http://nikumaki.livedoor.biz/ CISSP試験の取得に向けての勉強方法の軌跡をアップしています。 ja http://nikumaki.livedoor.biz/archives/367695.html しばらくやめていたブログの投稿ですが、色々思うところあって復活させることにしました。 折角なのでアウトプット出しながら勉強したいので。 きちんとした内容で勉強続けられればと思っております。 ということで目指せＣＩＳＳＰ！！ nikumaki 2008-06-24T18:57:13+09:00
折角なのでアウトプット出しながら勉強したいので。

きちんとした内容で勉強続けられればと思っております。

ということで目指せＣＩＳＳＰ！！]]> http://nikumaki.livedoor.biz/archives/98733.html データベース管理システム（DBMS）はデータベースを管理するために必要なデータベース構築、運用、管理のためのシステム、およびそのソフトウェア。 DBMSの、主な機能は以下です。 ・データベース言語 ・物理的データ独立性 ・論理的データ独立性 ・トランザクション... nikumaki 2008-05-14T18:48:12+09:00 アプリケーションとシステム開発
DBMSの、主な機能は以下です。
・データベース言語
・物理的データ独立性
・論理的データ独立性
・トランザクション処理
・データ完全性
・トランザクション処理
・セキュリティ
・障害復旧
・最適化
・分散データベース

データベース用語(Database terms)
・レコード(Record): 関連するデータアイテムの集合
・ファイル(File): 同じタイプのレコードの集合
・データベース(Database): 相互に参照されるファイルの集合
・DBMS: データベースを管理しコントロールする
・ベースリレーション(Base relation): データベースに保存されたテーブル
・タプル(Tuple): データベース内の行
・属性(Attribute): データベース内の列
・主キー(Primary key): 行を一意に決める列
・ビュー(View): データベース内に定義された仮想的な関係で, サブジェクトが閲覧できるデータをコントロールする
・外部キー(Foreign key): あるテーブルのある属性が他のテーブルの主キーになっている
・セル(Cell): 行と列の交差
・スキーマ(Schema): データベースを表すデータ
・データディクショナリ(Data dictionary): データエレメントとその関係の中央のリポジトリ
・濃度(Cardinality): リレーション内の行数
・度(Degree): リレーション内の列数
・ドメイン(Domain): ある属性が取りうる値の集合
]]> http://nikumaki.livedoor.biz/archives/85057.html 電波の傍受についての規定や仕組みです。 コンピュータや周辺機器から発せられる微弱の電磁波から情報を盗み出す技術として紹介されていたりもしますが、基本はそれを防ぐ技術です。 電波はハードウェアデバイスから放射される電気信号で、この電気信号が傍受され、分析... nikumaki 2008-05-11T14:27:18+09:00 アクセス制御のシステムと方法論 コンピュータや周辺機器から発せられる微弱の電磁波から情報を盗み出す技術として紹介されていたりもしますが、基本はそれを防ぐ技術です。

電波はハードウェアデバイスから放射される電気信号で、この電気信号が傍受され、分析されると、通信機器やコンピュータ装置で伝送、受信、捜査、処理されている情報が開示されてしまいます。

この電磁波の規制および除去は不可欠で、TEMPEST（米国政府が定めた電磁波盗聴からの防護標準）によって規定しています。

機器そのものをテンペスト装置などと呼んだりもします。
]]> http://nikumaki.livedoor.biz/archives/59270.html Bell-LaPadulaモデルは、情報の守秘性を確保するために利用することが可能であるが完全性に対応していない。 Bibaは、情報の完全性の重要さを指摘して、情報の不適切な修正を防ぐためのモデルを1975年に提案した。Bibaのモデルは、Bell-LaPadulaモデルの対となるものであ... nikumaki 2008-05-10T22:17:25+09:00 セキュリティアーキテクチャとセキュリティモデル
Bibaは、情報の完全性の重要さを指摘して、情報の不適切な修正を防ぐためのモデルを1975年に提案した。Bibaのモデルは、Bell-LaPadulaモデルの対となるものである。

Bell-LaPadulaモデルとは違い、「情報が上へ流れない」ことを基本としている。

Bell-LaPadulaモデルはサブジェクトが下位レベルのデータを読むことができるときに脅威となる、データの完全性の問題を扱っている。

あらゆる完全性レベルからのより上位レベルへの情報フローを阻止する。

- No write up – サブジェクトはより高いレベルの完全性レベルに書き込むことができない。
- No read down – サブジェクトはより低い完全性レベルのデータを読むことができない。


