CISSP試験対策

単語カード

設定全面表示

• ファジング

  ファジングとは、ソフトウェアテストの手法の一つで、ファズ（fuzz）と呼ばれる通常想定されていない「不正データ」「予期せぬデータ」「ランダムなデータ」を対象の製品・システムに与え意図的に例外を発生させ、潜在的なバグ・脆弱性を検出する手法です。
• reduction analysis(低減分析）

  信頼境界、データフローパス、入力ポイント、特権操作、セキュリティコントロールに関する詳細情報という5つの主要な要素に分解する
• グラム リーチ ブライリー法 (GLBA)

  対象となる金融機関に顧客へのプライバシー通知を毎年提供するように求める米国の法律
• PASTA(The Process for Attack Simulation and Threat Analysis)

  PASTAは、7つのステージから構成され、ビジネスに対する潜在的な脅威を特定、評価、および軽減するプロセスです。
• VAST

  Visual(視覚的に), Agile(柔軟に),Simple(簡潔に) 脅威モデル化は、アプリケーションおよびインフラストラクチャ開発全体の脅威モデリングをSDLCおよびアジャイルソフトウェア開発と統合することを目的としています。 ITは、開発者、アーキテクト、セキュリティ研究者、ビジネスエグゼクティブなど、すべてのステークホルダーに実用的なアウトプットを提供する可視化スキームを提供します。
• NCA(Non-Compete Agreement；非競争契約）

  従業員が解雇または解雇された後に従業員が雇用主との競争に参加しないことに同意する、 従業員と雇用主との間の契約のことです。
• SCA(Security Control Assessment)

  一般的にはセキュリティコントロールを評価するための米国政府のプロセスを指し、多くの場合、セキュリティテストと評価（ST&E）プロセスと組み合わされる。
• データスチュ―ワード

  各データオーナーからデータを収集し、蓄積することをミッションとした主幹組織の管理責任者もしくは責任者の付託を受けた管理者。 会社全体のシステムを所掌しているIT部門サイドに設置する。 データを活用したいステークホルダー（ビジネス・事業部門のメンバー、データアナリスト、など）に対して、活用可能な状態のデータを準備する役割を持つ。
• ゼロフィル

  対象領域を「0」で埋めて、データを消してしまうことを指しています。
• DoD

  U.S. Department of Defense
• FAA

  Federal Aviation Administration
• FDA

  アメリカ食品医薬品局（Food and Drug Administration）
• メンテナンスフック

  保守作業、追加開発を容易にするための命令 本来はリリース前に取り除かなければならない
• Biba Integrity

  1975年にBibaが情報の不適切な修正を防ぐためのモデルを提案 情報が上へ流れない （完全性） 。「機密情報等の重要データが不正に変更されることを防ぐ（＝完全性を担保する）」ことを目的に考えられた【完全性】のみにフォーカスした状態マシンモデルの一つ。・スター属性公理 →サブジェクトは上位の完全性レベルのオブジェクトへ書き込めない ・単純完全性公理 →サブジェクトは下位の完全性レベルのオブジェクトを読み取れない ・呼出属性公理 →サブジェクトは上位の完全性レベルのサブドメインを呼び出せない
• Bell-LaPadula

  1973年に米国空軍の要請によりDavid Bell、Len LaPadulaが提案 情報の不適切な開示の有無を検証することが可能 情報が下へ流れない （機密性） 「機密情報等の重要データに不正な方法でアクセスされることを防ぐ（＝機密性を担保する）」ことを目的にアメリカで考えられた【機密性】のみにフォーカスした状態マシンモデルの一つ。・単純セキュリティルール（＝単純だが、上は読み取れない） →サブジェクトは自分より上位のセキュリティレベルの情報を読み取れない！ 例：私のクリアランスが秘密の場合、極秘にラベルされた（分類された）オブジェクトは読み取ることができない。 ・スター属性ルール（スターは下に書き込めない） →サブジェクトは自分より下位のセキュリティレベルの情報に書き込めない！ 例：私のクリアランスが秘密の場合、非秘密にラベルされた（分類された）オブジェクトへ書き込めない。 ・強化スター属性ルール（強化されたスターになって初めて読み書き両方できる） →サブジェクトは自分と同等のセキュリティレベルの情報に対しては、読み書きできる！ 例：私のクリアランスが秘密の場合、秘密にラベルされた（分類された）オブジェクトは読み取りも、書き込みもできる。
• 単純セキュリティルール

