当初、技術士試験への華麗なる挑戦を記録することを目的に本ブログを開設しました。
が、最近は技術士試験から離れ、専らCISSPの取得に向けて注力していますし、自分だけでなく息子や娘の資格挑戦や中学受験の記事もあったり・・・と内容が雑多になってきました。
いまだにアクセス数Top5の記事は、(技術士試験に関する内容ではなく、)息子の中学受験ネタですし・・・(汗)。
そこで、ブログタイトルを「技術士試験ラボ」から「資格をマルに!」に変更することにしました。
日○研にインスパイアされた感は否めませんが(苦笑)、自分や家族が様々な資格等に挑戦して合格する(マルになる)、という想いを込めてみました。
試験対策や勉強方法など、読者の皆さまにとって何らかの参考になると嬉しいなぁと思っています。
記事の更新頻度は相変わらず低いですが、細々と続けていきますので、引き続きよろしくお願いします〜。
2019年9月22日日曜日
2019年9月15日日曜日
BCP
Label:
CISSP
2019年11月4日更新(2019年9月15日作成)
新規に購入した万歩計を、ズボン(今時はパンツと言うんですよね。。)のポケットに入れたまま洗濯してしまい、かなりヘコんでいるtotoyaです。。さて、ここでは、BCP(Business Contiunity Plan: 事業継続計画)について、雑多に整理していこうと思います。
BCPチームの構成メンバ
Senior Manager(上級管理職)
Senior Managerに期待される主な役割としては、以下が含まれます。・ 優先事項の設定
・ リソースの確保
・ メンバ間のいざこざの仲裁
Senior Managerの理解や支援があってこそ、BCPが成功する・・・ということかな。
まぁ、BCPに限った話ではなく、どんなプロジェクトも、成功させるには偉い人のバックアップが必要ですよね。
BCPの各フェーズ
Scope and Planning
BCPプロジェクトのスコープおよび計画の策定フェーズにおいて、以下の事項に取り組みます。・組織構造の分析
・BCPチームの構築
・利用できるリソースの確認
・法規制の分析
BCPの維持管理
BCPは策定してハイ終わり、ではなく、適切なタイミングで更新していく必要があります。その(理想的な)タイミングは、ビジネス環境に何らかの変化があった時です。
BIA(Business Impact Analysis: ビジネス影響度分析)
BIAはその名のとおり、不測の事態が発生した場合に、ビジネスに与える影響を分析します。
BCPの前段階として実施します。
超大まかな実施手順としては、まず資産のリストを作成し、次に各資産に対する脅威およびその影響を特定していきます。
2019年9月7日土曜日
CISSP的米国法まとめ
Label:
CISSP
2019年11月2日更新(2019年9月7日作成)
情報セキュリティに関する法律や規格、標準、ガイドライン等、様々なものがありますが、CISSPでは米国の法律に関する知識が必要となります。米国生まれ(?)の資格なので、必然ですかね。。
以下、GLBA, FISMA, EEAについて概要を整理します。
Gramm-Leach-Bliley Act (GLBA)
GLBA(グラム・リーチ・ブライリー法)は、1999年に制定された米国の連邦法で、この法律により金融機関の統合(銀行、証券、保険業務の兼業)が許可されています。・・・・・。
上記のような超ざっくり概要だけでは、CISSPとの関連性がさっぱりわからないですよね。。
実はGLBAには、金融機関の顧客が保有する財務情報のプライバシーに関する規制も規定されているそうです。
「金融機関+個人情報と来たらGLBA!」
とりあえずそう覚えておこうと思います。。。
Federal Information Security Management Act (FISMA)
FISMA(連邦情報セキュリティマネジメント法)は、連邦政府機関、および連邦政府機関の民間委託先に適用される法律で、情報や情報システムのセキュリティ強化が義務付けられています。2002年のFISMA成立に伴い、その前身と位置付けられるGISRA(Government Information Security Reform Act)が失効しているとのことで、FISMAとGISRAを混同しないようにしないといけないです。
「連邦政府(の委託先)と来たらFISMA!」
です。
EEA(Economic Espionage Act)
EEA(連邦経済スパイ法)は、営業秘密を保持している者に対し、知的財産の保護を求める法律です。米国企業から営業秘密を不正に外部に漏えい等させた場合、本法に基づき罰金や懲役刑が課されます。
Federal Sentencing Guideline
Federal Sentencing Guideline(連邦量刑ガイドライン)は、連邦法上の犯罪に対する量刑裁量の基準を明確化・公平化するために作成されたガイドラインです。1991年、情報セキュリティ関連の問題に対する”prudent man rule”が本ガイドラインに適用されました。
prudent man rule(善管注意義務)とは、経営者が常識的に払うべきデューケアのことです。
デューケアって何だっけ・・・?
