引っ越しのお知らせ
当ブログを読んでいただいている(もしくは読んでいただいた)皆さん、突然ですが、ブログの引っ越しをします。
引っ越し先(と今後の更新先)はこちら↓
もしよければ、引き続きお読みいただければ嬉しい限りです。
独学で作るCISSP用語集〜セキュリティとリスクマネジメント(ドメイン1)編〜その15
今日で5月も最後ですね。明日からは「夏」ということですが、今からとても嫌な気分になってます。何故なら、冬場にはいない蚊に今日ガンガン攻撃されていて、夏本番を迎えるともっとひどくなることが予想されるから・・・(´Д⊂ヽ
さて、本日の調査結果を以下に書き綴っていきます!
第1章 セキュリティとリスクマネジメント(ドメイン1) ー続きー
CEO(最高経営責任者)
アメリカ合衆国内の法人において理事会(法人が会社の場合は取締役会)の指揮の下で法人のすべての業務執行を統括する役員、執行役員または執行役(officer、executive officer)の名称、もしくは最高経営責任者として選任された人物のこと。
CEOはBCPには参加しないが、計画の採択に成功する可能性を高めるために、最上位の経営者の承認を得ることが望ましい。
CISO(最高情報セキュリティ責任者)
企業などの組織に置かれる役員クラスの役職の一つで、情報セキュリティを掌握するもの。情報システムや通信ネットワークへの内外からの攻撃に備え、システムの運用指針や対策基準の策定、機器やソフトウェアへの安全対策や監視、有事の際の対応などを統括する。
COO(最高執行責任者)
アメリカ合衆国内の法人において理事会(法人が会社の場合は取締役会)(board of directors)の指揮の下で法人の事業運営に関する業務執行を統括する役員、執行役員または執行役(officerまたはexecutive officer)の名称、もしくは最高執行責任者として選任された人物のことである。
事業継続計画におけるプロジェクトの範囲と計画策定フェーズに含まれる活動
以下の4つの活動が含まれる。
- 組織の構造化分析
- BCPチームの結成
- 利用可能なリソースの評価
- 法規制状況の分析
DRサイト(ディザスタリカバリサイト/バックアップサイト)
災害などで主要なITシステム拠点での業務の続行が不可能になった際に、緊急の代替拠点として使用する施設や設備のこと。
システムの重要性やかけられるコストなどに応じて、以下の運用方式がある。
- ホットサイト
- ウォームサイト
- コールドサイト
ホットサイト
企業の情報システムのバックアップ施設などの運用方式の一つで、遠隔地に設けた施設に本運用とほぼ同じシステムを導入し、常時データ複製を行いながら稼働状態で待機しておき、障害発生時に直ちに切り替えて運用を引き継ぐ方式。他の方式に比べ最も迅速に切り替え作業を完了できるが、設備などの設営や維持にかかるコストは最も高い。
ウォームサイト
企業の情報システムのバックアップ施設などの運用方式の一つで、遠隔地に設けた施設に本運用とほぼ同じシステムを導入し、日稼働状態で待機して起き、障害発生後にシステムを起動して運用を引き継ぐ方式。ホットサイトとコールドサイトの中間的な方式で、引き継ぎにかかる時間やコストも両方式の中間程度となる。
コールドサイト
企業の情報システムのバックアップ施設などの運用方式の一つで、遠隔地に建物や通信回線など最低限のインフラだけを確保しておき、障害が発生してから必要な機材の搬入や設定作業、バックアップデータの導入などを行う方式。他の方式に比べ引き継ぎに時間がかかるが、設備などの設営や維持にかかるコストは安く済む。
編集後記(雑記)
新たな変異ウイルス!?(コロナウイルスの話)
今日の朝ニュースを見ていたら、「新たにベトナムで変異ウイルスを発見した」という内容の報道がされていてビックリしました。
変異の内容としては、インド型の変異ウイルスにイギリス型の変異が新たに加わったものみたいですが、空気感染力が高まっているらしくて、結構厳しいのが出てきたなぁと感じてます。
世界的にようやく新型コロナウイルスのワクチンが摂取できるようになってきたのに、果たしてこのワクチンは変異型にも効くんでしょうか?
