はじめに
CISSP(Certified Information Systems Security Professional)は試験範囲が膨大で、セキュリティに対する広く深い理解が必要です。
公式トレーニングが最も有効な試験対策ですが、そんなお金ないよという方や独学で合格を目指す方のバイブルとなるよう用語集を作りました。
ISC2発行の公式問題集の問題順に従い用語解説を行っているので、問題集と本サイトだけで対策可能な構成となっています。
この記事ではドメイン1で登場する用語を中心的に解説しています。
※あくまで備忘録となるため、内容の正確性を保証するものではありません
使用した問題集について
試験対策として公式が出版する問題集のみを使用して試験に合格しました。この問題集はAmazonで電子版の購入が可能です。Kindle版だと各問題番号が正答へのリンクとなっていてとても使いやすいので大変おススメです。
- セキュリティとリスクマネジメント(ドメイン1)#76~90
- BCP(Business Continuity Plan)=事業継続計画
- 認証
- 認可
- 完全性(Integrity)
- 否認防止(Non-repudiation)
- セキュア設計
- 変更管理
- 補完的(補償的)コントロール
- リスクマネジメント
- COPPA (Children’s Online Privacy Protection Act) =児童オンライン保護法
- FEMA(Federal Emergency Management Agency)
- リスク評価
- Wireshark
- 情報セキュリティの3要素(目的)
- 脆弱性評価(Vulnerability Assessment)
- DAST(Dynamic Application Security Testing)=動的テスト
- 低減分析
- データモデリング
- アメリカ連邦法(刑法、および民法)
- 識別
- 認証
セキュリティとリスクマネジメント(ドメイン1)#76~90
BCP(Business Continuity Plan)=事業継続計画
様々な脅威(災害、人災、パンデミックなど)による組織の事業への影響を最小限に抑え、事業を継続する計画であり、何らかのインシデントが発生した際に実施する。
BCPのステップ
①プロジェクト範囲の決定
組織の構造化分析・BCPチーム結成・利用可能なリソース評価、法整備の分析
②策定の目的設定
何を守るべきかの目標を設定する
③重要業務とリスクの洗い出し
事業を継続するにあたって、最も優先すべき事業を洗い出し、その事業に付随する想定されるリスクを洗い出す
④リスクに優先順位をつける
リスクの発生頻度、影響度を基準に順位をつける=BIAを行う
⑤実現可能な具体策を決める
誰が指揮を執り、だれがその指示を受けて実際に行動するのかなどの緊急対応体制を構築する
⑥事業継続計画を文書化する
・事業継続計画の目標
・重要性の表明
・優先順位の表明
・組織的責任の表明
・緊急性とタイミングの表明
・リスクアセスメントおよびリスク需要と低減文書
・重要レコードプログラム
企業の存続に関わる文書や代替情報が他にない文書のこと
・緊急事態レスポンスガイドライン
緊急事態に対応して組織が従うべき即自的措置を含める必要がある
緊急事態を通知する必要がある人のリスト、第1対応者のための二次対応手順が含まれる
・計画のメンテナンスとテスト
認証
ユーザの資格情報を検証する手段、プロセス。
パスワード検証
ユーザが自身で決めた文字列。
トークン検証
一度しか利用できないワンタイムパスワードを作成する。
- ハードウェアトークン
キーホルダー型やカードタイプなどの専用機器でワンタイムパスワードを生成する。 - ソフトウェアトークン
スマホなどにインストールしワンタイムパスワードを生成する。
MFA(Multi Factor Authentication)=多要素認証
複数の要素を組み合わせてユーザを認証する方法。
- あなたが知っているもの=タイプ1
例)パスワード、秘密の質問 - あなたが持っているもの=タイプ2
例)スマートカード、トークン - あなたがだれであるか=タイプ3
例)バイオメトリックス要素(指紋、静脈、網膜)
認可
ユーザがオブジェクトに対して保有する権限を検証する手段、プロセス。
- アクセス制御リスト(ACL:Access Control List)
オブジェクト(リソース)に主眼を置いた認可方法。
