202310V1.0 - ISCテキスト3 - Security and Confidentiality (r4) (20231222収録)

上下 20 ﾐﾘ左右 14 ﾐﾘで０ﾐﾘ相当
Information Systems and Controls
3. Security and Confidentiality

Objectives ここではサイバー攻撃について、その種類や手法、リス
クについて学習する。次にサイバー攻撃対策として、組
織全体のセキュリティポリシーの設定や、脅威に対抗す
る予防的統制、発見的統制、是正的統制にはどのような
技術があるかを学ぶ。また情報セキュリティの現状を評
価するセキュリティテスト、組織や service organization が守
らなければならないプライバシーと機密性、セキュリ
ティインシデント発生時の対応計画などについても学習
する。
Key Topics ISC
1. Threats and Attacks （脅威と攻撃）

2. Mitigation of Threats and Attacks （脅威と攻撃の緩和）
3. Security Testing （セキュリティテスト）
4. Confidentiality and Privacy （機密性とプライバシー）
5. Incident Response （インシデントレスポンス）
Information Systems and Controls 3-1

11
©TAC all rights reserved
1. Threats and Attacks （脅威と攻撃）

(1)Cybersecurity Risk Management Overview
サイバーセキュリティとは、悪意ある行為者 (bad actors) の攻撃によ
るビジネスへの影響を軽減するため、さまざまなテクノロジー、内部統制
プロセス、ベストプラクティスを導入し、組織の IT インフラと重要なデー
タを保護することである。サイバーセキュリティプログラムの目標は、機
密性 (confidentiality) 、データの完全性 (data integrity) 、可用性
(availability) を確保・強化することにより、サイバーセキュリティリスクを
管理することである。
サイバー攻撃を受けると、組織は業務を中断せざるを得ず、顧客やベン
ダーなど外部組織との業務を再開するために、金銭的／非金銭的な損失を
被る可能性がある。このような攻撃は、個人と組織の両方にとって脅威と
なる。 IT ガバナンスを担う上級管理職や関係者にとって、データの漏えい
(breaches of data) 、盗難 (theft) 、サービスの中断 (service interruptions) 、
法規制の不遵守 (regulatory noncompliance) は、セキュリティ上の最大の懸
念である。
・ Data Breaches （データ漏えい）
データ漏洩は情報が漏洩し、所有者の許可なく利用されることで発生
する。データ漏洩の原因となる攻撃の例としては、ランサムウェア
(ransomware)、フィッシング (phishing) 、マルウェア (malware) 、パス
ワードの漏洩 (compromised passwords) などがある。
・ Service Disruptions（サービスの中断）
サービス中断とはシステムやアプリケーションが許容できないくらい
長く操作不能になる、計画外の事象を指す。サービス中断の原因の例
としては、マルウェア、分散型サービス拒否（ DDoS ）攻撃、 SQL イ
1
ンジェクション (SQL injections) 、パスワード攻撃などがある。
・ Compliance Risk （コンプライアンスリスク）
規制当局は組織にサイバーセキュリティ規制の遵守を求めることがで
きる。組織がこれらの規制を遵守しない場合、罰金や金銭的な処罰を
受ける可能性がある。コンプライアンスリスクに関わる規制・基準の
例としては、 HIPPA 、 GDPR 、 PCI-DSS 、 ISO/IEC 27001 などがある。
このような脅威と戦うために、組織はサイバーセキュリティのリスクを
軽減するプログラムを開発し、絶えず変化するテクノロジーの状況に対応
した革新的なセキュリティ対策を開発していく必要がある。
1
データベースへ不正にアクセスし、SQL コマンドを悪用して情報の窃取や改ざん、削除する攻撃手
法
3-222 Information Systems and Controls


33
(2)Cyberattacks
サイバー攻撃とは、コンピューターの情報システム、インフラ、コン
ピューターネットワーク、または個人のコンピューター機器を標的とし、
情報システムのリソースや情報そのものを収集 (collect) 、妨害
(disrupt) 、拒否 (deny) 、劣化 (degrade) 、破壊 (destroy) しようとする
あらゆる種類の悪意のある行為 (malicious activity) を指す。
このような攻撃の影響は組織や顧客、ベンダー、パートナー組織に及ぶ
可能性がある。攻撃の実行方法は、本節で学習する network-based
attacks 、 host-based attacks 、 social engineering attacks 、 application-based
attacks 、 physical attacks（物理的攻撃）、 supply chain attacks のいずれかに分
類することができる。
Types of Cyberattacks
Network-based Application- Host-based Social Physical supply Chain

Attacks based Attacks Attacks Engineering Attacks Attacks
Attacks
① Types of Threat Agents
脅威エージェント (threat agent) とは、機密情報やシステムの窃取
(theft) 、操作 (manipulation) 、支配 (control) を通じてデータセキュリ
ティに悪影響を及ぼす可能性のある内部／外部の攻撃者のことである。
脅威エージェントには通常、金銭的利益やデータ破壊など、特定の攻
撃目的があり、いくつかのタイプがある。ここではそれぞれの違いを理
解しておきたい。
 Attacker, Threat Actor, or Hacker

これらは hacking rings や Advanced Persistent Threat （ APT ：持続
的標的型攻撃）として知られる個人／集団で、人や組織を標的に、
システムやネットワーク、データへのアクセスを得ようとする。

このタイプに該当する攻撃者は幅広く、資産の窃盗、企業の不安
定化 (destabilizing businesses) 、政府へのスパイ活動、情報の流布
(disseminating information) 、金銭的利益の獲得など、目的も多岐に
わたる。

55
 Adversary （敵対者）
標的となる組織と利害が相反する立場の脅威エージェントをさす。
これらの者には購買の妨害 (intercept) 、データの窃取、インス
トール前のハードウェアの改ざん (tampering) 、ソーシャルエン
ジニアリング攻撃など、組織のサイバーリソースに悪意ある行動
を行う動機がある。
 Government-sponsored/State-sponsored Actors
この脅威エージェントは国家から資金提供や指令を受け、国家の
スパイ活動として標的の知的財産 (intellectual property) や機密情
報、資金を窃取、流出 (exfiltration) させる。
 Hacktivists （ハクティビスト）
特定の社会的大義 (social causes) や政治的主張を喧伝するために
活動するハッカー集団をさす。病院や教会、その他の利他的な目
的を持つ組織など、特定のターゲットには近づかないことで、独
自の道徳的な根拠に基づいて活動するハッカー集団も存在する。
 Insiders
インサイダーとは悪意ある行動を起こすようになった従業員、ま
たは悪意ある目的で意図的に組織に潜入した従業員をさす。この
ような人物は企業のセーフガード内で働くことができるため、あ
らゆる組織にとって重大な内部脅威となる。
 External Threats
サイバー攻撃の標的となる組織／個人の外部から発生する脅威。

② Types of Cyberattacks
ここではサイバー攻撃の種類について、それぞれの特徴を知っておき
たい。
②-1 Network-based Attacks
これらの攻撃は不正アクセスやユーザーの業務妨害を目的とし、
スイッチ、ルーター、サーバ、ケーブル配線など、ネットワーク
のインフラを標的とする。
 Backdoors and Trapdoors （バックドアとトラップドア）

どちらもネットワークへの出入口を作ることで、セキュリティア
クセス手順を迂回する手法。
トラップドアはシステム所有者がセキュリティを迂回して素早く
ネットワークにアクセスするためにインストールされることが多
い。
一方、バックドアは意図的にインストールされるか、あるいは製
品の欠陥によって利用可能な状態になったままであることが多い。
どちらもネットワークに対する攻撃ではないが、攻撃者による
ネットワークへの侵入を容易にし、攻撃実行に利用されることが
ある。
 Covert Channels （隠れチャネル）
本来データ伝送のためのチャネルとして設計されていないものを
用いてデータ伝送する仕組みで、データを小分けにして伝送する
手法。
Covert channel には情報を隠す方法によって 2 つのタイプがある。
 Storage Channels ：データの保管場所を変更することで送信さ
れ、より低いセキュリティ権限しか持たない別の当事者が
データにアクセスできるようになる。
 Timing Channels ：送信を隠すためにデータパケットを送信する
際の遅延を利用する。
 Buffer Overflows
プログラムのバッファ（一時記憶装置）に、保持できるデータ容
量以上のデータをロードする攻撃。これによりプログラムをク
ラッシュさせ、その後、悪意のあるプログラムに感染させたり、
システムを乗っ取ったりする。

77
 Denial-of-Service （ DoS ；サービス拒否）
ネットワークが処理できる帯域幅 (bandwidth) を超える大量の
トラフィックを殺到させる攻撃。これによりネットワークのリ
ソースが消費され、ネットワークプロトコルやアプリケーション
悪用につながる脆弱性を生む。
 Distributed Denial-of-Service Attacks （ DDoS attack ；分散型サービス拒
否攻撃）
複数の攻撃者や侵害されたデバイスが一体となり、組織のネット
ワークの処理許容量を超えるほどのトラフィックを殺到させ、
サーバダウンを目論む攻撃。従来の DoS 攻撃よりも更に強力に
なってきている。
 Man-in-the-Middle Attacks （ MITM Attacks ；中間者攻撃）
二者間の保護された通信の中で正当な仲介役として振る舞い、や
り取りされる情報を読み取ったり、転送したりする手法。
 Port Scanning Attacks （ポートスキャン攻撃）
企業のネットワークに不正アクセスできるような脆弱性を見つけ
るため、ネットワークをスキャンし、オープンポートを探す手法。
企業がオープンポートを持つことは一般的であるが、脆弱性のあ
るオープンポートを誤って設定してしまうと、不正アクセスを許
す弱点が生じる。
ポートには物理的なもの（ HDMI 、 USB 、イーサネット・ポート
など）もあるが、この攻撃ではインターネット上で最もよく使わ
れるポートのひとつである TCP （ Transmission Control
Protocol ） port 80 などのプロトコルに使われる論理ポートに焦点
を当てている。
ここでの具体的な脆弱性には、保護されていないプロトコル、
パッチ未適用のプロトコル、不十分なログイン認証情報、ファイ
アウォールの設定不備などがある。
 Ransomware Attacks（ランサムウェア攻撃）
マルウェア（後述）としてシステムに侵入し、身代金 (ransom)
を支払わない限り、ユーザーや企業のシステム、アプリケーショ
ン、およびデータへのアクセスをブロックする攻撃。
 Reverse Shell Attacks （リバースシェル）
標的となった組織内の人物や機器が、組織のファイアウォールの
背後から攻撃者と通信を開始してしまうことで、攻撃者がファイ
アウォールやその他のネットワークセーフガードを迂回し、被害
者の機器を遠隔操作できるようにする手法。 Connect-back shells と
も呼ばれる。

最初の接触が組織内から行われるため、通常のフィルタリングや
ファイアウォールによる保護が迂回されてしまう。
 Replay Attacks (Eavesdropping) （リプレイ攻撃（盗聴））
中間者（ MITM ）攻撃の一種で、ハッカーが保護されたネット
ワーク通信（ログイン ID/PW ）を盗聴して傍受 (intercept) し、
後日、そのメッセージをターゲットに向けて「再生・リプレイ
（同じ文字列を再送信）」してシステムに不正ログイン」し、
ファイアウォールの内側にあるネットワークとデータにアクセス
する手法。ハッカーはすでに企業ネットワークに侵入しているた
め、メッセージを解読する技術を必要としない。


99
 Return-oriented programming attacks （リターン指向プログラミング

攻撃）
Return-Oriented Attacks とも呼ばれる。攻撃者の思い通りの操作を
するため、正当なオリジナルのシステムコードの断片（ガジェッ
ト）を順番に利用し、複雑な処理を実行する攻撃。各ガジェット
は return 命令で終了し、次のガジェットを次々に実行する、高
度なテクニックを用いる。
 Spoofing （スプーフィング）
偽造した認証情報を使用したり、偽の IP アドレス、ドメイン、電
子メールアドレスを使用して個人／団体を詐称したりすることに
より、誰かになりすましてアクセスを取得する行為。
 Address Resolution Spoofing (ARS)
すべてのデバイスは固有の media access control
addresses （ MAC アドレス）を持っており、ネットワーク上の
デバイスの MAC アドレスは IP アドレスにマッピングされてい
る。 ARS はこのマッピングを改ざんする不正行為である。攻
撃者は ARS を改ざんして自分の MAC アドレスとターゲットの
IP アドレスをリンクさせ、デバイス同士が point to point （ IP ア
ドレスと IP アドレス）で通信できるようにする。
 DNS Spoofing
Domain name system （ DNS ；ドメインネームシステム、ドメ
イン名と IP アドレスの対応付け）を改ざんするなりすまし攻
撃。ドメイン名から組織のホームページにアクセスする場合
に、この DNS が改ざんされていると、別の IP アドレス（偽サ
イト）に転送され、ユーザー名、パスワード、個人情報など
を入力してしまったり、悪意のあるプログラムに感染させら
れたりする可能性がある。
 Hyperlink Spoofing
ハイパーリンクの URL を改ざんし、不正な場所に誘導する手
法。
3- Information Systems and Controls

10101
②-2 Application-based Attacks
データベースやウェブサイトなど、特定のソフトウェアやアプリ
ケーションを標的とし、不正アクセスや機能妨害を行う攻撃であ
る。
 Structured Query Language (SQL) Injection

組織のウェブサイト上の既存の SQL コードに悪意のある SQL コー
ドを入れ、組織データに不正にアクセスするアプリケーション攻
撃。
ウェブサーバに直接接続する組織のデータベースがある場合、攻
撃者はウェブサーバを通じてデータベースへのアクセスが可能に
なる。つまりインターネットからウェブサーバに悪意のある
SQL コードを入れることで、攻撃者はウェブサーバを操作し、
データベースにアクセスすることができる。
 Cross-Site Scripting (XSS)

SQL injection と似た手法で、企業のウェブサイトにコードを注入
し、その企業のウェブサイトを訪問するユーザーを攻撃する手法。
ユーザーがサイトにアクセスすると、ユーザーのブラウザが悪意
のあるコードを実行し、ユーザー名やパスワードなどの個人情報
を危険にさらす可能性がある。
 Race Conditions
一連の操作を順番通りに実行するシステムやアプリケーションを
悪用する手法。攻撃者はアプリケーションに2 つ以上の操作を異
なる順番で、あるいは同時に実行させることで、不正アクセスや
不正操作などを行う。
 Mobile Code
コンピューターからコンピューターへ移動（感染）し、他のアプ

1111
リケーションを何らかの方法で改変するように設計されたソフト
ウェア。悪意のあるモバイルコードは、一般にウイルスと呼ばれ
る。
＜コンピューターウイルスの種類＞
 Overwrite Virus
感染したファイルの情報を削除または上書きするウイルス。
通常、ウイルスを除去するにはファイルを削除する必要があ
る。
 Multi-Partite Virus
ファイルを感染させるためにいくつかの感染方法を用意し、
一つの感染方法が失敗した場合、異なる感染方法を試みるウ
イルス。
 Parasitic Virus
ウイルスを持つアプリケーションが起動するとウイルスが起
動し、ウイルスを持っていたプログラムが持つのと同じ権限
がウイルスにも与えられる仕組み。
 Polymorphic Virus
検出されないように構造を変化させ、変異するウイルス。
 Resident Virus
コンピューターのメモリ上に自分自身のコピーをインストー
ルするウイルス。

12121
②-3 Host-based Attacks
ラップトップコンピューター、モバイルデバイス、サーバなど、
単一のホストを標的に、不正アクセスや機能妨害をする。
 Brute Force Attacks

自動化されたプログラムでパスワードの可能性のあるすべての組
み合わせを試み、パスワードを推測する手法。
 Keystroke Logging
ユーザーが押したキーボードの順番を追跡し、ユーザー名、パス
ワードなどの機密データを収集する手法で、トロイの木馬
(Trojan horses) として配信され、感染させられることがある。
 Malware
マルウェアとは、情報システムの機密性、完全性、または可用性
に悪影響を及ぼす不正な処理を実行することを目的としたソフト
ウェア／ファームウェアをさす。一般的な例としては、ウイルス
(viruses) 、ワーム (worms) 、トロイの木馬 (Trojan horses) 、ア
ドウェア (adware) 、スパイウェア (spyware) 、ホストに感染す
るコードベースのプログラム (code-based programs) などがある。
 Rogue Mobile Apps
正規のアプリに見せかけた悪意のあるアプリ。インストールして
しまうと不正アクセスや情報流出などにつながる。

1313
②-4 Social Engineering Attacks （ソーシャルエンジニアリング攻撃）
組織内の者を標的に、心理的な操作や嘘によって、組織の機密情
報を得たり、不正なアクセスをさせたり、詐欺行為を支援させた
りする攻撃。電子メールやテキスト、ダイレクトメッセージ、
ソーシャルメディアを介した人間同士のやり取りは、標的の信頼
と信用を得るための主要な媒体となっている。
 Phishing （フィッシング）
本物そっくりの電子メールを使ってユーザーに情報を要求したり、
情報を要求する偽のウェブサイトに誘導したりする。
 Spear Phishing
人事部や IT 部長など、正規の部署や従業員を装って企業の従業員
を狙うフィッシングで、目的はユーザー名やパスワードなどの個
人データや機密情報を入手することである。
 Business Email Compromise (BEC)
フィッシングの一種で、経営幹部などの高位の個人を狙い、送金、
偽の海外取引先への支払い、弁護士などになりすました人物への
機密データの送信などをさせる。 Whaling （捕鯨）とも呼ばれて
いる。
 Pretexting
BEC や spear phishing と似た手法で、従業員が行動を起こさなけれ
ばならないという切迫感を持つように、偽の ID やシナリオを作り、
機密情報を入手したり、従業員を操って他の詐欺行為を行わせた
りする。
 Catfishing
ネット上に偽の人物を作りあげて、標的を個人的な関係に誘い込
む。標的の感情に訴えかけ、金銭やプレゼントなどを要求する手
法。
 Pharming
フィッシングと組み合わせて使われることが多く、フィッシング
メールに正規のウェブサイトを模倣したウェブサイトへのリンク
を記載しておき、偽サイトやポータルに誘導し、個人情報を入力
させる。リンクの URL が正規のアドレスになるように、 DNS サー
バを操作することさえある。
 Vishing
Voice over Internet Protocol (VoIP) を利用した詐欺である。正規の企

14141
業や個人になりすまし、双方向の録音メッセージを使い、標的と
なった者が入力した情報をキートーンや音声認識で数字や文字に
変換する。

1515
②-5 Physical (On-Premises) Attacks
組織の敷地内で実行されるセキュリティ侵害、または何らかの方
法で機密データやハードウェア／ソフトウェアを物理的に窃取す
るセキュリティ侵害。
 Intercepting Discarded Equipment （廃棄機器の横取り）

ゴミ捨て場や廃棄物取扱業者から廃棄された機器を取得し、機器
に保存されている機密データを窃取する手口。
 Piggybacking
アクセス許可を持つ人物を利用して、物理的な場所やデータに不
正にアクセスする手法。
 Targeted by Attackers
いまだに組織のオンプレミスのインフラには、導入コストや潜在
的なサイバー脅威に対する認識不足などの理由により、高度なサ
イバーセキュリティ防御を備えていない場合があるため、ハッキ
ング集団や攻撃者の標的になることが多い。
 Tampering（改ざん）
企業の IT インフラに物理的にアクセスし、ネットワークによる
データ収集／保存／処理／送信の方法を変更してしまう手口。具
体的には、ケーブル配線を物理的に変更したり、ネットワーク機
器に直接プラグインしたり、あるいは未承認のデバイスを既存の
ネットワークに追加したりして実行する。
 Theft
データやハードウェア、ソフトウェアを物理的に盗む行為。

16161
②-6 Supply Chain Attacks
サプライチェーン内の商品の生産と流通を標的にするサイバー戦
術で、企業、政府、その他の団体の通常業務に大きな混乱が生じ
るようにする攻撃。
 Embedded Software Code

パッケージソフトやファームウェアにコードを組み込んでおき、
そのソフトウェアを購入・インストールした組織を攻撃する手口。
 Foreign-sourced Attacks
政府が民間企業を深く広く支配している国では、民間企業の製品
が他国に販売されると、その製品を通じて、政府が他国を監視
(surveillance) したり、悪意のあるコードを配信したりすることが
ある。
 Pre-Installed Malware on Hardware
USB メモリ、カメラ、携帯電話など、サプライチェーン内の企業
が使用するデバイスにマルウェアをインストールしておき、その
デバイスが組織のネットワークに接続されると、マルウェアが起
動する手法。
 Vendor Attacks
標的である企業の主要なベンダーに対して攻撃が行われ、商品の
正常な生産や事業運営を妨害する手口。
 Watering Hole Attacks （水飲み場型攻撃）
複数の企業や業界全体で利用していることで知られるサプライ
ヤー／顧客／規制機関のウェブサイトを特定し、マルウェアの配
信、データの窃盗、不正アクセスなどに利用できる弱点を探す手
法。

1717
③ Stages in a Cyberattack
サイバー攻撃には様々なものがあるが、いずれも以下のようなステッ
プやフェーズがみられる。以下の各段階について、説明できるようにし
ておきたい。
1. Reconnaissance （偵察）
最初の段階では標的の IT システムに関する情報を可能な限り収集す
る。入手する情報には、施設の位置、配備されているネットワーク
やインフラの種類、実施されているセキュリティ対策、 IT システム
のセキュリティ対策をはじめ、従業員の名前や管理職の階層といっ
た内容まで対象とすることがある。またこの段階で、保護されてい
ないオープンポートや、パッチが適用されていない既知のソフト
ウェアなど、特定の脆弱性を探すこともある。
2. Gaining Access
収集された情報をもとに、様々なテクニックを使って攻撃対象にア
クセスする。
3. Escalation of Privileges
システムへの不正アクセスに成功すると、より高い特権を持つユー
ザーの認証情報を取得するなど、高いレベルのアクセス権を得よう
とする。
4. Maintaining Access
攻撃が完了するまでの間、システム内に留まり、アクセスを長引か
せたり、後で戻って来られるような代替手段を探す。
5. Network Exploitation and Exfiltration （ネットワークへの侵入と流出）
機密データの窃取、データの改ざん、システムやデータへのアクセ
スの無効化、その他の悪意のある活動により、システムの運用を妨
害する。
6. Covering Tracks （痕跡の削除）
攻撃者は攻撃の最中あるいは攻撃完了後に、以下のような方法で突
破口を隠す。
 監査機能の無効化
 ログの消去
 ログとレジストリファイルの変更
 作成されたすべてのファイル／フォルダの削除

