CCT Day1 復習用まとめ
Day1のゴール
- 「脅威」「脆弱性」「リスク」「攻撃プロセス」「防御の基本」「アクセス制御」「ポリシーと物理」の基礎語彙を固める
- 暗記よりも、概念の関係性を説明できる状態にする
- ラボに出る概念は「ツール名」ではなく「何をしているか」を言語化できるようにする
受講戦略(復習の軸)
試験の前提
- スライド問題 + ラボ問題が半々
- ラボは「シナリオの再現」ではなく「概念を別角度で問う」前提で対策する
復習でやること
- 暗記ではなく「定義」「違い」「例」「対策」をセットで言えるようにする
- ラボは「何が入力で」「何が出力で」「何を判断して」「次に何をするか」を説明できるようにする
Module 1 情報セキュリティの脅威と脆弱性
1. 脅威と脆弱性
定義
- 脅威(Threat)
- サイバー攻撃の原因になりうる存在や状況
- 動機や能力を含む
- 脆弱性(Vulnerability)
- 悪用される可能性のある弱点
関係
- 攻撃は「脅威が脆弱性を悪用」して成立する
- 脅威だけでも脆弱性だけでも攻撃は成立しない
- 実務の基本線
- 脅威はゼロにできない
- 脆弱性は減らせる
- よって「脆弱性を潰し続ける設計と運用」が現実的な勝ち筋
復習チェック
- 「脅威と脆弱性の違い」を具体例で説明できるか
- 「なぜ脆弱性対応が優先されるのか」を説明できるか
2. 脅威の出所(Threat Sources)
大分類
- 自然の脅威
- 火災 停電 災害など
- 人に関する脅威
- 意図的(悪意)
- 外部攻撃者
- 内部犯行(インサイダー)
- 非意図的(過失)
- うっかりミスで業務影響を出す
- 意図的(悪意)
重要ポイント
- 「脅威=外部攻撃者」だけでは不十分
- 内部も脅威になり得る
- 退職者の持ち出し
- 権限の濫用
- 非意図的も脅威
- 事故でもCIAに影響が出るなら対策対象
復習チェック
- 脅威の出所を「自然」「人(意図/非意図)」「人(内部/外部)」で整理できるか
- インサイダー対策が技術だけで完結しない理由を言えるか
3. 脅威アクター(Threat Actors)
目的
- 「誰がどんな動機で何をするか」を分類するための語彙
ハット分類
- ブラックハット:攻撃者
- ホワイトハット:防御者
- グレーハット:状況により攻撃/防御どちらも行う
よく出る分類
- スーサイドハッカー
- 身バレを恐れず、予測しづらい行動を取り得る
- スクリプトキディ
- 既存ツールで突破を試みる
- 技術力より好奇心が先行しがち
- サイバーテロリスト
- 宗教/政治信念による活動
- 国家支援ハッカー
- 国家が関与/支援
- ハクティビスト
- 政治的課題を推進する個人
- 産業スパイ
- 企業情報を狙う(APTや標的型につながる)
- インサイダー
- 内部犯行
復習チェック
- それぞれ「動機」を一言で言えるか
- インサイダーと外部攻撃者で「前提が変わる防御」を説明できるか
4. 脅威ベクトル(Threat Vectors)
位置づけ
- 攻撃者が「どこから」「何を使って」攻撃するかの観点
- 列挙暗記ではなく、攻撃の入口を洗い出すための言葉
復習チェック
- 自社のシステムで脅威ベクトルを3つ挙げられるか
- 例:メール Web公開面 VPN 端末 物理入室など
5. マルウェア
5.1 侵入経路と拡散
- 侵入経路の代表
- メール
- フィッシング(添付/リンク)
- マルウェアは添付ファイルが多い
- メール
- 拡散
- 初期侵入も、感染拡大(横展開)も含む
復習チェック
- 「侵入」と「拡散」を分けて説明できるか
- メール経由の典型パターンを説明できるか
5.2 マルウェアのコンポーネント
- クリプタ(Cryptor)
- 暗号化/難読化で解析や検知を避ける
