CISSP 学習ノート: 原則とポリシーによるセキュリティ ガバナンス

#第 1 章 原則とポリシーによるセキュリティ ガバナンス

1.1 機密性、完全性、可用性を理解して適用する

セキュリティの主な目標である CIA の 3 つの要素は機密性、完全性、可用性であり、各原則の重要性は主に組織のセキュリティ目標とセキュリティへの脅威の程度によって異なります。

1.1.1 機密保持

• 機密性: 権限のない当事者によるデータ、オブジェクト、またはリソースへのアクセスを制限することで、高レベルの保証が提供されます。
• 機密性に対する攻撃: ネットワーク トラフィックのキャプチャ、パスワード ファイルの窃盗、ソーシャル エンジニアリング、ポート スキャン、ショルダー サーフィン、盗聴、スニッフィング攻撃、人為的エラー
• 機密保持に寄与する対策: 暗号化、ネットワークトラフィックスタッフィング、厳格なアクセス制御、厳格な認証手順、データ分類、広範な人材トレーニング
• 機密性と完全性は相互に依存しています

1.1.2 完全性

• 整合性: オブジェクトはそれ自体の正確さを維持する必要があり、許可されたサブジェクトのみが意図的に変更できます。
• 完全性の侵害: ウイルス、ロジック爆弾、不正アクセス、コーディングおよびアプリケーションのエラー、悪意のある変更、置換の試みおよびシステムのバックドア、人的エラー
• 完全性を保護するための対策: 厳格なアクセス制御、強力な認証、侵入検知システム、暗号化、ハッシュサム認証、インターフェース制限、入力/機能検出、および広範な人材トレーニング
• 完全性は機密保持に依存しており、機密性がなければ完全性を維持することはできません。

1.1.3 可用性

• 可用性: 認可されたサブジェクトには、オブジェクトへのタイムリーかつ中断のないアクセスが許可されます。
• 可用性に対する脅威: 機器の故障、ソフトウェア エラー、環境問題、DOS 攻撃、オブジェクトの破損、通信の中断
• 可用性は完全性と機密性に依存しており、完全性と機密性がなければ可用性を維持することはできません。

1.1.4 その他のセキュリティ概念

1. アイデンティティマーク
   • 被験者は自分自身を明らかにし、説明責任を可能にします
   • ID 認証: 宣言された ID の正当性を認証またはテストするプロセスが ID 認証です。ID 認証では、サブジェクトの追加情報が宣言された ID と完全に一致する必要があります。
2. 承認する
   • 要求されたアクティビティまたはオブジェクト アクセスが、認証と割り当てを通じて権利と特権を取得できることを確認します。認可は、DAC、MAC、RBAC などのアクセス制御モデルの概念を使用して決定されます。
3. 監査
   • 監査は、システム内の不正または異常なアクティビティを検出するプロセスです。ログは、イベント、侵入、システム障害の履歴を再構築するための監査証跡を提供します。監査は、訴追のための証拠を提供し、問題レポートと分析レポートを生成します。
   • 通常、監査はオペレーティング システムやほとんどのアプリケーションやサービスに固有の機能であるため、特定の種類の時間に関する情報を記録するシステム機能の構成は簡単です。
4. 説明責任
   • 説明責任をサポートすることによってのみ、組織のセキュリティ ポリシーを適切に実装することができます
   • 実際的な責任を負うためには、自分自身のセキュリティを法的にバックアップできなければなりません
5. 否認防止
   • 否認防止により、アクティビティやイベントの主体が何が起こったかを否定できなくなります。
   • 識別、認証、認可、説明責任、監査により、デジタル証明書、セッション識別子、トランザクション ログ、その他多くのトランスポートおよびアクセス制御メカニズムを使用して否認防止を確立し、否認防止を実現します。

