セキュリティを読む

セキュリティを精読を通じて学んでいきます。

情報処理安全確保支援士試験対策メモ:公開サーバの安全性を確認する基本ステップ:ポートスキャンと脆弱性スキャン

情報処理安全確保支援士

公開サーバの安全性を確認する基本ステップ:ポートスキャンと脆弱性スキャン

サイバー攻撃を防ぐうえで、公開サーバの開いているポートや脆弱性の有無を把握することは重要です。本記事では、次の2つのセキュリティ確認手順について紹介します。

  1. ポートスキャンでSSHが閉じていてWebのみが開いていることの確認方法
  2. 脆弱性スキャナーで公開Webサーバの脆弱性を確認する方法

🔍 1. ポートスキャンによる確認方法

まずは、対象の公開サーバ(例:example.com)に対し、開いているポートを調査します。

🔧 使用ツール:nmap

以下は、代表的なポートスキャンツール「nmap」を使った例です。

nmap example.com

結果例(抜粋):

PORT     STATE  SERVICE
22/tcp   closed ssh
80/tcp   open   http
443/tcp  open   https

このように22番ポート(SSH)が閉じていて、80・443番(Web)が開いていることが確認できます。

✅ ポイント

  • 22番ポート(SSHclosed:管理用ポートが外部に公開されておらず安全性が高い
  • 80・443番ポートのみ開放:Webサービスに限定して公開されている

🛡️ 2. 脆弱性スキャナーでのチェック方法

次に、公開されているWebポートに対して、脆弱性が存在しないかスキャンします。

🔧 使用ツール:OpenVAS(Greenbone)または Nikto

代表的なツールと実行例を紹介します:

📌 方法①:niktoを使う(軽量なWeb脆弱性スキャナー)

nikto -h https://example.com

→ 古いApacheバージョンやディレクトリリスティングの有無などを自動検出。

📌 方法②:OpenVAS(本格的な脆弱性スキャナー)を使う

Linux上でGreenbone Vulnerability Management(旧OpenVAS)を使い、対象ホストを登録後、スキャン実行します。

  • ブラウザUIで操作可能
  • 数千の脆弱性定義に基づきスキャン
  • 結果はPDFやHTML形式で出力可能

✅ スキャン結果の確認ポイント

  • CVE-IDが記載されている脆弱性が検出されたか
  • 深刻度(High/Medium/Low)の分類
  • 影響範囲と対策方法の提案内容

📝 まとめ

  • nmapを使えば、SSHが閉じてWebのみ開放されているか簡単に確認できる
  • 脆弱性スキャンは定期的に行い、公開サーバの安全性を維持することが重要
  • Niktoは手軽、OpenVASは本格的なスキャンが可能

これらの調査は、情報処理安全確保支援士試験(午後IIや実務)にも役立つ知識です。セキュリティは「見える化」から始まります。まずは自分でポートスキャン&スキャンレポートを出してみましょう!

証拠保全ガイドライン 第1回「クラウドフォレンジックとは何か?」

証拠保全ガイドライン

クラウドフォレンジックとは何か?

デジタルフォレンジックは、サイバーインシデントや不正行為の証拠を収集・分析する技術領域です。その中でも、クラウドフォレンジックは、クラウド環境(IaaS、PaaS、SaaS)における証拠の収集・保全・解析を指します。

用語解説:
フォレンジック(Forensics): 事件・事故などの証拠を科学的に調査・分析する手法。デジタルフォレンジックはその情報技術版。

なぜクラウド環境でのフォレンジックが重要か

現代の企業活動では、多くのシステムがクラウド上で稼働しています。インシデント発生時には、証拠がクラウド上に分散されているため、従来のオンプレミス環境と同じ方法では対応できません。

  • 物理アクセスが不可能な環境での証拠確保
  • クラウドサービスプロバイダとの権限調整
  • ログの保持期間や形式の違い

「証拠保全ガイドライン 第10版」の狙い

一般社団法人JPCERT/CCが策定した「証拠保全ガイドライン 第10版」は、クラウドフォレンジックへの対応を初めて明確に扱い、実務者向けに必要な視点と考慮事項を体系的に整理しています。

次回は、クラウドフォレンジックにおける特有の課題について解説します。

情報処理安全確保支援士試験対策メモ:TLSハンドシェイクとは?~セキュアな通信の鍵を握る仕組みを解説~

情報処理安全確保支援士

TLSハンドシェイクとは?~セキュアな通信の鍵を握る仕組みを解説~

TLS(Transport Layer Security)は、インターネット上でデータを暗号化して安全に通信するためのプロトコルです。TLSハンドシェイクは、その通信を開始する際に行われる鍵交換などの処理で、通信の信頼性と安全性を確保する要となる重要なプロセスです。

