こんばんわ
CNDの勉強をしていきます

本記事では「事業継続性と災害復旧」についてまとめていきます。

事業継続性

事業継続性(BC)は、災害時及び災害後において組織の重要な事業機能の維持を確保するために従うべきプロセスと手順を表します。ビジネス中心の戦略で、ITインフラのことよりも事業運営の維持に重点を置いています！

目的は下記があげられます！

・インシデントが起きても事業の継続性を維持する

・継続的なサービスを提供することで、組織の評価を守る

・災害への備えを維持することにより、災害の影響を最小限に抑える

・コンプライアンス上メリットの提供

・事業リスクの軽減と財務上の損失の最小化

災害復旧

災害復旧(DR)とは、災害後にビジネスデータとアプリケーションを回復する組織の能力のことです。データ中心の戦略であり、組織のインフラとデータの迅速な復元に重点が置かれています。

目的は下記があげられます。

・災害時及び災害後の組織が直面するダウンタイムの短縮

・災害時及び災害後の損失の軽減

・ハードウェア障害による破損したデータのリカバリ

事業継続マネジメント

事業継続マネジメント(BCM)は、破壊的インシデントが組織の業務に影響を及ぼさないようにするものです。事業の復旧、危機管理、インシデント管理、緊急管理、コンティンジェンシーマネジメントに関与しています。

目的は下記です。

・破壊的インシデントや災害に対する組織の回復力を確保する

・自然災害や、技術災害を含む人為的災害の脅威に対して、組織が有効に対応できるように備え、組織の事業利益を保護する

ビジネスインパクト分析

ビジネスインパクト分析(BIA)は、災害、事故、または緊急事態の結果、重要な事業活動が中断した場合の潜在的影響を決定し、評価する体系的なプロセスです。BIAは様々な災害シナリオに対する復旧時間と復旧要件が特定されます。

BIAは分析ツールで、それ自体はリカバリソリューションの設計や実装に焦点を当てられません！

目標復旧時間

目標復旧時間(RTO)は、障害や災害が発生した後にコンピュータ、システム、ネットワーク、アプリケーションが停止できる最大許容時間です。RTOは、分単位で表します。

目標復旧ポイント

目標復旧ポイント(RTP)は、ITの大規模な停止後に組織がデータを失う最大時間枠です。障害の影響を受ける前に、必要なデータがない状態でどれぐらいの時間稼働できるかを計算する必要があります。

事業継続と災害復旧活動

予防

BCの予防活動には、自然現象または潜在的な危険によって、組織が損害を受けないようにするための措置が含まれます。

対応

このプロセスでは、事業ニーズを評価して災害による悪影響を低減・制限するため、災害後に一連の活動が実施されます。

再開

破壊的なインシデントが発生した後に、事業運営を再び始めることを指します。

復旧

重要な業務用アプリケーションに依存するサービスを再開するために行う活動が含まれています。

回復

事業運営を再開するため、災害の影響を受けた古い拠点を修復したり、全く新しい別拠点を立ち上げたりするプロセスのことです。

事業継続計画

事業継続計画(BCP)は、潜在的な脅威に対する回復力を確保し、悪条件または異常な状況下での事業継続を可能にするために策定された包括的な文書です。

災害復旧計画

災害復旧計画(DRP)は、災害からの復旧を支援するため、組織内の個別部門に対して策定されます。

まとめ

今日はここまでです。

セキュリティの目的は、事業のシステムを守ることです！ということを考えるとセキュリティ観点で最も大切な部分であるともいえます！必須ですね～

ここまで読んでいただきありがとうございました。

こんばんわ！
今日もCNDの勉強をしていきます

本記事では「ネットワークトラフィックのモニタリング」についてまとめていきます

ネットワークモニタリング

ネットワークモニタリングは、ネットワークをモニタリングすることで異常な動作、パフォーマンスの問題、帯域幅の問題などがないかを確認するレトロスペクティブなセキュリティアプローチです。

ネットワークセキュリティにおいて不可欠な部分で、組織内のネットワークセキュリティオペレーション内で要求されるタスクです！

また、以下の利点があります！

・ネットワーク内でのパフォーマンスがわかる

・ネットワークのパフォーマンスを最適化できる

・帯域幅のボトルネックを避けられる

・悪意のアクティビティの兆候を検知できる

・不要で脆弱なアプリを特定できる

・セキュリティ違反を調査できる

ネットワークスニッファ

ネットワークスニッファは、インバウンドやアウトバウンドのパケットの分析、追跡、トラフィックのモニタリング、パケットの傍受、パスの記録を行うソフトウェアのことです。

「Wireshrk」「tcpdump」「dsniff」「WinDump」「ManageEngine NetFlow Analyzer」「NetworkMiner」のようなツールがあります。

トラフィックシグネチャ

シグネチャは、送信元/宛先IPアドレス、ポート、TCPフラグ、パケット長、TTL、プロトコルなど一連のトラフィックの特性のことです。


シグネチャのタイプは2つあります。

通常トラフィックシグネチャ

ネットワークに入ることが許可されている許容トラフィックパターン

アタックシグネチャ

ネットワークに入ることが許可されない疑わしいトラフィックパターン


疑わしいトラフィックは下記のようなカテゴリで行っています。

・情報(グレーゾーンのトラフィック)

・偵察(情報取得の意図があるトラフィック)

・非認証アクセス(非認証アクセスを取得する意図があるトラフィック)

・サービス拒否(多数のリクエストがあるトラフィック)


攻撃シグネチャの分析には下記があります。

・コンテンツベース

・コンテキストベース

・アトミックシグネチャベース

・コンポジットシグネチャベース

Wireshark

Wiresharkは、ネットワークのモニタリングと分析に広く使用されているネットワークスニッファです。

ただ、ここで詳細を説明していると日が暮れてしまうので、もし興味がある方は実際に触ってもらえるといいのかなと思います。

使い方は、ネットワークのトラフィックをリアルタイムで監視する方法とトラフィックファイルから読み取る方法があります。

その中で「ftp」「http」「telnet」のようにサービスによって検索を行うこともできます。もちろんIPアドレスやSYN/ACK等の指定も可能です！

まとめ

今日はここまでです。

ネットワークトラフィックの分析は、ネットワークセキュリティでとても大切な要素ですが、ネットワークの知識があって使いこなすことができるのでネットワークの勉強が大事ってことをここで痛感しますね。。

ここまで読んでいただきありがとうございました。