独学で作るCISSP用語集(9)〜セキュリティとリスクマネジメント(ドメイン1)編

CISSP資格取得

注意書き)

現在、本ブログははてなブログから移行をしている最中です。過去に書いたものであることご了承ください。

本日2つ目の気になることをニュースサイトで発見!(まぁ、本日と言っても前のブログは日付が変わる前なので、正確には本日1つ目になるんですけどね。)

nlab.itmedia.co.jp

・・・マジっすか??

上記のサイトを読んでみてびっくり!USB2.0との互換性を保つために、USB3.0はUSB2.0コネクタの根元に3.0用のピン(端子)を追加したもので、USBを早く差せば2.0の端子を認識する前に3.0の端子にたどり着く的な設計だったなんて、かなりオドロキです!

こんなアナログな設計ってありなんでしょうか?(^^;

皆さんも興味があれば上記サイトを読んでみてくださいね~。

それでは、本日の備忘録に。

第1章 セキュリティとリスクマネジメント(ドメイン1) ー続きー

認可

一般的には情報セキュリティおよびコンピュータセキュリティに関わるリソースへの、とりわけアクセス制御へのアクセス権限を特定する機能である。

よりフォーマルに言えば、「認可する(to authorize)」とはアクセスポリシーを定義することであり、例えばアクセス制御リストやcapabilityの形をとり、「最小権限の原則」を基礎とする。

「最小権限の原則」とは、利用者は自身の仕事に必要な場合だけアクセスを認可される、というものである。

可用性

情報を使おうとしたときに使える状態にしておくこと。

可用性を維持するためには、誰もが情報にアクセスすることができる状態が理想だが、機密性や完全性を保つためには「情報にアクセスしてもよい人がアクセスできるような状態にしておくこと」が求められる。

可用性を脅かすリスクとして、以下のようなものが挙げられる。

  • ランサムウェア
  • Dos攻撃
  • ハードウェア障害/誤動作
  • 自然災害

ランサムウェア

マルウェアの一種で、感染した媒体の特定のファイルが暗号化されて読み取れなくなってしまったり、媒体のアクセス権が損なわれたりする。

ランサムウェアに感染すると、被害者に対して身代金(ランサム)が要求されるため、ランサムウェアと呼ばれている。

Dos攻撃

WEBサービスなどを提供しているサーバに対して意図的に高負荷をかけることで、サービスを妨害したりサーバを停止させたりするもの。大量のマシンから一斉にDos攻撃を仕掛けるDdos攻撃や、ブラウザからF5キーを押すことでページを何度も再読み込みさせ、サーバへ大量のリクエストを送信するF5アタックと呼ばれるものが一般的。

機密性

権限のない人間が情報にアクセスしようとするのを防止すること。

機密性を維持するためには個人情報は社内外問わず最低限の人間のみがアクセスできるようにしておくのが理想的だといえる。

機密性を損なう脅威として以下がある。

  • マルウェア
  • SQLインジェクション
  • ソフトウェアやOSの脆弱性
  • フィッシングサイト
  • 通信のなりすまし

マルウェア

あるファイルやプログラムに寄生しコンピュータに入り込み、自己複製を繰り返したり、コンピュータの一部機能をロックしたりすることでコンピュータに様々な問題を発生させるプログラムのことを指す。

SQLインジェクション

SQLとPHPやPythonといったサーバサイド言語の脆弱性をついた攻撃のことを指す。

例えば、PHPだとURLのクエリストリングによってインプットされたデータを元にSQL文を組み立てることは一般的だが、こういった「SQLの組み立ての仕組み」に脆弱性があると、故意にプログラム作成者が想定できなかったサブクエリなどを実行することが可能となり、本来表示されるべきではない情報が盗み出されてしまう。

多くのプログラミング言語にはプリペアードステートメントという機能が備わっているので、こうした機能を活用してSQLインジェクションによる攻撃を妨害する必要がある。

本当は完全性についてもここに記載したかったんだけど、ちょっと今日は時間切れ。後ほど付け足しておこうと思います。

コメント

タイトルとURLをコピーしました