例)FWなど。リソースAへのアクセスは全員“Read only“、リソースBへのアクセスは全員”なし“など。
完全性(Integrity)
情報が改ざんされず常に正しい状態を維持すること
否認防止(Non-repudiation)
情報資産へのアクセスを後から否定できないように証明する仕組み。デジタル署名やアクセスログ、操作ログが使用される。
セキュア設計
最小特権
ユーザが職務を遂行するのに必要な権限のみを付与しセキュリティを保護する方策。
職務分離(SoD:Segregation of Duties)
1つの業務に対し、2人以上の担当者を配置し不正等を防止する方策。
多層防御
不正アクセス防ぐ入口対策だけでなく、不正に侵入された後の早期発見を施す内部対策、外部への情報漏洩などの被害を減らす出口対策を組み合わせるなど、不正アクセスのフェーズを毎にセキュリティ対策をすること。
変更管理
ITサービスに変更が加わる際に効率的に実現するための管理。
変更管理をする際の目標;
- 整然とした方法で変更を実装する
- 変更する前に変更をテストする
- 変更のロールバック計画を用意する
- 変更の発生前に利害関係者に知らせる
補完的(補償的)コントロール
メインのコントロールが機能しない場合の追加措置
リスクマネジメント
主なリスク対応は4つある
- リスク移転
リスクによる影響を第三者へ移す。リスクの影響による損失を他者と共有したり移したりする。
例)保険の加入 - リスク回避
リスクを発生させる活動を停止する。リスクがある行動を一切取らない。
例)事業を停止する - リスク低減
リスクの発生可能性・影響を抑える。管理・論理・物理的対策を導入する。
例)FWの導入、データセンターの周りのフェンス - リスク受容
リスクを受け入れる。リスクの影響力が小さいと判断し、リスクに対する施策を取らない。決定プロセスを文書化する。
例)何もしない
COPPA (Children’s Online Privacy Protection Act) =児童オンライン保護法
1998年にアメリカ合衆国で制定された法律。この法律は、インターネット上で子供のプライバシーを保護することを目的としている。13歳未満の子供から個人情報を収集するには、事前にWebサイトで保護者の同意を得ることを要求する。
FEMA(Federal Emergency Management Agency)
天災人災問わず米国で発生する大規模災害対応を専門とする米国国土安全保障省の中の機関
リスク評価
- SLE(Single Loss Expectancy)=単一損失予測
1回のインシデントや災害などで予想される損失金額
SLE = AV × EF - AV(Asset Value)=資産価値
- EF(Exposure Factor)=露出ファクター
影響を及ぼすイベント発生時の資産価値に対する損害の割合 - ARO(Annual Rate of Occurrence)=年間発生率
1年間で影響を及ぼすインシデントや災害などが発生する確率 - ALE(Annual Loss Expectancy)=年間損失予想額
1年の間で予想されるインシデントや災害などで損失する金額
ALE = SLE × ARO
Wireshark
ネットワークプロトコルアナライザーとして知られるオープンソースソフトウェア。ネットワーク上で送受信されるデータパケットをキャプチャし、表示、分析するためのツール。さまざまなプラットフォームで利用可能であり、TCPやUDPなどのさまざまなネットワークプロトコルをサポートしている。
情報セキュリティの3要素(目的)
情報セキュリティの目標は資産の機密性・完全性・可用性を保護すること。それぞれの頭文字を取って、CIAと呼ばれる。
- 機密性(Confidentiality)
アクセス制限を行い、適切な人だけが情報資産へアクセスできること - 完全性(Integrity)
情報が改ざんされず常に正しい状態を維持すること - 可用性(Availability)
利用者が利用したいときに常にアクセスできること
脆弱性評価(Vulnerability Assessment)
システムやネットワークに存在する脆弱性を特定し、その脆弱性が悪用された場合の潜在的なリスクを評価するプロセス。脆弱性評価は定期的に実施されることが一般的であり、組織がセキュリティレベルを維持し、潜在的なリスクを最小限に抑えるのに役立つ。
脆弱性評価の主な目的は次の通り:
