暗記メーカー

暗記メーカー

ログイン
CISSP(用語)
42問 • 2年前
  • エッグスンシングス
    • 通報

    問題一覧

  • 1

    雇用するときにすること

    人物を調査する

  • 2

    共謀を無くすためには

    ジョブローテーション

  • 3

    内部不正を防ぐためには

    職務分離

  • 4

    内部不正を行っている人がいた場合、これにより不正を発見するきっかけとなる可能性がある

    強制休暇

  • 5

    よく考えると理にかなっていないのに、盲目的に対策ができている。ことになっているセキュリティ施策

    曖昧なセキュリティ

  • 6

    時間差で悪さをするプログラム。内部犯により仕込まれ、特定の時間をトリガーに、悪事を開始する

    論理爆弾

  • 7

    全てのデータに対するアクセスを制御するもの

    リファレンスモニタ

  • 8

    「ソフトウェア」「ハードウェア」「ファームウェア」「プロセス、プロセス同士の通信」といった要素を保護することができる環境(≒システム)

    高信頼コンピューター基盤(TCB)

  • 9

    BCPのライフサイクル

    事業分析⇒リスク評価⇒戦略策定⇒BCP作成⇒リハーサル】+文書化

  • 10

    ・アメリカ由来! ・軍用システムに対応している!が、商用システムでは使い物にならない! ・機密性のみにフォーカスしている! ・OSに関する内容にフォーカスしている。NWやDBは無視!

    TCSEC

  • 11

    会社の資産を扱う際の、自分の責任を従業員へ理解してもらうためもの

    啓蒙

  • 12

    軍用システムで良く使われる。このモードなシステムでは、100のデータ(例:トップシークレット)が存在している場合、アクセスOKな人はトップシークレットのクリアランス、100のデータに対する知る必要性、正式なアクセス許可、秘密保持契約の全てを持っている必要がある。

    専用セキュリティモード(超絶に限られた存在の人しか使えない!)

  • 13

    →専用セキュリティモードから「知る必要性」を緩くしたのがこのモード。このモードなシステムでは、100のデータ(例:トップシークレット)が存在している場合、アクセスOKな人はトップシークレットのクリアランス、一部のデータに対する知る必要性、100のデータに対する正式なアクセス許可・秘密保持契約を持っている必要がある。

    システム高セキュリティモード(=限られた存在の人しか使えない!)

  • 14

    システム高セキュリティモードから「正式なアクセス許可」「秘密保持契約」を緩くしたのがこのモード。このモードなシステムでは、100のデータ(例:トップシークレット)が存在している場合、アクセスOKな人はトップシークレットのクリアランス、一部のデータに対する知る必要性・正式なアクセス許可・秘密保持契約を持っている必要がある。

    区分セキュリティモード(=まあまあ限られた存在の人しか使えない!

  • 15

    区分セキュリティモードから「クリアランス」を緩くしたのがこのモード。このモードなシステムでは、100のデータ(例:トップシークレットが50、社外秘が50)が存在している場合、アクセスOKな人は一部のデータに対するクリアランス(トップシークレットor社外秘)・知る必要性・正式なアクセス許可・秘密保持契約を持っている必要がある。そして、複数の情報分類(トップシークレット、社外秘)を扱うことのできるモデル(紹介してきた他の3つのモデルは1つの情報分類のみ!!)

    マルチセキュリティモード(=制限をしながら、ある程度の存在の人が使える!)

  • 16

    ユーザーの過去の行為に基に、アクセス制御を動的に変更することを実現するセキュリティモデル

    チャイニーズウォールモデル

  • 17

    セキュリティラベルを基に、サブジェクト(例:人)がオブジェクト(例:ファイル)に対して実行できる最大限(例:読み取り可)と最小限(例:書き込み不可)を決めるモデル