  単純だが、上は読み取れない） →サブジェクトは自分より上位のセキュリティレベルの情報を読み取れない！
• スター属性ルール

  （スターは下に書き込めない） →サブジェクトは自分より下位のセキュリティレベルの情報に書き込めない！
• 強化スター属性ルール

  強化されたスターになって初めて読み書き両方できる） →サブジェクトは自分と同等のセキュリティレベルの情報に対しては、読み書きできる！
• 単純完全性公理

  サブジェクトは下位の完全性レベルのオブジェクトを読み取れない
• 完全性＊属性

  上司のドキュメントを書き換えること（Write Up）はない
• 呼出属性公理

  サブジェクトは上位の完全性レベルのサブドメインを呼び出せない
• SCADA

  大きな施設やインフラを構成する装置・設備からデータを取得し、ネットワークを通して一か所に集めて管理できるシステム
• レインボーテーブル攻撃

  ハッシュ値から原文（平文）を求める効率的な手法の一つで、あらかじめ計算した大量の平文候補を少ない容量で記録しておき、短時間で総当たり攻撃を行うもの。
• 予作動式スプリンクラー設備

  信機器室や電算室など、スプリンクラーヘッドの破損などによる水損を特に避けたい対象物に用いられるスプリンクラー設備。火災時、火災感知器が作動するとその信号により予作動式流水検知装置が開き、弁二次側ヘ通水されます。引き続き、火災の熱によりスプリンクラーヘッドが作動すると、ヘッドより放水されます
• IPSecプロトコル（AH）

  　・　パケットが改ざんされていないかどうか認証を行う。(HMAC) 　・　パケットの暗号化はできない。
• IPSecプロトコル（ESP）

  　・　パケットが改ざんされていないかどうか認証を行う。(HMAC) 　・　パケットのペイロード部の暗号化 ( DES or 3DES or AES ) を行う。
• IPSecプロトコル（IKE）

  　・　秘密鍵情報の交換を安全に行う。IKEは [ ISAKMP/Oakley ] のこと。 　　　つまり、ISAKMPプロトコル上でOakley鍵交換の手順を実装したもの。 　・　Diffie-Hellman鍵交換のアルゴリズムはOakleyコンポーネントの１つ。
• DH（Diffie-Hellman）法

  共通鍵暗号方式における鍵の共有方法
• TCSEC(Trusted Computer System Evaluation Criteria)

  米国防総省文書の一つであり、セキュリティソリューション開発時の基準になる最も基本的な認証
• ITSEC(Information Technology Security Evaluation Criteria)

  TCSECが機密性だけを強調したこととは異なり、ITSECは完全性と可用性を包括する標準案
• CC(Common Criteria)

  PP(Protection Profile)の評価→ST(Security Target）の評価→TOE（Target of Evaluation）の評価
• ケルクホフスの原理（Kerckhoffs' principle）

  暗号方式は、秘密鍵以外の全てが公知になったとして、なお安全であるべきである。
• マントラップ

  物理的な侵入に対するアクセス制御のため、開閉できるドアが一つしかない部屋。入室が１名しかできない。ピギーバックを防止する目的
• レースコンディション

  並列動作する複数の存在（プロセスやスレッド）が同一のリソースへほぼ同時にアクセスしたとき、予定外の処理結果が生じる問題
• 鍵供託暗号(Fair cryptosystems)

  復号に必要な鍵を分ける. この方法は公開鍵を使うソフトウェア暗号における 手法であり, ハードウェア暗号チップが使用されている場合には鍵寄託を使用する
• コモンクライテリア

  セキュリティの観点から情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格
• EAL

  CC EAL ITSEC E 意味 TCSEC EAL1 E0-E1 機能テスト D-C1 EAL2 E1 構造化テスト C1 EAL3 E2 方式的テスト、及びチェック C2 EAL4 E3 方式的設計、テスト、及びレビュー B1 EAL5 E4 準形式的設計、及びテスト B2 EAL6 E5 準形式的検証済み設計、及びテスト B3 EAL7 E6 形式的検証済み設計、及びテスト A
• ステガノグラフィ

  あるデータの中に別の情報を埋め込んで隠ぺいする技術
• シーザー暗号

  単一換字式暗号の一種であり、平文の各文字を辞書順で3文字分シフトして（ずらして）暗号文とする暗号
• テンペスト

  パソコンや電子機器から発生する電磁波を傍受して情報を盗もうとする手口
• TCSEC(Trusted Computer System Evaluation Criteria)

  コンピュータシステムの信頼性を量るためための指標として用いられます。オレンジブック(Orange Book) ともいわれます
• トラステッドコンピューティングベース (Trusted Computing Base、TCB)」