1.1.5 保護メカニズム

多くのコントロールは、保護メカニズムを使用して機密性、完全性、可用性を保護します。

• 層状の
  • 多層防御とも呼ばれるシーケンシャルな複数の制御と、シリアル レイヤ化を使用したシーケンシャル レイヤ化を使用するだけです。
  • レイヤ化には、ネットワークが複数の独立したエンティティで構成されるという概念も含まれており、単一のセキュリティ防御線を構成するすべてのネットワーク システム間に相乗効果があり、セキュリティ防御線を共同で構築します。
• 抽象的な
  • 類似した要素をグループ、カテゴリ、または役割に分類することで効率を向上させるために使用されます。抽象的な概念は、オブジェクトを分類したり、主題に役割を割り当てたりするときに使用されます。
  • 抽象化により、セキュリティの種類や機能ごとに分類されたオブジェクト群にセキュリティ制御方法を割り当てることができ、セキュリティ対策が簡素化されます。
• データの隠蔽:
  • 対象者がアクセスできない、または目に見えないストレージスペースにデータを配置することで、対象者がデータを発見またはアクセスできないようにする
  • 権限のない訪問者がデータベースにアクセスできないようにするために非表示にしているのでしょうか? より低い分類レベルの対象がより高いレベルのデータにアクセスすることを制限するために非表示にしていますか? ハードウェアに直接アクセスできるようにアプリケーションを整理するために非表示にしていますか? データを非表示にしていますか?

1.2 セキュリティガバナンスの原則を適用する

• セキュリティ ガバナンスは、組織のセキュリティ関連の取り組みをサポート、定義、導くプラクティスの集合です。
• セキュリティ ガバナンスの共通の目標は、成長と回復力を目指しながらビジネス プロセスを保護することです。
• セキュリティ ガバナンスにはコンプライアンス要件もあり、セキュリティ ソリューションと管理方法の実装であり、セキュリティは IT 部門だけでなく組織全体によって同時に管理および制御されます。

1.2.1 セキュリティ機能の戦略、目標、使命、ビジョンの調整

• セキュリティ管理計画により、セキュリティ ポリシーが適切に作成、実装、施行されるようになります。
• セキュリティ ポリシーを準備する最善の方法は、トップダウンで作成することです。経営トップまたは管理部門は、組織のセキュリティ ポリシーを開始して定義する責任があります。セキュリティ ポリシーは、組織の下位レベルの担当者に対する防御線を示します。セキュリティポリシーを指導するのは中間管理部門の責任である 標準、ベースライン、ガイドライン、手順は組織の下で策定される 運用管理者とセキュリティ専門家はセキュリティ管理文書に指定された構成要件を実装する責任がある 利用者は遵守する組織によって確立されたセキュリティ ポリシー。
• セキュリティ管理計画の準備には、セキュリティの役割の定義、セキュリティの管理方法、セキュリティの責任者、およびセキュリティの利点のテスト方法の指定、セキュリティ ポリシーの開発、リスク暴露の実行、およびセキュリティに関する従業員の教育が含まれます。セキュリティ管理計画
  チームによる
• 戦略計画: 組織の目標を定義するかなり安定した長期計画。長期目標とビジョンは戦略計画で議論され、リスク評価も含まれます。
• 戦術計画：戦略計画で定めた目標を達成するための詳細な内容を定めた中期計画。プロジェクト計画、調達計画、雇用計画、予算計画、保守計画、サポート計画、システム開発計画などが含まれます。
• 運用計画: トレーニング計画、システム展開計画、製品設計計画など、組織の目標を達成する方法を明確に説明する、戦略的および戦術的計画に基づく非常に詳細な計画。

