book

ディフェンシブ・セキュリティ・ハンドブック第2版

by Lee Brotherston, Amanda Berlin, William F. Reyor

March 2025

Beginner to intermediate

362 pages

5h 5m

Japanese

O'Reilly Media, Inc.

Read now

Unlock full access

我々の目標この本は誰のためにあるのか？本のナビゲーション本書で使用されている慣例オライリー・オンライン・ラーニング問い合わせ先謝辞アマンダリービル
基礎固めチームを設立する基本的なセキュリティ体制を決定する脅威とリスクの評価スコープ、資産、脅威を特定するリスクと影響を評価する軽減するモニターガバナー優先順位をつけるマイルストーンの作成ユースケース、タブレットトップ、ドリルチームとスキルセットの拡大結論
アセット・マネジメントとは何か？ドキュメンテーションスキーマを確立するデータ保管オプションデータ分類在庫スキーマを理解する資産管理の実装ステップライフサイクルの定義情報収集変更追跡モニタリングと報告資産運用ガイドライン自動化する信頼できる単一の情報源を確立する全社的なチームを編成するエグゼクティブ・チャンピオンを発見するソフトウェアライセンスを常に把握する結論
言語文書の内容トピックスストレージと通信結論
規格手続き文書の内容結論
壊れたプロセスギャップを埋める独自のプログラミングを構築するオブジェクトを設定するベースラインを確立するプログラム規則とガイドラインの範囲と作成積極的な補強を行うインシデントレスポンス・プロセスの定義意味のあるメトリックを得る計測成功率と進歩の追跡重要なメトリック結論
プロセスインシデント発生前のプロセスインシデント・プロセスインシデント発生後のプロセスツールとテクノロジーログ分析EDR/XDR/MDR/すべての "R"ディスクとファイルの分析メモリ解析PCAP分析オールインワン・ツール結論
オブジェクトのセットリカバリーポイントの目標回復時間の目標リカバリー戦略従来の物理的バックアップウォームスタンバイ高可用性代替システムシステム機能の再割り当てクラウド・ネイティブ・ディザスターリカバリー依存関係シナリオフェイルオーバーの起動...そして戻るテストセキュリティへの配慮結論
業界コンプライアンス基準家族教育権およびプライバシー法（FERPA）グラム・リーチ・ブライリー法（GLBA）医療保険の相互運用性と説明責任に関する法律（HIPAA）ペイメントカード業界データセキュリティ基準（PCI DSS）サーベンス・オクスリー法（SOX法フレームワークインターネット・セキュリティ・センター（CIS）クラウドコントロールマトリックス（CCM）トレッドウェイ委員会支援組織委員会(COSO)情報と関連技術のコントロール目標（COBIT）ISO-27000シリーズMITRE ATT&CKNISTサイバーセキュリティフレームワーク（CSF）規制産業財務政府ヘルスケア結論