もしかしたら人間の知恵よりもウイルスの変異の方が全然早くて、結局何も根本対策が取れないままズルズルと行きかねないなぁなんて思う今日この頃です・・・。
ちなみに、今日のニュースはこちら。
このYoutubeのコメントに書かれていた「イベルメクチン」っていう抗生物質、本当にコロナに効くんでしょうか?
イベルメクチンに関しての記事は、これが面白いかも。
独学で作るCISSP用語集〜セキュリティとリスクマネジメント(ドメイン1)編〜その14
今日はどんより雲・・・というか完全に雨に包まれ、いかにも梅雨って感じの1日になってますが、皆様いかがお過ごしでしょうか?
私はちょっとイラッとすることがあり、心の中もどんより雲が漂ってます。あー、ヤダヤダ。
さて、愚痴はひとまず置いといて(といってもこの先愚痴については触れる気はありませんが)、本日の調査結果まとめを以下に記載していきます。
- 第1章 セキュリティとリスクマネジメント(ドメイン1) ー続きー
- 編集後記(雑記)
第1章 セキュリティとリスクマネジメント(ドメイン1) ー続きー
国立標準技術研究所(National Institute of Standards Technology(NIST))
アメリカ合衆国の国立の計量標準研究所であり、アメリカ合衆国商務省配下の技術部門であり日監督機関である。1901~1988年までは国立標準局(National Bureau of Standards(NBS))と称していた。
公式任務は次の通り。
「経済的(安全)保証を強化し生活の質を高めるような手法で、計量学や標準規格、産業技術を進歩されることによって、アメリカの技術革新と産業競争力を促進することが目的である。」
1987のコンピュータセキュリティ法はアメリカ国立標準技術研究所(NIST)に連邦政府のコンピュータシステムに関するスタンダードとガイドラインを策定する責務を与えた。この目的のために、NISTは適宜、国家安全保障局の助言と援助を活用する。
特許取得の要件
- 産業上利用できるものであること(産業の利用可能性)
- 新しいものであること(新規性)
- 容易に考え出すことができないこと(進歩性)
- 先に出願されていないものであること(先願)
- 公序良俗に反するものでないこと
キーロガー(Keylogger または Keystroke logging)
パソコンやキーボードの操作内容を記録するためのソフトウェア等の総称で、悪意のある者に個人情報などを盗み取られるなどの悪用をされることがあるもの。
リスクマネジメントフレームワーク
組織や情報システムにおける情報セキュリティリスク(プライバシーリスク含む)の管理方法を示したもの。
以下の7つのステップで構成されている。
ステップ1)リスクマネジメントの準備(PREPARE)
組織のリスクマネジメント戦略を策定して組織全体のリスクアセスメント(評価)を行い、共通管理策(複数システムサポート可能な共通的なセキュリティ対策)を特定する。
ステップ2)情報システムの分類(CATEGORIZE)
対象システムの特性を明らかにし、システムや情報のタイプを特定することにより、当該システムに求められるセキュリティ分類を機密性、完全性、可用性の観点でそれぞれ高、中、低に決定する。
ステップ3)セキュリティ管理策の選択(SELECT)
対象システムの分類結果より、セキュリティ管理策(セキュリティ対策やプライバシー保護策)を、ベースラインとなるセキュリティ管理策の中から選択し、必要な場合はその内容を調整する。
ステップ4)セキュリティ管理策の実装(IMPLEMENT)
対象システムのセキュリティ管理策を実装する。また、セキュリティ管理策の実装状況に基づき、セキュリティ管理策の変更内容やアウトプット等を文書化する。
ステップ5)セキュリティ管理策のアセスメント(ASSESS)
対象システムのセキュリティ管理策が正しく実装され、意図したとおりに機能し、セキュリティ(およびプライバシー)の要件を満たしているかの有効性を評価する。その結果、不備があれば是正活動を行い、是正後のセキュリティ管理策を再度評価する。
ステップ6)情報システムの運用認可(AUTHORIZE)
運用認可責任者に、対象システム等の運用認可を申請し、リスクが需要可能であれば運用が認可される。受容できなければ運用は認可されない。運用認可者とは、組織において対象システムの運用によって生じるリスクを需要可能なレベルに収める責任を負う責任者である。
ステップ7)セキュリティ管理策の監視(MONITOR)
対象システムのセキュリティ管理策の有効性を継続的に評価し、必要な場合はリスク対応の取り組みを実施する。運用認可の申請と認可も継続的に行われる。また、対象システムを廃止する段階では、廃止に必要な作業を行う。
編集後記(雑記)
ドラゴンクエスト35周年!