🔐 TLSハンドシェイクの目的

TLSハンドシェイクは、クライアント(例:ブラウザ)とサーバが安全に通信するために、次のような処理を行います:

  • 暗号化方式(暗号スイート)の合意
  • サーバの証明書(公開鍵)の確認
  • 共通鍵の生成(鍵交換)
  • セッションの整合性チェック

📶 TLS1.2までのハンドシェイクの流れ

  1. ClientHello:クライアントがTLSバージョン、対応暗号スイート、乱数などを送信
  2. ServerHello:サーバがTLSバージョン、暗号スイートの選択、サーバ証明書などを返す
  3. ServerHelloDone:サーバ側の初期送信完了
  4. ClientKeyExchange:クライアントがプリマスタシークレット(共通鍵の材料)を送信
  5. ChangeCipherSpec:以降の通信が暗号化されることを通知
  6. Finished:これまでのハンドシェイクが改ざんされていないか確認するデータを送信

※共通鍵は、公開鍵暗号方式(例:RSA、DH)により共有されます。

⚙️ TLS1.3での主な変更点

TLS1.3では、セキュリティ強化と高速化のため、以下のような改善が行われました:

  • 暗号スイートの簡素化(RSA暗号や古い鍵交換方式の廃止)
  • ハンドシェイク回数の削減(1-RTT化)
  • 再接続時の0-RTT(即時通信)対応

これにより、TLS1.3では「ClientHello → ServerHello」の段階で、ほぼ全ての鍵交換と証明が完了します。

🛡️ 試験対策ポイント(支援士試験)

  • TLS1.2と1.3の違いを整理しておく
  • 公開鍵暗号による鍵交換と共通鍵暗号の使い分けを理解する
  • 証明書の役割(なりすまし防止改ざん検知)を説明できるようにする
  • TLSを利用する代表的プロトコルHTTPS、IMAPSなど)を覚える

📝 まとめ

TLSハンドシェイクは、安全な通信の出発点です。攻撃者による盗聴や改ざんを防ぐために、どのように共通鍵を安全に共有するかがカギとなります。試験では技術的理解だけでなく、なぜこの仕組みが必要かという視点も重要になります。

TLS1.3の仕様変更も頻出ですので、従来との違いを押さえておきましょう。

情報処理安全確保支援士試験対策メモ:TLSハンドシェイクとは?~セキュアな通信の鍵を握る仕組みを解説~

情報処理安全確保支援士

TLSハンドシェイクとは?~セキュアな通信の鍵を握る仕組みを解説~

TLS(Transport Layer Security)は、インターネット上でデータを暗号化して安全に通信するためのプロトコルです。TLSハンドシェイクは、その通信を開始する際に行われる鍵交換などの処理で、通信の信頼性と安全性を確保する要となる重要なプロセスです。

🔐 TLSハンドシェイクの目的

TLSハンドシェイクは、クライアント(例:ブラウザ)とサーバが安全に通信するために、次のような処理を行います:

  • 暗号化方式(暗号スイート)の合意
  • サーバの証明書(公開鍵)の確認
  • 共通鍵の生成(鍵交換)
  • セッションの整合性チェック

📶 TLS1.2までのハンドシェイクの流れ

  1. ClientHello:クライアントがTLSバージョン、対応暗号スイート、乱数などを送信
  2. ServerHello:サーバがTLSバージョン、暗号スイートの選択、サーバ証明書などを返す
  3. ServerHelloDone:サーバ側の初期送信完了
  4. ClientKeyExchange:クライアントがプリマスタシークレット(共通鍵の材料)を送信
  5. ChangeCipherSpec:以降の通信が暗号化されることを通知
  6. Finished:これまでのハンドシェイクが改ざんされていないか確認するデータを送信

※共通鍵は、公開鍵暗号方式(例:RSA、DH)により共有されます。

⚙️ TLS1.3での主な変更点

TLS1.3では、セキュリティ強化と高速化のため、以下のような改善が行われました:

  • 暗号スイートの簡素化(RSA暗号や古い鍵交換方式の廃止)
  • ハンドシェイク回数の削減(1-RTT化)
  • 再接続時の0-RTT(即時通信)対応

これにより、TLS1.3では「ClientHello → ServerHello」の段階で、ほぼ全ての鍵交換と証明が完了します。

🛡️ 試験対策ポイント(支援士試験)