18181
【ＭＥＭＯ】

1919
(3)Risks Related to Cloud Computing
クラウドコンピューティングでは、ユーザーはインターネットを介して
データ、ソフトウェア、アプリケーションを保存、使用、処理、共有する
ために必要なリソースにアクセスする。このクラウドコンピューティング
環境で使用されるデータやソフトウェアは、多くの場合、サードパーティ
のプロバイダー (CSP) によって保存・管理されるため、セキュリティの
面からいえば、かなりの量の機密情報やユーザーアプリケーションが危険
にさらされることになる。
しかし CSP は、 GDPR や HIPAA などの規制により、高レベルのセキュリ
ティプロトコルや手順を維持し、セキュリティパッチや内部統制を最新
バージョンに更新し続けることが求められるため、自前で IT インフラを管
理する組織（＝ on-premises ；オンプレミス）よりも安全であると考えられ
ている。
ユーザーが安心してクラウドサービスを利用できるよう、 CSP が SOC2®
engagement を受けることも一般的になっている。 SOC2® engagement は、
CSP の管理体制や、顧客のデータ、プライバシー、機密保持に対するセ
キュリティに関する経営陣の attestation について、独立した立場から監査す
るものである。 SOC 2® engagement report には、 service organization （受託会
社）における統制が Cloud Security Alliance の Cloud Controls Matrix2 にどのよう
に対応しているかも含まれる。
本節では特にクラウド環境に特有のリスクについて知っておきたい。
＜クラウドコンピューティング特有のリスク＞
 Additional Industry Exposure （業界リスク）
CSP を利用している組織は、 CSP の性質上、同じ CSP を共有する
他の契約組織やその組織特有の業界リスクにさらされる可能性が
ある。
 Cloud Malware Injection Attacks:
クラウドベースのシステムに特化した攻撃で、クラウド環境へ不
正アクセスし、マルウェアを注入することで、データの窃取、
サービスの妨害、さらなるアクセスを可能にする。
 Compliance Violations
クラウドコンピューティングをサードパーティのホストに依存し
2
Cloud Controls Matrix (CCM)：基本のセキュリティ原則についての管理フレームワークで、クラウ
ドプロバイダーの全体的なセキュリティリスクを評価するための基準。

20202
ている場合、
これらのホストやサービスプロバイダーがプライバシーや機密性
に関する規制（ HIPPA や GDPR など）を満たすためのセキュリ
ティプロトコルや手順を備えていない時のコンプライアンスリス
クが存在する。

2121
 Loss of Control
CSP のクラウドサービスの利用によって自社のデータを処理する
IT 機器に物理的／論理的にアクセスできないことは、ユーザー組
織がそのインフラに対する管理をある程度放棄することを意味す
る。その結果、適時にサイバーセキュリティ対策や更新を行えな
かったり、 CSP のサービス水準が期待の水準に達していなかった
りする可能性がある。
 Loss of Data
サードパーティの CSP はサイバー攻撃の標的となりやすく、一般
企業よりは可能性が低いとはいえ、データ漏洩、データ紛失、
データ流出の影響を受けやすい。
 Loss of Visibility
CSP のクラウドサービスの利用によって自社のデータを処理する
IT 機器を完全に把握できなくなることは、コントロールの喪失に
つながる。完全な可視性を持つのは CSP だけである。
 Multi-Cloud and Hybrid Management Issues
企業がクラウドベースのソリューションを利用しながら、オンプ
レミスの IT インフラを維持する場合もある。このようなハイブ
リッドまたはマルチクラウドの設定は、サイバーセキュリティの
多様化を図ることができるが、一方で複数の環境を統合し、監視
することは困難であり、サイバー攻撃の検知も難しくなるといえ
る。
 Theft or Loss of Intellectual Property
クラウドアプリケーションは組織の様々な種類のデータを保存し
ており、 CSP がデータに対する十分な統制を欠いている場合、
intellectual property （ IP ；知的財産）侵害のリスクがある。

22222
(4)Risks Related to Mobile Technologies
インターネットにアクセスできるスマートフォン、タブレット、ウェア
ラブル端末などのモバイル機器には、組織の雇用者と従業員の双方にとっ
てリスクがある。これらの機器は生産性を向上させ、いまや組織でも生活
の一部となったが、その機動性 (mobility) と監視の欠如により、サイバー
セキュリティリスクが生じる。
モバイル機器は、その機能やアクセスする情報の種類という点でデスク
トップコンピューターと似ているため、組織としてはコンピューターと同
様のセキュリティ脅威に直面している。しかしモバイル機器特有のサイ
バーセキュリティ問題も存在する。
まず、モバイル機器はオペレーティングシステム (OS) を更新するた
めに、パッチとアップデートのセットを別に維持しなければならない。ま
た、デスクトップコンピューターと異なり、モバイル機器は常に公衆ネッ
トワークにさらされているため、潜在的な攻撃からユーザーを監視・保護
するソフトウェアをすべてのモバイル機器にインストールする必要がある。
保護ソフトウェアを使用しない場合は、安全な使用のためのガイドライン
を策定する必要がある。
その他、モバイル機器特有のリスクやサイバーセキュリティの脅威には
以下のようなものがある。
 Application Malware
正規のアプリケーションに見せかけたアプリケーションにマル
ウェアが組み込まれており、それをユーザーがダウンロードする
と、マルウェアがインストールされ、個人情報が盗み出される可
能性がある。
 Lack of Updates
最新のパッチやセキュリティ修正プログラムがインストールされ
ていない場合、デバイスを脆弱な状態にしている可能性がある。
長期間アップデートを行わないデバイスは危険である。
 Lack of Encryption
多くのモバイル機器は暗号化されておらず、アクセスはパスコー
ドに依存している点にリスクがある。一旦アクセスされると、本
人になりすましてパスワードをリセットされてしまうことがある。
 Physical Threats
物理的脅威の例として、モバイル機器の紛失や盗難がある。モバ

2323
イル機器に十分なアクセス制御がない場合、盗難に遭うと、権限
のないユーザーが機密情報にアクセスできるようになる可能性が
ある。
 Unsecured Wi-Fi Networks
安全でない Wi-Fiネットワークを利用する場合、同じネットワーク
上にいる誰もが、その機器にアクセスし、機密情報を盗んだり、
マルウェアに感染させたりする可能性がある。
 Location Tracking
無許可の追跡には、 Global Positioning System （ GPS ；全地球測位シ
ステム）技術によって、人、機器、その他の資産の位置を特定さ
れるリスクがある。攻撃者は位置情報を悪用し、攻撃計画に役立
てることができる。
さらにモバイル機器は攻撃者による監視・盗聴の対象にもなる。 Cell-
site simulators 、 Bluetooth scanners 、 International Mobile Subscriber
Identity （ IMSI ；国際携帯電話加入者識別番号） catchers などの機器を使用
すれば、特定の半径内の通話やテキストメッセージを傍受することができ
る。

24242
(5)Risks Related to the Internet of Things
Internet of Things （ IoT ；モノのインターネット）とは、インターネット

に接続されたスマートデバイスの一種で、家庭やオフィスのカメラ、タブ
レット、ウェアラブルデバイス、電話、警報装置などの自動化やリモート
コントロールを可能にするものである。企業でも IoT デバイスを通常の業
務に利用するようになってきているため、この技術に関わるサイバーセ
キュリティへの影響を考慮する必要がある。
＜ IoT 技術に関するサイバー脅威の例＞
 Device Mismanagement
不十分なパスワード管理とデバイス管理は、サイバー攻撃のリス
クを高め、 IoT が接続するネットワーク上の重要な情報の流出や
デバイスへの不正アクセスにつながる可能性がある。
 Device Spooifng （デバイスのなりすまし）
攻撃者が違法 (illegitimate) または偽の (phony) デバイスを製作
し、実際のデバイスを装って企業のネットワークに導入し、情報
やネットワークへのアクセスを得る手法。
 Escalated Cyberattacks （サイバー攻撃の拡大）
IoT デバイスはより多くのデバイスを感染させるための攻撃拠点
として、またネットワークへの突破口として利用される可能性が
ある。
 Expanded Footprint:
組織のコアネットワークに直接接続されているデバイスとペアに
なった IoT デバイスは、組織の管轄下にあるデバイスとして攻撃
の対象となり、攻撃されるポイントの数が増加する。
 Information Theft
IoT 機器はインターネットに接続されているため、クラウドに保
管された機密データが盗まれたり、悪用されたりする可能性があ
る。
 Outdated Firmware
ファームウェアは、プリンターなどのデバイスにプリインストー
ルされたソフトウェアであり、デバイスのローカル機能を制御す
る。攻撃者は IoT ファームウェアのアップデートを中断させて古
いファームウェアのままにしたり、既知の弱点を持つファーム
ウェアを操作したりして、デバイスにアクセスし、乗っ取ってし
まうことがある。

2525
従業員はしばしば IoT デバイスを身につけたり、 IT 担当者に通知
することなく組織のオフィスに持ち込んだりするため、組織のサ
イバーセキュリティ防御の一部として見逃されがちである。

26262
 Malware
個々の IoT ネットワークとデバイスは、コンピューティング能力
が限定的であることが多く、サイバー攻撃の影響を受けやすい。
IoT 技術に対する一般的なマルウェア攻撃はランサムウェアによ
るものであり、ユーザーが金銭的対価を支払わない限り、機器へ
のアクセスを拒否されるものが多い。
 Network Attacks
IoT デバイス経由の通信でネットワークに過度な負担をかける
DoS 攻撃を行い、 IoT ネットワークやデバイスを使用できないよ
うにする。

2727
(6)Threat Modeling and Overall Threat Landscape
ここでは threat modeling （脅威モデリング、脅威のモデル化）と threat

landscape （脅威ランドスケープ、脅威の状況）について学習し、それぞれ
について説明できるようにしておきたい。
Threat modeling （脅威モデリング）とは、ネットワーク、システム、ア
プリケーションに対する脅威を特定 (identify) 、分析 (analyze) 、緩和
(mitigate) するプロセスである。その目的は、システムが直面する可能性の
あるすべてのリスクを理解し、対策を講じることである。対策にはリスク
の影響の最小化、リスク防止のための統制、インシデントの予防などが含
まれる。脅威モデルを構築するには、組織はまず、対処すべき弱点や脆弱
性を特定しなければならない。
脅威モデリングには、 threat landscape （脅威ランドスケープ。組織とそ
の IT インフラが直面する可能性のある脅威の総体）の評価が必須である。
脅威は絶えず進化しているため、定期的に脅威ランドスケープを評価する
必要がある。組織が最新の脅威や脆弱性に関する情報を入手し、サイバー
セキュリティの取り組みに優先順位をつけるのに役立つプラットフォーム
として threat intelligence platforms （脅威インテリジェンスプラットフォー
ム）の利用が広がっている。
脅威の状況を評価する際に考慮すべき要素には、さまざまな攻撃手法、
脅威の影響の大きさ、既存の脆弱性、脅威の種類（ social engineering
attacks 、 insider threats 、 network attacks など）が含まれる。
① Phases of Threat Modeling
1. Identify Assets
脅威からの保護が必要な全ての資産を特定し、目録化する。
2. Identify Threats
脅威の意図、標的、潜在的な攻撃方法など、脅威の種類と特徴を特
定する。
現実的な脅威のシナリオについても議論し、計画に活用する。
3. Perform Reduction Analysis:
このフェーズでは脅威から保護する資産を細分化 (decomposition)
する。
その目的は資産と潜在的な脅威がどのような相互作用をおこすかを
理解することである。細分化のプロセスでは、信頼とセキュリティ

28282
の変化、データの流れ、入力された情報を受け取る場所、セキュリ
ティクリアランス（機密情報にアクセスできる従業員の適格性の確
認）、関連するポリシーと手順など、各資産についてのさまざまな
側面を理解しなければならない。

2929
4. Analyze Impact of an Attack

攻撃の影響を質的かつ量的（被害額の見積り）に把握することは、
解決策の優先順位付けに役立つ。
5. Develop Countermeasures and Controls
セキュリティ管理策として、侵入検知システム、コンティンジェン
シープラン、攻撃が成功した場合のセキュリティプロトコルなどの
導入を検討する。
対応策は脅威のリスクの大きさに基づいて優先順位をつける。
6. Review and Evaluate
脅威モデルの定期的な評価を行い、脅威ランドスケープに新たなリ
スクが生じていれば、更新を行う。

30303
② Threat Methodologies （参考）
一般的な脅威モデルとして、ここで説明する3 つの方法論が挙げられ
る。
・ Process for Attack Simulation and Threat Analysis （ PASTA ）脅威モデル
・ Visual, Agile, and Simple Threat（ VAST ）脅威モデル
・ Spoofing, Tampering, Repudiation, Information Disclosure, Denial-of-Service
attack, and Elevation of privilege （ STRIDE ）脅威モデル
②-1 PASTA Threat Model
Process for Attack Simulation and Threat Analysis （ PASTA ）脅威モデルで

は保護される資産の価値によってリスクを優先付けし、対策を講じる
ことに焦点を当てている。以下の7 つの段階がある。
1. definition of the objectives (DO) for the analysis of risks;
2. definition of the technical scope (DTS);
3. application decomposition and analysis (ADA);
4. threat analysis (TA);
5. weakness and vulnerability analysis (WVA);
6. attack modeling and simulation (AMS); and
7. risk analysis and management (RAM).
②-2 VAST Threat Model
Visual, Agile, and Simple Threat（ VAST ）脅威モデルは、プロジェクト

管理手法のアジャイルモデルに基づく脅威モデルで、その目的は脅威
管理をプログラミング環境に統合することである。
②-3 STRIDE Threat Model
Spoofing, Tampering, Repudiation, Information Disclosure, Denial-of-Service

attack, and Elevation of privilege （ STRIDE ）脅威モデルは、マイクロソ
フト社が開発した脅威モデルで、アプリケーションやオペレーティン
グシステムに関連する脅威を評価するために使用される。この名称に
含まれている6 つの脅威コンセプトは、ネットワーク脅威やソーシャ
ルエンジニアリングなど、アプリケーション以外の脅威をもカバーす
る広範なものである。

3131

32323
【ＭＥＭＯ】

3333
2. Mitigation of Threats and Attacks （脅威と攻撃の

緩和）
(1)The COSO Framework and its Relationship With Cyber Risks and Controls
COSO とは Committee of
Sponsoring Organizations の略で、内
部統制 (internal controls) 、不正抑
止 (fraud deterrence) 、リスク管理
(risk management) に関するガイダ
ンスを提供する諮問機関である。
1992 年に策定した COSO 内部統制
フレームワークで知られ、このフ
レームワークは内部統制の実践に
関する業界全体のベンチマークと
なった。このフレームワークの最
新版は COSO 2013 と題され、右図
の COSO キューブ（内部統制システムのそれぞれの要素がどのように連携
しているかを示す立体図）がよく知られている。
＜目的＞
COSO フレームワークでは内部統制の目的を operations （業務）、
reporting （報告）、 compliance （コンプライアンス）の 3 つのグループに
分類している（上図キューブの上面）。これらの目的は以下のようにサイ
バーセキュリティに適用することができる。
 Operational Objectives
運用目的は、事業運営の有効性と効率性に重点を置く。組織の IT
資産がサイバーセキュリティの脅威や不正行為からどの程度保護
されているかを評価するパフォーマンス指標の設定や、保護措置
の構築もこの目的に関わる事柄である。
 Reporting Objectives
報告目的は、基準設定機関、規制当局、組織自身の方針によって
決定される透明性、信頼性 (reliability) 、適時性、信用度
(trustworthiness) に重点を置く。
サイバーセキュリティに対する統制を整備し、サイバー攻撃が内
部／外部の財務／非財務報告に影響を与えることのないようにす
ることに関するものである。
 Compliance Objectives
コンプライアンス目的は、法律やコンプライアンス規制の遵守に

34343
重点を置く。サイバーセキュリティに関するものとしては、 NIST
のような業界標準や、 Health Insurance Portability and Accountability Act
(HIPAA) のような米国の規制、および General Data Protection
Regulation (GDPR) のような国際法への準拠が挙げられる。

3535
＜構成要素＞
COSO の内部統制フレームワークには 5 つの構成要素がある（上図
キューブの前面）。これらの要素はサイバー脅威の予防、検知、対応のた
めのサイバーセキュリティの取り組みに適用することができる。
 Control Environment （統制環境）
統制環境は内部統制組織の整備及び運用の状況に影響を与える周
囲の統制環境（経営環境）のことをいい、しばしば経営者の気風
(tone at the top) とも呼ばれる。経営者は組織の倫理的価値観を定
め、トップダウンで組織全体に COSO フレームワークを推し進め
る。
上級管理職とガバナンス担当者は統制環境の整備に積極的に関与
すべきである。
・サイバー脅威に対する認識を高める。
・主要な IT ポリシー、プロセス、手順の策定を指導する。
・インシデント対応に関する指針を提供する。
・企業のデジタル資産とリソースの保護について従業員を教育す
る。など
 Risk Assessment（リスク評価）
リスクの内部要因・外部要因を評価する。また、リスク評価手順
をカスタマイズし、サイバーリスク、発生の可能性、及びサイ
バー脅威の分析に適用する。
このリスク評価は、組織がリスク許容範囲内でサイバーリスクを
管理していることを合理的に保証するものとなる。
 Control Activities（統制活動）
統制活動はリスクを軽減するために実施する方針と手続である。
この統制活動の実施状況により、統制環境で設定された経営者の
気風が、組織のすべてのレベルで実施されているかを判断するこ
とができる。
 Information and Communication （情報と伝達）
情報と伝達は内部統制を支援するために、一貫性のある適切な言
葉を使用すること、情報共有のベストプラクティスに従うこと、
そして組織内外の利害関係者とコミュニケーションを図ることに
重点を置くものである。
サイバー脅威に関する組織の方針、潜在的なサイバー脅威の検出
方法、サイバーセキュリティ事象への対応方法などに関する情報
を共有することは、どのような組織にとっても非常に重要である。
効果的なコミュニケーションの例としては、以下が挙げられる。

36363
・主要な事業機能を中断した場合の影響を概説した、経営者向
けの事業影響分析報告書
・サイバーセキュリティに関する方針に関する従業員ミーティ
ング
・サイバーセキュリティの内部統制について全社向けの定期的
な電子メールの送信
・サイバー脅威と企業ポリシーに関する年次トレーニングの義
務化

3737
 Monitoring Activities （モニタリング）
内部統制のモニタリングは脆弱性が存在する領域を特定し、有効
性と効率性を判断するために、継続的に実施すべき活動であり、
常に進化するサイバーセキュリティの脅威に対して特に重要であ
る。監視手法や管理策の例には、以下のようなものがある。
・侵入テスト
・脆弱性スキャンと評価
・定期的なフィッシング報告
COSO の視点からサイバーリスクを捉えることで、経営陣はリスク許容
度とビジネス目標をより明確に伝えることができるといえる。経営陣に
よって明確に優先順位が付けられていれば、サイバーセキュリティ担当者
は攻撃を受ける可能性が高いシステムに対するリスクと、 IT システムの潜
在的な脆弱性の評価に集中することができる。

38383
(2)Security Policies, Standards, and Procedures
サイバーセキュリティの防御を強化し、 IT インフラの耐性を高めるには、
セキュリティポリシーを複数のレベル
に分ける必要がある。＜セキュリティポリシーのレベル分け
＞
最上位のレベルには、セキュリ
ティポリシーを設定し、組織のセ Security Policies
キュリティニーズの概要や、何を実装
すべきかの戦略的計画を定める。
次のレベルには基準を定め、上位 Security Standards
のセキュリティポリシーで定義された
目標を達成するためのベンチマークと
する。 Security Standard
Operating Procedures
一番下のレベルには標準的な作業の
手順書を定め、ビジネスプロセスの運用に関する詳細な説明を記述する。
組織がサービス組織である場合、セキュリティポリシー、基準、および
手順書は、 SOC 2®
engagement において service auditor によるレビューの対象となる。
① Security Policies
セキュリティポリシーは、組織のセキュリティフレームワークの基礎
であり、その実装のための包括的なガイドラインとなる。この文書は組
織のリソースのそれぞれに、どの程度のセキュリティ対策を適用するか
を概説するものである。セキュリティポリシーは、明確な条件、役割、
責任、許容できるリスクレベルを定めるものである。また、セキュリ
ティポリシーは、侵入、攻撃、自然災害に対する上級管理職の十分な注
意を示す証拠でもある。
＜ Service organization が実施するセキュリティポリシー及び関連プロセス
の例＞
・データの分類とビジネス影響評価
・セキュリティ管理策の選択、文書化、実施
・セキュリティ管理の評価
・ユーザーアクセスの承認とプロビジョニング
・セキュリティ管理の監視
組織には多くの場合、ドメインごとにポリシーがあり、ポリシーの焦
点を分散させている。例えば、 IT に関連する従業員の行動を管理する
ユーザーポリシー、適用される法律を遵守するための規制ポリシー

3939
(regulatory policies) 、ネットワークやソフトウェアを管理するシステム
ベースのポリシーなどに分けられることがある。組織はこれらのドメイ
ンを管理し、セキュリティポリシーを実行するために、利用規定
(acceptable use policies) （ → 次項）を作成する。
①-1 Acceptable Use Policy (AUP)
Acceptable Use Policy （ AUP ；利用規定）とは、テクノロジーリ