- ドロッパ(Dropper)
- ペイロードを投下する役
- オブファスケータ(Obfuscator)
- 難読化の役割(解析阻害)
復習チェック
- 各コンポーネントの目的を説明できるか
- 解析回避か
- 投下か
- 検知回避か
5.3 マルウェアの種類(特徴で覚える)
- トロイの木馬
- 潜伏型、必要なときに動く
- ウイルス
- 宿主が必要、感染して拡散する
- ワーム
- ネットワークや共有を利用して自己増殖
- ランサムウェア
- 暗号化や脅迫で身代金を要求
- スパイウェア
- 情報収集(キーロガー含むことがある)
- ボットネット
- 多数端末を束ねてDDoSなどに利用
- ファイルレスマルウェア
- 正規ツール悪用、痕跡が残りづらい(Living-off-the-land)
復習チェック
- 「ウイルス」と「ワーム」の違いを説明できるか
- 「トロイ」と「RAT」の関係を説明できるか
- ファイルレスがなぜ厄介か説明できるか
5.4 トロイの木馬(特にRAT)
- RAT(Remote Access Trojan)
- 遠隔操作型トロイ
- 重要、ラボにも出る
- C2(Command & Control)
- 攻撃者が遠隔指示する仕組み
CTIとIoC
- CTI(Cyber Threat Intelligence)
- 脅威情報を元に防御へ活かす考え
- IoC(Indicator of Compromise)
- 侵害の兆候
- 特殊ポート等の兆候も含む
復習チェック
- RATが成立する構造を説明できるか
- 侵入 → 常駐/維持 → C2 → 目的実行
- IoCの例を3つ言えるか
- 例:不審な通信 不審プロセス 不審なポートなど
5.5 ランサムウェア(近年の変化)
- 初期:暗号化 → 復号鍵と引き換えに金銭要求
- 近年:バックアップ前提が進んだ結果、手口が複合化
- 事前にデータを窃取してリーク脅迫(恐喝)
- バックアップ削除
- 鍵を渡さない
- 被害者本人へ連絡しクレーム誘発
復習チェック
- なぜ暗号化だけでは成立しづらくなったか説明できるか
- 二重恐喝の流れを説明できるか
5.6 ボットネットとPUA
- ボットネット
- DDoSに使われる
- デフォルト設定や弱いパスワードで侵入されやすい
- PUA(Potentially Unwanted Application)
- 望まれていないアプリ
- リソースを勝手に消費
- 例:アドウェア クリプトマイニング
復習チェック
- PUAが「マルウェア扱いされることがある理由」を説明できるか
- IoTがボットネットにされやすい理由を言えるか
脆弱性(Module 1内の続き)
1. 脆弱性の定義
- 悪用される可能性のある弱点
2. 例(ネットワークセキュリティの脆弱性)
- 平文通信(TCP/IPの性質)
- 対策:TelnetではなくSSH
- OS脆弱性
- 公開されることで攻撃にも利用される
- 対策:速やかなパッチ適用
- 設定ミス
- デフォルトパスワード
- アカウント運用の弱さ
3. 対策の原則
- 最小の原則(減らす)
- 使っていないものは止める
- アカウント/サービスは必要最小限
- アタックサーフェスを小さくする
- 最新の原則(追随する)
- アップデート
- セキュリティパッチ
- 定期運用で維持
4. 「脆弱性は対応しやすい」理由
- 既知の脆弱性は自分たちの手元で潰せる
- 脅威(悪意)は消せない
- よってパッチ適用は優先度が高い
5. リスク
- 脅威と脆弱性が大きいほどリスクが増える
- 資産の価値もリスクに影響する
- 計算式の暗記より「構成要素」を理解する
6. 脆弱性の種類(試験で言い換えが来るので分類で覚える)
- 設定ミス/脆弱な設定
- 必要設定をしていない
- デフォルトのまま
- パッチマネジメント不備