  • TLS1.2と1.3の違いを整理しておく
  • 公開鍵暗号による鍵交換と共通鍵暗号の使い分けを理解する
  • 証明書の役割(なりすまし防止改ざん検知)を説明できるようにする
  • TLSを利用する代表的プロトコルHTTPS、IMAPSなど)を覚える

📝 まとめ

TLSハンドシェイクは、安全な通信の出発点です。攻撃者による盗聴や改ざんを防ぐために、どのように共通鍵を安全に共有するかがカギとなります。試験では技術的理解だけでなく、なぜこの仕組みが必要かという視点も重要になります。

TLS1.3の仕様変更も頻出ですので、従来との違いを押さえておきましょう。

情報処理安全確保支援士試験対策メモ:EPSSとは?情報処理安全確保支援士試験でも問われる脆弱性の“悪用予測スコア”

情報処理安全確保支援士

EPSSとは?情報処理安全確保支援士試験でも問われる脆弱性の“悪用予測スコア”

情報処理安全確保支援士試験の午後問題では、脆弱性の優先順位づけや評価方法が頻出です。近年注目されているのが「EPSS(Exploit Prediction Scoring System)」です。

🔍 EPSSとは

EPSSとは、脆弱性が今後30日以内に悪用される確率を予測するスコアです。値は0.0~1.0で表され、値が高いほど悪用されやすいことを示します。

従来のCVSS(共通脆弱性評価システム)と異なり、実際の攻撃可能性に着目しており、脆弱性の対応優先順位を決める際に非常に有効です。

📊 EPSSとCVSSの違い

項目 EPSS CVSS
目的 悪用確率の予測 脆弱性の深刻度の評価
スコア範囲 0.0~1.0 0.0~10.0
指標 機械学習ベースの予測 技術的影響と環境に基づく
更新頻度 日次 不定期(更新されにくい)

📌 情報処理安全確保支援士試験での活用例

2024年秋期や2025年春期の午後Ⅱ問題では、「脆弱性の優先順位づけ」を問う設問でEPSS値に言及されました。

例:「CVSSスコアが高くても、EPSSが低ければ即時対応の必要は低いと判断できる」など、EPSSは実務に即した判断材料として出題される傾向があります。

🛠 EPSSの調べ方

EPSSの公式サイトで、CVE-IDを入力すると最新スコアを確認できます。

💡 試験対策のポイント

  • CVSSとEPSSの違いを明確に説明できるようにする
  • EPSSは「攻撃されやすさの予測」であり、CVSSの代替ではなく補完的であると理解する
  • 「悪用された事例の有無」や「攻撃コードの存在」もスコアに影響する

📚 まとめ

EPSSは、脆弱性対応の優先順位を決めるうえで有効な指標であり、試験でも実務でも活用が進んでいます。CVSSだけに頼らず、複数の視点から総合的に判断する力が求められています。

情報処理安全確保支援士試験でも、実践的な脆弱性管理能力が問われている今、EPSSの理解は合否を分ける鍵になるかもしれません。

NIST CSF 2.0 第6回:横断的リスクマネジメント戦略:CSF 2.0の機能を活かす

NIST CSF 2.0

横断的リスクマネジメント戦略:CSF 2.0の機能を活かす

これまでの記事では、CSF 2.0の基本構造、導入ステップ、Implementation Tierについて解説してきました。本記事では、CSFの6つの機能(Function)を横断的に活用し、リスクマネジメント戦略に組み込む方法を紹介します。

1. CSFの6機能(Function)とは

CSF 2.0では、セキュリティ活動を次の6つの機能に分類しています:

  • Govern(統治):方針・責任・リスク意思決定の枠組みを策定
  • Identify(特定):リスクに関連する資産や脅威を特定
  • Protect(防御)セキュリティインシデントを防止する制御を実装
  • Detect(検知):異常な活動やインシデントを検知
  • Respond(対応):発生したインシデントに適切に対応
  • Recover(復旧):業務を回復し、学習・改善へつなげる
📌 補足:
これらの機能は、単独で使うのではなく連携させることで、効果的なリスクマネジメントが可能になります。

2. 横断的活用の例:サプライチェーンリスクの管理

たとえば、サプライチェーンリスクに対してCSF機能を活用する場合:

機能 具体的なアクション
Govern サプライチェーン管理方針の策定、責任分担の定義
Identify 外部委託先や依存関係の可視化
Protect 契約書にセキュリティ条項を含める、アクセス制御を強化
Detect ベンダー経由の不審な通信の監視
Respond サプライチェーン起因のインシデントに対する初動対応計画の整備
Recover 主要ベンダーの切替えプラン、継続的な改善

