児童オンライン保護法

連邦情報セキュリティマネジメント法

悪意を持って任意の1年間に連邦政府コンピュータシステムに$5000を超える損害を与えると、連邦政府に対する犯罪となる

法執行機関のための通信援助法 すべての通信事業者に対して、裁判所の命令を受けている法執行機関当局者は、盗聴できることを要求する

当事者は、事件に関連する全情報の開示を求めることができる制度

目的を問わず誰でも無制限に使用できるライセンス

米国企業から営業秘密を盗んだ者に罰金と懲役刑を科す米国の法律

ハッキングされても、普段権限が有効でないので、被害は最小限になる。

火災発生時の施設のロックダウン（セキュリティより、人の避難優先）

職務の分離は、機密性が高いプロセスで、作業に2以上の人が必要になるようにし、1人に権限が集まらないようにすること

不注意又は意図的な回避を抑止

アイデア、データ、情報、プロセスなどの物理的に存在しないもの

アクセス権を明確化（極秘、秘、社外秘 など）。誰がアクセスできるのか？

従事する業務に応じたアクセス権を分類する作業。検索しやすくもなる

情報の整理を複数設定できる。タグ付け（名前がTomとあれば、＃US　nameなどとコンピュータがタグづけ＝カテゴリ化する）

分類とカテゴリ化は、資産の価値と機微性を理解しているｘｘｘｘｘが実施する必要がある

通常の使用期間が終了した後も情報を保持しているもの

媒体の再利用をしない場合の処理。裁断、切断、分解、酸でエッチング、焼却、埋め立て

物理的な影響が残っている可能性を排除する作業のこと。HDDのデガウス (消磁) など

電子的システムを使って実施する（ソフトウェアファイアウォール、アクセス制御）

ベースラインのコントロールを保護対象のシステムに適用させるときに行う

ｘｘｘｘｘを通して、組織はフレームワークやスタンダードの一部分だけを導入することもできる

ビジネスとセキュリティ要件に基づいて資産へのアクセスが認可・制限されることを保証する手段

ｘｘｘｘｘでは、ユーザがアクセス権限を要求すると、管理者は本人であることのID証明をして、作業範囲に応じたアカウント権限をユーザに割り当てる

アカウントを最初に設定するときにユーザに与えられる権限

サブジェクトのアクション時にオブジェクトへの権限やルールで許可されていることをリアルタイムで確認すること

権限のクリープを防止するために、業務や責任が変わるたびにｘｘｘｘを行うこと

ログの調査に支障が出るので、アカウントをｘｘｘｘすること

デプロビジョニングは、権限の無効化をシステム全体に適用すること（ｘｘｘｘｘが実施）

権限昇格は何を実施して軽減させるか

このモデルを適用することで、機密情報の保護を確実にし、アクセス制御によるセキュリティの強化を実現することができます。

ラティス（マトリックス）を利用してアクセス制御する強制アクセス制御 (MAC) モデルの一種

１つの目標しか達成できない（不正ユーザ（匿名ユーザ）による変更を禁止する）

分散システムの設計と運用において広く使用される概念で、クラウドコンピューティングやネットワークセキュリティなどに活用されている

このモデルは、特に金融機関や取引処理など、信頼性が求められる環境で広く活用されています

セキュリティポリシーや制御メカニズムの設計に活用されます。このモデルを適用することで、データの改ざんや破損によるセキュリティ上のリスクを最小限に抑えることができます。

このモデルを適用することで、機密情報の保護を確実にし、アクセス制御によるセキュリティの強化を実現することができます

サブジェクトがオブジェクトに対して権限を要求し、承認された場合にのみアクセスを許可する仕組み。アクセス制御リスト（ACL）やセキュリティディスクリプタなど、さまざまなセキュリティメカニズムの実装に活用されている