一度勉強したのに脳みそに定着しない・・・(涙)
デューケアは、一言で言うと「やるべきことをやること」でしたね。。
上記内容を噛み砕くと
「1991年、経営者が情報セキュリティに関してやるべきことをやらなかった場合の量刑の基準(?)が連邦量刑ガイドラインに反映された」
ってことかな。。。うーん。
Digital Millennium Copyright Act (DMCA)
デジタルミレニアム著作権法です。ISPにおいて、著作権者から著作権違反に関するクレームがあった場合:
即座に対応すべきクレーム
・ISPが提供するストレージに格納された顧客の情報
・ISPによってキャッシュされた情報
・ISPが提供する検索エンジンでキャッシュされた情報
対応が免除されるクレーム
・ISPが提供するネットワーク上で送信される情報
※DMCAでは、ISPは顧客の一時的な活動に責任を負う必要はないと規定。
2019年9月1日日曜日
セキュリティモデル
Label:
CISSP
2019年10月26日更新(2019年9月1日作成)
セキュリティモデルは、CIAのうち、機密性(C)や完全性(I)を実現するための、数学的に証明されたシステムの動作規則を定義したものです。可用性(A)が含まれないことに注意が必要です。
あくまでも理論的なモデルであり、完全に実装されることはほとんどなく、オペレーティングシステム等ではセキュリティモデルの一部の要素が取り込まれています。
代表的なセキュリティモデルの概要を整理しようと思ったのですが・・・、どれも難しくて自分の言葉で説明できるレベルに達することができていません(汗)。
とりあえず、各モデルがどの属性(機密性、完全性)に対応したものかをまとめておきます。。
セキュリティモデル | CIA | 備考 |
| Bell-Lapadula: BLP | 機密性 | べるらぱどぅら |
| Biba | 完全性 | |
| Brewer-Nash | 機密性 | Chinese Wall Modelとも呼ばれる |
| Clark-Wilson | 完全性 | |
| Graham-Denning | 機密性、完全性 | |
| Harrison, Ruzzo, Ullman: HRU | 完全性 | Graham-Denningに似ている |
Brewer-Nash
Brewer-Nashは機密性に対応したセキュリティモデルで、ユーザーのアクションに応じて動的にアクセス制御を変更するところに特徴があります。具体的には・・・、競合関係にある2つの情報が存在する場合を考えます。
初期状態において、ユーザーは両方の情報にアクセスできますが、一度どちらかの情報にアクセスすると、それ以降もう一方の情報にはアクセスできなくなる…という考え方です。
例えば、あるコンサルティング会社の法人顧客に金融機関Aと金融機関Bがいる場合、コンサルタントCが業務のため金融機関Aの情報にアクセスすると、Cは金融機関Aの競合他社である金融機関Bの情報にアクセスできなくなります。
これは、金融機関Aの情報と金融機関Bの情報との間に壁があると捉えることができるので、Chinese Wall Model とも呼ばれています。
登録:
投稿 (Atom)