3. 機能の「分断」ではなく「連携」を意識する

多くの組織では、Protect(防御)やDetect(検知)に注力しがちですが、GovernやIdentifyが弱いと、施策の優先順位や全体戦略が曖昧になります。CSFはリスクマネジメント全体を設計するための「地図」として捉え、各機能をつなげる視点が重要です。

4. 機能横断で求められる組織的アプローチ

CSFを横断的に活用するためには、以下のような取り組みが必要です。

  • IT部門だけでなく経営層を巻き込んだ統治(Govern)の整備
  • リスクの全体像を把握するIdentifyの定期的な見直し
  • ProtectからRecoverまでの全機能にまたがるインシデント対応訓練

5. まとめ

CSF 2.0は、単なるセキュリティ対策のカタログではなく、リスクに対して「どう備え、どう対応し、どう回復するか」を一貫して考えるための枠組みです。6つの機能を横断的に活用することで、自組織のリスクマネジメント能力を総合的に強化できます。

次回は、CSF 2.0と他のセキュリティフレームワーク(例:NIST RMF、ISO/IEC 27001)との整合性や使い分けについて解説します。

SC-300学習メモ:Microsoft EntraのシームレスSSO(シングルサインオン)設定手順

SC-300

SC-300学習メモ:Microsoft EntraのシームレスSSO(シングルサインオン)設定手順

Microsoft Entra ID(旧 Azure AD)の シームレス シングル サインオン(Seamless SSO) は、ユーザーが社内ネットワークにログインしていれば、再度のパスワード入力なしで Microsoft 365 や Entra ID にサインインできる機能です。この記事では、その概要とセットアップ手順をまとめます。

シームレス SSO の特徴

  • ユーザーの利便性向上:再ログイン不要でアプリにアクセス
  • 追加のインフラ不要:既存の Entra Connect 環境で構成可能
  • セキュリティ向上:資格情報再利用を防ぎつつ利便性も確保

前提条件

設定手順(概要)

  1. Entra Connect を構成
    • ウィザードを起動し、「シームレス SSO を有効にする」にチェックを入れる
  2. Kerberos 復元キーの構成(PowerShell
    • 自動的に「AZUREADSSOACC」というコンピューターアカウントがADに作成される
  3. ブラウザーの設定
    • Internet Explorer や Edge、Chrome において、以下のURLを「信頼済みサイト」に追加
    • https://autologon.microsoftazuread-sso.com
  4. 動作確認
    • ログイン時にパスワード入力なしで自動サインインされることを確認

補足:無効化方法

PowerShell を使用してシームレス SSO を無効化することも可能です。

Set-AzureADSSOEnabled -Enable $false

まとめ

シームレスSSOは、ユーザー体験を向上させながら、セキュリティも確保できる機能です。Entra Connect を導入済みの環境では、比較的簡単に設定できるため、ハイブリッドID環境には非常におすすめです。SC-300試験対策としても、動作原理・前提条件・設定手順の理解が重要です。

NIST CSF 2.0 第5回:CSF導入ステップとImplementation Tier

NIST CSF 2.0

CSF 2.0導入ステップとImplementation Tierの活用

前回は、CSF 2.0におけるProfileの設計とその重要性について解説しました。今回は、CSFをどのように自組織へ導入し、成熟度に応じて段階的に活用していくか、その道筋を示す「導入ステップ」と「Implementation Tier(実装レベル)」について紹介します。

1. CSF導入の基本ステップ

NISTはCSF導入にあたり、以下の6ステップを提示しています(CSF 2.0 Implementation Guideより)。これらは一度きりの作業ではなく、継続的なサイクルとして活用されます。

  1. Step 1:目的の明確化(ビジネス目標やリスク環境を整理)
  2. Step 2:スコープの定義(対象とするシステム・部門の範囲決定)
  3. Step 3:Current Profile(現状把握)作成
  4. Step 4:Target Profile(目標)作成とギャップ分析
  5. Step 5:アクションプランの作成と実行
  6. Step 6:継続的な評価と改善
📌 用語解説:Implementation Guide
NISTが公開している補助文書。CSFの適用にあたっての具体的な手順、ツール例、テンプレートが含まれています。

2. Implementation Tier(実装レベル)とは?

CSF 2.0では、組織のセキュリティ活動の成熟度・統合度を4段階で評価する「Implementation Tier」という指標が定義されています。これにより、自組織の実装状況を把握し、現実的な目標設定が可能になります。

