サイバー犯罪捜査・調査知識体系 cybercrime investigation body … · chris coulter ....

サイバー犯罪捜査・調査知識体系「Cybercrime Investigation Body of Knowledge」について

2017年10月25日

CIBOK編集委員会

委員長西野弘

2 Copyright © 2017 CIBOK Editorial Committee

CIBOK(Cybercrime Investigation Body of Knowledge)について

CIBOKとは何か

CIBOK開発の背景事情（ニーズと課題）

CIBOKの構造と章構成

CIBOKを活用した学習（対象者と活用モデル）

CIBOKの民間企業における活用

APPENDIX


1. CIBOKとは何かこのセクションではCIBOKとは何かおよび、プロジェクトのこれまでの歩みをご紹介します。


CIBOKガイドは、今日の複雑化したサイバー犯罪を法執行機関担当者や企業のリスク管理担当者が解決、予防するために一般的に習得が必要な、知識、技能、アプローチ方法、捜査に必要となる組織構成などを体系立てて分類し、提示することを目的としたサイバー犯罪捜査に関する知識体系、書籍である。

（Wikipedia）

CIBOKとは何か？


そもそも論として…“BOK”とは？

知識体系（ちしきたいけい、英: Body of Knowledge 、BOKまたはBoK）は、関連する職能団体Professional associationによって定義される専門領域を構成する概念、用語、および活動などの完全セットを表す用語である。用語『知識体系』はまた、知識体系そのものが単に用語；専門図書リスト；ライブラリ；WebサイトまたはWebサイトの集合；専門機能の記述；あるいは情報の集合よりも多彩な知識を定義するドキュメント記述のため使われる。それは、受け容れられた特定領域内概念体系である。

（Wikipedia）有名なBOK PMBOK : プロジェクト・マネジメント SWEBOK : ソフトウェア工学


“CIBOK”の意味するところ

知識体系としてのCIBOK – 「無形知的財産」

書籍としてのCIBOK – 「知識体系を可読化」したもの

活動としてのCIBOK – 一連の活動を担っていく組織


CIBOKプロジェクトの歴史

• 2015/Jan プロジェクト・キック・オフ

• 2015/Apr-May INTERPOL*1に提案

• 2015/Jun-Dec アルファ（α）版開発日本の警察、海外の警察（NYPD*1、FBI元CIO他）にヒアリング

海外の影響力の強い組織（IMD、IACA、ICSSなど*3）への紹介、賛同意思を得る

• 2016/Apr Dr. Shook氏に編集長役を委任

• 2016/Jun 執筆者・貢献者の選任

• 2016/July-Dec 執筆・編集

• 2017/Apr CIBOK第一版の正式リリース (米国商工会議所・ワシントンDC）

• 2017/Apr CIBOKの公式WEBサイト設立 https://www.cibok.org/

• 2017/Apr NATO*4 CD SDP 2017に出展（ポルトガル・リスボン）

• 2017/May CIBOK第一版（日本語版）のお披露目（白浜シンポジウム）

• 2017/July INTERPOL Expert Group（シンガポール）で紹介

• 2017/July 設立メンバー準備委員会発足

*1 INTERPOL :国際刑事警察機構*2 NYPD : ニューヨーク市警察 *3 IMD :国際経営開発研究所 IACA :国際腐敗防止アカデミー ICSS :国際スポーツ安全会議 *4 NATO :北大西洋条約機構