    ラティスモデル

  • 18

    「上位のセキュリティレベルで発生したことが、どのような形にしろ、下位のセキュリティレベルに影響しないことを確保するためのモデル」といった具合になります。

    不干渉モデル

  • 19

    「ある情報が適切な先(例えば、人・システム)に正しく流れていることを確実にするため、その情報の流れに着目をして情報の流れを制御しようとする考え方」

    情報フローモデルと

  • 20

    情報が不適切な形で流れてしまうこと。「ストレージチャネル」と「タイミングチャネル」がある。

    隠れチャネル

  • 21

    Bibaモデルの後に開発された、アクセストリプルという考え方が特徴の、【完全性】にフォーカスしたセキュリティモデル」といった具合になります。

    Clark Wilson

  • 22

    ・単純セキュリティルール・・・上位読み取り不可 ・スター属性ルール・・・下位書き込み不可 ・強化スター属性ルール・・・同等のクリアランスと分類君

    「Bell-LaPadula」

  • 23

    ・スター属性公理・・・上位書き込み不可 ・単純完全性公理・・・下位読み取り不可 ・呼出属性・・・同レべのサブジェクトしか呼び出し不可

    「Biba」

  • 24

    「機密情報等の重要データが不正に変更されることを防ぐ(=完全性を担保する)」ことを目的に考えられた【完全性】のみにフォーカスした状態マシンモデルの一つ、となります。

    Biba

  • 25

    サブジェクトは上位の完全性レベルのオブジェクトへ書き込めない

    スター属性公理

  • 26

    サブジェクトは下位の完全性レベルのオブジェクトを読み取れない

    単純完全性公理

  • 27

    サブジェクトは上位の完全性レベルのサブドメインを呼び出せない

    呼出属性公理

  • 28

    「予めいつかのステータス(=状態)を決め、その上で、各状態に対して、OK/NGといった具合に許容できる状態と許容できない状態を定義する。この各状態とOK/NGのペアを基に、システムがNGな状態になることがないように、システムがある状態が別の状態に遷移していれば、そのシステムは安全である」という具合になります

    状態マシンモデル

  • 29

    頑張って決めたセキュリティポリシーを具体期に実行していくための方法論

    セキュリティモデル

  • 30

    他のオブジェクトからオブジェクト内部のデータなどを隠すこと。各オブジェクトは自分のもつデータや機能をカプセル化することでデータを隠ぺいする(=良いことです

    データ隠蔽

  • 31

    オブジェクトのデータイプ、構造、許可された行為を指定するもの

    クラス

  • 32

    オブジェクトが実行できる機能

    メゾット

  • 33

    OASISという団体が策定した「異なるインターネットドメイン間でユーザー認証を行う」ためのXMLベースの世界標準規格です

    Security Assertion Markup Language

  • 34

    IT製品、ソフトウェア等の「情報システム」に存在するセキュリティ的な脆弱性のヤバさを、基本評価基準、現状評価基準、環境評価基準の3つの基準から評価したもの

    CVSS

  • 35

    セキュリティハードウェア、心理学、環境設計で犯罪の発生を予防する

    CPTED

  • 36

    範囲を明確に限定し、侵入者を見つけやすくすること ⇒フェンス、歩道、植栽等でここは俺の土地だ!と示すイメージ

    領域性(敷地強化

  • 37

    目視で管理しやすくし、犯罪検知や報告の可能性をあげること ⇒高すぎる植栽等で「隠れられるポイント」を作るのはNG

    監視性(ナチュラルサーベイランス

  • 38

    侵入者を遮断したり、特定すること ⇒具体例としては、出入口や塀をイメージすればOK

    アクセス制御(自発的アクセス制御

  • 39

    アクセス許可されている低レベルのオブジェクトを複数集めることで、アクセス許可されていない高レベルのオブジェクトの内容が分かってしまうこと(※意図的に集約をすると=推論攻撃!)

    集約

  • 40

    集約を意図的に行い、アクセス許可されていないオブジェクトの内容を知ること。 対策として「DB分割」「セル非表示」「DBにノイズをいれる」があることを覚えておく!

