Hatena Blog Tags
はてなブログ トップ
NIST SP800-53 Rev.5
このタグでブログを書く
言葉の解説
ネットで話題
関連ブログ

NIST SP800-53 Rev.5

このタグの解説についてこの解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡ください。
セキュリティ管理のメモ帳3年前

「供給者のサービス提供の監視、レビュー及び変更管理」について

はじめに 1.管理策の概要 2.具体的な実施例 2-1)合意文書による遵守事項の維持 a)監視手法 b)レビュー内容 c)評価内容 2-2)セキュリティ事象、インシデント、及び問題に対する適切な管理 a)監視手法 b)レビュー内容 c)評価内容 2-3)供給者による変更がサービス提供に影響を与えないことの確認 a)監視手法 b)レビュー内容 c)評価内容 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「供給者のサービス提供の監視、レビュー及び変更管理」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきま…

#ISO/IEC 27002:2022#5.22 供給者のサービス提供の監視、レビュー及び変更管理#NIST SP800-53 Rev.5#サプライチェーンセキュリティ#SCRM

関連ブログ

セキュリティ管理のメモ帳3年前

「ICTサプライチェーンにおける情報セキュリティの管理」について

はじめに 管理策の概要 具体的な実施例 1.取得したICT製品に関する構成情報の理解 2.取得したICT製品のセキュリティ機能とその設定に関する理解 3.取得したICT製品の完全性・真正性の確保 4.その他 クラウドサービスの利用 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「ICTサプライチェーンにおける情報セキュリティの管理」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。 管理策の概要 先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/I…

#ISO/IEC 27002:2022#5.21 ICTサプライチェーンにおける情報セキュリティの管理#NIST SP800-53 Rev.5#サプライチェーンセキュリティ#SCRM
セキュリティ管理のメモ帳3年前

「供給者との合意における情報セキュリティの取扱い」について

はじめに 1.管理策の概要 2.具体的な実施例 2.1.供給者との関係性を理解し、リスクアセスメントによりセキュリティ要件を明らかにする 1)情報の特定 2)リスクアセスメント ① 作成(Creat) ② 保存(Store) ③ 使用(Use) ④ 共有(Share) ⑤ アーカイブ(Archive) ⑥ 破棄(Destroy) ⑦ その他 2.2.セキュリティ要件を満たすための管理策(リスク対応)の実施分担を当事者間で調整し、供給者に課す実施義務を明らかにする 2.3.供給者により実施している管理策の適合性、有効性を適切に把握するため、セキュリティ監査などの権利を主張する(リスクモニタリング…

#ISO/IEC 27002:2022#5.20 供給者との合意における情報セキュリティの扱い#NIST SP800-53 Rev.5#サプライチェーンセキュリティリスク
セキュリティ管理のメモ帳3年前

セキュリティ侵害を表す用語とIoCについて

はじめに 各用語の使用例 解釈した内容 Exposure Intrusion Breach Compromise Indicators of Compromise(IoC)について 偵察フェーズ 侵入フェーズ 遠隔操作フェーズ 横展開フェーズ 探索フェーズ 目的実行フェーズ まとめ 参考資料 脚注 はじめに セキュリティの管理策を検討する際に参照することが多いNIST SP800-53 Rev.5には、いくつかのセキュリティ侵害を表すための用語が使用されています。その違いについてまとめておきます。 本ブログでは、本質を理解し、根拠を明らかにし、具体例を示すことを心がけておりますが、本稿について…

#exposure#intrusion#compromise#セキュリティ#インシデント#NIST SP800-53 Rev.5
セキュリティ管理のメモ帳3年前

「パスワードクラック手法」と「有効な管理策」について(後半)

はじめに パスワードクラックに対し有効な管理策について 1.パスワードポリシーによる利用者への意識付け・義務化 2.パスワードの保管 3.パスワード登録・管理のための支援機能 あまり効果がないとされている管理策 まとめ 参考資料 脚注 はじめに 「パスワードクラック手法」と「有効な管理策」に関する2部構成の後半部分です。主に管理策について記述します。 パスワードクラック手法について記述している前半部分については下記から確認できます。 blg8.hatenablog.com 注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。(誤りに気付い…

#ISO/IEC 27002 : 2022#NIST SP800-53 Rev.5#NIST SP800-63B Rev.3#5.17 認証情報
セキュリティ管理のメモ帳3年前

「パスワードクラック手法」と「有効な管理策」について(前半)

はじめに 「オンライン攻撃」と「オフライン攻撃」 ・オンライン攻撃 ・オフライン攻撃 攻撃ツールの利用 パスワードクラック手法 1.総当たり攻撃(brute force attack) 2.辞書攻撃(dictionary attack) 3.マスク攻撃(mask attack) 4.レインボーテーブル攻撃(rainbow table) 5.類推攻撃(password guessing attack) 6.逆総当たり攻撃(reverse brute force attack) 7.パスワードリスト攻撃(password list-based attack) 8.パスワードスプレー攻撃(Passw…

#ISO/IEC 27002 : 2022#NIST SP800-53 Rev.5#NIST SP800-63B Rev.3#5.17 認証情報
セキュリティ管理のメモ帳3年前

「認証情報」について

はじめに 管理策の概要 認証情報の管理プロセス(手順)を明らかにする理由 具体的な実施例 1. 脆弱な管理(保護)状態を引き起こさないための管理策 2. 脆弱な資格情報の利用を避けるための管理策 3. 認証情報を奪取しようとする脅威から保護するための管理策 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「認証情報」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。 管理策の概要 先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:…

#ISO/IEC 27002 : 2022#NIST SP800-53 Rev.5#5.17 認証情報#アクセス制御
セキュリティ管理のメモ帳3年前

「脅威インテリジェンス」について

はじめに 管理策の概要 脅威インテリジェンスが必要とされる背景 より効果的・効率的なセキュリティ管理 サイバーセキュリティ上の脅威への検知・対応の速やかな実施 分類 1. 戦略インテリジェンス(Strategic Intelligence) 定義: 活用例: 2. 戦術インテリジェンス(Tactical Intelligence) 定義: 活用例: 3. 運用インテリジェンス 定義: 活用例: まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「脅威インテリジェンス」について、主要なガイドライン及び書籍を参考に簡潔に残しておきます。 なお、本管…

#ISO/IEC 27002 : 2022#5.7 脅威インテリジェンス#NIST SP800-53 Rev.5#セキュリティガバナンス
セキュリティ管理のメモ帳3年前

「ID管理」について

はじめに 「ID管理」とは? ID(Identity)とは? identity(ID)とidentifier(識別子) IDについてまとめ IDライフサイクルについて IDの状態について IDの状態遷移について 具体的な実施例 Enrolment(登録)時に考慮すべき事項の例: ・ID登録時の身元確認(検証)基準 ・主体の識別 ・公開識別子との共用禁止 ・第三者が提供するIDの利用 Delete(削除)時に考慮すべき事項の例: ・IDの適時削除 ライフサイクル全体にわたり考慮すべき事項の例: ・記録の保管 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分…

#ISO/IEC 27002:2022#NIST SP800-53 Rev.5#ISO/IEC 24760-1:2019#NIST SP 800-63A#5.16 ID管理#アクセス制御