OSSTMM

サイバーセキュリティ専門家になるための総合学習サイト

OSSTMMとは

OSSTMM(Open Source Security Testing Methodology Manual)とは、オープンソースペネトレーションテストの標準です。

オープンソースは基本無料で驚くような機能を持った者がたくさんあります。

無料で誰でも使えることから信頼が低い見方があります。しかし、ちゃんとリスクを理解していればこれほど素晴らしいものはありません。

そこで、オープンソースに対するテスト標準を作り、信頼を担保しようとしているのです。

OSSTMMの前提条件

OSSTMMは下記のプロセスを整理します。

実際のどのようなテストをするのかだけではなく、テスト計画といった部分も含めて標準化されています。

  • プロジェクト範囲
  • 機密性と機密保持の保証
  • 緊急連絡先
  • 作業指示書変更プロセス
  • テスト計画
  • テストプロセス
  • 報告基準

テストする5つの側面

OSSTMMは、テスト対象のオープンソースに対して下記の側面でテストします。

オープンソースそのものは動きますから、関連する部分、とりわけ通信部分にフォーカスされます。

  • ヒューマン
  • 物理的セキュリティ
  • ワイヤレス通信
  • 電気通信
  • データネットワーク
Tweet 2k