Graham-Denningモデルに似ていて、一般的な権限のセットと有限のコマンドのセットを構成するモデル

アクセス権や情報の制御に焦点を当てている

情報の開示や共有の制限に焦点を当て、情報の適切な制御を行います

ホエーリング攻撃（高官を装った資金送金のフィッシング）に有効

偽装や隠蔽された不正行為を発見し、不正や横領の機会を減らす

デュアルカストディは、ｘｘｘの高い処理操作をする際に使用する

ファイルのオーナーや作成者が、情報へのアクセスを制御すること

応答時間は短いが、管理者が特権を取り消すことを決めても、すべてのサーバへの同期に時間が必要で、攻撃者による特権を使用する機会が与えられてしまう

複数の資格情報を管理するユーザの負担を減らし、様々な環境におけるIDサービスを標準化する仕組み

ドメインを超えて組織のID管理を統合すること。複数のサービスを利用する際に、別システムで認証済みであればそれをもって認証完了とする仕組みのこと

FRRが高いほど

FARが高いほど

ユーザ資格情報を使用して認証するためのコマンド

クライアントTGS鍵を生成する

クライアントサーバーチケットを生成する

KDCは、ｘｘｘｘを使用して、すべてのプリンシパルの秘密鍵をデータベースに保持している

ユーザは、Kerberosログイン時に、ユーザ名とパスワードをｘｘｘで暗号化してからKDCに送信する

KDCは、ユーザのパスワードを利用してハッシュを生成し、そのハッシュでｘｘｘを暗号化する

KDCは、暗号化された対象鍵と、暗号化されてタイムスタンプが押されたｘｘｘの両方をユーザに送信する

ユーザは、ｘｘｘを受理して、ユーザのパスワードのハッシュを利用して対象鍵を復号する

Kerberosは、ｘｘｘｘ を使用する

保護されたリソースへのアクセスを許可するエンティティ

護されたリソースを持つサーバ。クライアントはアクセストークンによってアクセスできる

リソースオーナーに代わって、保護されたリソースへのアクセス要求を行うアプリケーション

クライアントにアクセストークンを発行するサーバ

ID管理、プロビジョニング、ガバナンス、管理サービスを組み合わせて顧客企業に提供するサービス

監視制御およびデータ収集システムの略称です。SCADAシステムは、産業プロセスや施設の監視、制御、データ収集を行うために使用されます。

産業プロセスの効率性、安全性、信頼性を向上させるために広く利用されています

プログラム可能な制御装置の略称です。PLCは、産業プロセスや機械の制御を自動化するために使用されます。

仮想マシンでコピーアンドペーストを有効化すると、ｘｘｘとなる可能性がある

展開したアプリケーションの制御権を持っている

最低限の機能、一つ一つがオブジェクトになっている

VMをクラウドでやるみたいなもの

大規模な計算処理やデータ解析などの高度な計算タスクを効率的に実行するために設計されたシステム

データ処理やデータ解析を、データが生成される近くのエッジデバイスやネットワークエッジに配置されたコンピューティングリソースで行うアプローチ

意図した受信者以外には理解できないようにする

ハッシュ関数、デジタル署名、メッセージ認証コードなど

発信者証明（Prof of Originとも呼ばれる

エンティティが過去のアクションに参加したことの否定を防

攻撃者が費やす労力、ｘｘｘｘが増えると抑止力になる

文字の写像

素因数分解問題を元にした公開鍵暗号。

非対称鍵暗号の中で、鍵長の１ビットあたりの強度が最も強い

否認防止ができる

データに情報を隠すための技術。隠れチャネルの一部としても使用できる

リストはブラウザ内で管理されており、定期的に認証局からCRLを取得する

証明書のステータスを確認するためのネットワークプロトコル

ハッシュ化とは、一意の入力ごとに出力として、一意のｘｘｘハッシュ値を生成する一方法性関数

ｘｘｘハッシュ (HAVAL; HAsh of VAriable Length)

セキュリティの衛生を保つこと（リスクが許容できるところまで抑えることができている状態を保つこと

鍵の紛失や破損のときにのバックアップの仕組み

暗号文と平文を見ながら解読する

攻撃者が暗号アルゴリズムが何か知っている

ブロック暗号の振る舞いを推測するために線形近似戦略を用いた既知平文攻撃

選択平文攻撃にわずかな変更を加え、生成される暗号文にもそれに対応するわずかな変化が現れるか確認する攻撃

Active Directoryに対する攻撃で、パスワードの代わりにパスワードのNTLMハッシュやLMハッシュを使用して、リモートのサーバやサービスを認証する攻撃

電力消費や漏洩などの実装の物理的属性を利用する受動的攻撃

システムを強制的にエラーにした時の結果と正常時の結果を比較して、有用な情報を取得する攻撃

ブロック暗号の数学的構造を利用する攻撃

　一致するハッシュが見つかるまで、各平文をハッシュし続ける

異なるパケットのレイテンシーの変動

光ファイバー　100mという伝送距離がある