book

ディフェンシブ・セキュリティ・ハンドブック第2版

by Lee Brotherston, Amanda Berlin, William F. Reyor

March 2025

Beginner to intermediate

362 pages

5h 5m

Japanese

O'Reilly Media, Inc.

Read now

Unlock full access

我々の目標この本は誰のためにあるのか？本のナビゲーション本書で使用されている慣例オライリー・オンライン・ラーニング問い合わせ先謝辞アマンダリービル
基礎固めチームを設立する基本的なセキュリティ体制を決定する脅威とリスクの評価スコープ、資産、脅威を特定するリスクと影響を評価する軽減するモニターガバナー優先順位をつけるマイルストーンの作成ユースケース、タブレットトップ、ドリルチームとスキルセットの拡大結論
アセット・マネジメントとは何か？ドキュメンテーションスキーマを確立するデータ保管オプションデータ分類在庫スキーマを理解する資産管理の実装ステップライフサイクルの定義情報収集変更追跡モニタリングと報告資産運用ガイドライン自動化する信頼できる単一の情報源を確立する全社的なチームを編成するエグゼクティブ・チャンピオンを発見するソフトウェアライセンスを常に把握する結論
言語文書の内容トピックスストレージと通信結論
規格手続き文書の内容結論
壊れたプロセスギャップを埋める独自のプログラミングを構築するオブジェクトを設定するベースラインを確立するプログラム規則とガイドラインの範囲と作成積極的な補強を行うインシデントレスポンス・プロセスの定義意味のあるメトリックを得る計測成功率と進歩の追跡重要なメトリック結論
プロセスインシデント発生前のプロセスインシデント・プロセスインシデント発生後のプロセスツールとテクノロジーログ分析EDR/XDR/MDR/すべての "R"ディスクとファイルの分析メモリ解析PCAP分析オールインワン・ツール結論
オブジェクトのセットリカバリーポイントの目標回復時間の目標リカバリー戦略従来の物理的バックアップウォームスタンバイ高可用性代替システムシステム機能の再割り当てクラウド・ネイティブ・ディザスターリカバリー依存関係シナリオフェイルオーバーの起動...そして戻るテストセキュリティへの配慮結論
業界コンプライアンス基準家族教育権およびプライバシー法（FERPA）グラム・リーチ・ブライリー法（GLBA）医療保険の相互運用性と説明責任に関する法律（HIPAA）ペイメントカード業界データセキュリティ基準（PCI DSS）サーベンス・オクスリー法（SOX法フレームワークインターネット・セキュリティ・センター（CIS）クラウドコントロールマトリックス（CCM）トレッドウェイ委員会支援組織委員会(COSO)情報と関連技術のコントロール目標（COBIT）ISO-27000シリーズMITRE ATT&CKNISTサイバーセキュリティフレームワーク（CSF）規制産業財務政府ヘルスケア結論