https://www.cibok.org/


Launched at US Chamber of Commerce, Washington D.C. in April 19th

Dr. Shane Shook


CIBOK revealed to Japanese Market @ Shirahama Symposium


CIBOK at NATO Cyber Security Conference in Lisboa


CIBOK at INTERPOL Expert Group in Singapore


CIBOK第1版を支えるプロフェッショナル

Copyright © 2017 CIBOK Editorial Committee

執筆者・貢献者

編集長

Shane Shook

情報セキュリティ分野の権威として、政府や産業界のITリスク管理に約30年の長きにわたり携わる。

Judith H. Germano

Germano Law LLC創設者。

サイバーセキュリティのガバナンス、データプライバシーなどの分野を専門とする。

Craig W. Sorum

FBIで25年間サイバー犯罪捜査の指揮を執

り、国内外の数百件の事件に携わる。現在はサイバーセキュリティのコンサルタントとして活動。

David Cowen

SANSインストラクター、G-C Partners, LLC

パートナー。デジタルフォレンジックとインシデント対応に取り組む。

Patrick A. Westerhaus

Wells Fargoでサイバー詐欺、マネーロ

ンダリング対策のプログラム開発に従事。FBIのサイバー部門の特別捜査官を務めた経験を持つ。

Chris Coulter

サイバー犯罪捜査のデジタルフォレンジックとインシデント対応を務める。証拠収集に関する技術の特許保有者でもある。

Eric Zimmerman

Krollのサイバーセキュリティ・調査実務のシ

ニアディレクター。法執行機関の調査やフォレンジックなどサイバー領域の専門知識を幅広く持つ。

Noriaki Hayashi

トレンドマイクロ株式会社シニアリサー

チャー。セキュリティ研究、脅威への対応など、システム管理とセキュリティ分野で長年の経験を持つ。

Luke Dembosky

Depelop & Plimptonでサイバーセキュ

リティ、データプライバシーなどの問題に取り組む。DOJ、FBIなどの機関のアドバイザーも務める。

John Jolly

SyncurityのCostomer Success担当バイスプレジデント。前職はGeneral Dynamicsでサイバーセキュリティ部門のバイスプレジデント。

Philip Fodchuk

Suncorにて、組織の情報セキュリティの成

熟・強化を推進し、インシデント対応機能を指揮する。

Ian (Iftach) Amit

エンタープライズ、小売、個人向けソフトウェア、大規模なバックエンドシステムなど、情報セキュリティ分野で豊富な経験を持つエキスパート。

Copyright © 2017 Preparatory Committee of the Cybercrime Investigation Forum(CIF)


賛同者の声（抜粋）

INTERPOL（国際刑事警察機構）

Mr. Sung Jin HONG (Digital Crime Officer) “I want its KOREAN edition even I will do translation ! “ IACA （国際腐敗防止アカデミー） Mr. Martin Kreutner (Dean & Executive Secretary) “Indeed, this is what is missing within IACA’s curriculum !” ICSS (国際スポーツ安全会議)

Mr. Michael Hershman (Group CEO) “I will develop the ‘sport security edition of CIBOK’” NATO通信情報システム学校長 Mr. Paulo Nunes “Please come and join our cyber event, introduce CIBOK”

http://www.google.co.jp/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjRjpaU9pHLAhWlUqYKHXjWCOIQjRwIBw&url=http://www.iaca.int/&psig=AFQjCNGS25ivoHj8SOIsFZDGBJ3b1fUKOQ&ust=1456455617126798

http://www.google.co.jp/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjTi9bhleDVAhWChFQKHRZ7CtEQjRwIBw&url=http://www.prnewswire.com/news-releases/michael-hershman-announced-as-group-ceo-of-the-international-centre-for-sport-security-581640531.html&psig=AFQjCNG4xpfz06pJoUbwMg4USPxg3B39IQ&ust=1503124628467750

http://www.google.co.jp/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjXy7uTl-DVAhWKr1QKHapJAkMQjRwIBw&url=http://www.crwflags.com/fotw/flags/nat-civil.html&psig=AFQjCNFwi8hcck__0u-B0A5NwXG4i30P1w&ust=1503124997284101


CIBOKの将来像

現在

「幹」である「CIBOK]を各国、各組織で活用することで「枝」が育つ。どういう「枝」が育つかはそれぞれの取り組みによって決まっていく

CIBOK 第1版 CIBOK 第n版

日本

先端研究

分野n

EUROPOL

FBI

INTERPOL


2. CIBOK開発の背景事情このセクションではCIBOK (Cybercrime Investigation Body of Knowledge)が開発された背景となる事情（ニーズと課題）をご紹介します。


Capacity building

• 捜査員に対する国際レベルのサイバー犯罪への対処に必要となる専門知識とスキルの認定が望まれている。

• 捜査員に必要な能力ニーズを把握し、育成に必要な範囲を定め、トレーニングコースを提供することが望まれている。

• サイバー犯罪捜査に必要な技術開発のベースを維持し、サイバー犯罪の進化に対応可能であることが望まれている。

CIBOK開発の背景事情： INTERPOLが実現したいこと


CIBOK開発の背景事情：サイバー犯罪の捜査・調査に必要なこととは?

組織: 誰が何をすべきなのか?

犯行遺物: そこからどうやって「証拠」を探すのか？

犯罪のスコープ: 何が実際起こったのか被害者はどんな被害にあったのか？

証拠: どうやって、どこから証拠を集めるのか?

