Hello there, ('ω')ノ

オープンソースセキュリティテスト方法論マニュアル（OSSTMM）の定義は。

下記に公式サイトがあって。

　https://www.isecom.org/OSSTMM.3.pdf

検証された事実をもたらすセキュリティテストと分析のピアレビューマニュアルで。

OSSTMMには、以下の主要なセクションがあって。

■運用上のセキュリティメトリック

　何を保護する必要があるか、どの程度の攻撃対象領域が公開されるかを扱って。

　RAV（攻撃面の公平な事実説明）を作成することで測定できて。

■信頼分析

　信頼は、悪意のある人物が悪用できるスコープ内のターゲット間の相互作用として、

　測定されて。

　信頼を定量化するには、合理的で論理的な決定を行うための分析を理解して、

　実行する必要があって。

■人間のセキュリティテスト

　人間の安全保障（HUMSEC）は物理的安全保障（PHYSSEC）のサブセクションで。

　心理的操作（PSYOPS）を組み込んでいて。

　この側面をテストするには、保護された資産（ゲートキーパーなど）に、

　物理的にアクセスできる個人との通信が必要で。

■物理的セキュリティテスト

　物理的セキュリティ（PHYSSEC）は、物理ドメイン内の重要なセキュリティで。

　アセット内に配置されたバリアと、

　人間（ゲートキーパー）との非通信的相互作用が必要で。

■ワイヤレスセキュリティテスト

　スペクトラムセキュリティ（SPECSEC）は、

　　エレクトロニクスセキュリティ（ELSEC）

　　シグナルセキュリティ（SIGSEC）

　　エマネーションセキュリティ（EMSEC）

　を含むセキュリティ分類で。

　テストするには、アナリストがターゲットの近くにいる必要で。

■通信セキュリティテスト

　電気通信セキュリティはELSECのサブセットで。

　ワイヤを介した組織の電気通信を記述していて。

　このテストでは、アナリストとターゲット間の相互作用について説明していて。

■データネットワークのセキュリティテスト

　データネットワークセキュリティ（通信セキュリティ[COMSEC]）のテストでは。

　プロパティへのアクセスの制御に使用される運用データへのアクセス権を持つ、

　個人との対話が必要で。

■コンプライアンス規制

　必要なコンプライアンスの種類は、地域、および現在統治している政府、

　業界、ビジネスの種類、サポートする法律によって異なって。

　コンプライアンスは法律や業界で定義された一連の一般的なポリシーで。

■STARによる報告

　セキュリティテスト監査レポート（STAR）の目的は。

　特定の範囲内でテストされたターゲットの攻撃面を示す、

　エグゼクティブサマリーとして機能することで。

正直、これだけではなんのことだかさっぱりわからないのが当たり前かと。

Best regards, (^^ゞ

Hello there, ('ω')ノ

脆弱性をスキャンすると、たくさんの脆弱性を見つけることになって。

これを毎月実施すると脆弱性のインベントリは増え続けて。

たとえば、脆弱性スキャナーは特定のシステムで100の脆弱性を見つけることがあり。

その中でも30は誤検知、25は情報、25は重大度が低くて。

15は重大度が中、5は重大度が高い脆弱性だったりと。

当然ながら重大度の高い5つの脆弱性が優先的に対処されるわけで。

残りの脆弱性は、リソースの可用性に応じて後で処理できたりと。

したがって、脆弱性にスコアを付けないと重大度はわからないわけで。

修正の優先順位を付けることはできず。

なので、可視性とリソース管理の観点から脆弱性のスコアリングが必要なわけで。

そこで、CVSSを使用した脆弱性スコアリングというものがあって。

CVSSは、脆弱性をスコアリングするための標準システムで。

CVSSは、標準化された一貫した脆弱性スコアを提供して。

リスクの優先順位付けも容易にしてくれて。

各メトリックカテゴリについては、下記を参考にされたほうがよろしいかと。

　https://www.ipa.go.jp/security/vuln/CVSS.html

脆弱性のスコアリングの計算は、下記サイトを使用することで簡単になって。

必要なパラメータはすべて用意されているので、適切なパラメータを選択して。

完了すると、最終スコアが自動的に出力されて。

　https://www.first.org/cvss/calculator/3.0

Best regards, (^^ゞ