フィジカルアクセスを制限するビデオ監視認証メンテナンスセキュア・メディアデータセンターオペレーションの側面訪問者と請負業者の識別フィジカル・セキュリティ・トレーニング結論
クイックウィンズアップグレードサードパーティ製パッチオープン・シェアActive Directoryドメインサービス森林ドメインドメインコントローラー組織単位グループアカウントグループポリシーオブジェクト(GPO)結論
最新情報を保つサードパーティのソフトウェア・アップデートコアオペレーティングシステムのアップデートUnixアプリケーションサーバのハードニングサービスを無効にするファイルパーミッションをセットするホストベースのファイアウォールを使用するファイルの整合性を管理する別々のディスク・パーティションを設定するchrootを使用する強制アクセス制御をセットアップする結論
最新情報を保つマイクロソフトウィンドウズマックオスUnixデスクトップサードパーティのアップデートエンドポイントを強化するサービスを無効にするデスクトップ・ファイアウォールを使用するフルディスク暗号化を実装するエンドポイント保護ツールを使用するモバイル・デバイス管理エンドポイントの可視性中央集権化結論
データベース入門と情報セキュリティにおける重要性データベースの実装一般的なデータベース管理システム実際のケーススタディ：マリオットの不正アクセスデータベースセキュリティの脅威と脆弱性不正アクセスSQLインジェクションデータ漏洩インサイダーの脅威防御回避データベースセキュリティのベストプラクティスデータ暗号化認証認可メカニズム安全なデータベースの構成と堅牢化クラウドでのデータベース管理ハンズオン・エクササイズMySQLデータベースへの暗号化の実装（ロックダウン作戦）結論
クラウドサービスの種類とセキュリティへの影響サービスとしてのソフトウェア（SaaS）サービスとしてのプラットフォーム（PaaS）サービスとしてのインフラ（IaaS）責任共有モデルクラウドセキュリティのよくある間違いとその回避方法設定ミス不十分な資格情報と秘密管理過剰許可されたクラウドリソースセキュリティの衛生状態が悪い責任共有モデルを理解していないクラウドセキュリティのベストプラクティスセキュアなアーキテクチャパターンから始める秘密を適切に管理するよくアーキテクトされたフレームワークを採用するセキュリティのベストプラクティスに従い続ける演習AWS環境のセキュリティを可視化するSNSメール通知を設定するGuardDutyを有効にするEventBridgeをセットアップしてアラートをEメールにルーティングするテスト結論
アイデンティティとアクセス管理パスワードパスワードの基本暗号化、ハッシュ化、ソルティングパスワード管理追加のパスワード・セキュリティ一般的な認証プロトコルNTLMケルベロスLDAPラディウスプロトコルの違いプロトコル・セキュリティ組織に最適なプロトコルを選択する多要素認証MFAの弱点実装すべき場所結論
デバイス・ハードニングファームウェア/ソフトウェア・パッチサービスSNMP暗号化されたプロトコル経営ネットワークハードウェア・デバイスバスティオンホストルータースイッチワイヤレス機器デザインエグレス・フィルタリングIPv6：注意事項TACACS+ネットワーク攻撃ARPキャッシュポイズニングとMACスプーフィングDDoS増幅VPN攻撃ワイヤレス結論
ネットワーク・セグメンテーションフィジカル論理的物理ネットワークと論理ネットワークの例ソフトウェア定義ネットワーキングアプリケーション・セグメント役割とレスポンスの細分化結論
認証スキャンと非認証スキャンの比較脆弱性評価ツールオープンソースツール脆弱性管理プログラミングプログラミング初期化いつも通りのビジネス修復の優先順位付けリスクの受容結論
言語選択組み立てC と C++GoRustPython/Ruby/PerlPHPセキュア・コーディング・ガイドラインテスト自動静的テスト自動ダイナミック・テストピアレビューソフトウェア開発のライフサイクル結論
オープンソース・インテリジェンス情報の種類とアクセス最新のOSINTツールパープル・チーミングパープル・チームの例結論
情報セキュリティにおける役割IDSとIPSの種類を探るネットワークベースのIDSホストベースのIDSIPSNGFWクラウドにおけるIDSとIPSAWSAzureGCPIDSやIPSと連携する偽陽性を管理する自分のサインを書くIDS/IPSのポジショニング暗号化されたプロトコル結論
セキュリティ情報とイベント管理SIEMを使う理由適用範囲SIEMを設計するログ解析とエンリッチメントシスモングループ・ポリシーアラート例と注目すべきログソース認証システムアプリケーションログクラウドサービスデータベースDNSエンドポイント・プロテクション・ソリューションIDS/IPSについてオペレーティングシステムプロキシとファイアウォールのログユーザアカウント、グループ、権限テストと設定の継続検出フレームワーク、コンプライアンス義務、ユースケースとの整合性MITRE ATT&CKシグマコンプライアンスユースケース分析結論
メールサーバDNSサーバ無名による安全保障有用なリソース書籍ブログポッドキャストWebサイト
ライブ・フィッシング教育スライドあなたはハッキングされている何が起きたのか、なぜ起きたのか？社会工学101(0101)だから、（今回は）搾取されてもいいんだ非難せず、辱めず、ただ...次回のためのいくつかの戦略次があるからだ何かがおかしいと感じたらおかしいと思ったら何かがおかしいと感じたらおかしいと感じる、見える、聞こえる-ITヘルプデスクに呼び出すすでにリンクをクリックしたり、添付ファイルを開いたりした場合は？リンクや添付ファイルをクリックしなかった場合は？ITチームはあなたのためにここにいる！フィッシング・プログラム規則

