Domain5

ケイパビリティテーブル、アクセス制御リスト

ケイパビリティテーブルは、指定されたサブジェクトが詳細なオブジェクトに関連して有するアクセス権を規定する。
アクセス制御リストは、特定のオブジェクトへのアクセスが許可されているサブジェクトを定義し、サブジェクトが付与される権限レベルを含みます。
したがって、2つの違いは、オブジェクトがACLにバインドされている間に、サブジェクトが機能テーブルにバインドされていることです。
https://www.jpnshiken.com/qa/ISC.CISSP.v2018-11-19.q784/%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E5%88%B6%E5%BE%A1%E3%83%AA%E3%82%B9%E3%83%88-acl-%E3%81%A8%E6%A9%9F%E8%83%BD%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%81%AE%E9%81%95%E3%81%84%E3%81%AF%E4%BD%95%E3%81%A7%E3%81%99%E3%81%8B

AAA

https://www.infraexpert.com/study/aaaz01.html
AAAとは、Authentication（認証）Authorization（認可）、Accounting（アカウンティング）の略称の
　ことであり、これら3つの異なるセキュリティ機能を設定するためのアーキテクチャ上の枠組みのことです。

AAA 説明
Authentication

　認証では、ユーザID/パスワード、デジタル証明書などの有効なクレデンシャル（信用情報）を
　確認し正当なユーザであるかを決定する。この「認証」を行う際にコマンド設定で選択された
　セキュリティプロトコルに応じて「チャレンジ/レスポンス、暗号化」等も提供される時がある。

Authorization

　認可では、認証に成功したユーザに対して提供する権限（ネットワークサービス）を制限する。
　例えば、ユーザが発行可能なコマンドを制限したり、ネットワークのアクセス範囲を制限できる。
　ユーザに認可されるタスクは、ユーザまたはグループに関連づけられるアトリビュート（属性）
　により定義される。これらはローカルに設定したり、TACACS+ / RADIUSサーバで設定できる。

Accounting

　アカウンティングでは、認証に成功したユーザに対して情報を収集する。具体的には、例えば
　機器にログインしたユーザ、または、ネットワークアクセスしたユーザが入力したコマンド、
　接続時間、システムイベント等の情報をタイムスタンプをつけてログに記録することができる。
　収集した情報はRADIUSサーバなどに送信して管理して課金、監査、レポート作成に利用される。

TACAS+

https://e-words.jp/w/TACACS-_.html
ネットワークの利用資格（アカウント）情報を単一のシステム（TACACS+サーバ）で集中的に管理し、端末からのアクセスを受け付けるルータやアクセスサーバなどがこれを利用して認証、認可、統計情報の記録（AAA：Authentication, Authorization, Accounting）を行うための手順を定めている。

Kerberos

https://www.infraexpert.com/study/security18.html
　ケルベロス認証とは、ネットワーク認証方式の1つでありサーバとクライアント間の身元確認のために使用
　するプロトコルです。Kerberosはクライアントとサーバとを相互認証できるだけでなくデータ保全のために
　クライアントとサーバ間の通信を暗号化します。現在ではKerberosバージョン 5 が主に使用されています。
　そのため、Kerberosは「 KRB5 」とも呼ばれています。

　KerberosはWindows Server Active Directoryのユーザ認証の際に使用しているプロトコルとして有名です。
　なお、Active Directoryは単一のサービスではなく、主な機能だけでも3つのプロトコルが使用されています。

信頼の種類

ショートカット信頼

「ショートカット信頼」とは、推移性な信頼関係があるドメイン同士で直接信頼関係を結び、認証のパスを短縮できる信頼関係です。

フォレスト信頼

「フォレスト信頼」とは、異なるフォレスト間で結ぶ信頼関係のことです。厳密にいうと、異なるフォレストのフォレスト ルート ドメイン同士で信頼関係を結びます。フォレスト信頼は Windows Server 2003 の Active Directory からサポートされました。そのため、フォレスト信頼を結ぶためには、双方のフォレストのフォレスト機能レベルが「Windows Server 2003」以上である必要があります。

外部信頼

「外部信頼」とは、異なるフォレストのドメイン間で結ぶ信頼関係のことです。外部信頼は推移性がない信頼関係となり、外部信頼を結んでいるドメイン同士で完結しています。

レルム信頼

　同じKDCの配下にあるシステムをグループとして定義する論理ネットワーク
https://www.infraexpert.com/study/security18.html

RADIUS

攻撃方法

総当たり攻撃

総当たり攻撃とは、暗号や暗証番号などで、理論的にありうるパターン全てを入力し解読する暗号解読法。例としては、自転車のチェーンロックやトランクのダイヤル錠を、全ての番号の組み合わせ（4桁なら0000から9999まで）を片っ端から試す方法と同じで、この「片っ端から」で、いずれ正解に行き着こうというものである。
https://ja.wikipedia.org/wiki/%E7%B7%8F%E5%BD%93%E3%81%9F%E3%82%8A%E6%94%BB%E6%92%83

