Domain1

 Domain2
 クリアランス特定のレベルの情報を提供するに値するか、信頼できるかどうかの正式な決定。一般的に面接を含む経歴確認のプロセスを踏む。

 CPO最高プライバシー担当者。顧客、会社、従業員のデータのセキュリティを確保する責任を負う。CPOは通常弁護士であり、報告書や調査結果を最高セキュリティ責任者（CSO）に報告する。

 データに対する役割
 データ所有者(データオーナー)データを分類し、分類レベルを定期的に見直し、データ保護職の責任をデータ管理者に委任する責任がある。データ所有者は、通常、組織内のマネージャーまたはエグゼクティブであり、会社の情報資産の保護について責任を負う。

 データ管理者データ所有者の指示に従ってセキュリティ管理の実装と保守を担当する。データを保護するコントロールの技術者。

 データユーザー仕事に関連する仕事のためにデータを使用する個人。ユーザーは、その職務を遂行するためにデータに必要なレベルのアクセス権を持っていなければならない。また、データの機密性、完全性、他者への可用性を確保するための運用上のセキュリティ手順を遵守する責任がある。

 データライフサイクルの管理
 デジタル著作権管理(DRM)コンテンツの暗号化と復号
アクセス制御とライセンス管理
コンテンツの利用状況の追跡と報告
コンテンツのバックアップとリカバリは対象外。

 クリアリング復元可能。

 パージディスクから機密データを削除すること。物理的な破壊。復元不可能。

 消磁復元不可能。

ran

 Domain3
 セキュリティモデル人と権限の関係性
ベルラパズラモデル(Bell-LaPadulaモデル)

機密性に特化したセキュリティモデル

米軍のシステムのセキュリティと分類された情報の漏洩に対する懸念に対応するために開発された

機密性がある状態である3つの属性が定義されている
シンプルセキュリティ属性(simple security property)

部下が上司のドキュメントを見ること(リードアップ)できないこと
スターセキュリティ属性(*-security property)

*はスターと読む。上司が部下のドキュメントを書き込み(ライトダウン)できないこと
ストロングスター属性

リードアップもライトダウンもできないこと
Bibaモデル(ビバモデル)

完全性のセキュリティモデルの一つ。完全性がある状態で満たされるべき3つの属性が定義される。
シンプルインテグリティ属性(star integrity property)

上司が部下のドキュメントを見ること(リードダウン)がないこと
スターインテグリティ属性(*- integrity property)

*はスターと読む。部下が上司のドキュメントを書き換える(ライトアップ)がないこと
インボカチオンプロパティ

部下が上司のドキュメントを見ること(リードアップ)と書き換えること(ライトアップ)がないこと
サザーランドモデル

サザーランドモデルは、PERT図のように状態遷移を示すステートマシンモデルや情報フローモデルに基づいており、完全性を維持するために干渉を防ぐことが前提となっています
格子ベースアクセスコントロール

1人の従業員が複数の権限を持つ場合に考え方を整理するためのモデル
Graham-Denning(グラハムデニング)モデル

サブジェクトとオブジェクト間のアクセス権がどのように定義され、開発され、統合されるかを扱っています。

アクセス制御を8つのルールに整理した。
アクセス権を譲渡
アクセス権を付与
アクセス権の削除
アクセス権の確認
オブジェクトの削除
オブジェクトの作成
サブジェクトの削除
サブジェクトの作成
ハリソンルッゾウルマンモデル

グラハムデニングモデルの8つのルールを6つまで絞ったモデル

アクセス制御マトリックスが不完全である(グラハムデニングモデルを再現できない)ことを証明
Clark-Wilson(クラークウィルソン)モデル

ユーザーとデータの間にプログラムの存在を定義したセキュリティモデル

データの整合性を保護し、アプリケーション内で適切にフォーマットされたトランザクションが確実に行われるようにする

完全性を保つプログラムとはウェルフォームドトランザクションとセグリゲーションを組み合わせたもの
ウェルフォームドトランザクション
完全性を保つためのプログラムのあるべき姿を定義
セグリゲーション
トランザクションや処理に関わる操作は独立しているべきという考え方
コンストレインドデータアイテム(CDI)
完全性を損なってはいけないデータ
アンコンストレインドデータアイテム(UDI)
完全性を損なう可能性があるデータ
インテグリティヴァリフィケイションプロシージャ(IVP)
CDIが正しいことを確認するプログラム
ウェルフォームドトランザクション
ある状態(CDI or UDI)をIVPによる検証を繰り返すことで正しい状態(CDI)に変更するプログラム

