🚀

CCSPの勉強メモと合格体験記

2024/06/17に公開

はじめに

自身のCCSPの勉強メモです。
内容の正確性は保証しません。

Domain 1:Cloud Concepts,Architecture, and Design

クラウドデプロイメントモデル

  • パブリッククラウド
    マルチテナンシーモデルでサーバインスタンスへのアクセスを特定の組織に限定
  • プライベートクラウド
    同じ物理ハードウェア上でホストされるリソースにアクセスできるのを特定の組織に限定
  • ハイブリッドクラウド
    パブリッククラウドとプライベートクラウドの組合せ
  • コミュニティクラウド
    リソースの使用を特定のメンバに限定して共有

Hypervisor type

  • Type1(ベアメタルタイプ)
    サーバハードウェアと直接交渉しVMに専用リソースを割り当てる。
    ほとんどのIaaSはType1が使われている。
    Type2よりも攻撃対象領域が少なく、攻撃に強い。
  • Type2(仮想マシンモニター)
    オペレーティングシステムから、基盤となるシステムリソースを取得する。

Geofencing

ユーザーやデバイスが地理的領域を離れるときに、アラート等を行う。

ストレージの種類

  • オブジェクトストレージ
    非構造化形式でデータを格納
  • ブロックストレージ
    ディスク ボリュームとして利用

定性分析

ビジネスへの影響評価
顧客の信頼、従業員の士気、評判などの目に見えない要素を分析

評価保証レベル(EAL: Evaluation Assurance Level)

EAL1:機能テスト
EAL2:構造テスト
EAL3:方式テスト及びチェック
EAL4:方式設計、テスト及びレビュー
EAL5:準形式的設計及びテスト
EAL6:準形式検証済み設計及びテスト
EAL7:形式的検証済み設計及びテスト

(参考)
https://www.ipa.go.jp/security/jisec/about/knowledge/about-eal.html

クラウド・ガバナンス

クラウドサービスが使用されていることを確認するための審査機関。
組織のすべてのクラウド アクティビティをより一元的な管理下に置く。

リソースプーリング

クラウド プロバイダーが財務的に存続可能な状態を維持しながら、顧客からのさまざまな要求を満たすことを可能にする特性。

オーバーサブスクリプション

クラウドプロバイダーが実際の物理容量を超える総容量を販売できることを意味する。
顧客がその容量のすべてを同時に使用することがないため。

アンダープロビジョニング

顧客がニーズを満たすのに十分な容量を購入しない場合を意味する。

クラウドリファレンスアーキテクチャ

  • 顧客の責任
    クラウドサービスの使用、サービスのトライアルの実行、サービスの監視、サービス セキュリティの管理、請求および使用状況レポートの提供、問題レポートの処理、テナントの管理、経営管理の実行、サービスの選択と管理
  • クラウドサービス プロバイダーの責任
    システムの準備

NIST

  • NIST SP 800-37
    システムのセキュリティを評価するためのリスク管理フレームワーク。
  • NIST SP 800-53
    米国政府に承認されたセキュリティ管理のリスト。
    リスク管理フレームワークにマッピングする手段。
  • NIST SP 800-171
    管理された保護すべき情報 (CUI) の使用に特に適用される

NIST SP800-53は連邦政府機関自身に対する要件として規定されているが、SP800-171は連邦政府機関以外(外国政府組織や契約企業等)へのCUIの扱いについて遵守を求める事項として規定されている。

SANS Institute

政府や企業・団体間における研究、及びそれらに所属する人々のITセキュリティ教育を目的として1989年に設立された組織。

クラウドセキュリティアライアンス (CSA)

クラウドコンピューティング内のセキュリティ保証を提供するためのベストプラクティスの使用を促進し、クラウドコンピューティングの使用に関する教育を提供して、あらゆる形式のコンピューティングの保護を支援する目的を持つ非営利組織。

CAIQ (Consensus Assessments Initiative Questionnaire)

クラウドサービスのセキュリティを評価するのに役立つ、CSAのサーベイ。

CSA STAR(CSA Security, Trust & Assurance Registry)

クラウドサービスプロバイダー(CSP)がCSA関連の評価を公開できる公的にアクセス可能なレジストリ。
Cloud Controls Matrix (CCM)とCAIQを基にしている。

  • Level 1:導入レベル。すべてのCSPが無料で使用できる。
  • Level 2:第三者による評価ベースの認定。
  • Level 3:継続的な監視に基づく認定。