Tier 説明
Tier 1: Partial 対応は限定的で、情報共有や統制は最小限。
Tier 2: Risk Informed リスクベースの意思決定が部分的に行われている。
Tier 3: Repeatable プロセスが文書化・標準化され、繰り返し実行可能。
Tier 4: Adaptive 脅威インテリジェンス等に基づき柔軟に対応可能。
📌 解説:Tierは成熟度モデルではない
Implementation Tierは“どちらが優れているか”を示す指標ではありません。Tier 2が最適な組織もあれば、Tier 3を目指すべき組織もあります。重要なのは、ビジネスとリスクに応じた適切なTierを選ぶことです。

3. TierとProfileの関係

ProfileとImplementation Tierは相互補完的に使われます。例えば、Target Profileで定義したoutcomesを実現するうえで、自組織の現在のTierが妥当かを確認し、必要であればプロセス整備や人材投資などを行います。

Tierを無理に上げるのではなく、あくまでProfileに沿った改善が重要です。

4. 組織におけるTierの決定要素

  • 法規制・業界基準
  • 組織の規模・リソース
  • 顧客・パートナーからの要件
  • 事業継続性に対する期待値

5. まとめ

CSFの導入は単なるチェックリストではなく、現状を知り、理想を描き、ギャップを埋めるための継続的な旅です。Implementation Tierを活用することで、自組織の能力を冷静に把握し、適切な改善戦略を描くことが可能になります。

次回はCSFの6つの機能(Govern、Identify、Protect、Detect、Respond、Recover)を横断的に活用した「包括的なリスクマネジメント戦略」について解説します。

SC-300学習メモ:Microsoft Entra のハイブリッド ID ソリューションに適した認証方法を選択する

SC-300

SC-300学習メモ:Entra ハイブリッドIDにおける最適な認証方法の選択

Microsoft Entra ID(旧 Azure AD)とオンプレミス Active Directory を統合して運用する際には、適切な 認証方式 を選ぶことが重要です。本記事では、3つの主要なハイブリッド認証方法と、それぞれの特徴・選定基準をまとめます。

主なハイブリッド認証方法

1. パスワードハッシュ同期(PHS

  • オンプレミスADのハッシュ済みパスワードをクラウドへ同期
  • クラウドでの直接認証が可能
  • 最もシンプルで推奨される方法

2. パススルー認証(PTA)

  • ユーザーがクラウドでサインインする際に、オンプレADにリアルタイム照会
  • オンプレ環境のパスワードポリシーを維持したい場合に有効
  • 高可用性を確保するには複数の PTA エージェントを推奨

3. フェデレーション(AD FS)

  • オンプレの Active Directory Federation Services(AD FS)を使用
  • SAML や WS-Fed などのプロトコルを利用
  • 柔軟な認証要件が必要な大規模・高度な環境向け

選定基準の比較

評価軸 PHS PTA AD FS
導入の簡単さ ◎(最も簡単) ○(中程度) △(複雑)
オンプレの依存度 低い 中程度 高い
可用性要件 クラウド依存 PTAエージェントの冗長構成が必要 インフラ構築・冗長化が必須
セキュリティ機能 Entra ID の機能が使える Entra ID の機能が使える 条件付きアクセス不可(AD FSでの実装)

Microsoftの推奨

  • 特別な要件がない限りは パスワードハッシュ同期(PHS を推奨
  • オンプレADの厳格なポリシー維持が必要なら パススルー認証(PTA)
  • すでにAD FSが展開済みで、独自の要件がある場合は継続使用も選択肢

ハイブリッドIDの認証方式選定は、セキュリティと運用性のバランスが問われる重要な判断です。SC-300対策としても確実に押さえておきたいテーマです。

NIST CSF 2.0 第4回:CSF 2.0における「Profile」とは何か?

NIST CSF 2.0

CSF 2.0における「Profile」とは何か?

CSF 2.0では、セキュリティ対策の“現状”と“目標”を明確にし、それらをつなぐための枠組みとして「Profile(プロファイル)」という概念が重要な役割を担っています。この記事では、Profileの定義・構成・設計方法・活用メリットを具体的に紹介します。

1. Profileとは?

Profileは、組織のミッション、事業目標、リスク環境に即した「サイバーセキュリティ成果の集合(outcomes)」です。つまり、どのようなセキュリティレベルを達成すべきかを体系的に定義するためのツールです。

📌 用語解説:Outcome(成果)
CSFでは、成果(outcome)は「どのような状態が望ましいか」を示す目標状態の記述を指します。例:「ユーザー認証が多要素で行われている」など。

2. Profileの2つの種類

  • Current Profile(現状プロファイル):現在のセキュリティ対策状況をフレームワークに照らして評価したもの。
  • Target Profile(目標プロファイル):事業目標やリスク環境に応じて、将来的に達成すべきセキュリティ状態を定義したもの。