 Brewer-Nash(ブリュワーナッシュ)モデルユーザーの以前の操作に応じて動的に変更できるアクセスコントロールを提供することを目的としたモデル

過去に遡ってアクセスできる範囲を制限したモデル

 assurance(アシュアランス)組織がセキュリティコントロールを適切に実施しているかどうかの信頼度を示す

 エンタープライズアーキテクチャ事業構造をモデル化し事業としての体制がなされているか判断するためのもの

組織全体の業務とシステムをモデル化し業務を最適化する

 ToGAF トガフエンタープライズアーキテクチャーの開発と実装のためのベンダーに依存しないプラットフォームです。メタモデルとサービス指向アーキテクチャ（SOA）を使用して企業データを効果的に管理することに重点を置いています。 TOGAFの熟達した実装は、伝統的なITシステムと実際のビジネスプロセスの不整合に起因する断片化を減らすことを目的としています。また、新しい変更や機能を調整して、新しい変更を企業プラットフォームに容易に統合できるようにします。
ビジネスアーキテクチャ
アプリケーションアーキテクチャ
データアーキテクチャ
テクノロジーアーキテクチャ

 ザックマンフレームワーク5W1Hで職権を決める

 サブジェクト／オブジェクトモデルサブジェクト　データの主体(人)
オブジェクト　データの対象(物)

 暗号アルゴリズムRC4(共通鍵) 古い
AES(共通鍵)
IDEA(共通鍵)
Blowfish(共通鍵)

鍵長を選択できる
RSA(公開鍵)
DSA(公開鍵　楕円曲)

64bitのブロック暗号。うち鍵長は56bit。現在非推奨
ECDSA(公開鍵　楕円曲)
HAVAL(ハッシュ関数)

1024bit。MD5の改良版。非推奨
MD5(ハッシュ関数)

128bit。非推奨。
Diffie-Hellman(鍵交換)
caeser暗号(シフト暗号)

シーザー暗号。文字を1文字ずつずらす古典的なアルゴリズム

 Kerckhoffs(ケルクホフズ)の原理秘密鍵以外の全ての情報が知られても安全であるべきという考え方。暗号アルゴリズムが広く公開されるべきという考え方の背景にある原理

 バーナム暗号
 暗号解読攻撃
 暗号文単独攻撃攻撃者が暗号文のみを持っている状態で解読しようとする攻撃。

 既知平文攻撃攻撃者が部分的に元の平文を持っている状態で暗号文全体を解読しようとする攻撃。エニグマの解読に用いられた。

 選択暗号文攻撃攻撃者が複合したい暗号文を自由に選択できる状態で解読しようとする攻撃。秘密鍵を持たずに公開鍵暗号を解読しようとする場合に用いる。

 選択平文攻撃
 適応的選択平文攻撃
 Skipjack
 ワンタイムパッドストリーミング暗号に使用される技術

 攻撃手法中間一致攻撃

暗号と復号を同時にすることにより鍵を取得する攻撃
CRIME攻撃

暗号文の圧縮率から元のデータを解読する攻撃
BEAST攻撃

Web通信での暗号化の脆弱性を利用して、盗聴する攻撃
TOCTOU攻撃(Time of check to Time of Use)

セキュリティコントロールが検証されてからコントロールにより保護されているデータが実際に使用されるまでの時間差を悪用した攻撃

 鍵管理
 鍵供託方式（キーエスクローシステム）暗号鍵を第三者機関に預託することで鍵の冗長性を保つ

 fair cryptosystems(鍵供託暗号)複合鍵を分けて複数人で持つ

 M of N アクセス認証N人いるエスクローエージェントのうち少なくともM人の認証が必要。この認証方法のことをクォーラム認証という

 キークラスタリング同じ平文を別々の鍵で暗号化したのに、同じ暗号文になる現象

 ゼロ知識証明あなたがその鍵を共有するか、誰にもそれを示すことなく、特定のキーを持っていることを証明すること

 ハードウェア
 産業制御システム（ICS）重要なインフラストラクチャは、機能を提供するさまざまなタイプの産業制御システム（ICS）で構成されています。


 分散制御システム（DCS）
分散制御システム（DCS）がICSの一般的な形態。

DCSでは、制御要素は集中化されていません。 制御要素は、システム全体に分散され、1つまたは複数のコンピュータによって管理されます。


 プログラマブル論理コントローラ（PLC）
プログラマブルロジックコントローラ（PLC）は一般的な工業用制御システム（ICS）であり、ユーティリティネットワーク全体のセンサを接続し、このセンサ信号データをソフトウェアの監視および管理によって処理できるデジタルデータに変換するために使用されます。


