第19章 出来事と倫理
19.1 調査
- 遅かれ早かれ、すべての情報セキュリティ専門家は調査対象のセキュリティ インシデントに遭遇するでしょう。
19.1.1 調査の種類
- 運用調査: 組織のコンピューティング インフラストラクチャの問題が含まれ、主な目標はビジネス上の問題を解決することです。運用調査はより緩やかで、運用上の問題を解決し、問題の根本原因を特定して同様の問題の発生を防ぐように設計されています。
- 犯罪捜査: 通常、法執行機関によって実施される違反の捜査。非常に厳格な証拠収集と保存プロセスに従う必要があります。
- 民事調査: 社内スタッフおよび法務チームを代表する外部弁護士による作業が含まれますが、証拠基準が弱いものとなります。
- 規制調査: 政府機関は、個人や企業が法律に違反した可能性があると判断した場合に規制調査を実施します。
- 電子証拠開示: セキュリティ関連の証拠を保存し、検察と起訴当事者の間で情報を共有します。
19.1.2 証拠
犯罪をうまく起訴するには、検察側弁護士は、合理的な疑いを超えて人の有罪を証明するのに十分な証拠を提供しなければなりません
- 認められる証拠
- 認められる証拠は次の 3 つの点を満たしている必要があります。
- 証拠は実装に関連するものでなければなりません
- 事件には証拠の自認が必要でなければならない
- 証拠は法的に適格である必要があります。つまり、合法的に取得する必要があります。
- 認められる証拠は次の 3 つの点を満たしている必要があります。
- 証拠の種類
- 法廷で利用できる証拠は4種類ある
- 物的証拠: 客観的証拠とも呼ばれる物的証拠は、直接証拠、または反駁できない決定的な証拠である場合があります。
- 文書証拠: 事実を証明するために法廷に提出されたすべての文書内容。証拠は検証される必要があります。
- 文書証拠とともにさらに 2 種類の証拠が使用されます
- 最良の証拠の規則では、文書は原本でなければならず、原本の証拠のコピーや記述は証拠として認められないと規定されています。
- 口頭証拠: これには証人の証言が含まれますが、記録に保存された文書証拠も含まれます。
- 伝聞: システム管理者によって検証されていないコンピュータのログ ファイルは伝聞とみなされる可能性があります。
- 法廷で利用できる証拠は4種類ある
- 証拠収集プロセス
- 証拠を収集するときは、元の証拠を保存することが重要な場合があり、データを分析するときはコピーを使用するのが最善です。
- メディア分析: メディア分析は、磁気メディア、光メディア、メモリなどのコンピュータ フォレンジック分析の一部門です。
- ネットワーク フォレンジック分析: ネットワーク フォレンジック分析は、多くの場合、インシデントに関する事前の知識や、ネットワーク アクティビティを記録する既存のセキュリティ制御の使用に依存します。
- 侵入検知および防御ログ
- トラフィック検出システムによって収集されたネットワーク トラフィック データ
- インシデント中に意図的に収集されたデータ パケット
- ログ、ファイアウォール、その他のネットワーク セキュリティ デバイス
- ソフトウェア分析: ソフトウェアとそのアクティビティの検査
- ハードウェア/組み込みデバイス分析: ハードウェアおよび組み込みデバイスの分析には、メディア分析とソフトウェア分析を習得した専門知識が必要です。
19.1.3 調査プロセス
- 法執行機関の要請: 最初の決定は、法執行機関の関与を要請するかどうかです。
- 捜査の実施: 法執行機関の支援が要請されない場合は、捜査が正確かつ公正であることを保証するために、合理的な捜査原則を遵守するよう努めるべきです。
19.2 コンピュータ犯罪の主なカテゴリ
- コンピュータ システムを攻撃する方法は数多くあり、同僚がコンピュータ システムを攻撃する動機も数多くあります。
19.2.1 軍事攻撃および諜報攻撃
- 主に法執行機関や軍事・技術研究機関から機密情報や制限情報を取得するために使用されます。
19.2.2 商用攻撃
