はじめに
CISSP(Certified Information Systems Security Professional)は試験範囲が膨大で、セキュリティに対する広く深い理解が必要です。
公式トレーニングが最も有効な試験対策ですが、そんなお金ないよという方や独学で合格を目指す方のバイブルとなるよう用語集を作りました。
ISC2発行の公式問題集の問題順に従い用語解説を行っているので、問題集と本サイトだけで対策可能な構成となっています。
この記事ではドメイン1で登場する用語を中心的に解説しています。
※あくまで備忘録となるため、内容の正確性を保証するものではありません
使用した問題集について
試験対策として公式が出版する問題集のみを使用して試験に合格しました。この問題集はAmazonで電子版の購入が可能です。Kindle版だと各問題番号が正答へのリンクとなっていてとても使いやすいので大変おススメです。
- セキュリティとリスクマネジメント(ドメイン1)#1~15
- リスク分析方法(リスクアセスメント)
- 様々な攻撃手法
- DMCA(Digital Millenium Copyright Act)=デジタルミレニアム著作権法
- GDPR(General Data Protection Regulation)=EU一般データ保護規則
- 脅威モデリング
- PII(Personal Identifiable Information)= 個人識別情報
- パーソナルライアビリティ
- MFA(Multi Factor Authentication)=多要素認証
- アメリカ連邦法(刑法、および民法)
- EU-USプライバシーシールド
- GLBA(Gramm-Leach-Bliley Act)
- SOX(Sarbanes Oxley Act)
- HIPAA(Health Insurance Portability and Accountability Act)
- FERPA (Family Educational Rights and Privacy Act)=家庭教育権とプライバシー法
- FISMA (Federal Information Security Modernization Act))=連邦情報セキュリティマネジメント法
- PCI DSS (Payment Card Industry Data Security Standard)=クレジットカード情報取扱会社
- GISRA(Government Information Security Reform Act)
- EAR(Export Administration Regulations)=輸出管理規制
- STRIDE脅威モデル
- BCP(Business Continuity Plan)=事業継続計画
- 主要なセキュリティコントロール
セキュリティとリスクマネジメント(ドメイン1)#1~15
リスク分析方法(リスクアセスメント)
リスク分析のステップは以下の通り。
①行っている事業に必要な業務の洗い出す
②各業務の重要性を決定する
③各業務の遂行に必要な情報/システム(=資産)の洗い出す
④各資産の価値を業務の重要性を基準に決定する
⑤各業務が中断・ストップした際の影響の決定する
⑥各資産に対する、脅威と脆弱性を判断し、リスクを特定する
⑦各リスクに対する管理方策を決定
⑧資産価値と資産保護費用を比較して、費用対効果分析を行う
様々な攻撃手法
不正アクセスポイント
正常なWi-Fiのアクセスポイントと見せかけて、ユーザの無線接続を誘う攻撃。悪魔の双子は不正なアクセスポイントの一種。
対策:不審なフリーWi-Fiは利用しないようにする
悪魔の双子
ユーザを騙すために正規のWi-Fiアクセスポイントに成り済まし、接続したユーザのデータを盗む攻撃。(不正アクセスポイントの一種)
対策:安全ではないWi-Fiスポットは利用しない
リプレイ(反射攻撃)
通信を盗聴し盗んだデータをそのまま利用し、不正アクセスを行う攻撃。
対策:ワンタイムパスワードの導入、CHAP認証の導入
ウォードライビング
街中を自動車などで移動しながら、Wi-Fiのアクセスポイントを探す行為。更なる攻撃を行うための下準備。
対策:SSIDが表示されないようにする
DMCA(Digital Millenium Copyright Act)=デジタルミレニアム著作権法