(参考)
https://learn.microsoft.com/ja-jp/compliance/regulatory/offering-csa-star-self-assessment

クラウドガバナンス

組織のすべてのクラウド アクティビティをより一元的な管理下とする取り組み。
組織がベストプラクティスに従うように導く一連のルール、プロセス、レポート。

FIPS 140—2

暗号化モジュールのセキュリティ要件。
HSM(ハードウェアセキュリティモジュール)等のシステムの暗号化要件。

Common Criteria (CC)

政府アプリケーションで使用される可能性のあるコンピューティング ハードウェアの一般的な認証プロセスを提供する。

FedRAMP(Federal Risk and Authorization Management Program)

連邦情報セキュリティー管理法(FISMA)に基づき、クラウドコンピューティングのセキュリティ認証プロセスを提供する。

検証(Verification)と認定(Accredition)の違い

  • 検証(Verification)
    独立した第三者による評価
  • 認定(Accredition)
    経営者が評価システムを正式に受け入れる行為
    DAA(指定承認者)による正式な宣言

ISOシリーズ

  • ISO 17789
    クラウドのリファレンス アーキテクチャを提供する。
    具体的なセキュリティ ガイダンスは提供していない。
  • ISO 22301
    事業継続の管理を定義。
  • ISO 27001、ISO 27002
    サイバーセキュリティに関する業界標準の管理目標と管理の提案を提供する。
  • ISO 27017
    クラウドサービスプロバイダーが実装すべきセキュリティ管理に関するガイダンスを提供する。
  • ISO 27018
    クラウドにおける最初の国際的なプライバシー管理のガイダンスを提供する。
  • ISO 27050
    電子情報開示プログラムのガイダンスを提供する業界標準。
  • ISO 27701
    情報プライバシープログラムに関する業界標準のガイダンスを提供する。
  • ISO31000
    リスクマネジメントにおける一般的な指針を示した国際標準規格

NIST によるクラウドコンピューティングの定義

  • オンデマンド・セルフサービス(On-demand self-service)
    ユーザは、各サービスの提供者と直接やりとりすることなく、必要に応じ、自動的に、サーバーの稼働時間やネットワークストレージのようなコンピューティング能力を一方的に設定できる。

  • 幅広いネットワークアクセス(Broad network access)
    コンピューティング能力は、ネットワークを通じて利用可能で、標準的な仕組みで接続可能であり、そのことにより、様々なシンおよびシッククライアントプラットフォーム(例えばモバイルフォン、タブレット、ラップトップコンピュータ、ワークステーション)からの利用を可能とする。

  • リソースの共用(Resource pooling)
    サービスの提供者のコンピューティングリソースは集積され、複数のユーザにマルチテナントモデルを利用して提供される。様々な物理的・仮想的リソースは、ユーザの需要に応じてダイナミックに割り当てられたり再割り当てされたりする。物理的な所在場所に制約されないという考え方で、ユーザは一般的に、提供されるリソースの正確な所在地を知ったりコントロールしたりできないが、場合によってはより抽象的なレベル(例:国、州、データセンタ)で特定可能である。リソースの例としては、ストレージ、処理能力、メモリ、およびネットワーク帯域が挙げられる。

  • スピーディな拡張性(Rapid elasticity)
    コンピューティング能力は、伸縮自在に、場合によっては自動で割当ておよび提供が可能で、需要に応じて即座にスケールアウト/スケールインできる。ユーザにとっては、多くの場合、割当てのために利用可能な能力は無尽蔵で、いつでもどんな量でも調達可能のように見える。

  • サービスが計測可能であること(Measured Service)
    クラウドシステムは、計測能力を利用して、サービスの種類(ストレージ、処理能力、帯域、実利用中のユーザアカウント数)に適した管理レベルでリソースの利用をコントロールし最適化する。リソースの利用状況はモニタされ、コントロールされ、報告される。それにより、サービスの利用結果がユーザにもサービス提供者にも明示できる。

(参考)
https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000025366.pdf

デュー・ケア

必要な最低限の努力のこと。
個人は、合理的な人に期待されるレベルの配慮で状況に対応すべきである。
クラウドプロバイダの場合は、顧客のデータを保護するためのケア等。

デューデリジェンス

デューケアを支援、促進する活動。

高信頼実行環境 (TEE)

