はじめに
CISSP(Certified Information Systems Security Professional)は試験範囲が膨大で、セキュリティに対する広く深い理解が必要です。
公式トレーニングが最も有効な試験対策ですが、そんなお金ないよという方や独学で合格を目指す方のバイブルとなるよう用語集を作りました。
ISC2発行の公式問題集の問題順に従い用語解説を行っているので、問題集と本サイトだけで対策可能な構成となっています。
この記事ではドメイン1で登場する用語を中心的に解説しています。
※あくまで備忘録となるため、内容の正確性を保証するものではありません
使用した問題集について
試験対策として公式が出版する問題集のみを使用して試験に合格しました。この問題集はAmazonで電子版の購入が可能です。Kindle版だと各問題番号が正答へのリンクとなっていてとても使いやすいので大変おススメです。
- セキュリティとリスクマネジメント(ドメイン1)#16~30
- リスクアセスメント
- アメリカ連邦法(刑法、および民法)
- パーソナルライアビリティ
- セキュア設計
- 主要なセキュリティコントロール
- 知的財産(Intellectual Property)
- BCP(Business Continuity Plan)=事業継続計画
- DRP(Disaster Recovery Plan)=災害復旧計画
- BIA(Business Impact Analysis)=ビジネスインパクト分析
- リスクマネジメント
- 認可
- 認証
- 識別
- 情報セキュリティの3要素(目的)
- 分散型アクセス制御(分散管理)
- HIPAA(Health Insurance Portability and Accountability Act)
- 追加された情報セキュリティの4要素
セキュリティとリスクマネジメント(ドメイン1)#16~30
リスクアセスメント
定性的リスクアセスメント
リスクの発生可能性や影響を主観的にざっくりと分類し、リスクに対して優先度をつける手法。主観が含まれているのでバイアスがかかっているが、効率的にリスク管理できる。
例)採点:低-中-高
定量的リスクアセスメント
リスクの発生確率や影響を膨大なデータから正確に損失予想額を算出する手法。正確にリスクを評価できる一方、データ量が増えるため実装は困難。
例)リスクA=10点、リスクB=6点、リスクC=3点
アメリカ連邦法(刑法、および民法)
DMCA(Digital Millenium Copyright Act)=デジタルミレニアム著作権法
1988年10月に制定・施行された連邦法であり、デジタルコンテンツの権利を保護し、違反に対して罰則を規定している。ISP(インターネットサービスプロバイダ)を保護するために、一過性のデータ(ネットワークを経由するデータ、Cokkieやキャッシュ等)に関しては罰則を受けない。
米国特許商標庁(USPTO)が管轄している。
グラス・スティーガル法(Glass-Steagall Act)
アメリカの金融制度法であり、銀行業務と証券業務を分離する。銀行の証券売買が原則禁止された。
経済スパイ法(Economic Espionage Act)
アメリカ企業の企業秘密の盗取に対して、刑事罰や罰金を科す法律。
パーソナルライアビリティ
適切な注意=デューデリジェンス(Due Diligence)
デューケアを提供する単に行う行動。ある結果に対して、事前に正当な注意義務を行使すること。
職務分離(SoD:Segregation of Duties)
1つの業務に対し、2人以上の担当者を配置し不正等を防止する方策
妥当な注意(善管注意義務)=デューケア(Due Care)
ある状況において、常識人なら払うと期待される注意のこと。顧客が被害にあう可能性を事前に排除するもの。
セキュア設計
最小特権
ユーザが職務を遂行するのに必要な権限のみを付与しセキュリティを保護する方策
フォールトトレランス(耐障害性)
事故や障害が起こることを前提として、1つの機器や製品の故障・停止が起きた際にも稼働し続ける仕組みを持つシステム設計。
RAIDもフォールトトレランスを支える仕組みの1つであり、BCPに含まれる。
RAID
複数のHDDを1つのHDDのように扱うことで、データの処理速度や信頼性を高める仕組み。