- 適用が遅れる仕組み、管理がない
- 設計上の欠陥
- 認証がない
- アクセス制御不足
- 排他制御不足で見えてはいけない情報が見える
- オペレーションの欠陥
- 脆弱性は内在しているが未発見なだけ
- ゼロデイ
- 公開/悪用が先、パッチが間に合わない状態
- 緩和策が出る場合もあるが、基本はパッチ待ち
- レガシー
- パッチ自体が出ない
- スプロール/未把握資産(シャドーIT)
- 認識されないためパッチ対象外になる
- 証明書と鍵管理不備
- 鍵が漏れたら暗号化は意味がない
- サードパーティリスク
- 依存コンポーネントの脆弱性が自分たちにも波及
復習チェック
- ゼロデイとレガシーの違いを説明できるか
- シャドーITがなぜ危険かを説明できるか
- サードパーティリスクを「自社の例」で説明できるか
Module 2 情報セキュリティ攻撃
1. 攻撃の成立要素
- 攻撃 = 動機 + 方法 + 脆弱性
- 動機:目標
- 方法:技術
- 脆弱性:穴
- 脅威 = 動機 + 方法
- やる気と技術
復習チェック
- 「脅威」と「攻撃」の違いを要素分解で説明できるか
2. 攻撃の分類
- パッシブ攻撃
- 盗聴など、改変せず観察中心
- アクティブ攻撃
- 送信/改ざん/妨害など能動的
- 近接攻撃
- 物理的に近づく
- インサイダー攻撃
- 内部不正
- 配布攻撃
- マルウェア配布など
復習チェック
- パッシブとアクティブの違いを例で言えるか
3. 攻撃方法論(フレームワーク)
3.1 EC-Councilのハッキングメソッド(5フェーズ)
- フットプリンティング/偵察
- 断片情報からターゲット情報を収集
- アクティブ偵察:パケットを投げる
- パッシブ偵察:観察のみ
- スキャニング
- IP × Portで稼働しているものを探索
- 反応がないものは攻撃者からは非アクティブに見える
- アクセス権限の取得
- サービスやバージョンを把握(Nmapなど)
- 脆弱性が顕在化していれば侵入可能
- 侵入しただけでは攻撃成立ではない
- アクセス維持
- 再侵入できる状態にする
- 痕跡消去
- ログ削除/改ざんで身元特定を回避
重要な注意点
- 攻撃が成立しなければ問題が表面化しない場合もあるが
- 脆弱性が残っているとフェーズが進む可能性がある
- だから脆弱性を放置しない
復習チェック
- 各フェーズで攻撃者が「何を得たいか」を言えるか
- 防御側が各フェーズで「何を観測できるか」を言えるか
3.2 サイバーキルチェーン
一般的な攻撃の流れの共通言語
- 偵察
- 武器化(マルウェア準備など)
- 配送(メール/リンクなど)
- 攻撃
- インストール
- C2(遠隔操作)
- 目的実行(奪取など)
復習チェック
- キルチェーンを「RATの例」で一周説明できるか
3.3 TTP
- Tactics:戦術(目的の大枠)
- Techniques:技術(手段)
- Procedures:手順(具体的なやり方)
復習チェック
- TTPを「具体例」で説明できるか
- 例:Credential Access がTactic、PhishingがTechnique、メール文面や手順がProcedure
3.4 MITRE ATT&CK
- 過去の攻撃を整理したデータベース
- 一般的な攻撃の流れが記載されている
- 対策の抜け漏れ(網羅性)を上げるために使う
復習チェック
- ATT&CKを使うと「何が嬉しいか」を一言で言えるか
- キルチェーンとATT&CKの関係を説明できるか
3.5 侵入解析のダイヤモンドモデル
- 攻撃を4要素に分解して考えるフレームワーク
- 何か起きたときに「整理して調査する」ための型
復習チェック
- 4要素の名前を思い出せるか(復習で正式名称を確認して固定する)
4. ネットワークレベルの攻撃