 監視制御およびデータ収集（SCADA）システム
監視制御とデータ収集（SCADA）とは、データを収集して処理し、ユーティリティベースの環境を構成するコンポーネントに操作制御を適用するために使用されるコンピュータ化されたシステムを指します。

 ダイレクトメモリアクセスI/OCPUを使用せずにI/O（入出力）デバイスとシステムのメモリ間で命令とデータを転送する方法。

 物理的セキュリティCCTV(監視カメラ)
ターンスタイル(回転扉)
Faradayゲージ(金属カゴ)
フェンス
4フィート　抑止
6フィート　阻止
8フィート　強い阻止

カード
スマートカード　ICチップ
プロキシーカード　スマホやPCにスマートカードの機能を搭載
磁気ストライプカード　黒い線(スラッシュ読込)
三相カード　3Dセキュア

消化器
クラスA 一般的な可燃性物質
クラスB 液体火災(油やガス)
クラスC 電気機器の火災
クラスD 可燃性金属

ワイヤリングクローゼット

通信機器や配線機器を収容し、相互接続するための場所
マントラップ

出入り口を限定すること。一つのドアが空いている時もう一つのドアが開かないようにすることなど。ビギーパック(不正侵入)を防止する

 メンテナンスフック開発者がテスト用に作っておいた機能

 Common Criteria(コモンクライテリア)国際的なセキュリティ評価の共通基準
TOE: Target Of Evaluation

コモンクライテリアによって評価される対象そのもの
PP: Protection Profile

TOEに対するセキュリティ要件を示す
ST: Security Target

PPで指定されたセキュリティ要件をどのように実現しているかを示す
EAL: Evaluation Assurance Level

評価保証レベル。EAL1からEAL7まで
EAL1: 機能テスト
EAL2: 構造テスト
EAL3: 方式テスト及びチェック
EAL4: 方式設計、テスト及びレビュー
EAL5: 準形式的設計及びテスト
EAL6: 準形式検証済み設計及びテスト
EAL7: 形式的検証済み設計及びテスト


 OS
 プロセスの状態Ready(実行可能)

CPUの割り当てを待っている
Waiting(待ち)

前行程からの入力を待っている

 マルチスレッド一つのプロセスが複数のタスクを実行できる

 脆弱性CVE

ソフトウェアやシステムの脆弱性
OWASP

webアプリケーションの脆弱性
Chain of Custody（管理の連鎖）

物理的・電子的な証拠が適切に保管・管理、また移転されていることを記録した一連の文書、あるいはその手続きを指す。デジタルフォレンジック

ran

 Domain4
 ウェルノウンポート定番なサービスのために予約されているポート番号(0〜1023)
80 HTTP
443 HTTPS
21 FTP
23 Telnet
53 DNS
110 POP
515 LPR/LPD(プリンター)
389 LDAP
445 Active Directory
636 LDAPS
3268 LDAP GC
3269 LDAP GC SSL