1988年10月に制定・施行された連邦法であり、デジタルコンテンツの権利を保護し、違反に対して罰則を規定している。ISP(インターネットサービスプロバイダ)を保護するために、一過性のデータ(ネットワークを経由するデータ、Cokkieやキャッシュ等)に関しては罰則を受けない。
米国特許商標庁(USPTO)が管轄している。
GDPR(General Data Protection Regulation)=EU一般データ保護規則
欧州委員会が制定した、欧州内にある個人情報などの機微情報を扱う企業に課されるレギュレーション。EEA(欧州経済領域)でビジネス展開する企業にも適用される。
GDPRに基づく本人のデータに関する権利
①個人データにアクセスする権利(=アクセス権)
②個人データの訂正や消去を求める権利(=忘れられる権利)
③個人データの利用制限を求める権利
④個人データの取り扱いについて異議を述べる権利
GDPRの原則
①適法性・公正性・透明性
個人や監査人からデータを公正な手段で収集・処理・保持・破棄すること
②目的の制限
明示された目的のみに使用されること
③データの最小化
必要最小限のデータを収集・処理・保持すること
④正確性
データの中身が正確であること
⑤記録保存の制限
必要な期間のみ保持すること
⑥完全性・機密性
不正な閲覧、使用、修正から保護すること
脅威モデリング
アプリケーションとその環境のセキュリティホールを見つけるための手法であり、アプリケーションのすべての構成要素を洗い出し、その中で脆弱な個所を特定する。
一般的には攻撃者、ソフトウェア、資産に着目する。
PII(Personal Identifiable Information)= 個人識別情報
氏名、誕生日、社会保障番号、運転免許証、IDカード番号、クレジット/デビットカード、銀行口座番号など。
パーソナルライアビリティ
デューケア(Due Care)=妥当な注意(善管注意義務)
ある状況において、常識人なら払うと期待される注意のこと。顧客が被害にあう可能性を事前に排除するもの。
デューデリジェンス(Due Diligence)=適切な注意
デューケアを提供する単に行う行動。ある結果に対して、事前に正当な注意義務を行使すること。
プルデントマンルール
経営層に対して、「良識ある善人ならば、同様の条件下では個人的責任を伴って職務遂行する」ことを求める規定
MFA(Multi Factor Authentication)=多要素認証
複数の要素を組み合わせてユーザを認証する方法。
①あなたが知っているもの=タイプ1
例)パスワード、秘密の質問
②あなたが持っているもの=タイプ2
例)スマートカード、トークン
③あなたがだれであるか=タイプ3
例)バイオメトリックス要素(指紋、静脈、網膜)
アメリカ連邦法(刑法、および民法)
EU-USプライバシーシールド
GDPR発表と同時にEU域内での米国企業の経済活動、およびEU域内の個人情報を米国へ国外移転を可能とする協定。アメリカの商務省(Department of Commerce)が管轄している。
GLBA(Gramm-Leach-Bliley Act)
ローン、財務・投資アドバイス、保険などの個人向け金融商品・サービスなどの個人金融資産を保護するための法律。対象はこれらの金融資産を提供する企業。対象となる金融機関は毎年、顧客へのプライバシー通知を提供する必要がある。
SOX(Sarbanes Oxley Act)
財務処理を透明化し投資家や一般人を保護することを目的とした法律。上場企業を対象とする。取締役会、経営陣、公認会計士事務所などの株式公開会社のITトランザクションのフローを含め、内部統制評価を求める。
HIPAA(Health Insurance Portability and Accountability Act)
個人の病歴や投与している薬などから病気を推測できるので個人の健康情報は保護する必要がある。対象は医務室、保険会社、取引先、雇用主を含む(これに限定されない)医療データを扱う企業や事務所。保護する対象はPHI(Protected Health Information)。
FERPA (Family Educational Rights and Privacy Act)=家庭教育権とプライバシー法
幼稚園から大学生までの間の教育情報は教育機関に適切に保護されることを定めた法律。保護者は子供の教育情報を閲覧することができ、間違っている場合は修正をすることも可能。