    推論(攻撃)

  • 41

    DB内のデータ要素とそのリレーションが書かれた格納場所。 メタデータの保管場所と思えばOK

    データ辞書

  • 42

    DBに対する最大のセキュリティ問題

    推論と集約

    • CISSP_test1

    CISSP_test1

    エッグスンシングス · 100問 · 2年前

    CISSP_test1

    CISSP_test1

    100問 • 2年前
    エッグスンシングス

    CISSP_test2

    CISSP_test2

    エッグスンシングス · 77問 · 2年前

    CISSP_test2

    CISSP_test2

    77問 • 2年前
    エッグスンシングス

    CISSP_test3

    CISSP_test3

    エッグスンシングス · 100問 · 2年前

    CISSP_test3

    CISSP_test3

    100問 • 2年前
    エッグスンシングス

    CISSP_test4

    CISSP_test4

    エッグスンシングス · 100問 · 2年前

    CISSP_test4

    CISSP_test4

    100問 • 2年前
    エッグスンシングス

    CISSP_test5

    CISSP_test5

    エッグスンシングス · 100問 · 2年前

    CISSP_test5

    CISSP_test5

    100問 • 2年前
    エッグスンシングス

    CISSP_test6

    CISSP_test6

    エッグスンシングス · 57問 · 2年前

    CISSP_test6

    CISSP_test6

    57問 • 2年前
    エッグスンシングス

    CISSP(模擬テスト3)

    CISSP(模擬テスト3)

    エッグスンシングス · 30問 · 2年前

    CISSP(模擬テスト3)

    CISSP(模擬テスト3)

    30問 • 2年前
    エッグスンシングス

    CISSP本番

    CISSP本番

    エッグスンシングス · 100問 · 1年前

    CISSP本番

    CISSP本番

    100問 • 1年前
    エッグスンシングス

    CISS本番2

    CISS本番2

    エッグスンシングス · 100問 · 1年前

    CISS本番2

    CISS本番2

    100問 • 1年前
    エッグスンシングス

    Udemy

    Udemy

    エッグスンシングス · 100問 · 1年前

    Udemy

    Udemy

    100問 • 1年前
    エッグスンシングス

    CISSP本番3

    CISSP本番3

    エッグスンシングス · 100問 · 1年前

    CISSP本番3

    CISSP本番3

    100問 • 1年前
    エッグスンシングス

    CISSP本番4

    CISSP本番4

    エッグスンシングス · 100問 · 1年前

    CISSP本番4

    CISSP本番4

    100問 • 1年前
    エッグスンシングス

    CISSP本番5

    CISSP本番5

    エッグスンシングス · 14問 · 1年前

    CISSP本番5

    CISSP本番5

    14問 • 1年前
    エッグスンシングス

    ISC(Final Assessment )

    ISC(Final Assessment )

    エッグスンシングス · 40問 · 1年前

    ISC(Final Assessment )

    ISC(Final Assessment )

    40問 • 1年前
    エッグスンシングス

    CISSP 暗記(PORT)

    CISSP 暗記(PORT)

    エッグスンシングス · 85問 · 1年前

    CISSP 暗記(PORT)

    CISSP 暗記(PORT)

    85問 • 1年前
    エッグスンシングス

    CISSP(予想問題)

    CISSP(予想問題)

    エッグスンシングス · 22問 · 1年前

    CISSP(予想問題)

    CISSP(予想問題)

    22問 • 1年前
    エッグスンシングス

    ISC2(ドメイン1)

    ISC2(ドメイン1)

    エッグスンシングス · 42問 · 1年前

    ISC2(ドメイン1)

    ISC2(ドメイン1)

    42問 • 1年前
    エッグスンシングス

    ISC2(ドメイン2)

    ISC2(ドメイン2)

    エッグスンシングス · 25問 · 1年前

    ISC2(ドメイン2)

    ISC2(ドメイン2)

    25問 • 1年前
    エッグスンシングス

    ISC2(ドメイン3)

    ISC2(ドメイン3)

    エッグスンシングス · 69問 · 1年前

    ISC2(ドメイン3)

    ISC2(ドメイン3)

    69問 • 1年前
    エッグスンシングス

    ISC2(ドメイン4)

    ISC2(ドメイン4)

