book

ディフェンシブ・セキュリティ・ハンドブック第2版

by Lee Brotherston, Amanda Berlin, William F. Reyor

March 2025

Beginner to intermediate

362 pages

5h 5m

Japanese

O'Reilly Media, Inc.

Read now

Unlock full access

我々の目標この本は誰のためにあるのか？本のナビゲーション本書で使用されている慣例オライリー・オンライン・ラーニング問い合わせ先謝辞アマンダリービル
基礎固めチームを設立する基本的なセキュリティ体制を決定する脅威とリスクの評価スコープ、資産、脅威を特定するリスクと影響を評価する軽減するモニターガバナー優先順位をつけるマイルストーンの作成ユースケース、タブレットトップ、ドリルチームとスキルセットの拡大結論
アセット・マネジメントとは何か？ドキュメンテーションスキーマを確立するデータ保管オプションデータ分類在庫スキーマを理解する資産管理の実装ステップライフサイクルの定義情報収集変更追跡モニタリングと報告資産運用ガイドライン自動化する信頼できる単一の情報源を確立する全社的なチームを編成するエグゼクティブ・チャンピオンを発見するソフトウェアライセンスを常に把握する結論
言語文書の内容トピックスストレージと通信結論
規格手続き文書の内容結論
壊れたプロセスギャップを埋める独自のプログラミングを構築するオブジェクトを設定するベースラインを確立するプログラム規則とガイドラインの範囲と作成積極的な補強を行うインシデントレスポンス・プロセスの定義意味のあるメトリックを得る計測成功率と進歩の追跡重要なメトリック結論
プロセスインシデント発生前のプロセスインシデント・プロセスインシデント発生後のプロセスツールとテクノロジーログ分析EDR/XDR/MDR/すべての "R"ディスクとファイルの分析メモリ解析PCAP分析オールインワン・ツール結論
オブジェクトのセットリカバリーポイントの目標回復時間の目標リカバリー戦略従来の物理的バックアップウォームスタンバイ高可用性代替システムシステム機能の再割り当てクラウド・ネイティブ・ディザスターリカバリー依存関係シナリオフェイルオーバーの起動...そして戻るテストセキュリティへの配慮結論
業界コンプライアンス基準家族教育権およびプライバシー法（FERPA）グラム・リーチ・ブライリー法（GLBA）医療保険の相互運用性と説明責任に関する法律（HIPAA）ペイメントカード業界データセキュリティ基準（PCI DSS）サーベンス・オクスリー法（SOX法フレームワークインターネット・セキュリティ・センター（CIS）クラウドコントロールマトリックス（CCM）トレッドウェイ委員会支援組織委員会(COSO)情報と関連技術のコントロール目標（COBIT）ISO-27000シリーズMITRE ATT&CKNISTサイバーセキュリティフレームワーク（CSF）規制産業財務政府ヘルスケア結論

