📌

CISSP勉強メモ #1-0 Domain1の概要

2021/12/01に公開

Domain 1: セキュリティとリスクマネジメント(Security and Risk Management)

このドメインの概要

  • セキュリティの基本概念を学びます。
  • 8つのCBKのベースとなる概念が盛りだくさんです。
  • なるべく日本語に訳しながらメモしますが、よくわからなかったところは無理に訳さずにメモります。

主なテーマ

  • セキュリティとリスクの基本概念
  • コンプライアンス
  • 助行継続性

主なキーワード

  • セキュリティのCIA triad
  • SubjectとObject
  • ALE: Annual Loss Expectancy(年間予想損失額)
  • 脅威と脆弱性
  • リスク
  • Safeguard
  • TCO: Total Cost of Ownership
  • 投資対効果

勉強メモ

CIA Triadとは

  • ご存知の通り、セキュリティとは機密性、完全性、可用性のtriadで構成されていますよ。
  • 3つ揃って「セキュアなシステム」です。
  • どれかが大切という訳ではない。
  • CIAに対立する概念は、漏洩(Disclosure)、改竄(Altreation)、破壊(Distruction)の"DAD"。

AAA: Identity and Authentication, Authorization and Accountability

  • Identiry and Authentiction: 識別子と認証
  • Identityはユニークでなければならない。
  • Authorization: 識別、認証後に実行できる権限のこと。
  • Accountability: 責任追跡性。通常、ロギングと監査データの分析によって実現する。「正直な人を正直に保つ」ことに役立つ。

否認防止

  • Non-Repudiation: 否認防止
  • 電子署名や、改ざんできない方法でロギングするなどにより実現する。

Least PrivilegeとNeed to Know

  • Least Privilege: 最小権限
  • Need to Know: 必要な人にだけ知らせる

SubjectとObject

  • Subject: An active entity on data system.と書かれている。いわゆる主体。人とかコンピュータとか。
  • Object: A Passive data within the system.と書かれている。日本語に訳せない。
  • Objectには、紙の書類も含まれる。そりゃそうか。

Defense-in-Depth: 多層防御

  • 言わずと知れた概念。
  • 一つの対策(Security Control)が破られても、複数のコントロールを展開しておくことで、データのCIAを確保できる。

Due Care and Due Diligence

  • よくわからない概念。両方とも「注意義務」と訳せる。
  • Due diligence is the management of due care.と書かれている。ディーデリジェンスはデューケアの管理?

今日はここまで。続きはまた今度。

Discussion