    エッグスンシングス · 26問 · 1年前

    ISC2(ドメイン4)

    ISC2(ドメイン4)

    26問 • 1年前
    エッグスンシングス

    問題一覧

  • 1

    雇用するときにすること

    人物を調査する

  • 2

    共謀を無くすためには

    ジョブローテーション

  • 3

    内部不正を防ぐためには

    職務分離

  • 4

    内部不正を行っている人がいた場合、これにより不正を発見するきっかけとなる可能性がある

    強制休暇

  • 5

    よく考えると理にかなっていないのに、盲目的に対策ができている。ことになっているセキュリティ施策

    曖昧なセキュリティ

  • 6

    時間差で悪さをするプログラム。内部犯により仕込まれ、特定の時間をトリガーに、悪事を開始する

    論理爆弾

  • 7

    全てのデータに対するアクセスを制御するもの

    リファレンスモニタ

  • 8

    「ソフトウェア」「ハードウェア」「ファームウェア」「プロセス、プロセス同士の通信」といった要素を保護することができる環境(≒システム)

    高信頼コンピューター基盤(TCB)

  • 9

    BCPのライフサイクル

    事業分析⇒リスク評価⇒戦略策定⇒BCP作成⇒リハーサル】+文書化

  • 10

    ・アメリカ由来! ・軍用システムに対応している!が、商用システムでは使い物にならない! ・機密性のみにフォーカスしている! ・OSに関する内容にフォーカスしている。NWやDBは無視!

    TCSEC

  • 11

    会社の資産を扱う際の、自分の責任を従業員へ理解してもらうためもの

    啓蒙

  • 12

    軍用システムで良く使われる。このモードなシステムでは、100のデータ(例:トップシークレット)が存在している場合、アクセスOKな人はトップシークレットのクリアランス、100のデータに対する知る必要性、正式なアクセス許可、秘密保持契約の全てを持っている必要がある。

    専用セキュリティモード(超絶に限られた存在の人しか使えない!)

  • 13

    →専用セキュリティモードから「知る必要性」を緩くしたのがこのモード。このモードなシステムでは、100のデータ(例:トップシークレット)が存在している場合、アクセスOKな人はトップシークレットのクリアランス、一部のデータに対する知る必要性、100のデータに対する正式なアクセス許可・秘密保持契約を持っている必要がある。

    システム高セキュリティモード(=限られた存在の人しか使えない!)

  • 14

    システム高セキュリティモードから「正式なアクセス許可」「秘密保持契約」を緩くしたのがこのモード。このモードなシステムでは、100のデータ(例:トップシークレット)が存在している場合、アクセスOKな人はトップシークレットのクリアランス、一部のデータに対する知る必要性・正式なアクセス許可・秘密保持契約を持っている必要がある。

    区分セキュリティモード(=まあまあ限られた存在の人しか使えない!

  • 15

    区分セキュリティモードから「クリアランス」を緩くしたのがこのモード。このモードなシステムでは、100のデータ(例:トップシークレットが50、社外秘が50)が存在している場合、アクセスOKな人は一部のデータに対するクリアランス(トップシークレットor社外秘)・知る必要性・正式なアクセス許可・秘密保持契約を持っている必要がある。そして、複数の情報分類(トップシークレット、社外秘)を扱うことのできるモデル(紹介してきた他の3つのモデルは1つの情報分類のみ!!)

    マルチセキュリティモード(=制限をしながら、ある程度の存在の人が使える!)

  • 16

    ユーザーの過去の行為に基に、アクセス制御を動的に変更することを実現するセキュリティモデル

    チャイニーズウォールモデル

  • 17

    セキュリティラベルを基に、サブジェクト(例:人)がオブジェクト(例:ファイル)に対して実行できる最大限(例:読み取り可)と最小限(例:書き込み不可)を決めるモデル

