脆弱性診断とは | 必要性・種類・やり方・ツール
脆弱性診断(Vulnerability Assessment)あるいはセキュリティ診断は広く普及した対策であり、多くの組織・企業がサイバーセキュリティ強化のために取り入れています。ソフトウェアやシステム、クラウドサービス等の脆弱性は、攻撃を招くアタックサーフェスの1つです。クラウドが利用されDXが推進される今日、脆弱性を特定し対応する施策の1つである脆弱性診断の重要性は日々高まっています。 本記事...
SOMPO CYBER SECURITY
ブルーワ・ナッシュ・モデル(Brewer and Nash Model)は、1989年にBrewerおよびNashによって提唱された情報コントロールポリシーです。
その特性から、チャイニーズ・ウォール・モデルとも呼ばれています。
従来のセキュリティモデルであるベル・ラパドゥラ・モデルやビバ・モデル、クラーク・ウィルソンモデルが、主に政府や軍の情報システムを対象に考案されてきたのに対し、ブルーワ・ナッシュ・モデルは、営利活動、とくに金融機関において求められる情報コントロールを実現する目的で構築されました。
ブルーワ・ナッシュ・モデルは、利益の相反(Conflicts of Interest)が発生する際の情報コントロールを規定します。
このモデルでは、オブジェクトはそれぞれデータセットに分類されます。各データセットは、対応する企業の情報として各オブジェクトに属性を付与します。そして、それぞれのデータセットは、利益相反クラスに分類されます。
サブジェクト、すなわちシステム利用者は、多数の顧客データにアクセスすることは可能ですが、例えば「銀行」クラスに属する顧客データに対するアクセスは制限され、1銀行以上のデータにアクセスすることはできません。
サブジェクトははじめ、あらゆるデータセットにアクセスすることが可能ですが、一度特定のデータセットにアクセスした場合は、そのデータセットと利益相反関係にあるすべてのデータセットにアクセスすることができなくなります。
ブルーワ・ナッシュ・モデルは、サブジェクトのアクセス履歴に従って、アクセスコントロールを動的に変更する点に特徴があります。
なお、投資銀行や証券会社などの金融機関における利益相反行為やインサイダー取引を防止するコンセプトとして、チャイニーズ・ウォールという言葉自体は20世紀初頭から用いられています。
脆弱性診断(Vulnerability Assessment)あるいはセキュリティ診断は広く普及した対策であり、多くの組織・企業がサイバーセキュリティ強化のために取り入れています。ソフトウェアやシステム、クラウドサービス等の脆弱性は、攻撃を招くアタックサーフェスの1つです。クラウドが利用されDXが推進される今日、脆弱性を特定し対応する施策の1つである脆弱性診断の重要性は日々高まっています。 本記事...
前編からお読みください→:CISA Deciderとは?(前編) MITRE ATT&CKの紹介 米国のサイバーセキュリティ当局であるCISAが2023年3月、Deciderツールを公開しました。Deciderは、インシデント担当者やセキュリティ・アナリスト向けの、MITRE ATT&CKによるマッピングを支援するツールです。 本記事では、Deciderの概要と仕組みについて紹介します。※ 本編は...
米国のサイバーセキュリティ当局であるCISAが、Deciderツールを公開しました。Deciderは、インシデント担当者やセキュリティ・アナリスト向けの、MITRE ATT&CKによるマッピングを支援するツールです。 前編となる本記事では、まずDeciderツールがターゲットとするMITRE ATT&CKフレームワークについて紹介します。 後編では、Deciderの概要と仕組みについて説明し、実際...
・ アイランドホッピング攻撃(Island Hopping Attack)は、軍事における飛び石作戦に由来する攻撃手法です。現在普及しているアイランドホッピング攻撃の一般的な定義は、脆弱な関連会社やパートナーを侵害し、本来のターゲットに移行するサプライチェーン攻撃に似た意味で用いられています。 .scope_blog .cover { margin: 80px auto 18px!importan...