 LANケーブルクロストーク

隣接しているケーブル同士が相互に影響を受ける現象
カテゴリー3UTPケーブル

最大100Mbps 主に古いネットワーク環境で使用される
カテゴリー5e、カテゴリー6UDP

最大1000Mbps
カテゴリー7

最大10Gbps

 データリンク層PPP

ホスト間(端末間)で1対1の接続を行うリモートアクセス用のプロトコル
PPTP

通信の暗号化と認証を行うVPN用のプロトコル(TCP/GRE) EAPと組み合わせられる
L2F

通信の暗号化と認証を行うプロトコル(UDP)
L2TP

PPTPとL2Fのトンネリングプロトコルの仕様を統合してIETFにより標準化されたプロトコル  IPsecと組み合わせられる

 攻撃手法Teardrop

IPパケットの分割前に戻すときのオフセットを偽造することでシステムを停止させる攻撃
クリスマスツリー攻撃

パケットにいくつものフラグ（URG、ACK、PSH、RST、SYN、FIN）を立てて送り、応答を観察する攻撃

 コンバージドプロトコルiSCSI

SCSIをIPネットワーク上で利用する規格
FCoE

ファイバーチャネルをイーサネット上で利用する規格
MPLS

IPアドレスではなくラベルを使用してトラフィックをルーティングするネットワーク技術

 エンドポイントセキュリティEPP

アンチウイルスソフト
EDP

ファイル単位のウイルス検知と封じ込め。データ量が課題になる

 回線
 T1/T2/T3回線主に大規模なデータ通信ネットワークや、バックボーンネットワークで使用され、高いデータ転送要件を満たすために採用されていた。

これらの回線は、現在では光ファイバーやイーサネットなどの技術の普及により、より高い帯域幅と柔軟性を持つ通信手段が主流となった。
T1

1.544Mbps
T2

6.312Mbps
T3

44.73Mbps

 仮想マシン仮想マシンのカットアンドペースト方式の許可は隠れチャネル(システム設計に反して情報を送信する通信チャネル)となる可能性がある

 電気信号ベースバンド方式

チャネルが1つで通信する伝送方法
ブロードバンド方式

複数のチャネルを持つ伝送方法

ISDN,DSL,ケーブルモデム

 ネットワークソフトウェア定義ネットワーク（SDN）

ネットワークの制御機能をソフトウェアで管理する技術の総称
5-4-3ルール

リピータやハブに依存する旧式のネットワーク構成

 OSI参照モデルデータストリーム

連続的に生成され、リアルタイムに処理される必要がある大量のデータ列(アプセ)

 ルーティングプロトコルディスタンスベクター型

自分以外の各ルータへの最適なパスを一定のルール（ホップ数が最も少ない方向など）で選択して、伝言ゲームのように自分のルーティングテーブルを作る

ex.) RIP,BGP
リンクステート型

隣のルータから接続情報を受け取ったら、中身を読む前に隣接する全てのルータへ情報をコピーして配信（フラッディング）する

ex.) OSPF

 リモートコントロールスクリーンスクレーピング

実際に画面に表示されている内容をリモートPCにコピーする。GUI
RDP

リモートコントロールするためのプロトコル。CUI

 無線LANFDDI

伝送媒体に光ファイバーを、アクセス制御方式にトークンパッシングを利用し、二重リングになっている。最高100Mbpsで通信可能なLAN規格の一つ
WEP

無線LANの最初のセキュリティプロトコル　初期化ベクター数の限定による脆弱性がある
WPA2

無線LANの暗号化プロトコル
PEAP

ユーザー名とパスワードによる認証プロトコル。クライアントと認証サーバーによる相互認証
キャプティブポータル

端末がネットワークに接続した際にユーザー認証や利用者登録、利用者同意などを行うまで外部との通信を制限する仕組み

 WPA2エンタープライズモード

RADIUSによる認証。特定のユーザーによるパスワード攻撃はアカウントロックされる
PSKモード

事前共有鍵による認証。狙われやすい

 音声ISDN

デジタル信号を用いて音声やデータ通信を行う通信方式。電話とFAXを同時に行うなど
DSL

電話回線を利用してインターネットに接続する技術
VoIP

インターネット回線で音声通話をする。音声VLANとコンピュータVLANでVLANホッピングが可能になるため物理的にスイッチを分けた方が良い。
VLANホッピング

本来アクセスできないVLANに不正にアクセスする攻撃

 アドレスクラスクラスA

デフォルトマスク　255.0.0.0
クラスB 128〜

デフォルトマスク　255.255.0.0
クラスC 192〜

デフォルトマスク　255.255.255.0

ran

 Domain5
 認証と認可SASL

様々なプロトコルにユーザー認証の機能を付け加えるための共通仕様 セキュアなLDAP認証
SAML

認証と認可の両方を行い、ユーザーの身元を確認し、アクセス権限も付与。ユーザー、SP、IdPからなる。
OAuth

ユーザーが特定のサービスにアクセスするための許可を得るためのプロトコル
OpenID connect

OAuth 2.0を認証のために拡張させたもの。ユーザーのID情報を連携する仕組みでもある

 規格X.500 ディレクトリサービス
X.509 デジタル証明書
IEEE802 無線LAN

 プロビジョニングSPML（Service Provisioning Markup Language）

SOAP＋XML。古い。
SCIM（Simple Cloud Identity Management）

REST＋JSON。新しい。

 CAS(Central Authentication Service)web用のシングルサインオン(SSO)プロトコル

 Kerberos認証KDC

サーバとユーザに関する信頼関係の情報を一括管理する中央データベース
AS

認証サーバ
TGT（Ticket Granting Ticket)

