OSSTMM
OSSTMM とは何ですか?
OSSTMMISECOM が維持するオープンかつ査読済みのセキュリティテスト手法で、5 つのチャネルにまたがる科学的かつ再現可能な運用セキュリティ計測を定義します。
Open Source Security Testing Methodology Manual(OSSTMM)は Institute for Security and Open Methodologies(ISECOM)が維持しており、監査人やペネトレーションテスターが再現性と証拠に基づく評価を行うために使用します。テストチャネルとして「人間」「物理」「無線」「通信」「データネットワーク」の 5 つを定義し、運用統制・制限・信頼に基づく定量指標 Risk Assessment Value(RAV)を算出します。OSSTMM はツールのチェックリストではなく、ルールオブエンゲージメント、科学的計測、倫理を重視します。公的機関や規制業界の監査で広く参照され、PTES や NIST SP 800-115 などの技術フレームワークを補完します。
● 例
- 01
監査人が OSSTMM を用いて銀行支店の物理および人的攻撃面をスコアリングする。
- 02
ペネトレーションテスターが OSSTMM の RAV スコアと PTES の技術手順を組み合わせる。
● よくある質問
OSSTMM とは何ですか?
ISECOM が維持するオープンかつ査読済みのセキュリティテスト手法で、5 つのチャネルにまたがる科学的かつ再現可能な運用セキュリティ計測を定義します。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
OSSTMM とはどういう意味ですか?
ISECOM が維持するオープンかつ査読済みのセキュリティテスト手法で、5 つのチャネルにまたがる科学的かつ再現可能な運用セキュリティ計測を定義します。
OSSTMM からどのように防御しますか?
OSSTMM に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
OSSTMM の別名は何ですか?
一般的な別名: オープンソース セキュリティテスト方法論マニュアル。