※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
組織は、ネットワーク、システム、またはアプリケーションへの侵入がいつ、いつ、どのように発生するかを知る必要があるだけではありません。また、悪用された脆弱性と、将来の同様の侵入を防ぐために実装する必要があるセーフガードまたは適切なリスク処理オプション (リスクの変更、リスクの保持、リスクの回避、リスクの共有) を把握する必要があります。組織は、サイバーベースの侵入も認識して判断する必要があります。これには、通常、悪意のある意図や疑わしい意図を示す攻撃シグネチャや特定のパターンのホストおよびネットワーク トラフィックや監査証跡の分析が必要です。 1990 年代半ばに、組織はこれらのニーズを満たすために侵入検知および防止システム (IDPS) を使用し始めました。 IDPS の一般的な使用は拡大し続けており、高度な侵入検知機能に対する組織の高まる要求を満たすために、より幅広い IDPS 製品が利用可能になっています。
組織が IDPS から最大限の利益を引き出すためには、IDPS の選択、展開、および運用のプロセスを、適切に訓練された経験豊富な担当者が慎重に計画し、実施する必要があります。このプロセスが達成された場合、IDPS 製品は組織が侵入情報を取得するのを支援し、情報通信技術 (ICT) インフラストラクチャ全体の中で重要なセキュリティ デバイスとして機能することができます。
この国際標準は、効果的な IDPS の選択、導入、および運用のガイドラインと、IDPS に関する基本的な知識を提供します。また、侵入検知機能のアウトソーシングを検討している組織にも適用できます。アウトソーシング サービス レベル アグリーメントに関する情報は、ISO/IEC 20000 シリーズに基づく IT サービス管理 (ITSM) プロセスに記載されています。
この国際規格は、次の目的に役立つことを意図しています。
- a) ISO/IEC 27001 の次の要件を満たす組織:
- 組織は、セキュリティ インシデントの迅速な検出と対応を可能にする手順とその他の管理策を実装する必要があります。
- 組織は、セキュリティ違反およびインシデントの試みおよび成功を適切に特定するために、監視およびレビュー手順およびその他の管理策を実行するものとします。
b) ISO/IEC 27002 の以下のセキュリティ目標を満たす管理策を実施する組織:
- 不正な情報処理活動を検出するため。
- システムを監視し、情報セキュリティ イベントを記録する必要があります。オペレータ ログと障害ログを使用して、情報システムの問題を特定する必要があります。
- 組織は、監視およびロギング活動に適用されるすべての関連する法的要件を遵守する必要があります。
- システム監視は、採用された制御の有効性をチェックし、アクセス ポリシー モデルへの準拠を検証するために使用する必要があります。
組織は、IDPS の展開が、上記の要件を満たす、または満たすための唯一および/または網羅的なソリューションではないことを認識する必要があります。さらに、この国際規格は、情報セキュリティ管理システム (ISMS) 認証、IDPS サービスまたは製品認証など、いかなる種類の適合性評価の基準としても意図されていません。
Introduction
Organizations should not only know when, if, and how an intrusion of their network, system, or application occurs. They also should know what vulnerability was exploited and what safeguards or appropriate risk treatment options (i.e. risk modification, risk retention, risk avoidance, risk sharing) should be implemented to prevent similar intrusions in the future. Organizations should also recognize and deter cyber-based intrusions. This requires an analysis of host and network traffic and/or audit trails for attack signatures or specific patterns that usually indicate malicious or suspicious intent. In the mid-1990s, organizations began to use intrusion detection and prevention systems (IDPS) to fulfil these needs. The general use of IDPS continues to expand with a wider range of IDPS products being made available to satisfy an increasing level of organizational demands for advanced intrusion detection capability.
In order for an organization to derive the maximum benefits from IDPS, the process of IDPS selection, deployment, and operations should be carefully planned and implemented by properly trained and experienced personnel. In the case where this process is achieved, then IDPS products can assist an organization in obtaining intrusion information and can serve as an important security device within the overall information and communications technology (ICT) infrastructure.
This International Standard provides guidelines for effective IDPS selection, deployment, and operation, as well as fundamental knowledge about IDPS. It is also applicable to those organizations that are considering outsourcing their intrusion detection capabilities. Information about outsourcing service level agreements can be found in the IT service management (ITSM) processes based on ISO/IEC 20000 Series.
This International Standard is intended to be helpful to:
- a) An organization in satisfying the following requirements of ISO/IEC 27001:
- The organization shall implement procedures and other controls capable of enabling prompt detection of and response to security incidents;
- The organization shall execute monitoring and review procedures and other controls to properly identify attempted and successful security breaches and incidents.
b) An organization in implementing controls that meet the following security objectives of ISO/IEC 27002:
- To detect unauthorized information processing activities;
- Systems should be monitored and information security events should be recorded. Operator logs and fault logging should be used to ensure information system problems are identified;
- An organization should comply with all relevant legal requirements applicable to its monitoring and logging activities;
- System monitoring should be used to check the effectiveness of controls adopted and to verify conformity to an access policy model.
An organization should recognize that deploying IDPS is not a sole and/or exhaustive solution to satisfy or meet the above-cited requirements. Furthermore, this International Standard is not intended as criteria for any kind of conformity assessments, e.g., information security management system (ISMS) certification, IDPS services or products certification.