フィジカルアクセスを制限するビデオ監視認証メンテナンスセキュア・メディアデータセンターオペレーションの側面訪問者と請負業者の識別フィジカル・セキュリティ・トレーニング結論
クイックウィンズアップグレードサードパーティ製パッチオープン・シェアActive Directoryドメインサービス森林ドメインドメインコントローラー組織単位グループアカウントグループポリシーオブジェクト(GPO)結論
最新情報を保つサードパーティのソフトウェア・アップデートコアオペレーティングシステムのアップデートUnixアプリケーションサーバのハードニングサービスを無効にするファイルパーミッションをセットするホストベースのファイアウォールを使用するファイルの整合性を管理する別々のディスク・パーティションを設定するchrootを使用する強制アクセス制御をセットアップする結論
最新情報を保つマイクロソフトウィンドウズマックオスUnixデスクトップサードパーティのアップデートエンドポイントを強化するサービスを無効にするデスクトップ・ファイアウォールを使用するフルディスク暗号化を実装するエンドポイント保護ツールを使用するモバイル・デバイス管理エンドポイントの可視性中央集権化結論
データベース入門と情報セキュリティにおける重要性データベースの実装一般的なデータベース管理システム実際のケーススタディ：マリオットの不正アクセスデータベースセキュリティの脅威と脆弱性不正アクセスSQLインジェクションデータ漏洩インサイダーの脅威防御回避データベースセキュリティのベストプラクティスデータ暗号化認証認可メカニズム安全なデータベースの構成と堅牢化クラウドでのデータベース管理ハンズオン・エクササイズMySQLデータベースへの暗号化の実装（ロックダウン作戦）結論
クラウドサービスの種類とセキュリティへの影響サービスとしてのソフトウェア（SaaS）サービスとしてのプラットフォーム（PaaS）サービスとしてのインフラ（IaaS）責任共有モデルクラウドセキュリティのよくある間違いとその回避方法設定ミス不十分な資格情報と秘密管理過剰許可されたクラウドリソースセキュリティの衛生状態が悪い責任共有モデルを理解していないクラウドセキュリティのベストプラクティスセキュアなアーキテクチャパターンから始める秘密を適切に管理するよくアーキテクトされたフレームワークを採用するセキュリティのベストプラクティスに従い続ける演習AWS環境のセキュリティを可視化するSNSメール通知を設定するGuardDutyを有効にするEventBridgeをセットアップしてアラートをEメールにルーティングするテスト結論
アイデンティティとアクセス管理パスワードパスワードの基本暗号化、ハッシュ化、ソルティングパスワード管理追加のパスワード・セキュリティ一般的な認証プロトコルNTLMケルベロスLDAPラディウスプロトコルの違いプロトコル・セキュリティ組織に最適なプロトコルを選択する多要素認証MFAの弱点実装すべき場所結論
デバイス・ハードニングファームウェア/ソフトウェア・パッチサービスSNMP暗号化されたプロトコル経営ネットワークハードウェア・デバイスバスティオンホストルータースイッチワイヤレス機器デザインエグレス・フィルタリングIPv6：注意事項TACACS+ネットワーク攻撃ARPキャッシュポイズニングとMACスプーフィングDDoS増幅VPN攻撃ワイヤレス結論
ネットワーク・セグメンテーションフィジカル論理的物理ネットワークと論理ネットワークの例ソフトウェア定義ネットワーキングアプリケーション・セグメント役割とレスポンスの細分化結論
認証スキャンと非認証スキャンの比較脆弱性評価ツールオープンソースツール脆弱性管理プログラミングプログラミング初期化いつも通りのビジネス修復の優先順位付けリスクの受容結論
言語選択組み立てC と C++GoRustPython/Ruby/PerlPHPセキュア・コーディング・ガイドラインテスト自動静的テスト自動ダイナミック・テストピアレビューソフトウェア開発のライフサイクル結論
オープンソース・インテリジェンス情報の種類とアクセス最新のOSINTツールパープル・チーミングパープル・チームの例結論
情報セキュリティにおける役割IDSとIPSの種類を探るネットワークベースのIDSホストベースのIDSIPSNGFWクラウドにおけるIDSとIPSAWSAzureGCPIDSやIPSと連携する偽陽性を管理する自分のサインを書くIDS/IPSのポジショニング暗号化されたプロトコル結論
セキュリティ情報とイベント管理SIEMを使う理由適用範囲SIEMを設計するログ解析とエンリッチメントシスモングループ・ポリシーアラート例と注目すべきログソース認証システムアプリケーションログクラウドサービスデータベースDNSエンドポイント・プロテクション・ソリューションIDS/IPSについてオペレーティングシステムプロキシとファイアウォールのログユーザアカウント、グループ、権限テストと設定の継続検出フレームワーク、コンプライアンス義務、ユースケースとの整合性MITRE ATT&CKシグマコンプライアンスユースケース分析結論
メールサーバDNSサーバ無名による安全保障有用なリソース書籍ブログポッドキャストWebサイト
ライブ・フィッシング教育スライドあなたはハッキングされている何が起きたのか、なぜ起きたのか？社会工学101(0101)だから、（今回は）搾取されてもいいんだ非難せず、辱めず、ただ...次回のためのいくつかの戦略次があるからだ何かがおかしいと感じたらおかしいと思ったら何かがおかしいと感じたらおかしいと感じる、見える、聞こえる-ITヘルプデスクに呼び出すすでにリンクをクリックしたり、添付ファイルを開いたりした場合は？リンクや添付ファイルをクリックしなかった場合は？ITチームはあなたのためにここにいる！フィッシング・プログラム規則

