📌
CISSP勉強メモ #1-0 Domain1の概要
Domain 1: セキュリティとリスクマネジメント(Security and Risk Management)
このドメインの概要
- セキュリティの基本概念を学びます。
- 8つのCBKのベースとなる概念が盛りだくさんです。
- なるべく日本語に訳しながらメモしますが、よくわからなかったところは無理に訳さずにメモります。
主なテーマ
- セキュリティとリスクの基本概念
- コンプライアンス
- 助行継続性
主なキーワード
- セキュリティのCIA triad
- SubjectとObject
- ALE: Annual Loss Expectancy(年間予想損失額)
- 脅威と脆弱性
- リスク
- Safeguard
- TCO: Total Cost of Ownership
- 投資対効果
勉強メモ
CIA Triadとは
- ご存知の通り、セキュリティとは機密性、完全性、可用性のtriadで構成されていますよ。
- 3つ揃って「セキュアなシステム」です。
- どれかが大切という訳ではない。
- CIAに対立する概念は、漏洩(Disclosure)、改竄(Altreation)、破壊(Distruction)の"DAD"。
AAA: Identity and Authentication, Authorization and Accountability
- Identiry and Authentiction: 識別子と認証
- Identityはユニークでなければならない。
- Authorization: 識別、認証後に実行できる権限のこと。
- Accountability: 責任追跡性。通常、ロギングと監査データの分析によって実現する。「正直な人を正直に保つ」ことに役立つ。
否認防止
- Non-Repudiation: 否認防止
- 電子署名や、改ざんできない方法でロギングするなどにより実現する。
Least PrivilegeとNeed to Know
- Least Privilege: 最小権限
- Need to Know: 必要な人にだけ知らせる
SubjectとObject
- Subject: An active entity on data system.と書かれている。いわゆる主体。人とかコンピュータとか。
- Object: A Passive data within the system.と書かれている。日本語に訳せない。
- Objectには、紙の書類も含まれる。そりゃそうか。
Defense-in-Depth: 多層防御
- 言わずと知れた概念。
- 一つの対策(Security Control)が破られても、複数のコントロールを展開しておくことで、データのCIAを確保できる。
Due Care and Due Diligence
- よくわからない概念。両方とも「注意義務」と訳せる。
- Due diligence is the management of due care.と書かれている。ディーデリジェンスはデューケアの管理?
今日はここまで。続きはまた今度。
Discussion