分析: 集めた証拠はどうやって分析するのか？

捜査官・調査官

有効なサイバー犯罪捜査・調査（サイバー事件への対処）には、現在の脅威の動向や技術的な知識、スキルにとどまらない、さまざまな要素が必要となります。


CIBOK開発の背景事情：「犯行目的を達成するための技術」

犯罪から目を逸らす技術

Technology as a Distraction

犯罪の攻撃対象としての技術

Technology as a Target

犯罪道具としての技術

Technology as a Tool


CIBOK開発の背景事情：捜査側・防御側に求められるメンタル・シフト

過去

WHAT 何を攻撃しようとしているのか

HOW

どのように攻撃しようとしているのか

次世代の思考

WHY なぜ攻撃の動機は何か

WHO 誰が誰を狙っているのか


CIBOK開発の背景事情：サイバー犯罪の進化・複雑化

誰がサイバー犯罪の主役なのか？

雇われたハッカー？

レンタルされたボットネット？

サイバー関連のフォーラム？

インサイダー取引のフォ－ラム？

政府の下請け事業者？

脆弱性情報の闇取引？

現金取引のネットワーク？

決済処理のネットワーク？

暗号通貨（仮想通貨）市場？


市場 / ステークホルダー / パートナー

CEO, CFO, COO, CIO…

インテリジェンスオープン・ソースプロプライエタリ

CISO

Cybercrime Investigator

顧客

財務計理

リスク管理

総務庶務

人事 OPS

物流 MIS

サポートマーケ営業

■サイバー犯罪捜査官のチャレンジ

限られたリソース

多くの責任・責任範囲

異なるステークホルダー

ステークホルダー間の目的のコンフリクト

一貫性のなさ

■司法、裁判官のチャレンジ

不完全な事件の文脈

不完全な証拠

「属性情報」へのフォーカス

要求事項法的要件・要求法執行機関の要請

■企業側のチャレンジ

競合するセキュリティ・ガイドライン

リスク・マネジメントに占めるサイバーリスクの増大

CIBOKの背景事情：サイバー犯罪に関わる人達のチャレンジ

米国を中心にサイバー犯罪調査の専門家をCISOが管轄する組織に配置し対応能力強化を図る動きが進んできている。

民間・組織に求められる統合型リスクマネジメト

モデル


CIBOK開発の背景事情：人材育成におけるチャレンジ

師弟制にみられる弱点

柔軟性 1つのことを1つの方法でしかできない

学習全体の知識を体系化できない

転移獲得したスキルを、文脈の違う状況に適用できない

学校制にみられる弱点

動機づけいったい自分が何をやっているのかを見失ってしまう

不活性習った知識を、現実世界の問題にどう適用してよいのかわからない

保持抽象的な知識は、実際に使わなければすぐに忘れてしまう


このような背景事情の元にCIBOKが開発されました。

Cybercrime Investigation Body Of Knowledge

C I B O K ( シーボック )

優れたサイバー犯罪調査官・対処官が、その実際の調査・対処活動において、実際に実践している「ベスト・プラクティス」を示した、サイバー犯罪調査・対処のための知識を体系化して整理(BOK: Body of Knowledge)しました。


3. CIBOKの構造と章構成 CIBOK (Cybercrime Investigation Body of Knowledge)は、防御側・捜査側の「組織能力向上」にフォーカスをあてて開発されました。このセクションではその具体的な構造、内容をご紹介します。


CIBOKの５つの目的

1. 各国の法律によることのない、世界レベルでの

一貫したサイバー犯罪捜査に関する心得(コモン・センス)の習得。

2. プロジェクト管理、コンピュータサイエンス、デジタルフォレンジックスなど、すでに体系化されている実務慣行について、サイバー犯罪捜査で活用する際の位置づけを理解すること。