暗号化を使用して CPU の残りの部分から保護されるメモリと CPU の分離された領域。TEE 内のデータは、その環境外のコードで読み取ったり改ざんしたりすることができない。

Confidential computing

使用中のデータの保護に焦点を当てた、セキュリティとプライバシーを強化する計算技術。
メモリにに保存されているデータを保護する。

Fog Computing

データがクラウドに送信される前の端末に近い場所でのミドルウェアによる分散処理環境。
よりデバイスなどハードに近いものをエッジコンピューティング、ネットワークよりのものをフォグコンピューティングと呼ぶ。

Domain 2:Cloud Data Security

DLP(Data Loss Prevention)

機密情報等の重要データを監視・保護する機能。 データの持ち出しの検知やブロックを行う。
(参考)
https://www.microsoft.com/ja-jp/security/business/security-101/what-is-data-loss-prevention-dlp

IRM(Information Rights Management)

  • 文書ファイル等の閲覧や編集を制限したり、操作履歴を取得する機能。
    (テキストのコピーの無効、ローカルコピーの防止、印刷禁止等の機能。)
  • データライフサイクルの「共有」フェーズで頻繁に利用される。
  • システムを識別するために証明書を利用する。
  • クライアントデバイスやアプリケーションがIRM をサポートしている必要がある。
  • プロビジョニング:役割と職務に基づいて個人に権利を提供
  • タグ、ラベル付け:ルールに基づいてデータが適切に処理されることを保証

(参考)
https://learn.microsoft.com/ja-jp/purview/sensitivity-labels-office-apps#information-rights-management-irm-options-and-sensitivity-labels

データ分類ポリシーの目標

分類レベルの識別、責任の割当て、役割の定義

暗号シュレッディング(Crypto-shredding)

暗号化キーを削除または上書きすることによってデータを削除する。
サードパーティがホストするドライブとボリュームを安全に消去できる。
ゼロワイプよりも安全。

ストレージ

  • 長期ストレージ
    継続的に存在することを目的としたストレージ。
    ログやデータのストレージによく利用される。
  • エフェメラルストレージ(Ephemeral Storage、一時ストレージ)
    インスタンスのシャットダウン時に破棄される。
  • Raw ストレージ
    基盤となるデバイスにアクセスできるHDDやSSD のように、直接アクセスできるストレージ。
    暗号化なしで直接アクセスできるため、ゼロワイプだけでは残留データの可能性がある。
  • ボリュームベースのストレージ
    クラウド内の仮想ドライブまたはデバイスとして割り当てられるストレージ。

ブレークグラス(Break-Glass)

非常事態に行う通常アクセスできない情報にアクセスすること。OWASPに以下の要件がある。

  • 自動バックアップが確実に配置され、シークレットの数とそのライフサイクルに基づいて定期的に実行されること
  • 復元手順を頻繁にテストすること
  • バックアップを暗号化して配置すること

トークン化

  • 機密性の高いデータをトークンと呼ばれるランダムな文字列に変換する。
  • トークン化されたデータと元データを異なるデータベースに格納する。
  • トークン化されたデータと元データと照合してアクセスできる。
  • 一般的に全てのデータをトークン化する必要はないので、対象範囲を決定する必要がある。
  • 暗号化ではない。
    (参考)
    https://www.ntt-tx.co.jp/products/trustbind/tokenization/

クラウドデータライフサイクル

  • Create(作成)
  • Store(保存)
  • Classification(分類化)
  • Use(利用)
  • Transfer(転送)
  • Deletion、Destroy(削除,破壊)

Chain of Custody(COC)(管理の連鎖、証拠保全)

証拠が適切に保管、管理、移転されていることを記録した一連の文書や手続きのこと。

データ分散

データを複数の場所やサービスに保存。(必ずしも距離や地理的制限には依存しない。)
プロバイダーが停止すると分散データにアクセスできなくなる。

データ保持ポリシー

一般的に、以下のコンポーネントを含む。

  • 保存期間
  • 規制遵守要件
  • データ分類
  • データ削除と寿命
  • アーカイブと検索手順
  • 監視
  • メンテナンス
  • 強制
    保持の要件が無い場合、保持期間を45日とすることが多い。