偵察の基本
- 攻撃者は「知れば知るほど有利」
- 公開されている情報(DMZのサーバなど)も入口になる
代表的手法
- ネットワークスキャン
- ICMPやTCPで反応を見る
- TCPは3-way handshakeなどを使う
- DNSフットプリンティング
- IPやサービスを推測・確認
- パケットスニッフィング
- 有線/無線の盗聴
- 偽APを置いて接続させるなど
- スニファ
- 物理機器を挟む、マネージドスイッチなど
- Wireshark等で解析
- MITM(中間者攻撃)
- 盗聴・改ざん
- MFAが効きづらい状況が増えている
- DNSポイズニング
- キャッシュ等に誤情報を混入
- ARPスプーフィング
- ARPの関係を偽装してMITMに繋げる
- DHCP枯渇攻撃
- 偽MACでアドレスを埋め尽くす
- スイッチポート盗聴
- 物理ポート利用
DoS/DDoS
- DoS:限定的な攻撃元
- DDoS:多数のIPから攻撃
APT
- 標的型で継続的
- 「耐える設計」が必要(前提に置く)
物理的攻撃
- USB
- 悪意のフラッシュドライブ
- 入退室カード複製
復習チェック
- MITMとARPスプーフィングの関係を説明できるか
- DHCP枯渇の狙いを説明できるか
- DDoSが成立する背景(ボットネット等)を言えるか
5. アプリケーション/OSレベルの攻撃
Webアプリケーション(OWASP Top 10)
- インジェクション
- 意図しない場所にコマンド/SQLとして機能する文字列を注入
- 社会的には実装側の不備として扱われがち
- 認証の不備
- 設計不備でアクセス権が広がり、想定外のデータが取れる
具体例
- SQLインジェクション
- ORで条件を常に真にする等
- パラメータ改ざん
- URLやパラメータに推測値を入れて想定外動作
- セッションハイジャック
- セッション情報を盗んでなりすまし
OSレベル
-
パスワードクラッキング
- 目的:なりすましによる正規アクセス
- 手法:総当たり、よくあるパスワード、辞書、傍受
- 攻撃分類:オンライン/オフライン、パッシブ/アクティブ、ソーシャル等
- 辞書/ブルートフォース/ルールベース
- ブルートフォースは有限時間で必ず解ける(理論上)
- 長さとロックで現実的に困難にできる
- デフォルトパスワードは最悪(最優先で狙われる)
- PtH(Pass-the-Hash)
- パスワードではなくハッシュを使って突破する
-
バッファオーバーフロー
- 大量データでメモリ破壊
-
権限エスカレーション
- 水平方向:同レベルで別ユーザへ
- 垂直方向:権限昇格
復習チェック
- SQLiとパラメータ改ざんの違いを説明できるか
- オンライン攻撃とオフライン攻撃の違いを説明できるか
- PtHの「何が問題か」を説明できるか
6. ソーシャルエンジニアリング
概要
- 技術的攻撃ではなく、人間の心理や組織の隙を利用して情報を得る
典型ターゲット
- ヘルプデスク
- なりすまし先の本人
- 権威ある立場(管理者、顧客、親会社役員など)
人が引っかかる要因
- 権限
- 緊急
- 親しみ
- 脅迫
- 希少性
- 攻撃者はプロとしてストーリーを作る
代表例
- なりすまし
- 盗聴
- ショルダーハッキング
- ダンプスターダイビング
- テールゲーティング/ピギーバック
- フィッシング(SMS含む)
- ID窃盗
復習チェック
- 「緊急」「権威」「親しみ」などのトリガーを例で説明できるか
- テールゲーティングとピギーバックの違いを説明できるか
7. 無線・モバイル特有の攻撃
無線
- 不正AP(偽AP)
- アドホック接続(子機同士のネットワーク)
- ジャミング(2.4/5GHzにノイズ)
- Bluetooth(距離制約、誤接続狙い)