3. サイバー犯罪捜査において実践すべき内容を、8つの知識領域で具体的に理解すること。

4. 8つの知識領域に関連して、更に詳細を理解するために有効な豊富な参考文献の紹介。

5. トレーニングカリキュラム開発及び、サイバー犯罪捜査にかかわる個人の知識とスキルを客観的に評価すること。（組織マネジメントの観点）

25


資金調達及び予算管理フレームワーク

サイバー犯罪捜査実行フレームワーク

ポリシー・マネジメント及び防犯管理フレームワーク

基礎フレームワーク

警察官・調査官としての基礎

組織運営戦略および統制フレームワーク

CIBOKの体系・構造

オープン・ソース・インテリジェンス

デジタル・フォレンジック

クライムウェアの分析

スキル、技法の習得

知識の習得

サイバーに関する脅威の現状

犯罪者が利用するインフラ

サイバー犯罪の技法

サイバー犯罪捜査組織運営のマクロフレームワーク

サイバー犯罪捜査のための能力開発

最終処理

証拠の情報源

スコープの理解に、情報源を利用

サイバー犯罪捜査における実行フレームワークを構成する8つの知識領域

証拠分析の方法

サイバー犯罪の犯行遺物

サイバー犯罪の種類

サイバー犯罪のスコープ

証拠収集の手段

サイバー犯罪情報の共有

スコープによって、

見るべき犯行遺物

が変わる

収集・分析の実

践的手段が、調

査を支える

スコープと犯行

遺物から

利用できる

証拠が決まる

証拠の分析から、

スコープがわかる戦略的な計画、および敵情探索

戦略に基づいた、事件の解決

ベスト・プラクティスの共有、および実際のソリューションへの実装

犯行遺物をどこで見つけ、証拠としてどう使うか


CIBOKの章構成

章内容紹介される内容

第1章サイバー犯罪とその捜査サイバー犯罪の定義

第2章サイバー犯罪の種類詐欺、窃盗、脅迫、テロなど、具体的なサイバー犯罪の種類

第3章サイバー犯罪の犯行遺物(Artifacts) 組織内部、外部の犯罪の兆候(ファイル、メール、ログなど)

第4章サイバー犯罪のスコープサイバー犯罪の特性(偶発的/標的型)、対象(金銭、ブランド、業務)など

第5章証拠の情報源組織内部、外部の情報源(ネットワーク、ホスト、OSINTなど)

第6章証拠収集の手段証拠収集の手順、使用するツールなど

第7章証拠分析の方法データの管理方法、分析フレームワークなど

第8章最終処理技術面、プロセス面での改善を含む、本来の問題解決

第9章サイバー犯罪情報の共有情報共有のための標準、法的な留意事項など

第10章管理フレームワーク PDCA、OODAによるサイバー犯罪捜査のプロセスを含む管理フレームワーク


CIBOK：各章の概要

章この章で理解できること

第1章：サイバー犯罪とその捜査 • 法廷や法令における「サイバー犯罪」の定義とは • サイバー犯罪捜査を管轄するのはだれか • サイバー犯罪捜査における「ベストプラクティス」とは

第2章：サイバー犯罪の種類 • 「サイバー犯罪」とは • その目的や動機とは • サイバー犯罪者のプロファイルとは • サイバー犯罪者の組織構成とは • サイバー犯罪者が保有するスキルや知識とは • サイバー犯罪の進化経緯とは

第3章：サイバー犯罪の犯行遺物(Artifacts)

• サイバー犯罪の兆候とは • サイバー犯罪の犯行遺物と兆候の違いとは • サイバー犯罪活動におけるステージ（段階）とは • 捜査官が使用できるサイバー犯罪の犯行遺物の種類とは • 捜査官がサイバー犯罪の犯行遺物と兆候を見つけられる場所はどこか




第4章：サイバー犯罪のスコープ • サイバー犯罪にはどのような「特性」があるか • サイバー犯罪が標的とする組織機能にはどのようなものがあるか • そのような機能に対するリスクは、官と民の組織でどのように異なるか

第5章：証拠の情報源 • サイバー犯罪を識別する証拠の情報源にはどのようなものがあるか • 証拠は組織内外のどこで見つけることができるか • 証拠の情報源別に、内容、信頼性、および構造はどのように異なるのか

第6章：証拠収集の手段 • サイバー犯罪の証拠はどのように収集できるか • サイバー犯罪の証拠はどのように収集すべきか • 証拠の信頼性を確保するにはどのような手段または手順に従うべきか • サイバー犯罪の種類によって、証拠や関連手段はどのように異なるか




第7章：証拠分析の方法 • どのようにサイバー犯罪の証拠分析のために、証拠を集約、分析すべきか • どのように効率的なデータ管理と分析フレームワークを定義すべきか • どのように分析結果を入力し、サイバー犯罪の範囲を関連付けすべきか • どのような解釈が「脅威（Threat）」、「活動（Activity）」、「脅威アクター（Threat

Actors）」に関する影響分析となるか

第8章：最終処理 • サイバー犯罪の捜査と最終処理の機能はどのように組織すべきか • サイバー捜査と最終処理の各段階においてどのようなコミュニケーション手段と権限を確立すべき

か • サイバー犯罪の捜査と最終処理の計画に関与すべき人物および関与のタイミングとは • 最終処理のために整備すべきツール類、人員、および手順とは

第9章：サイバー犯罪情報の共有 • サイバー犯罪情報を共有する理由は何か • サイバー犯罪情報を、内部および外部と共有する理由は何か • どのような要件が、共有する情報の種類とタイミング左右するか • どの場所で、どのようにサイバー犯罪情報を共有すべきか