ほんと、CISSPとは全く無関係な話でさーせんっ!
でも、自分くらいの年代であれば、やっぱりこの「ドラクエ」っていうフレーズにはどうしても反応してしまうものなんです。どうかお許しを。
すごいですね〜、あれからもう35年も経ったのかぁと思うと、非常に感慨深いです。色々発売されてきましたが、皆さんは何作目がお好きですか?
自分は圧倒的にドラクエV「天空の花嫁」ですね。ビアンカとフローラ、どちらを選ぶかでかなり迷うんですけど、どうしてもビアンカを選んでしまうんですよ。何回もやり込みましたけど、結局フローラを選んだのは1回だけでした(^^;
ちなみに、今はビアンカ、フローラに加え。デボラなんていうのも居るらしく・・・まぁ個人的にはビアンカ、フローラだけで十分かな〜と。
あぁ、無性にドラクエVがやりたくなってしまったので、今日はもう仕事も勉強もせずに、携帯でドラクエ・・・タクトやっときます。(何故にタクトっ!?)
ドラクエ35周年サイトはこちらです。
独学で作るCISSP用語集〜セキュリティとリスクマネジメント(ドメイン1)編〜その13
なんだか一気に暑くなってきましたね〜(^^;
気がつけばもう5月も今日を含めてあと7日。そりゃ暑くもなるか。
暑くなっても勉強はせねばならぬ!ということで、本日の勉強の成果を書いておきます。
第1章 セキュリティとリスクマネジメント(ドメイン1) ー続きー
電子ボールティング
ボールティングは、自動的に遠隔バックアップを行い、災害後でも任意の場所でデータが復旧可能な環境を提供する。
電子ボールティングでは、データはテープの物理的な配送ではなく、リモートサイトに電子的な手段で転送される。
重要レコード(バイタルレコード)
企業の存続にかかわる文章や代替情報がほかに求められない文章のこと。
セキュリティドキュメント
達成すべきセキュリティを文書化したもの。強いセキュリティを実現するためには明確な定義が必要。その定義は組織によって異なるため、文章化する必要がある。
ポリシーをトップとして以下の5つの文章があり、それぞれ作成の必須、任意が決まっている。
- ポリシー
- スタンダード
- ベースライン
- ガイドライン
- プロシージャ
ポリシー
必須。実現したいことを明確にする、ハイレベルな方針。
- 目的(purpose)どんなことを
- 範囲(scope)どのくらいの規模感で
- 責任(responsibilities)誰が責任を持ち
- 法務(compliance)違反をどう監視するか
スタンダード
必須。ポリシーを達成する上で必要な要素を具体的にする。
行動の範囲を規定する、最小レベルでのセキュリティ。
ベースライン
任意。スタンダードを何に沿って決めたのかの根拠。
例えば「パラメータ」や「パスワード長」のような設定方法やルールであり、組織全体に一貫したレベルのセキュリティをもたらす基準線となる。
ガイドライン
任意。ポリシーを実現するためのサポート。
プロシージャ
必須。どうやって達成するかをステップバイステップで記載する。
取得原価
資産を購入するために要した原価であり、購入価格に付随費用を加えた合計の額。
減価償却費
金額を支払ったタイミングと費用にするタイミングがずれた状態で費用を会計帳票へ載せているのが減価償却費。
(固定資産を取得した際に、その金額をそのままその年の費用に計上するのではなく、○○年使用するためにその年数分を分割して年度ごとに支払う体にした費用)
再調達原価
ある資産を再取得する場合に必要とされる予想購入額のことであり、棚卸資産を評価する際に重要となる概念。
機会費用
人間の選択行動において、ある選択を行うことで失った(選択しなかった)ものの価値。
編集後記(雑記)
リモートワークの利点/欠点を勝手に考えてみた
冒頭でも書きましたが、本当に最近暑くなってきましたね。夏本番も間近に迫ってきた感がありますが、そんな中で、なんとなくリモートワーウ(テレワーク)で良かったなぁと感じたことがあったので、雑記的に纏めてみました。
