VPN は、パブリック ネットワークを介して 2 台以上のデバイス間に安全なトンネルを作成する仮想プライベート ネットワークです。VPN は、データの暗号化と認証を行うほか、デバイスの IP アドレスと場所を隠すことができます。ジャンプ サーバーは、ユーザーとターゲット サーバー (運用サーバーなど) の間の仲介役として機能するサーバーです。ジャンプ サーバーは、追加のセキュリティ レイヤーとアクセス制御、およびログ機能と監査機能を提供できます。ファイアウォールは、事前定義されたルールに基づいて不要なネットワーク トラフィックをフィルタリングしてブロックするデバイスまたはソフトウェアです。ファイアウォールは、内部ネットワークを外部の脅威から保護し、機密性の高いサービスとポートの露出を制限できます。セキュリティ アナリストは、運用ネットワークへのリモート デスクトップ アクセスのセキュリティを強化するために、VPN を設定し、ジャンプ サーバーをファイアウォール内に配置することを推奨する必要があります。この方法では、リモート デスクトップ サービスはパブリック ネットワークに公開されず、VPN 資格情報を持つ承認済みユーザーのみがジャンプ サーバーにアクセスし、運用サーバーにアクセスできます。

セキュリティ意識向上プログラムのトレーニング カリキュラム計画では、次の要素を考慮する必要があります。
組織が運営する業界に基づいた脅威ベクトル。これにより、従業員は組織が直面している特定のリスクと課題を理解し、サイバー攻撃から自分自身と組織を保護する方法を知ることができます。たとえば、ヘルスケア組織は、ランサムウェア、データ侵害、医療機器のハッキングなど、金融機関とは異なる脅威ベクトルに直面する可能性があります1。
トレーニング イベントの頻度と期間。これにより、従業員は学習した情報とスキルを維持し、セキュリティ環境の変化に対応できるようになります。トレーニング イベントは、主要な概念と行動を強化するのに十分な頻度で実施する必要がありますが、従業員の注意や関心を失わせるほど長すぎたり短すぎたりしてはなりません。たとえば、セキュリティ意識向上プログラムには、月刊ニュースレター、四半期ごとのウェビナー、年次ワークショップ、定期的なクイズなどが含まれます2。

保存時の暗号化は、ノート PC などのデバイスに保存されているデータを、復号化キーまたはパスワードでのみアクセスできる読み取り不可能な形式に変換することで保護する戦略です。保存時の暗号化は、デバイスが物理的に侵害された場合でも、データへの不正アクセスを防止することで、盗難されたノート PC のデータ損失を防ぐことができます。保存時の暗号化は、データ保護を必要とするデータ プライバシー規制および標準に準拠するのにも役立ちます。マスキング、データ分類、およびアクセス許可の制限は、データ保護に役立つその他の戦略ですが、ノート PC に保存されているデータには十分ではないか、適用できない可能性があります。マスキングは、クレジットカード番号などの機密データ要素をランダムな文字または記号で隠す手法ですが、通常は転送中または使用中のデータに使用され、保存中のデータには使用されません。データ分類は、機密性とビジネスへの影響に基づいてデータにラベルを割り当てるプロセスですが、データ自体を保護するものではありません。アクセス許可の制限は、データにアクセス、変更、または削除できるユーザーを定義するルールですが、ノート PC が盗まれ、セキュリティ制御がバイパスされた場合、不正アクセスを防ぐことができない可能性があります。参考資料: CompTIA Security+ 学習ガイド: 試験 SY0-701、第 9 版、17-18 ページ、372-373

データ分類とは、データの機密性とビジネスへの影響に基づいてデータにラベルを割り当てるプロセスです。組織やセクターによってデータ分類スキームは異なりますが、一般的なスキームは次のとおりです。
公開: 害やリスクなしに誰にでも自由に開示できるデータ。非公開: 社内使用のみを目的としており、開示されると害やリスクを引き起こす可能性があるデータ。
機密: 許可された使用のみを目的としており、開示されると重大な損害やリスクを引き起こす可能性があるデータ。
制限付き: 非常に限定された使用のみを目的としており、公開されると重大な損害やリスクを引き起こす可能性があるデータ。
このシナリオでは、企業が政府向けの重要なシステムを開発しており、プロジェクト情報をファイル共有に保存しています。このデータは、公的または私的使用を意図したものではなく、公開されると国家安全保障または公共の安全に重大な損害を与える可能性があるため、機密および制限付きとして分類される可能性があります。また、政府は、暗号化、アクセス制御、監査など、このようなデータの取り扱いに関して特定の要件または規制を設けている場合もあります。

フル パケット キャプチャは、ルーターやファイアウォールなどのデバイスを通過するすべてのネットワーク トラフィックを記録する手法です。パケットの完全な内容とコンテキストを提供することで、SQLi 攻撃などのネットワーク イベントの詳細な分析と調査が可能になります。フル パケット キャプチャは、SQLi 攻撃のソース、宛先、ペイロード、タイミング、およびサーバーとデータベースへの影響の特定に役立ちます。NetFlow トラフィック、ネットワーク トラフィック センサー、エンドポイントおよび OS 固有のセキュリティ ログをログに記録すると、ネットワーク アクティビティに関する情報が得られますが、パケットの完全な内容はキャプチャされないため、調査の範囲と深さが制限される可能性があります。