チケットを生成するためのチケット
TGS（Ticket Granting Service）

TGTを使用して、ユーザーが特定のサービスへのアクセス許可を得るために利用するサービス

 Kerberos認証の流れ
認証（AS）：
ユーザーは認証サーバー(AS)に認証情報を送信する。この時のユーザー名とパスワードは共通鍵(AES)で暗号化されている
認証サーバはユーザーのパスワードを利用してハッシュを生成し、そのハッシュで共通鍵を暗号化する
認証サーバは暗号化された共通鍵とタイムスタンプを押したTGTをクライアントに返す
クライアントはTGTのタイムスタンプが切れるまでに、パスワードを使って暗号化された共通鍵を複合する


サービスチケット要求（TGS）： ユーザーはTGTをTGSに送信し、サービスへのアクセスを許可するサービスチケットを要求します。

サービスアクセス： ユーザーはサービスチケットをサービスに送信し、サービスへのアクセスを許可されます。

 Active Directory(AD)アカウントの管理を行うディレクトリ・サービス・システム。Kerberos認証を主要な認証方式として利用
ドメイン

Active Directoryデータベースを共有する範囲
フォレスト

Active Directory構造におけるグループの最大単位
ADFS(Active Directory Federation Service)

SSO環境を提供できる。Active Directoryの認証基盤を使い、社内だけでなく、クラウドサービスなど外部のサービスに対する認証も一元的に管理するための機能

 AD 信頼の種類ショートカット信頼

推移性な信頼関係があるドメイン同士で直接信頼関係を結び、認証のパスを短縮できる信頼関係
フォレスト信頼

異なるフォレスト間で結ぶ信頼関係
外部信頼

異なるフォレストのドメイン間で結ぶ信頼関係のことです。外部信頼は推移性がない信頼関係となり、外部信頼を結んでいるドメイン同士で完結しています。
レルム信頼

同じKDCの配下にあるシステムをグループとして定義する論理ネットワーク

 AAAプロトコル認証、認可、アカウンティング
RADIUS

「認証と認可」のサービスとして統合されて、「アカウンティング」のみ分離。通常はUDPでパスワード部分のみ暗号化されているが、TLS over TCPにより全体を暗号化することを可能。
diameter

RADIUSの後継。TCPで暗号化
TACACS+

AAA全てが分離。パケット全体を暗号

 アクセス制御強制アクセス制御(MAC)

オブジェクトラベルとサブジェクトクリアランスによって決まる。分類ラベルのマトリックスを利用したラティスベースのモデルに基づく。高いラベルが低いラベルにアクセスできるわけではない

SElinux,TOMOYOlinux,TrustedBSD,Trusted Solaris
任意アクセス制御(DAC)

UNIX,Windows
ルールベースアクセス制御(RBAC)

ファイヤウォール
ケイパビリティテーブル(機能テーブル)

サブジェクトを主体としてオブジェクトのアクセス権を規定
アクセス制御リスト(ACL)

オブジェクトを主体としてサブジェクトのアクセス権を規定
アクセス制御マトリックス

オブジェクト、サブジェクト、およびそれらの権限をリスト化したテーブル
XACML

アクセス制御ポリシーを表現するためのXMLベースの言語
特権クリープ

個人が業務を遂行するために必要な範囲を超えて、ネットワークアクセス権限のレベルが徐々に蓄積していくこと

 他要素認証タイプ1 知っている

パスワード、PIN
タイプ2 持っている

ICカード、トークン
タイプ3 生体認証

指紋、虹彩
タイプ4 場所

位置情報
タイプ5 行動

歩き方

 生体認証等誤り率(CER)

本人拒否率と他人受入率が同じ確率になるように調整したときのエラー率。デバイスごとに決まっており管理者が調整できる値ではない(変更したい場合デバイスの変更が必要)
タイプ1エラー