利点
- Tシャツ&短パンで仕事が出来る!→スーツ着なくて済むのは最高!なんなら寝巻きで仕事してますから。
- おやつを気にせず食べれる。
- いつ休憩しても変な目で見られない。
- 独り言も言いたい放題。
まぁ、つまりは仕事しててもフリーダム!って感じることができるのが最大の利点でしょうね。もちろん、オンラインの会議とかはありますけど、それ以外はほんっっとうに自由。こうなると、単なるリモートワークじゃなくてワーケーションやりたいですわ。
じゃあ、逆に
欠点
- チームのメンバとコミュニケーションが取りづらい
- 飲み会がない
- 雑談も独り言で終わってしまう
てな感じですかね〜。
ただ、ちょっと考えると欠点よりも利点の方が個人的には多かったので、コロナが収束してもこのままリモートワークしたいもんだなぁと思ってます。
独学で作るCISSP用語集〜セキュリティとリスクマネジメント(ドメイン1)編〜その12
今日は梅雨空らしく、ジメーッとした1日ですね。外が好きな自分にとっては、本当に嫌な季節がきたなぁと、テンションが上がらずにいます。
ということで、本日も少しだけ勉強の時間が取ることが出来ましたので、その成果を纏めたいと思います。
第1章 セキュリティとリスクマネジメント(ドメイン1) ー続きー
デジタル署名
送信されてきたデータが間違いなく本人のものであるかを証明するための技術。デジタル署名はデータの送信者を証明できるので、データの改ざんが行われていないことを確認できる。
公開鍵暗号を応用した技術でもあり、デジタル署名の仕組みのなかで公開鍵と秘密鍵も登場する。ハッシュも使用している。デジタル署名を実現できる方式には、RSAやDSAなどがある。
仮想プライベートネットワーク(VPN)
公衆回線などを用いて、公共に提供されているネットワークをあたかも自社内で構築した専用線であるかのように扱うネットワーク構築手法のこと。
仮想LAN(VLAN)
1つの企業内、ビル内など限られた場所に構築されたLANにおいて、実際の接続構成とは無関係に、任意のコンピュータや機器を仮想的なグループとして扱う手法。物理的な端末の接続場所を変えても、設定などを変更せずに利用できる。
ハッシュ化
元のデータから一定の計算手順に従ってハッシュ値と呼ばれる規則性のない固定長の値を求め、その値によって元のデータを置き換えること。パスワードなどの保管などによく用いられる方法である。
ACL(Access Control List)
アクセス制御リスト。オブジェクト(受動体)に付属する許可属性のリスト。コンピュータセキュリティにおけるアクセス制御を実現するために、あるリソース(受動体)に対する誰からのどの作業を許可するかを列挙したもの。
アメリカ合衆国憲法修正第4条
政府が令状または相当な理由なしに私有財産を捜索することを直接禁じている。裁判所は、合衆国憲法修正第4条の解釈を拡張して、その他のプライバシーの侵害に対する保護も含めている。
強制休暇プログラム
従業員が毎年連続した期間休暇を取ることを要求し、その期間中システム権限を取り消す。これにより、詐欺行為を隠すための隠ぺい工作を続けられなくして、脅威を暴露することにつながる可能性がある。既に発生している詐欺行為の検知を早めることができる。
編集後記(雑記)
今年の梅雨
冒頭でもちょっとだけ話をしましたが、今年も嫌な梅雨がやってきましたねぇ。
何が嫌かって
- 単純にジメジメして気持ちが悪い。
- 湿気が多いと髪の毛を纏めるのが大変。
- 風呂場にカビが生えやすくなる。
- ナメクジを見かけるようになる。
ってのが主な理由ですかね〜。歳もとって、「あぁ、紫陽花綺麗だなぁ」なんて花を愛でることも覚えましたが・・・どうにもこの梅雨っていうのは性に合わないです。
ちなみに今年の梅雨入りはだいぶ早いみたいですが、梅雨入りが早いからといって梅雨明けも早くなるとは一概に言えないそうです。