ソースを規制し保護するために組織が作成する管理文書で、職務に適
切なレベルの責任を割り当て、従業員やベンダーに許容される行動を
挙げ、 AUP に違反した場合の対応を明記するものである。ユーザーは
組織のシステム、アプリケーション、およびデバイスへのアクセスを
許可される前に、 AUP の条件に同意・署名するよう求められることが
多い。
＜一般的な AUP の内容＞
・ポリシーの定義、範囲、目的
・ビジネス活動において許容される個人機器の使用
・使用が許可されるモバイル機器
・機器メンテナンス
・機密性
・社内デバイスでの活動の監視と実施
・社内デバイスでの活動とソフトウェアダウンロードの制限
・セキュリティ上、インストールが必要なソフトウェア
・セキュリティ要件
・ポリシーに違反した場合の解雇に関する条件
①-2 Mobile Device Security Policies
組織にとって最大の脅威のひとつは、従業員によるモバイル機器の
管理が不十分なケースである。そのためモバイル機器に特化した AUP
を定め、モバイル機器の使用と、モバイル機器から企業ネットワーク
への接続を制御するための技術的な対策とともに、厳格なポリシーを
策定する必要がある。
モバイル機器の AUP は、全社的な AUP の一環として、タブレット、
スマートフォン、スマートウォッチ、その他のモバイル機器のポリ
シーを定義するものである。ユーザーはこれらの機器を用いて、デス
クトップなどの従来のハードウェアと同じデータ、システム、アプリ
ケーションにアクセスできるようになる。モバイル機器の AUP は一般

40404
的に、パスワード保護ルール、多要素認証 (multifactor authentication

requirements) 、必要な暗号化、ウェブ閲覧ルール、公衆ネットワーク
への接続パラメータ、機器上の他のアプリケーションやファイルのダ
ウンロードに関するポリシーを規定している。

4141
①-3 Bring-Your-Own-Device Policies
もう 1 つの一般的なモバイル機器ポリシーは、 Bring-your-own-
device （ BOYD ）ポリシーで、個人所有のデバイスを業務に使用した
り、組織のネットワークに直接接続したりすることを許可するもので
ある。 BYOD ポリシーには AUP と同じ要素も含まれるが、以下の項目
は業務に使用される個人所有のデバイスにのみ該当する。
・個人用デバイスでの行為の監視と実施
個人所有のデバイス上での行動に対する組織の権限の範囲は、
プライバシーと監視のバランスをとる必要があり、組織の考え方
によって異なる。組織は攻撃者からの侵入を防ぐために適切な監
視を実施しなければならない一方で、従業員のプライバシーを尊
重するための基準も設定しなければならない。
・デバイス上のデータの所有権
この点についても組織の考え方によってさまざまだが、組織の
記録、顧客、ベンダー、連絡先に関するすべての情報は、従業員
ではなく組織の所有物であるとするのが一般的である。まれに組
織ではなく従業員が所有権を持つ場合もある。
・個人的責任と補償
情報漏えい等があった場合に、従業員が個人的に責任を負う場
合と、組織が責任を負う場合とを BYOD ポリシーに明記すること
がある。また、 BYOD ポリシーに補償 (indemnification) に関する
項目を加え、従業員／組織が責任を負う場合に、誰が損失を補償
する責任を負うかを定義することもある。
・個人用デバイスでの活動とアプリケーションダウンロードの制限
個人所有のデバイスは従業員の所有物であるが、情報漏えいや
社内ネットワークへの不正アクセスを防ぐため、特定のアプリ
ケーションのダウンロードを禁止するよう、組織のポリシーに記
載することもある。
組織は個人の非モバイル機器の使用も許可するため、組織にはさま
ざまなリスクが生じる。（例：機密データの漏えいの可能性、規制の
遵守違反、ハッカーにネットワークの入り口を提供してしまう、な
ど。）
そこで BYOD ポリシーはこれらの非モバイル機器にも適用されるのが
一般的である。

42424
② Security Standards
セキュリティ基準は組織に課される要件で、法律で義務付けられてい
るか、あるいは企業がベストプラクティスのガイドラインとして採用し
ている場合もある。セキュリティ基準は、ポリシーのもとに定められた
セキュリティルールの次のレベルであり、セキュリティポリシーを達成
するための行動指針となる。セキュリティ基準では、パフォーマンスの
最低レベルを定義したり、ポリシーの実装方法に関する推奨事項を提示
したりする場合もある。
＜セキュリティ基準の例＞
・ National Institute of Standards and Technology （ NIST；国立標準技術研
究所）により定められたフレームワーク
・ General Data Protection Regulation （ GDPR ； EU 一般データ保護規
則）のような個人情報保護法
・ PCI Security Standards Council （ PCI SSC ；セキュリティ基準協議
会）が発行する Payment Card Industry Data Security Standard （ PCI
DSS ； PCI データセキュリティ基準）のような業界標準
③ Security Standard Operating Procedures
Standard Operating Procedures （ SOP ；標準作業手順書）は、セキュリ

ティポリシーにおいて最も低いレベルに位置する文書で、特定のセキュ
リティタスクの実行に対する詳細な指示を定めるものである。 SOP はセ
キュリティポリシーとセキュリティ基準の目標を達成するため、システ
ム、ソフトウェア、物理的な行動を組み合わせたものとなる。
セキュリティ上、一人の担当者が組織内のすべてのセキュリティ実務
の手順書にアクセスできないように、 SOP を細分化し、手順のすべてを
一つの文書にまとめないことが推奨されている。セキュリティポリシー
の担当者は、担当する職務に関する SOP のみを保有し、ポリシーの調整
や更新が必要な場合は必要に応じて機動的に調整を行う。

4343
(3)Network Protection Methods
① Network Components
ネットワークとはユーザーがデータを送受信・保存できるように、有
線ケーブル (wired cables) や無線技術を使って接続された物理的・仮想
的な機器のシステムのことで、異なるプロトコルを組み合わせて通信す
る。プロトコルは、機器がネットワーク内の他の機器とどのように通信
するかを規定する一連のルールである。
＜ネットワークで使用されるハードウェア＞
・ Access Point （ AP ；アクセスポイント）
無線対応のデバイスを使用して、ユーザーが有線ネットワークに接続
するための無線接続ポイント。
・ Bridges （ブリッジ）
ネットワーク同士を接続するもので、トポロジーや伝送速度が異なる
ネットワークであっても同じプロトコルを使用していれば接続するこ
とができる。
・ Computers （コンピューター）
デスクトップコンピューターやラップトップコンピューターは、ネッ
トワーク上のエンドポイントデバイスで、ユーザーがネットワークを
通じて通信する主要な手段である。
・ Gateway （ゲートウェイ）
異なるプロトコルを使用する複数のネットワークを接続し、プロトコ
ルを変換して2 つのネットワークが通信できるようにする。
・ Hub （ハブ）
1 つのネットワーク内で同じプロトコルを使用する複数のシステムや
デバイスをつなぐ接続ポイント。ハブはデータパケットを受信し、他
のすべてのデバイスに転送する。
・ Mobile Phones and Tablets （携帯電話とタブレット）
コンピューターと並んでユーザーがネットワークに接続する主な手段
であるデバイス。
・ Modems （モデム）
デジタル情報とアナログ信号を変調 (modulate) してネットワークを
サポートする装置。コンピューターをインターネットに接続するため
に最も汎用的に使用されている。
・ Proxies （プロキシ）

44444
ゲートウェイの一種で、社内ネットワークとインターネットの間に配
置され、同じプロトコルを使用する社内ネットワークに代わって外部
との送受信を行う中間ゲートウェイとして機能する。外部から攻撃さ
れた場合に、社内ネットワークに至るのを遮断する。

4545
・ Routers（ルーター）
ネットワーク上のデータフローを制御する装置。データパケットを受
信し、同じプロトコルを使って、 IP アドレスに基づいて正しい宛先に
転送する。
・ Servers（サーバ）
アプリケーションサーバではアプリケーションの実行、ファイルサー
バではファイルの保存、データベースサーバではデータの保存など、
与えられた中核機能に特化し、コンピューターやネットワークを補助
する装置。
・ Signal Modifiers （信号変調器）
信号を受信し、信号強度の強化、複数の信号の結合、信号の再生など、
信号を変調する装置で、増幅器 (amplifiers) 、集線装置
(concentrators) 、中継器 (repeaters) などがある。信号の種類には、電
気信号、無線信号、音声信号、光信号などがある。
・ Switches （スイッチ）
ハブのようにネットワーク内のさまざまなデバイスを接続するが、宛
先への経路を確立するのみで、受信した信号を他のネットワーク機器
に転送するところまではしない。
② Network Security
ネットワークセキュリティに特化したセキュリティ手法には以下のよ
うなものがある。
 Network Segmentation or Isolation（セグメンテーションまたは分離）
ネットワーク上の通信を制御し、外部の通信や組織内の他のセグ
メントからアクセスできないようにするプロセス。このポケット
化した隔離により、ネットワーク全体のセキュリティが向上する。
 Firewall （ファイアウォール）
ファイアウォールとは、外部からの攻撃をブロックするため、公
衆ネットワークへの送受信をフィルタリングおよび監視する物理
的なデバイス、ソフトウェア、またはその両方を指す。
 Service Set Identifier (SSID)
ワイヤレスネットワークに割り当てられた名前を SSIDと呼び、
無線対応機器がそのネットワークに接続できるように、一定範囲
内にあるワイヤレスアクセスポイントによって通知される。ワイ

46464
ヤレスネットワークのセキュリティを向上させる1 つの方法は、
アクセスポイントから SSIDを通知しないように設定し、
ネットワークを見えなくすることである。

4747
 Virtual Private Network (VPN) （ VPN ；仮想プライベートネットワー

ク）
既存の物理ネットワーク上に構築される仮想ネットワークで、ト
ンネリングや Internet Protocol Security (IPsec) （下記参照）などの
技術を使用して、安全な通信手段を提供する。
・ Tunneling （トンネリング）：通信ネットワーク上の二点間を、
閉じられた仮想的な直結回線で接続する手法で、具体的にはある
プロトコルのデータ（パケット）を別のプロトコルのパケットで
カプセル化し、保護トンネルを作るものである。
・ Internet Protocol Security (IPsec) ： IPsec は通信を暗号化し、アクセス
制御を提供し、 IP プロトコルを使用して認証する。 IPsec はトンネ
リングと同様に動作するが、パケット全体ではなく、ペイロード
と呼ばれる特定のデータ部分のみを暗号化することもできる。こ
のレベルの保護により、 VPN ユーザーは組織のアプリケーション、
データ、システムへの安全なリモートアクセスが可能となる。
 Wi-Fi Protected Access (WPA)

スイッチなどの無線アクセスポイントとモバイル機器間の通信を
暗号化するセキュリティプロトコル。ただし無線アクセスポイン
トから出た後、有線接続を経由する通信は暗号化されない。
WPA の最初の後継である WPA2 は、同様のプロトコルで、
Advanced Encryption Standard (AES) を用いてデータ暗号化の追加レ
イヤーを提供し、ネットワークのセキュリティをさらに強化した。
WPA3 はより洗練された暗号化、安全な handshake （デバイス間
の接続を確立するプロセス）、より強力なパスワード保護によっ
て、さらに強力なセキュリティを提供している。
 Endpoint Security
ネットワークに接続されたすべてのデバイス（ホストとも呼ばれ
る）には、
ネットワークや通信チャネル上の他のセキュリティ対策とは別に、
何らかのローカルセキュリティが必要であるという考え方。以下
のような例がある。
・アンチウイルスおよびマルウェアスクリーニングソフトウェ
ア
・認証と認可のメカニズム
・監査ソフトウェア
・ローカルホストのファイアウォール
・ホストベースの侵入検知
・予防システム

48484
 System Hardening
システムハードニング（システムの堅牢化）とは、攻撃を受ける
可能性のあるアクセスポイントの数を最小化することで、リスク
を軽減する、多面的で包括的なセキュリティ手法である。
ここでのアクセスポイントは攻撃ベクトル (attack vector) と呼ば
れ、アプリケーション、データベース、オペレーティングシステ
ム、サーバ、ネットワーク機器など、 IT インフラのあらゆる側面
を含む。システムハードニングにより、攻撃者が IT システムに侵
入する機会を減らすことができる。
＜システムハードニングの例＞
・ Database Hardening ：管理者ユーザーとデータベース利用ユー
ザーとの間に明確な区別ができるように、異なる権限レベルを
設定する。また保存データを暗号化する。
・ Endpoint Hardening ：ローカルデバイス上のユーザーの管理者権
限を削除し、エンドポイントユーザーが許可された機能以外は
実行できないようにする。ユーザーがインターネットや電子
メールから特定のファイルをダウンロードすることを制限する。
すべてのノートパソコンにローカルファイアウォールとマル
ウェアスクリーニングを導入する。このようなハードニングの
調整により、ネットワーク上でのユーザーの不注意な行動を防
ぐことができる。
・ Network Hardening ：ファイアウォールのルールを見直し、使用
されていないポートを削除し、不要なプロトコルをブロックす
るように設定する。これにより、攻撃者がネットワークに侵入
するための選択肢が少なくなる。
・ Server Hardening ：物理的にサーバを安全な施設に隔離し、さら
にバックアップサーバを地理的に分離する。これにより1 つの
サーバが攻撃されても、全てのサーバが危険にさらされること
はない。
また、初めてネットワークに接続するサーバのテスト手順を策
定し、管理者権限が適切に設定されるようにする。稼動中の
サーバを営業時間外にテストし、サービスの中断を最小限に抑
える。
 Media Access Control (MAC) Filtering （メディアアクセス制御フィル
タリング）
アクセスポイントにおけるフィルタリングの一形態で、承認され
た MAC アドレス以外の機器のアクセスをブロックするものである。
MAC アドレスは、物理アドレスまたはハードウェアアドレスとも

4949
呼ばれ、ネットワーク上の他の機器と通信する際、ネットワーク
上の機器を一意に特定するための識別子である。
②-1 Service Auditor Consideration of Logical and Physical Access
SOC 2® を実施する service auditor は、ネットワークを通じたリモート

アクセスに関する企業の組織統制を検証することがある。この場合
service auditor は遠隔でのログインを観察し、通信が暗号化されている
か、 VPN （仮想プライベートネットワーク）接続を使用しているか、
ユーザー認証は多要素認証か、アクセスしようとしている人物は許可
された従業員か、などの点を確認する。

50505
(4)Authorization and Authentication
① Authorization and Authentication in Security Operations （許可と認証）
組織は進化する脅威を阻止するために、高度なサイバーセキュリティ
アプリケーションとデバイスを採用するだけでなく、これらの防御ツー
ルを補完する運用を導入する必要がある。運用方法の概念には、ここで
学習する zero trust （ゼロトラスト）、 least privilege （最小特権）、
need-to-know principle （知る必要性の原則）、 whitelisting （ホワイトリス
ト）などがあり、これらは組織の IT アーキテクチャおよび IT ポリシーに
組み込むことができる。
①-1 Zero Trust（ゼロトラスト）
ゼロトラストとは、ユーザーのアクセスが認証された後でも、組織
のネットワークは常にリスクにさらされているという想定の下、1 回
限りのユーザー認証から継続的な認証を推進する概念である。例えば
ユーザーがネットワークと通信するすべてのポイントにおいて、継続
的にユーザー認証を検証するものである。
National Institute of Standards and Technology （ NIST；米国国立標準技術
研究所）は、 Zero Trust Network Architecture (ZTNA) モデルを確立し、
zero-trust architecture (ZTA) を通じて組織が継続的認証原則 (continuous
authentication principles) を導入するのを支援している。
ZTA はネットワークの内外に脅威が存在するという想定のもと、
データ漏洩を防ぎ、内部の横の動きを制限するように設計されている。
Zero-trust security model は、特定の要素に対する暗黙の信頼を排除し、
ユーザー、資産、リソースごとにリアルタイムでアクセスなどの対応
を認証・決定するため、継続的な検証を行う。
NISTの ZTA には様々なバリエーションがあるが、共通する考え方は
以下の通りである。
・すべてのデバイスとデータソースは、組織によって直接管理され
ていないものであっても、リソースとみなす。
・ネットワークの場所に関係なく、すべての通信は安全でなければ
ならない。
・組織のリソースへのアクセスはセッションごとに許可される。
・アクセスは、ダイナミックポリシーとその他の環境または行動属

5151
性を用いて決定される。
・組織はすべての資産の完全性と安全性を監視し、測定する。
・すべての認可と認証の仕組みは動的であり、アクセスを許可する
前に厳格に実施されなければならない。
・組織の資産、インフラ、通信の現状について詳細な情報を収集し、
セキュリティを向上させる。
NISTは ZTA の理念の導入にあたり、次のような前提条件を挙げてい
る。
・組織のプライベートネットワークは暗黙の信頼ゾーンではない。
・組織のネットワーク上のデバイスの中には、その組織が所有して
いないものや設定できないものが存在する場合がある。
・どのリソースも本質的に信頼できない。
・組織のインフラに接続するデバイスの中には、組織のリソースで
ないものもある。
・リモートユーザーは、ローカルネットワーク接続を信頼すべきで
はない。
・複数のインフラが関与するワークフローと資産は、一貫したセ
キュリティポリシーと構造を適用すべきである。
①-2 Least Privilege （最小特権）
Least Privilege（最小特権）とは、ある機能を実行するために必要な
最小限の権限とシステムリソースのみをユーザーとシステムに与える
という考え方である。 IT 管理者は特権が過剰になったり、職務の進展
に伴ってシステムへのアクセスが徐々に増加したりすることのないよ
う、安全策を講じる必要がある。これは従業員が昇進したり、異動し
たりする場合によく見られ、新しい役割に応じてシステム権限が与え
られるものの、以前の役割での権限が削除されないことがあるが、こ
れは最小特権の概念に反する例である。
①-3 Need-to-Know （知る必要性の原則）
Need-to-know （知る必要性の原則）は、従業員には職務を遂行する
ために知る必要のあるものだけが与えられるという考え方に従ったも
のである。 Need-to-know と least privilege の違いは、 need-to-know が職
務遂行に必要なデータ自体に焦点を当てるのに対し、 least privilege は

52525
職務遂行に必要なアクセスに焦点を当てるという点である。

5353
①-4 Whitelisting （ホワイトリスト）
Whitelisting とは、組織のシステム上で実行が許可されているアプリ
ケーションをリスト化し、それらのプログラムのみの実行を許可する
プロセスである。
これとは反対に、ネットワーク上での実行が許可されていないアプリ
ケーションをリスト化し、それらの実行を阻止するのが blacklisting
（ブラックリスト）である。これらのルールの実施は、ホワイトリス
ト上のアプリケーションのみを実行できるように設計されたソフト
ウェアによって運用される。

54545
(5)Identification and Authentication Techniques
① Identification and Authentication （識別と認証）
識別と認証は2 つの異なる概念で、システム、アプリケーション、ま
たは物理的な場所へのアクセス権限を検証する際、この2 つの概念が検
証プロセスの複数の段階で発生する。識別はユーザー名や識別カードな
どによって自身の身元を表明するプロセスであり、認証はその身元を検
証するプロセスといえる。
例えばユーザー名とパスワードの入力時のように、まずユーザーが身
元を表明し、次にそれが検証される。
この仕組みでユーザーはまず、 ID を登録するプロセスを経なければな
らない。米国では社会保障カード、運転免許証、またはパスポートなど、
最も基礎となる ID を提出することによって行われ、次にその基礎となる
ID を使用して二次的な ID を作成する。
② Authentication Technologies（認証技術）
現在では機密データ、アプリケーション、およびネットワークへのアク
セスを保護するため、さまざまな認証技術が利用可能である。
 Context-aware Authentication（コンテキストベース認証）
ユーザーがアクセスしようとしている状況に関する contextual
data （例えば、時間、ユーザーの地理的位置、アクセスポイント
（モバイルアプリケーション、デスクトップブラウザ、コールセ
ンターなど）、 IP アドレスなど）を活用して
ユーザーを識別し、認証する。
 Digital Signatures: （デジタル署名）
デジタル署名は電子的な認証印であり、通常は暗号化され、送信
者の身元証明としてメッセージに添付される。デジタル署名は暗
号技術を利用したもので、送信者は秘密鍵でメッセージを暗号化
し、受信者は送信者の公開鍵でメッセージを復号化する。
 Single Sign-On (SSO) （シングルサインオン）
ユーザーが複数のリソースやデバイスを使用する際に、 1 つの
セッションにつき1 回だけ認証されるようにする技術。
例えばスマート TV のアプリケーションにログインするには、
TV に表示されるワンタイムコードを承認されたスマートフォン