第10章：管理フレームワーク • サイバー犯罪捜査および最終処理の機能の目的は何か • 本機能はどのように組織し、管理すべきか • 本機能の戦略的な目標は何か • 本機能のリソースにはどのような要件があるか（スタッフ、ツール、およびコミュニティ） • 本機能のスタッフ割り当て、管理、指導/ 統制にはどのような技術的・経験的要件があるか • 本機能（およびそのスタッフ）のパフォーマンスはどのように測定すべきか • 組織をうまく機能させるには、どのような組織コミュニケーションと戦略的な関与を、組織のどのチャ

ネルに組み込むべきか • サイバー犯罪とその捜査および最終処理の機能は組織のどの幹部機能の配下とすべきか


4. CIBOKの学習対象者と活用モデルこのセクションではCIBOK の利用・活用についてご紹介します。


CIBOKと学習対象者

民間企業法執行機関

CRO CIO CISO CSIRT隊長リスク管理部門長

マネジメント層

CSIRT パープルチーム SOC InfoSec トレーナー

現業部門


CIBOKの活用方法

個人学習教材として

教科書として活用するサイバー犯罪捜査を体系的に理解する

初心者が一から学習する経験者が再確認・再認識する言葉・用語を正しく理解する

既知の知識領域の意義を理解するなぜ「そうなのか」の正しい理解＝真の理解により着実に身に付く

ベスト・プラクティスを知る他者の経験から学ぶ

アセスメント・ツールとして活用する自らのレベルを認識するギャップや理解の齟齬を確認する

能力向上計画立案に活用する参照されている文献を活用する

組織的活用教材として

組織計画立案指南書として活用する組織のマネジメントフレームワークを理解する

サイバー犯罪を扱う組織としての理解必要なリソース、プロセスを正しく理解

人材育成計画立案の指南書として利用する自らの組織能力を正しく理解する組織のウイークポイントを知る効果的な個人の学習計画を立案を支援

トレーニング策定指南書として活用する優秀なスタッフの「安定再生産」を支えるト

レーニング・プログラムの開発に役立てるトレーニングの標準化組織能力の定期的アセスメントトレーナーの育成外部のベスト・プラクティスを知ること

で客観的視点の担保


捜査活動の最適化

警察活動での活用・応用

第1章サイバー犯罪とその捜査: サイバー犯罪の定義

第2章サイバー犯罪の種類: 具体的なサイバー犯罪の種類 (詐欺、窃盗、脅迫、テロなど)

第3章サイバー犯罪の犯行遺物(Artifacts): 組織内部、外部の犯罪の兆候(ファイル、メール、ログなど)

第4章サイバー犯罪のスコープ: サイバー犯罪の特性(偶発的/標的型)、対象(金銭、ブランド、業務)など

第5章証拠の情報源: 組織内部、外部の情報源(ネットワーク、ホスト、OSINTなど)

第6章証拠収集の手段: 証拠収集の手順、使用するツールなど

第7章証拠分析の方法: データの管理方法、分析フレームワークなど

第8章最終処理: 技術面、プロセス面での改善を含む、本来の問題解決

第9章サイバー犯罪情報の共有: 情報共有のための標準、法的な留意事項など

第10章管理フレームワーク: サイバー犯罪捜査のプロセスを含む管理フレームワーク (PDCA、OODA)

