独学で作るCISSP用語集〜セキュリティとリスクマネジメント(ドメイン1)編〜その2
注意書き)
現在、本ブログはnoteから移行をしている最中です。結構過去に書いたものであることご了承ください。
自分がいる立場としては、勉強を誰よりもして他の人に追いつけ、追い越せのペースでやっていかないといけないのは分かってはいるものの、実業務やら家庭の都合とかで全然勉強が捗らず・・・。気がつけば最後に勉強してから既に1週間以上が経過してました。いやぁ、困った。
こんなペースじゃ、試験に独学で合格するどころか、日々のことに忙殺されて何にも手に付かないで1年ぐらいあっという間に過ぎちゃうんじゃないかと、非常に心配です。
他に勉強している皆さんは、こんな時どうしてます?
寝る間も惜しんで勉強?
ここは潔く諦めてやれるようになったら勉強再開?
自分の場合は、深く考えても仕方ないので、できるようになったらまた再開するという感じで、焦らず、落ち着いていこうかと思います。まだまだ勉強も序盤。これからきちんと腰を据えて取り組んで行こう!(ある種、自己暗示)
ということで、しばらく更新していなかった間にやったことについて(ってほとんどやれてませんけど)ちょっとだけ以下にまとめます。
■調べたこと
第1章 セキュリティとリスクマネジメント(ドメイン1) ー続きー
デューディリジェンスルール
注意義務を守るための正当な仕組み。企業側が整えている正当なルール。
実際にどのように機能しているのかを確認する企業の内見を指す。
企業側が提示したルールがそもそも間違っていて企業に損害が出ても、そのルールに十分に従った従業員のせいではない。
■今後の勉強のために対応したこと
Google Drive に調べた資料をアップした。今PC2台構成で業務やらプライベートやらをこなしていて、業務で利用するPCもプライベートで利用するし(BYODで業務やっているため)、逆にプライベートで利用するPCも業務で利用しているみたいな形になっているので、どちらでも都合が良い時に編集できるようにしておきたかったのが理由。ホント、こういうクラウドサービスって便利!
多分、勉強再開は来週からになりそうです。無事に再開できるように、今は諸々抱えているもの、目の前の事を一つづつこなしていこうと思います。
独学で作るCISSP用語集〜セキュリティとリスクマネジメント(ドメイン1)編〜その1
ドメイン1編注意書き)
現在、本ブログはnoteから移行をしている最中です。結構過去に書いたものであることご了承ください。
大体の人が数万円もする「CISSP CBK 公式ガイド」を購入し独学で勉強をしているという話の中に、以下の参考書を何度も繰り返し解いて試験に合格したという話をWEBで見つけました。「おぉ、何たる猛者なんだろう!」と思い、非常に感心したのを覚えてます。
なので、かかるお金を最低限にするためにこの問題集のKindle版を購入し、早速読み始めるも、何のことやらさっぱり分かりません。
何故なら・・・セキュリティに関しては全くのド素人だから(汗
なので、まずは問題集に出てくる文言の整理から始めることにしました。文言の整理といっても、Excelに重要そうなキーワードとその説明をつらつらと纏めているだけなんですが、少なくともこの重要そうなキーワードを押さえておけば、ある程度の問題は解けるんじゃないかなという発想から、こんな作業をしています。
とはいえ、全くと言っていいほど分からないド素人の私には、この作業すらもなかなか難儀でして。ネットから有用な情報を持ってくるだけでも、四苦八苦しながらという、まさに修行に近い感じです。
ちなみに参考までに、こんな風に纏めてますよという感じが分かるように、今まさに作り途中のものをアップしてみます。
・・・って、もしかして「はてなブログ」の無料バージョンではファイルのアップロードが出来ない!?(お金がなくてPro版には出来ません。)
なので、noteのリンクを貼っておきますので、こちらから参照ください。
※noteからこっちに完全移行したかったのに、無理かぁ・・・:(;゙゚'ω゚'):
問題集が章立てされているので、各章ごとにExcelのシートに分けて記載していくような感じで書いてますが、これ
はその章1つ1つでカテゴライズされているような問題集なので、そのカテゴリ毎にシートが分かれていた方が理解しやすいかなと感じたためです。
ちなみに、これは完成したらまた改めてアップしますが、仮に「本当に使えるものが出来た!」と自負する様なものが出来上がったら、ちゃっかり有料でアップするかも知れませんので、その時は何卒よろしくお願いします。
で、今回調べたのは以下の文言です。(これはExcelにも記載があります。)
第1章 セキュリティとリスクマネジメント(ドメイン1)
定量的リスク分析
特定したリスクがプロジェクト目標全体に与える影響を数量的に分析するプロセス。
財務リスクの分析に優れている。
例)Aのリスクは6ポイント、Bのリスクは9ポイント、Cのリスクは3ポイント
定性的リスク分析
リスクの発生確率と影響度の査定とその組む合わせを基に、その後の分析や処置のためにリスクの優先に付けを行うプロセス。
例)AのリスクはBよりも高い、CのリスクはAよりも低い
不正アクセスポイント
一見正規のSSIDと見せかけて、新しい接続を誘うことを目的としたアクセスポイント。
リプレイ
標的としたシステムのアクセス権を取得しようとしてキャプチャーした通信を再送信する攻撃。
悪魔の双子
正規のアクセスポイントのSSIDおよびMACアドレスになりすましたアクセスポイントによる攻撃。
ウォードライビング
無線ネットワークを見つけるために検出ツールを使用する一連の行為。
デジタルミレニアム著作権法(DMCA)
主にデジタル化された著作物の流通を想定し、これに対応するための規定を追加したアメリカ合衆国の著作権法。
独立した法律ではなく、著作権法を改定する法律である。
DMCAはユーザの一過性のアクティビティに対してプロバイダは責任を追わないとの記載がある。
一般データ保護規則(GDPR)
(=EU一般データ保護規則)
欧州連合(EU)が定めた個人情報やパーソナルデータの保護に関する規則。1995年のEUデータ保護指令を書き換える形で施行され、領域内に居住する個人に紐づいたデータを扱う企業などに課される義務などを定めている。
脅威モデリング
ソフトウェアとシステムおよびその稼働環境から適用可能な脅威を特定し、その脅威の発現可能性や度合いからセキュリティ要件を特定し、どのようなセキュリティ・テストが必要かを判断するセキュリティ施策の一つ。
3つの一般的な脅威モデリング手法→
1.試算に着目する
2.攻撃者に着目する
3.ソフトウェアに着目する
データ侵害法(データ侵害通知法)
個人の「個人情報(personal information)」または「個人識別可能番号(personally identifiable infomation)」について定めている。
個人識別可能情報は一般的に、個人のファーストネームもしくはイニシャルおよびラストネームと、暗号化されていないセンシティブデータ(例えば社会保障番号(social security number)、運転免許証番号、銀行口座番号、クレジット/デビットカード番号、医療健康保険情報またはコンピュータ・ユーザ名とパスワードなど)の組み合わせと定義される。
また勉強が進んだら、用語について記載しようと思います。
が、その前に前回話していた無料動画を見てみようかな・・・。
