独学で作るCISSP用語集(1)〜セキュリティとリスクマネジメント(ドメイン1)編

CISSP資格取得

注意書き)

現在、本ブログははてなブログから移行をしている最中です。結構過去に書いたものであることご了承ください。(2021/02/21 01:13 記事更新)

大体の人が数万円もする「CISSP CBK公式ガイド」を購入し独学で勉強をしているという話の中に、以下の参考書を何度も繰り返し解いて試験に合格したという話をWEBで見つけました。「おぉ、何たる猛者なんだろう!」と思い、非常に感心したのを覚えてます。

なので、かかるお金を最低限にするためにこの問題集のKindle版を購入し、早速読み始めるも、何のことやらさっぱり分かりません。

何故なら・・・セキュリティに関しては全くのド素人だから(汗

なので、まずは問題集に出てくる文言の整理から始めることにしました。文言の整理といっても、Excelに重要そうなキーワードとその説明をつらつらと纏めているだけなんですが、少なくともこの重要そうなキーワードを押さえておけば、ある程度の問題は解けるんじゃないかなという発想から、こんな作業をしています。

とはいえ、全くと言っていいほど分からないド素人の私には、この作業すらもなかなか難儀でして。ネットから有用な情報を持ってくるだけでも、四苦八苦しながらという、まさに修行に近い感じです。

ちなみに参考までに、こんな風に纏めてますよという感じが分かるように、今まさに作り途中のものをアップしてみます。

※ブログ引越し中のため、ファイルは2021年6月7日時点のものになるので、この後のブログと時系列の整合性が取れてません。何とぞ気¥ご理解のほどを。

問題集が章立てされているので、各章ごとにExcelのシートに分けて記載していくような感じで書いてますが、これはその章1つ1つでカテゴライズされているような問題集なので、そのカテゴリ毎にシートが分かれていた方が理解しやすいかなと感じたためです。

ちなみに、完成したらまた改めてアップしますが、仮に「本当に使えるものが出来た!」と自負する様なものが出来上がったらになります。納得がいかなければここままで。

で、今回調べたのは以下の文言です。(これはExcelにも記載があります。)

第1章 セキュリティとリスクマネジメント(ドメイン1)

定量的リスク分析

特定したリスクがプロジェクト目標全体に与える影響を数量的に分析するプロセス。

財務リスクの分析に優れている。

例)Aのリスクは6ポイント、Bのリスクは9ポイント、Cのリスクは3ポイント

定性的リスク分析

リスクの発生確率と影響度の査定とその組む合わせを基に、その後の分析や処置のためにリスクの優先に付けを行うプロセス。

例)AのリスクはBよりも高い、CのリスクはAよりも低い

不正アクセスポイント

一見正規のSSIDと見せかけて、新しい接続を誘うことを目的としたアクセスポイント。

リプレイ

標的としたシステムのアクセス権を取得しようとしてキャプチャーした通信を再送信する攻撃。

悪魔の双子

正規のアクセスポイントのSSIDおよびMACアドレスになりすましたアクセスポイントによる攻撃。

ウォードライビング

無線ネットワークを見つけるために検出ツールを使用する一連の行為。

デジタルミレニアム著作権法(DMCA)

主にデジタル化された著作物の流通を想定し、これに対応するための規定を追加したアメリカ合衆国の著作権法。

独立した法律ではなく、著作権法を改定する法律である。
DMCAはユーザの一過性のアクティビティに対してプロバイダは責任を追わないとの記載がある。

一般データ保護規則(GDPR)

(=EU一般データ保護規則)
欧州連合(EU)が定めた個人情報やパーソナルデータの保護に関する規則。1995年のEUデータ保護指令を書き換える形で施行され、領域内に居住する個人に紐づいたデータを扱う企業などに課される義務などを定めている。

追記 2021/08/22)特定の明確で正当な目的のために情報を収集する必要性、明言された目的の達成に必要な情報に限定して収集する必要性、不慮の破壊からデータを保護する必要性が謳われている。

脅威モデリング

ソフトウェアとシステムおよびその稼働環境から適用可能な脅威を特定し、その脅威の発現可能性や度合いからセキュリティ要件を特定し、どのようなセキュリティ・テストが必要かを判断するセキュリティ施策の一つ。

3つの一般的な脅威モデリング手法→
 1.試算に着目する
 2.攻撃者に着目する
 3.ソフトウェアに着目する

データ侵害法(データ侵害通知法)

個人の「個人情報(personal information)」または「個人識別可能番号(personally identifiable infomation)」について定めている。

個人識別可能情報は一般的に、個人のファーストネームもしくはイニシャルおよびラストネームと、暗号化されていないセンシティブデータ(例えば社会保障番号(social security number)、運転免許証番号、銀行口座番号、クレジット/デビットカード番号、医療健康保険情報またはコンピュータ・ユーザ名とパスワードなど)の組み合わせと定義される。

また勉強が進んだら、用語について記載しようと思います。

が、その前に前回話していた無料動画を見てみようかな・・・。

コメント

タイトルとURLをコピーしました