]]> http://nikumaki.livedoor.biz/archives/49378.html 結構、前のデザインも気に入っていたんですが記事が見難いので変更。 ３段カラムは、ぱっと見デザイン的には良いんですが、こういった情報記事サイト書くときには幅が狭すぎで難しいな～。 ＣＭＳだとその辺、自由に変更できるのにな～と思いつつ。 で、変更したの... nikumaki 2008-05-09T23:26:07+09:00 日々徒然
３段カラムは、ぱっと見デザイン的には良いんですが、こういった情報記事サイト書くときには幅が狭すぎで難しいな～。

ＣＭＳだとその辺、自由に変更できるのにな～と思いつつ。

で、変更したのは白基調の２段カラムに変更。

なかなか見栄えも良くなったかなっと。

やっぱ試行錯誤は必要かなと思いますが、デザイン変えるたびに細かい設定が全部やり直しなのはちょっとへこむかな・・・]]> http://nikumaki.livedoor.biz/archives/49212.html 基本はCISSP認定試験 公式ガイドブックを読みながら勉強しています。 CISSP認定試験 公式ガイドブック ここらへんは基本どおりということで。 参考書でこれに勝るものは今は無いでしょう。 １０ドメインを順番に勉強していますが、ちょっとマンネリ気味。 公式... nikumaki 2008-05-09T22:34:22+09:00 CISSPいろいろ CISSP認定試験 公式ガイドブック
を読みながら勉強しています。

CISSP認定試験 公式ガイドブック


ここらへんは基本どおりということで。
参考書でこれに勝るものは今は無いでしょう。

１０ドメインを順番に勉強していますが、ちょっとマンネリ気味。

公式ガイドブックの各章毎の最後のポイントはかなり参考になるかも。
わかっていない部分をちゃんとサポートしているので。

日本語訳もかなりしっかりしているので、とても勉強になります。

CISSPの勉強していて一番困るのは英語の部分かなと思ったり。

調べものしていると、必ず英語の壁に突き当たるのでわかりにくい・・・

特に専門用語が多いのでかなりつらいかも。

でも最近は若干慣れてきたかな。

リンクにある、日本語訳のおかげです。]]> http://nikumaki.livedoor.biz/archives/45633.html TACACSはRadiusと同じように認証を行うプロトコルで、RFC1492で規定されています。 UNIXやWindowsサーバ上に認証用のアプリケーションサーバーを導入し、クライアントは認証を行うことでリモートの接続の実施を行うことができます。 TACACSはユーザーIDとパスワードで... nikumaki 2008-05-09T09:59:04+09:00 アクセス制御のシステムと方法論
UNIXやWindowsサーバ上に認証用のアプリケーションサーバーを導入し、クライアントは認証を行うことでリモートの接続の実施を行うことができます。

TACACSはユーザーIDとパスワードで接続認証を提供しています。

少し遅れてXTACACS(extended TACACS)という拡張バージョンのTACACSが開発されました。
XTACACSは複数のTACACSサーバーのサポート、UNIXアカウンティング情報の出力、SLIP、PPPなどのプロトコル・サポートを追加したものとなっております。

さらにもう一つの拡張バージョンである、TACACS＋が現在は標準的に使用されております。

TACACS＋は、AAA（Authentication, Authorization and Accounting）をサポートしており、パケットの暗号化や認証と許可を分離したりなどができます。
認証と許可を分離では Kerberos 認証と TACACS+ 許可およびアカウンティングを使用することが可能となります。


これらの拡張バージョンはCisco Systemsにより開発された独自拡張のプロトコルです。
]]> http://nikumaki.livedoor.biz/archives/40170.html RADIUSはIETFによってRFC2138として標準化されているプロトコルです。 「Remote Authentication Dial In User Service」の略で文字通り認証を行うサービスです。 ネットワークアクセスサーバとして機能を行い、電話回線やPPPoEなどを通じてアクセスサーバに接続したユ... nikumaki 2008-05-08T17:44:18+09:00 アクセス制御のシステムと方法論
「Remote Authentication Dial In User Service」の略で文字通り認証を行うサービスです。

ネットワークアクセスサーバとして機能を行い、電話回線やPPPoEなどを通じてアクセスサーバに接続したユーザを認証し、割り当てるべきIPアドレスをアクセスサーバに伝えたり、課金情報を収集したりします。

Radiusでは認証と承認を行いクライアントとサーバーで認証機能を提供します。

ダイヤルアップユーザーがNAS（Network Access Server）に接続すると、NASはRadiusクライアントとしてRadiusサーバーに認証要求をかけます。

NASはダイヤルアップを受ける為の高機能なモデムのようなものです。

RadiusサーバーではユーザーIDとパスワードなどを元に認証を行い、Radiusクライアントに対して成功か失敗の応答を返します。
その時に、付与IPアドレス情報など拡張情報も渡すことができます。