CIBOKのコンテンツ警察活動での活用 CIBOKが可能にするもの

最適な資源の割り当て

事件の解決

治安の向上

将来に向けた犯罪予防

捜査範囲の評価

優先順位付け・トリアージ

犯罪者、関与者の推定

逮捕

起訴

市民に対する情報提供、啓発

危険予測地域に対する巡回強化

必要となる資源の計画

効果的な戦略と戦術の開発

政策(ポリシー)提言


5. CIBOKの民間企業における活用このセクションではCIBOKを民間企業においてどのように利用・活用することが提唱されるのかをご紹介します。


民間企業におけるサイバー・セキュリティの課題の変遷

アウトブレーク時代

サイバー犯罪黎明期

犯罪のBIZ モデル確立期

サイバー犯罪の本格化・凶悪化

・デスクトップのセキュリティ対策

・ゲートウェイ対策・セキュリティマネ

ジメント導入

・SOC活用・CSIRTの導入

次世代型CSIRT

ゾーン・ディフェンス ← → マンツーマン・ディフェンス

・金銭目的犯行・大量亜種発生・WEBからの脅威

・サイバー犯罪ビジネスモデルの確立・標的型攻撃・ステルス化

・国家支援犯罪・本格的犯罪集団・IoT時代・影響の大きさ

時代

主な対策・施策

新たに顕在化した課題

積極的防衛戦略的防衛 OODAモデル情報収集情報分析統合型RM 適切な対処


パープル・チームとは？

定義 CISOを補佐し、組織や事業のリスクに立脚して（サイバー）犯罪・テロ・攻撃を予見・予測・分析し適切に被害（そのもの及びその影響）を低減することを可能にするための専門部隊。警察組織の犯罪捜査官と同等レベルの調査能力を持ちOODAモデル*1などのモデルを活用し情報収集、情報連携、情報分析などから適切な情勢判断を行い、組織や企業が打ち出すべきリスク低減を示唆することがミッション。また従来のCSIRTを機能として包含し事件発生時の適切な対処のミッションも持つ。（レッドチーム、ブルーチームを加えて次世代型CISIRTを構築する）。

*1 OODA：Observe, Orient, Decide, Action 米国空軍のジョン・ボイド大佐が提唱


パープル・チームが必要な理由とは？

ベースラインアプローチの限界

事業基盤の変化（IoT時代）

事業への一層深刻な影響

サイバー攻撃の巧妙化・凶悪化・進化

事業リスクとしてのセキュリティ脅威

適切な取捨選択（資源配分の最適化）

利便性＆セキュリティ（の両取り）

事業継続性重視

予防＞対処

セキュリティの課題組織が取るべき戦略的指向性

統合型リスクマネジメント

課題解決の方向性

リスクシナリオの明確化

実践的訓練

情報連携インテリジェンス

セキュリティをどこまでやれば良いのか？

従来型のITセキュリティでは対応できない

従来型のITセキュリティでは対応できない

構造的に「防衛側＝不利」な状況

戦略的指向性を考える上での背景事情

ITイノベーションの遅れ（vs 欧米、シンガポールなど）

情報漏洩事件の本当の怖さを認識できていない

ITやセキュリティが専門家任せになっている

2020年に向かって日本企業は格好のターゲットになる

セキュリティ脅威は事業を脅かすと認識する

事業が失敗するシナリオに立脚したリスク分析

シナリオに沿った訓練で影響を最小化する

WHO, WHYに着目、予防・防御の鍵

CRO CIO

CISO

Red Team

Blue Team

Purple Team


• 適切なリソースマネジメント • 適切なインシデント対応 • 優先順位付け・トリアージ • 脅威源の特定・推定と、リスク予防 • 同様の被害の拡大・再発防止 • 起こりうるサイバー攻撃の