3. Profileの構成と設計方法

CSF 2.0のProfileは、各Function(Govern, Identify, Protect, Detect, Respond, Recover)にまたがるカテゴリやサブカテゴリの成果(outcomes)を組み合わせて構成します。

設計の手順は以下の通りです。

  1. 業界基準・規制・契約要件などを調査
  2. 組織の目標・事業活動・リスクを整理
  3. 関連するoutcomeをCSFから抽出・マッピング
  4. Current ProfileとTarget Profileを作成
  5. 差分(ギャップ)を分析して優先順位を設定

4. Profile活用のメリット

  • セキュリティ対策の現実と理想を可視化できる
  • 経営層や非技術者と共通言語で議論可能
  • リスクに基づく優先順位付けが可能
  • 監査・レポート・サプライヤー評価にも活用
📌 用語解説:ギャップ分析
現状と目標の間にある不足(ギャップ)を明確化し、改善すべきポイントを特定する分析手法。CSFでは、ギャップをもとに優先順位を定め、段階的な対応計画に活用されます。

5. Profileを用いた改善サイクル

CSFでは、次のようなPDCAに近いサイクルでProfileを活用します。

  • Step 1:Current Profileを評価
  • Step 2:Target Profileを設定
  • Step 3:ギャップを分析し、改善計画を策定
  • Step 4:改善を実施し、進捗を再評価

このサイクルを通じて、セキュリティの成熟度向上と継続的改善が可能になります。

6. まとめ

Profileは、セキュリティ対策の「戦略的コンパス」としての役割を果たします。CSF 2.0を活用するうえで、組織固有のProfileを適切に設計・運用することが、リスクに強い体制づくりのカギとなります。

次回は「CSFを導入するためのステップ(Implementation Tiersと活用事例)」について解説します。

NIST CSF 2.0 第3回:Govern機能の詳細解説

NIST CSF 2.0

CSF 2.0に新設された「Govern」機能とは?

NISTサイバーセキュリティフレームワーク(CSF)2.0では、従来の5つの機能に加え、新たに「Govern(ガバナンス)」が追加されました。本記事では、この「Govern」機能の狙いと構成を深掘りし、なぜ今“ガバナンス”が重要視されているのかを考察します。

1. なぜ「Govern」が追加されたのか

CSF 1.1までの5つのFunction(Identify, Protect, Detect, Respond, Recover)は、主に技術的・運用的なセキュリティ対応を対象としていました。しかし、実際のインシデントはガバナンス不全によって被害が拡大するケースが多く、戦略・方針・役割分担といった組織レベルのマネジメントも含めた対応が必要とされてきました。

そのような背景から、CSF 2.0ではリスクマネジメントの全体像を包括的に扱うための新機能として「Govern」が導入されました。

📌 用語解説:ガバナンス(Governance)
組織の経営層や管理部門が果たす、戦略策定・方針決定・責任体制の構築・法令順守などの仕組み。単なる管理ではなく、セキュリティ文化を浸透させる土台。

2. Governの目的と効果

  • セキュリティ戦略の策定と経営層の関与
  • 方針や役割・責任の明確化
  • 法令・規制・契約要件への対応
  • リスク許容度と優先順位付けの整合性確保

これにより、技術対応に偏りがちなセキュリティ活動を、組織戦略と整合させることが可能になります。

3. Governの構成カテゴリ

Govern機能は、以下のようなカテゴリに分類されています(一部):

カテゴリ 概要
Organizational Context 事業環境・利害関係者・ミッションを理解し、リスクに反映
Risk Management Strategy リスク許容度や方針の策定・適用
Roles, Responsibilities, and Authorities 責任分担と実行体制の明確化
Cybersecurity Supply Chain Risk Management サプライチェーンに関するリスク対応
Oversight and Review モニタリング、評価、継続的改善
📌 用語解説:Cybersecurity Supply Chain Risk Management(C-SCRM)
委託先・外部ベンダーを含めたセキュリティリスクを識別・管理する枠組み。特に重要インフラ分野で注目されています。

4. 他の機能との連携

GovernはCSFの他のFunction(Identify〜Recover)すべての“前提”として機能します。組織全体の方針と方向性が、個々のセキュリティ施策に一貫性を持たせる軸となるため、全体設計の起点として活用すべき要素です。

5. まとめ

CSF 2.0における「Govern」機能の追加は、技術的対策にとどまらない“経営とセキュリティの接続”を促進する重要な変化です。セキュリティ活動が「現場任せ」や「IT任せ」になっている組織こそ、Governの再点検が必要とされるでしょう。