シークレットの管理

  • 最小権限の原則
  • 定期的なローテーション
  • ログ、アラートの設定

Domain 3: Cloud Platform and Infrastructure Security

差分バックアップと増分バックアップ

  • 差分バックアップ
    前回のフルバックアップからの差分をバックアップする。
     1回あたりのバックアップ量が大きい。
     リストア時の処理が簡易(フルバックアップ+差分)

  • 増分バックアップ
    前回の増分バックアップからの差分をバックアップする。
    1回あたりのバックアップ量を少なくできる。
     リストア時の処理が、差分バックアップに比べて複雑。(複数バックアップの統合)

SIEM(Security Information and Event Management)

さまざまなソースからログを収集し、管理、分析し、セキュリティインシデントの早期発見や、迅速な対応を実現する。

SOAR(Security Orchestration, Automation and Response)

データへの対応の自動化と最適化を行う。

  • オーケストレーション
    脅威情報やアラートを集約し、分析やトリアージを効率的に行う。
  • オートメーション
    インシデントの対応プロセスをプレイブックとして定義する。
  • レスポンス
    調査等を自動化する。

EDR(Endpoint Detection and Response)

エンドポイントで対応不審な挙動を検知し、迅速に対応することでマルウェアの感染を防ぐ。

データセンターTier

Tier データセンターの構成 可用性 年間のダウンタイム
Tier 1 電力/冷却経路は1つ、冗長化ほぼ無し 99.671% 28.8時間
Tier 2 電力/冷却経路は1つ、冗長化少し 99.741% 22時間
Tier 3 複数の電力/冷却経路、サービス継続できるくらい冗長化 99.982% 1.6時間
Tier 4 完全なフォールトトレランスを実現できる構成、全て冗長化 99.995% 26.3分

SDN(Software Defined Network)

ソフトウェアによりネットワークを一元的に管理する。
需要に基づいてトラフィックをルーティングできる。
物理接続を変更せずに論理サブネットを作成できる。
ルールに基づいてアクセスをフィルタリングできる
以下のアーキテクチャで構成される。

  • アプリケーション層
    Northbound APIを通じてネットワークの様々な処理をSDNコントローラへ指示する。
  • コントロール層
    インフラストラクチャ層のネットワーク機器の情報をアプリケーション層に提供する。
  • インフラストラクチャ層
     ネットワーク機器のレイヤ。機器のAPI(Southbound API)を利用する。

アプリケーション層 

(Northbound API)

コントロール層

(Sourthbound API)

インフラストラクチャ層

スプロール(Sprawl)現象

無秩序・無計画にシステム開発やITインフラ広がる現象。

クラウドデータセンターのPPP(Ping、Power、Pipe)

以下を意味する。

  • ping:システムがリモートでアクセスできる
  • power:システムへの電力供給
  • pipe:サーバがインターネットへ接続できる

VMエスケープ(Virtual Machine Escape)

仮想マシンから、そのマシンをホストするハイパーバイザーに干渉する攻撃。

MTDとRTOの関係

  • MTD(最大許容停止時間):業務の停止が許容される最大時間
  • RTO(目標復旧時間):いつまでに復旧させるかの目標時間
  • RPO(目標復旧時点):どの時点まで復旧させるかの目標値

Domain 4: Cloud Application Security

セキュリティテスト

  • SAST(Static Application Security Testing)
    静的検査
  • DAST(Dynamic Application Security Testing)
    動的検査
  • IAST(Interactive Application Security Testing)
    静的テストと動的テストを組合せたテストで脆弱性の検出を行う。

TPM (Trusted Platform Module)

ハードウェア デバイスのシークレットを保存する。
BitLockerやWindows Hello等に利用されている。

仮想TPM (Trusted Platform Module)

暗号キーや証明書を含むシークレットの作成、保存、管理に使用される。

(参考)
https://docs.vmware.com/jp/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-6F811A7A-D58B-47B4-84B4-73391D55C268.html

SBOM(Software Bill of Materials)

ソフトウェア パッケージ内の各コンポーネントの依存関係、ライセンス等をリスト化した一覧。OSSのバージョン、ライセンス、脆弱性、サプライチェーンのリスク等の管理に利用する。

SCA(Software Composition Analysis)

ソフトウェア構成分析。コード内のオープンソース・ソフトウェア(コンポーネント)を識別する。

脅威モデリング

  • STRIDE:なりすまし(スプーフィング)、改ざん、否認、情報漏洩、サービス拒否、および特権の昇格(DREADから置き換わった)
  • DREAD:被害、再現可能性、悪用可能性、影響を受けるユーザー、および発見可能性
  • ATASM:アーキテクチャ、脅威、攻撃対象領域、および軽減策
  • PASTA:攻撃シミュレ ーションと脅威分析のプロセス