1.2.2 組織プロセス

• セキュリティ ガバナンスは、買収、売却、ガバナンス委員会などの組織プロセスを含む、組織のあらゆる側面に対応する必要があります。
  変更管理/変更管理
• セキュリティ環境の変化により、脆弱性を引き起こす抜け穴、重複、オブジェクトの損失や欠落が発生する可能性があります。変化に直面してセキュリティを維持する唯一の方法は、システムの変更を管理することです。
• 変更管理の目的は、変更によってセキュリティが低下したり危険にさらされることがないようにし、変更を以前の安全な状態にロールバックできるようにすることです。
• 並行変更は、古いシステムがサポートおよび提供するすべての必要なビジネス機能を新しいシステムが確実にサポートするように、古いシステムと新しいシステムを並行して実行する変更管理プロセスの一例です。 データ
  分類
• 分類の主な目的: 重要性と機密性に応じてデータにラベルを割り当て、データ セキュリティ保護プロセスを標準化および階層化します。
• 政府/軍の分類: 極秘、極秘、社外秘、機密だが非機密、未機密
• 商業/民間部門の分類: 機密、プライベート、機密、公共

1.2.3 セキュリティの役割と責任

• シニア マネージャー: 組織のセキュリティの維持に最終的な責任を負い、その資産の保護に最も関心を持っている人。シニア マネージャーは、セキュリティ ソリューション全体の成功または失敗に責任を負い、組織内のセキュリティの確立に適切な注意とデュー デリジェンスを持ちます。組織。
• セキュリティ専門家: 責任は、セキュリティ ポリシーの策定と実装を含め、セキュリティを保護することです。セキュリティ専門家は意思決定者ではなく、実装者です。意思決定は上級管理者が行う必要があります。
• データ所有者: セキュリティ ソリューション内で情報を防止および保護するために情報を分類する責任を割り当てられた人。
• データ管理者: 上級管理者によって指定されたセキュリティ ポリシーと保護タスクの実装を担当するユーザー。これらの対策には、データ バックアップの完了とテスト、データの整合性の確認、セキュリティ ソリューションの導入、分類に応じたデータ ストレージの管理が含まれます。
• ユーザー: 安全なシステムにアクセスできるすべてのユーザーに割り当てられます。
• 監査人: セキュリティ ポリシーが正しく実装されているかどうか、派生したセキュリティ ソリューションが適切であるかどうかをテストおよび認証し、コンプライアンス レポートと有効性レポートを作成し、上級マネージャーがこれらのレポートをレビューする責任を負います。

1.2.4 制御アーキテクチャ

• 安全指定プログラムは、プログラムの計画から始まり、次に規格と準拠の計画、そして最後に実際のプログラムの開発と設計を行う必要があります。
• 情報および関連情報の管理目標 (COBIT)。一連の優れた IT セキュリティ実践を文書化します。

1.2.5 正当な注意と正当な責任

• 適切な注意: 合理的な注意を通じて組織の利益を保護し、標準化されたセキュリティ構造を開発する
• デュー デリジェンス: デュー デリジェンス活動を継続的に実践および維持し、組織の IT インフラストラクチャにセキュリティ構造を適用します。
• 経営陣は、損失が発生した場合の過失と責任を軽減するために、十分な注意とデューデリジェンスを実行しなければなりません

1.3 セキュリティ ポリシー、標準、ガイドライン、手順を開発および文書化する

セキュリティの維持はビジネス開発の重要な部分です

1.3.1 セキュリティポリシー

• 標準化の最も高いレベルはセキュリティ ポリシーであり、多くの組織は複数の種類のセキュリティ ポリシーを使用して全体的なセキュリティ ポリシーを定義または要約しています。
• 規制戦略: 人々に規則や規制を遵守させるために使用される安全対策
• アドバイザリー ポリシー: 許容される行動と活動について議論し、セキュリティ違反の結果を定義するこのポリシーは、組織内のセキュリティとコンプライアンスに対する上級管理者の期待を説明します。
• 情報セキュリティポリシー: 特定の対象に関連する情報または知識を提供するように設計されています。

1.3.2 安全規格、ベンチマーク、ガイドライン

• 標準は、ハードウェア、ソフトウェア、テクノロジー、およびセキュリティ管理方法を統一して使用するための必須要件を定義し、セキュリティ ポリシーで指定された目標と全体的な方向性を達成するための手順と方法を定義する戦術文書です。