータの長さをチェックせずにCPUで処理する場合に起こる。

対策:

├ 適切なプログラミングと望ましいコーディングの実践。
├ ホスト型不正侵入検知システム
ファイルシステムパーミッションと暗号化
├ 厳格なアクセス制御
└ 監査

go to menu page

 

ここまで

narto.hatenablog.com