CISSP ドメイン1 RISK リスクに対する対応

はじめに

この記事では、CISSPの勉強において、ドメイン1で主に勉強する

「脅威、脆弱性、脅威ベクターなど用語の正確な定義」について説明します。

この記事でわかること

リスクの種類と対応方法についてCISSPの勉強に役立つ知識をまとめました。おそらく正確に用語の定義を理解している人はあまりいないかと思います。法律用語と同じく、用語をきちんと理解して正確に記憶しておかないと現場では役に立ちません。

この記事では、用語を正確に覚えて、具体例を頭に叩き込みます

この記事では書かないこと

基本的に、CISSPの試験でどのような問題が出題されたかについてはこの記事では掲載しません。というか、CISSPという試験に合格するということは

あくまで結果です。それよりも用語を正確に理解することを心がけましょう

用語について

リスク (Risk):

リスクは、情報セキュリティ上の脅威に対して、資産が受ける損失や被害の可能性を示す概念です。具体的には、経済的損失、法的問題、評判や信頼性の低下、およびその他の悪影響が考えられます。リスクは、脆弱性と脅威に基づいて決定されます。

例: ある企業における、雇用者データベースがハッキングの攻撃に晒された場合、個人情報が漏洩し、企業の評判にも悪影響を与えるため、リスクが高いと考えられます。

脆弱性 (Vulnerability):

脆弱性は、情報セキュリティにおいて、資産が攻撃に対して脆弱である状態を指します。脆弱性が存在すると、攻撃者は容易に情報を盗み、破壊することができます。脆弱性は、セキュリティシステムやセキュリティプロトコルの欠陥、人為的なミス、または技術的な問題に起因することがあります。

例: 脆弱なオペレーティングシステムやアプリケーションは、攻撃者に侵入される可能性があります。セキュリティパッチを適用せずに放置することで、脆弱性が残される場合があります。

アセット (Asset):

アセットは、組織にとって重要であるもので、保護されるべき資産を指します。資産には、物理的なもの、デジタルなもの、または知的財産などが含まれます。

例: ある銀行の場合、顧客情報、銀行口座、取引記録、業務システムなどがアセットになります。

脅威 (Threat):

脅威は、アセットに対して、損害や危害を与える可能性のある、潜在的な要因や事件のことを指します。脅威には、自然災害、人為的な攻撃、技術的な問題などが含まれます。

例: 脆弱性のあるシステムに対して、攻撃者が悪意を持ってハッキングを行うことが脅威になります。

脅威エージェント (Threat Agent):

脅威エージェントは、攻撃を実行する人、グループ、または組織のことを指します。脅威エージェントには、ハッカー、サイバー犯罪者、内部者、スパイ、テロリストなどが含まれます。いわゆる犯人のこと

例: サイバー攻撃において、脅威エージェントは、ハッカー、サイバー犯罪者、スパイなどが挙げられます。

ブループリント (Blueprint):

ブループリントは、攻撃者が攻撃を計画するために使用する資料で、攻撃の方法、ターゲット、リソース、および攻撃者自身の情報などが含まれます。

例: ブループリントは、攻撃者がターゲットのセキュリティシステムを分析し、脆弱性を特定し、攻撃の方法を計画するために使用することがあります。

わかりにくいのでもう少し詳しく説明します

ブループリントは、攻撃者が攻撃計画を立てるために使用する資料です。この情報は、攻撃者がターゲットを分析し、脆弱性を特定し、攻撃の方法を計画するために使用されます。

攻撃者は、以下の方法を使用してブループリントを作成します。

ターゲットの情報収集:

攻撃者は、ターゲットの情報を収集します。これには、ウェブサイト、ソーシャルメディア、およびその他のオンライン情報源からの情報収集が含まれます。 システムのスキャン: 攻撃者は、ターゲットのシステムをスキャンして、脆弱性を特定します。これには、ポートスキャン、バナースキャン、サービスディスカバリ、およびOSフィンガープリントなどが含まれます。 脆弱性評価: 攻撃者は、システムの脆弱性を評価し、攻撃のためのエクスプロイトを作成します。これには、脆弱性スキャン、ペネトレーションテスト、およびエクスプロイト開発が含まれます。 ソーシャルエンジニアリング: 攻撃者は、ターゲットの社会的、心理的、または技術的な側面を悪用して、情報を入手し、アクセスを得ます。これには、フィッシング、スピアフィッシング、およびハッキングなどが含まれます。

実際の例として、2013年には、ターゲットというアメリカの小売業者が、決済システムを標的にしたサイバー攻撃を受け、クレジットカード情報などの個人情報が流出しました。この攻撃は、攻撃者がターゲットの決済システムをスキャンし、脆弱性を特定し、エクスプロイトを使用して攻撃を行った結果でした。攻撃者は、社会工作技術を使用して、ターゲットの従業員の誰かからアクセス権を入手したと考えられています。この攻撃は、ブループリントの作成に基づいて行われたものであると考えられています。

脅威ベクトル (Threat Vector):

脅威ベクトルは、攻撃者がアセットに対して攻撃するために使用する方法、手段、または技術を指します。脅威ベクトルには、マルウェア、フィッシング、DoS攻撃、データの盗み出し、または内部者による攻撃などが含まれます

例: 脆弱性のあるシステムに対して、攻撃者がフィッシング攻撃を行うことで、アセットを攻撃することが脅威ベクトルになります。

これもわかりにくいのでもう少し具体例を用いて説明します

脅威ベクトルは、攻撃者が攻撃を行うために使用する具体的な方法を指します。これには、攻撃者が脅威を実現するために使用する特定のツールや技術、攻撃の手法、攻撃のステップなどが含まれます。脅威ベクトルは、攻撃の実施方法に基づいて、攻撃を行う前に防御策を立てることができるため、重要な要素です。

一般的な脅威ベクトルには、以下のようなものがあります。

マルウェア攻撃: 攻撃者が悪意のあるソフトウェアを使用して、ターゲットシステムに侵入し、システムを制御する方法です。例えば、トロイの木馬やスパイウェア、ランサムウェアなどが含まれます。 フィッシング攻撃: 攻撃者が、偽のWebページやメールを使用して、被害者から個人情報や機密情報を入手する方法です。 DDoS攻撃: 攻撃者が、多数のコンピュータやデバイスを使用して、ターゲットシステムにトラフィックを送信し、システムを過負荷にする方法です。 ゼロデイ攻撃: 攻撃者が、公開されていない脆弱性を利用して、システムに侵入する方法です。

近年、脅威ベクトルは、技術の進化や新しい攻撃方法の発明によって常に進化しています。例えば、人工知能を利用した攻撃や、クラウドサービスやIoTデバイスを標的とした攻撃などが、新しい脅威ベクトルとして浮上しています。これらの新しい脅威に対応するために、セキュリティ専門家たちは、常に最新の情報を追跡し、防御策を改善する必要があります。

最後に

以上となります。人工知能は本当に脅威ですよね。個人が頑張ってどうにかなるものではありませんから怖いです。CISSPの活動としてこういう記事を書き続けていきたいと思います。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です