独学で作るCISSP用語集(5)〜セキュリティとリスクマネジメント(ドメイン1)編

CISSP資格取得
スポンサーリンク

注意書き)

現在、本ブログははてなブログから移行をしている最中です。結構過去に書いたものであることご了承ください。

更新が週に1回程度になってますが、結局その程度の間隔でしか勉強時間が取れないということで、結構苦労してます(汗

で、そんな状況なのにも関わらず、先日公にCISSP取得を目指すことを宣言してしまいました・・・自分を追い込んでます。大丈夫なんでしょうかね(と、まるで他人事のように話してますが、結構焦ってます。)

もちろん資格があった方が、業務的にも、今後の自分の人生の選択を迫られる場合でも有利に働くだろうし、資格を取ること自体には前向きなんですが、何せ時間をどう確保しようかっていうところに悩みの種があり、これがなかなか解決しそうにないんです。

・・・まぁ、ボヤいても仕方ないので、ない時間からできるだけ勉強時間を絞り出していきたいと思います。もちろん、倒れない程度にね(笑)

それでは、本日学んだこと(というか調べたこと)をレポートします。

第1章 セキュリティとリスクマネジメント(ドメイン1) ー続きー

STRIDE

脅威分析手法の一つ。Microsoft社によって提唱された。

  • Spoofing(なりすまし)
  • Tampering(改ざん)
  • Repudiation(否認)
  • Information Disclosure(情報漏洩)
  • Denial of Service(サービス拒否)
  • Elevation of Privilege(権限昇格)の英語頭文字をとってSTRIDEと呼ぶ。

Spoofing(なりすまし)

  • 他人に偽装すること。例えばパソコンのID/パスワードが他人に知られてしまった場合、他人がそのID/パスワードを利用してそのパソコンにログインしようとすること。
  • セキュリティの7要素のうち、真正性(authenticity)を侵害。
  • 防止するには多要素認証や通信の暗号化による通信傍受を妨げることが有効。

Tampering(改ざん)

  • ファイル(文章)やログ等の情報資産が不正に書き換えられること。
  • セキュリティ7要素のうち、完全性(Integrity)を侵害する。
  • 防止するにはファイル暗号化やアクセス制御による情報資産によるアクセスを妨げること、また、改ざん検知製品による改ざんの早期発見、復旧が有効。

Repudiation(否認)

  • ある行為が発生した場合、その行為をしたのは自分ではないと認めないこと。例えば、AさんがBさんに電子メールを送信したにもかかわらず、Aさんが「そんなメールは送ってない」と主張すること。
  • セキュリティ7要素のうち、否認防止(non-repudiation)を侵害する。
  • 防止するにはデジタル署名が有効。

Information Disclosure(情報漏洩)

  • ハッカー等による外部からの攻撃や自組織に職員による内部不正等により、意図しない経路や手段で情報が漏洩すること。
  • セキュリティ7要素のうち、否認防止(non-repudiation)を侵害する。
  • 情報漏洩を某8資する手段は多々あるが、多層防御による考え方が有効。

Denial of Service(サービス拒否)

  • 情報システムにキャパシティ以上の負荷をかけることで、情報システムをダウンさせ、その組織が提供しているサービスを停止させること。
  • セキュリティ7要素のうち、可用性(Availability)を侵害する。
  • 防ぐのは難しいが、ファイアウォール等の機能で急激なトラフィックの発生を検知すると遮断する機能を利用する。また、CDN(コンテンツデリバリーネットワーク)を利用する方法もある。

Elevation of Privilege(権限昇格)

  • セキュリティホールから侵入し、特権の昇格により管理者権限を奪取することにより不正アクセスを行う。
  • セキュリティ7要素を直接は侵害しないが、特権を利用して、気密性や完全性、可用性を侵害させる。
  • CPU等のハードウェア、OS、アプリケーションの脆弱性をついた攻撃によってなされることが多い。
  • 脆弱性診断を実施して未然に脆弱性を防ぐ方法や、IDS/IPSやWAFによってその脆弱性をつく通信を検知、遮断する方法がある。また、攻撃が成功した場合でも、特権ID管理や最小権限の法則に基づいた権限設定を実施しておけば被害は局所化することができる。

FISMA

連邦情報セキュリティマネジメント法。この法律では、連邦政府機関が情報セキュリティを強化することを義務づけ、米国NIST(国立標準技術研究所)に対しては、そのための企画やガイドラインの開発を義務付けている。
この法律の対象となるのは、連邦政府機関や、連邦政府機関より業務委託を受けている民間の外部委託先である。

PCI DSS

加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準。

GISRA

政府情報セキュリティ改革法。FISMAの前身で、2002年のFISMA成立に伴い失効。

セキュリティ7要素」っていうのと「多層防御」ってのを時間があるときにもう少し詳しく見ておかないとな・・・セキュリティ初心者にCISSPはハードルが高すぎるし(汗

それでは。

コメント