情報セキュリティ初心者のCISSP取得への道

情報セキュリティ初心者が無謀にもCISSP取得を目指して勉強していく姿を綴ります。

Google検索

独学で作るCISSP用語集〜セキュリティとリスクマネジメント(ドメイン1)編〜その4

注意書き)

現在、本ブログはnoteから移行をしている最中です。結構過去に書いたものであることご了承ください。

 

今日は夕方と夜にある程度まとめて勉強する時間が取れたので、この時間を有効活用すべくCISSPの勉強(と言っても出てくる単語がさっぱり分からんので、これを分かるように調べること)をしました。元々全然わからないし携わってこなかったジャンルなので、相当苦労をするだろうなぁとは思ってたんですけど、ここまでチンプンカンプンだと、なんだか泣けてきます・・・。

とはいえ、そんな泣き言も言ってられないし、周りに高らかに資格取得を宣言しておりますので、色んな情報を頑張って入手しながら頑張ろうかと思います。

さて、本日学んだことを毎度のことながらレポートさせていただきます。このレポートを完成させたときには、相当な知識が溜まっていることを祈って。( ー人ー)|||~~~ ナムナム

第1章 セキュリティとリスクマネジメント(ドメイン1) ー続きー

GLBA

グラム・リーチ・ブライリー法
アメリカ合衆国の連邦法。商業銀行業務や投資銀行業務、保険業務の兼業を禁止するために1933年に制定されたグラス・スティーガル法の一部を無効にするための法律。
つまりは商業銀行、投資銀行、証券会社、保険会社それぞれの間での統合を許可し、消費者のプライバシー保護に関する懸念に対処する。

SOX

サーベンス・オクスリー法
粉飾決済に対処し、企業会計、財務諸表の信頼性を向上させるために制定された。日本では「企業改革法」とも意訳される。
投資家保護のために、財務報告プロセスの厳格化と規制の法制化を図っている。監査の独立性強化、コーポレートガバナンスの改革、情報開示の強化、説明責任など様々な規定があるか、特に重要なのは、経営者に対する、年次報告書の開示が適正である旨の宣誓書提出の義務付け、財務報告に係る内部統制の有効性を評価した内部統制報告書の作成の義務付け、公認会計士による内部統制監査の義務付けである。

HIPAA

医療情報の電子化の推進とそれに関係するプライバシー保護やセキュリティ確保について定めた法則。(医療機関はプライバシーの権利と医療情報のセキュリティを守らねばならないという個人情報を保護する内容が盛り込まれている。)
保護すべき情報は、個人の特定が可能な情報で、次のようなことが要求される。
・情報の完全、気密性の確保
・情報のセキュリティおよび完全性に対する脅威や危険への対策
・情報の認可されていない使用や開示などに対し、妥当かつ適切な管理上、技術上、および物理的な保護対策の維持

FERPA

家族教育の権利とプライバシー法(FERPA)は、個人を特定できるディレクトリ情報を含む学生の教育記録のプライバシーを保護する米国連邦法。18歳以上の学生が、同意なしに開示を許可する特定の限られたケースを除き、それらのレコードにアクセスし、変更を要求し、情報の開示を制御するために制定される。

米国輸出管理法の規制品目リスト

【カテゴリー】
0 核物質、核施設、核装置、その他の品目
1 材料、化学物質、微生物、有毒物質
2 材料加工
3 エレクトロニクス
4 コンピュータ
5 通信・暗号
6 レーザ・センサー
7 航法装置・航空電子
8 海洋技術
9 推進システム・宇宙機器・関連装置

【グループ】
A 装置、組み立て品、部品
B 試験・検査装置、製造装置
C 材料
D ソフトウェア
E 技術

権限昇格攻撃

セキュリティホールから侵入し、特権の昇格により管理者権限を奪取することにより不正アクセスを行う攻撃