これを聞いた時・・・なんだとぉ!?・・・と思わずTVに突っ込みを入れてしまいましたよ。あ〜、早く梅雨明けないかなぁ。
文言集の目次
これ、多分作っといた方が良いんですよねぇ。あっちこっちのページにバラバラに文言と調べた内容を記載してるんで、どの文言がどのページに載っているのかが全然わからなくなってきているって実感してます。
こりゃ、文言の目次ページを作らねば!って、ちょっと面倒だけどやらなくちゃなぁっていう気分になってはいるので、もう少ししたら書き始めようかと思います。結局やらなかったらゴメンなさい。(^^;
さて、また勉強をしたらブログ書こうと思います。
独学で作るCISSP用語集〜セキュリティとリスクマネジメント(ドメイン1)編〜その11
今日は色々とビッグニュースがあり、かなりビックリΣ(´∀`;)している1日になってます。お陰様で全然勉強が手につきません・・・が、ひとまずは少し進んだので、その成果を例の如くアップします。
※ビックリしたことについては編集後記にでも記載します。
第1章 セキュリティとリスクマネジメント(ドメイン1) ー続きー
RTO(Recovery Time Objective)
障害発生時「どのくらいの時間で(いつまでに)」復旧させるかを定めた目標値。
最高情報責任者(CIO)
Chief Information Officerの略。アメリカ合衆国内の法人などにおいて情報や情報技術に関する上位の役員のこと。情報担当役員や英語の略称であるCIOなどとも呼ばれる。
上級管理者(事業継続計画)
事業継続計画において複数の役割を果たすが、これには
- 優先順位の設定
- リソースの調達
- チームメンバー間の論争の仲裁
などが含まれている。
SOC(System and Organization Control)
米国公認会計士協会(AICPA)が定義した業務委託会社(Service Organization)における内部統制保障報告の枠組み。
SOC報告書の作成は、監査法人や公認会計士が第三者の立場から客観的に検証した結果を記載する。
SOC報告書の種類には、SOC1、SOC2、SOC3の3種類がある。
SOC1
財務諸表監査の観点から、情報システムの内部統制監査を実施したもの。
SOC2
セキュリティや、機密保持、アベイラビリティ(可用性)といった部分に重点を置いて実施したもの。
セキュリティ事故による損害賠償等、財務的リスクを検討するためのもの。
SOC3
SOC2の内容に関して、一般的に公開できる内容を規定したもの。
サービスレベルアグリーメント(SLA)
SLAとはService Level Agreementの略で、サービスを提供事業者とその利用者の間で結ばれるサービスのレベル(定義、範囲、内容、達成目標等)に関する合意サービス水準、サービス品質保証などと訳される。これは、サービスを提供する事業者が契約者に対して、どの程度まで品質を保証できるかを明示したものである。
編集後記(雑記)
今日は色んなニュースがこれまでにありましたが、まずは悲しいニュースから。
いやぁ、本当に悲しいニュースですね。古畑任三郎が大好きで、録画ではなく毎回オンタイムで頑張ってみていた記憶があります。あの独特な言い回しとか、他の誰にも真似できない雰囲気をお持ちの俳優さんだったと思います。心不全で亡くなられたとの事ですが、この平均寿命がどんどん伸びていってる時代において、77歳は少し早すぎたようにも思います。
ご冥福をお祈りします。
続いて、おめでたいニュースを。(一部の人にとっては〇〇ロスになるニュースですかねぇ。)
そうですか、そうですか。逃げ恥のお二人さんがですか。
こりゃ、「ガッキーロス」になる人相当いるなぁと思いながらニュース見てましたが、まぁ驚きましたね。でも、やっぱり俳優さんと女優さんって共演をきっかけにってのが多いと思うので、これもなるべくしてなった「必然」なんでしょうね。
何かと注目される職業のお二人なので、色々と大変だとは思いますが、末長くお幸せに!