Content preview from ディフェンシブ・セキュリティ・ハンドブック第2版

第17章. セグメンテーション

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

セグメンテーションとは、ネットワークをより小さなゾーンに区分するプロセスである。これには物理的、論理的な様々な形態がある。セグメンテーションには、特にセキュリティに関して多くの利点がある。しかし、残念なことに、セグメンテーションがほとんどないフラットなネットワークが、多くの組織でまだ一般的である。この章では、環境のセキュリティを高めるのに役立つ、様々なセグメンテーションの実践と設計について説明する。

ネットワーク・セグメンテーション

ネットワークのセグメンテーションには、主に物理的アプローチと論理的アプローチの2つがある。物理的セグメンテーションでは、ハードウェアを使ってネットワークをセグメントに分割する。すでに環境にある機器を利用するか、新しい機器を購入するための追加資金が必要になる（またはその両方）。論理的セグメンテーションでは、同じハードウェア上でネットワークの異なる部分を分離する。これには、特定のネットワーク、ルーティング、設計に関する十分な知識が必要である。この2つのアプローチはしばしば組み合わされ、どちらも多くの設計要素を考慮しなければならない。

フィジカル

ネットワークのセグメンテーションは、可能であれば、ファイアウォール、スイッチ、ルーターなどの物理デバイスから始めるべきである。事実上、これはネットワークをより管理しやすいゾーンに分割し、（適切に設計されていれば）ネットワーク侵入、内部脅威、悪意のあるソフトウェアや活動の伝播に対する保護レイヤーを追加することができる。ファイアウォールをすべてのネットワークの出入り点に設置することで、流れるトラフィックを制御し、可視化することができる。しかし、ただファイアウォールを設置し、デフォルトの設定でネットワークのセキュリティが強化されると考えることはできない。

この基本的な第一歩によって、以下のような利点が得られる：

パケットキャプチャソフトウェアやネットワークフロー解析ツールを使って、トラフィックを簡単に監視できる。
ネットワーク関連のトラブルシューティング能力を向上させた。
Network+上のブロードキャスト・トラフィックが少ない。

ネットワークの入口/出口点に物理デバイスを追加するだけでなく、環境内に追加デバイスを戦略的に配置することで、セグメンテーションの成功率を大幅に高めることができる。セグメンテーションを実装したい他のエリアとしては、メインの本番ネットワークと以下のようなエリアがある：

開発またはテストネットワーク: このネットワークには、テストされていない、あるいは非標準のデバイスやコードが接続される可能性がある。新しいデバイスを本番ネットワークからセグメンテーションすることは、ポリシーに明記された要件であるだけでなく、技術的なコントロールによって管理されるべきである。このような大量の未知の変数間の物理的なデバイスは、大いに必要とされる障壁を作り出す。
機密データ（特にPII）を含むネットワーク: セグメンテーションが規制基準の大半で義務付けられているのには、それなりの理由がある。
非武装地帯（DMZ）: DMZはサブネットワークで、、本番用ネットワークとインターネットまたは他の信頼されない大規模ネットワークの間に位置する。このゾーンにあるサーバやデバイスは、外部ネットワークからアクセスできるため、侵害のリスクが高くなる可能性が高い。このゾーンにあるデバイスの例としては、パブリック・ウェブ・サーバが挙げられる。 ...