- RFID
- NFC(近距離通信、決済等)
モバイル
- アプリストアを過信しない
- 過剰権限など
- 権限要求に注意
- モバイルスパム
- 小画面でリンク詳細が見えず誘導されやすい
- SMSは疑う
復習チェック
- 偽APの狙いを説明できるか
- モバイルでフィッシングが成立しやすい理由を説明できるか
- 「権限要求」がなぜ危険か説明できるか
8. IoT/OT/クラウドの攻撃
IoT/OT
- デフォルト設定や弱い認証で乗っ取られやすい
- 乗っ取られた端末がDDoSに使われる
クラウド
- 管理画面権限が強力
- 侵入されると「ありとあらゆること」が可能になりやすい
- クラウド特有の設定・権限モデルを意識する必要がある
復習チェック
- IoTがDDoSに使われる理由を説明できるか
- クラウドで「最悪の侵害点」がどこか説明できるか(管理権限)
Module 3 ネットワークセキュリティの基礎
1. 情報セキュリティの定義(CIA)
- Confidentiality(機密性)
- 見るべき人だけが見られる
- Integrity(完全性)
- 改ざんされていない
- Availability(可用性)
- 必要なときに使える
追加要素
- 真正性(Authenticity)
- 偽物でない
- 否認防止(Non-repudiation)
- 言い逃れできない
復習チェック
- CIAを「例」で説明できるか(通信、バックアップ、金庫など)
2. セキュリティ・機能性・利便性のトライアングル
- セキュリティを上げると利便性が下がりやすい
- 利便性を上げるとセキュリティが下がりやすい
- 重要なのは「バランス設計」
復習チェック
- SSOを例にトレードオフを説明できるか
3. NIST CSF
- 組織のセキュリティを評価できる物差し
- 点数付けの目的は満点ではない
- あるべき姿と現状のギャップ可視化
NIST CSFの観点
- 予防(識別、防御)を重視
- インシデント後の振る舞い(検知、対応、復旧)まで含む
ISO 27000との違いとしての捉え方
- ISOは「起こさないため」の側面が強いという理解
復習チェック
- NIST CSFが「なぜ組織で使えるのか」を説明できるか
- 「満点が目的ではない」を説明できるか
4. 攻撃の影響
- 経済的損失(直接/間接)
- 事業の信用失墜
復習チェック
- 間接損失の例を言えるか(信頼、機会損失、対応コストなど)
5. ネットワーク防御のアプローチ分類(頻出)
- リアクティブ
- 起きてから(インシデントレスポンス)
- プロアクティブ
- 起きる前にリスク低減(リスクマネジメント、脆弱性管理、CTI等)
- 予防的
- 攻撃されないように(予防コントロール)
- レトロスペクティブ
- 起きた後に振り返り(ログ解析、被害範囲特定)
復習チェック
- 4分類を「例」で言えるか
- 例:WAF導入、パッチ運用、IR体制、フォレンジック調査など
6. 継続的/適応型のセキュリティ戦略
- スパイラル
- 保護 → 検知 → 対応 → 予測
3要素で考える(2つの切り口)
- 技術・運用・人
- 運用と人が重要(バックアップ周期、教育など)
- 技術的・管理的・物理的
復習チェック
- 「技術だけでは守れない」を具体例で説明できるか
Module 4 識別・認証・認可
1. 用語の違い(必須)
- 識別(Identification)
- IDやユーザ名で「誰か」を特定する
- 認証(Authentication)
- その本人か確認する
- 認可(Authorization)
- 認証された人が「何をできるか」を制御する
前提関係
- 認証には識別が必要
- 認可には認証が必要
復習チェック
- 3つを順番と前提込みで説明できるか
- 「アクセス制御」が狭義/広義どちらもあるのを説明できるか