- 企業の機密情報を違法に取得することに特化した商用攻撃
19.2.3 金融攻撃
- 金銭やサービスを違法に入手するために金融攻撃が使用される
19.2.4 テロ攻撃
- テロ攻撃の目的は、通常の生活を中断し、恐怖の雰囲気を作り出すことですが、コンピューターテロ攻撃の目的は、発電所を制御したり、停電を引き起こしたり、通信を制御したりすることである場合があります。
19.2.5 悪意のある攻撃
- 悪意のある攻撃の冬は通常、不満から来ており、攻撃者は現従業員または元従業員である可能性があります。システムの脆弱性を注意深く監視し、評価することが、ほとんどの悪意のある攻撃に対する最善の防御です。
19.2.6 興奮攻撃
- 興奮攻撃は、システムに侵入する興奮によって動機付けられた、スキルがほとんどない妨害者による攻撃です。
19.3 事故処理
- イベント: 特定の期間内に起こるすべてのこと
- インシデント: 組織のデータの機密性、完全性、可用性に悪影響を与えるイベント
19.3.1 一般的な事故の種類
- スキャン: システムをスキャンするだけでは違法ではない可能性があります。スキャンは一般的な現象なので、証拠を自動的に収集するようにしてください。
- 侵害: システムまたはシステムに保存されている情報への不正アクセス
- 悪意のあるコード: 悪意のあるコードから保護する最も効果的な方法は、ウイルスやスパイウェアをスキャンし、署名データベースを最新の状態に保つことです。
- サービス拒否攻撃: 検出するのが最も簡単なタイプのインシデント
19.3.2 対応チーム
- コンピュータセキュリティインシデントの調査を担当する専門チーム
19.3.3 インシデント対応プロセス
- テストと確認
- インシデントを特定し、適切な担当者に通知します
- 対応と報告
- インシデントが発生したと判断したら、次のステップは適切なアクションを選択することです。
- 隔離と封じ込め: 組織的な漏洩を制限し、さらなる被害を防ぐよう努めます。
- 証拠の収集: 適切な調査を行うために、機器、ソフトウェア、またはデータを押収することはよくあります。
- 所有者のリソースが証拠を引き渡す
- 個人または組織に証拠の提出を強制する裁判所の召喚状または判決、および法執行機関による召喚状の執行
- 従業員に、捜査中に必要な証拠を捜索し押収することに同意する契約書に署名させる
- 分析と報告: 証拠を収集して完全にし、証拠を分析してインシデントに至るまでの一連のイベントを特定し、結果を概説した書面による報告書を経営陣に提供します。
- インシデントが発生したと判断したら、次のステップは適切なアクションを選択することです。
- 回復と修復
- 回復: 組織に生じたすべての損害を修正し、同様のインシデントによる将来の損害を制限する
- 学んだ教訓の要約: 反省的な行動は、将来のインシデント対応を成功させるための重要な参考資料となる可能性がある
19.3.4 個人へのインタビュー
- 面接は特殊な技術であるため、訓練を受けた調査員のみが実施する必要があります。
19.3.5 事故データの完全性と保存
- 次の方法ですべての証拠の整合性を必ず維持してください。
- 必要なときに確実に証拠を入手できるようにするためのシンプルな誘導戦略
- リモートロギング
19.3.6 インシデントの報告
- 事件が発生する前に、会社の法務担当者または適切な法執行機関と良好な関係を築くことが賢明です。
19.4 倫理
- 倫理規定は専門家としての最低限の行動基準です
19.4.1 ISC の倫理規定
- 社会、公共の福祉、必要な国民の信頼と信用、インフラを守る
- 適切に行動し、正直、公正、責任を持ち、法律を遵守します
- 顧客に良心的かつ有能なサービスを提供する
- キャリアの開発と保護
19.4.2 倫理とインターネット
- 容認できない、非倫理的な
- インターネット リソースへの不正アクセスを試みる
- インターネットの通常の使用を妨害する
- これらのアクションを通じてリソースを消費します
- コンピュータベースの情報の完全性の侵害
- ユーザーのプライバシーを危険にさらす