5555
に入力するだけでよい。これにより、セッション中に再び認証す
ることなくユーザーを認証することができる。

56565
 Multifactor Authentication （多要素認証）
一つのユーザー ID を認証するために 2 つ以上の要素を使用する手
法。多くの場合、知識と所有が組み合わされる。例えば入力した
ユーザー ID に対してパスワードとトークン（後述）によるパス
コードの入力を求める場合、パスワードは知識であり、トークン
は所有物である。
 Personal Identification Numbers (PIN) （個人識別番号）
PIN はカード所有者が記憶し、本人確認の一部として使用する数
字コードである。 PIN はユーザーの知識情報として機能し、他の
認証要素（物理的デバイス、トークン生成器など、所持情報）と
組み合わせた場合に最も効果的である。 PIN は最低でも 6 桁（文
字）以上とし、定期的な変更、アプリケーション間での重複の禁
止が推奨される。検証時には試行の制限（3 回までなど）を設け
るべきである。
 Smart Cards （スマートカード）
マイクロプロセッサーを搭載したプラスチック製カードで、デー
タの処理、商品・サービスの購入、制限区域への立ち入り、その
他スマートカードの所持者だけが実行できる活動の際、証明書と
して機能する。
 Token （トークン）
トークンは固定桁のパスコードを生成するデバイスで、ユーザー
が保有する。 Multifactor authentication （多要素認証）または
secondary authentication （二次認証メカニズム）の一形態である。
トークンによって生成されるパスコードは、認証サーバにも保存
されており、ユーザーからパスコードが入力されると、サーバと
照合し、認証する。
トークンには同期型 (synchronous) と非同期型 (asynchronous)
がある。
・同期型トークンは一定の時間でパスコードが変化し、検証時に
トークンとサーバが同じパスコードになるよう、トークンとサー
バを同期させておく必要がある。
・非同期トークン型は時間にかかわらず、特定のアルゴリズムに
基づいてパスコードを作成する。
 Biometrics （バイオメトリクス）
人間の身体的特徴または印象を使用して ID を検証する認証技法。
検証に使用される一般的な物理的特性には、顔認識 (facial
recognition) 、指紋 (fingerprint) または手のひらスキャン (palm
scans) 、手の寸法 (hand dimensions)、音声認識 (voice

5757
recognition) 、虹彩または網膜スキャン (iris or retina scans) 、心臓

または脈拍パターン (heart or pulse patters) 、キーストロークパ
ターン (keystroke patterns) 、手書きまたは署名の動的特徴の検証
(handwriting or signature dynamics) がある。

58585
③ Password Management （パスワード管理）
パスワードは最も一般的な認証方法であると同時に、攻撃者にとって
も最も一般的な攻撃対象でもあるため、強固なパスワード管理は非常に
重要である。パスワードは、文字、数字、または特殊文字の文字列で構
成される。パスワードには以下の弱点がある。
・推測されやすいパスワードを使ったり、複数のアカウントでパス
ワードを使い回したり、パスワードを他人と共有したり、パス
ワードを変更しなかったり、覚えにくいからとパスワードをメモ
したりすることがよくあるが、いずれも危険な行動である。
・短いパスワードは、 brute-force attack（自動化されたプログラムでパ
スワードのすべての組み合わせを試み、パスワードを推測する手
法）によって推測される可能性がある。
・インターネットでアクセス可能なデータベースに保存しているパ
スワードは、攻撃者によって頻繁に破られる。
これらの弱点に対抗するため、複雑なパスワードが推奨される。
③-1 Password Complexity
パスワードは長ければ長いほど安全である。パスワードの正しい文
字の組み合わせを推測するためには、文字数が増えると潜在的な組み
合わせの数が増え、指数関数的に推測に時間がかかるという考え方に
基づいている。
NISTは NIST Special Publication 800-63B で、パスワードに少なくとも 8
文字を使用することを推奨しているが、多くの組織では 12文字以上を
求めている。パスワードを頻繁に変更することも推奨されており、 45
～ 90日ごとに変更することが奨励されている。
③-2 Password Managers and Storage
パスワード保存・管理アプリケーションは、ユーザーのパスワード
を平文として保存するのではなく、ハッシュ (hashing) を使って保存
するプログラムである。ハッシュとは、 secure hash algorithms (SHA) な
どのアルゴリズムを使ってパスワードを判読できない (illegible) テキ
ストに変換するプロセスである。
ハッシュ化されたパスワードはデータベースに保存される。ユー

5959
ザーがパスワードを入力すると、その文字をハッシュアルゴリズムで
変換し、変換されたハッシュ値とデータベースに保存されているハッ
シュ値が比較される。両者が一致すれば、アクセスが許可される。
ハッシュ化されたパスワードから元のパスワードを推測するのは困
難ではあるが、不可能ではない。攻撃者がハッシュ化されたパスワー
ドを手に入れた場合、まずハッシュ化に用いたハッシュアルゴリズム
を特定する。そして brute-force の推測ソフトウェアで推測を始め、推
測したパスワードをハッシュ値に変換してデータベース内のハッシュ
値と比較する、という方法でパスワードを突き止めることになる。
④ Provisioning （プロビジョニング）
プロビジョニングとは組織がユーザーのアカウントを作成し、職務上
の役割に基づいて特権を付与する、 ID 管理のプロセスである。プロビ
ジョニングは認証可能で有効な ID を作成する上で重要なプロセスだが、
多くの場合、自動化され、かつ保護されている。これは従業員の入社時
に身元調査と同時に行われる場合があるが、組織の基準を満たさない個
人にはいかなる権限も与えられるべきではない。
そこで組織はシステムアクセスを許可する前に、当面の措置として、
新規ユーザーを登録し、組織がアクセスを管理する条件で承認すること
がある。こうして仮に登録されたユーザーに、本格的に組織からアクセ
スの権限が与えられた時には、仮に登録したユーザシステム認証情報を
削除する必要がある。 SOC 2® engagement では、監査対象期間中にシステ
ムへのアクセスを得た新従業員のうち、何人かをサンプルとして抽出し、
そのアクセス要求書 (access request) を検査することがある。この手続
きは、組織からアクセスの権限が与えられる前に、アクセスプロビジョ
ニング要求が承認されていたことを確認するために行われる。
⑤ Device Authentication （デバイス認証）
接続要求を行うデバイスを検証することでユーザーの身元を検証する
ことは、デバイス認証として知られている。デバイス認証で着目するの
は、ユーザーの資格情報や ID ではなく、固有の IP アドレスや MAC アドレ
スなど、デバイスの ID である。この技法は単独の認証方法としては弱い
が、ユーザーがログイン資格情報を入力し、有効なデバイスを使用する
ことを求められる多要素認証において効果的である。

60606

6161
(6)Definition and Purpose of Vulnerability Management （脆弱性の管理）
① Vulnerability Management
脆弱性管理とは、システムや組織に危害を及ぼす可能性のある IT 脆弱
性の悪用を防止するために設計される、予防的なセキュリティ対策とい
える。具体的には、システム内の既知の脆弱性を特定、分類、強化、修
正することを含む。コンピューターとネットワークセキュリティに不可
欠な部分であり、 IT リスク管理において重要な役割を果たす。
この目的を達成するため、組織は脆弱性につながる設定の変更や、新
たに発見された脆弱性を特定するために、検知と監視を行うべきである。
また、環境に重大な変更があれば、潜在的な脆弱性や設定ミス
(misconfigurations) を特定するため、定期的に脆弱性スキャンを実施する
ことも推奨される。欠陥が特定された場合は、修正するための行動を速
やかにとるべきである。
② Vulnerability Tools
脆弱性管理は、脆弱性評価 (vulnerability assessments) や脆弱性スキャン
(vulnerability scanners) などのツールを使用するほか、 National Institute of
Standards and Technology （ NIST ；米国国立標準技術研究所）のサイバーセ
キュリティフレームワークなどのフレームワークを適用して管理するこ
とが推奨される。
②-1 Applying the NIST Cybersecurity Framework
組織が脆弱性管理ソリューションを導入する際、 NIST Cybersecurity
Framework （ CSF ；サイバーセキュリティフレームワーク）を適用
することがある。
＜ CSF の 5 つの機能＞
 Identify （特定）
フレームワークを適用し、システム、データ、資産、従業員に関
するリソースの脆弱性を特定する。これらの資産が運用されるビ
ジネス環境・ポリシーを理解し、ガバナンスの実施状況を明らか
にする。
 Protect （保護）

62626
フレームワークを適用し、脆弱性に対する保護措置を構築する。
具体的には ID の識別やアクセス制御の管理、資産の保全、従業員
に対する脅威の通知など、それぞれの手段を確立することが挙げ
られる。

6363
 Detect （検出）
フレームワークを適用し、脆弱性を迅速に検出するための活動を
定める。これには異常な事柄 (anomalies) の検索、継続的な監視
の実施、防護策の結果の有効性検証などが含まれる。
 Respond （対応）
フレームワークを適用し、検出された脆弱性への対応を実施する。
これには、適切な対応のための問題分析、脆弱性による影響が拡
がるのを防ぐための緩和活動の実施、問題の内容と対応策につい
て組織への伝達などが含まれる。
 Recover （回復）
フレームワークを適用し、脆弱性の緩和を支援する。関連する活
動には、復旧計画の実施、改善、適切なスタッフに対する復旧に
関する通知などが含まれる。
②-2 Vulnerability Scanners （脆弱性スキャン）
脆弱性スキャンは、システムに既知のセキュリティリスクがないか
を検証するアプリケーションで、システムをスキャンした結果を脅威
のデータベースと照合し、セキュリティリスクの有無を判断する。脅
威のデータベースは定期的に更新され、最新の脅威に対応している。
脆弱性スキャンは、悪用されやすいオープンネットワークポートのス
キャン、システム間で送信されるデータパケットの分析、使用される
プロトコルの特定、ユーザーのシステムで実行されているオペレー
ティングシステムとアプリケーションの種類の特定などを行う。
脆弱性スキャンは一方で、攻撃者が組織の弱点を特定し、その弱点
を攻撃するために利用することができるという側面もある。
②-3 Vulnerability Assessments （脆弱性評価）
脆弱性評価は、最初のリスク分析の一部として行われ、その後、四
半期ごとや毎年、実施されることが多い。脆弱性評価ではしばしば脆
弱性スキャンが使用され、特定の脅威がまだ残っていないかを判断す
るため、時間をかけて観察される。脆弱性評価の結果、何らかのソ
リューションを導入する必要があるとわかっても、場合によってはそ
の導入自体が業務に支障をきたす可能性があり、即時にソリューショ
ンを導入できないこともある。その場合、脆弱性を緩和し、かつ効率
的な運用を可能にするソリューションができるまで、企業はリスクに
さらされた状態で運用を続けることになる。

64646
評価結果には大きな価値があるとともに、評価プロセスを経ること
で付随的な利点もある。評価プロセスでは複数の IT プロセスの観察や、
通常は評価対象とならない組織全体の従業員への照会が行われるから
である。こうして経営者が組織の全体像を把握することで、ある部分
のプロセスが他の部分にどのように影響し、脆弱性を生み出している
かを確認することができる。

6565
③ Common Vulnerabilities and Exposures Dictionary
Common Vulnerabilities and Exposures （ CVE ；共通脆弱性識別

子） Dictionary は、セキュリティ脆弱性の辞書であり、さまざまな脆弱性
に対して一意の識別子を提供する。新しい脆弱性が発見されると、デー
タベースを管理する組織である MITRE 社によって、その名称と識別子が
辞書に追加される。
CVE は脆弱性の認識と名称を標準化するのに役立っており、現在では
CVE 識別子はさまざまなサイバーセキュリティ製品で使用され、 CVE を
参照した製品には "CVE-Compatible" と表示されるようになってきてい
る。
④ Patch Management
アプリケーションにバグが発見されると、ソフトウェアベンダーは
パッチと呼ばれる更新プログラムをリリースし、顧客が脆弱性を修正で
きるようにする。このパッチの管理は脆弱性管理ソリューションと連携
してセキュリティの脅威を最小化するための重要な要素である。
効果的なパッチ管理としては、まず IT 管理者が、対象のアップデート
が自社に適用可能かどうかを評価し、隔離されたシステムでパッチをテ
ストし、パッチの導入計画を立て、パッチを導入し、パッチが正常に実
装されたかを検証することが望まれる。
Service organization は変更管理ログ (change management log) の整備を
求められる場合があり、パッチ管理プロセスは通常、 SOC 2®
engagement において検査対象となる。

66666
(7)Layered Security in Cyberdefense
Layered security （重層的なセキュリティ）の目的は、多様なセキュリ
ティ戦術を組み合わせて組織を保護し、単一のサイバー攻撃やセキュリ
ティの脆弱性によってシステム全体が危険にさらされないようにすること
である。階層的アプローチでは、物理的アクセス制御、論理的／技術的制
御、管理的制御を組み合わせて、制御に冗長性を与える。この冗長性は多
面的な侵害が発生した場合に生じるセキュリティ上の欠陥を補うために導
入される。
① Defense-in-Depth （多層防御）
最も一般的な layered security solutions （重層的な防御戦略）の 1 つに、

defense-in-depth cybersecurity strategy （多層防御型サイバーセキュリティ戦
略）がある。これは防御技術のみに頼るのではなく、以下に挙げるよう
な層をいくつも組み合わせる多層的な防御戦略である。
・ Personnel （人員）
組織は多層防御を効果的に導入するために、セキュリティ機能や
ツールを効果的に運用できる専門家を確保しなければならない。総
合的な専門知識を持つ特定の IT 専門家が必要になる場合がある。
・ Policies （方針）
テクノロジーをどのように使うべきかを規定するポリシーを作成・
導入し、実装したツールが設計通りに機能しているかを長期的に監
視する必要がある。
・ Technology （技術）
多層防御戦略に適用される技術的統制には、侵入検知・防御システ
ム、ウイルス対策ソフトウェア、ファイアウォール、エンドポイン
トセキュリティなどのセキュリティソリューションが含まれる。
・ Physical Access Controls （物理的アクセス制御）
物理的アクセス制御には、カメラ、ゲート、鍵、フェンス、 ID によ
るアクセス管理、空調管理された機器へのアクセス制限などのセ
キュリティ対策がある。
・ Logical Access Controls （論理アクセス制御）
不正アクセスを防ぐために設計されたソフトウェア／ハードウェア
で実行される、ルールに基づく制御 (rule-based controls) である。
このような制御はユーザー認証システムに組み込まれ、ログイン認
証情報、多要素認証、およびさまざまな権限ベースの論理アクセス

6767
方法などを通じて ID の検証を担う。

68686
② Redundancy and Diversification
同一のリソースを保護するために複数のセキュリティ手段を使用する
ことで、あるレイヤーに障害が発生しても、異なる手段で保護すること
ができる。
また冗長性と多様性は、組織の弱点を狙った様々な攻撃にも対抗できる。
更に、一つのセキュリティ手段のプロセスを分割し、異なる人物やシ
ステムに担当させたり、重複させたりすることで、全体的なセキュリ
ティはより多様になり、より効果的になる可能性がある。
こうした冗長性を実現するには、以下の要素が必要である。
 layering processes （多層化）
 isolating processes （分離）
 concealing data（データの秘匿）
 segmenting hardware （ハードウェアの分割）
②-1 Process Layering and Isolation （多層化と分離）
プロセスの多層化は、オペレーションをより小さな塊に分割して冗
長性を持たせ、それを別の人が管理したり、機械やコンピューターが
実行したり、他のプロセスから完全に分離したりすることができる。
こうすることで、プロセスの重要度の低い部分よりも、重要度の高い
部分や機密情報を重点的に保護するようにできる。
②-2 Abstraction and Concealment（抽象化と秘匿）
Abstraction （抽象化）とは、ある機能を実行する人物に、その機能
に関する情報のみが提示されるように、タスクを単純化し、タスク全
体の複雑さをわからないようにするプロセスである。抽象化の主な目
的は複雑なタスクを単純化することであるが、ユーザーアクセスを制
限し、業務遂行に必要な詳細情報以外はアクセスできないようにする
ことで、サイバーセキュリティ上も重要な役割を果たす。
抽象化はアプリケーションとネットワークの両方に適用できる。
Concealment（データの隠蔽）は抽象化と似ているが、抽象化の焦点
はユーザーがタスクをより効率的かつ安全に実行するために、複雑な
タスク自体を単純化することに重点を置いているのに対し、隠蔽は
データを隠すことに重点を置いている。実装する際には、特定のデー

6969
タセット、アプリケーションの一部、オブジェクトにセキュリティレ
ベル割り当て、それを必要とするユーザーにのみアクセス権限を割り
当てる。
②-3 Hardware Segmentation
ハードウェアの分割は、目的はプロセスの分離と同じであるが、論
理的な分離ではなく、物理的にマシンを分離する。こうした分割はそ
れほど一般的ではないが、地理的に分散したネットワークを持つ大規
模な組織で適用されることがある。

70707
(8)Common Preventive, Detective, or Corrective Controls
適切に設計されたサイバーセキュリティ統制には、脅威の発見時／抵抗
時のすべての段階で脅威を軽減するポリシー、手順、および技術が存在す
る。これらの統制は preventive controls （予防的統制）、 detective controls
（発見的統制）、 corrective controls （是正的統制）に分類することができる。
① Preventive Controls （予防的統制）
予防的統制は、悪意のある活動が発生しないようにするためのもので、
以下のような方法で攻撃者がデバイス、アプリケーション、ネットワー
クにアクセスするのを阻止する。
＜ Preventive controls 例＞
 Safeguarding Practices （保護の実践）
ソフトウェア／ハードウェアに対する強力な予防的統制は、強力
なパスワードの要求、多要素認証の使用、身元調査の実施、デバ
イスの施錠、機密データに関する厳格なガイドラインの遵守など
の適切に設計された方針・手続と組み合わせるべきである。
 Education and Training （教育）
サイバーセキュリティのリスクと、そのリスクを軽減するために
導入されている組織のツールについて、従業員に情報を提供する
ことは、実装済みの技術的セーフガードを補完する予防的統制と
なる。
 Regular Security Updates （セキュリティ更新）
最新のサイバーセキュリティ上の脅威から組織の物理的・論理的
セキュリティ対策を守るために、広範かつ包括的なセキュリティ
強化を定期的に実施する。
 Encryption （暗号化）
暗号化は、データ保存時／転送時にデータを判読不可能な形式に
変換することで、データが侵害された場合でも、データを解読し、
攻撃に利用できないようにする。
 Firewalls （ファイアウォール）
ファイアウォールは、事前に定義されたルールに基づいて通信を
監視・フィルタリングし、信頼できる当事者やネットワークのみ
が組織のネットワークに接続できるようにすることで、不正な
ネットワーク利用を防ぐ。

7171
 Patches （パッチ）
パッチは既存のソフトウェアプログラムに対する更新／修正で、
新たに発見された設計上の欠陥、操作上の誤りの解決を目的とし
た、予防的統制と是正的統制の両方の場合がある。

72727
 Physical Barriers （物理的障壁）
物理的障壁は組織の IT インフラへの不正な物理的アクセスを防止
するように設計された管理策で、例えばドアやキャビネットの施
錠、警備員、フェンス、ゲート、監視システムなどのアクセス制
御がある。
 Device and Software Hardening（ハードニング）
デバイスとソフトウェアのハードニングは、システム全体として
の脆弱な点の総数を減らすよう、セキュリティツールを実装する
ことを指す。ハードウェアからソフトウェアにわたる脆弱性の数
を最小限に抑えることで、攻撃を一定程度、防ぐことができる。
 Intrusion Prevention System (IPS) （侵入防御システム）
IPS （侵入防御システム）は、サイバー攻撃が標的のシステムに
到達する前に検知・阻止することを目的としたネットワークセ
キュリティソリューションである。ネットワークに入ってくるす
べてのデータが IPS を通過するようにする点でファイアウォール
に似ている。
①-1 Access Controls—Authorization Models
アクセス制御とは、許可された従業員以外はアクセスを許可しない
セキュリティ対策で、以下のような認証モデルがある。
 Discretionary access control （ DAC ；任意アクセス制御）
DAC はデータの所有者、保管者、製作者が、自分でデータへのア
クセスを管理できるようにする分散制御である。 DAC の下でこれ
らの所有者等は、自己の判断に基づいて他人にアクセスを許可し
たり、他者にデータに関するタスクを委任したりすることができ、
以下のような行動を行うこともできる。
・他のユーザーへの情報の受け渡しを制御する。
・ユーザーのセキュリティ属性を許可／変更する。
・新しく作成／変更されたオブジェクトに関連付けるセキュリ
ティ属性を決定する。
・アクセス制御のルールを変更する。
 Mandatory access controls （ MAC ；強制アクセス制御）

MAC は対照的に非裁量的な制御で、管理者が一元的に管理し、環
境全体で一貫したルールを運用する。従ってアクセスは個人に依
らず、システム全体を管理する一元的なルールに依拠する。 MAC
は管理しやすい一方で、柔軟性に欠けるといえる。

7373
 Role-based access controls （役割ベースのアクセス制御）

役割ベースのアクセス制御は、個別に権限を割り当てるのではな
く、ユーザーの職務上の役割に基づいてアクセスを管理する。管
理者は職務上の役割ごとに分類し、役割に応じたアクセスや権限
を与える。
 Rule-based access control（ルールベースのアクセス制御）
ルールベースのアクセス制御は組織内でのユーザーの役割や立場
とは無関係に、あらかじめ決められたアクセス許可のルールに
従って、エリア、デバイス、データベースへのアクセスを許可し、
セキュリティ権限を設定する。
＜ルールベースのアクセス制御の手順＞
1. システム管理者がアクセスルール作成する。
2. ルールをアクセス制御システム全体に統合する。
3. ユーザーがアクセス認証情報を提示する。
4. 制御機構がアクセスルールを照合し、認証情報をチェックす
る。
5. ユーザーはアクセスを許可／拒否される。
 Policy-based access control （ PBAC ；ポリシーベースのアクセス制

御）
PBAC はユーザーの役割とポリシーの組み合わせを使用して、
ユーザーアクセスを動的に維持・評価する。 PBAC は、ユーザー
の役割、運用上の必要性、リスクなど、そのユーザーに関する既
知の情報に基づいてユーザーのアクセスを評価するフレームワー
クのようなものである。
ポリシーベースの制御は一般的に、ルールベースの制御よりも柔
軟性が高い。組織が成長し、ポリシーの変更に応じて、 PBAC は
より広範なアクセス制御のニーズに対応せざるを得なくなる。適
用すべきルールの数が少なく、ルール自体も単純であれば、小規
模な組織の方がルールベースの制御に適しているといえる。
 Risk-based access controls （リスクベースのアクセス制御）
リスクベースのアクセス制御は、ユーザーのアイデンティティ、
アクセス対象の資産のリスクレベル、資産へのアクセスの目的、
およびユーザーとアクセス対象のシステム／資産との間に存在す
るセキュリティリスクに基づいて制御を判断・適用する。
このようにリスクに応じてアクセス可否が判断されるため、高リ
スクのシステムにアクセスする場合は、多要素認証などの厳格な
セキュリティ対策が施される一方で、低リスクのシステムにアク
セスする場合ではパスワードのみで済む場合もある。

