はじめに
CISSP(Certified Information Systems Security Professional)は試験範囲が膨大で、セキュリティに対する広く深い理解が必要です。
公式トレーニングが最も有効な試験対策ですが、そんなお金ないよという方や独学で合格を目指す方のバイブルとなるよう用語集を作りました。
ISC2発行の公式問題集の問題順に従い用語解説を行っているので、問題集と本サイトだけで対策可能な構成となっています。
この記事ではドメイン1で登場する用語を中心的に解説しています。
※あくまで備忘録となるため、内容の正確性を保証するものではありません
使用した問題集について
試験対策として公式が出版する問題集のみを使用して試験に合格しました。この問題集はAmazonで電子版の購入が可能です。Kindle版だと各問題番号が正答へのリンクとなっていてとても使いやすいので大変おススメです。
- セキュリティとリスクマネジメント(ドメイン1)#31~45
- セキュリティ戦術
- セキュリティ戦略
- アメリカ政府機関
- セキュアな設計
- アメリカ連邦法(刑法、および民法)
- ロール
- 知的財産(Intellectual Property)
- 合衆国法律集(United States Code U.S.C)=合衆国法典
- 連邦規則集(Code of Federal Regulations)=CFR
- 影響
- RPO(Recovery Point Objective)=目標復旧地点
- 可能性(発生可能性)
- 情報セキュリティプログラム(Information Security Program)
- BCP(Business Continuity Plan)=事業継続計画
- SOC(System and Organization Controls)
- STRIDE脅威モデル
- 情報セキュリティの要素(目的)
- SLA(Service Level Agreement)=サービスレベル合意書
セキュリティとリスクマネジメント(ドメイン1)#31~45
セキュリティ戦術
1年以内の短期的な計画
セキュリティ戦略
5年程度の長期的な計画
アメリカ政府機関
USPTO(米国特許商標庁)
アメリカ合衆国特許商標庁は、アメリカ合衆国連邦政府の商務省に属する機関のひとつで、特許及び商標の権利付与を所掌する。
Library of Congress(米国議会図書館)
1800年に設立された米国の連邦議会図書館・国立図書館であり,世界最大規模の図書館。
TVA(Tennessee Valley Authority)=テネシー川流域開発公社
テネシー川流域開発公社は、1933年に、アメリカ大統領フランクリン・ルーズベルトが、世界恐慌の対策として実施したニューディール政策の一環として、テネシー川流域の総合開発を目的として作られ、失業率対策として行われたアメリカ政府による公共事業。
NIST(National Institute of Standards and Technology)=米国国立標準技術研究所
アメリカ合衆国の連邦政府機関の一つで、科学技術に関連する標準についての研究などを行う機関。CSD(Computer Security Division)はレポートやガイドラインなどを発行していて、SP800シリーズがセキュリティ関連のガイドラインとしてよく利用される。
セキュアな設計
職務分離(SoD:Segregation of Duties)
1つの業務に対し、2人以上の担当者を配置し不正等を防止する方策。
強制休暇
複数の従業員が共謀して不正行為を働くことを防ぐために、各従業員に対して最低でも1週間~2週間の休暇を取得させること。
多層防御
不正アクセス防ぐ入口対策だけでなく、不正に侵入された後の早期発見を施す内部対策、外部への情報漏洩などの被害を減らす出口対策を組み合わせるなど、不正アクセスのフェーズを毎にセキュリティ対策をすること。
ジョブローテーション
職務をある一定期間で変更することにより、不正行為の早期発見や共謀による不正行為を防ぐ。
アメリカ連邦法(刑法、および民法)
FISMA (Federal Information Security Modernization Act))=連邦情報セキュリティマネジメント法
連邦政府機関や政府機関から業務委託を受けている民間の外部委託先を対象として、セキュリティ対策の実施を義務付ける法律。FISMAの先駆けとしてGISRAがあったが廃止された。
HIPAA(Health Insurance Portability and Accountability Act)
個人の病歴や投与している薬などから病気を推測できるので個人の健康情報は保護する必要がある。対象は医務室、保険会社、取引先、雇用主を含む(これに限定されない)医療データを扱う企業や事務所。保護する対象はPHI(Protected Health Information)。
PCI DSS (Payment Card Industry Data Security Standard)=クレジットカード情報取扱会社
カードの会員情報を適切に保護するために6つの目的を達成することを規定している。
①安全なネットワークとシステムの構築と維持
②カード会員データの保護
③脆弱性管理プログラムの維持
④強力なアクセス制御手法の導入
⑤ネットワークの定期的な監視およびテスト
⑥情報セキュリティポリシーの維持
SOX(Sarbanes Oxley Act)
財務処理を透明化し投資家や一般人を保護することを目的とした法律。上場企業を対象とする。取締役会、経営陣、公認会計士事務所などの株式公開会社のITトランザクションのフローを含め、内部統制評価を求める。
GLBA(Gramm-Leach-Bliley Act)