リスクアセスメントと低減 • 事業戦略とセキュリティの統合

• セキュリティインシデント対応の最適化

• インシデントの解決力

• リスク低減・ビジネス継続

• 統合型のリスクマネジメント

CIBOK活用によるセキュリティ強化

40

各種ガイドライン、ガイドライン、セキュリティ技術などによる、既存の基礎防衛力

IT部門各種ユーザ部門

・・・

CIBOK

CISOを含む経営層

・・・

CIBOKから取り入れていただける内容セキュリティの強化


【まとめ】民間企業におけるCIBOK活用モデル

民間企業における既存の職能 CIBOKの活用どころ

経営層、CIO サイバー犯罪とその調査に関する俯瞰的理解を高める

CISO、セキュリティ責任者リスク管理部門

リスク（リスクシナリオ）の明確化と適切なリスク低減策、対処施策、育成施策の立案・実施のため

CSIRT (PoC) 対外ステークホルダー（特に法執行機関）との適切なコミュニケーションのため

CSIRT (レッドチーム）より実態に近い攻撃シナリオと訓練計画の立案、実施及び事件対応に必要な知見獲得のため

パープルチーム捜査官に匹敵する収集・調査・分析・判断力獲得のため

SOC、InfoSec インシデントに対する的確な対処能力獲得のため

セキュリティ・トレーナー体系的、効果的な人材育成のための、教科書、指南書、アセスメントツールとして活用する


【参考】国家レベルのレジリエンス・モデル

•意思決定 •行動

•情勢判断 •監視

O O

D A

情報収集（内部・外部）

コマンド＆コントロール

目的・目標：国家や大規模イベントを守るための国家的レジリエンス強化をPDCA+OODAのフレームワークで実現させる。

ベースライン：従来のPDCAモデルのリスクマネジメント + CSIRT + SOC

対処部隊

情報連携 1. 情報共有

2. 人材育成

3. 技術研究

4. 共同訓練

必要な職能の明確化とそれに紐付いた人材育成 – CIBOKの活かしどころ

分析官チーム

官・民連携官・官連携国際連携

情報センサー

誰が敵かを想定敵の動向を監視敵の目的を想定

リアルタイムで状況を把握

情勢に応じて対応方針決定

速やかに的確に対処

Orient Observe

Decide Act

５. 事案対処

CIBOK＋サイバーレンジなど演習設備と組み合わせた実践型訓練の積み重ねが重要

2020年に向かって構築が進むモデル。民間企業にも将来的に求められるモデル

司令官

http://www.google.co.jp/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjJuvfYvebTAhVEErwKHXucCbkQjRwIBw&url=http://blog.goo.ne.jp/sekiseikai_2007/e/0f0ed9cba964194ab7742e2e8bceb4ae&psig=AFQjCNFgPuAVF4qMSIZCKTPog6_GEoGu5A&ust=1494545393105002


【参考】新時代のセキュリティ・マネジメント・ライフサイクル

Orient

Decide

Act

Observe

あるべき姿の定義

阻害事象特定

原因領域特定

サイバー要因の事象を抽出

発生シナリオ特定

シナリオ別リスク評価

•リスク低減策実施

•事件対応訓練

•実施結果での

リスク再査定

•査定結果に応じ

たリスク対応計

画を策定

•再査定結果を

受けた是正

Act Plan

Do Check

情報共有と連携体制の準備

OODA ループ

情報連携基盤 NISC 法執行機関企業間連携 ISAC

脅威源の監視情報収集

情勢判断リスクの可視化

意思決定対応方針決定

事案対処


犯罪者の分類国家・民族 Nation States

テロリスト Terrorists

ハクティビスト Hactivists

競合 Competition

内部犯行 Insiders

犯罪組織 Organized Crime

スクリプトキディ Script Kiddies

動機金銭狙い産業軍事イデオロギー政治的威信

標的資産個人情報クレジットカード情報

銀行口座サイバーインフラ Web 資産知的財産コアビジネス

プロセス

インパクト風評被害個人に対する被害機密性損害

Confidentiality 完全性損害

Integrity 可用性損害 Availability

手口情報収集 CAPEC-

118

リソース枯渇

CAPEC- 119

不正な情報注入

CAPEC- 152

虚偽情報 CAPEC-

156

タイミング操作 CAPEC-

172

機能悪用 CAPEC-

210

特性探索 CAPEC-

223

AC破壊 CAPEC-

225

データ構造操作

CAPEC- 255

リソース操作

CAPEC-262

Copyright © 2017 Preparatory Committee of the Cybercrime Investigation Forum(CIF)

CIB

OK

/

サイバー犯罪調査

【参考】サイバー脅威と知識領域 CSIR

T

レッドチーム

セキュリティ管理・C

SIR

T


https://www.cibok.org/

CIBOK Editorial Committee お問い合わせはこちらまで： [email protected]

