情報セキュリティ初心者のCISSP取得への道

情報セキュリティ初心者が無謀にもCISSP取得を目指して勉強していく姿を綴ります。

Google検索

独学で作るCISSP用語集〜セキュリティとリスクマネジメント(ドメイン1)編〜その1

ドメイン1編注意書き)

現在、本ブログはnoteから移行をしている最中です。結構過去に書いたものであることご了承ください。

 

大体の人が数万円もする「CISSP CBK 公式ガイド」を購入し独学で勉強をしているという話の中に、以下の参考書を何度も繰り返し解いて試験に合格したという話をWEBで見つけました。「おぉ、何たる猛者なんだろう!」と思い、非常に感心したのを覚えてます。

 

 

なので、かかるお金を最低限にするためにこの問題集のKindle版を購入し、早速読み始めるも、何のことやらさっぱり分かりません。

何故なら・・・セキュリティに関しては全くのド素人だから(汗

なので、まずは問題集に出てくる文言の整理から始めることにしました。文言の整理といっても、Excelに重要そうなキーワードとその説明をつらつらと纏めているだけなんですが、少なくともこの重要そうなキーワードを押さえておけば、ある程度の問題は解けるんじゃないかなという発想から、こんな作業をしています。

とはいえ、全くと言っていいほど分からないド素人の私には、この作業すらもなかなか難儀でして。ネットから有用な情報を持ってくるだけでも、四苦八苦しながらという、まさに修行に近い感じです。

ちなみに参考までに、こんな風に纏めてますよという感じが分かるように、今まさに作り途中のものをアップしてみます。

・・・って、もしかして「はてなブログ」の無料バージョンではファイルのアップロードが出来ない!?(お金がなくてPro版には出来ません。)

なので、noteのリンクを貼っておきますので、こちらから参照ください。

※noteからこっちに完全移行したかったのに、無理かぁ・・・:(;゙゚'ω゚'):

note.com

問題集が章立てされているので、各章ごとにExcelのシートに分けて記載していくような感じで書いてますが、これ

はその章1つ1つでカテゴライズされているような問題集なので、そのカテゴリ毎にシートが分かれていた方が理解しやすいかなと感じたためです。

ちなみに、これは完成したらまた改めてアップしますが、仮に「本当に使えるものが出来た!」と自負する様なものが出来上がったら、ちゃっかり有料でアップするかも知れませんので、その時は何卒よろしくお願いします。

で、今回調べたのは以下の文言です。(これはExcelにも記載があります。)

 

第1章 セキュリティとリスクマネジメント(ドメイン1)

定量的リスク分析

特定したリスクがプロジェクト目標全体に与える影響を数量的に分析するプロセス。

財務リスクの分析に優れている。

例)Aのリスクは6ポイント、Bのリスクは9ポイント、Cのリスクは3ポイント

定性的リスク分析

リスクの発生確率と影響度の査定とその組む合わせを基に、その後の分析や処置のためにリスクの優先に付けを行うプロセス。

例)AのリスクはBよりも高い、CのリスクはAよりも低い

不正アクセスポイント

一見正規のSSIDと見せかけて、新しい接続を誘うことを目的としたアクセスポイント。

リプレイ

標的としたシステムのアクセス権を取得しようとしてキャプチャーした通信を再送信する攻撃。

悪魔の双子

正規のアクセスポイントのSSIDおよびMACアドレスになりすましたアクセスポイントによる攻撃。

ウォードライビング

無線ネットワークを見つけるために検出ツールを使用する一連の行為。

デジタルミレニアム著作権法DMCA

主にデジタル化された著作物の流通を想定し、これに対応するための規定を追加したアメリカ合衆国著作権法

独立した法律ではなく、著作権法を改定する法律である。
DMCAはユーザの一過性のアクティビティに対してプロバイダは責任を追わないとの記載がある。

一般データ保護規則(GDPR

(=EU一般データ保護規則
欧州連合(EU)が定めた個人情報やパーソナルデータの保護に関する規則。1995年のEUデータ保護指令を書き換える形で施行され、領域内に居住する個人に紐づいたデータを扱う企業などに課される義務などを定めている。

脅威モデリング

ソフトウェアとシステムおよびその稼働環境から適用可能な脅威を特定し、その脅威の発現可能性や度合いからセキュリティ要件を特定し、どのようなセキュリティ・テストが必要かを判断するセキュリティ施策の一つ。

3つの一般的な脅威モデリング手法→
 1.試算に着目する
 2.攻撃者に着目する
 3.ソフトウェアに着目する

データ侵害法(データ侵害通知法)

個人の「個人情報(personal information)」または「個人識別可能番号(personally identifiable infomation)」について定めている。

個人識別可能情報は一般的に、個人のファーストネームもしくはイニシャルおよびラストネームと、暗号化されていないセンシティブデータ(例えば社会保障番号social security number)、運転免許証番号、銀行口座番号、クレジット/デビットカード番号、医療健康保険情報またはコンピュータ・ユーザ名とパスワードなど)の組み合わせと定義される。

 

また勉強が進んだら、用語について記載しようと思います。

が、その前に前回話していた無料動画を見てみようかな・・・。