【ブログ】ISMSにおける脅威インテリジェンス(1/22)
情報セキュリティマネジメントシステムの世界的な基準であるISO/IEC 27001(ISO 27001)が2022年に改訂され、そのセキュリティ管理策の1つとして脅威インテリジェンスが新たに追加されました。サイバー空間をめぐる脅威が日々変化する中、組織・企業がサイバーセキュリティリスクを管理する上で脅威インテリジェンスは不可欠な要素となっています。 本記事では、ISMSに記載された「脅威インテリジ...
SOMPO CYBER SECURITY
ベル・ラパドゥラ・モデル(Bell-LaPadula Model)は、システムのセキュリティポリシーを定義する古典的なセキュリティモデルです。
ベル・ラパドゥラモデルは政府および軍のシステムに対するアクセスコントロール強化策として、BellとLaPadulaが提唱したものであり、別名マルチレベルモデルとも呼ばれます。
このモデルでは、サブジェクトとオブジェクトという要素が用いられます。
サブジェクトは、システムによって自身に定められたセキュリティレベルのオブジェクトにのみアクセスすることができます。
なお、このようなシステムによるサブジェクトのアクセス制御は、強制アクセス制御(Mandatory Access Control、MAC)とも呼ばれます。
このモデルは、以下の2つの属性を持ちます。
この属性で言及される分類には、例えば秘密(Classified)、非機密(Unclassified)、公開(Public)などが該当します。複数の機密レベルを取り扱う際の、Need-to-Knowの確保や機密性の保持が、ベル・ラパドゥラ・モデルのコンセプトです。
ベル・ラパドゥラ・モデルは、米国の数学者・計算機科学者BellがMITREに勤務していた1970年代前半に公開されました。
情報セキュリティマネジメントシステムの世界的な基準であるISO/IEC 27001(ISO 27001)が2022年に改訂され、そのセキュリティ管理策の1つとして脅威インテリジェンスが新たに追加されました。サイバー空間をめぐる脅威が日々変化する中、組織・企業がサイバーセキュリティリスクを管理する上で脅威インテリジェンスは不可欠な要素となっています。 本記事では、ISMSに記載された「脅威インテリジ...
脆弱性診断(Vulnerability Assessment)あるいはセキュリティ診断は広く普及した対策であり、多くの組織・企業がサイバーセキュリティ強化のために取り入れています。ソフトウェアやシステム、クラウドサービス等の脆弱性は、攻撃を招くアタックサーフェスの1つです。クラウドが利用されDXが推進される今日、脆弱性を特定し対応する施策の1つである脆弱性診断の重要性は日々高まっています。 本記事...
前編からお読みください→:CISA Deciderとは?(前編) MITRE ATT&CKの紹介 米国のサイバーセキュリティ当局であるCISAが2023年3月、Deciderツールを公開しました。Deciderは、インシデント担当者やセキュリティ・アナリスト向けの、MITRE ATT&CKによるマッピングを支援するツールです。 本記事では、Deciderの概要と仕組みについて紹介します。※ 本編は...
米国のサイバーセキュリティ当局であるCISAが、Deciderツールを公開しました。Deciderは、インシデント担当者やセキュリティ・アナリスト向けの、MITRE ATT&CKによるマッピングを支援するツールです。 前編となる本記事では、まずDeciderツールがターゲットとするMITRE ATT&CKフレームワークについて紹介します。 後編では、Deciderの概要と仕組みについて説明し、実際...