2. アクセス制御(ACLなど)
- 読む 書く 実行などの権限がある
- 認可のDBとしてACL(アクセスコントロールリスト)がある
- 管理者がACL管理を行う
専門用語
- オブジェクト:ファイル/フォルダ
- サブジェクト:ユーザ
- リファレンスモニタ:アクセス制御を仲介する仕組み
- オペレーション:実行する行為
復習チェック
- サブジェクト/オブジェクト/オペレーションを例で説明できるか
3. アクセス制御の原理(頻出)
- 職務分離(SoD)
- 承認者と実行者を分ける
- 重要操作を単独で完結させない
- Need-to-know
- 業務上必要な人だけが知る
- 最小特権(POLP)
- 必要最小限の権限
- 範囲も時間も最小化(必要なときだけ付与)
復習チェック
- POLPを「時間の最小化」と「範囲の最小化」で説明できるか
4. アクセスコントロールモデル
- MAC(強制アクセス制御)
- 管理者が一元管理
- DAC(任意アクセス制御)
- 所有者(エンドユーザ)が裁量を持つ(分散管理)
- RBAC(役割ベース)
- 部署/役割単位で権限付与、グループ管理で単純化
復習チェック
- MAC/DAC/RBACの違いを「誰が権限を決めるか」で説明できるか
5. IAM(クラウドで頻出)
- Identification + Authentication + Authorization をまとめた概念
- ID管理
- IDリポジトリ(台帳)
- アクセス管理
- 認証と認可
認証方式
- パスワード(知識要素)
- 二要素認証(所有要素や生体要素など)
- トークン(例:認証アプリ)
- 生体(指紋、顔、虹彩、静脈、音声、歩容など)
- SSO
- 利便性は上がるが、セキュリティは下がりやすい(単一点のリスク)
AAA
- Accounting(証跡)
- いつ誰が認証され、何が認可されたかのログ
- Authentication + Authorization + Accounting
アカウント種別(区別必須)
- ユーザアカウント
- 管理者/ルートアカウント
- 特権アカウント(極力使わない)
- ゲストアカウント
- サービスアカウント
復習チェック
- SSOのリスクを説明できるか
- サービスアカウントをなぜ区別すべきか説明できるか
- AAAの3つを説明できるか
Module 5 ネットワーク・セキュリティ防御(管理的制御)
1. コンプライアンスと規制フレームワーク
- 上位の規制や方針と下位は矛盾してはいけない
- ポリシー
- 公開ポリシー
- 一般論、対外的
- 非公開ポリシー
- 詳細、攻撃者にヒントを与え得るので公開しない
- 公開ポリシー
試験対策として重要
- PCI-DSSを優先して押さえる
- 規制対応の意思決定の考え方が出やすい
復習チェック
- 公開/非公開ポリシーの違いを説明できるか
- なぜ詳細を公開しないのか説明できるか
2. 良いセキュリティポリシーの特徴
- 合理的
- 経済的に実現可能
- 手続きとして許容できる
- 一貫性
- 法令遵守
復習チェック
- 「合理的」を実務的に説明できるか(守れないルールは無意味等)
3. 一般的なポリシー文書の要素(復習の拠り所)
- 改訂履歴がある
- 状況に応じて更新される前提
- 対象読者が定義される
- 読者ごとに書き方や文言が変わる
- 罰則が明文化される
- 従わせるための設計
復習チェック
- なぜ改訂履歴が重要か説明できるか
- 対象読者が違うと何が変わるか説明できるか
4. ポリシーの種類(3分類を区別)
- EISP(方向性)
- 組織全体の大枠
- ISSP(各論)
- パスワードやアカウントなどテーマ別
- SSSP(システム別)
- 特定システム向け
復習チェック
