CISSP（用語）

通報

問題一覧

雇用するときにすること

人物を調査する

共謀を無くすためには

ジョブローテーション

内部不正を防ぐためには

職務分離

内部不正を行っている人がいた場合、これにより不正を発見するきっかけとなる可能性がある

強制休暇

よく考えると理にかなっていないのに、盲目的に対策ができている。ことになっているセキュリティ施策

曖昧なセキュリティ

時間差で悪さをするプログラム。内部犯により仕込まれ、特定の時間をトリガーに、悪事を開始する

論理爆弾

全てのデータに対するアクセスを制御するもの

リファレンスモニタ

「ソフトウェア」「ハードウェア」「ファームウェア」「プロセス、プロセス同士の通信」といった要素を保護することができる環境(≒システム)

高信頼コンピューター基盤（TCB）

BCPのライフサイクル

事業分析⇒リスク評価⇒戦略策定⇒BCP作成⇒リハーサル】＋文書化

・アメリカ由来！・軍用システムに対応している！が、商用システムでは使い物にならない！・機密性のみにフォーカスしている！・OSに関する内容にフォーカスしている。NWやDBは無視！

TCSEC

会社の資産を扱う際の、自分の責任を従業員へ理解してもらうためもの

啓蒙

軍用システムで良く使われる。このモードなシステムでは、100のデータ（例：トップシークレット）が存在している場合、アクセスOKな人はトップシークレットのクリアランス、100のデータに対する知る必要性、正式なアクセス許可、秘密保持契約の全てを持っている必要がある。

専用セキュリティモード（超絶に限られた存在の人しか使えない！）

→専用セキュリティモードから「知る必要性」を緩くしたのがこのモード。このモードなシステムでは、100のデータ（例：トップシークレット）が存在している場合、アクセスOKな人はトップシークレットのクリアランス、一部のデータに対する知る必要性、100のデータに対する正式なアクセス許可・秘密保持契約を持っている必要がある。

システム高セキュリティモード（＝限られた存在の人しか使えない！）

システム高セキュリティモードから「正式なアクセス許可」「秘密保持契約」を緩くしたのがこのモード。このモードなシステムでは、100のデータ（例：トップシークレット）が存在している場合、アクセスOKな人はトップシークレットのクリアランス、一部のデータに対する知る必要性・正式なアクセス許可・秘密保持契約を持っている必要がある。

区分セキュリティモード（＝まあまあ限られた存在の人しか使えない！

区分セキュリティモードから「クリアランス」を緩くしたのがこのモード。このモードなシステムでは、100のデータ（例：トップシークレットが50、社外秘が50）が存在している場合、アクセスOKな人は一部のデータに対するクリアランス（トップシークレットor社外秘）・知る必要性・正式なアクセス許可・秘密保持契約を持っている必要がある。そして、複数の情報分類（トップシークレット、社外秘）を扱うことのできるモデル（紹介してきた他の3つのモデルは1つの情報分類のみ！！）

マルチセキュリティモード（＝制限をしながら、ある程度の存在の人が使える！）

ユーザーの過去の行為に基に、アクセス制御を動的に変更することを実現するセキュリティモデル

チャイニーズウォールモデル

セキュリティラベルを基に、サブジェクト(例：人)がオブジェクト(例：ファイル)に対して実行できる最大限(例：読み取り可)と最小限(例：書き込み不可)を決めるモデル

ラティスモデル

「上位のセキュリティレベルで発生したことが、どのような形にしろ、下位のセキュリティレベルに影響しないことを確保するためのモデル」といった具合になります。

不干渉モデル

「ある情報が適切な先（例えば、人・システム）に正しく流れていることを確実にするため、その情報の流れに着目をして情報の流れを制御しようとする考え方」

情報フローモデルと

情報が不適切な形で流れてしまうこと。「ストレージチャネル」と「タイミングチャネル」がある。

隠れチャネル

Bibaモデルの後に開発された、アクセストリプルという考え方が特徴の、【完全性】にフォーカスしたセキュリティモデル」といった具合になります。

Clark Wilson

・単純セキュリティルール・・・上位読み取り不可・スター属性ルール・・・下位書き込み不可・強化スター属性ルール・・・同等のクリアランスと分類君

「Bell-LaPadula」

・スター属性公理・・・上位書き込み不可・単純完全性公理・・・下位読み取り不可・呼出属性・・・同レべのサブジェクトしか呼び出し不可

「Biba」

「機密情報等の重要データが不正に変更されることを防ぐ（＝完全性を担保する）」ことを目的に考えられた【完全性】のみにフォーカスした状態マシンモデルの一つ、となります。