次回は、CSF 2.0の「Profile(プロファイル)」の考え方と活用法について解説します。

NIST CSF 2.0 第2回:CSF 2.0の構造解説~全体像と主要要素を押さえる~

NIST CSF 2.0

CSF 2.0の構造解説~全体像と主要要素を押さえる~

前回の記事では、NISTサイバーセキュリティフレームワーク(CSF)2.0の登場背景と重要性を紹介しました。今回は、CSF 2.0がどのような構造で設計されているのかを整理し、実際に活用するための理解を深めていきます。

1. CSF 2.0の全体構造

CSFは、組織がサイバーセキュリティリスクを管理する際の共通言語を提供します。CSF 2.0では以下の構成要素で構築されています:

  • Core(コア)
  • Tiers(実装レベル)
  • Profiles(プロファイル)

2. Core:6つのFunctionsと構造

CSF Coreは、組織のセキュリティ活動を分類・体系化したもので、以下の6つの「Function(機能)」で構成されます(2.0で「Govern」が追加されました):

Function 概要
Govern ガバナンス体制の整備、リスク管理戦略の策定など
Identify 資産やリスクの特定
Protect アクセス制御や教育、データ保護などの防御策
Detect インシデントの早期検知
Respond インシデント対応手順の実行
Recover サービス復旧や教訓の反映
📌 用語解説:Functionとは?
CSFの最上位にある活動分類。組織のセキュリティライフサイクルにおける広範なプロセス群を示します。

各Functionはさらに「Category(カテゴリ)」と「Subcategory(サブカテゴリ)」に細分化されています。2.0では計106のSubcategoryが定義されています。

3. Tiers(実装レベル)

Tiersは、組織がどの程度セキュリティリスクを把握・管理できているかを表す指標で、以下の4段階があります:

  • Tier 1:Partial(部分的)
  • Tier 2:Risk Informed(リスク認識済)
  • Tier 3:Repeatable(反復可能)
  • Tier 4:Adaptive(適応的)
📌 用語解説:Tierとは?
セキュリティ態勢の成熟度を4段階で表す指標。CSFの成果を測るものではなく、あくまで“現在地”の認識として活用します。

4. Profiles(プロファイル)

プロファイルは、CSFの中から自社に必要な要素を選定・構成したもので、「現状のプロファイル」と「目標のプロファイル」を定義することで、ギャップ分析や改善計画に活用します。

CSF 2.0では、プロファイル作成のためのガイダンスやテンプレートも強化され、より現場で実践しやすくなっています。

5. まとめ

CSF 2.0は、単なるチェックリストではなく、セキュリティ戦略を“体系的かつ柔軟に”構築できる枠組みです。本記事で紹介した「Functions」「Tiers」「Profiles」の関係性を押さえておくことで、CSFをより実践的に活用する下地が整います。

次回は、CSFの中核である「Govern」機能について、NISTがなぜこれを追加したのか、その背景と内容を掘り下げていきます。

SC-300学習メモ:Entra Connect Syncでカスタム属性をクラウド同期する方法

SC-300

SC-300学習メモ:Microsoft Entra Connect SyncのDirectory Extensions

この記事では、Microsoft Entra Connect Sync における Directory Extensions(ディレクトリ拡張) の概要と活用方法をまとめています。オンプレミスの Active Directory(AD)にあるカスタム属性をクラウドに同期させることで、Microsoft Entra ID(旧称:Azure AD)でも利用可能にする機能です。

Directory Extensionsとは?

通常、Microsoft Entra Connect は標準属性(例:名前、ユーザー プリンシパル名など)のみを同期しますが、Directory Extensions 機能を使うと、独自に定義したカスタム属性も Entra ID へ同期可能になります。

主な用途

  • HRシステムなどで使われている独自属性のクラウド連携
  • アプリケーションの属性ベース認証・承認に使用

同期可能な属性

  • ユーザーオブジェクトに関連付けられたカスタム属性
  • 同期できる属性数は 100個まで(バージョンによる)

設定方法の概要

  1. Microsoft Entra Connect ウィザードを再実行
  2. ディレクトリ拡張」 のオプションを選択
  3. 同期対象とする属性にチェックを入れて構成

同期後の確認

  • Entra ID 側のユーザー属性に「extension_{GUID}_{属性名}」という形式で反映される
  • Graph API などでもアクセス可能

Directory Extensions は、オンプレミスとクラウドの属性データを統一的に扱いたい場面で非常に有効な機能です。SC-300の試験範囲にも関連する重要なトピックです。