RadiusクライアントはRadiusサーバーからの応答を元に、ダイヤルアップユーザーの接続を許したりなどネットワーク接続の判断を行います。

Radiusサーバーで統合して管理する理由としては、ISPなどでフレッツ接続のときに、各拠点などにNASはありますが、アカウントを統合管理するため、Radiusサーバーに接続要求をかけます。

接続としては以下のようになります。

「ユーザー」 -- 「NAS」 -- 「Radiusサーバ」

Radiusは以下のようにProxyRadiusを設けて、多段での認証要求を行うこともできます。

「ユーザー」 -- 「NAS」 -- 「ProxyRadius」 -- 「Radiusサーバ」

フレッツの接続や無線LAN認証など、比較的 標準的に使用されているプロトコルです。
]]> http://nikumaki.livedoor.biz/archives/30680.html Bell-LaPadula モデルは多階層セキュリティ（multilevel security）としても知られており、階層で区分された情報間において、「情報が下へ流れない」ことを、その基本条件としたものである。 アクセス制御行列とセキュリティレベルが、異なるオブジェクトへのサブジェクト... nikumaki 2008-05-07T01:00:11+09:00 セキュリティアーキテクチャとセキュリティモデル
アクセス制御行列とセキュリティレベルが、異なるオブジェクトへのサブジェクトのアクセス可否を決めるために、認証されたアクセスの下限と上限を定めた格子(Lattice)が使用される。

Bell-LaPadula モデルでは、情報フローを 2 つの単純な属性で定義している。

・シンプルセキュリティ属性（Simple security property）
どのサブジェクトも高位のデータを読んではならない。
これを NRU（no read up）と呼ぶ。

・スター属性（*-property）
どのサブジェクトも低位にデータを書き込んではならない。
これをNWD（no write down）と呼ぶ。


ふむ。キーワードは多階層セキュリティ（multilevel security）です。

有名どころでは「機密　(Top Secret)」～「区分外　(Unclassified)」の４ランクに分かれたデータ（オブジェクト）に、「機密　(Top Secret)」の権限を持つ人（サブジェクト）はその下のデータも読めるけど、「区分外　(Unclassified)」の権限を持つ人（サブジェクト）は上位のデータにアクセスできないと。
]]> http://nikumaki.livedoor.biz/archives/27743.html 1973年に米国空軍の要請によってDavid Bell氏と、Len Lapadula氏によって提案されたアクセス制御モデル。 多階層セキュリティモデルとして知られ、一般的には 複数レベルセキュリティシステム(Multilevel Secure) と呼ばれている。 「機密性」に特化したモデルで、「完... nikumaki 2008-05-06T01:00:41+09:00 セキュリティアーキテクチャとセキュリティモデル
多階層セキュリティモデルとして知られ、一般的には 複数レベルセキュリティシステム(Multilevel Secure) と呼ばれている。
「機密性」に特化したモデルで、「完全性」「可用性」は考えられていないことでも有名。

異なるクリアランスを持つユーザがシステムを使用し、システムは異なる分類のデータを処理する。

情報が分類されるオブジェクトのレベルに応じて、サブジェクトは使用される操作手続きを決め、格子（Lattice）を形成する。

んー。わかりにくいけど、オブジェクトとサブジェクトがそれぞれアクセスレベルを持ち、同位には読み書き可能ですが、異なるアクセスレベルのものには色々な制限があると。
]]> http://nikumaki.livedoor.biz/archives/27671.html CISSPの試験でも１カテゴリとなる重要な範囲。 セキュリティポリシーを実行するのに必要なデータ構造と技法の仕様を定めることにより、ポリシーの抽象ゴールを情報システムの言葉にマッピングする。 うん。なんとなくわかるようなわからないような。 要はセキュリテ... nikumaki 2008-05-05T00:42:49+09:00 セキュリティアーキテクチャとセキュリティモデル
セキュリティポリシーを実行するのに必要なデータ構造と技法の仕様を定めることにより、ポリシーの抽象ゴールを情報システムの言葉にマッピングする。

うん。なんとなくわかるようなわからないような。

要はセキュリティ対策の構造と技法をあらわしたものです。

セキュリティポリシーはかなり数多くあるので、ポイントだけまとめていきます。

★OSセキュリティ
　http://realdaddy.la.coocan.jp/saaj/?OS%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3

セキュリティポリシーを定める上で重要になるのは「オブジェクト」と「サブジェクト」の関係です。

オブジェクト：ファイル
サブジェクト：ユーザ

として考えるとわかりやすいかもしれません。
]]> http://nikumaki.livedoor.biz/archives/25518.html バイオメトリクス認証は指紋や眼球の虹彩、声紋などの身体的特徴によって本人確認を行なう認証方式のこと。 個人のユニークな属性を識別確認することで「なりすまし」をふせぎ最も効率的で正確な認証を行いますが、認証の失敗なんかもあったりします。 認証の失敗とし... nikumaki 2008-05-04T01:00:58+09:00 アクセス制御のシステムと方法論
個人のユニークな属性を識別確認することで「なりすまし」をふせぎ最も効率的で正確な認証を行いますが、認証の失敗なんかもあったりします。