74747

7575
①-2 Access Controls—Authorization Model Controls Used for Implementation
アクセス制御リスト、アクセス制限、物理的バリアなど、認証モデ
ルを実装する際にはさまざまな統制が行われる。
Access control list （ ACL ；アクセス制御リスト）とは、どのユー
ザーに特定のリソース（ファイル、フォルダ、ディレクトリー、その
他の IT リソースなど）にアクセスする権限を与えるかを定めたルール
の一覧である。 ACL はまた、ユーザーがこれらのリソースに対して実
行できるアクション、例えばファイル編集の可否、プログラムの実行
など、アカウント制限についても一覧化されている。
このようにネットワークトラフィックは ACL で定義されたルールに基
づいてアクセス制限とアカウント制限が行われる。
ACL は組織のネットワークトラフィックの全てをフィルタリングす
る広範なものもあれば、特定のファイルやディレクトリーへのアクセ
スをユーザーごとにフィルタリングするものもある。
・ File system ACL ：特定のファイル、フォルダ、およびディレクト
リーへのアクセスを制限する。
・ Networking ACL ：ルーター、スイッチ、およびその他のネットワー
クデバイスにおいて、ネットワーク上に流してよいネットワーク
トラフィックの種類を制限する。 Networking ACL はアクセスを制
御するために使われるだけでなく、データの流れを制限したり流
したりすることで、ネットワークのパフォーマンスを向上させる
こともできる。
ACL はネットワーク上のトラフィックをフィルタリングするという
点でファイアウォールと似ているが、その目的と機能は異なる。ファ
イアウォールは悪意のある攻撃から組織を保護することを目的として
いるのに対し、 ACL はユーザーのアクセスと許可を管理することを目
的としている。またファイアウォールは制限を適用するのに対し、
ACL は通常、データパケットがどこから発生したのかや、接続に関す
るその他の詳細を把握できない。これらを把握できるのは、 ACL が
ネットワーク接続の状態を追跡し、接続を許可すべき正当なパケット
と不正なパケットを区別する stateful ACL の場合のみである。

76767
② Detective Controls （発見的統制）
Detective controls （発見的統制）は脅威を検知し、脅威発生後の調査や
監査時に役立つように設計される。
＜ Detective controls 例＞
 Network Intrusion Detection System (NIDS)
ネットワーク上のすべてのデバイスの受信トラフィックを監視し、
トラフィックの特定の要素を既知の攻撃ライブラリと照合し、事
前に定義されたイベントを検知した場合に警告を発するセキュリ
ティソリューション。
 Antivirus Software Monitoring
ウイルス対策ソフトはファイルをリアルタイムでスキャンし、既
知のウイルスのライブラリと比較し、ウイルスを検出した場合は
直ちにウイルスを削除するか、または隔離して IT 担当者が更なる
対応を行う。システムのスキャンは自動的かつ定期的に実行され
るよう設定する。
 Network Monitoring Tools
ネットワーク監視ツールには様々なツールがあり、例えば、ネッ
トワーク上で送信されるデータパケットを分析する packet sniffer
や、ネットワーク統計（パケットロス、システムのアップタイム、
可用性など）を測定する network performance monitoring (NPM) ツー
ル、ネットワーク統計やエラー率を測定する Simple Network
Management Protocol (SNMP) などがある。
 Log Analysis
ログ分析には分析に利用するためのデータの記録と監視が伴い、
不正なイベントの発生を示す異常、傾向、パターンが検出される
ことがある。
 Intrusion Detection Systems (IDS)
IDS （侵入検知システム）はシステムリソースに不正アクセスし
ようとする試みを発見し、ほぼリアルタイムで警告することを目
的に、環境をスキャンし、ネットワークやシステムのイベントを
監視・分析するセキュリティソリューションである。 IDS と IPS
の主な違いは、 IDS はあくまでも発見的統制であり、攻撃が始
まった後に検知するのみで、攻撃を防ぐことはできないという点
である。
Service organization における IDS は、顧客のネットワークを継続的に監

7777
視し、潜在的なセキュリティ侵害を防止するものである。 SOC 2®
engagement では、 IDS の設定を検証し、顧客のネットワークの継続的な
監視が実施されているか、そして潜在的なセキュリティ侵害の早期予防
が実施されているかを評価する。

78787
③ Corrective Controls （是正的統制）
是正的統制は、最近のセキュリティインシデント、セキュリティ自己
評価、業界慣行の変化などを分析し、既知の脆弱性を修正することを目
的とした統制である。これらの管理策を導入し、効果的に運用すると、
予防的または発見的な統制となる。
＜ Corrective controls 例＞
 Reconfigurations （再構成）
既知の脆弱性を修正するためにアプリケーションやシステムの設
定を変更することで、影響を受けたオペレーションを回復し、さ
らなる被害を防ぐことができる。例えばファイアウォールの設定
変更、オペレーティングシステムの設定変更、アクセス制御の設
定変更などが挙げられる。
 Upgrades and Patches
システム性能の向上、新機能の追加、組織のセキュリティの補完
などの目的で、セキュリティパッチやソフトウェアの更新が実施
されることがある。
 Revised Policies and Procedures
組織の慣行を定期的に見直し、改善することにより、新たな技術
を導入したり、既存システムを変更したりすることなく、セキュ
リティ上の問題を解消できることがある。例えば1 つの仕事を複
数に分けたり、点検作業を追加したり、機密データの取扱方法を
変更したりするなど、簡単に取り組めるようなものもある。
 Updated Employee Training
サイバー攻撃や IT 悪用のリスクに関する従業員間の知識の差は、
社員研修によって軽減することができる。研修では一般的な詐欺
スキームの特徴や、詐欺が疑われる事態が発生した場合の対応方
法、将来のインシデントを防止するために必要な行動の改善など
について、周知する。
 Recovery and Continuity Plans
組織は災害等で通常の業務が中断される時間を最小化するよう、
災害や攻撃から迅速に回復し、業務を継続できる強固 (robust)
な計画を策定すべきである。
 Antivirus Software Removal of Malicious Viruses
最新のアンチウイルスプログラムのほとんどは、ウイルスを識別
するだけでなく、ウイルスを駆除し、組織にとって脅威とならな

7979
いように設計されている。
 Virus Quarantining （ウイルスの隔離）
実際のウイルスや疑いのあるウイルスを隔離することで、組織の
ネットワーク上の他の部分へ脅威が及ばないようにする。ウイル
スの隔離はウイルス対策ソフトによって自動で行われるか、シス
テムログのレビューから不審な活動を検知した後に手動で行われ
る。

80808
3. Security Testing （セキュリティテスト）
(1)Security Assessments
サイバーリスクを効果的に管理するためには、確立されたリスク管理の
フレームワークをもとに、継続的に脅威を評価し、対応することが重要で
ある。
ここでは特に、経営者に対して組織の情報セキュリティの現状について
報告する Security Assessment Reports (SAR) について理解しておきたい。
① Risk Management Framework
組織におけるリスク管理には、緻密な計画と組織の全てのレベルの参
加を必要とする。 National Institute of Standards and Technology （ NIST ；米国国
立標準技術研究所）は、 NIST Special Publication 800-39 において、リスク
管理の包括的なフレームワークを提供しており、以下の4 つの要素の適
用を求めている。
・ Risk Framework
組織がリスクベースの意思決定を行う環境を整備し、リスクの評価、
対応、監視を可能にする戦略を立てるため、組織は以下を特定する
必要がある。
・リスクの想定
・リスク制約
・リスク許容度
・優先順位とトレードオフ
・ Assess Risk
以下の脅威や脆弱性を特定できるようなリスク評価方法を採用する。
・国家、組織、個人、資産、業務に対する脅威
・組織内部および外部の脆弱性
・脆弱性を悪用する脅威の可能性を考慮した場合に発生する可能
性のある損害
・損害が発生する可能性
・ Respond to Risk
リスク評価の結果に基づき、組織全体として一貫したリスク対応を
行うようにする。
・リスクに対応するための代替行動指針の策定
・代替行動指針の評価
・組織のリスク許容度に応じた適切な行動指針の決定

8181
・選択した行動指針に基づくリスク対応の実施

82828
・ Monitor Risk
以下の方法で継続的にリスクを評価・監視する。
・進行中のリスク対応の有効性の判断
・組織の情報システムやシステム環境に対して影響を及ぼす変更
の特定。
・計画されたリスク対応が実施された場合に、組織のミッション
や関係する法規制、業界基準などに基づく情報セキュリティ要件
を満たしているかの検証。
② Security Assessment Engagements and Reporting
セキュリティ評価業務は前項の Risk Management Framework の 2 つ目の

構成要素 (Assess Risk) に対応し、その主な業務は、リスク評価と統
制のテストを実施し、組織の情報セキュリティ能力の現状に関する
データを取得し、経営陣に対して Security Assessment Report （ SAR ；セ
キュリティ評価報告書）を発行することである。評価方法の基本や
SAR で提示される重要な要素については、 NIST の Special Publications
800-39 および 800-53A Rev 5 で幅広く説明されている。
②-1 Security Assessment Engagement Procedures
セキュリティ評価業務の最初のステップは、評価対象と評価方法を
明確にした評価手順 (assessment procedures) を定義することである。
評価方法には次のようなものがある。
・ Examination
評価対象（職務役割、セキュリティ仕様、セキュリティ活動、関連す
る業務活動、など）を分析、観察、レビューする。
・ Interviewing
証拠をよりよく理解し、収集し、評価するために、個人やグループを
対象に問い合わせを行ったり、話し合ったりする。
・ Testing
目標とされる状態と比較して、評価対象が現状でどのように機能して
いるかを実際に検証する。
組織は以下を確認し、これらの評価を支援すべきである。
・リスク評価に必要なツール、技・評価の実施方法
術、方法論・評価の頻度
・リスク評価の前提・脅威に関するデータの

8383
・制約条件情報源と収集方法
・役割と責任
・評価データの収集と処理方法
・組織へのコミュニケーション方
法
②-2 Security Assessment Reports
Security Assessment Reports (SAR) は、経営者に対して組織の情報セ

キュリティの現状について報告するもので、現状の管理策が所定のセ
キュリティ目標および目的に適合していること、あるいは適合してい
ないことの証拠として発行される文書である。 NISTは SAR について、
評価者の所見と、問題や脆弱性に対する推奨事項を文書化する際にガ
イドラインとなる報告書である、としている。
評価報告書には一般的に、詳細な評価所見とともにその要約が含ま
れ、要約はプライバシーおよびセキュリティ管理の有効性を判断する
際に利用される。
報告書には評価者が行った手続ごとに、その評点として
"satisfied （ S ；満足） " または "other than satisfied （ O ；満足以外）
" をつける記述がある。
"satisfied" は、評価目的が満たされ、許容できる結果が得られたこと
を示す。 "other than satisfied" は、評価手順の記述に対して十分な情報を
得られなかったことを示し、統制の運用上、または導入上の不備によ
るものである可能性がある。
SAR には通常、以下の主要項目が含まれる：
・ Summary of Findings （所見の要約）
SAR の冒頭部分であり、主な所見の概要と、弱点や欠陥の対処に
推奨される措置が記載されている。
・ System Overview （システムの概要）
評価対象（ハードウェア、ソフトウェア、人員、その他の関連リ
ソース）の情報管理システムの概要を示す。
・ Assessment Methodology （評価手法）
評価を実施するために利用した技法と手順を説明する。
・ Security Assessment Findings （セキュリティ評価の所見）
評価中に発見された差異と欠陥について論じる。（次頁参照）

84848
・ Recommendations （提言）
発見された欠陥を是正するための指示を提供する。
・ Action Plan （行動計画）
欠陥を是正するためにとるべき段階を網羅したロードマップを提
供する。

8585
＜参考＞ SAR Findings: Issue Documentation
Referenc
IA-XXX1
e:
Risk Level: (Risk Level is High, Moderate, or Low)
Moderate
Ease-of-Fix: (Ease-of-Fix is Easy, Moderately Difficult, Very Difficult, or No Known Fix)
Easy
Estimated Work Effort: (Estimated Work Effort is Minimal, Moderate, Substantial, or
Unknown; or a time estimate based on level of commitment and an adequate skill set)
Moderate
Description
ABC Co.’s “Identify and Access Management Policy,” specifically Appendix A, establishes
password management standards for authenticating ABC’s system users based on level of
assurance, system interface type, and impact to the company.
Scope
Operating systems
Microsoft 365 Suite
Accounts payable automation
Enterprise resource planning
Human resources information system
Project management
Billing system
Aurora databases
Findings: Other than satisfied (O)
The assessment team continued to identify multiple password management vulnerabilities.
For example, we continued to find a significant number of weak passwords on major
databases, applications, and networking devices at most of ABC’s facilities.
Additionally, password parameter settings for network domains, databases, key financial
applications, and servers were not consistently configured to enforce the company’s
password policy standards. Even though some improvements have been made, we continue
to identify security weaknesses that were not remediated from prior years.
Many of these weaknesses can be attributed to ABC’s ineffective enforcement of its

company-wide information security risk management program and ineffective communication
from senior management to the individual offices. The use of weak passwords is a well-
known security vulnerability that allows malicious users to easily gain unauthorized access to

86868
mission-critical systems.
Recommended Corrective Action(s):

The assessment team recommended the chief information manager implement mechanisms
to enforce company password policies and standards on all operating systems, databases,
applications, and network devices.
Status: Corrective action needs to be executed
③ Security Assessment Evaluators
セキュリティ評価は、システム監査人、開発者、評価者
(assessors) 、検査官 (inspectors general) 、システムインテグレータなど
によって実施される。組織の業務やアサーションについて他者に保証を
与えるために評価が実施される場合、 AICPA の Service Organization
Control （ SOC ）基準が適用される。例えば情報技術をサービスとして提
供する managed services provider （ MSP ；マネージドサービスプロバイ
ダー）は、 SOC 報告書を取得し、経営者のアサーション（＝主に、その
業務が契約した基準を満たしていること）を顧客に保証する。
④ Security Assessment Process
評価プロセスの焦点は、組織のセキュリティ及びプライバシー統制に
ついて客観的な結論を出すための情報を、費用対効果の高い方法で収集
することである。これは企業のリスクマネジメントプロセスの質と成熟
度を考慮し、 NIST 800-53A Rev 5 などの基準の概念、方法、管理目標をカ
スタマイズすることによって実施される。
＜評価結果の有用性＞
・リスク管理プロセスにおける潜在的欠陥を特定する。
・セキュリティシステムにおけるセキュリティ及びプライバシーに
関する欠陥を特定し、適切な対応策を決定する。
・リスク対応の優先順位を付ける。
・監視活動とシステム認証の判断を支援する。
・予算編成および投資の意思決定に役立つ情報を提供する。
⑤ Security Assessment Evidence
評価者は過去に実施した製品やシステムの評価、システム開発や運用
に関する文書など、さまざまな情報源から証拠を入手する。
製品やシステムの評価は多くの場合第三者によって実施される検査で、
製品のセキュリティ機能や設定を評価する。このような評価は規制への

8787
準拠、開発者やベンダーの主張を実証するために実施されることもある
が、 SAR 上のアサーションを裏付ける証拠として使用されることもある。
システム開発活動から得られる証拠には、システム開発ライフサイク
ル中に開発者、オペレータ、評価者、その他のシステムオーナーが作成
した成果物が含まれ、例えば設計仕様書 (design specifications) 、テスト
及びコード分析、関連する従業員へのインタビューなど、セキュリティ
機能が信頼でき確実であることの証拠となる。
同様に、システム運用から得られる証拠も、是正努力の記録、侵入な
どの事象によるインシデント報告、継続的な監視活動報告など、セキュ
リティ機能の保証の一端を担う。
＜セキュリティ機能及びセキュリティ活動の有効性判断に役立つ証拠
例＞
・現在導入されているプライバシーとセキュリティの管理
・システムと業務に関する変更管理の実践
・方針、規制、基準の遵守
これらの各種証拠の精密さは、以降に実施するテスト、分析、評価の
種類に影響を及ぼす。対象範囲と深度が浅い成果物は証拠としての保証
レベルが低く、より厳密で、包括的、または重点的なテストが必要にな
ると考えられる。逆に深度の深い成果物があれば、セキュリティ機能が
正確かつ完全に実装されていることを示す証拠となり、必要となるテス
トは少なく済むと考えられる。

88888
(2)Communication of Security Knowledge and Awareness
組織のデジタル資産と物理的資産を守るためには、 IT 部門だけでなく、
すべての従業員が重要な役割を果たす必要があり、教育・訓練プログラム
の必要性は極めて高い。サイバー攻撃の高度化、範囲、件数が年々増加す
る中、組織はサイバー攻撃による損害を最小限に抑えるために、こうした
セキュリティ意識向上プログラム（情報セキュリティ研修）への投資が必
要である。
定期的な情報セキュリティ研修の実施は、さまざまな情報セキュリティ
の枠組みや規制によって奨励または義務付けられている。例えば NISTをは
じめ、 GDPR 、 HIPAA 、 SOC2® では、従業員に対して定期的な情報セキュ
リティ研修を実施する必要性を強調している。
① Security Awareness Delivery Methods
情報セキュリティ教育の方法は、社内で整備するもの、外部に委託す
るもの、あるいはその2 つを組み合わせたもの、とさまざまである。社
内で研修教材を作成できない限り、外部から入手する必要が生じる。
研修の実施方法には、個人研修、グループ研修、ライブ研修、オンデ
マンド研修がある。研修内容の評価には、小テスト、試験、ケーススタ
ディ、シミュレーションなどがある。研修の効果を最適化していくため
に、長期的な研修方法の見直しが推奨される。また、コース計画や提供
方法についての一貫性保持や評価のため、研修プロジェクトの適切な文
書化が求められる。
② Organizational Job Roles Specific to Security Awareness
セキュリティ意識の向上に関する職務上の役割については、その責任
のレベルによって以下の3 つに分類することができる。
・ Management
情報セキュリティ研修の設計・評価や、研修の開発・実施を委託し
た第三者ベンダーとの調整を担当する。
・ Specialized IT Personnel
セキュリティ意識の向上に関して定められたポリシーを実行する。
ネットワークセキュリティエンジニア、侵入テスター、インシデン
ト対応アナリスト、コンプライアンスアナリストなどの専門職が含
まれる。
・ All Other Employees

8989
研修を受講し、各自の職務上の役割に基づくセキュリティ手順を遵
守する。
研修は、新入社員なら新入社員研修での情報セキュリティ研修、それ
以外の従業員は少なくとも年1 回の受講、など、職務のあらゆる段階に
対して研修を実施すべきである。内容的にも従業員の職務上の役割に合
わせた研修を実施する必要がある。例えば管理職・専門職以外の従業員
はフィッシングメールの識別に関する研修や、仮想プライベートネット
ワーク経由でリモート接続する際のベストプラクティスなど、社員の一
般的な業務に関わるセキュリティ対策のみを担当する必要がある。一方、
専門職に対しては、災害復旧手順の研修や、組織が遵守しなければなら
ない新しい法規制に関する研修など、特定の機能に特化した研修が必要
となる場合もある。
③ Components of a Successful Security Awareness Program
情報セキュリティの意識向上に役立つものとして、フィッシングシ
ミュレーション、情報セキュリティ教育の導入を提唱する主導者、定期
的な従業員の参加、教育プログラム成功の正否を測定する指標（プログ
ラムに割り当てられた金額、投入されたリソースの数、発見された欠陥
に対する是正措置計画など）が挙げられる。
③-1 Phishing Simulations
Phishing simulations （フィッシングシミュレーション）は、実際の
フィッシングメールに似せた偽メール (phony emails) を従業員に送信
し、従業員が偽メール上のリンクをクリックしたり、添付ファイルを
ダウンロードしたりすることがないかをテストすることで、従業員に
偽メールの見分け方を教育するものである。フィッシングシミュレー
ションの結果は、以下の評価指標とともにまとめられ、従業員の意識
の変化を評価するために長期にわたって分析される。
＜プログラム評価のための指標例＞
 Click Rate （クリック率）：フィッシングメールのリンクをク
リックしてしまった従業員の割合。
 Re-click Rate （再クリック率）：最初のシミュレーションに失
敗した従業員が、再テストで再びクリックしてしまった割合。
 Report Rate （報告率）：フィッシングメールを報告した従業員
の割合。
 Non-responder Rate （非応答率）：メールを無視し、何ら反応を

90909
示さなかった従業員の割合。
 Reply Rate （返信率）：フィッシングメールに返信してしまっ
た従業員の割合。
③-2 Security Program Champions
情報セキュリティの意識向上を含めたセキュリティプラットフォー
ムの導入には、導入を先導する主導者 (program champion) や、導入
チーム（タスクフォース）が必要になることが多い。
＜セキュリティプログラム導入主導者の有効性評価の指標＞
 Employee Consultations （従業員の相談回数）：従業員が主導者
に相談した回数
 Security Behaviors (With and Without Champions) （セキュリティ行
動）：主導者がいる部門とそうでない部門での、セキュリティ
意識の比較
 Champion Density vs. Security Behaviors （セキュリティプログラム
導入主導者の密度とセキュリティ行動の比較）：各部門におけ
る主導者の密度およびその活動と、セキュリティ行動の相関性
③-3 Employee Engagement
情報セキュリティ研修プロジェクトを評価するための指標の一つに、
従業員の参加度合いがある。一般的な測定基準には、次のようなもの
がある。
・研修を修了した従業員の割合
・研修一回あたりの平均所要時間
・研修に参加した従業員数
・従業員が他人に研修を勧める兆候
・紹介による出席者数
・研修内容に関する従業員からの質問数
・セキュリティ情報を請求した従業員数や、関連する社内サイト
を閲覧した従業員数
・ソーシャルメディア上のやりとりに対する定量的・定性的指標