Content preview from ディフェンシブ・セキュリティ・ハンドブック第2版

第6章. インシデントレスポンス

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

インシデントレスポンスとは、その名前が示すように、セキュリティインシデントが宣言された時点で初期化される一連のプロセスと手順のことである。しかし、現代のコンピューティングでは、インシデントは、侵害された単一のエンドポイントから、大規模なデータ侵害につながる完全なネットワーク侵害まで、さまざまな場合がある。加えて、データ漏洩や企業規模の攻撃はますます一般的になっているため、インシデントレスポンスは、単にこれらのプロセスや手順を超えて、情報セキュリティの分野全体を包含する意味に拡大している。

この章では、インシデントレスポンスに関わる様々なプロセス、ツールやテクノロジーの選択肢、およびインシデント発生時に実行する必要がある可能性が高い、最も一般的な技術的分析の形態について説明する。

プロセス

インシデント・レスポンス・プロセスは、インシデント発生時の迅速な対応、非インシデントの特定、インシデント発生時の効率的な演算子、インシデント発生後の改善を可能にするために不可欠な要素である。インシデントが発生する前にプロセスを整備しておくことは、長期的には大きな利益をもたらす。

インシデント発生前のプロセス

インシデントレスポンスに関連するプロセスは、単にインシデント発生中に何が起こるかに関わるものではない。インシデントが発生していることを認識し、インシデントレスポンス・プロセスを初期化し、インシデントレスポンスの責任者に通知するプロセスがない場合、インシデントに対処するプロセスがあっても、呼び出されることはないため、ほとんど意味がない。

インシデント発生前のプロセスは複雑である必要はない。これらのプロセスの点は、単にインシデントの可能性があるかどうかを判断し、インシデント・レスポンス・プロセスを開始すること、それだけである！

社内のインシデントレスポンスについて何度も反復してきた経験から、私たちが協力した最も効果的なプロセスは次のようなものだと言える：

イベントに対処するための既存のプロセスを活用する。: ほとんどの組織は、障害、設定の問題、ユーザから報告された問題、その他の事象に、対応している。並行して一連のプロセスを設定しようとせず、すでにあるものを活用する。おそらく、これらの問題に対処する同じ担当者が、いずれにせよインシデントの発生を最初に知ることになるだろう。Linuxホストが夜中に故障したときにオンコールのUnix担当者を呼び出すようにすでに規定されているのと同じように、予想されるインシデントが発生したときにインシデントレスポンスの担当者を呼び出すように、既存のプロセスを変更または補足するだけでよい。
インシデントとは何かを定義する。: 何をインシデントとして分類するか（）を定義しておかないと、サポートコールのたびに呼び出しを受けたり、400万件のデータレコードが流出したときに呼び出しを受けなかったりするリスクがある。インシデントとは何かを定義するのが簡単でない場合は、「管理者がイベントをセキュリティインシデントと判断したら......」というような表現を選ぶことができる。こうすることで、どのような事象であっても、第一線のサポートによるトリアージを超えてすでに進行しており、判断を下すのに十分な経験を積んだ者が判断を下していることを、少なくとも定義することができる。