不要になった権限を放棄しないこと

個人データの処理や保護の目的と方法を決める人

リソースへアクセス時にユーザ・プロセス・デバイスの身元の主張の妥当性を確認すること

最も脆弱性のアクセス制御の形

銀行のATMやオンラインバンクキングを利用している顧客には、鋼材条件の変更許可が与えられません

いつ、どこで、指定した条件で、システムが読み書き実行をシステムオーナーにより許可するかなどの粒度で管理するアクセス制御

ポリシーを指示（承認）したり、組織に義務を課す権限を持つ幹部

ランダムな値やゼロで上書きすることでデータ破壊を行うこと

所有するデータの価値決定と保護を行う人

規則を遵守すること

ロールベースアクセス制御 (RBAC) を強制的に適用し、中央機関でポリシーを決定する

リソースにアクセスできるロールの決定は、データオーナーによって管理されるか、ポリシーに基づいて適用される。

知る必要のない情報にはアクセスできない

仲介サービスを行い、本人が誰であるか、名前は何かを主張する

アメリカにいるときはアクセスできるが、中国にいるときはアクセスできない

Bibaの改良版で、トランザクションレベルでの完全性に焦点を当てている

攻撃のコストが高いと思わせて攻撃を諦めさせる

冗長構成

金融機関の顧客の機密データを保護する法律

パイロットには、エンジンやフライト制御の新しいファームウェアのアップロードやインストールの許可が与えられません

境界線にある特定の入り口を通る人や物の移動を管理する

実施した作業の裏付け

特権クループの削減が期待できる

人感センサーや警備員、IDSやSIEM

ログインユーザのアクセス権限によってインターフェースを制限すること

責任を果たすためにすべき努力

すべてのサブジェクトとオブジェクトはラベル付けされる（オーナがラベル付け）

盗み出した、または偽りの認証資格情報を利用して認証メカニズムをバイパスする攻撃

個人が信頼されたプロセスをすべて完了できてしまわないように制限するプロセス

自分が所有するオブジェクトへのアクセス権を誰に与えるかをオーナーが決定するアクセス制御システム

IDがオブジェクトへアクセスするための権限を付与すること

デジタル化された著作物に関する米国の法律

サブジェクトは別のオブジェクトの権利を取得できる

バックアップやRAID、災害復旧計画など

DLPやIPS

職務の分離 (SoD; Separation of Duties)をすると。どんな目的を防止できるか？

ロールやクリアランスのレベルを越えるアクセスを制限するプロセス

(ISC)2 倫理規約として、利益相反があった場合は、関係について伝える事はするが、辞退まではしな

read upできない（機密性が高い層はアクセスできない）

物理的な影響が残っている可能性を排除する作業のこと

セキュリティ確保と事業継続のバランスをとる

警告やカメラ、多要素認証、警備員

手順などを組織に適したものに調整すること

IDとパスワードでアクセスしていくもの。（コンピュータ上で制御していくもの）

WIFIのルータのパスワードが固定（Admin/admin）だと、リセット攻撃されたとき、固定IDとパスワードが奪取されてしまうリスクがある

すべてのサブジェクトに適用されるルールを使用して許可を与える

電子通信プライバシー法

データが保存されている間の完全性や機密性の責任を負う人

現在使用中のアカウントで発見、フィンガープリントの取得、別のサーバ上のデータやリソースにアクセスすること

ポリシーやプロシージャによって行動を制限する。貼り紙など

read downできない（完全性が低い層の情報を使えない）

個人の金融、医療、職業の関する記録などを行うことは何を実施できたことになるか？

リソースに近い人員にアクセス制御の権限を与えること

会社の上級役員は、（通常は）シスアド権限を必要としません

(ISC)2 倫理規約として、攻撃的な目的でのマルウェアの拡散と展開の禁止が含まれる

ACLやケーパビリティテーブルで定義する

write downできない（機密性が低い層に書き込めない）

常識人として一般的に期待される行動

IPアドレスや特定の時間帯などでアクセスを制限する

接続先IPの地域が変わった際に追加の認証を求める

データセキュリティライフサイクルで最初にすること

割り当てられた職務やタスクを実行するために必要な最低限のレベルの権限を割り当てること

最初に検証を要求した環境以外での検証を利用するID証明

ファイアウォールは、通過するすべてのトラフィックの制御

SAMLやOAuthなどを利用する

ユーザ・リソース、サービスのプロビジョニング要求の統合・相互運用に使用されるプロトコル

アプリケーション開発者が特権的な機能のユースケースについて誤った想定をした場合や、アプリケーションがコマンドインジェクションや悪用の使用をした場合に起こります

システムのセキュリティに関する計画・特定・選択・実装などを実施する

資産を保護する必要がある人

バックアップを取ること

不正行為を防ぐために使用する

(ISC)2 倫理規定の規律として、情報公開や説明責任を果たす、ハラスメントをしない、社会貢献する、事実を隠さない

ドメインを超えて組織のID管理を統合すること

キャプチャーしたネットワークトラフィックを利用して接続を再確立するマスカレード攻撃の一種

米国ではEUの個人や組織との取引に関する概念として開発された

職務や認可に応じて個別にロールを設定し、情報システムへのアクセスを許可されたユーザに限定する

ランサムウェアのバックアップ

不正な開示は許さない

アカウントレビューはいつ行うか？

あるIDに対するユーザの主張と第三者の証明によって妥当性を検証すること

トレーニング未受講者のアカウントを停止する

データの内容、前後関係、関連業務ルールについて責任を負う人

組織や顧客に対して負う義務

2要素認証を使用するようにしているシステムに構成する

貼り紙

ブルースクリーンのとき、シャットダウンするなど

ラティス（マトリックス）を利用してアクセス制御する強制アクセス制御 (MAC) モデルの一種

write upできない（完全性が高い層の情報を汚染できない）

IDに関するすべての情報の集中的なリポジトリを提供する

機密性を守るために、何を実施すべきか

サブジェクトとオブジェクトの作成方法や、サブジェクトに権限を割り当てる方法、オブジェクトのオーナーシップを管理する方法を扱うモデル

個人が信頼されたプロセスをすべて完了できてしまわないように制限するプロセス

フェンス

役割を管理するための仕組み（ディレクトリサービスなど）が必要

完全性を守るために何をするか？

一部の企業で使われて、組織内の意思決定方法を決定する組織

倫理の壁（チャイニーズウォール、万里の壁）が中央にあり、一方にアクセスできる時はもう一方にはアクセスできないモデル

伝統的・文化的な義務の一部をまとめたもの

フレームワークやスタンダードを導入する際は、範囲を決定する

特許、著作権、商標のうちどれが一番短いか？