9191
【ＭＥＭＯ】

92929
4. Confidentiality and Privacy （機密性とプライバ

シー）
(1)Confidentiality vs. Privacy
機密性とプライバシーは、しばしば同じ意味で使われる用語であるが、
サイバーセキュリティにおいては、この2 つの用語は区別して用いられる。
 Privacy （プライバシー）は個人の権利を保護し、どのような情報
を他人と共有するかを個人が管理できるようにすることである。
 Confidentiality （機密性）は組織が収集した情報を不正アクセスから
保護することである。
そこで組織に求められるのは、プライバシーの要件を遵守して情報を収
集し、適切な権限を持つシステム・個人のみが情報にアクセスできるよう、
機密性を保つことである。
① Confidentiality
米国国立標準技術研究所（ NIST）は、機密性をデータへのアクセスや
開示に対して認可された制限を保持することと定義し、個人のプライバ
シーや専有情報 (proprietary information) を保護する手段も含めている。
組織は専有情報に加え、通常の業務の過程で収集または保持するすべ
ての個人情報を保護することも求められるため、個人情報を含むと考え
られる情報を特定する必要がある。
Personal identifiable information （ PII ；個人を特定できる情報）は、以
下のように定義される
 Name, such as full legal name, maiden name（旧姓） , mother's maiden
name （母親の旧姓） , or alias （通称）
 Personal identification numbers, such as Social Security
number （ SSN ；社会保障番号） , passport number, driver's license
number, taxpayer identification number （納税者番号） , or financial
account（金融口座番号） or credit card number
 Address, such as street address or email address
 Personal characteristics, including photographic images, fingerprints,
handwriting （筆跡） , or other biometric data（生体情報）
組織は機密性を重視し、取り扱う個人情報の量を最小限に抑え、業務
にとって重要な情報のみを保存することが求められる。また組織は、収

9393
集した個人情報の保存を定期的に見直し、その情報が依然として業務に
とって必要かを判断すべきである。
＜機密性と個人情報を保護するために、組織がすべき行動例＞
・個人情報の現在の保有状況を確認し、データが正確、適切、適時
かつ完全であることを確認する。
・収集する個人情報を、重要な業務に必要な最小限のものにする。
・各認証レベルの基準を定義し、その基準とアクセスリストを定期
的に監視する。
・重要な業務遂行上、不要となった個人情報を消去する手順を確立
する。
② Privacy
NISTでは、プライバシーを当事者が自分自身に関する情報を管理し、
秘密を保持する権利と定義している。プライバシーとは人間の自律性
(human autonomy) と尊厳 (dignity) を保護するプロセスである。 NIST
Privacy Framework は、組織のリスク管理手順とコミュニケーション方法
を通じてプライバシー管理を改善するためのツールである。
プライバシーフレームワークの目的は、以下の行動を通じて組織がプ
ライバシーリスクを管理できるようにすることである。
・個人に影響を与えるシステム、製品、サービスを設計・展開する
際に、プライバシーのベストプラクティスを考慮する。
・個人情報保護の実践を組織全体に伝える。
・ユーザーのプライバシーと IT セキュリティに関する組織横断的な
コラボレーションを奨励する。
・組織と個人間の取引において個人が経験しうるプライバシーイベ
ントを考慮する。

94949
(2)Methods of Protection of Confidential Data
組織は情報の取り扱い方法を定め、以下の分野におけるコンプライアン
スの遵守に努めるべきである。
・適用される法的、規制的、政策的要件
・情報の収集、保存、削除のリスクと影響
・潜在的なプライバシーリスクを軽減するため、情報の取扱いに対す
る保護と代替プロセスの特定と評価
これらのガイドラインに違反した場合、組織は潜在的な訴訟や金銭的損
失を被る可能性がある。以下は組織がこれらのリスクを軽減するため、
PII および専有情報の管理に利用できる一般的な運用上の保護措置、プラ
イバシー特有の保護措置、およびセキュリティ管理策である。
 Data Collection
・方針と手順の作成
組織は、 PII と専有情報の機密性を保護するため、以下を定義
し、包括的な方針と手順を策定する必要がある。
- 従業員と顧客の両方から収集された特定の機密データ
- 機密データがどのように収集、アクセス、保持されるか
- インシデント対応
- 開発サイクルにおけるプライバシー
- 共有ルール
- 違反した場合の罰則
・研修の実施
組織はすべての従業員に適切な研修を義務付け、関連するガイ
ドラインとそのガイドラインに違反した場合の影響について周
知することで、 PII が不適切にアクセス、使用、開示される可
能性を低減する必要がある。
 Data Processing
・個人情報の非特定化 (de-identifying)
組織は、個人情報の一定部分を削除し、情報の残りの部分が個
人を特定することのないように、記録を非特定化すべきである。
- 例えば、 pseudonymization （仮名（かめい）化）とは、医師を
訪れる人の名前を Patient 565 や Client AM のような仮名に置き換え
る、非特定化の一形態である。
- Anonymization （匿名化）は、研究調査や相関関係や傾向の判断
など、完全な記録が必要でない場合に、個人情報から個人を特

9595
定する部分を削除する方法である。

96969
 Data Storage
・アクセス強制 (access enforcement:) の使用
組織はアクセス制御ポリシーとアクセス強制メカニズム（アク
セス制御リスト (ACL) など）を通じて、個人情報へのアクセ
スを制御すべきである。
・モバイル機器へのアクセス制御の実施
組織はノートパソコンや携帯電話など、モバイル機器からの個
人情報へのアクセスを禁止または厳しく制限すべきである。
・イベントの監査
組織は、 PII への不適切なアクセスなど、個人情報の機密性に
影響を与えるイベントを監視すべきである。
 Data Transmission
組織は送信する情報の機密性を保護すべきである。一般的には通信
や情報の暗号化が用いられる。
 Data Deletion/Purging
組織はアーカイブまたは削除の対象となるデータを決定するポリ
シーを定める必要がある。
① Confidentiality During the System Development Life Cycle
新しいシステムを開発、テスト、実装する際、組織はしばしばデータ
の obfuscation （難読化）を用いて機密データを保護する方法を導入する。
Obfuscation （難読化）とは、本番データや機密情報を、権限のないユー
ザーにとって価値の低いデータに置き換えるプロセスをさす。一般的な
データ難読化アプリケーションには以下のようなものがある。
 Encryption （暗号化）
暗号化されていないデータを、暗号技術を用いてスクランブルし、
復号しないと解読できないようにする。暗号化手法には様々な種
類があり、それぞれ鍵の管理方法や送信方法が異なる。
 Tokenization （トークン化）
本番データを削除し、代用値 (surrogate value) またはトークン
(token) に置き換える。トークンは乱数発生器や、数学的アルゴ
リズムを使ったハッシュ、暗号化などによって生成することがで
きる。トークン化したものを元のデータに戻す処理に使用される
鍵は、トークン保管庫に保管され、トークン保管庫は認証とアク
セス制御で管理される。トークン化は暗号化と似ているが、一般

9797
に文字の長さや種類は変更されない。トークンはクレジットカー
ド取引に使用されることが多く、決済プロセスのさまざまな段階
で用いられる。
 Masking （マスキング）
データを他の同様のデータと交換することで、元のデータと同じ
構造を維持しながら、元のデータの特徴を目立たなくする。修正
されたデータの集計値はそのまま維持され、データ分析とデータ
抽出を可能にする。マスキングには、シャッフル、スクランブル、
置換、無効化、マスキングアウトなどさまざまな形式があり、
データの一部が＊などの文字と入れ替わる。
(3)Data Encryption （データの暗号化）
① The Fundamentals
データ漏えい (data breaches) は機密情報の紛失による金銭的損失
（訴訟費用など）、業務の中断（顧客からの注文を処理できない、サプ
ライヤーと連携できないなど）、企業の評判の低下を招く可能性がある。
データの損失を防ぎ、攻撃者が入手したデータから必要な情報を引き出
すリスクを減らす上で、データの暗号化はサイバー攻撃に対する防御メ
カニズムとして極めて重要な役割を果たしている。
データ暗号化とは、データの収集、処理、保存の際にデータが保護さ
れるよう、暗号技術 (cryptography) を応用してデータ漏洩やデータ損失
のリスクを軽減する方法である。暗号化ではまず、アルゴリズムを適用

98989
して平文 (plaintext) を暗号文 (ciphertext) に変換（暗号化）する。暗号
文は鍵の使用によってのみ解読することができ、受信者は、送信者が本
人であるという保証、または否認防止（ nonrepudiation ；当事者がその有
効性を否定できないこと）を得ることができる。

9999
② Encryption Methods
暗号化モデルでは異なる種類の鍵を使用したり、1 つのモデル内で異
なる鍵の組み合わせを使用したりすることができる。組織はリスクの高
い保存データ (data-at-rest) のセキュリティを補完する手段として暗号
化を使用することがある。鍵には公開鍵 (public keys) と秘密鍵 (private
keys) がある。公開鍵は公開またはグループで共有され、秘密鍵は一人
のユーザーのみが知っている。以下は、最も一般的な2 つの暗号化方式
である。
・ Symmetric Encryption（対称暗号化）
データの暗号化と復号化に、単一の共有鍵 (single shared key) または
秘密鍵を使用する。秘密鍵はグループ内の全メンバーがデータの暗号
化 (encryption) と復号化 (decryption) の両方に使用し、鍵のデータ形
式は数字、文字、または数字と文字の組み合わせである。 Symmetric
encryption は、迅速に復号化する必要がある場合など、主に時間的制約
のあるトランザクションで機密性の高いデータを暗号化／復号化する
場合に用いられ、金融機関で広く使用されている。
対称暗号化の欠点は、共有鍵を持っている人なら誰でもメッセージ
を暗号化・復号化できるため、否認防止ができず、メッセージの発信
元を特定することができないことである
また、グループ内のすべてのユーザーが秘密鍵を共有しなければなら
ないため、参加者がグループから脱退する度に鍵を再生成しなければ
ならず、グループの規模を拡大することも困難である。

100
・ Asymmetric Encryption （非対称暗号化）
このデータ暗号化方式では公開鍵と秘密鍵の2 つの鍵を使用する。公
開鍵でメッセージを暗号化し、秘密鍵で復号化する。これにより事実
上、データの暗号化は公開鍵を知っていれば誰でもできるが、データ
の復号化は意図した受信者しかできない。この暗号化方式では2 つの
鍵の組み合わせが正しい時のみ機能する。非対称暗号の一般的な応用
例としては、デジタル署名やブロックチェーンなどがある。
非対称暗号の主な弱点は、その動作速度である。一般的に鍵の文字
列は長く、暗号化と復号化の両方に鍵が必要となり、暗号化アルゴリ
ズムは通常より複雑になる。従ってより多くの演算能力を必要とする
ため、時間がかかり、技術的なコストの増加にもつながりかねない。
＜参考 Hushing ＞
ハッシュは暗号化と混同されることがあるが、可変長のメッセージを
ハッシュ値と呼ばれる固定長のメッセージやコードに変換することであ
る。ハッシュはメッセージをスクランブルし、元のメッセージに戻すこ
とができないコードに変換するため、ハッシュの効果は一方向であると
いえる。一方、暗号化は、暗号化 (encryption) も復号化 (decryption) も
できるため、双方向である。
暗号化とハッシュ化の主な違いの一つは、その使用目的である。暗号
化はデータの機密性を維持する安全な送信を目的としているのに対し、
ハッシュは送信データの完全性を維持し、送信されたメッセージが真の
送信者からのものであることを証明することを目的としている。2 つの
ハッシュ値を比較することで、そのメッセージが正当なもの
(legitimate) であることを表すことができる。
前述のようにハッシュ値は復号化できないため、ハッシュは暗号化と
組み合わせて使われることが多い。暗号化を使って安全にメッセージを
送信し、ハッシュを使ってそのメッセージの真正性を証明する。メッ

10110
セージ自体は鍵を使って復号化され、受信者は受信したハッシュ値と送
信者からのハッシュ値を比較して、同一であることを確認することがで
きる。
③ Cypher Techniques （参考）
暗号 (ciphers) は一般的に数字と文字の組み合わせで、復号する鍵を
持っていない者には判読ができない。一般的な暗号技術には次の2 つが
ある。
・ Substitution Ciphers （置換暗号）
平文メッセージの各文字を別の文字に置き換えるアルゴリズム。非
常に基本的な暗号は、鍵を使って文字や数字を別の文字に置き換え
るだけだが、より複雑な暗号は数学を使って置き換える。例えばモ
ジュロ関数 (modulo function) として知られる暗号技術を使って、文
字や数字を数字に変換し、同じ関数でメッセージを解読することが
できる。
・ Transposing Ciphers （転置暗号）
メッセージの文字を並べ替えて読めない暗号文にする暗号化技法で、
多くの場合、行列を使って列の転置を行う。
例）暗号文は ETVETLTWEMAE とし、鍵 3241 を使った列転置である。
3×4 の行列を使用する場合、コードは以下の左図のようにマッピ
ングできる。

102
鍵を使って暗号文を数字順に並べ替えると、 "Meet at twelve " とい

うメッセージが浮かび上がる。
暗号には他にも様々な種類があり、例えば、メッセージそのものと同
じ長さの鍵を用いて暗号化する running key ciphers （進行鍵暗号）や、
メッセージを固定長の塊ごとに暗号化を施す block ciphers （ブロック暗
号）、メッセージをビット単位やバイト単位で逐次暗号化する stream
ciphers （ストリーム暗号）もある。他の暗号と組み合わせて使用すると、
解読が更に困難になる。

10310
(4)Data Loss Prevention (DLP)
Data loss prevention （ DLP ；データ損失防止）システムは、機密情報を組

織外に転送しようとする試みを検知し、防止する仕組みである。 DLP シス
テムでは、ファイルをスキャンし、 pattern-matching methods （パターンマッ
チング手法；基準となるパターンと対象の類似性を検出する画像処理の手
法）や word recognition technology （単語認識技術）を使用して、データの
フォーマットや配列の方法などに、特定のパターンがないかを探索・検知
する。
例）送信データ中に数字が xxx-xx-xxxx のパターンで並ぶ文字列をパター
ンマッチング技術で検出した場合、社会保障番号の可能性を認識し、送信
を阻止するか、暗号化する。
DLP システムの目的とベストプラクティスは、以下のプログラムを確立す
ることである。
・組織全体のデータを監視する集中型の DLP プログラムの導入。
・企業のデータ利用ポリシーの策定、データ損失インシデントの報告・
対応体制の確立。
・さまざまなデータ形式の評価、機密レベルの定義、機密データの目録
の作成、機密データの保管場所の特定、データのクリーンアップの管
理。
・機密データに対し、使用時の監視および使用パターンの把握。
・データ保護、および機密データ流出防止のためのセキュリティポリ
シーの実施。
・従業員教育プログラムの導入。
主な DLP システムの種類
 Network-based DLP
電子メール、ダイレクトメッセージなどで送信されたデータのうち、
組織が定めた条件に合うデータをスキャンする。スキャンしたデー
タに DLP ポリシーの違反があった場合、データベースに記録し、送
信されたデータと送信先を特定する。
・ Cloud-based DLP ： Network-based DLP と同様の保護を、クラウド環境
に適用したもの。多くの組織でクラウドベース／ウェブベース環境
への移行が進んでいることから、ニーズが高まっている。
・オンプレミスのプライベートネットワークではなく、仮想マシンや
プラットフォーム間で機密データを送受信することで、データ損失

104
を防ぐことができる。
 Endpoint-based DLP
プリンターや USB ドライブなどは、これらのデバイスを通じてデー
タが外部へ転送される可能性がある。 Endpoint-based DLP では、この
ようなネットワーク外のデバイスに保存または送信されたファイル
に対し、特定のキーワード、パターン、またはファイル形式をス
キャンすることで、データ損失を防止する。

10510
① Protecting Data at Rest （保存データの保護）
機密データの保管には、十分な物理的セキュリティ、適切なデジタル
セキュリティ、権限付与、アクセス制御、変更管理制御、バックアップ、
復旧機能を備えた堅牢な記憶媒体が必要である。これらの保護措置を講
じ、データの収集、処理、保存、送信、消去のそれぞれの段階でデータ
が適切に保護されるようにしなければならない。
・ Physical Security （物理的なセキュリティ）
鍵付きキャビネットやクローゼット、セキュリティカメラ、 ID 等によ
る入退室管理、改ざん防止シールなど。
・ Digital Security Controls （デジタルセキュリティ管理）
暗号化されたハードディスク／ USB ドライブ／ファイルシステムなど。
・ Authorization and User Access Controls（認可とユーザーアクセス制御）
Role-based access controls （ RBAC ；ロールベースアクセス制御）や rule-
based access controls （ RUBAC ；ルールベースのアクセス制御）、
discretionary access controls （ DAC ；任意アクセス制御）、多要素認証等の
制御方式など。
・ Change Management Controls （変更管理統制）
システム等に対する変更の要求、レビューと承認、導入、変更取消、
および文書化の手続きに関する統制。
・ Backup and Recovery Mechanisms （バックアップとリカバリー）
災害、サイバー攻撃、偶発的な削除／変更でもデータが失われず、復
元できるようにデータを保護する冗長性のある防御体制。
② Deleting Confidential Information （参考）
ライフサイクルが終了した機密情報の削除および破壊は、物理的破壊、
消去、上書き、およびパージ (purging) によって行う。物理的破壊は、
分解や、データの化学的構造を変更するなどの物理的行為を行う。
消去はファイルまたはそのデータの削除操作を行うことである。上書
きは古いデータを未分類のデータに置き換え、メディアを再利用できる
ように準備することである。パージは、上書き処理を何度も繰り返す消
去方法で、別の方法と組み合わせることもある。
場合によっては、消去や上書きなどの処理をした記憶装置上に、デー
タの一部が残存してしまうことがある。これは、磁気を使用する記憶装
置では一般的である。データが削除されると、残留磁束や刻印が残るこ
とがあり、これらを利用して消去の影響を元に戻すことのできるツール

106
はたくさんある。従って物理的な破壊は、機密データを完全に消去する
唯一の手段であるといえる。

10710
(5)Walk-Through of an Organization's Security, Confidentiality, and Privacy

Procedures
① Performing a Walk-Through
効果的なセキュリティ、機密保持、プライバシーの方針と実践には、
組織内の全部門が関与する包括的な戦略が必要である。セキュリティイ
ンシデントや災害（→セキュリティ）やデータ漏洩（→機密保持とプラ
イバシー）が発生した場合に、この戦略を適切に実行するには、普段か
ら定期的に戦略の read-through （読み合わせ）と walk-through （レビューの
一環として一連の手順を通して実行する）を実施しておくことが求めら
れる。こうした walk-through などの取り組みは、 IT 部門、あるいは IT 部門
と非 IT 部門による合同プロジェクトによる主導が必要である。
Read-through では、 walk-through を支援する IT 部門と非 IT 部門の両方
のメンバーに、セキュリティ、機密保持、プライバシーの手順を配布し、
レビューしてもらう。 Read-through により、組織は戦略的な手順を要員
に知らせことができる。
Walk-through では、災害やサイバー攻撃のシナリオをロールプレイ／シ
ミュレーションし、チームメンバーが所定の手順で攻撃を防ぎ、データ
流出の場合にもデータを解読できないようにする。このようにセキュリ
ティ方針をテストし、従業員が緊急事態の計画を理解しているか、そし
て緊急事態に適切なプロトコルに従うかを判断するのに効果的な方法で
ある。
Walk-through の実施により、定められた方針に手順が沿っているか、
そしてその手順が実際に実行されるかの証拠を得ることができる。
Walk-through の全体的なながれは、以下の通りである。
＜ Walk-through の手順＞
1. 計画と準備 4. ドキュメントの作成
・範囲の定義・ワークペーパーの作成
・主要なコントロールとプロ・手順の文書化
セスの 5. テスト
特定・ウォークスルーで特定され
・人員の特定た
2. 理解を得るコントロールの検証
・文書のレビュー・必要に応じたサンプル取得
・担当者の面接 6. 評価と報告

108
・メモの作成・結果の解釈
3. ウォークスルーの実施・調査結果をまとめた報告書
・プロセスの再実行の作成
・結果と効果の検証・推奨事項のレビュー

10910
② Walk-Throughs in Company Functions and Departments
IT セキュリティ、機密保持、プライバシーの方針の walk-through は、組
織内のすべての機能および部門に対して実施すべきである。
 Finance and Accounting （財務と経理）
この部署は機密性の高い情報に接する機会が多いことから、 walk-
through では以下に重点を置くべきである。
・機密性とプライバシーに関する walk-through では、最小限の PII が
収集され、ユーザーが各自の業務を遂行するために最小限の PII
と専有データにしかアクセスできないように、機密性とプライバ
シーポリシーの遵守を確認すること。
・セキュリティに関する walk-through では、現金の引き出し、回収、
送金、財務報告を担う会計機能を管理するシステムへのアクセス
を、許可された従業員にのみ許可するセキュリティポリシーの遵
守を確認すること。
 Corporate Training and Education （企業研修・教育）
Walk-through には以下を含むべきである。
・従業員に提供されるセキュリティ、機密保持、およびプライバ
シーの内容を確認し、それらが各自の職務に適しているかを判断
する。
・従業員が方針と手続きを承認しているかを確認する。
・研修に参加する。
・受講生に配布する資料や評価を見直す。
・研修プログラムの更新計画について、研修スタッフと面談する。
Service auditor は service organization における IT セキュリティ研修に
関連して、組織がシステムセキュリティに対する責任を、 IT セキュ
リティ研修を通じてどのように周知しているかを理解するための手
続も実施する。この手続には以下の事項に関する文書のレビューが
含まれる。
・ Service organization のセキュリティ意識向上及び研修プログラム
・企業の行動規範 (code of conduct) の伝達
・従業員ハンドブック
・情報セキュリティ方針
・インシデントの通知手順
・システムセキュリティ及びその他の事項に対する責任を要員に伝
えるためのプロセスを理解するために利用可能なその他の文書