RAID0
ストライピングのみ。HDDを2台要する。
1台でも故障するとデータを失う。
RAID1
ミラーリングのみ。HDDを2台要する。
1台の故障であれば、データを保護できる。
RAID5
パリティビット付きのストライピング。HDDを3台要する。
1台の故障であれば、データを保護できる。
RAID10(1+0)
ストライピングとミラーリングを組み合わせたもの。HDDを2台要する。
1台の故障であれば、データを保護できる。
主要なセキュリティコントロール
効率的にリスク管理を行うためには、主に3つのコントロールを実装する
管理コントロール
ポリシーやプロシージャ、ガイドラインなどの管理
例)意識啓発トレーニング
技術的・論理的コントロール
ITシステムを使用しての管理
例)侵入検知システム、FW、ウイルス対策ソフトウェア、二要素認証
物理的コントロール
フェンスや警備員などの物理的な管理
例)警備員、消火器
知的財産(Intellectual Property)
人間の創造による製作物。
特許
画期的な発明や製品に対して、一定期間の独占を認める。基本的には20年の間保護される。
条件;
- 産業上利用できる(産業上の利用可能性)
- 新しいものである(新規性)
- 容易に考え付かない(進歩性)
- 先に特許を取得されていない(洗願)
- 公序良俗を害さない
著作権
著作物を生み出した人に与えられ、自分の創作物を無断利用・コピーから保護する。
著作者の死後70年間保護される。
商標
事業会社が自社の製品・サービスと他社製品を区別する際に使用されるロゴやマークのこと。10年ごとに商標更新が必要だが、実質無期限に保護される。
営業秘密
社外に漏れると企業の優越性を損なう情報。法による保護対象ではない。
BCP(Business Continuity Plan)=事業継続計画
様々な脅威(災害、人災、パンデミックなど)による組織の事業への影響を最小限に抑え、事業を継続する計画であり、何らかのインシデントが発生した際に実施する。
BCPのステップ
①プロジェクト範囲の決定
組織の構造化分析・BCPチーム結成・利用可能なリソース評価、法整備の分析
②策定の目的設定
何を守るべきかの目標を設定する
③重要業務とリスクの洗い出し
事業を継続するにあたって、最も優先すべき事業を洗い出し、その事業に付随する想定されるリスクを洗い出す
④リスクに優先順位をつける
リスクの発生頻度、影響度を基準に順位をつける=BIAを行う
⑤実現可能な具体策を決める
誰が指揮を執り、だれがその指示を受けて実際に行動するのかなどの緊急対応体制を構築する
⑥事業継続計画を文書化する
・事業継続計画の目標
・重要性の表明
・優先順位の表明
・組織的責任の表明
・緊急性とタイミングの表明
・リスクアセスメントおよびリスク需要と低減文書
・重要レコードプログラム
企業の存続に関わる文書や代替情報が他にない文書のこと
・緊急事態レスポンスガイドライン
緊急事態に対応して組織が従うべき即自的措置を含める必要がある
緊急事態を通知する必要がある人のリスト、第1対応者のための二次対応手順が含まれる
・計画のメンテナンスとテスト
DRP(Disaster Recovery Plan)=災害復旧計画
BCPのサブセットであり、事業を継続させるうえでデータとITシステムに主眼を置いた復旧計画である。より技術的な側面に焦点を当てている。
DRPのステップ
①目標設定
データの損失上限、ダウンタイムの上限を設定する(=BIA)
②バックアップ手順の策定
データのバックアップ手段や場所をBIAの結果により判断し手順化する
③IT資産の一覧作成
事業継続に必要なITソフトウェア・ハードウェアを一覧化する
④従業員の役割分担
復旧活動に携わる人の役割一覧
⑤復旧活動の場所の選定
災害復旧の対応場所を選択する
・ホットサイト
本番環境に何かあった際に、瞬時に切り替わるように常にサーバは稼働しデータのミラーリング行われている。
・ウォームサイト
サーバなどの準備はしてあるが、業務を復旧するためには何らかの作業(最新データの同期など)を要する。
・コールドサイト
事業継続に必要な設備として場所のみ確保されている。サーバやその他の設備の発注などを伴うため、復旧に時間がかかる。
⑥応急処置の手順
インシデントの被害を最小限に抑える手順
例)バックアップからの復元手順、バックアップサイトへの移転手順
