ISMS

IPAの情報処理技術者試験でISO関係の問題が出題されて、テストの知識として暗記した記憶だけはある。実際、どんなものか改めて確認。

ISMS自体は、直訳すれば、「情報セキュリティマネジメントシステム」で、ちゃんとセキュリティが機能する仕組み、の意味。

そのために何をすべきか、基準が定められている。

ISO/IEC 27001

ISMS（情報セキュリティマネジメントシステム）の要求事項を定めた国際規格。

ISO（国際標準化機構）とIEC (国際電気標準会議) が共同で策定している。

JIS Q 27001は国内規格で、ISO/IEC27001とほぼ同じ。

ISO/IEC 27002は、情報セキュリティ管理策の実践のための規範（～した方がよい）。

という関連性。

ISO/IEC 27001:2013

と表記されている場合、改定の年を示している。

ISO/IEC 27002が2022年に改定されるらしく、ISO/IEC 27002:2022と表現される。

ここまでで、無意味な記号で混乱してくる。

しかもwikiを見ると、ISO/IEC 27000からスタートして、ISO/IEC 27050まで、途中、欠番がありながらいろんな規格が制定されている。

ja.wikipedia.org

その中で、最近よく聞くのが、ISO/IEC 27017。

ISO/IEC 27017

ISO/IEC 27002で指示されている37の管理策に、クラウドサービスに関連する、7つの管理策を追加することにより、クラウドサービスにおいて適用可能な情報セキュリティ管理のガイドラインを示している。

認証の前提としてISO/IEC 27001が認証されていることが必要、とのこと。

他のガイドライン

アメリカでは、NIST SP 800-171と呼ばれる、政府独自のガイドラインがある。

NIST SP 800-171とは米国政府機関が定めたセキュリティ基準を示すガイドライン。

政府機関からだけではなく取引企業からの情報漏洩を防ぐために、業務委託先におけるセキュリティ強化を要求する内容になっている。

セキュリティ要件が14分野109項目で、日本の企業でもアメリカ政府機関と取引する際に要求される。

日本では、2019年4月から防衛省および防衛装備庁においてNIST SP 800-171と同程度の新防衛調達基準の試行導入がスタートしている。

米国国防省は、その基準に満足していないのか、2020年１月にサイバーセキュリティ成熟度モデルの認証（CMMC ）のバージョン1.0を公開した。

参照元は、NIST SP 800-171以外に、英国のNCSCが公表しているサイバーセキュリティの脅威からリスクを評価して軽減するために設計されたスキームであるCyber EssentialsやオーストラリアのACSCが公表しているさまざまなサイバー脅威によって引き起こされるサイバーセキュリティのインシデントの緩和戦略を記載したEssential Eight Maturity Modelなど。

米国国防省と企業取引しなければ、CMMC認証の必要性はないのですが、いろんな国のベストプラクティスに基づいた基準で、どれくらいの成熟度か測定できるのは興味深い。

Githubからの情報漏洩

Githubはソースコード管理サービスで、公開・非公開の設定ができる。非公開であれば、問題は無いはず。

公開設定をした際に、間違えて、シークレットが含まれる情報をアップしてしまうことが問題となる。

それらの情報を見つけるツールがあって、古い書籍には「gitrob」が出てくる。

github.com

4年ほど更新されていないようで、現状で通用するのか不明。

こちらのサイトにそれらツールがまとめられていました。

zenn.dev

「secret scanning」というツールは、Githubが提供しているらしく、情報漏洩防止対策となっている。

上記はローカルのスキャンがメインのようで、「Gitleaks」というツールで、リモートのGithubリポジトリをスキャンする方法がわからなかった。

「tuffleHog」はgitリポジトリのURLを指定することでスキャンさせることができるようです。

tuffleHogのセットアップ

「tuffleHog」をKaliにインストールするには、

sudo apt install trufflehog

でインストールされる。

www.kali.org

しかしながら、この方法だと、Ver2がインストールされ、本家のサイトで紹介されているのはVer3のため、使用方法が異なる。

github.com

Ver2では、

trufflehog (get_url)でスキャンされる。

trufflehog https://github.com/trufflesecurity/trufflehog.git

こんな感じで、スキャン結果が表示される。

「gitrecon」は、GithubのユーザーアカウントのOSINTツール。
https://github.com/GONZOsint/gitrecon

「Github Dorks」はサイトとアカウント、双方をスキャンするツール。

などあるようですが、情報が更新されていない様子。

Githubがセキュリティ強化のため、仕様変更をして、通用しなくなっているのか、良く分からない。

EC-Councilの新しい資格

久しぶりにEC-councilのホームページを見たら、新しい資格が追加されていた。

Certified Cybersecurity Technician（CCT）と呼ばれるもの。

www.eccouncil.org

エントリーレベル、ということで、CEHの前提知識のような位置づけになっている。

トレーニング期間は5日間でCEHと変わらない。

22個のCourse Moduleから成り、タイトルを見る限り、ネットワークセキュリティや一般的なセキュリティ対応に重点が置かれている。

CEHの次のステップにあたる「SPECIALIZATIONS」は１５の資格があり、詳細は以下。

気になるのは、

EDRP：EC-Council Disaster Recovery Professional

災害復旧プロフェッショナル？。一体、どんな知識を身に付けるのだろうか。

資料を見ると、BCP対策が主眼のようです。

https://www.eccouncil.org/wp-content/uploads/2017/05/edrpv3-brochure.pdf

あとは、

Certified Hacking Forensic Investigator (CHFI) に興味がある。

www.eccouncil.org

こちらは、GSXで日本語の講座が受講できます。

www.gsx.co.jp

5日間コースで65万円。。。

IPAの資格試験は、エントリーレベルの基本情報や情報セキュリティマネジメントは試験制度の変更などあるようですが、上級試験で、より実践的な資格があって欲しいと思う。

OWASP Online Academyとは

OWASP Online Academyがあるらしい、ということを知り、早速検索してみた。OWASP上のナレッジがe-learning形式になっていることを期待してしまいます。

プロジェクトの一覧を見ると、「Projects Needing Website Update」として扱われている。

owasp.org

本家のサイトでも、移行中の表示。

https://owasp.org/www-project-online-academy/migrated_content

上記にある、

https://owasp-academy.teachable.com/ をクリックするとe-learningコンテンツが表示される。

Teachableと呼ばれるプラットフォームを使用しているようです。

提供されている講座は以下の６つのみ。

• Web Application & OWASP TOP 10
• OWASP Appsec Tutorial
• OWASP ZAP Tutorial
• OWASP TOP 10 - 2013 Risk Vulnerability
• OWASP TOP 10 - 2017 Risk Vulnerability
• SQL Master Course

OWASP TOP10の情報も古く、若干期待外れ感があります。

使えそうなのは、「OWASP ZAP Tutorial」。動画でZAPの使用方法をレクチャーしてくれます。内容は英語なのですが、ある程度画面の動きで、何をしているかわかる部分もあり、とりあえず見てみる価値はあると思いました。

あと、「SQL Master Course」については、SQL インジェクションについての講座となり、32単元に分かれて解説がされており、かなり詳しい内容になっていると思います。

まとめ

OWASP Online Academyは現時点では、かなり限定的なコンテンツになっていますが、今後の充実を期待したいです。

Teachableというプラットフォームは無料で使える部分もあるようで、社内でオンライン講座を作ったりするのに有益。