45


APPENDIX


ある専門領域の根幹となる「考え方」や「標準プロセス」を示す知識体系

専門領域

例：プロジェクト管理（PMBOK）ソフトウェア工学（SWEBOK）

さまざまな技術・ノウハウ・規格

分野A 分野B

分野C

分野n


CIBOKは「上級者」の思考や行動の様式を記した書

CIBOKは、優秀な「上級サイバー犯罪捜査官」が実践する考え方や行動をまとめたもの。

それを「型」として「真似る」ことから始め、やがてはさらに洗練した手法へと発展させていくことを目指す

心得

型

守・破・離


サイバー犯罪捜査・調査のアプローチ

リソース証拠

ツールスタッフ

再現

可能な

確認

可能な

文書化

可能な

完全性

手順・手続き再構成再構築再設計

調査処分

捜査逮捕起訴

学び・改善

インテリジェンス • サイバー犯罪捜査・調査には「手続き的・技術的」な知識・スキル・経験が求められます。

• サイバー犯罪捜査・調査及び組織を成功に導くためには経験豊富な人材、正しいツールに加えて

適切なポリシーに支えられた「マネジメント」が必要です。

• サイバー犯罪捜査・調査の焦点は「犯罪」であるべきで、中間「物」だけに注目すべきではありません。


実行フレームワークに関する各章の構造

実行フレームワーク

サイバー犯罪とその捜査

サイバー犯罪のタイプ



証拠の情報源証拠収集の

手段証拠分析の

方法最終処理


サイバー犯罪の定義

サイバー犯罪の管轄権の問題

サイバー犯罪捜査のベストプラクティス

サイバー犯罪とは

サイバー犯罪の侵害兆候

サイバー犯罪活動のステージ


サイバー犯罪の特性

サイバー犯罪で狙われるリスク

公的組織 VS

民間組織

証拠の外部情報源

証拠の内部情報源

証拠の自動収集

手作業による証拠収集

フォレンジックにおける証拠の完全性

サイバー犯罪の種類別の

証拠収集要件

集約

分析フレームワーク

結果との関係

事件の捜査と対応組織

コミュニケーション

技術的な修正

手続きによる修正

フレームワーク

法的留意事項

配信/配布

サイバー犯罪の目的・動機・スキル


マクロフレームワークに関する章の構造

マネジメント・フレームワーク

資金調達及び予算管理

犯罪予防のためのマネジメント

組織運営戦略と統制フレームワーク

戦略及び統制

企画立案予算編成

人事

人財マネジメント

パフォーマンス・マネジメント

ツール・マネジメント

マクロフレームワーク


• CIBOKはサイバー犯罪捜査・調査に必要なマネジメント・フレームワーク、実行フレームワークを提供しています。それらは必要となる知識・スキル・経験を体系的に整理された”taxonomy”によって支えられています。

• こうした体系的な整理により、サイバー犯罪捜査・調査に関わる法執行機関、裁判官、企業のサイバー・セキュリティ部門などの間で効率的なコミュニケーションを実現します。

サイバー犯罪捜査・調査に必要な知識・スキル・経験の分類

戦略的知識、スキルおよび経験

戦術的知識、スキルおよび経験捜査・調査手続き上で必要となる知識、スキルおよび経験

サイバー犯罪とその捜査


サイバー犯罪の目的

サイバー犯罪者のプロファイル

サイバー犯罪組織

兆候ステージ（段階）



証拠の情報源証拠収集の

手段証拠分析の

方法最終処理


管理フレームワーク

法令等道具破壊反社会的ハッカー攻撃標的の決定インターネット

偶発的なもの OSINT 自動収集組織分類戦略および統制

管轄権および政策・方針等

攻撃対象妨害搾取型サービス

プロバイダ事前調査

アクセスの提供

ディープウェブ

標的型 PROPINT 手作業集約コミュニケー

ション権限

企画立案および予算編成

ベストプラクティス

かく乱窃盗 / 詐欺破壊型サービス登録者（利用者）

不正アクセス列挙ダークウェブ進化型各種フォーラム手順関連付け技術的な修正通知人事

スパイ無政府主義者犯罪行為者脆弱性攻撃 /

攻撃成功サービスの

決定ソーシャルメディア

金融・金銭面ボットネットコントロール

パネル標的別の要件

データモデリング


場所パフォーマン

スの管理

窃盗 / 詐欺サービスの

管理従来型

メディアブランド面ネットワーク分類別の要件 ETL 人材の管理

スパイサービスの維持 / 防御

犯罪ネットワーク

業務面ホストデータ品質ツールの管理

サービスの

冗長化システム従業員サービス自動

難読化従業員公的組織品質保証 / 品質管理

代替サービスコミュニケー

ション民間組織分析

目標の達成解釈

第二者による調査・検証


サイバー犯罪捜査におけるコモン・センスとは？

コモン・センス

犯罪の特性

時間的・地理的無限定性

被害の不特定多数性

無痕跡性

匿名性


犯罪道具としての技術

犯罪の攻撃対象

としての技術

犯罪から目をそらす手段として

の技術

サイバー犯罪の動機

金銭目的

諜報目的

イデオロギー

怨恨

従来型犯罪との対比

押し込み強盗 vs. ハッキング

詐欺電話 vs. フィッシング

脅迫 vs. ランサムウェア

詐欺 vs. オンライン詐欺

なりすまし

児童の性的搾取

インテリジェンス

PROPINT

OSINT

証拠の内部情報源

形成のステップ

フェーズごとの情報に対する信

頼性

侵害兆候

証拠

ステップ

フォレンジックとしての完全性

分析フレームワーク

データモデリン

グ

データマイニン

グ

ETL(抽出・変換・挿入)

データ品質テスト

自動化

最終処理


犯罪情報共有のためのフレームワーク

法的留意事項

サイバー犯罪捜査・調査知識体系 cybercrime investigation body … · chris coulter ....

Documents