独学で作るCISSP用語集(25)〜資産のセキュリティ(ドメイン2)編

CISSP資格取得

しばらくサボってしまいましたので、久しぶりの更新になりました。こうも暑いと、なかなか勉強する気にもなれずにって感じで、気がつけば7月も後半に突入。梅雨空からは一変、完全に夏空になりましたねー。お盆休みが待ち遠しい・・・(とは言っても、コロナのせいで遠出が出来ないのが残念ですが。)

カロ
カロ

暑いよぉ。どうになんないのかな、この暑さ・・・

さて、本日までの成果を以下に記載します。

第2章 資産のセキュリティ(ドメイン2) ー続きー

グループポリシー

ユーザやコンピューターに対する設定を一元的に管理するためのActive Directoryの仕組み(機能)である。セキュリティを強化したり、Windowsの機能を有効/無効にしたりするといった目的で、企業内で扱うコンピュータ/ユーザに対して同じ設定を適用したい場合に活用する。

セキュリティベースラインの設定を監視・適用することができる。

NIST SP 800-53(連邦政府情報システム、および連邦組織のためのセキュリティ管理策とプライバシー管理策)

米国政府内の情報システムをより安全なものにし、効果的にリスク管理するためのガイドライン。

日本政府も、政府で導入するクラウドサービスに要求するセキュリティ管理基準の一つとして採用する方針を出しており、日本国内の各組織でも無視できないガイドラインとなっている。

POODLE攻撃

SSL3.0プロトコルの脆弱性をつく攻撃。SSL3.0による暗号通信の内容を解読される恐れがある。

BEAST

SSL/TSLの脆弱性をついた攻撃手法。BEASTとは、Browser Exploit Against SSL/TLSの略。ブロック暗号のCBC(Cipher Block Chaining)モードの自走上の脆弱性と選択平文攻撃を組み合あせたのが、BEAST攻撃の特徴。

CRIME

暗号文の圧縮率から元データを解読する攻撃。暗号を直接解読するのではなく、圧縮後のサイズ変化を利用したサイドチャネル攻撃を行う。

サイドチャネル攻撃

攻撃対象のセキュリティ対策(CRIMEやBREACHの場合は暗号)などを直接攻撃するのではなく、動作を観察して攻撃する手法。

AES256

AES(Advanced Encryption Standard)と呼ばれる暗号化のうち、256ビット長の暗号化を使用する方式の事である。

電子署名

契約書などをデータ化した電子文書に対して付与される署名で、確かに本人が署名していること、内容が改ざんされていないことを証明する機能を持っている。

編集後記(雑記)

梅雨明け

ようやくジメジメした梅雨も終わり、カラッとした夏晴れの空が続くようになってきましたね。これぞ「夏」って言う感じでしょうか。

続々と日本列島の色んな地域で梅雨明けが報告されていますが、注目すべきは四国。なんと、今年は梅雨の期間が65日で、過去最も長い梅雨になったんだそうです。

いやぁ、65日間もジメジメした日が続くと思うと、いい加減にしてくれぇ!って発狂しそうですよね。これだけ梅雨が長く続くと水害も心配になるし、カビだって普段よりも生えやすくなるだろうし、ナメクジだって出てくるだろうし、気分が滅入る一方です。

ただ、水は近年「水資源」と言われ方をするように大切な資源なので(最近では砂資源なんてのもあるそうですが)、大地が潤ってくれる程度に適度な雨が降ってくれれば良いなぁと思います。

お天道様、適度によろしくね!

コメント

タイトルとURLをコピーしました