はじめに
CISSP(Certified Information Systems Security Professional)は試験範囲が膨大で、セキュリティに対する広く深い理解が必要です。
公式トレーニングが最も有効な試験対策ですが、そんなお金ないよという方や独学で合格を目指す方のバイブルとなるよう用語集を作りました。
ISC2発行の公式問題集の問題順に従い用語解説を行っているので、問題集と本サイトだけで対策可能な構成となっています。
この記事ではドメイン1で登場する用語を中心的に解説しています。
※あくまで備忘録となるため、内容の正確性を保証するものではありません
使用した問題集について
試験対策として公式が出版する問題集のみを使用して試験に合格しました。この問題集はAmazonで電子版の購入が可能です。Kindle版だと各問題番号が正答へのリンクとなっていてとても使いやすいので大変おススメです。
セキュリティとリスクマネジメント(ドメイン1)#91~105
リスク分析方法(リスクアセスメント)
定量的リスクアセスメント
リスクの発生確率や影響を膨大なデータから正確に損失予想額を算出する手法。正確にリスクを評価できる一方、データ量が増えるため実装は困難。
例)リスクA=10点、リスクB=6点、リスクC=3点
定性的リスクアセスメント
リスクの発生可能性や影響を主観的にざっくりと分類し、リスクに対して優先度をつける手法。主観が含まれているのでバイアスがかかっているが、効率的にリスク管理できる。
例)採点:低-中-高
ALE(Annual Loss Expectancy)=年間損失予想額
1年の間で予想されるインシデントや災害などで損失する金額
リスク低減
リスクの発生可能性・影響を抑える。管理・論理・物理的対策を導入する。
例)FWの導入、データセンターの周りのフェンス
重要レコードプログラム(Critical Asset)
企業の存続に関わり代替情報が他にない文書やシステムのこと
これらの重要レコードを特定、分類、保護する必要がある。
①機密性の高いデータ
組織の機密情報、顧客の個人情報、知的財産など、機密性が高い情報
②重要なシステムやインフラストラクチャ
組織の運用やビジネスに不可欠なシステムやネットワークインフラストラクチャ
③サービスの可用性
ビジネスの継続性やサービス提供の中核的な要素となる情報やシステム
④顧客やパートナーの信頼性
顧客やパートナーからの信頼を維持するために必要な情報やシステム
管理コントロール
①意識啓発(Awareness)=アウェアネス
従業員や関係者に対して情報セキュリティに関する意識を高めることを目的する
②トレーニング(Training)
職務を実行するための具体的なスキルや技術を磨くための実践的な取り組みを提供する
③教育(Education)
教育は、情報セキュリティに関する理論や概念、基本的な原則などの学術的な知識を提供する
脅威(Threat)
企業や組織、個人に対して損害やリスクをもたらす可能性がある要素。悪意のある第三者や自然災害、人為的災害などが当てはまる。
リスク評価
①EF(Exposure Factor)=露出ファクター(危険係数)
影響を及ぼすイベント発生時の資産価値に対する損害の割合。損害額÷資産価値
②ARO(Annual Rate of Occurrence)=年間発生率
1年間で影響を及ぼすインシデントや災害などが発生する確率
③ALE(Annual Loss Expectancy)=年間損失予想額
1年の間で予想されるインシデントや災害などで損失する金額
ALE = SLE × ARO
STRIDE脅威モデル
①Spoofing(なりすまし)
正規な通信相手に成り済ます攻撃
②Tampering(改ざん)
情報を改ざんする攻撃
③Repudiation(否認防止)
過去の行為を取り消すことができないこと
④Information disclosure(情報漏洩)
機密情報が外部に流出すること
⑤Denial of Service(サービス妨害)
サーバに負荷を与え、正常なサービスを提供できないようすること
⑥Elevation of Privilege(権限昇格)
脆弱性を悪用し。自身が保有する以上の権限を獲得する攻撃
NDA(Non-Disclosure Agreement)=非開示契約