DAM(データベース アクティビティ モニターソリューション)

セキュリティ、監視機能、特権アカウントの使用状況のログ記録と監視などのデータベースアクティビティを監視する。

API に対するサービス拒否攻撃の対策

  • 認証を要求(APIキー)
  • スロットル制限(一定期間の使用を制御)とクォータを設定する。

サンドボックス(Sandbox)の利用目的

  • 安全で隔離された環境で悪意のあるソフトウェアのテスト
  • ソフトウェア稼働前に相互運用性を確認するためのテスト

CASB(Cloud Access Security Broker)の利用目的

  • 役割と権限に基づいて使用状況を制御する。
  • 機密データ損失の可能性を制限する。
  • 異常な使用パターンを検出する。

SIMスワップ

攻撃者が相手のSIMを乗っ取りSMSを使った多要素認証を突破する。多要素認証としてSMSを利用することは、モバイルアプリや、ハードウェアトークンより安全性が低い。

XMLファイアウォール

SAMLなどのXMLベースのトラフィックをフィルタリングする。

クレデンシャルスタッフィング攻撃

漏洩したアカウント資格情報を用い、大規模なログイン施行を行う。

オンパス攻撃(On Path攻撃)

二者間の通信を第三者が盗聴、改ざんする。
= Man in the Middle攻撃、Machine in the Middle攻撃、中間者攻撃

サイドチャネル攻撃

コンピュータシステムから得られる情報を元にした暗号解読の攻撃。
処理時間や消費電力や装置から漏洩する電磁波を解析する攻撃等がある。

コンテナエスケープ

  • コンテナ技術の弱点を利用して、ホストOSにアクセスする攻撃
  • 対策としてコンテナのプロセスの所有者を非特権ユーザとして設定する。

ソフトウェア構成分析

  • アプリケーションを構成するコンポーネントを解析する。
  • ソフトウェア コンポーネントの安全性を確認できる。

ソフトウエア開発ライフサイクルとセキュリティ対応

  • 定義:セキュリティ要件
  • デザイン:脅威モデリング
  • 開発:静的解析
  • テスト:動的テスト、回帰テスト、受入テスト
  • 配備/運用:監視、WAF
  • メンテナンス:更新
  • 廃棄:クリプトシュレッディング

OWASP Top 10

Webアプリケーションのセキュリティリスクに関する重大なトップ10のランキングと、対応ガイダンスを提供。

OWASP Top 10 web application security risks

  • 開発者と Web アプリケーションのセキュリティのための標準的な啓発文書
  • 意識向上トレーニングに適している。

OWASP ASVS(Application Security Verification Standard)

  • Web アプリケーションの技術的なセキュリティ管理をテストするための基盤を提供する。
  • 開発者に安全な開発のための要件のリストも提供する。
  • 設計、開発、テスト時の、機能的、非機能的なセキュリティ管理策を定義。
  • セキュリティ要件および管理策のフレームワークを確立するコミュニティ主導の取組み
  • セキュリティレベル
    • レベル 1 - ファーストステップ、自動化、ポートフォリオビュー全体
    • レベル 2 - 大半のアプリケーション
    • レベル 3 - 高い価値、高い保証、高い安全性

CWE/SANS Top 25

ソフトウェアエラー、プログラミングエラーの問題を説明。

X.509 証明書

TLSやOAuth等で用いられる証明書。
証明機関 (CA)、下位 CA、または登録機関が X.509 証明書を発行する。

コンテナブレイクアウト

コンテナからホストOSで任意のコードを実行する攻撃
コンテナのプロセスがrootとして動作している場合、攻撃を受ける可能性が高くなる
(非特権ユーザをコンテナのプロセス所有者として設定する必要がある。)

(参考)
https://unit42.paloaltonetworks.jp/non-root-containers-kubernetes-cve-2019-11245-care/

Domain 5: Cloud Security Operations

仮想マシンのメンテナンス モード

  • メモリの増設等の保守作業を行う必要がある場合は、ホストをメンテナンスモードにする。
  • メンテナンスモードに切替るホストで実行中の仮想マシンは、別のホストに移行するか、シャットダウンする必要がある。

