情報セキュリティマネジメントシステム(ISMS)
ISMS
IPAの情報処理技術者試験でISO関係の問題が出題されて、テストの知識として暗記した記憶だけはある。実際、どんなものか改めて確認。
ISMS自体は、直訳すれば、「情報セキュリティマネジメントシステム」で、ちゃんとセキュリティが機能する仕組み、の意味。
そのために何をすべきか、基準が定められている。
ISO/IEC 27001
ISMS(情報セキュリティマネジメントシステム)の要求事項を定めた国際規格。
ISO(国際標準化機構)とIEC (国際電気標準会議) が共同で策定している。
JIS Q 27001は国内規格で、ISO/IEC27001とほぼ同じ。
ISO/IEC 27002は、情報セキュリティ管理策の実践のための規範(~した方がよい)。
という関連性。
ISO/IEC 27001:2013
と表記されている場合、改定の年を示している。
ISO/IEC 27002が2022年に改定されるらしく、ISO/IEC 27002:2022と表現される。
ここまでで、無意味な記号で混乱してくる。
しかもwikiを見ると、ISO/IEC 27000からスタートして、ISO/IEC 27050まで、途中、欠番がありながらいろんな規格が制定されている。
その中で、最近よく聞くのが、ISO/IEC 27017。
ISO/IEC 27017
ISO/IEC 27002で指示されている37の管理策に、クラウドサービスに関連する、7つの管理策を追加することにより、クラウドサービスにおいて適用可能な情報セキュリティ管理のガイドラインを示している。
認証の前提としてISO/IEC 27001が認証されていることが必要、とのこと。
他のガイドライン
アメリカでは、NIST SP 800-171と呼ばれる、政府独自のガイドラインがある。
NIST SP 800-171とは米国政府機関が定めたセキュリティ基準を示すガイドライン。
政府機関からだけではなく取引企業からの情報漏洩を防ぐために、業務委託先におけるセキュリティ強化を要求する内容になっている。
セキュリティ要件が14分野109項目で、日本の企業でもアメリカ政府機関と取引する際に要求される。
日本では、2019年4月から防衛省および防衛装備庁においてNIST SP 800-171と同程度の新防衛調達基準の試行導入がスタートしている。
米国国防省は、その基準に満足していないのか、2020年1月にサイバーセキュリティ成熟度モデルの認証(CMMC )のバージョン1.0を公開した。
参照元は、NIST SP 800-171以外に、英国のNCSCが公表しているサイバーセキュリティの脅威からリスクを評価して軽減するために設計されたスキームであるCyber EssentialsやオーストラリアのACSCが公表しているさまざまなサイバー脅威によって引き起こされるサイバーセキュリティのインシデントの緩和戦略を記載したEssential Eight Maturity Modelなど。
米国国防省と企業取引しなければ、CMMC認証の必要性はないのですが、いろんな国のベストプラクティスに基づいた基準で、どれくらいの成熟度か測定できるのは興味深い。
Local Administrator Password Solution (LAPS)
アカウント管理
悩ましいアカウント管理。
MITREのテクニックで、「Valid Account」がある。
以下の4つについて、具体的な防止策、検知、具体例が挙げられている。
- Default Accounts
- Domain Accounts
- Local Accounts
- Cloud Accounts
Default Accountsは停止しましょう、Domain Accounts・Cloud Accountsは集中管理や多要素認証で、とイメージはつきやすい。
Local Accountsは、どうするのか?組織で単一や安易なパスワードが設定されていたりしがちになる。
