Shikata Ga Nai

Private? There is no such things.

OSSTMMの主要なセクションについてかいてみた

Hello there, ('ω')ノ

 

オープンソースセキュリティテスト方法論マニュアル(OSSTMM)の定義は。

下記に公式サイトがあって。

 https://www.isecom.org/OSSTMM.3.pdf

 

f:id:ThisIsOne:20200526154326p:plain


検証された事実をもたらすセキュリティテストと分析のピアレビューマニュアルで。

OSSTMMには、以下の主要なセクションがあって。


■運用上のセキュリティメトリック

 何を保護する必要があるか、どの程度の攻撃対象領域が公開されるかを扱って。

 RAV(攻撃面の公平な事実説明)を作成することで測定できて。

 

■信頼分析

 信頼は、悪意のある人物が悪用できるスコープ内のターゲット間の相互作用として、

 測定されて。

 信頼を定量化するには、合理的で論理的な決定を行うための分析を理解して、

 実行する必要があって。

 

■人間のセキュリティテスト

 人間の安全保障(HUMSEC)は物理的安全保障(PHYSSEC)のサブセクションで。

 心理的操作(PSYOPS)を組み込んでいて。

 この側面をテストするには、保護された資産(ゲートキーパーなど)に、

 物理的にアクセスできる個人との通信が必要で。

 

■物理的セキュリティテスト

 物理的セキュリティ(PHYSSEC)は、物理ドメイン内の重要なセキュリティで。

 アセット内に配置されたバリアと、

 人間(ゲートキーパー)との非通信的相互作用が必要で。

 

■ワイヤレスセキュリティテスト

 スペクトラムセキュリティ(SPECSEC)は、

  エレクトロニクスセキュリティ(ELSEC)

  シグナルセキュリティ(SIGSEC)

  エマネーションセキュリティ(EMSEC)

 を含むセキュリティ分類で。

 テストするには、アナリストがターゲットの近くにいる必要で。

 

■通信セキュリティテスト

 電気通信セキュリティはELSECのサブセットで。

 ワイヤを介した組織の電気通信を記述していて。

 このテストでは、アナリストとターゲット間の相互作用について説明していて。

 

■データネットワークのセキュリティテスト

 データネットワークセキュリティ(通信セキュリティ[COMSEC])のテストでは。

 プロパティへのアクセスの制御に使用される運用データへのアクセス権を持つ、

 個人との対話が必要で。

 

■コンプライアンス規制

 必要なコンプライアンスの種類は、地域、および現在統治している政府、

 業界、ビジネスの種類、サポートする法律によって異なって。

 コンプライアンスは法律や業界で定義された一連の一般的なポリシーで。

 

■STARによる報告

 セキュリティテスト監査レポート(STAR)の目的は。

 特定の範囲内でテストされたターゲットの攻撃面を示す、

 エグゼクティブサマリーとして機能することで。

 

正直、これだけではなんのことだかさっぱりわからないのが当たり前かと。

 

Best regards, (^^ゞ