  Trusted Extensions の中でセキュリティーに関するイベントを処理する部分を表します。TCB にはソフトウェア、ハードウェア、ファームウェア、ドキュメント、管理手順などが含まれます。セキュリティー関連のファイルにアクセス可能なユーティリティーやアプリケーションプログラムは、いずれも TCB の一部です。
• アドレス空間配置のランダム化（address space layout randomization, ASLR）

  重要なデータ領域 の位置（通常、プロセスのアドレス空間における実行ファイルの基底とライブラリ、ヒープ、およびスタックの位置が含まれる）を無作為に配置するコンピュータセキュリティの技術である。バッファーオーバーフロー脆弱性への対抗技術の一つ。 オペレーティングシステムごとにアプローチは若干違うが、命令、ヒープ、スタックといった各領域について、メモリー領域への配列をランダム化する。実行ごとに無作為に配列されるため、バッファーオーバーフローを利用する不正な命令が、他の命令、文字列、あるいは共有ライブラリ等を(不正に)呼び出すことが難しくなり、もって攻撃を受けにくくでき、セキュリティが向上する。。
• clark-wilson

  Bibaモデルの後に開発された、アクセストリプルという考え方が特徴の、【完全性】にフォーカスしたセキュリティモデル。
  ・ユーザー（User）：そのままの意味で考えればOK。
  ・変更手順（TP）：読み取り、書き込み、修正などの操作
  ・制約データ項目（CDI）：重要で大切なデータ
  ・非制約データ項目（UDI）：そこまで重要でないデータ
  ・完全性検証手順（IVP）：重要で大切なデータ（CDI）の完全性をチェックする担当。
  【アクセストリプル】・・・UserはTPを経由しないとCDIを変更できない
  【職務の分離】・・・認可済のユーザーが不適切や、過剰な修正ができないようチェックすること（＝これもClark Wilsonで提供できる要素である）
  【適格トランザクション】・・・TPを利用してCDIを変更すること（＝つまり、完全性を担保した変更になるということ）。
• FHSS
  （エフエイチエスエス,周波数ホッピング方式,）

  無線通信で用いられるスペクトラム拡散の方式の一種で、データを搬送する電波の周波数を短い時間で次々と変えて行く方式のことである。
• 直接拡散方式 【DSSS】 Direct Sequence Spread Spectrum

  スペクトラム拡散の方式の一つで、拡散符号あるいは疑似ノイズと呼ばれる高周波の一見ランダムな信号と元の信号を合成することで、広い周波数帯に直接的に信号を拡散する方式。
• ブルースナーフィング

  スマホの個人情報を盗むケースである。また、「ブルーバギング」(Bluebugging)と呼ばれる攻撃もある。これは、程度の差はあるものの、犯罪者にスマホの完璧なコントロールができるようにするものである。
• 任意アクセス制御（DAC）

  任意アクセス制御（DAC：Discretionary Access Control）オブジェクト（ファイルなど）の所有者が，メンバーの属性ごとに権限を設定
• 強制アクセス制御（MAC）

  MACは，操作主体と操作対象それぞれにセキュリティ・レベルを段階分けして，その段階（レベル）を比較することで強制的にアクセス権限を決定する方式。操作主体（サブジェクト）はユーザーやアプリケーション，操作対象（オブジェクト）はファイルやディレクトリが該当
• 役割ベースアクセス制御（RBAC）

  役割ベースアクセス制御: RBAC (Role-Based Access Control)
• OCTAVE

  CERTで紹介されているリスク評価のフレームワークの一つです。
• ECPA(Electronic Communications Privacy Act)

  電気通信プライバシー法（司法当局が犯罪捜査のために電子メールなどにアクセスする際の決まりです。
• COOP

  Continuity of Operations Plan
• ISCP

  Infromation System Contingency Plan
• Data Remanence

  私のデータを復元するために残すことができるか？
• eavesdrop

  盗み聞きする、盗聴する、立ち聞きする、聞き耳を立てる、傍受する
• ISO15489-1

  記録管理の国際標準
• ISO31004

  リスクマネジメント規格
• ISO27002

  データセキュリティに焦点を当てた国際標準
• CMMC

  サイバーセキュリティ成熟度モデル認定。経営陣のサポートコミットメントのレベルが最も重要
• Brewer and Nash model

  営利活動、とくに金融機関において求められる情報コントロールを実現する目的で構築されました。
• LBAC

  Latice Based Access Control

広告

コメント