はじめに
CISSP(Certified Information Systems Security Professional)は試験範囲が膨大で、セキュリティに対する広く深い理解が必要です。
公式トレーニングが最も有効な試験対策ですが、そんなお金ないよという方や独学で合格を目指す方のバイブルとなるよう用語集を作りました。
ISC2発行の公式問題集の問題順に従い用語解説を行っているので、問題集と本サイトだけで対策可能な構成となっています。
この記事ではドメイン1で登場する用語を中心的に解説しています。
※あくまで備忘録となるため、内容の正確性を保証するものではありません
使用した問題集について
試験対策として公式が出版する問題集のみを使用して試験に合格しました。この問題集はAmazonで電子版の購入が可能です。Kindle版だと各問題番号が正答へのリンクとなっていてとても使いやすいので大変おススメです。
- セキュリティとリスクマネジメント(ドメイン1)#46~60
- 知的財産(Intellectual Property)
- デジタル署名=電子署名
- VPN(Virtual Private Network)
- VLAN(Virtual Local Area Network)
- DCM(Digital Content Management)=デジタルコンテンツ管理
- クラスタリング
- RAID
- ハッシュ化
- アクセス制御リスト(ACL:Access Control List)
- アメリカ連邦法(刑法、および民法)
- BCP(Business Continuity Plan)=事業継続計画
- セキュア設計
- Dos攻撃
- 情報セキュリティの要素(目的)
- セキュリティ管理コントロール
- ベースライン=セキュリティベースライン
- DRPの考慮費用
- アメリカ政府機関
- キーロガー
セキュリティとリスクマネジメント(ドメイン1)#46~60
知的財産(Intellectual Property)
人間の創造による製作物。
商標
事業会社が自社の製品・サービスと他社製品を区別する際に使用されるロゴやマークのこと。10年ごとに商標更新が必要だが、実質無期限に保護される。
著作権
著作物を生み出した人に与えられ、自分の創作物を無断利用・コピーから保護する。
著作者の死後70年間保護される。
特許
画期的な発明や製品に対して、一定期間の独占を認める。基本的には20年の間保護される。
条件;
- 産業上利用できる(産業上の利用可能性)
- 新しいものである(新規性)
- 容易に考え付かない(進歩性)
- 先に特許を取得されていない(洗願)
- 公序良俗を害さない
営業秘密
社外に漏れると企業の優越性を損なう情報。法による保護対象ではない。
デジタル署名=電子署名
送信者は送付するデータをハッシュ化し、そのハッシュ値を送信者の秘密鍵で暗号化する。受信者は送信者の公開鍵でハッシュ値を復号し、送付されたデータをハッシュ化する。受信者は復号したハッシュ値と自身でハッシュ化した値を比較し同じ値であればデータが改ざんされていないことの証明となる。
VPN(Virtual Private Network)
パブリックネットワークを様々な技術で仮想的に独立した回線にすることで、通信を保護する技術
IPsec-VPN(Security Architecture for Internet Protocol)
プロトコルスイート(複数のプロトコルをまとめたもの)の1つであり、様々なプロトコルを併用し安全な通信を担保する。通信を暗号化し、認証機能も備えているため、機密性、完全性、真正性を維持する。通信を始める際にDiffie-Hellmanアルゴリズムで共通鍵を作成し通信を暗号化する。
VLAN(Virtual Local Area Network)
物理的な接続でLANを分けるのではなく、仮想的なLANを作成し、ブロードキャストドメインを分割する技術。ルータ、L2/3スイッチを使用し実現することが出来る。
DCM(Digital Content Management)=デジタルコンテンツ管理
企業が保有するデジタルコンテンツを製造から配布までを合理的に管理する仕組み。
DCMを実現する施策としてDAMとCMSがある。
DAM(Digital Asset Management)