(参考)
https://docs.vmware.com/jp/VMware-vSphere/7.0/com.vmware.vsphere.resmgmt.doc/GUID-8F705E83-6788-42D4-93DF-63A2B892367F.html

ITIL(Information Technology Infrastructure Library)

  • 7段階継続モデル
    1. 事業のビジョン、ミッション、最終目標、および達成目標の確認
    2. ベースライン・アセスメントを実施
    3. 測定可能な目標を定義
    4. 改善計画を定義
    5. 改善の行動を実行
    6. 測定基準とKPIで行動結果を評価
    7. 継続の推進力を維持する方法について策定・実行
  • 可用性管理の3つのサブプロセス
    • 可用性
    • 可用性テスト
    • 可用性の監視とレポートのためのサービスの設計

CI/CD(Continuous Integration/Continuous Delivery & Deployment)

  • 継続的インテグレーション (CI)
    更新したコードをソースコードリポジトリに自動的、頻繁に取込む
  • 継続的デリバリー&デプロイメント (CD)
    • コード変更の統合、テスト、デリバリー、本番環境手前まで(継続的デリバリー)
    • 更新内容を本番環境に自動的にリリース(継続的デプロイメント)

(参考)
https://docs.aws.amazon.com/ja_jp/whitepapers/latest/cicd_for_5g_networks_on_aws/cicd_for_5g_networks_on_aws.html

IaC(Infrastructure as Code)

コードを使用して ITインフラの管理やプロビジョニングを自動化する。
AWS CloudFormationや Azure Resource Manager (ARM)テンプレート等。
(参考)
https://aws.amazon.com/jp/what-is/iac/

内部統制保証報告に関する基準

  • ISAE3402(国際保証業務基準)
    内部統制の有効性を証明する各国会計士による保証業務の国際基準。
  • SSAE18(米国保証業務基準)
    ISAE3402に準拠した米国公認会計士協会の基準。
    独立した外部監査会社によって実施される。
    SOCレポートのフレームワークの一部を使用する。

SOC(Service & Organization Control)レポート

  • SOC 1
    内部統制に関する報告。特に、財務報告に影響を及ぼす業務の内部統制。
    SSAE18(旧SSAE16、旧SAS70)の基準で規定。
  • SOC 2
    サービス提供企業の信頼性とデータセキュリティに関する報告。
    トラストサービス基準(セキュリティ、可用性、完全性、機密保持、プライバシー)を評価。
  • SOC 3
    SOC2レポートの簡易版。

SOCのタイプ

  • Type 1
    ある単一の時点の監査。
  • SOC 2
    一定期間での監査。運用の有効性評価を含む。

証拠(フォレンジックデータ)の整合性確認

フォレンジック データとして、VMのOSとデータディスクのスナップショットを取得した場合、そのスナップショットを安全に保存して、イメージとオリジナルのハッシュを比較することが推奨される。

参考
https://learn.microsoft.com/ja-jp/azure/architecture/example-scenario/forensics/

訴訟ホールド(Litigation Hold、Legal Hold)

訴訟に備えて情報を保全するための法的なプロセス。
訴訟、法令などの調査に対応するため、関連情報の廃棄を防止し、保全すること。
訴訟ホールドが有効な限り、保存期間を無期限にする必要がある。

デジタルフォレンジック

証拠を収集・分析するための技術的なプロセス。
訴訟ホールドによって保持された情報を用いて、より詳細な調査を行うことがある。
通常、法的保留は他の削除要件よりも優先される。

スケジュールで多数のインスタンスを処理

VMインスタンスのタグ付けすると効率的。

PCI DSS(Payment Card Industry Data Security Standard)

PCI Security Standards Council(PCI SSC)によって管理される、クレジットカード業界のセキュリティ基準。
クラウドプロバイダは、通常、必要に応じて準拠証明書を提供する。

クラウドプロバイダー監査

  • 基本的に第三者による監査は許可していないが、監査結果を顧客に提供している

Domain 6: Legal, Risk, and Compliance

クラウド コントロール マトリックス(CCM)

  • クラウドサービスに必要なコントロール(管理策・統制)とその実装方針の提示
  • 適用対象の明示
  • 各種標準との対応付け(ISO 27001/27002、COBIT、PCI-DSS、SOC2等)

