Domain 1: セキュリティとリスクマネジメント（Security and Risk Management）

このドメインの概要

• セキュリティの基本概念を学びます。
• 8つのCBKのベースとなる概念が盛りだくさんです。
• なるべく日本語に訳しながらメモしますが、よくわからなかったところは無理に訳さずにメモります。

主なテーマ

• セキュリティとリスクの基本概念
• コンプライアンス
• 助行継続性

主なキーワード

• セキュリティのCIA triad
• SubjectとObject
• ALE: Annual Loss Expectancy（年間予想損失額）
• 脅威と脆弱性
• リスク
• Safeguard
• TCO: Total Cost of Ownership
• 投資対効果

勉強メモ

CIA Triadとは

• ご存知の通り、セキュリティとは機密性、完全性、可用性のtriadで構成されていますよ。
• 3つ揃って「セキュアなシステム」です。
• どれかが大切という訳ではない。
• CIAに対立する概念は、漏洩(Disclosure)、改竄(Altreation)、破壊(Distruction)の"DAD"。

AAA: Identity and Authentication, Authorization and Accountability

• Identiry and Authentiction: 識別子と認証
• Identityはユニークでなければならない。
• Authorization: 識別、認証後に実行できる権限のこと。
• Accountability: 責任追跡性。通常、ロギングと監査データの分析によって実現する。「正直な人を正直に保つ」ことに役立つ。

否認防止

• Non-Repudiation: 否認防止
• 電子署名や、改ざんできない方法でロギングするなどにより実現する。

Least PrivilegeとNeed to Know

• Least Privilege: 最小権限
• Need to Know: 必要な人にだけ知らせる

SubjectとObject

• Subject: An active entity on data system.と書かれている。いわゆる主体。人とかコンピュータとか。
• Object: A Passive data within the system.と書かれている。日本語に訳せない。
• Objectには、紙の書類も含まれる。そりゃそうか。

Defense-in-Depth: 多層防御

• 言わずと知れた概念。
• 一つの対策（Security Control）が破られても、複数のコントロールを展開しておくことで、データのCIAを確保できる。

Due Care and Due Diligence

• よくわからない概念。両方とも「注意義務」と訳せる。
• Due diligence is the management of due care.と書かれている。ディーデリジェンスはデューケアの管理？

今日はここまで。続きはまた今度。