110

11111
 Human Resources （人事部）
この部署は従業員の個人情報に接する機会が多いことから、 walk-
through では以下に重点を置くべきである。
・守秘義務とプライバシーについては、人事部がどのように方針と
手順に従い、違反に対処しているか、 PII を特定・収集している
か、そして PII へのアクセスを管理しているかを確認すること。
・セキュリティに関する walk-through では、身元調査、契約社員と正
社員のセキュリティ上の役割の定義、セキュリティ方針の伝達、
社員の行動の監視、従業員の異動や解雇に伴うアクセス権限の停
止に関する実務が確実に実施されているかを確認すること。
 IT Risk Management （ IT リスク管理）
この部門では、現在および潜在的な機密保持およびプライバシーの
リスクを特定し、それらを排除、最小化、または移転できるよう、
トラフィックを監視することがある。そのため walk-through では以下
に重点を置くべきである。
・機密保持とプライバシーに関する walk-through では、部門で実施し
ている機密保持とプライバシー管理の監視方法を特定し、ポリ
シーに従って違反の可能性を特定・報告しているかを確認するこ
と。
・セキュリティに関する walk-through では、部門が保護すべき資産や
システムを追跡する方法の特定、潜在的な脆弱性や脅威の特定、
リスクによる業務上および財務上の影響の評価、リスク軽減策の
策定および定期的な見直しなど、ポリシーに従って実施されてい
るかを確認すること。

112
(6)Detect Deficiencies in a SOC 2® Engagement
System and Organization Controls （ SOC ） Audit の対象となる service

organization では、セキュリティ、機密性、プライバシーのテストが実施さ
れる。 SOC 2® engagement では、 service auditor は、実施された全ての手続の
結果を評価し、識別された虚偽記載 (description misstatements) 、統制設計
上の適切性における欠陥 (deficiencies in the suitability of design) の有無につい
て、さらに Type 2 の検査では統制の運用の有効性 (operating effectiveness of
controls) についても、定量的 (quantitative) かつ定性的 (qualitative) な分
析を行う。
＜ Walk-through の実施＞
SOC 2® engagement の service auditor は、 service organization の IT セキュリ
ティ、機密性、およびプライバシーポリシーの walk-through も実施する。
SOC 2® engagement における一般的な walk-through には、以下の手続が含まれ
る。
・ Service organization のシステムを通じて、トランザクション、イベント、
またはアクティビティの発生から最終処分までを、 service organization
の職員が使用するのと同じ文書を使用して追跡する。機密性とプライ
バシーを検証する場合、この walk-through の目的は、 PII と専有情報が
ライフサイクルを通じてどのように取り扱われるかを理解することで
ある。
・統制設計の理解に役立てるための調査、観察、関連文書（フロー
チャート、質問表、 decision table （決定表・判断表）など）の検査
・期間中、統制が設計通りに機能しなかった事例についての照会。
・イベントやトランザクションの種類によるプロセスの違いについての
質問。
Walk-through が適切に実施されると、組織のセキュリティ、機密性及び
プライバシーのサービスコミットメントに関して、トランザクションの流
れ及び統制の設計に関する service auditor の理解を検証する機会となる。ま
た、システム記述書に含まれる統制が適切に設計され、実施されたかどう
か、（さらに Type 2 の検査では、効果的に運用されたかどうかについて
も）の証拠となることが多い。
＜手続の結果評価＞
手続の結果を評価する際、 service auditor は識別された虚偽記載、統制の
有効性の不備／逸脱の性質及び原因を調査し、以下の事項を判断する。

11311
・特定された虚偽表示の結果、1 つでも記載要件を満たしていない部分
があるかどうか。又は SOC 2 reportの監査意見にその虚偽表示が反映さ
れない場合に、 report 利用者が誤解する可能性があるかどうか。
・特定された逸脱が予想されていた逸脱率の範囲内で、許容できるか、
あるいは欠陥に該当するか。
・実施した手続が、統制が有効に機能していることを結論付けるための
適切な裏付けとなるかどうか。
・適用されるトラストサービス基準に基づき、特定された欠陥が service
organization のサービスコミットメント及びシステム要件の達成に対す
る当該欠陥の影響の大きさ。特に、広範な影響 (pervasive effect) を及
ぼすかどうか。
特定された逸脱が他の統制に広範な影響を及ぼす可能性があるかを判断
する際に考慮される要素には、以下が含まれる。
・組織レベルの統制が他の統制の運用に及ぼす影響。組織レベルの統制
の逸脱は、他の統制に広範な影響を及ぼすことが多い。
・ Service organization 全体におけるセグメンテーション（ネットワークや
システムを複数のセグメントに分割することでセキュリティを強化
する技法）の範囲。
・特定の重要な統制 (key control) の不備が他の統制に及ぼす影響の程度。
＜重要な虚偽記載＞
Service auditor は、重要な虚偽記載 (material description misstatements) 、統
制の設計の適切性における重要な欠陥 (material deficiencies) 、又は Type 2
の検査において統制の有効性の逸脱を識別した場合には、意見を修正しな
ければならない。監査意見を修正する場合、 service auditor は虚偽記載と、
欠陥の性質と原因を理解し、監査意見をどのように修正するかを検討する。
不正 (fraud) 又は不正の疑い (suspected fraud) がある事象が識別された
場合、 service auditor には以下に挙げるような適切な対応が求められる。
・ Service organization の上級管理職（上級管理職が不正を行ったと疑われ
る場合を除き、関与者 (engaging party) 及び他の適切な関係者）と問
題を協議する。
・上級管理職が関与する不正の可能性がある場合は、 those charged with
governance （ガバナンス担当者）に連絡し、調査を完了するために必
要な手続の性質、範囲、時期について協議する。
・経営幹部に対し、適切な資格を有する第三者と協議することを要請す

114
る。
・契約上の他の側面へ与える影響（ service auditor のリスク評価、及び
service organization のマネジメントの書面による representation （表明）
の信頼性など）を検討する。
・とるべき行動方針とその結果について法的助言を得る。
・適切な第三者に連絡をとる。
・契約を解除 (withdraw) する。

11511
【ＭＥＭＯ】

116
5. Incident Response （インシデントレスポン
ス）
サイバーリスクが増す中で、組織はインシデントに対する対応計画をた
て、インシデントの検知方法、対応タイムライン、インシデント対応チー
ムの責任範囲などについても予め定めておくことが推奨される。本節では、
一般的なインシデント対応計画に含まれる内容について学習する。
(1)Incident Response Plan Contents
Incident Response Plan （ IRP ；インシデント対応計画）とは、組織に対

するサイバー攻撃を検知し、対応し、被害を限定するための一連の手順、
人材、情報を文書化したものである。
組織はインシデントに対応するための正式な計画を策定すべきである。
この計画にはインシデント対応体制を導入するためのロードマップを含め、
インシデントの検知方法、対応の行動計画、インシデント対応チームの責
任範囲などについても詳しく定めておくべきである。この計画は組織の使
命、規模、構造など、その組織固有の要件を考慮したものでなければなら
ないが、米国国立標準技術研究所（ NIST）は標準的な要素として、以下を
挙げている。
 Mission （使命）
 Strategies and goals （戦略と目標）
 Senior management approval and statement of commitment （上級管理職の
承認と決意表明）
 Organizational approach to incident response （インシデント対応への組
織的
アプローチ）
 Purpose and objectives of the policy （ポリシーの目的）
 Scope of the policy （ポリシーの適用範囲）
 Metrics for measuring the incident response capability and its effectiveness
（インシデント対応能力とその有効性を測定するための指標）
 Roadmap for maturing the incident response capability （インシデント対応
能力を
高めるためのロードマップ）
 Definition of computer security incidents and related terms （コンピュータセ
キュリティインシデントと関連用語の定義）
 Organizational structure and definition of roles, responsibilities, and levels of
authority （組織構造及び役割、責任、権限レベルの定義）

11711
 Prioritization or severity ratings of incidents （インシデントの優先順位付

けや深刻度評価）
 Internal and external communication methods （社内外のコミュニケーショ
ン方法）

118
① Incident Response Timeline
IRP では、インシデントが発生した場合に復旧のタイムライン（行動
計画を時間軸で表したもの）を下図のガントチャートのように図式化し、
インシデントの開始、検出、制圧 (containment) 、根絶 (eradication) 、
通常業務の復旧、の各時点を明確に示すことが求められる。
Incident is Incident is Incident is Recovery is

reported contained eradicated complete
Total duration of incident Normal business operations resume
② Method of Detection
IRP には組織に導入した検知方法を記載する。組織がインシデントや
事象の検知に使用する技術には、以下のように様々なメカニズムや形態
がある。
・脆弱性スキャンソフトウェア
・異常検知
・エンドポイント検出・対応 (Endpoint detection and response ； EDR)
ソリューション
・ファイルの整合性監視
・ログ分析
・侵入検知システム (Intrusion detection systems ； IDS)
・侵入防御システム (Intrusion prevention systems ； IPS)
・物理的セキュリティ監視
・セキュリティ情報イベント管理ソリューション (Security information
and event management solutions ； SIEM)

11911
・脅威インテリジェンスソフトウェア
・ユーザー行動分析 (User behavior analytics ； UBA) ツール
③ Incident Response Personnel, Roles, and Responsibilities
IRP の最も重要な要素はインシデントに対応するために指定された人
的資本 (human capital) であるといえる。 IRP の成功は組織全体にわた
る個人の参加と協力に大きく依存するが、 IRP の要所を処理するために
は、適切な技術的知識を持つ専門的な人材が必要である。また、組織に
おけるインシデント対応管理の責任者である managementからの指導と支
援も不可欠である。
NISTは以下のモデルを推奨しているが、企業の規模やビジネスモデル
によっては異なる構造が適している場合もある。
 Centralized Incident Response Team （集中型インシデント対応チー
ム）
このモデルでは、単一のインシデント対応チームが組織全体の
インシデントを管理する。この手法は小規模な組織や、 IT 環境
が地理的に分散していない組織に効果的であるといえる。
 Distributed Incident Response Teams （分散インシデント対応チー
ム）
このモデルでは、企業の論理／物理セグメントごとにインシデ
ント対応チームを割り振ってインシデントを管理する。このモ
デルは地理的に広範な IT 資産を持つ組織に効果的であるといえ
る。
 Coordinating Team （調整チーム）
集中型／分散型のインシデント対応チームの二次的な機能とし
て、インシデント対応チームと他部門との調整役を担う。
NISTの NIST's Computer Security Incident Handling Guide では、組織がイン
シデント対応チームの構造と人員配置モデルを検討する際に、以下の要
因を考慮することを推奨している。
 24/7 Availability （ 24時間 365 日対応）
多くの組織では年中無休で電話や現場でインシデントに対応し
ている。リアルタイムの可用性はインシデントの発見と対応に
かかる時間を短縮し、攻撃の影響を最小限に抑えるのに役立つ
と考えられている。
 Full-Time vs. Part-Time Team Members （フルタイムとパートタイ
ム）
インシデント対応チームをパートタイムではなくフルタイムで

120
配置するかどうかの判断は、利用可能な資金、その他の人員配
置の必要性や制約、企業が事業展開している業界、および個々
の企業のニーズによって決まる。インシデント対応をアウト
ソーシングすることは、フルタイムスタッフ雇用の代替案とし
て現実的な選択肢となりうる。
 Employee Morale （従業員の士気）
インシデント対応業務は求められるスキルや責任のレベルが高
く、担当者はストレスを感じやすい。特に、 24時間のオンコー
ル体制で待機を要する役割のため、意欲があり、熟練した人材
を何人も雇用することは難しい。
そこでインシデント対応業務における役割を分割し、複数の人
数で分担することは一つの選択肢である。
 Cost
コストはインシデント対応チームの人員配置の判断において、
常に考慮すべき要因である。 24時間 365 日の可用性が求められ
るうえ、インシデント対応チームは IT の多くの側面を扱うため、
チームの人員は他の IT 部門の従業員よりも幅広い知識が求めら
れ、当然ながらコストが高くなる。
 Staff Expertise （スタッフの専門知識）
インシデント対応には、技術的な分野と非技術的な分野の両方
の専門的な知識と経験が必要である。更にサイバーセキュリ
ティを専門とする IT 専門家は、侵入の検出、 forensics （法科
学）、脆弱性に関して、より深い最新の知識を有している必要
がある。また、 digital forensics software （デジタル証拠を収集・
分析するためのソフトウェア）のようなインシデント対応ツー
ルの使い方も理解していなければならない。従って、組織がこ
の機能をマネージドサービスプロバイダー (MSP) にアウト
ソースし、 MSP はインシデント対応にかかる費用を受託した顧
客に分散して賦課することは、理にかなっているといえる。
＜インシデント対応チームの追加業務＞（参考）
インシデント対応チームの主な焦点は侵入検知であるが、組織全体の
サイバーセキュリティに対する意識を高めるために、追加的な任務を担
うのが一般的である。
 Education and Awareness （教育と意識向上）
インシデント対応チーム以外の従業員がインシデントの検出、
報告、対応について知れば知るほど、インシデント対応チーム
の負担は軽減される。こうした啓発活動は社内研修、社内向け
ウェブサイト、ニュースレター、ポスターなど、さまざまな媒

12112
体を使って行うことができる。
 Advisory Distribution （勧告の周知）
インシデント対応チームが特定した新たな脆弱性や脅威につい
て、ニュースレターなどを発行し、組織全体に周知する。
 Information Sharing: （情報共有）
インシデント対応チームは広範なサイバーセキュリティコミュ
ニティに参加し、組織に差し支えない範囲でインシデント情報
を共有することができる。これには過去のインシデントに関連
する情報の共有、インシデントに対して選択した対応策と結果、
組織に及ぼしたインシデントの影響などがある。

122
【ＭＥＭＯ】

12312
(2) Responding to Cybersecurity Incidents in Accordance With the Incident Response

Plan
サイバーセキュリティは、コンピュータシステム全体の安全性の向上を
目的とし、その対象にはコンピュータシステムを支えるインフラ（ネット
ワーク、コンピュータなど）と、システム内のデータを含む。
① Defining Cybersecurity Events and Incidents
IRP ではイベントとサイバーセキュリティインシデントとを区別し、
対応しなければならない。イベントは良性 (benign) の場合もあるが、
インシデントは通常、 IT 資産のセキュリティに脅威をもたらす。両者で
は対応が大きく異なる可能性があるため、そ
の違いを見分けることは非常に重要である。 Event
NISTではこれらの用語を次のように定義して
Adverse Event
いる。
 Event （イベント） Computer
Security
イベントとはシステムやネットワー Incident
クで観測可能な事象をさし、例えば
ユーザーが共有ファイルサーバに接
続すること、ファイアウォールが接続をブロックすること、サ
イバーセキュリティを変更することなどが含まれる。
 Adverse Event （有害事象）
悪影響を及ぼすあらゆる事象を有害事象といい、例えばシステ
ムクラッシュ、パケットを大量に送りつけるフラッド攻撃、シ
ステム権限の不正使用、機密データへの不正アクセス、データ
を破壊するマルウェアの実行などがある。これには意図的な事
象 (intentional) と意図的でない事象 (unintentional) の両方、ま
た人為的な事象 (human-inflicted) と環境による事象
(environmentally inflicted) が含まれる。
 Computer Security Incident （コンピュータセキュリティインシ
デント）
コンピュータセキュリティに関連し、停電や自然災害のような
環境や間接的な人的要因ではなく、悪意ある人間によって意図
的に引き起こされる有害事象の一種である。その定義は、コン
ピュータセキュリティポリシー、許容される使用ポリシー、ま
たは標準的なセキュリティ慣行に対する、違反または差し迫っ
た脅威 (imminent threat) 、である。
＜ Computer Security Incident 例＞

124
・ウェブサーバにリクエストを殺到させ、サイトをクラッ
シュさせる。
・ユーザーにフィッシングメールを開かせ、コンピュー
ターにウイルスを感染させるツールをダウンロードさせ
る。
・ランサムウェア攻撃で企業のデータを人質に取る。
・ソーシャルエンジニアリング攻撃により、機密情報が意
図しない相手に公開されるなど、被害に気付きにくい有
害事象。
② Steps in Responding to an Incident
インシデント対
応は組織やフレー
ムワークによって
異なる点はあるが、
一般的にインシデ
ント対応には右の
7 つのステップが
あるといわれてい
る。
1. Preparation （準
備）
インシデント対
応計画の初期段階では主要な人材、ツール、プロセスを準備し、組織
が様々なシナリオに対応できるようにする。準備のために採用される
ツール・方法には、通常、脆弱性評価ソフトウェア、侵入検知・防止
アプリケーション（脆弱性スキャナ）、マルウェア対策ソフトウェア、
対応に直接関与する専門家への研修とエンドユーザへの研修などがあ
る。
2. Detection and Analysis/Identification （検出と分析／特定）
第 2 段階ではイベント発生時に通常業務からの逸脱 (deviation) を認
識・評価し、そのインシデントが許容可能な事象か、あるいは問題の
あるサイバーセキュリティインシデントかを、慎重に判断する。
3. Containment （制圧）
脅威を適切に特定できれば、組織はそれを制圧し、それ以上被害が拡
大しないようにする。これにより脅威を排除するための最善策を選
択・決定する時間ができる。

12512
脅威の制圧には技術的な対策と非技術的な対策 (technical and

nontechnical measures) とが含まれる。
・技術的な対策：ネットワークのセグメントを隔離する、暴露
されたワークステーションのグループを使用停止
にする、感染したサーバを運用から外し、バック
アップやフェイルオーバー機器3 に迂回させるなど
・非技術的な対策：拡散防止のための従業員への通知など
3
フェイルオーバー機器：稼働中のシステムに問題が生じてシステムやサーバーが停止した場合に
すぐに切り替えられるよう、待機させておく機器

126
4. Eradication （根絶）
この段階では脅威の除去 (extraction) と影響を受けたシステムの復旧
(restoration) を行う。この作業は多岐にわたり、バックアップファイル
でファイルを復旧させるという単純なものから、感染したファイルを
復号化したり削除したりするために専門的なソフトウェアや forensic
analysis （フォレンジック分析） 4 を用いるという複雑なものまであ
る。システムログ調査やネットワーク監視を全社的に実施し、脅威の
除去・復旧の範囲を判断することもある。
重大なインシデントの結果、重要なデータが失われ、システムの全面
的な再構築が必要となる場合もある。
5. Reporting （報告）
この段階では、経営陣、 IT 担当者、影響を受ける従業員へのインシデ
ントの連絡に重点を置く。メッセージは対象のグループに関連する情
報と次のステップに限定して伝えるように配慮する。
6. Recovery （復旧）
復旧の段階では、通常の IT 運用が完全に機能する状態に戻すことを優
先する。
復旧は段階的なアプローチで臨む必要があり、復旧の初期段階では全
体的なセキュリティの向上と、直ちに大きな影響を与える変更に重点
を置き、その後、戦略的な変更（例：同様のサイバーセキュリティイ
ンシデントが再発しないよう、インフラを変更するなど）を含めた、
より全体的な長期的な段階へと移行するのが理想的である。
7. Post-Incident Activity/Lessons Learned （教訓）
インシデント対応の最後の段階は、インシデントの経験を通じて得た
教訓の会得と改善である。上級管理職と、インシデントの影響を直接
受けた従業員は、インシデントを検証し、どのように発生したかを理
解し、対応を改善する方法を検討する。対応の評価には、上記の6 つ
の各ステップの実行に要した時間や、うまくいかなかった対応の特定
が含まれる。
インシデント対応チームは、この後に報告書を発行し、必要に応じて
IRP の修正を検討する。
一般的なフレームワークの中には、上記の7 つの段階と内容的に重な
るものが数多くあり、例えば下記の SysAdmin, Audit, Network, and Security
(SANS) Institute や NIST 、 International Organization for
4
Forensic analysis（フォレンジック分析）：端末やネットワークに残る記録の証拠保全や調査、分析
を行い、被害状況の解明や犯罪捜査に必要な法的証拠を探し出すプロセス。

12712
Standardization （ ISO ；国際標準化機構）などのフレームワークが挙げら
れる。

128
②-1 SANS Institute Incident Response Plan （参考）
SANS Institute は、世界最大のサイバーセ SANS Institute IRP

キュリティトレーニング組織である。 SANS 1. Preparation
Institute は Incident Handlers Handbook の中で、イ 2. Identification
3. Containment
ンシデント対応を右の6 段階に分けている。 4. Eradication
5. Recovery
Handbook には、異常なプロセス、ファイル、 6. Lessons learned
レジストリキーを特定するために、さまざま
なコマンドを適用する方法が説明されている。
また、ネットワーク上の異常な行動や、再起動などの計画されたタス
クの異常、不可解なアカウント、疑わしいユーザーの行動などをス
キャンする方法についても説明されている。
②-2 NIST IRP （参考）
NIST は、 Computer Security Incident NIST IRP

Handling Guide の中で、インシデント対応 1. Preparation
を右の4 段階に分けている。 2. Detection and analysis
3. Containment,
Guide にはポリシーや手順の策定に関 eradication, and recovery
4. Post-incident activity
するガイダンスや、インシデント対応
チームの構成に関する推奨事項など、イ
ンシデント対応の取り組みを組織化するための情報も提供されている。
また、 NISTのガイダンスには詳細な行動計画が挙げられており、さら
に NIST Computer Security Incident Handling Guide の付録には、応用ガイダ
ンスを含むシナリオも挙げられている。
②-3 International Organization for Standardization IRP （参考）
International Organization for Standardization （ ISO ；国際標準化機構）