COBIT

IT ガバナンスと IT マネジメントの成熟度を測るフレームワーク
リスクの最適化、資源の最適化等により最適な適な価値を創り出すことを支援

ベンダーロックイン

特定のベンダーの製品・サービスに依存し、他のベンダーの製品・サービス切替ることが難しくなること。
ベンダーが一方的に有利な契約条件もベンダーロックインと言える。

ベンダーロックアウト

クラウドプロバイダーが運営を停止し、データにアクセスできなくなること。

プライバシーガイダンス

  • データ処理者
    所有者/管理者に代わってデータを使用するエンティティ。
  • データ主体
    個人識別情報 (PII) に記述されている個人。
  • データの所有者または管理者PII
    PII を収集または作成するエンティティ
  • 規制当局
    PII の使用を規制する主体。

GAPP( Generally Acceptable Privacy Principles)

一般に公正妥当と認められたプライバシーの原則。
個人識別情報 (PII) は、GAPPに定められた基準を遵守して収集、使用、保持、開示する必要がある。
以下の10の原則からなる。

  • Management(管理)
    企業は、プライバシーポリシーと手続を定義し、文書化し、伝達し、説明責任を割り当てる。
  • Notice(通知)
    企業は、プライバシーポリシーと手続についての通知を提供し、パーソナル・インフォメーションが、収集、利用、保持、開示される目的を特定する。
  • Choice and Consent(選択と同意)
    企業は、個人にとって可能な選択を記述し、パーソナル・インフォメーションの収集、利用、開示に関して黙示又は明示の同意を得る。
  • Collection(収集)
    企業は、通知で特定した目的のためだけにパーソナル・インフォメーションを収集する。
  • Use and Retention(利用、保持及び廃棄)
    企業は、パーソナル・インフォメーションの利用を通知で特定された目的、及び個人が黙示又は明示の同意をした目的のみに制限する。企業は、これらの目的を満たすため、又は法令によって必要である限りにおいてパーソナル・インフォメーションを保持し、その後、適切に廃棄する。
  • Access(アクセス)
    企業は、個人に対して、レビューと更新のためにパーソナル・インフォメーションへのアクセスを提供する。
  • Disclosure to Third parties(第三者への開示)
    企業は、通知で特定された目的及び個人が黙示又は明示の同意をした目的のためだけに、第三者にパーソナル・インフォメーションを開示する。
  • Security for privacy(プライバシーのためのセキュリティ)
    企業は、(物理的、論理的双方の)未承認のアクセスからパーソナル・インフォメーションを保護する。
  • Quality(品質)
    企業は、通知で特定された目的のために正確、完全かつ適切なパーソナル・インフォメーションを維持する。
  • Monitoring and Enforcement(モニタリングと徹底)
    企業は、プライバシーポリシーと手続への準拠性をモニタリングし、プライバシー関連の苦情と紛争を扱う手続を有している。

法律関係

  • サーベンス - オクスリー法 (SOX)
    不正会計を防ぐための米国の法律。上場企業が適用される。
    データ侵害があった場合は、年次報告書、四半期報告書で報告する義務がある。
  • 医療情報のポータビリティと責任に関する法律 (HIPAA)
    医療情報に関するプライバシーやセキュリティついての米国の法律。
    個人を特定できる保健情報のことをPHIと定めている。
  • 経済的及び臨床的健全性のための医療情報技術に関する法律(HITECH)
    HIPPAの適用対象を対象事業者の事業提携者に拡大したもの。
  • 家族の教育権利およびプライバシー法 (FERPA)
    家族の教育の権利とプライバシーに関する米国の法律。
  • グラム・リーチ・ブライリー法(GLBA)
    金融機関に対し、顧客のプライバシーを保護するための米国の法律。
  • 電気通信プライバシー法(ECPA)
    司法当局が捜査のためにオンライン上の個人情報を入手するための形式を定めた法律。
  • 捜査当局による通信傍受の援助法(CALEA)
    捜査のために通信事業者に傍受を可能にするために必要な支援を行うことを義務づけた法律。

プライバシーシールド(Privacy Shield)

EU市民の個人情報の国外移転を可能にするためのプライバシー保護フレームワーク。
米国商務省(DOC)と欧州委員会、スイス当局との間で締結された。

プライバシー影響評価 (PIA)

個人情報やプライバシーのリスクを事前に分析、評価し、安全対策を検討すること。

GDPR(General Data Protection Regulation)