中間者攻撃

中間者攻撃とは、攻撃者がユーザと利用サービスの間に割り込んで、受け渡すデータを盗聴したり、改ざんしたりする攻撃を指します。比較的古くからあるサイバー攻撃手法であり、最近でも二要素認証を突破する実例も確認されています。

辞書攻撃

それに対し辞書攻撃は、辞書に登録されている意味のある文字列（単語・語句や人物名など）を組み合わせたパスワードを用いてシステムへのログインを試みるという手法です。正解のパスワードを見つけるまでさまざまな組み合わせを試し続けます。また、スパムメールの宛先を自動生成する際にも使用されます。

レインボーテーブル攻撃

レインボーテーブル攻撃とは、レインボーテーブルを利用して不正にハッシュ化内容を解読するサイバー攻撃です。その仕組みを見ていきましょう。
https://it-trend.jp/encryption/article/64-0067

Teardrop攻撃

ティアドロップ攻撃とは、サービス拒否（DoS）攻撃（ネットワークやサーバに要求やデータをあふれさせることで、コンピュータ リソースを利用できなくする攻撃）の一種です。ティアドロップ攻撃（Teardrop Attack）では、攻撃者はターゲット サーバに断片化されたパケットを送信し、そのサーバにTCP/IPの脆弱性があると、サーバがパケットを再構築できず、過負荷になります。
https://www.f5.com/ja_jp/glossary/teardrop-attack

pass-the-hash攻撃

主にWindowsの認証システムに対して行われる攻撃です。
攻撃者はパスワードハッシュを取得することにより、標的ユーザーや管理者のパスワードを推測することなく認証をバイパスし、水平展開を行います。

ソルト復元攻撃

XSS

クロスサイトスクリプティング（XSS）の攻撃では、攻撃者がwebサイトに悪意のあるスクリプトを埋め込むことで個人情報を盗み取ったり、マルウェア感染をさせる仕組みとなっています。

CSRF

攻撃者は自身が直接攻撃対象サーバへアクセスすることなく、攻撃対象のWebアプリケーションに任意の処理を行わせることができます。CSRFを利用して行われる主な攻撃としては、以下があります：

SQLインジェクション

認可の方法

グループベース

リソースベース

非任意

任意（DAC）

https://xtech.nikkei.com/it/article/COLUMN/20060526/239136/
任意アクセス制御（DAC：Discretionary Access Control）
オブジェクト（ファイルなど）の所有者が，メンバーの属性ごとに権限を設定します。

強制（MAC）

https://xtech.nikkei.com/it/article/COLUMN/20060526/239136/
強制アクセス制御（MAC：Mandatory Access Control）
操作主体と操作対象それぞれにセキュリティ・レベルを段階分けして，その段階（レベル）を比較することで強制的にアクセス権限を決定する方式です。操作主体（サブジェクト）はユーザーやアプリケーション，操作対象（オブジェクト）はファイルやディレクトリが該当します。

ラティスベース

ルールベース（RBAC）

ロールベース（RBAC）

クリアランス

https://piedpin.com/top/2020/03/30/clearance/
クリアランスがある状態というのは、あるデータに対するアクセス主体が、相当の機密レベルにアクセスするべきかを整理できている状態を指します。

つまり、すべてのユーザーが何かしらの権限が割り当てられており、その権限は適切なものである、ということです。

適切な機密レベルに割り当てる際には、データを階層化したときの各機密レベルを割り当てるということになります。

ここで、そもそもこの機密レベルにアクセスできるという人ということを保証しなければなりません。

一般的にそれは、バックグラウンドチェックを行って始めて保証されるものです。

また、似た概念として知る必要があります。知る必要というのは、一般にクリアランスが満たさせた状態で、知る必要がなければ権限を与えないものであり、クリアランスよりもより強い制約になります。

例えば、同じ部長クラスの人であれば、他の部のメンバーの稼働状況を随時知れても良いわけですから、確認の権限を与えることはクリアランスになります。しかし、そのメンバーを自分の部署の仕事をさせるわけではないので、知らなくともよいわけです。そのため、知る必要においては確認の権限は付与されません。

再プロビジョニング

アカウントレビュー

特権クリープ

アカウント執行

バイオメトリクス

FAR

本人拒否率（FRR、False Reject Rate）

FRR

他人受入率（FAR、False Accept Rate）

CER

誤り率（CER、Cross Error Rate）

SPML

https://ja.wikipedia.org/wiki/SPML
SPML（Service Provisioning Markup Language）は、OASISが開発したXMLベースのフレームワーク。ユーザー/リソース/サービスのプロビジョニング情報を組織間でやり取りするための規格である。

RAID