マルウェアとして猛威を振るうEmoteもLocal Accountsへのブルートフォース攻撃をするようだ。
MicroSoftはLocal Accountsを管理するLocal Administrator Password Solution (LAPS)を無償で提供している。
Local Administrator Password Solution (LAPS)
2015年には提供されていたらしいが、英語の情報のみで、日本では普及しなかったようです。
AD環境にLAPSのコンポーネントをセットアップして、LAPS管理者がローカルアカウントのパスワードを一元管理できる、というもの。
引用:https://download.microsoft.com/download/2/9/5/295b78a4-7051-4873-a00c-4beaf416ccec/LAPS_Guide_JA.pdf
パスワードの管理、というのが、
・設定されたパスワードを確認できる
・パスワードを変更できる
・有効期限を変更
というもので、なんでも出来てしまう。
ドメイン環境下では、Local Accountsを使用する機会は少ないので、Domain Accounts以上に強権的な管理をしたところでユーザ影響はないのでしょう。
無償で利用できます、とのことだが、初めからサーバの機能として標準実装しておけばよいのに、と思う。
セキュリティ強化で導入したため、既存機能に影響が出ると、しんどいです。
Githubの情報検索
Githubからの情報漏洩
Githubはソースコード管理サービスで、公開・非公開の設定ができる。非公開であれば、問題は無いはず。
公開設定をした際に、間違えて、シークレットが含まれる情報をアップしてしまうことが問題となる。
それらの情報を見つけるツールがあって、古い書籍には「gitrob」が出てくる。
4年ほど更新されていないようで、現状で通用するのか不明。
こちらのサイトにそれらツールがまとめられていました。
「secret scanning」というツールは、Githubが提供しているらしく、情報漏洩防止対策となっている。
上記はローカルのスキャンがメインのようで、「Gitleaks」というツールで、リモートのGithubリポジトリをスキャンする方法がわからなかった。
「tuffleHog」はgitリポジトリのURLを指定することでスキャンさせることができるようです。
tuffleHogのセットアップ
「tuffleHog」をKaliにインストールするには、
sudo apt install trufflehog
でインストールされる。
しかしながら、この方法だと、Ver2がインストールされ、本家のサイトで紹介されているのはVer3のため、使用方法が異なる。
Ver2では、
trufflehog (get_url)でスキャンされる。
trufflehog https://github.com/trufflesecurity/trufflehog.git
こんな感じで、スキャン結果が表示される。
「gitrecon」は、GithubのユーザーアカウントのOSINTツール。
https://github.com/GONZOsint/gitrecon
「Github Dorks」はサイトとアカウント、双方をスキャンするツール。
などあるようですが、情報が更新されていない様子。
Githubがセキュリティ強化のため、仕様変更をして、通用しなくなっているのか、良く分からない。
マルウェアの検体
マルウェアの取得方法
マルウェアに感染したい人はいないと思うが、ウイルス対策ソフトの感度の測定やインシデント訓練などで、安全なマルウェアを使いたいことがある。
こちらの書籍で、取得方法が紹介されていた。
「セキュリティエンジニアのための機械学習」
――AI技術によるサイバーセキュリティ対策入門
こちらのブログの記載とかぶるところ多々。
書籍では、EBMERのデータセットを用いてマルウェア検出器を作成していた。
また、こちらのサイトが情報源として有益と紹介されていた。
その取得した検体をどのように活用するか?