は、世界中の企業のセキュリティインシデント対応に寄与するため
ISO/IEC 27000 family of standards と呼ばれる規格を発表し、セキュリ
ティインシデント管理計画に以下の活動を含めることを推奨している。
・イベント基準の評価とインシデントの定義
・イベントの監視と検出
・インシデントをライフサイクルの最後まで管理する
・当局との調整と証拠の適切な取り扱い
・原因分析の実施

12912
・すべてのインシデント管理活動の報告
②-4 Other IRP Organizations and Frameworks （参考）
その他にも民間／政府を問わず、さまざまな団体がインシデント対
応に関するフレームワークを確立している。その中には以下のような
ものがある。
・ Information Technology Infrastructure Library (ITIL) は、もともと英国政府に
よって作成されたライブラリであるが、現在は Axelos として知ら
れるジョイントベンチャーによって管理されている。 ITIL のイン
シデント管理プロセスの特徴は、サービス管理の原則と統合され
ていることである。これは、 ITIL がサードパーティの IT プロバイ
ダーの認定資格の発行もするなど、 IT プロバイダー業界と密接に
結びついている背景によるものである。
・ The United States Computer Emergency Readiness Team (US-CERT) は、政府機

関、学術界、民間部門と協力し、インシデント対応計画に関する
ガイダンスを発行する組織である。
・ Payment Card Industry Data Security Standard （ PCI-DSS ）は、決済および

取引に関するサイバーセキュリティインシデント対応に特化した
IRP を発行している。
②-5 IRPs Tailored to Specific Attacks（参考）
多くの組織では、特定のサイバーセキュリティ攻撃に応じた、多方
面にわたる IRP を作成している。
これは、組織が最も脆弱な攻撃など、特定のインシデントに対応す
るため、特別に設計された IRP を複数持つことを意味する。例えば
IBM は特別に設計された IRP で対応するインシデントとして、次のよ
うな攻撃を特定している。
・ DDoS attacks
・ Mobile code such as malware, spyware, viruses, trojans, and worms
・ Phishing
・ Insider incident
・ Business email compromise
・ Disaster recovery
・ Supply chain attack
・ Advanced persistent threats （高度な持続的脅威）

130

13113
③ Procedures to Test Whether a Company Follows Its Incident Response Plan
IRP 導入後には、それらの計画がサイバーセキュリティインシデント
に期待通りに対応するかを定期的にテストする必要がある。一般的なテ
スト方法には、次のようなものがある。
③-1 Simulations
Tabletop exercises （机上演習）とも呼ばれ、対応チームが机上で、
リアルタイムにインシデントが発生しているかのように、口頭でイン
シデントを進行・説明するシミュレーションである。 Pen test （また
は penetration test ；侵入テスト）と呼ばれる演習もある。
・ IRP の annual testing （年次テスト）では、インシデント対応手順
が最新かつ正確であるかを判断するために、シミュレーションを
用いることがある。机上演習から得られた教訓をもとに、インシ
デント対応時の手順を強化し、 IRP を更新する。
・ SOC2® を実施する service auditor が関わっている場合、 service
auditor は直近の IRP レビューの文書を検査し、この 1 年以内に
IRP が検証されたかを検証する。また、シミュレーション上のイ
ンシデントが適切に解決され、サービス可用性が復旧したかを判
断する。更に、実施されたテストの結果を受けて IRP が改訂され
たかどうかも確認する。
③-2 IRP Metrics （指標）
指標を確立し、パフォーマンスを数値で比較することで、インシデ
ントやシミュレーションの際に確立された手順が守られていたかの判
断に役立てることができる。
＜指標の例＞
・ Mean Time to Detect （ MTTD ；平均検知時間）
MTTD はインシデントを検知するまでに要した時間をさす。平均
時間が長いほど検知能力が低く、重大な影響を引き起こすインシ
デントが発生する可能性がある。
・ Mean Time to Acknowledge （ MTTA ；平均認知時間）
MTTA はインシデントが発生してからそれをインシデントとして
認識するまでに要する時間を示す指標である。具体的にはインシ
デントが報告された時点から、それが対応を要する脅威として認

132
識された時点までの時間が測定される。
・ Mean Time to Contain （ MTTC ；平均制圧時間）
Mean time to remediation （平均修復時間）とも呼ばれ、インシデン
トを食い止め、封じ込めるまでにかかる平均時間をさす。
・ Mean Time to Repair （ MTTR ；平均修復時間）
MTTR とはシステムを目標とする運用状態に復旧させるのに要す
る時間をさす。目標状態はイベント発生前の正常な運用状態への
完全な復旧の場合もあれば、通常の事業運営を可能にする最小限
の機能への一時的な復旧の場合もある。
・ Mean Time Between Failures（ MTBF ；平均故障間隔）
インシデントとインシデントの間の平均時間をさし、 MTBF が高
いほどシステム障害の発生頻度が低く、信頼性と回復力の高い
ネットワークであることを示す。
・ System Availability or Downtime（システムの可用性またはダウンタイ
ム）
本番システムが完全／部分的に使用できない時間の長さを指す。
一般的に IT プロバイダーとの契約にはシステム稼働時間の規定が
あり、稼働時間の下限を満たさない場合は、割引やその他のペナ
ルティが適用される。
・ Service-Level Agreement Compliance （サービスレベル契約の遵守）
IT プロバイダーとのサービスレベル契約において、特定のパ
フォーマンスレベルを満たしているかを定性的／定量的に評価す
るもの。
・ Post-Incident Review（インシデント発生後のレビュー）
上級管理職とセキュリティ専門家がインシデント後の一連の出来
事をレビューすることにより、 IRP がどの程度効果的であったか、
また、人員と技術が計画に準拠していたかを評価することができ
る。このレビューではログの分析、システム構成の評価、関係者
への聞き取り、さらなる脆弱性テストなどを実施する。
・ Periodic Audits （定期的な監査）
IRP の定期的 / 不定期な監査とレビューは、組織がインシデント
発生時に適切に対応できる体制にあるかを判断するのに役立つ。
・ Continuous Monitoring （継続的なモニタリング）
システムログ、ネットワークトラフィック、異常なユーザー行動
などを常時分析する自動化ツールの利用は、インシデントへのタ
イムリーかつ適切な対応を促進する。

13313
③-3 Indications an Organization Did Not Respond Appropriately
組織の IRP が適切に設計されているかを評価する場合、あるいは実
際の対応時にプロトコルに従っているかを判断する場合、それが不十
分であること示す傾向として、以下のようなものがある。
・インシデントの頻度または重大性の増加
・インシデントの特定または封じ込めに要する時間の増加
・データセンターのダウンタイムや IT インフラへのダメージの増加
・罰金、弁護士、コンサルタントの費用の増加
・企業評価の低下

134
(3)Insurance as a Mitigation Strategy for a Security Incident
Cyber insurance （サイバー保険）は、比較的新しい形態の保険であり、
攻撃を受けた場合の金銭的救済が約束されることで、サイバー攻撃に対す
る備えを可能にするものである。この救済措置は、データの復旧費用、事
業運営の一時的な中断、収益の損失などを補填することができる。サイ
バー脅威の高度化に伴い、保険会社は保険対象となる損害と保険金支払い
の要件を慎重に定義するようになってきている。
① Insurable Losses （保険対象となる損害）
＜サイバー保険で保障される損害の例＞
・ Business Interruption Losses （事業中断損失）
業務記録やシステム、財務リソースにアクセスできないことによる
業務遅延によって収益の損失が起きた場合、サイバー保険の一部と
して保障の対象となる場合がある。
・ Cyber Extortion Losses （サイバー攻撃による損失）
身代金の支払いや、攻撃者との交渉にかかる弁護士費用や IT 専門家
への報酬を補償する。
・ Incident Response Costs （インシデント対応費用）
データの復旧に関連した外部の IT 専門家やマネージドサービスプロ
バイダー (MSP) に対する費用、その他の関連する人件費を保障す
る。
・ Replacement Costs for Information Systems （情報システムの交換費用）
サイバー攻撃によってソフトウェアやハードウェアが破損した場合、
IT 資産の交換が補償される場合がある。
・ Litigation and Attorney Fees （訴訟と弁護士費用）
サイバー攻撃では、被害の結果、生じる訴訟（特に顧客による集団
訴訟）に対処するため弁護士の助言を必要とすることが多い。また
最初の攻撃後に将来の責任を最小化するには今後どのように進める
べきかについて、弁護士の法的助言を受けることもある。
・ Reputational Damage （風評被害）
データ漏洩に関する報道、危機管理、顧客へのマーケティングに関
連する費用は、補償の対象となる可能性がある。ただし企業ブラン
ドイメージへの損害や長期的な影響については、補償の対象となる
可能性は低い。
・ Information or Identity Theft （個人情報の盗難）

13513
攻撃に起因する従業員の個人情報を使用した損害の費用は補償の対
象となる可能性がある。
② Cyber Insurance Requirements for Applicants （保険加入者への要件）
サイバー保険を取り扱う保険会社は、インシデントが起きる可能性と
インシデントが起きた時の影響、その両方を最小限に抑えるため、加入
者に対し、前もって以下のようなリスク軽減策を講じることを求めてい
る。
・ Background Checks （背景調査）
企業のシステムにアクセスできる従業員の犯罪歴を把握することは、
IT 資産を保護する上で極めて重要である。
・ Compliance With Regulations （規制遵守）
組織が HIPAA や PCI-DSS など、適用される規制に準拠していること
の証明が求められる。
・ Disaster Recovery（災害復旧）
災害復旧計画の存在と、所定の復旧メカニズムが機能することを定
期的にテストすることが求められる。
・ Employee Training （社員研修）
フィッシング詐欺などの一般的な手口について従業員を教育するこ
とは、サイバー攻撃から身を守るのに役立つ。フィッシングテスト
やその他のセキュリティプログラムを実施することで、保険料を削
減できる可能性がある。
・ Company Policies （企業の情報セキュリティ方針）
保険会社は、従業員、顧客、およびベンダーに対する情報セキュリ
ティについて定めた人事の基本方針を要求することが多い。このよ
うなポリシーには通常、会社のデバイスの使用方法、データの許容
される使用方法とアクセス方法、ベンダーや従業員の禁止事項など
が明記されている。
・ Independent Risk Assessment （独立したリスク評価）
第三者によって実施される IT リスクの評価は、組織をインシデント
のリスクにさらす弱点を、保険会社が確認するのに役立つ。
・ Incident Response Plans （インシデント対応計画 (IRP) ）
保険会社は通常、 IRP が導入されているか、サイバーインシデント
にどのように対処しているかに注目している。 IRP が不十分な場合、
保険料が高くなる可能性がある。
・ IT Controls （ IT 統制）

136
標準的な IT セキュリティ統制は、サイバーセキュリティ保険の申込
時チェックリストの一部である。一般に、ファイアウォール、侵入
検知・防止システム、ウイルス対策ソフトまたはエンドポイントソ
フト、資産へのアクセス制御、多要素認証（ MFA ）のような最新の
認証ツールが求められる。

13713
・ Mandatory Pen Testing （侵入テストの義務化）

一部の保険会社は、保険の申込プロセスの一環として侵入テスト
(penetration testing) を必須要件としている。侵入が困難なシステムで
あることがわかると、保険料が安くなる可能性がある。
・ Loss History （損害歴）
保険会社は上記のすべての要因に加え、新規顧客が過去に被ったイ
ンシデントによる損害額を考慮し、その顧客のリスクに対する金額
を決定する。

138
【ＭＥＭＯ】

13913

Terminology
Terminology
□ 1 bad actors 悪意ある行為者

□ 2 service interruption サービスの中断
□ 3 malware マルウェア
□ 4 compromised passwords パスワードの漏洩
□ 5 disruption 妨害
□ 6 threat agent 脅威エージェント
□ 7 Advanced Persistent Threat APT ：持続的標的型攻撃
□ 8 disseminating information 情報の流布
□ 9 hacktivitst ハクティビスト
□ 10 Covert Channels 隠れチャネル
□ 11 buffer バッファ（一時記憶装置）
□ 12 Denial-of-Service DoS ；サービス拒否
Distributed Denial-of-Service DDoS attack ；分散型サービス
□ 13
Attacks 拒否攻撃
□ 14 Man-in-the-Middle Attacks MITM Attacks ；中間者攻撃
□ 15 port scanning attacks ポートスキャン攻撃
□ 16 reverse shell attacks リバースシェル
□ 17 replay attacks リプレイ攻撃
□ 18 eavesdropping 盗聴
return-oriented programming リターン指向プログラミング
□ 19
attacks 攻
□ 20 spoofing スプーフィング
media access control addresses
□ 21 MAC アドレス
(MAC)
□ 22 Domain Name System (DNS) ドメインネームシステム
ソーシャルエンジニアリング
□ 23 social engineering attacks
攻撃
□ 24 phishing フィッシング
□ 25 spear phishing スピアフィッシング
□ 26 surveillance 監視
□ 27 watering hole attacks 水飲み場型攻撃
□ 28 reconnaissance 偵察

140
□ 29 exploitation 侵入
□ 30 exfiltration 流出
□ 31 intellectual property IP ；知的財産
□ 32 mobility 機動性
□ 33 Global Positioning System GPS ；全地球測位システム
International Mobile Subscriber IMSI ；国際携帯電話加入者識
□ 34
Identity 別番号
□ 35 Internet of Things IoT ；モノのインターネット
□ 36 illegitimate 違法な
□ 37 phony 偽の
脅威モデリング、脅威のモデ
□ 38 threat modeling
ル化
脅威ランドスケープ、脅威の
□ 39 threat landscape
状況
□ 40 decomposition 細分化
□ 41 fraud deterrence 不正抑止
□ 42 tone at the top 経営者の気風
□ 43 acceptable use policies AUP ；利用規定
□ 44 Bring-your-own-device BOYD ポリシー
□ 45 Standard Operating Procedures SOP ；標準作業手順書
□ 46 wired cables 有線ケーブル
□ 47 Access Point AP ；アクセスポイント
□ 48 bridges ブリッジ
□ 49 proxies プロキシ
□ 50 signal modifiers 信号変調器
□ 51 segmentation セグメンテーション、分割
□ 52 isolation 分離化
□ 53 Service Set Identifier SSID
仮想プライベートネットワー
□ 54 Virtual Private Network (VPN)
ク
□ 55 Tunneling トンネリング
□ 56 Internet Protocol Security IPSec
システムハードニング、シス
□ 57 system hardening
テムの堅牢化
□ 58 zero trust ゼロトラスト
□ 59 least privilege 最小特権

14114
□ 60 need-to-know principle 知る必要性の原則

□ 61 whitelisting ホワイトリスト
□ 62 context-aware authentication コンテキストベース認証
□ 63 digital sgnatures デジタル署名
□ 64 Single Sign-On (SSO) シングルサインオン
□ 65 Personal Identification Numbers PIN ；個人識別番号
□ 66 Token トークン
□ 67 secondary authentication 二次認証メカニズム
□ 68 synchronous 同期型
□ 69 asynchronous 非同期型
□ 70 biometrics バイオメトリクス
□ 71 facial recognition 顔認証
□ 72 iris or retina scans 網膜スキャン
□ 73 hashing ハッシュ
□ 74 illegible 判読できない
□ 75 provisioning プロビジョニング
□ 76 misconfiguration 設定ミス
Common Vulnerabilities and
□ 77 CVE ；共通脆弱性識別子
Exposures
□ 78 layered security 重層的なセキュリティ
□ 79 Defense-in-Depth 多層防御
□ 80 physical access control 物理的アクセス制御
□ 81 logical access control 論理的アクセス制御
□ 82 abstraction 抽象化
□ 83 concealment 隠蔽、秘匿
□ 84 Intrusion Prevention System IPS ；侵入防御システム
□ 85 Discretionary Access Control DAC ；任意アクセス制御
□ 86 Mandatory Access Controls MAC ；強制アクセス制御
PBAC ；ポリシーベースのア
□ 87 Policy-based Access Controls
クセス制御
□ 88 Access Control List ACL ；アクセス制御リスト
□ 89 Intrusion Detection System IDS ；侵入検知システム
□ 90 reconfigurations 再構成
□ 91 robust 強固な、堅牢な
□ 92 quarantine 隔離する

142
SAR ；セキュリティ評価報告
□ 93 Security Assessment Report
書
□ 94 inspectors general 検査官
□ 95 Personal identifiable information PII ；個人を特定できる情報
□ 96 maiden name 旧姓
□ 97 alias 通称
□ 98 Social Security Number SSN ；社会保障番号
□ 99 taxpayer identification number 納税者番号
□ 100 autonomy 自律性
□ 101 de-identifying 非特定化
□ 102 pseudonymization 仮名（かめい）化
□ 103 anonymization 匿名化
□ 104 obfuscation 難読化
□ 105 tokenization トークン化
□ 106 surrogate value 代用値
□ 107 masking マスキング
□ 108 plaintext 平分
□ 109 ciphertext 暗号文
□ 110 data-at-rest 保存データ
□ 111 symmetric encryption 対称暗号化
□ 112 asymmetric encryption 非対称暗号化
□ 113 Data Loss Prevention DLP ；データ損失防止
□ 114 pattern-matching methods パターンマッチング手法
□ 115 purging パージ
□ 116 code of conduct 行動規範
□ 117 quantitative 定量的
□ 118 qualitative 定性的
□ 119 Incident Response Plan IRP ；インシデント対応計画
□ 120 containment 制圧
□ 121 eradication 根絶
Endpoint Detection and Response EDR ；エンドポイント検出・
□ 122
Solution 対応ソリューション
UBA ；ユーザー行動分析ツー
□ 123 User Behavior Analytics tool
ル
□ 124 morale 士気
□ 125 forensics 法科学

14314
□ 126 benign 良性
□ 127 intentional 意図的
□ 128 human-inflicted 人為的
□ 129 penetration test (pen test) 侵入テスト
□ 130 Mean Time to Detect MTTD ；平均検知時間
□ 131 Mean Time to Acknowledge MTTA ；平均認知時間
□ 132 Mean Time to Contain MTTC ；平均制圧時間
□ 133 Mean Time to Repair MTTR ；平均修復時間
□ 134 Mean Time between Failures MTBF ；平均故障間隔
□ 135 cyber insurance サイバー保険

144
【ＭＥＭＯ】

14514

202310V1.0 - ISCテキスト3 - Security and Confidentiality (r4) (20231222収録)

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

202310V1.0 - ISCテキスト3 - Security and Confidentiality (r4) (20231222収録)

Uploaded by

Copyright:

Available Formats

上下 20 ﾐﾘ 左右 14 ﾐﾘ で０ﾐﾘ相当

Information Systems and Controls

3. Security and Confidentiality

Key Topics ISC

1. Threats and Attacks （ 脅 威 と 攻 撃 ）

Information Systems and Controls 3-1

©TAC all rights reserved

1. Threats and Attacks （ 脅 威 と 攻 撃 ）

3-222 Information Systems and Controls

3. Security and Confidentiality

Information Systems and Controls 3-3

©TAC all rights reserved

Network-based Application- Host-based Social Physical supply Chain

① Types of Threat Agents

 Attacker, Threat Actor, or Hacker

3-444 Information Systems and Controls

3. Security and Confidentiality

Information Systems and Controls 3-5

©TAC all rights reserved

3-666 Information Systems and Controls

3. Security and Confidentiality

②-1 Network-based Attacks

 Backdoors and Trapdoors （ バ ッ ク ド ア と ト ラ ッ プ ド ア ）

Information Systems and Controls 3-7

©TAC all rights reserved

3-888 Information Systems and Controls

3. Security and Confidentiality

Information Systems and Controls 3-9

©TAC all rights reserved

 Return-oriented programming attacks （リターン指向プログラミング

3- Information Systems and Controls

3. Security and Confidentiality

②-2 Application-based Attacks

 Structured Query Language (SQL) Injection

 Cross-Site Scripting (XSS)

Information Systems and Controls 3-11

©TAC all rights reserved

3- Information Systems and Controls

3. Security and Confidentiality

②-3 Host-based Attacks

 Brute Force Attacks

Information Systems and Controls 3-13

©TAC all rights reserved

②-4 Social Engineering Attacks （ ソ ー シ ャ ル エ ン ジ ニ ア リ ン グ 攻 撃 ）

3- Information Systems and Controls

3. Security and Confidentiality

Information Systems and Controls 3-15

©TAC all rights reserved

②-5 Physical (On-Premises) Attacks

 Intercepting Discarded Equipment （ 廃 棄 機 器 の 横 取 り ）

3- Information Systems and Controls

3. Security and Confidentiality

②-6 Supply Chain Attacks

 Embedded Software Code

Information Systems and Controls 3-17

©TAC all rights reserved

3- Information Systems and Controls

3. Security and Confidentiality

Information Systems and Controls 3-19

©TAC all rights reserved

(3)Risks Related to Cloud Computing

3- Information Systems and Controls

3. Security and Confidentiality

上下 20 ﾐﾘ左右 14 ﾐﾘで０ﾐﾘ相当

1. Threats and Attacks （脅威と攻撃）

1. Threats and Attacks （脅威と攻撃）

 Backdoors and Trapdoors （バックドアとトラップドア）

②-4 Social Engineering Attacks （ソーシャルエンジニアリング攻撃）

 Intercepting Discarded Equipment （廃棄機器の横取り）

Internet of Things （ IoT ；モノのインターネット）とは、インターネット

ここでは threat modeling （脅威モデリング、脅威のモデル化）と threat

Process for Attack Simulation and Threat Analysis （ PASTA ）脅威モデルで

Visual, Agile, and Simple Threat（ VAST ）脅威モデルは、プロジェクト

2. Mitigation of Threats and Attacks （脅威と攻撃の

Acceptable Use Policy （ AUP ；利用規定）とは、テクノロジーリ

Standard Operating Procedures （ SOP ；標準作業手順書）は、セキュリ