- それぞれの適用対象を例で言えるか
5. インターネット接続ポリシー(厳しさの概念)
- プロミスキャス:何も制限しない
- パラノイド:全禁止
- 典型として
- 許容ポリシー
- 慎重なポリシー
復習チェック
- 厳しさの段階を言葉で説明できるか
6. 意識向上トレーニング
- ポリシーは作るだけでは守られない
- 現場が守れる形に更新し続ける必要がある
- ポリシーと現場が乖離すると形骸化する
復習チェック
- 形骸化を防ぐ施策を1つ言えるか(教育、定期見直し、手順化など)
Module 5 ネットワーク・セキュリティ防御(物理的制御)
1. 物理セキュリティの位置づけ
- L7/L6が強くても、サーバが燃えたら終わる
- 自然・環境も脅威に含める
2. 物理的脅威ベクトル
- 自然・環境
- 人為
- 過失
- 悪意
- 内部/外部
復習チェック
- 物理がCIAのどれに影響するか説明できるか(主にAだがC/Iも影響する)
3. 物理ロック(名称を区別)
- メカニカルロック
- 南京錠など
- コンビネーションロック
- 番号合わせ(自転車ロックなど)
4. マントラップ
- 一人ずつ通す構造
- カメラ等で一人であることを確認する必要
5. 警告表示
- 重要エリアであることを明示
- 迷い込みの言い訳を潰す
- 抑止効果
6. 監視と照明
- ビデオ監視は実運用が主流
- 照明で隠れて悪いことをしにくくする
7. 受付エリア運用
- 受付が鍵を持たない
- 鍵はガードマン運用など
- 入室タグ、入退室記録
8. HVAC
- 空調(Heating, Ventilation, and Air Conditioning)
- 可用性の観点
- 冷却が重要
復習チェック
- 物理対策が「技術ではなく運用」である例を説明できるか
Day1の最重要ポイント(試験・実務の両面で効く)
優先度A(確実に言語化する)
- 脅威と脆弱性の違いと関係
- 脅威の出所(自然/人、意図/非意図、内部/外部)
- 攻撃 = 動機 + 方法 + 脆弱性、脅威 = 動機 + 方法
- EC-Councilの5フェーズ
- サイバーキルチェーン、TTP、ATT&CKの位置づけ
- CIA + 真正性 + 否認防止
- 防御アプローチ4分類(リアクティブ/プロアクティブ/予防/レトロ)
- 識別/認証/認可、MAC/DAC/RBAC、SoD/Need-to-know/POLP
- ポリシー3分類(EISP/ISSP/SSSP)と公開/非公開の考え方
- 物理セキュリティの基本用語(マントラップ、警告表示、ロック種別、HVAC)
優先度B(用語の紐づけ)
- 各種マルウェアの特徴(特にRAT、ファイルレス、ボットネット、ランサムの変化)
- ネットワーク攻撃の代表語彙(MITM、ARP、DNS、DHCP枯渇)
- Webアプリ攻撃の代表語彙(インジェクション、セッション、改ざん)
- パスワード攻撃(オンライン/オフライン、ブルートフォース、PtH)
自己テスト(復習用の問い)
次を自分の言葉で説明できれば、Day1はかなり固い
- 脅威と脆弱性の違いと、なぜ脆弱性対応が現実的なのか
- 脅威の出所を3軸(自然/人、意図/非意図、内部/外部)で整理して例を出す
- 攻撃成立要素と脅威要素を式で説明する
- EC-Council 5フェーズと、各フェーズで攻撃者が欲しい情報は何か
- キルチェーンをRATの例で一周説明する
- TTPとは何か、ATT&CKは何に使うか
- CIAと真正性/否認防止を例で説明する
- 防御アプローチ4分類の例を挙げる
- 識別/認証/認可、MAC/DAC/RBAC、SoD/POLP/Need-to-knowを例で説明する
- EISP/ISSP/SSSPの違いと、公開/非公開ポリシーの理由
- マントラップ、警告表示、HVACが何を守るためのものか