さて、明日はどんなニュースが舞い込んでくるやら。。。
独学で作るCISSP用語集〜セキュリティとリスクマネジメント(ドメイン1)編〜その10
4日ぶりのブログ更新になりますが、現在ブログの体裁をちょこちょこ変えて更新していますので、今まで見てくれて方には「あれ?」って思うところもあるかも知れません。申し訳ありませんが、ご了承くださいね。(^^;
第1章 セキュリティとリスクマネジメント(ドメイン1) ー続きー
完全性
情報資産の内容が正しい状態であること、情報処理の方法が正しい状態であることを指し、正確さ(間違っていない)、・完全さ(不足していない)を要求している。
代表的な例としては
- WEBサイトの改ざん
- データの改ざん
といった被害にあった情報資産は完全性を欠く代表的な例である。
USPTO(United States Patent and Trademark Office)
アメリカ合衆国特許商標庁。
アメリカ合衆国連邦政府の商務省に属する機関のひとつで、特許及び商標の権利付与を所掌する。
職務の分離
組織の資産が不正に変更されたり利用されたりすることを防ぐために、相反する職務や責任の範囲を異なる人に分離させること。
連邦規則集
連邦政府により連邦官報の中で公布される、一般的かつ永続的な規則、規定を集成した法点である。アメリカ合衆国の行政法として位置づけられることもある。
RPO(Recovery Point Objective)
障害発生時の、過去の「どの時点まで」のデータを復旧させるかの目標値。
MTO(Make To Order)
製造業において、顧客の注文を受けてから生産活動を開始する生産方式あるいはビジネスモデルのこと。注文確定後に生産計画を立て、部品や資材の手配を行い、加工、組み立てを行う。
編集後記(雑記)
冒頭でもちょっと書きましたが、書き方を変えていこうかと思います。
どういうことかというと、
- ブログの前半に調べたこと、勉強したことを記載する。
- ブログ後半は、特にテーマを決めず、ブログらしく自分が日々感じたこと、思ったことを書き綴っていこうと思います。気になることも随時コメント入れていこうかと。
っていう感じです。
このブログを見てくださる方は、きっとCISSPやその他の情報セキュリティ関連で分からない言葉が出てきて、それについて検索をしていたらここに出くわした・・・って方が多いんでしょうから、出来ればページの早い段階で欲しい情報が手に入った方が嬉しいですよね。そういう思いもあり、重要な情報は前半で、自分の欲求を満たす雑記は後半にしてみようかと思ってます。
話は変わりますが、今年の梅雨入りは早いですねぇ〜。既に自分の部屋もジメジメしていて、梅雨特有の嫌な感じになってきました。驚いたのは、梅雨入りが早ければ梅雨明けも早くなる・・・って訳ではないってこと。昨日ニュースを見ててそんなことを天気予報で言っているのを聞いて、衝撃でした。
・・・早く明けないんかーい!!(# ゚Д゚)
と、TVの天気予報に思わずツッコミを入れちゃいましたが、きっとそう思っているのは自分だけじゃないはず!
あぁ、ジメジメは嫌いです・・・orz