EU 一般データ保護規則。
全国的なプライバシー法が存在しない国が EU 国民に属するプライバシーデータを収集または処理することを禁止する。
以下の条件が満たされる場合は、許可される。

  • 自国にはEU法に準拠した全国法がある。
  • 事業体は EU 法に準拠した契約文言を作成し、その文言を事業体が国民データの収集を希望する EU 各国によって承認される。
  • 企業は自国のプライバシーシールドプログラムに自発的に加入する。 (プログラムが EU 当局によって受け入れられると判断された場合)。

PHI(Protected Health Information)

保護対象保健情報。
HIPAA(Health Insurance Portability and Accountability Act of 1996;医療保険の携行性
と責任に関する法律)のプライバシー条項では、米医療機関が患者情報の保護と、患者に自身の医療情報の権利を付与することを定めている。

リスク管理戦略

  • リスク回避
    リスクを除去すること。
  • リスク転嫁
    リスクを第三者へ転嫁すること。
  • リスク軽減
    リスクの発現確率や発現結果を受容可能まで減らすこと。
  • リスク受容
    リスク対応を実施せずにそのリスクを受け入れ、保有すること
    リスク発現時のコンティンジェンシープランを作成して対応することが多い。

リスクプロファイル

リスクを網羅的にリスクの洗い出し、把握、分析すること。

年間予想損失額

  • 資産価値(AV, Asset Value)
  • 暴露係数(EF, Exposure Factor):1つの資産の内で損失する割合
  • 単一損失予想(SLE, Single Loss Expectancy):1つの資産の内に損失する額
    SLE = AV × EF
  • 年間発生率(ARO, Annualized Rate of Occurrence)
  • 年間予想損失額(ALE, Annualized Loss Expectancy)
    ALE = SLE × ARO

NERC CIP

North American Electric Reliability Council(NERC:北米電力信頼度協議会) が発行した
Cyber-security Critical Infrastructure Protection(CIP:「重要インフラ防護基準」)

  • 13個の文書より構成されており、それぞれの領域のサイバーセキュリティを規定
  • 事業者が順守すべき要件、要件遵守の証拠例となる方策を記載
  • コンプライアンスの監査プロセスと、コンプライアンスに違反した場合の違反重大度レベルを記載

契約文書

  • マスターサービス契約 (MSA)
    当事者同士が行う取引全般に適用されるルールを定めた契約書。
    複数のプロジェクトを管理する包括的な文書。
  • 作業明細書 (SOW)
    MSAが適用されることを前提として、個々の取引を行う際に締結する契約書
  • ビジネスパートナーシップ契約 (BPA)
    当事者同士の合弁事業の条件を定義する契約書。
  • 覚書 (MOU)
    当事者同士の事業単位間の関係を説明する非公式の文書。
  • 標準作業手順書(SOP)
    標準の作業手順書。
  • サービスレベル合意書(SLA)
    サービスの可用性、パフォーマンス、その他のパラメータに対する正式な契約書。
  • 運用レベル合意書(OLA)
    SLAは内部外部間で行われるのに対し、OLAは内部組織内で行われる。

おまけ

保有資格

  • 普段はSIerでマネジメント中心の仕事してます。
  • IT系の代表的な保有資格はこんな感じ。
    PMP/CISSP/AWS SAP/AWS SAS/情報処理試験
    AWS Certified Solutions Architect - Professional / Security - Specialty
    Microsoft 365 Certified: Administrator Expert
    Microsoft Certified: Azure Administrator Associate
    IPA 高度情報処理試験(エンベデッドシステムスペシャリスト以外全部)
    etc.

合格体験記

  • 2024年6月某日に新宿のデータセンターで受験し合格しました。
    試験時間4時間のところ、休憩なしで3時間ちょっとかかりました。
    (最初の方、悩み過ぎて先に進めなかった。後半はエイヤの連続。)
  • Kindleで購入した公式問題集(OFFICIAL PRACTICE TESTS 3rd Edition)のみです。
    2か月くらいゆっくり目の勉強で、3週くらいしました。
  • 試験は結構難しく感じました。
    (CISSPより簡単という口コミを見ますが、同レベルくらいに感じました。)
     2択までは簡単に絞れるけど、そこからは文章読解力というか行間を読む力みたいなものが必要かも。(俗に言うCISSP/CCSPの考え方?)

Discussion