フィジカルアクセスを制限するビデオ監視認証メンテナンスセキュア・メディアデータセンターオペレーションの側面訪問者と請負業者の識別フィジカル・セキュリティ・トレーニング結論
クイックウィンズアップグレードサードパーティ製パッチオープン・シェアActive Directoryドメインサービス森林ドメインドメインコントローラー組織単位グループアカウントグループポリシーオブジェクト(GPO)結論
最新情報を保つサードパーティのソフトウェア・アップデートコアオペレーティングシステムのアップデートUnixアプリケーションサーバのハードニングサービスを無効にするファイルパーミッションをセットするホストベースのファイアウォールを使用するファイルの整合性を管理する別々のディスク・パーティションを設定するchrootを使用する強制アクセス制御をセットアップする結論
最新情報を保つマイクロソフトウィンドウズマックオスUnixデスクトップサードパーティのアップデートエンドポイントを強化するサービスを無効にするデスクトップ・ファイアウォールを使用するフルディスク暗号化を実装するエンドポイント保護ツールを使用するモバイル・デバイス管理エンドポイントの可視性中央集権化結論
データベース入門と情報セキュリティにおける重要性データベースの実装一般的なデータベース管理システム実際のケーススタディ：マリオットの不正アクセスデータベースセキュリティの脅威と脆弱性不正アクセスSQLインジェクションデータ漏洩インサイダーの脅威防御回避データベースセキュリティのベストプラクティスデータ暗号化認証認可メカニズム安全なデータベースの構成と堅牢化クラウドでのデータベース管理ハンズオン・エクササイズMySQLデータベースへの暗号化の実装（ロックダウン作戦）結論
クラウドサービスの種類とセキュリティへの影響サービスとしてのソフトウェア（SaaS）サービスとしてのプラットフォーム（PaaS）サービスとしてのインフラ（IaaS）責任共有モデルクラウドセキュリティのよくある間違いとその回避方法設定ミス不十分な資格情報と秘密管理過剰許可されたクラウドリソースセキュリティの衛生状態が悪い責任共有モデルを理解していないクラウドセキュリティのベストプラクティスセキュアなアーキテクチャパターンから始める秘密を適切に管理するよくアーキテクトされたフレームワークを採用するセキュリティのベストプラクティスに従い続ける演習AWS環境のセキュリティを可視化するSNSメール通知を設定するGuardDutyを有効にするEventBridgeをセットアップしてアラートをEメールにルーティングするテスト結論
アイデンティティとアクセス管理パスワードパスワードの基本暗号化、ハッシュ化、ソルティングパスワード管理追加のパスワード・セキュリティ一般的な認証プロトコルNTLMケルベロスLDAPラディウスプロトコルの違いプロトコル・セキュリティ組織に最適なプロトコルを選択する多要素認証MFAの弱点実装すべき場所結論
デバイス・ハードニングファームウェア/ソフトウェア・パッチサービスSNMP暗号化されたプロトコル経営ネットワークハードウェア・デバイスバスティオンホストルータースイッチワイヤレス機器デザインエグレス・フィルタリングIPv6：注意事項TACACS+ネットワーク攻撃ARPキャッシュポイズニングとMACスプーフィングDDoS増幅VPN攻撃ワイヤレス結論
ネットワーク・セグメンテーションフィジカル論理的物理ネットワークと論理ネットワークの例ソフトウェア定義ネットワーキングアプリケーション・セグメント役割とレスポンスの細分化結論
認証スキャンと非認証スキャンの比較脆弱性評価ツールオープンソースツール脆弱性管理プログラミングプログラミング初期化いつも通りのビジネス修復の優先順位付けリスクの受容結論
言語選択組み立てC と C++GoRustPython/Ruby/PerlPHPセキュア・コーディング・ガイドラインテスト自動静的テスト自動ダイナミック・テストピアレビューソフトウェア開発のライフサイクル結論
オープンソース・インテリジェンス情報の種類とアクセス最新のOSINTツールパープル・チーミングパープル・チームの例結論
情報セキュリティにおける役割IDSとIPSの種類を探るネットワークベースのIDSホストベースのIDSIPSNGFWクラウドにおけるIDSとIPSAWSAzureGCPIDSやIPSと連携する偽陽性を管理する自分のサインを書くIDS/IPSのポジショニング暗号化されたプロトコル結論
セキュリティ情報とイベント管理SIEMを使う理由適用範囲SIEMを設計するログ解析とエンリッチメントシスモングループ・ポリシーアラート例と注目すべきログソース認証システムアプリケーションログクラウドサービスデータベースDNSエンドポイント・プロテクション・ソリューションIDS/IPSについてオペレーティングシステムプロキシとファイアウォールのログユーザアカウント、グループ、権限テストと設定の継続検出フレームワーク、コンプライアンス義務、ユースケースとの整合性MITRE ATT&CKシグマコンプライアンスユースケース分析結論
メールサーバDNSサーバ無名による安全保障有用なリソース書籍ブログポッドキャストWebサイト
ライブ・フィッシング教育スライドあなたはハッキングされている何が起きたのか、なぜ起きたのか？社会工学101(0101)だから、（今回は）搾取されてもいいんだ非難せず、辱めず、ただ...次回のためのいくつかの戦略次があるからだ何かがおかしいと感じたらおかしいと思ったら何かがおかしいと感じたらおかしいと感じる、見える、聞こえる-ITヘルプデスクに呼び出すすでにリンクをクリックしたり、添付ファイルを開いたりした場合は？リンクや添付ファイルをクリックしなかった場合は？ITチームはあなたのためにここにいる！フィッシング・プログラム規則