ローン、財務・投資アドバイス、保険などの個人向け金融商品・サービスなどの個人金融資産を保護するための法律。対象はこれらの金融資産を提供する企業。対象となる金融機関は毎年、顧客へのプライバシー通知を提供する必要がある。
ロール
データ管理者
データオーナーや経営者が定義したセキュリティコントロールを実装する責任がある。データの完全性確認、バックアップのテスト、セキュリティポリシーの管理も行う。
データオーナー
データの持ち主であり、そのデータのCIAレベルやセキュリティコントロールの内容を定義する。
ユーザー
データを利用し業務を行う一般職員。
監査人
企業の内部コントロールを評価する。
知的財産(Intellectual Property)
人間の創造による製作物。
特許
画期的な発明や製品に対して、一定期間の独占を認める。基本的には20年の間保護される。
条件;
- 産業上利用できる(産業上の利用可能性)
- 新しいものである(新規性)
- 容易に考え付かない(進歩性)
- 先に特許を取得されていない(洗願)
- 公序良俗を害さない
著作権
著作物を生み出した人に与えられ、自分の創作物を無断利用・コピーから保護する。
著作者の死後70年間保護される。
商標
事業会社が自社の製品・サービスと他社製品を区別する際に使用されるロゴやマークのこと。10年ごとに商標更新が必要だが、実質無期限に保護される。
営業秘密
社外に漏れると企業の優越性を損なう情報。法による保護対象ではない。
合衆国法律集(United States Code U.S.C)=合衆国法典
アメリカ合衆国の連邦法律のうち一般的かつ恒久的なものを主題別に集めた公式法令集。刑法と民法が記載されている。
連邦規則集(Code of Federal Regulations)=CFR
米国の連邦政府により連邦官報の中で公布される一般的かつ永続的な規則・規定を集成した法典であり、アメリカ合衆国の行政法である。
影響
何らかの理由によるシステムが使用できなくなった際に企業や事業に与える被害のこと
RPO(Recovery Point Objective)=目標復旧地点
どのくらい前のデータに復旧させるのかの目標値
可能性(発生可能性)
何らかの被害を受ける発現可能性。脆弱性を利用される可能性や人的ミスによる障害、自然災害の発生確率などを含む。
情報セキュリティプログラム(Information Security Program)
情報セキュリティポリシー、プロシージャ、ガイドライン、スタンダードのドキュメントセットのことであり、効率的なセキュリティ管理手順やコントロールのロードマップを示す。
情報セキュリティプログラムのオーナーはセキュリティコントロールを実装するオーナーとは別であることが標準である。またなるべく経営幹部レベルの職員でプログラムの管理に集中することが出来るポジションの職員が適任。CIOなど。
BCP(Business Continuity Plan)=事業継続計画
様々な脅威(災害、人災、パンデミックなど)による組織の事業への影響を最小限に抑え、事業を継続する計画であり、何らかのインシデントが発生した際に実施する。事業継続計画を立てる際は経営幹部がきちんと参画し、優先順位の決定、リソースの調達、メンバー間の論争の仲裁が含まれる。
SOC(System and Organization Controls)
SOCレポートとは、独立した外部監査人が企業のサービスプロセスやコントロール評価をした結果発行されるレポートである。企業の内部統制を評価するのに利用させる報告書である。SOCはAICPA(米国公認会計士協会)が定めた基準に従い評価・発行される。
SOC1
・Type1
ある一時点での企業の財務情報のコントロールを評価する。
・Type2
ある一定期間での企業の財務情報のコントロールを評価する。より長期間のテスト・評価であるためType1よりも信頼性が高い。
SOC2
・Type1
ある一時点での企業の情報セキュリティやデータ保護のコントロールを評価する。
・Type2
ある一定期間での企業の情報セキュリティやデータ保護のコントロールを評価する。より長期間のテスト・評価であるためType1よりも信頼性が高い。
SOC3
評価基準はSOC2と同じだが公開情報のみを取り扱うため、情報の信頼性は低い。ホームページに掲載されていることが多い。
STRIDE脅威モデル
①Spoofing(なりすまし)→正規な通信相手に成り済ます攻撃
②Tampering(改ざん)→情報を改ざんする攻撃
③Repudiation(否認防止)→過去の行為を取り消すことができないこと
④Information disclosure(情報漏洩)→機密情報が外部に流出すること
⑤Denial of Service(サービス妨害)→サーバに負荷を与え、正常なサービスを提供できないようすること
⑥Elevation of Privilege(権限昇格)→脆弱性を悪用し。自身が保有する以上の権限を獲得する攻撃
情報セキュリティの要素(目的)
機密性(Confidentiality)
アクセス制限を行い、適切な人だけが情報資産へアクセスできること
完全性(Integrity)
情報が改ざんされず常に正しい状態を維持すること
可用性(Availability)
利用者が利用したいときに常にアクセスできること
否認防止(Non-repudiation)
情報資産へのアクセスを後から否定できないように証明する仕組み。デジタル署名やアクセスログ、操作ログが使用される。
SLA(Service Level Agreement)=サービスレベル合意書
通信サービスやクラウド製品などのITサービスを受ける際に保証するサービス内容や責任範囲を細かく定義しておき、それらが達成できなかった際にどうするのかまでを定めたもの。責任範囲や説明責任の根拠を明確にし、サービスを受ける側からするとサービスの品質担保の根拠や万一の損失補償などに利用される。 例)フェイルオーバーの時間、稼働時間、最大連続停止時間