    ラティスモデル

  • 18

    「上位のセキュリティレベルで発生したことが、どのような形にしろ、下位のセキュリティレベルに影響しないことを確保するためのモデル」といった具合になります。

    不干渉モデル

  • 19

    「ある情報が適切な先(例えば、人・システム)に正しく流れていることを確実にするため、その情報の流れに着目をして情報の流れを制御しようとする考え方」

    情報フローモデルと

  • 20

    情報が不適切な形で流れてしまうこと。「ストレージチャネル」と「タイミングチャネル」がある。

    隠れチャネル

  • 21

    Bibaモデルの後に開発された、アクセストリプルという考え方が特徴の、【完全性】にフォーカスしたセキュリティモデル」といった具合になります。

    Clark Wilson

  • 22

    ・単純セキュリティルール・・・上位読み取り不可 ・スター属性ルール・・・下位書き込み不可 ・強化スター属性ルール・・・同等のクリアランスと分類君

    「Bell-LaPadula」

  • 23

    ・スター属性公理・・・上位書き込み不可 ・単純完全性公理・・・下位読み取り不可 ・呼出属性・・・同レべのサブジェクトしか呼び出し不可

    「Biba」

  • 24

    「機密情報等の重要データが不正に変更されることを防ぐ(=完全性を担保する)」ことを目的に考えられた【完全性】のみにフォーカスした状態マシンモデルの一つ、となります。

    Biba

  • 25

    サブジェクトは上位の完全性レベルのオブジェクトへ書き込めない

    スター属性公理

  • 26

    サブジェクトは下位の完全性レベルのオブジェクトを読み取れない

    単純完全性公理

  • 27

    サブジェクトは上位の完全性レベルのサブドメインを呼び出せない

    呼出属性公理

  • 28

    「予めいつかのステータス(=状態)を決め、その上で、各状態に対して、OK/NGといった具合に許容できる状態と許容できない状態を定義する。この各状態とOK/NGのペアを基に、システムがNGな状態になることがないように、システムがある状態が別の状態に遷移していれば、そのシステムは安全である」という具合になります

    状態マシンモデル

  • 29

    頑張って決めたセキュリティポリシーを具体期に実行していくための方法論

    セキュリティモデル

  • 30

    他のオブジェクトからオブジェクト内部のデータなどを隠すこと。各オブジェクトは自分のもつデータや機能をカプセル化することでデータを隠ぺいする(=良いことです

    データ隠蔽

  • 31

    オブジェクトのデータイプ、構造、許可された行為を指定するもの

    クラス

  • 32

    オブジェクトが実行できる機能

    メゾット

  • 33

    OASISという団体が策定した「異なるインターネットドメイン間でユーザー認証を行う」ためのXMLベースの世界標準規格です

    Security Assertion Markup Language

  • 34

    IT製品、ソフトウェア等の「情報システム」に存在するセキュリティ的な脆弱性のヤバさを、基本評価基準、現状評価基準、環境評価基準の3つの基準から評価したもの

    CVSS

  • 35

    セキュリティハードウェア、心理学、環境設計で犯罪の発生を予防する

    CPTED

  • 36

    範囲を明確に限定し、侵入者を見つけやすくすること ⇒フェンス、歩道、植栽等でここは俺の土地だ!と示すイメージ

    領域性(敷地強化

  • 37

    目視で管理しやすくし、犯罪検知や報告の可能性をあげること ⇒高すぎる植栽等で「隠れられるポイント」を作るのはNG

    監視性(ナチュラルサーベイランス

  • 38

    侵入者を遮断したり、特定すること ⇒具体例としては、出入口や塀をイメージすればOK

    アクセス制御(自発的アクセス制御

  • 39

    アクセス許可されている低レベルのオブジェクトを複数集めることで、アクセス許可されていない高レベルのオブジェクトの内容が分かってしまうこと(※意図的に集約をすると=推論攻撃!)

    集約

  • 40

    集約を意図的に行い、アクセス許可されていないオブジェクトの内容を知ること。 対策として「DB分割」「セル非表示」「DBにノイズをいれる」があることを覚えておく!

    推論(攻撃)

  • 41

    DB内のデータ要素とそのリレーションが書かれた格納場所。 メタデータの保管場所と思えばOK

    データ辞書

  • 42

    DBに対する最大のセキュリティ問題

    推論と集約