認証の失敗としては「認証が通らない」と「他の人を認証してしまう」という二つのパターンがあります。

こちらの割合を求めているのが以下の二つ。


・FRR / 誤拒否率(False Rejection Rate)
第一種の過誤（Type 1 error）とも呼ばれたりします。
正当なサブジェクトが誤って拒否される確率を表します。


・FAR / 誤受け入れ率(False Acceptance Rate)
第二種の過誤 （Type 2 error）とも呼ばれたりします。
不当なサブジェクトが誤って受け入れられる確率を表します。


この二つの値が等しいもの「CER / 等誤り率(Crossover Error Rate)」と呼びます。
FRR とFAR が等しいパーセンテージで、CERを指標としてバイオメトリクス認証の精度を確認したりします。


]]> http://nikumaki.livedoor.biz/archives/24596.html そもそもなんでCISSPを目指しているのかと言うお話です。 所属している会社では、あまりセキュリティや業務プロセスなんかに力を入れている会社ではないので、会社としては取得したところで、給料やら年収やらが上がるわけではなかったりします。 というかCISSPの試験... nikumaki 2008-05-03T15:23:31+09:00 CISSPいろいろ
所属している会社では、あまりセキュリティや業務プロセスなんかに力を入れている会社ではないので、会社としては取得したところで、給料やら年収やらが上がるわけではなかったりします。

というかCISSPの試験自体を知らない。

そもそも勉強方法もわからずチャレンジしているわけですが、取得したところであまり会社的には評価してくれなかったりもします。

では転職のためかと言うとそういわけでもなかったりします。
そもそもCISSPが転職市場で価値が高いのかという疑問もあったり。
あと、業種自体がCISSPを活かそうとするとインフラ構築主体じゃなくなるので、少し早いかなという気もしてたりします。

では、何故目指しているのか。

正直、コミュニティに興味あるのが一番だったり。
論理的な手法を身につけたいと言うのもあったりしますが、そういった勉強をした方をコミュニティなんかで見てみたいというのが目的になっています。

うーん。あまり健全じゃない気がしますな～。
ま、自分的に価値のある資格かどうかは、取ってから判断してみようかと。

四の五の言う前にまずCISSPにならんとね。]]> http://nikumaki.livedoor.biz/archives/24585.html バイオメトリクス認証は指紋や眼球の虹彩、声紋などの身体的特徴によって本人確認を行なう認証方式のこと。 暗証番号やパスワードなどに比べ、原理的に極めて「なりすまし」にくい認証方式であるため、関心が高まっています。 その理由として、そもそも認証方法の以下... nikumaki 2008-05-03T15:15:55+09:00 アクセス制御のシステムと方法論
暗証番号やパスワードなどに比べ、原理的に極めて「なりすまし」にくい認証方式であるため、関心が高まっています。

その理由として、そもそも認証方法の以下の3つのうちの本人と識別できる認証を使用するからです。

１．本人の持ち物による認証
　　Something you have : SYH

２．本人だけ知っている情報による認証
　　Somethin you know : SYK

３．本人と識別できる特徴による認証
　　Something you are : SYA
]]> http://nikumaki.livedoor.biz/archives/22283.html セキュリティポリシーは企業全体の情報セキュリティに関する基本方針です。 組織内においてセキュリティがどのような役割をするかを定める方針で、 シニアマネジメントが作成する全体的な声明となるのが理想です。 一般的な形式で多くの事項についてカバーするために... nikumaki 2008-05-02T19:20:55+09:00 情報セキュリティとリスクのマネジメント
組織内においてセキュリティがどのような役割をするかを定める方針で、
シニアマネジメントが作成する全体的な声明となるのが理想です。

一般的な形式で多くの事項についてカバーするために広く外観的な言葉で書かれていますが、
セキュリティポリシーを策定し公開することにより、責任の所在が明らかになり、
判断基準や実施すべき対策が明確になります。


ポリシーについては以下の分類などがあります。

・組織のセキュリティポリシー (Organizational security policy)
組織内の全てのセキュリティ活動の範囲と方向を示す。

・特定の問題のポリシー (Issue-specific policies)
包括的な枠組みを構築し, 全ての従業員がセキュリティ問題にどのように従うかについて理解するために、
マネジメントがより詳細な説明と注意が必要だと感じる特定のセキュリティ問題を扱う。

・特定のシステムのポリシー (System-specific policy)
実際のコンピュータ、ネットワーク、アプリケーション、データに近いマネジメントの意思を示す。

]]>