- 脆弱性の特定
システムやネットワークに存在する潜在的な脆弱性を特定する。
例)セキュリティホール、不適切な構成、未修正のソフトウェアなど - 脆弱性の分析
特定された脆弱性の深刻度や影響を分析し、それが悪用された場合の潜在的なリスクを評価する。
例)機密情報の漏洩、システムの停止、サービスの中断などの影響評価 - 優先順位付け
特定された脆弱性を優先順位付けし、対処すべき脆弱性の重要度を決定する。これには、影響の大きさ、悪用の容易さ、対策の実施可能性などが考慮される。 - 対策の提案
特定された脆弱性に対処するための対策や修正を提案する。これには、セキュリティパッチの適用、設定の変更、セキュリティ強化のためのソフトウェアやハードウェアの導入などが含まれる。 - 報告
脆弱性評価の結果を文書化し、関係者に報告する。報告には、特定された脆弱性、それに対するリスク、対策の提案などが含まれる。
DAST(Dynamic Application Security Testing)=動的テスト
ソフトウェアやシステムを評価する際に、実際にソフトウェアやシステムを実行した状態で行うテスト手法
- ファジング(Fuzzing)
予期しないランダムデータを生成後システムへ入力し、その反応を観察するテスト手法 - ジェネレーショナルファジング
従来のファジングに加えて、ソフトウェアやシステムの知識を組み込みより高度なテストケースを作成し、実行結果を観察するテスト手法
低減分析
システムを信頼境界、データフローパス、入力ポイント、特権操作、セキュリティコントロールの5つの要素に分解して分析する手法
データモデリング
システムやデータベースの設計プロセスにおいて、データの構造や関係性を理解し表現するための手法であり、設計者がデータの論理構造を明確に要件にしてビジネスプロセス・ルールをモデル化することが出来る。
アメリカ連邦法(刑法、および民法)
GLBA(Gramm-Leach-Bliley Act)
ローン、財務・投資アドバイス、保険などの個人向け金融商品・サービスなどの個人金融資産を保護するための法律。対象はこれらの金融資産を提供する企業。対象となる金融機関は毎年、顧客へのプライバシー通知を提供する必要がある。
PCI DSS (Payment Card Industry Data Security Standard)=クレジットカード業界データセキュリティ基準
カードの会員情報を適切に保護するために6つの目的を達成することを規定している。
- 安全なネットワークとシステムの構築と維持
- カード会員データの保護
- 脆弱性管理プログラムの維持
- 強力なアクセス制御手法の導入
- ネットワークの定期的な監視およびテスト
- 情報セキュリティポリシーの維持
HIPAA(Health Insurance Portability and Accountability Act)
個人の病歴や投与している薬などから病気を推測できるので個人の健康情報は保護する必要がある。対象は医務室、保険会社、取引先、雇用主を含む(これに限定されない)医療データを扱う企業や事務所。保護する対象はPHI(Protected Health Information)。
SOX(Sarbanes Oxley Act)
財務処理を透明化し投資家や一般人を保護することを目的とした法律。上場企業を対象とする。取締役会、経営陣、公認会計士事務所などの株式公開会社のITトランザクションのフローを含め、内部統制評価を求める。
識別
ユーザを識別する手段、プロセス。
- ユーザ名
ユーザを一意に識別する
認証
ユーザの資格情報を検証する手段、プロセス。
- パスワード検証
ユーザが自身で決めた文字列。 - トークン検証
一度しか利用できないワンタイムパスワードを作成する。- ハードウェアトークン
キーホルダー型やカードタイプなどの専用機器でワンタイムパスワードを生成する。 - ソフトウェアトークン
スマホなどにインストールしワンタイムパスワードを生成する。
- ハードウェアトークン
- MFA(Multi Factor Authentication)=多要素認証
複数の要素を組み合わせてユーザを認証する方法。- あなたが知っているもの=タイプ1
例)パスワード、秘密の質問 - あなたが持っているもの=タイプ2
例)スマートカード、トークン - あなたがだれであるか=タイプ3
例)バイオメトリックス要素(指紋、静脈、網膜)
- あなたが知っているもの=タイプ1
