OSSTMM
OSSTMM とは何ですか?
OSSTMMISECOM が維持するオープンかつ査読済みのセキュリティテスト手法で、5 つのチャネルにまたがる科学的かつ再現可能な運用セキュリティ計測を定義します。
Open Source Security Testing Methodology Manual(OSSTMM)は Institute for Security and Open Methodologies(ISECOM)が維持しており、監査人やペネトレーションテスターが再現性と証拠に基づく評価を行うために使用します。テストチャネルとして「人間」「物理」「無線」「通信」「データネットワーク」の 5 つを定義し、運用統制・制限・信頼に基づく定量指標 Risk Assessment Value(RAV)を算出します。OSSTMM はツールのチェックリストではなく、ルールオブエンゲージメント、科学的計測、倫理を重視します。公的機関や規制業界の監査で広く参照され、PTES や NIST SP 800-115 などの技術フレームワークを補完します。
● 例
- 01
監査人が OSSTMM を用いて銀行支店の物理および人的攻撃面をスコアリングする。
- 02
ペネトレーションテスターが OSSTMM の RAV スコアと PTES の技術手順を組み合わせる。
● よくある質問
OSSTMM とは何ですか?
ISECOM が維持するオープンかつ査読済みのセキュリティテスト手法で、5 つのチャネルにまたがる科学的かつ再現可能な運用セキュリティ計測を定義します。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
OSSTMM とはどういう意味ですか?
ISECOM が維持するオープンかつ査読済みのセキュリティテスト手法で、5 つのチャネルにまたがる科学的かつ再現可能な運用セキュリティ計測を定義します。
OSSTMM はどのように機能しますか?
Open Source Security Testing Methodology Manual(OSSTMM)は Institute for Security and Open Methodologies(ISECOM)が維持しており、監査人やペネトレーションテスターが再現性と証拠に基づく評価を行うために使用します。テストチャネルとして「人間」「物理」「無線」「通信」「データネットワーク」の 5 つを定義し、運用統制・制限・信頼に基づく定量指標 Risk Assessment Value(RAV)を算出します。OSSTMM はツールのチェックリストではなく、ルールオブエンゲージメント、科学的計測、倫理を重視します。公的機関や規制業界の監査で広く参照され、PTES や NIST SP 800-115 などの技術フレームワークを補完します。
OSSTMM からどのように防御しますか?
OSSTMM に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
OSSTMM の別名は何ですか?
一般的な別名: オープンソース セキュリティテスト方法論マニュアル。
● 関連用語
- compliance№ 876
PTES
コミュニティが策定したペネトレーションテスト方法論で、プリエンゲージメントから報告・是正提案までを 7 つのフェーズに整理します。
- compliance№ 768
OSCP
Offensive Security が認定する実技型の攻撃的セキュリティ資格で、24 時間の監督付き実技試験でラボネットワークを侵害して取得します。
- compliance№ 152
CEH
EC-Council が認定する倫理的ハッキング資格で、偵察、エクスプロイト、Web、無線、クラウドにわたる攻撃者の手法とツールを学びます。
- defense-ops№ 813
ペネトレーションテスト
システム・アプリケーション・人を対象に、実際の攻撃者より先に悪用可能な弱点を発見するために行う、認可された模擬サイバー攻撃。
- compliance№ 735
NIST SP 800-30
情報システムおよびそれが支援する業務に対するリスク評価の実施方法を示す NIST の特別出版物。