Content preview from ディフェンシブ・セキュリティ・ハンドブック第2版

第20章 OSINTとパープル・チーム OSINTとパープル・チーミング

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

スポーツチームの練習を見たことがあるだろうか？メインチームがあって、それと対戦する「スクリメージ」チームがある。これは勝ち負けではなく、スキルを磨き、弱点を発見し、実際の試合に備えるためのものだ。さて、似たようなことをサイバーセキュリティの世界で想像してみよう。そこで登場するのが、パープル・チーミングだ。

あなたの会社のセキュリティ運用スタッフを、青い服を着たメインチーム（ブルーチーム）として思い浮かべてほしい。今、スクリメージ・チームの代わりに、サイバー防御の亀裂を発見しようとするサイバー悪者のふりをしたレッド・チームがいる。これは継続的な演習であることが多いので、通常、定義された期間に、定義された攻撃対象システムの範囲で実施される侵入テストとは少し異なる。

パープル・チーミングとは、レッドチーム（模擬攻撃者）とブルーチーム（防御者）の親善試合のようなものだ。ただ、サッカーやバスケットボールをするわけではない。フィールドは組織のセキュリティだ。守備側は攻撃側の戦略のコツを掴もうとし、攻撃側は自分たちが直面している状況を把握しようとする、絶え間ない学習プロセスだ。それは、潜在的なサイバー攻撃に対する終わりのないドレスリハーサルのようなものだ。激しいと思うだろう？

では、何が大きな問題なのか、なぜこのエクササイズに取り組むのか？パープル・チーミングには多くの利点がある。セキュリティ・チームが脅威を予測し、脆弱性を発見し、防御戦術を改善するのに役立つ。そして一番の利点は？つまり、理論的な脅威ではなく、現実的な脅威に備えることができる。練習を重ねるたびに、ブルーチームは現実的な条件付きであなたの資産を守ることができる。また、レッドチームは実際の攻撃テクニックを使っているため、サイバー犯罪者がどのように貴社のシステムを狙い、何を狙っているのかを肌で感じることができる。

この章では、使用されるツールのいくつかを紹介し、パープル・チーミングの実際の例を見ていく。まず、あなたが保護することを考えるべき様々なタイプの資産と、攻撃者がそれらの資産に関する情報をどのように収集するかを探ることから始めよう。

オープンソース・インテリジェンス

オープンソース・インテリジェンス（OSINT）とは、戦略的なプロセスであり、一般に公開されている関連情報を収集、処理、分析するものである。この情報は、特定のインテリジェンス・ニーズに対応するために使用することができる。攻撃者やセキュリティ・チームはしばしばOSINTの力を借りて、あなたのビジネスやチーム内のキーパーソンについて詳しく知ることがある。この知識は、詳細でパーソナライズされた攻撃戦略を練るために使われる。

OSINTの世界は魅力的であるが、私たちが一般に公開する情報に対して用心深くなければならない理由もここにある。

情報の種類とアクセス

OSINTは、企業の物理的資産から使用しているテクノロジー、そして人材に至るまで、あらゆるものの詳細を明らかにすることができる。自分で試してみれば、オンラインで自由に入手できるあなたの会社に関する情報の範囲のスナップショットを得ることができる。その結果は、おそらくあなたを驚かせるだろう。

OSINTが自社について何を明らかにするかを率先して発見することは、単なる学術的な訓練ではなく、実践的なものである。攻撃者を模倣し、あなたとあなたのチームが組織についてどのような詳細を探し出すことができるかを見ることは、潜在的な脅威行為者が悪用するためにどのような情報を利用することができるかを実世界で実践的に理解することになる。 ...