FISMA (Federal Information Security Modernization Act))=連邦情報セキュリティマネジメント法
連邦政府機関や政府機関から業務委託を受けている民間の外部委託先を対象として、セキュリティ対策の実施を義務付ける法律。FISMAの先駆けとしてGISRAがあったが廃止された。
PCI DSS (Payment Card Industry Data Security Standard)=クレジットカード情報取扱会社
カードの会員情報を適切に保護するために6つの目的を達成することを規定している。
①安全なネットワークとシステムの構築と維持
②カード会員データの保護
③脆弱性管理プログラムの維持
④強力なアクセス制御手法の導入
⑤ネットワークの定期的な監視およびテスト
⑥情報セキュリティポリシーの維持
GISRA(Government Information Security Reform Act)
FISMAの先駆けとなる法令。2002年に廃止済み。
EAR(Export Administration Regulations)=輸出管理規制
暗号化された製品やデータの輸出を制限する。
対象国は北朝鮮、中国、ロシア、キューバなど他多数。
STRIDE脅威モデル
①Spoofing(なりすまし)→正規な通信相手に成り済ます攻撃
②Tampering(改ざん)→情報を改ざんする攻撃
③Repudiation(否認防止)→過去の行為を取り消すことができないこと
④Information disclosure(情報漏洩)→機密情報が外部に流出すること
⑤Denial of Service(サービス妨害)→サーバに負荷を与え、正常なサービスを提供できないようすること
⑥Elevation of Privilege(権限昇格)→脆弱性を悪用し。自身が保有する以上の権限を獲得する攻撃
BCP(Business Continuity Plan)=事業継続計画
様々な脅威(災害、人災、パンデミックなど)による組織の事業への影響を最小限に抑え、事業を継続する計画であり、何らかのインシデントが発生した際に実施する。
BCPのステップ
①プロジェクト範囲の決定
組織の構造化分析・BCPチーム結成・利用可能なリソース評価、法整備の分析
②策定の目的設定
何を守るべきかの目標を設定する
③重要業務とリスクの洗い出し
事業を継続するにあたって、最も優先すべき事業を洗い出し、その事業に付随する想定されるリスクを洗い出す
④リスクに優先順位をつける
リスクの発生頻度、影響度を基準に順位をつける=BIAを行う
⑤実現可能な具体策を決める
誰が指揮を執り、だれがその指示を受けて実際に行動するのかなどの緊急対応体制を構築する
⑥事業継続計画を文書化する
・事業継続計画の目標
・重要性の表明
・優先順位の表明
・組織的責任の表明
・緊急性とタイミングの表明
・リスクアセスメントおよびリスク需要と低減文書
・重要レコードプログラム
企業の存続に関わる文書や代替情報が他にない文書のこと
・緊急事態レスポンスガイドライン
緊急事態に対応して組織が従うべき即自的措置を含める必要がある
緊急事態を通知する必要がある人のリスト、第1対応者のための二次対応手順が含まれる
・計画のメンテナンスとテスト
主要なセキュリティコントロール
効率的にリスク管理を行うためには、主に3つのコントロールを実装する。
主要コントロール
①管理コントロール
ポリシーやプロシージャ、ガイドラインなどの管理
例)意識啓発トレーニング
②技術的・論理的コントロール
ITシステムを使用しての管理
例)侵入検知システム、FW、ウイルス対策ソフトウェア、二要素認証
③物理的コントロール
フェンスや警備員などの物理的な管理
例)警備員、消火器
コントロールのカテゴリ
コントロールはその機能によって細かくカテゴライズ化される
①指示的
ポリシーやプロシージャ、標識、警告の掲示など
②抑止的
警備員、フェンス、非常灯
③防止的
マントラップ、DLP
④補完的
メインのコントロールが機能しない場合の追加措置
⑤検知的
IDS、IPS、CCTVカメラ(監視カメラ)
⑥修正的
インシデント発生に対して対応するコントロール。消火器、CSIRT。
⑦回復的
インシデント前の状態に戻す回復措置。フォールトトレランス、BCP・DRP