動画、写真、カタログデータなどのデジタルコンテンツをシステムを利用し、一元的に管理すること。
CMS(Content Management System)
Webサイトのコンテンツを構成するテキスト、画像、デザインなどを一元化して保存・管理するシステム。データベースに保存されているこれらのデータをCMSが取り出して、Webサイトを自動的に生成する仕組みとなっていて、HTMLやCSSの知識が無くてもWebサイトの構築が可能。
クラスタリング
サーバーを複数稼働させること、1つのシステムが停止しても常にサービスを提供できるようにする仕組み。
アクティブ/アクティブ
クラスタ内の全システムが通常の運用で稼働している状態。
アクティブ/パッシブ
片方をバックアップとして待機させておき、システム障害などが発生した場合にのみ稼働する。
負荷分散
サーバを複数稼働させて、サーバの前にロードバランサーを配置しトラフィックを分散させることでシステムのパフォーマンスと信頼性を向上させる仕組み。
RAID
複数のHDDを1つのHDDのように扱うことで、データの処理速度や信頼性を高める仕組み。
RAID0
ストライピングのみ。HDDを2台要する。1台でも故障するとデータを失う。
RAID1
ミラーリングのみ。HDDを2台要する。1台の故障であれば、データを保護できる
RAID5
パリティビット付きのストライピング。HDDを3台要する。1台の故障であれば、データを保護できる。
RAID10(1+0)
ストライピングとミラーリングを組み合わせたもの。HDDを2台要する。1台の故障であれば、データを保護できる。
ハッシュ化
ハッシュ関数と呼ばれる特別な計算方法により、データをランダムな値に変換する。同じハッシュ関数を使っているのであれば、同じデータからは常に同じ値が生成される。データの完全性検証に使用される。
アクセス制御リスト(ACL:Access Control List)
オブジェクト(リソース)に主眼を置いた認可方法。
例)FWなど。リソースAへのアクセスは全員“Read only“、リソースBへのアクセスは全員”なし“など。
アメリカ連邦法(刑法、および民法)
1974年プライバシー法(Privacy Act of 1974)
連邦政府による個人識別情報の収集、保有、利用および配布を規制する
合衆国憲法修正第4条
アメリカ権利章典の一部で、令嬢が発行されていなければ不合理な捜索および押収を禁止する。裁判所では解釈を拡大し、プライバシー権の礎となっている。
合衆国憲法修正第1条
米国連邦政府の立法府である連邦議会を設立する条項
ECPA(Electronic Communications Privacy Act of 1986)=1986年電子通信プライバシー法
司法当局が犯罪捜査の為に電子メールなどにアクセスする際の決まり
BCP(Business Continuity Plan)=事業継続計画
様々な脅威(災害、人災、パンデミックなど)による組織の事業への影響を最小限に抑え、事業を継続する計画であり、何らかのインシデントが発生した際に実施する。
BCPのステップ
①プロジェクト範囲の決定
組織の構造化分析・BCPチーム結成・利用可能なリソース評価、法整備の分析
②策定の目的設定
何を守るべきかの目標を設定する
③重要業務とリスクの洗い出し
事業を継続するにあたって、最も優先すべき事業を洗い出し、その事業に付随する想定されるリスクを洗い出す
④リスクに優先順位をつける
リスクの発生頻度、影響度を基準に順位をつける=BIAを行う
⑤実現可能な具体策を決める
誰が指揮を執り、だれがその指示を受けて実際に行動するのかなどの緊急対応体制を構築する
⑥事業継続計画を文書化する
・事業継続計画の目標
・重要性の表明
・優先順位の表明
・組織的責任の表明
・緊急性とタイミングの表明
・リスクアセスメントおよびリスク需要と低減文書
・重要レコードプログラム
企業の存続に関わる文書や代替情報が他にない文書のこと
・緊急事態レスポンスガイドライン
緊急事態に対応して組織が従うべき即自的措置を含める必要がある
緊急事態を通知する必要がある人のリスト、第1対応者のための二次対応手順が含まれる
・計画のメンテナンスとテスト
セキュア設計