Biba

サブジェクトは上位の完全性レベルのオブジェクトへ書き込めない

スター属性公理

サブジェクトは下位の完全性レベルのオブジェクトを読み取れない

単純完全性公理

サブジェクトは上位の完全性レベルのサブドメインを呼び出せない

呼出属性公理

「予めいつかのステータス（＝状態）を決め、その上で、各状態に対して、OK/NGといった具合に許容できる状態と許容できない状態を定義する。この各状態とOK/NGのペアを基に、システムがNGな状態になることがないように、システムがある状態が別の状態に遷移していれば、そのシステムは安全である」という具合になります

状態マシンモデル

頑張って決めたセキュリティポリシーを具体期に実行していくための方法論

セキュリティモデル

他のオブジェクトからオブジェクト内部のデータなどを隠すこと。各オブジェクトは自分のもつデータや機能をカプセル化することでデータを隠ぺいする(=良いことです

データ隠蔽

オブジェクトのデータイプ、構造、許可された行為を指定するもの

クラス

オブジェクトが実行できる機能

メゾット

OASISという団体が策定した「異なるインターネットドメイン間でユーザー認証を行う」ためのXMLベースの世界標準規格です

Security Assertion Markup Language

IT製品、ソフトウェア等の「情報システム」に存在するセキュリティ的な脆弱性のヤバさを、基本評価基準、現状評価基準、環境評価基準の３つの基準から評価したもの

CVSS

セキュリティハードウェア、心理学、環境設計で犯罪の発生を予防する

CPTED

範囲を明確に限定し、侵入者を見つけやすくすること ⇒フェンス、歩道、植栽等でここは俺の土地だ！と示すイメージ

領域性(敷地強化

目視で管理しやすくし、犯罪検知や報告の可能性をあげること ⇒高すぎる植栽等で「隠れられるポイント」を作るのはNG

監視性(ナチュラルサーベイランス

侵入者を遮断したり、特定すること ⇒具体例としては、出入口や塀をイメージすればOK

アクセス制御(自発的アクセス制御

アクセス許可されている低レベルのオブジェクトを複数集めることで、アクセス許可されていない高レベルのオブジェクトの内容が分かってしまうこと(※意図的に集約をすると＝推論攻撃！)

集約

集約を意図的に行い、アクセス許可されていないオブジェクトの内容を知ること。対策として「DB分割」「セル非表示」「DBにノイズをいれる」があることを覚えておく！

推論(攻撃)

DB内のデータ要素とそのリレーションが書かれた格納場所。メタデータの保管場所と思えばOK

データ辞書

DBに対する最大のセキュリティ問題

推論と集約

CISSP_test1

CISSP_test1

CISSP_test2

エッグスンシングス · 77問 · 2年前

CISSP_test2

77問 • 2年前

CISSP_test3

CISSP_test3

CISSP_test4

CISSP_test4

CISSP_test5

CISSP_test5

CISSP_test6

エッグスンシングス · 57問 · 2年前

CISSP_test6

57問 • 2年前

CISSP（模擬テスト3）

エッグスンシングス · 30問 · 2年前

CISSP（模擬テスト3）

30問 • 2年前

CISSP本番

CISSP本番

CISS本番2

CISS本番2

Udemy

Udemy

CISSP本番3

CISSP本番3

CISSP本番4

CISSP本番4

CISSP本番5

エッグスンシングス · 14問 · 1年前

CISSP本番5

14問 • 1年前

ISC(Final Assessment )

エッグスンシングス · 40問 · 1年前

ISC(Final Assessment )

