【日本語】初心者から学べるCISSP講座：CBK Domain 5

• システムでは、認証・認可・アカウンティングの３つ要素が機能しています。

• 認証とは、パスワードのように本人であることを確認することです。

• 認証とともにログインIDといった個人を特定しうる識別情報も付与します。

• 認可は、認証が済んだ後にユーザーが要求可能な処理を判定することです。

• アカウンティングは、システムログなどユーザーもしくはシステムが何をしたかを記録しておくことです。

• 多層防御の観点から、多要素認証を行いましょう。

• Type1とは、記憶による認証です。 Type2とは、所持物による認証です。 Type3とは、身体・生体による認証です。 Type4とは、位置情報による認証です。 Type5とは、行動による認証です。

• 本人性を確認しているアカウントとそうでないアカウントを区別しましょう。

• ”アカウント情報”はイメージしにくいかと思いますので、内部ID、識別情報、認証情報、ユーザー種別が入っているものと仮定しておきましょう。

• ユーザー単位でアクセス権限を設定することもできますが、会社のアクセス権限では、アクセス権限管理を簡易化するために、ユーザーをグループ分けして権限を与えることが多いでしょう。

• セッションとは、通信やサービスにおいて、ユーザーやクライアントとサーバーが一時的に行う一連のやり取りを指します。

• 認証後は、クライアントとサーバーで同じセッションIDを共有しています。

• クレデンシャル情報の保管には特に注意を払いましょう。

• もしも漏洩した場合には、直ちに破棄、交換しましょう。

• 一般ユーザー向けには、パスワードを安全に保管し、必要になったら呼び出すアプリがあります。

• Single Sign On（SSO）とは、一つのログインで複数のサービスを利用させる認証の思想です。

• フェデレーションには、SAML、OAuth、OIDCがあります。

• 「OAuth／OIDCはトークン、SAMLはアサーション」とだけ覚えておいても良いでしょう。

• サービス機能を呼び出す際の認証に使われるアカウントをサービスアカウントと言います。

• サービスアカウントを利用するのは、ユーザーではなくプログラムです。

• Zero Trust Modelに従い、検証と適用のポイントが定義されています。

• Policy Decision Pointとは、特定のリクエストに対してアクセスを許可・拒否の決定を行う場所です。

• Policy Enforcement Pointとは、実際にアクセス制御を実施する場所です。

• 強制アクセス制御（Mandatory Access Control、MAC）は、操作するサブジェクトと操作されるオブジェクトに対してレベルを分けておき、その両方が許可しているときのみ権限が与えられるという制御方式のことです。SELinuxは強制アクセス制御の一例です。

• 任意アクセス制御（Discretionary Access Control、DAC）は、データの所有者によってアクセス権限が決められるアクセス制御です。UNIXやWindows系のOSは任意アクセス制御の一例です。

• ロールベースアクセス制御とは、システム内のアクセス権を役割（ロール）に基づいて管理する方法です。

• 属性ベースアクセス制御とは、ユーザーの持っている属性情報に基づいてアクセス制御する方法です。

• ルールベースアクセス制御とは、システムへのアクセス権限を「特定のルール」に基づいて制御する方法です。

• リスクベースアクセス制御とは、いくつかの要素からリスクをスコアとして算出し、スコアの値に応じて制御する方法です。

• アカウントアクセスのレビューを行い、最小権限の原則を維持しましょう。

• ロールを変更の際には、アクセス権限違反が起こりがちです。

• Provisioningの際には、本人証明してから登録をします。

• 退社など、アカウントが不要になった時点で速やかに無効化を行う。

• Just In Time Provisioningとは、必要になったタイミングで自動的にアカウント登録を行う方法です。

• 特権アカウント（Privileged Account）は、通常のユーザーアカウントよりも多くの権限を持つアカウントです。

• 勝手な権限昇格をさせないようにしましょう。

• Identity as a Service（IDaaS）は、クラウドベースで提供されるアイデンティティ管理のサービスです。

• 企業や組織がユーザー認証やアクセス管理、シングルサインオン（SSO）、多要素認証（MFA）などのアイデンティティ関連の機能をクラウドから利用できるようにします。

• アカウントのマスターデータを認証ポイントが複雑化しないように設計しましょう。

• Active Directoryは、Microsoftが提供するディレクトリサービスで、企業や組織のネットワーク内でユーザーやコンピュータ、リソースを一元的に管理するためのシステムです。

• Active Directoryを使用すると、ネットワーク内のユーザー認証、権限管理、リソースへのアクセス制御が効率的に行えます。

• 所持認証媒体が不正アクセスに使われている可能性がある場合には、速やかに無効化しましょう。

• 同期型、非同期型トークンに分かれ、同期型にはカウンターベースと時間ベースがあります。

• トークン発行器には、ハードウェアベースとソフトウェアベースがあります。

• 生体認証は、セキュリティーもユーザビリティーも高い。

• 精度は、本人拒否率と他人受入率から決定します。

• 身体部位によって精度・効果・コストが異なります。

• 生体認証の導入する際には、FIDO2とWebAuthnに則ることが一般的です。

• パスワード認証の脆弱性は、最近よく指摘されています。

• パスワードは、サルトという値を付与し、ハッシュ化して保存されています。

• 試行回数制限やアカウントロックを設定し、不正ログインを抑止しましょう。

• 分からなくても正答率が高いと思われる答えにフォーカスしていく力

• 各ドメインのポイントを押さえる

• 企業目標を達成するための達成するセキュリティ。

• 安全な状態などない。

• すべてはお金で説明。

• マネージャーとしての判断です。

お疲れさまでした！

英語版の証書もこちらからダウンロード可能です。