INFOSEC Assurance Methodology
以前のエントリーでセキュリティ検査のフレームワークについて少し紹介したがそのとき忘れていたのをようやく思い出した。それがこの"INFOSEC Assurance Methodology"ってやつ。中身に全部目を通したわけではないのだが、わかっている範囲で概要をメモしておく。
これはNSAがUSの政府機関だけでなく民間企業の情報セキュリティ監査も行うための方法論として開発したもので、以下の2つから構成されている。
- IAM: INFOSEC Assessment Methodology
- IEM: INFOSEC Evaluation Methodology
IAMはインタビュー、ドキュメントレビューなどによる診断、IEMはツールによる脆弱性評価をそれぞれ主なスコープとしている。なおそれぞれの方法論を構成するモジュールはWebからダウンロードできるようになっている。セキュリティ監査の進め方についてわりと詳しく説明されており、例えばIEMのモジュールでは実際のツールの使い方など細かいところまで書かれている。大変参考になる内容といえる。
IEMでは基本となる手法として以下の10項目を挙げている。
(参考: IEM Baseline Activities)
- Port Scanning
- SNMP Scanning
- Enumeration & Banner Grabbing
- Wireless Enumeration
- Vulnerability Scanning
- Host Evaluation
- Network Device Analysis
- Password Compliance Testing
- Application Specific Scanning
- Network Sniffing
これを見ると検査の手法と対象がごっちゃになっているような印象も受けるが、まあかなり広い範囲をカバーしているとは言えるだろう。
監査を実施する個人のトレーニングと認証も各メソドロジについて行っているようだ。また監査対象の組織に対しては、IA-CMM (Infosec Assurance - Capability Maturity Model)の基準に従って、いわゆる「成熟度」のRatingをしている。
Webの説明によるとこれらはどうも直接NSAがやっているのではなく、実際には Security Horizon, Incと Engineering Solutions Inc.の2社がサービスプロバイダとして行っているようだ。この2社とNSAが協力してこのプログラムを実施しているということらしい。