⑦完全復旧の手順
通常の事業運営に完全に戻す手順
BIA(Business Impact Analysis)=ビジネスインパクト分析
組織の業務を分析し、組織にとって不可欠なプロセスを評価する。また、それらのプロセスに必要な資産やシステムを特定し、それらが停止した場合の影響度合いを評価する。BIAを実施するにあたり重要な項目がRTOとRPOである。
BIAのステップ
①行っている事業に必要な業務の洗い出し
②で洗い出した事業の重要性を決定
③の業務に必要な情報/システム(=資産)の洗い出し
④で洗い出した資産の価値を②を基準に決定
⑤業務が中断・ストップした際の影響の決定
⑥を基準に業務の復旧優先度を決定
⑦を基準に資産のRTO・RPOを決定
⑧資産に対する、脅威と脆弱性を判断し、リスクを特定する
⑨リスクに対して、RTO・RPOを維持するための方策を決定
⑩資産価値と資産保護費用を比較して、費用対効果分析を行う
リスクマネジメント
主なリスク対応は4つある
リスク低減
リスクの発生可能性・影響を抑える。管理・論理・物理的対策を導入する。
例)FWの導入、データセンターの周りのフェンス
リスク回避
リスクを発生させる活動を停止する。リスクがある行動を一切取らない。
例)事業を停止する
リスク移転
リスクによる影響を第三者へ移す。リスクの影響による損失を他者と共有したり移したりする。
例)保険の加入
リスク受容
リスクを受け入れる。リスクの影響力が小さいと判断し、リスクに対する施策を取らない。決定プロセスを文書化する。
例)何もしない
認可
ユーザがオブジェクトに対して保有する権限を検証する手段、プロセス。
アクセス制御リスト(ACL:Access Control List)
オブジェクト(リソース)に主眼を置いた認可方法。
例)FWなど。リソースAへのアクセスは全員“Read only“、リソースBへのアクセスは全員”なし“など。
認証
ユーザの資格情報を検証する手段、プロセス。
パスワード検証
ユーザが自身で決めた文字列。
トークン検証
一度しか利用できないワンタイムパスワードを作成する。
・ハードウェアトークン
キーホルダー型やカードタイプなどの専用機器でワンタイムパスワードを生成する。
・ソフトウェアトークン
スマホなどにインストールしワンタイムパスワードを生成する。
識別
ユーザを識別する手段、プロセス。
ユーザ名
ユーザを一意に識別する
情報セキュリティの3要素(目的)
情報セキュリティの目標は資産の機密性・完全性・可用性を保護すること。それぞれの頭文字を取って、CIAと呼ばれる。
機密性(Confidentiality)
アクセス制限を行い、適切な人だけが情報資産へアクセスできること
完全性(Integrity)
情報が改ざんされず常に正しい状態を維持すること
可用性(Availability)
利用者が利用したいときに常にアクセスできること
分散型アクセス制御(分散管理)
アクセス制御を個々のシステム・拠点で行うことで、リソースに近い場所でのコントロールとなるため、より柔軟なコントロールが可能。
HIPAA(Health Insurance Portability and Accountability Act)
個人の病歴や投与している薬などから病気を推測できるので個人の健康情報は保護する必要がある。対象は医務室、保険会社、取引先、雇用主を含む(これに限定されない)医療データを扱う企業や事務所。保護する対象はPHI(Protected Health Information)。
追加された情報セキュリティの4要素
元々あったセキュリティの3要素に追加で4要素が加わり、現在は7要素となっている。
真正性(Authenticity)
情報資産へアクセスしている人が本人かどうか認証する。デジタル署名や生態認証などを使用される。
責任追跡性(Accountability)
あるアクティビティがあった際に、誰が行ったかどうかをトラックできること。アクセスログや操作ログが使用される。
信頼性(Reliability)
意図した操作が確実に行われることを確実にする仕組み。バグが発生しないような設計・構築が重要。
否認防止(Non-repudiation)
情報資産へのアクセスを後から否定できないように証明する仕組み。デジタル署名やアクセスログ、操作ログが使用される。