マルウェアの画像化
マルウェアの検体の利用方法は、そのハッシュ値からシグネチャを生成して、判定するだけかと思っていました。それだと、ハッシュ値を偽装されるとマルウェアと判定されなくなる。
ディープラーニングを活用した判定では、マルウェアを画像化して、特徴が似ているか、という判定もされているようです。
こちらの論文にイメージが掲載されています。
マルウェアの指名手配写真。
イメージの作成方法は以下のステップ。
・マルウェアのバイナリデータを8ビットのベクトルへ変換
・8ビットベクトルからグレースケール画像へ変換
マルウェア検知をディープラーニングの得意な、画像処理にすることができる。
とはいえ、AIを騙す手法も存在しており、その辺りが課題のようです。
様々な角度から分析するための一つの手段としては、有益なのでしょう。
Certified Cybersecurity Technician
EC-Councilの新しい資格
久しぶりにEC-councilのホームページを見たら、新しい資格が追加されていた。
Certified Cybersecurity Technician(CCT)と呼ばれるもの。
エントリーレベル、ということで、CEHの前提知識のような位置づけになっている。
トレーニング期間は5日間でCEHと変わらない。
22個のCourse Moduleから成り、タイトルを見る限り、ネットワークセキュリティや一般的なセキュリティ対応に重点が置かれている。
CEHの次のステップにあたる「SPECIALIZATIONS」は15の資格があり、詳細は以下。
気になるのは、
EDRP:EC-Council Disaster Recovery Professional
災害復旧プロフェッショナル?。一体、どんな知識を身に付けるのだろうか。
資料を見ると、BCP対策が主眼のようです。
https://www.eccouncil.org/wp-content/uploads/2017/05/edrpv3-brochure.pdf
あとは、
Certified Hacking Forensic Investigator (CHFI) に興味がある。
こちらは、GSXで日本語の講座が受講できます。
5日間コースで65万円。。。
IPAの資格試験は、エントリーレベルの基本情報や情報セキュリティマネジメントは試験制度の変更などあるようですが、上級試験で、より実践的な資格があって欲しいと思う。
セキュリティエンジニアのための機械学習
セキュリティと機械学習
セキュリティ分野において、機械学習が使用されているであろうことは想像できる。
ウイルス対策ソフトのAIによる判定、などと目にするようになった。
その恩恵を受けているものの、機械学習の性質上、詳細はブラックボックス化されてしまう。
セキュリティへの機械学習の適用方法やその理論を理解して、ホワイトハッカーの武器にしたいな、と考えていたところ、良い本がありました。
セキュリティエンジニアのための機械学習
――AI技術によるサイバーセキュリティ対策入門
相変わらず、動物大好きO'Reillyさんの翻訳本です。
GitHubにサンプルコードが公開されているのも有難いです。
GitHub - oreilly-japan/ml-security-jp: 『セキュリティエンジニアのための機械学習』のリポジトリ
分類による、フィッシングサイトや迷惑メールの判定、といった通常の課題から、異常検知やSQLインジェクションの検知、などが解説されている。
さらに、8章は「機械学習システムへの攻撃」というタイトルで、機械学習で防御しているシステムをバイパスする方法が紹介されています。AI vs AI という構図。
O'Reillyさんの翻訳本は、たまに全然頭に入ってこないこともあるのですが、この本は翻訳者のオリジナル内容もあり、より深い理解へのサポートがされているように感じます。
多層防御の考えに基づき、人間の運用とともに機械学習による分析も加えて、よりセキュアに出来たら、という妄想をさせてくれる書籍だと思います。
サンプルコードを試しながら、現場に適用してみようと思います。
OWASP Online Academy
OWASP Online Academyとは
OWASP Online Academyがあるらしい、ということを知り、早速検索してみた。OWASP上のナレッジがe-learning形式になっていることを期待してしまいます。
プロジェクトの一覧を見ると、「Projects Needing Website Update」として扱われている。
本家のサイトでも、移行中の表示。
https://owasp.org/www-project-online-academy/migrated_content
上記にある、
https://owasp-academy.teachable.com/ をクリックするとe-learningコンテンツが表示される。
Teachableと呼ばれるプラットフォームを使用しているようです。
提供されている講座は以下の6つのみ。
- Web Application & OWASP TOP 10
- OWASP Appsec Tutorial
- OWASP ZAP Tutorial
- OWASP TOP 10 - 2013 Risk Vulnerability
- OWASP TOP 10 - 2017 Risk Vulnerability
- SQL Master Course
OWASP TOP10の情報も古く、若干期待外れ感があります。
使えそうなのは、「OWASP ZAP Tutorial」。動画でZAPの使用方法をレクチャーしてくれます。内容は英語なのですが、ある程度画面の動きで、何をしているかわかる部分もあり、とりあえず見てみる価値はあると思いました。
あと、「SQL Master Course」については、SQL インジェクションについての講座となり、32単元に分かれて解説がされており、かなり詳しい内容になっていると思います。
まとめ
OWASP Online Academyは現時点では、かなり限定的なコンテンツになっていますが、今後の充実を期待したいです。
Teachableというプラットフォームは無料で使える部分もあるようで、社内でオンライン講座を作ったりするのに有益。