情報の機密性を保護するための法的文書。一般的に、機密情報を取り扱う関係者間での情報漏洩を防ぐために使用される。NDAは、企業や組織が契約を結ぶ取引先、従業員、外部のパートナー、顧客などの当事者間で情報の開示、利用、共有に関するルールや制限を定め、情報の機密性を確保するために広く使用される。NDAには、情報の定義、開示の範囲、機密情報の保持期間、違反時の制裁などが含まれる。これらの規定は、情報漏洩を防ぎ、契約当事者の権利と責任を明確にするために重要である。
具体的な状況としては、以下のようなものが挙げられる。
- 取引交渉
企業間や個人間での取引や提携の際に、機密情報を開示する前にNDAが締結されることがあります。これにより、取引先が提供された情報を第三者に漏洩することを防ぐ。 - 雇用関係
従業員が会社の機密情報にアクセスする場合、入社時にNDAに署名することが一般的。これにより、従業員は機密情報を保護し、会社の利益を守ることが求められる。 - アイデアや発明の保護
アイデアや発明を第三者に開示する際に、NDAが使用される。発明者やアイデアの考案者は、自分のアイデアや発明を保護し、他者がそれを横取りするのを防ぐためにNDAを要求することがある。
フォールトトレランス(耐障害性)
事故や障害が起こることを前提として、1つの機器や製品の故障・停止が起きた際にも稼働し続ける仕組みを持つシステム設計。
RAIDもフォールトトレランスを支える仕組みの1つであり、BCPに含まれる。
キーロガー
PCやスマートフォンなどデバイスの入力を記録するソフトウェア、またはデバイス。パスワードや個人情報などの機密情報を盗むために使用される。
サプライチェーンマネジメント
現在、様々なサービスや製品を提供するために多くの提供会社やサプライヤーが関わっている。これらの3rdパーティの情報セキュリティリスクは自企業の資産が危険に晒される可能性があるので適切にサプライヤーのリスクを評価する必要がある。
主に以下のトピックが取り扱われる:
①リスク評価と管理
サプライヤーやパートナーが情報セキュリティリスクをどのように評価し、管理するかに関するプロセスの整備
②契約と監査
情報セキュリティ要件を含む契約の取り決めや、サプライヤーの情報セキュリティ実施状況を監査権限
③コンプライアンスと法規制
サプライチェーン内での情報セキュリティに関する法的要件や規制について理解する
④インシデント管理
サプライチェーン内でのセキュリティインシデントへの対応策や、情報の共有や通知プロセスについて把握する
脅威モデリング(モデル手法)
アプリケーションとその環境のセキュリティホールを見つけるための手法であり、アプリケーションのすべての構成要素を洗い出し、その中で脆弱な個所を特定する。
一般的には攻撃者、ソフトウェア、資産に着目する。
PASTA(Process for Attack Simulation and Threat Analysis)=攻撃シミュレーションと脅威分析のためのプロセ
アプリケーションセキュリティの脅威モデリングやリスク評価の手法の1つ。アプリケーションの脆弱性や攻撃に対してより効果的に備えるために、アプリケーションの開発や運用の段階で攻撃者の視点からアプリケーションを分析することを目的としている。
PASTAは以下の6つのフェーズで構成されている:
①Preparation(準備)
アプリケーションの範囲を定義し、攻撃シミュレーションの目標とスコープを設定する
②Threat Modeling(脅威モデリング)
アプリケーションに関連する脅威を特定し、攻撃者の視点からアプリケーションの脆弱性や攻撃シナリオをモデリングする
③Vulnerability Analysis(脆弱性分析)
脆弱性の特定と分析を行い、アプリケーションが攻撃に対してどのように脆弱であるかを評価する
④Risk Analysis(リスク分析)
特定された脆弱性と攻撃シナリオに基づいて、リスクを評価し、優先順位付けを行う
⑤Countermeasure Selection(対策選択)
リスクを軽減するための対策を選択し、実装するための計画を立てる
⑥Reporting(報告)
分析結果や対策の効果を文書化し、関係者に報告する
ソースコード解析・ソースコードレビュー
ソースコードの解析、レビューは手作業によるものと自動化されたものがある。ソースコードのレビューの確認事項はセキュリティ・品質・保守性など様々な側面をカバーする。