職務分離(SoD:Segregation of Duties)
1つの業務に対し、2人以上の担当者を配置し不正等を防止する方策。
多層防御
不正アクセス防ぐ入口対策だけでなく、不正に侵入された後の早期発見を施す内部対策、外部への情報漏洩などの被害を減らす出口対策を組み合わせるなど、不正アクセスのフェーズを毎にセキュリティ対策をすること。
最小特権
ユーザが職務を遂行するのに必要な権限のみを付与しセキュリティを保護する方策。
強制休暇
複数の従業員が共謀して不正行為を働くことを防ぐために、各従業員に対して最低でも1週間~2週間の休暇を取得させること。
電子ボールティング(Electronic Vaulting)
スケジューリングされた時間(毎日等)にプライマリーDBからリモートサイトのDBへバックアップを自動転送すること。
Dos攻撃
サーバやシステム、ネットワークに過剰な負荷を与え、正常に稼働できないようにさせる攻撃。
例)TCP SYN攻撃
情報セキュリティの要素(目的)
機密性(Confidentiality)
アクセス制限を行い、適切な人だけが情報資産へアクセスできること。
完全性(Integrity)
情報が改ざんされず常に正しい状態を維持すること。
可用性(Availability)
利用者が利用したいときに常にアクセスできること。
否認防止(Non-repudiation)
情報資産へのアクセスを後から否定できないように証明する仕組み。デジタル署名やアクセスログ、操作ログが使用される。
セキュリティ管理コントロール
ポリシー
ポリシーは、経営幹部や上級管理職によって組織に提供される指示や意思表示など、組織の方向性を定めるもの。
プロシージャ
プロシージャは、特定のタスクを達成するために必要な手順で、反復可能で誰でも実施可能なように定義する必要がある。
ガイドライン
ガイドラインは、期待される活動を明確にし、それを達成するためのベストプラクティスを提供する。遵守すべき義務ではなく、アドバイスである。
ベースライン=セキュリティベースライン
様々な業界スタンダードを組織のセキュリティ要件に合致するように調整したもので、組織の基準となる最低限のセキュリティである。組織において基準となるセキュリティ対策や要件が記載されており、資産を保護するために利用される。
DRPの考慮費用
取得原価
資産を購入するために要した原価であり、購入価格に付随費用を加えた合計の額。
減価償却費
設備投資などの費用を一定期間に配分する会計処理。
再調達原価
価格時点において土地や建物をもう一度調達することを仮定した場合、どのくらいの額が必要とされるのかを割りだした、適正な原価の総額。
機会費用
複数の選択肢の中から一つの案を選択した場合、採用されなかった最善の案を選択した場合に得られたはずの利益。
アメリカ政府機関
NSA(National Security Agency)=国家安全保障局
NSAは電話や電子メールやインターネットなどの通信網の盗聴(通信傍受)および収集した情報のパターン分析や暗号解読および政府の通信の暗号化などを主な任務とする。
FCC(Federal Communications Commission)=連邦通信委員会
アメリカ合衆国議会の法令によって創設され、監督され、及び権限を与えられたアメリカ合衆国連邦政府の独立機関。アメリカ国内の放送通信事業の規制監督を行う。
DoD(Department of Defense)=アメリカ合衆国国防総省(ペンタゴン)
アメリカの行政機関のひとつ。同国の8つの武官組織のうち、沿岸警備隊、アメリカ公衆衛生局士官部隊、合衆国海洋大気局士官部隊を除くアメリカ軍(陸軍、海軍、空軍、海兵隊、宇宙軍)を管轄する。
NIST(National Institute of Standards and Technology)=米国国立標準技術研究所
アメリカ合衆国の連邦政府機関の一つで、科学技術に関連する標準についての研究などを行う機関。CSD(Computer Security Division)はレポートやガイドラインなどを発行していて、SP800シリーズがセキュリティ関連のガイドラインとしてよく利用される。
キーロガー
PCやスマートフォンなどデバイスの入力を記録するソフトウェア、またはデバイス。パスワードや個人情報などの機密情報を盗むために使用される。
