(ISC)2 倫理規約として、攻撃的な目的でのマルウェアの拡散と展開の禁止が含まれる

(ISC)2 倫理規定の規律として、情報公開や説明責任を果たす、ハラスメントをしない、社会貢献する、事実を隠さない

(ISC)2 倫理規約として、利益相反があった場合は、関係について伝える事はするが、辞退まではしな

機密性を守るために、何を実施すべきか

完全性を守るために何をするか？

個人の金融、医療、職業の関する記録などを行うことは何を実施できたことになるか？

組織や顧客に対して負う義務

実施した作業の裏付け

常識人として一般的に期待される行動

責任を果たすためにすべき努力

トレーニング未受講者のアカウントを停止する

不正な開示は許さない

一部の企業で使われて、組織内の意思決定方法を決定する組織

ポリシーを指示（承認）したり、組織に義務を課す権限を持つ幹部

資産を保護する必要がある人

伝統的・文化的な義務の一部をまとめたもの

規則を遵守すること

米国ではEUの個人や組織との取引に関する概念として開発された

金融機関の顧客の機密データを保護する法律

電子通信プライバシー法

特許、著作権、商標のうちどれが一番短いか？

デジタル化された著作物に関する米国の法律

銀行のATMやオンラインバンクキングを利用している顧客には、鋼材条件の変更許可が与えられません

パイロットには、エンジンやフライト制御の新しいファームウェアのアップロードやインストールの許可が与えられません

会社の上級役員は、（通常は）シスアド権限を必要としません

ブルースクリーンのとき、シャットダウンするなど

WIFIのルータのパスワードが固定（Admin/admin）だと、リセット攻撃されたとき、固定IDとパスワードが奪取されてしまうリスクがある

個人が信頼されたプロセスをすべて完了できてしまわないように制限するプロセス

職務の分離 (SoD; Separation of Duties)をすると。どんな目的を防止できるか？

データセキュリティライフサイクルで最初にすること

個人データの処理や保護の目的と方法を決める人

所有するデータの価値決定と保護を行う人

データの内容、前後関係、関連業務ルールについて責任を負う人

データが保存されている間の完全性や機密性の責任を負う人

システムのセキュリティに関する計画・特定・選択・実装などを実施する

セキュリティ確保と事業継続のバランスをとる

物理的な影響が残っている可能性を排除する作業のこと

ランダムな値やゼロで上書きすることでデータ破壊を行うこと

ポリシーやプロシージャによって行動を制限する。貼り紙など

攻撃のコストが高いと思わせて攻撃を諦めさせる

貼り紙

フェンス

DLPやIPS

冗長構成

警告やカメラ、多要素認証、警備員

人感センサーや警備員、IDSやSIEM

バックアップを取ること

バックアップやRAID、災害復旧計画など

ランサムウェアのバックアップ

フレームワークやスタンダードを導入する際は、範囲を決定する

手順などを組織に適したものに調整すること

あるIDに対するユーザの主張と第三者の証明によって妥当性を検証すること

最初に検証を要求した環境以外での検証を利用するID証明

ユーザ・リソース、サービスのプロビジョニング要求の統合・相互運用に使用されるプロトコル

盗み出した、または偽りの認証資格情報を利用して認証メカニズムをバイパスする攻撃

キャプチャーしたネットワークトラフィックを利用して接続を再確立するマスカレード攻撃の一種

リソースへアクセス時にユーザ・プロセス・デバイスの身元の主張の妥当性を確認すること

IDがオブジェクトへアクセスするための権限を付与すること

不要になった権限を放棄しないこと

アカウントレビューはいつ行うか？

アプリケーション開発者が特権的な機能のユースケースについて誤った想定をした場合や、アプリケーションがコマンドインジェクションや悪用の使用をした場合に起こります

現在使用中のアカウントで発見、フィンガープリントの取得、別のサーバ上のデータやリソースにアクセスすること

read upできない（機密性が高い層はアクセスできない）

write downできない（機密性が低い層に書き込めない）

read downできない（完全性が低い層の情報を使えない）

write upできない（完全性が高い層の情報を汚染できない）

ラティス（マトリックス）を利用してアクセス制御する強制アクセス制御 (MAC) モデルの一種

倫理の壁（チャイニーズウォール、万里の壁）が中央にあり、一方にアクセスできる時はもう一方にはアクセスできないモデル

Bibaの改良版で、トランザクションレベルでの完全性に焦点を当てている

サブジェクトとオブジェクトの作成方法や、サブジェクトに権限を割り当てる方法、オブジェクトのオーナーシップを管理する方法を扱うモデル

サブジェクトは別のオブジェクトの権利を取得できる

すべてのサブジェクトとオブジェクトはラベル付けされる（オーナがラベル付け）

自分が所有するオブジェクトへのアクセス権を誰に与えるかをオーナーが決定するアクセス制御システム

最も脆弱性のアクセス制御の形

ロールベースアクセス制御 (RBAC) を強制的に適用し、中央機関でポリシーを決定する

職務や認可に応じて個別にロールを設定し、情報システムへのアクセスを許可されたユーザに限定する

特権クループの削減が期待できる

リソースにアクセスできるロールの決定は、データオーナーによって管理されるか、ポリシーに基づいて適用される。

役割を管理するための仕組み（ディレクトリサービスなど）が必要

いつ、どこで、指定した条件で、システムが読み書き実行をシステムオーナーにより許可するかなどの粒度で管理するアクセス制御

ACLやケーパビリティテーブルで定義する

IPアドレスや特定の時間帯などでアクセスを制限する

ファイアウォールは、通過するすべてのトラフィックの制御

すべてのサブジェクトに適用されるルールを使用して許可を与える

アメリカにいるときはアクセスできるが、中国にいるときはアクセスできない

接続先IPの地域が変わった際に追加の認証を求める

2要素認証を使用するようにしているシステムに構成する

割り当てられた職務やタスクを実行するために必要な最低限のレベルの権限を割り当てること

知る必要のない情報にはアクセスできない

ロールやクリアランスのレベルを越えるアクセスを制限するプロセス

個人が信頼されたプロセスをすべて完了できてしまわないように制限するプロセス

不正行為を防ぐために使用する

リソースに近い人員にアクセス制御の権限を与えること

IDとパスワードでアクセスしていくもの。（コンピュータ上で制御していくもの）

境界線にある特定の入り口を通る人や物の移動を管理する

ログインユーザのアクセス権限によってインターフェースを制限すること

IDに関するすべての情報の集中的なリポジトリを提供する

ドメインを超えて組織のID管理を統合すること

SAMLやOAuthなどを利用する

仲介サービスを行い、本人が誰であるか、名前は何かを主張する