一般的には下記の観点でソースコードを確認する。
①セキュリティ
潜在的な脆弱性やセキュリティのベストプラクティスに従っているかどうかを確認
インプットの検証やサニタイズ、エスケープ処理が適切に行われているかを確認
クリティカルな情報が適切に暗号化されているかを確認
不必要なアクセス権限や機能がないかを確認
②品質
コードの可読性が高いかどうかを確認
再利用可能性や拡張性が考慮されているかを確認
エラーハンドリングが適切に行われているかを確認
パフォーマンスや効率性に関する問題がないかを確認
③保守性
コメントが適切に記述されているかどうかを確認
コードの構造がシンプルで理解しやすいかを確認
コーディング規約に適合しているかを確認
修正や拡張が容易に行えるかを確認
④機能
仕様に従って機能が正しく実装されているかを確認
テストケースとの一致を確認
例外条件やエッジケースに対する挙動が適切であるかを確認
⑤パフォーマンス
パフォーマンスの問題やボトルネックがないかを確認
メモリリークやリソースリークがないかを確認
⑥セキュアコーディングプラクティス
クロスサイトスクリプティング(XSS)、SQLインジェクション、クロスサイトリクエストフォージェリ(CSRF)などのセキュリティ上の脅威に対するセキュアコーディングプラクティスが適用されているかを確認
変更管理
ITサービスに変更が加わる際に効率的に実現するための管理。
変更管理をする際の目標:
- 整然とした方法で変更を実装する
- 変更する前に変更をテストする
- 変更のロールバック計画を用意する
- 変更の発生前に利害関係者に知らせる
DAST(Dynamic Application Security Testing)=動的テスト
ソフトウェアやシステムを評価する際に、実際にソフトウェアやシステムを実行した状態で行うテスト手法
ファジング(Fuzzing)
予期しないランダムデータを生成後システムへ入力し、その反応を観察するテスト手法
ジェネレーショナルファジング
従来のファジングに加えて、ソフトウェアやシステムの知識を組み込みより高度なテストケースを作成し、実行結果を観察するテスト手法
重要業績評価指数 (KPI)
情報セキュリティプログラムの効果や進捗を測定するための主要なパフォーマンス指標を指す。組織の情報セキュリティのパフォーマンスを定量的に評価しセキュリティ目標を達成するための方向性を示したり、リスクを適切に管理しているかどうかを評価するのに役立つ。
以下のような側面に関連している:
①セキュリティポリシーと規制の遵守
セキュリティポリシーの遵守率や法的規制への準拠度を測定する
②インシデント応答時間
セキュリティインシデントへの対応時間や解決時間を測定し、組織の迅速な対応能力を評価する
③セキュリティイベントの検出率
セキュリティイベントの検出率や誤検知率を測定し、セキュリティモニタリングの効果を評価する
④セキュリティトレーニングの完了率
従業員や関係者のセキュリティトレーニングの受講率や完了率を測定し、セキュリティ意識の向上を評価する
⑤脆弱性管理
システムやアプリケーションの脆弱性の特定および修正の効率性やタイムリネスを評価する
⑥セキュリティ対策の効果
セキュリティ対策の実施および効果を測定し、セキュリティリスクの軽減度やセキュリティ投資の効果を評価する
スクリーニング
組織が職員を雇用する前に候補者を選考する際に行われるプロセスを指す。候補者の背景や能力を評価し、組織のニーズに適合するかどうかを確認する。
雇用前のスクリーニングでは以下のような手法やプロセスが用いられる。
①履歴調査
候補者の過去の職歴や学歴、資格、職務経験などを調査し、信頼性や適格性を評価する
②バックグラウンドチェック
候補者の過去の行動や犯罪歴、信用情報などを調査し、セキュリティリスクを特定する
③技術的なスキル評価
候補者の技術的な能力や経験を評価し、セキュリティポジションに必要なスキルを持っているかどうかを判断する
④面接
セキュリティに関連する質問やシナリオを用いて候補者と面接を行い、セキュリティ意識や専門知識、問題解決能力などを評価する
⑤資格認定の確認
候補者が所持するセキュリティ関連の資格や認定を確認し、その信頼性や適格性を評価する。資格認定は、候補者の知識と専門能力を示す重要な指標の1つとして考慮される