本人拒否率によるエラー
タイプ2エラー

他人受入率によるエラー

ran

 Domain6
 規格や標準仕様
 ISCM組織のリスク管理を支援するために、情報セキュリティ、脆弱性、脅威を継続的にモニタリングするためのフレームワーク
NIST SP 800-137

ISCMの具体的なガイドライン。定義、確立、実装、分析と報告、対応、レビューと更新

 NIST SP 800米国立標準技術研究所（NIST）が発行する一連のセキュリティに関するガイドラインシリーズ
800-43

ITシステムのための緊急時対応計画ガイド
800-53

セキュリティとプライバシーの管理策を規定
800-53A

管理策を評価する手順やそのプロセスを詳しく説明
800-137

ISCMの導入プロセスと監視を自動化する対象領域

 SCAPセキュリティ設定共通化手順。次の標準仕様から構成される。
CVE

共通脆弱性識別子　脆弱性を識別
CCE

共通セキュリティ設定一覧　セキュリティ設定を識別
CPE

共通プラットフォーム一覧　製品を識別する
CVSS

共通脆弱性評価システム
XCCDF

セキュリティチェックリストやベンチマークなどを記述するための仕様言語
OVAL

コンピュータのセキュリティ設定状況を検査するための仕様

 監視
 監視プロセスシンセティックモニタリング

プロアクティブであれアクティブであれ、アプリケーション・パフォーマンスを継続的にモニタリングするプロセス
パッシブモニタリング

Webサイトやアプリケーションでの実際のユーザーアクションからリアルタイムでデータをキャプチャ。リアルユーザーモニタリング(RUM)ともいう

 ログの種類フローログ

ネットワーク経由で発生するデータフローの記録
監査ログ

システムやアプリケーションの操作やイベントを記録するログ
トレースログ

アプリケーションやシステムの実行フローを詳細に記録するログ

 SOC企業や組織のネットワークやシステムを24時間365日監視し、サイバー攻撃などの脅威を検知・分析、対応策を講じる専門組織

 SOCレポートSOC 1

財務報告に関連する受託会社の内部統制を評価したもの
SOC 2

受託会社のデータセキュリティとプライバシー関連項目を評価したもの
SOC 3

SOC2の情報を一般向けに公開するための報告書

 SOCレポートのタイプType1

内部統制の有効性を評価する
Type2

一定期間の運用状況を評価する。Type2は6か月以上の評価期間となっているため、運用の透明性や信頼性などをより詳細に把握できます。

 テスト
 テストツールNikto

webサーバ、apの脆弱性スキャンツール
Nessus

ネットワーク機器の脆弱性診断ツール
zzuf

ファジングツール
sqlmap

sqlインジェクションのテストツール
openVAS

オープンソースの脆弱性スキャンツール
Nmap

オープンソースのポートスキャナー

 Faganインスペクション成果物レビュー手法の一つ。計画、概要、準備、検査、修正、フォローアップのステップがある。レビュー参加者がモデレーター、作成者、レビュー担当者など、明確な役割分担の下でレビューする

ran

 Domain8

 SM-CMM
初期段階

このレベルでは、通常文書化されておらず、動的に変化している状態です。
反復可能段階

このレベルでは、成熟度ではいくつかのプロセスが反復可能であり、一貫した結果が得られるでしょう。
定義段階

このレベルでは、文書化された一連の標準プロセスが確立されており、時間をかけてある程度改善されています。

組織的にプロセス管理を行っているレベル
管理段階

このレベルでは、目標達成のためにプロセスの評価が行われています。

プロセスおよびプロダクトの定量的管理が実施できているレベル
最適化段階

プロセス改善に全員が参加し、改善活動が日常化しているレベル


 隠れチャネル
ストレージチャネル

隠れた記憶領域を他のプロセスで共有すること。HDDの不良セクタ、SSDの不良ブロック、スラック領域など
タイミングチャネル

処理内容ではなく処理時間や回数など時間差の違いで実体を特定する方法


 証拠に関する原則
口頭証拠ルール (口頭証拠排除原則, Parol Evidence Rule)

書面の契約がすべて
最良証拠ルール (最良証拠原則, Best Evidence Rule)

コピーの証拠よりもオリジナルを優先する
伝聞証拠ルール (伝聞証拠禁止の原則) :

他人の話したことは原則として証拠にならない


 事業継続・災害復旧（BCDR）
事業継続計画(BCP)
災害復旧計画(DRP)
目標復旧時点(RTO)