NIST CSF 2.0 第1回:CSFとは何か? ~2.0の登場背景と重要性~

NIST CSF 2.0

CSFとは何か?~2.0の登場背景と重要性~

2024年2月、米国国立標準技術研究所(NIST)は、サイバーセキュリティフレームワーク(CSF)のバージョン2.0を正式公開しました。本記事では、CSFの概要から、今回のアップデートの背景と重要性について解説します。

1. CSFとは?

CSF(Cybersecurity Framework)は、あらゆる規模・業種の組織がサイバーセキュリティを管理・改善するための指針として、NISTが2014年に初版を公開したフレームワークです。特に民間企業や重要インフラ事業者におけるセキュリティ態勢の構築において、世界的に活用されています。

📌 用語解説:NISTとは?
NIST(National Institute of Standards and Technology)は、米国商務省の下部組織で、暗号標準やセキュリティフレームワークなどを策定する機関です。

2. なぜ2.0が必要だったのか

CSF 1.0(2014年)、CSF 1.1(2018年)を経て、2.0では以下のような背景を踏まえて大幅な改訂が行われました:

📌 用語解説:ゼロトラスト(Zero Trust)
すべての通信を「信頼しないこと」を前提に検証・認可するセキュリティモデル。CSF 2.0ではこの考え方も一部取り込まれています。

3. 2.0の最大の特徴

CSF 2.0では、以下のような大きな変更が行われました:

  • 新関数「Govern」の追加:ガバナンス強化の重要性を反映
  • 全組織向けフレームワークへ拡張:インフラ以外も想定
  • プロファイル作成の実用ガイド強化:導入しやすくする工夫

このようにCSF 2.0は、単なる「改訂」ではなく、社会全体のサイバーセキュリティ成熟度を高めるための進化と言えます。

4. 今後の展開とシリーズの案内

次回はCSF 2.0の構成要素(コア関数、カテゴリ、プロファイルなど)を詳しく解説していきます。本シリーズでは、CSFをゼロから理解し、自社や現場でどう活用できるかまで丁寧に追っていきます。

🔖 関連リンク

SC-300学習メモ:Microsoft SentinelとEntra IDの実践的理解

SC-300

SC-300学習メモ:Microsoft SentinelとEntra IDの実践的理解

本記事は、SC-300試験の学習過程で参考になったMicrosoft Learnの記事を要約したものです。Microsoft Sentinelのデータコネクタ活用と、Microsoft Entra IDにおけるセキュリティの質問を用いた認証方法について解説します。

Microsoft Sentinel のデータ コネクタを見つける

Microsoft Sentinel では、セキュリティ データの統合を支援する多数の データ コネクタ が用意されています。コネクタを使用すると、ログ、イベント、アラートなどを簡単に収集できます。

主なポイント

  • データ コネクタは ソリューション ギャラリー または データ コネクタ ブレード からアクセス可能
  • コネクタはカテゴリ(例:Azure、Microsoft 365、サードパーティ)別に分類されている
  • 各コネクタには「インストール」「構成」「有効化」のステップが用意されている

コネクタの検索方法

  1. Azure ポータルで Microsoft Sentinel にアクセス
  2. ワークスペースを選択し、「データ コネクタ」 を開く
  3. 名前またはカテゴリで検索し、必要なコネクタを見つける

使用例

  • Azure Activity、Office 365、Defender など、Microsoft 製品のログ収集
  • Syslog や Common Event Format(CEF)を使ったサードパーティ製品の統合

Microsoft Sentinel のデータ コネクタは、セキュリティ運用の中心として SIEM 環境を構築するうえで非常に有用です。

Microsoft Entra ID の認証方法:セキュリティの質問

セキュリティの質問は、パスワードリセット の手段として利用される 多要素認証(MFA) の一つです。特に自己サービス型パスワードリセット(SSPR)において、本人確認手段として使用されます。

主な特徴

  • ユーザー自身が事前に複数の質問に答えて登録
  • パスワードリセット時に、設定済みの質問に正しく答えることで本人確認が可能
  • 通常は他の認証方法(例:メール、SMS、アプリ)と組み合わせて使用

管理者の設定ポイント

  • Azure portal から SSPR の構成にて有効化
  • 質問の数と正答数 をポリシーで設定可能(例:5問登録・3問正答が必要)
  • 企業独自の質問は使用不可。Microsoft 提供の質問セットのみ

メリット・留意点

  • パスワードレス化 の観点では補助的な方法として位置づけられる
  • 質問の答えが推測可能な場合、セキュリティリスクになる可能性あり

セキュリティの質問は利便性の高い認証手段ですが、堅牢な本人確認が求められる環境では、他の方法との併用が推奨されます。