40問 • 1年前

CISSP　暗記（PORT）

エッグスンシングス · 85問 · 1年前

CISSP　暗記（PORT）

85問 • 1年前

CISSP(予想問題）

エッグスンシングス · 22問 · 2年前

CISSP(予想問題）

22問 • 2年前

ISC2（ドメイン1）

エッグスンシングス · 42問 · 1年前

ISC2（ドメイン1）

42問 • 1年前

ISC2（ドメイン2）

エッグスンシングス · 25問 · 1年前

ISC2（ドメイン2）

25問 • 1年前

ISC2（ドメイン3）

エッグスンシングス · 69問 · 1年前

ISC2（ドメイン3）

69問 • 1年前

ISC2（ドメイン4）

エッグスンシングス · 26問 · 1年前

ISC2（ドメイン4）

26問 • 1年前

ISC2（ドメイン5）

エッグスンシングス · 34問 · 1年前

ISC2（ドメイン5）

34問 • 1年前

エッグスンシングス · 6回閲覧 · 73問 · 2年前

CISSP（ドメイン2）

CISSP（ドメイン2）

6回閲覧 • 73問 • 2年前

CISSP（ドメイン3）

エッグスンシングス · 86問 · 2年前

CISSP（ドメイン3）

86問 • 2年前

CISSP（ドメイン4）

エッグスンシングス · 74問 · 2年前

CISSP（ドメイン4）

74問 • 2年前

エッグスンシングス · 5回閲覧 · 74問 · 2年前

CISSP（ドメイン5）

CISSP（ドメイン5）

5回閲覧 • 74問 • 2年前

CISSP（ドメイン6）

エッグスンシングス · 82問 · 2年前

CISSP（ドメイン6）

82問 • 2年前

CISSP(ドメイン7）

エッグスンシングス · 63問 · 2年前

CISSP(ドメイン7）

63問 • 2年前

CISSP（ドメイン8）

エッグスンシングス · 72問 · 2年前

CISSP（ドメイン8）

72問 • 2年前

CISSP（模擬テスト1）

エッグスンシングス · 79問 · 2年前

CISSP（模擬テスト1）

79問 • 2年前

ISC2（ドメイン6）

エッグスンシングス · 35問 · 1年前

ISC2（ドメイン6）

35問 • 1年前

CISSP（模擬試験2）

エッグスンシングス · 63問 · 2年前

CISSP（模擬試験2）

63問 • 2年前

ISC2（ドメイン7）

エッグスンシングス · 46問 · 1年前

ISC2（ドメイン7）

46問 • 1年前

CISSP（模擬テスト4）

エッグスンシングス · 21問 · 2年前

CISSP（模擬テスト4）

21問 • 2年前

ISC2（ドメイン8）

エッグスンシングス · 58問 · 1年前

ISC2（ドメイン8）

58問 • 1年前

CISSP(用語）

エッグスンシングス · 69問 · 2年前

CISSP(用語）

69問 • 2年前

エッグスンシングス · 3回閲覧 · 10問 · 1年前

CISSP(ISC2) ドメイン1

CISSP(ISC2) ドメイン1

3回閲覧 • 10問 • 1年前

Udemy2

エッグスンシングス · 33問 · 1年前

Udemy2

33問 • 1年前

CISSP(ｵﾌｨｼｬﾙｶﾞｲﾄﾞ）

エッグスンシングス · 12問 · 2年前

CISSP(ｵﾌｨｼｬﾙｶﾞｲﾄﾞ）

12問 • 2年前

CISSP（用語1）

CISSP（用語1）

CISSP（用語2）

CISSP（用語2）

CISSP（用語3）

CISSP（用語3）

CISSP（用語4）

CISSP（用語4）

CISSP（用語5）

CISSP（用語5）

CISSP（用語7）

CISSP（用語7）

CISSP（用語6）

CISSP（用語6）

CISSP（用語8）

CISSP（用語8）

CISSP（用語9）

CISSP（用語9）

CISSP（用語11）

CISSP（用語11）

CISSP（用語10）

CISSP（用語10）

CISSP（用語12）

CISSP（用語12）

CISSP（用語13）

エッグスンシングス · 76問 · 2年前

CISSP（用語13）

76問 • 2年前

補足問題（CISA）

補足問題（CISA）

補足問題2（CISA）

エッグスンシングス · 70問 · 1年前

補足問題2（CISA）

70問 • 1年前