LoginSignup
10
8

More than 3 years have passed since last update.

@kibachi

CISSP 試験範囲

Last updated at Posted at 2017-08-08

1 セキュリティとリスクマネジメント

  • 機密性、完全性、可用性の概念の理解と適用

    • 機密性 (Confidentiality)
    • 完全性 (Integrity)
    • 可用性 (Availability)

  • セキュリティガバナンスの原則と適用

    • リスクマネジメント (Risk Management)
    • ポリシーとセキュリティ対策の実装
    • セキュリティ対策の有効性のモニタリング
    • 意識向上学習と成長
    • 予算
    • 評価基準
    • リソース (Resource)
    • 役割と責任
    • ガバナンスフレームワーク
    • デューケア (Due Care)
    • ISO/IEC 27000 シリーズ
    • COBIT (Control Objectives for Information and Related Technology)
    • COSO (Committee of Sponsoring Organizations of the Treadway Commission)
    • ITIL (Information Technology Infrastructure Library)

  • コンプライアンス

    • ガバナンス (Governance)
    • リスクマネジメント (Risk Management)
    • コンプライアンス (Compliance)
    • プライバシー関連法

  • グローバルなコンテキストにおける情報セキュリティに関連する法規性の問題の理解

    • コンピュータ犯罪 (Computer Crime)
    • 使用許諾契約 (License Agreement)
    • 知的財産権 (Intellectual Property Right)
    • 国際データ流通
    • ワッセナーアレンジメント (Wassenaar Arrangement)
    • OECDプライバシーガイドライン (OECD Privacy Guideline)
    • データ侵害
    • インシデント (Incident)
    • イベント (Event)

  • 職業倫理の理解

    • 倫理 (Ethics)
    • (ISC)2倫理規約

  • 文書化されたセキュリティポリシー、スタンダード、プロシージャ、およびガイドラインの策定と実施

    • 文書化
    • セキュリティポリシー (Security Policy)
    • スタンダード (Standard)
    • プロシージャ (Procedure)
    • ガイドライン (Guideline)
    • ベースライン (Baseline)

  • 事業継続要件の理解

    • 事業継続計画 (Business Continuity Plan)
    • 事業影響度分析 (Business Impact Analysis)
    • 最大許容停止時間 (Maximum Tolerable Period of Disruption)
    • 目標復旧時間 (Recovery Time Objective)
    • 目標復旧時点 (Recovery Point Objective)

  • 人的セキュリティポリシーへの貢献

    • 採用
    • 雇用契約 (Contract of Employment)
    • ジョブローテーション (Job Rotation)
    • 職務の分離 (Segregation)
    • 知る必要性 (Need to Know)
    • 強制休暇 (Mandatory Vacations)
    • 第三者管理 (Third-party Administration)

  • リスクマネジメントの概念と理解と適用

    • 喪失の可能性
    • リスク評価 (Risk Assessment)
    • リスク分析 (Risk Analysis)
    • 脅威 (Threat)
    • 脆弱性 (Vulnerability)
    • 影響 (Impact)
    • 残存リスク (Residual Risk)
    • セキュリティ監査
    • 定性的リスク評価 (Qualitative Risk Assessment)
    • 定量的リスク評価 (Quantitative Risk Assessment)
    • リスク受容 (Risk Acceptance)
    • リスク低減 (Risk Reduction)
    • リスク回避 (Risk Avoidance)
    • リスクの割り当て (Risk Assignment)
    • リスクフレームワーク (Risk Framework)
    • 対策の選択
    • 行為指示的制御 (Directive Control)
    • 抑止的制御 (Deterrent Control)
    • 防止的制御 (Preventive Control)
    • 補正的制御 (Corrective Control)
    • 検知的制御 (Detective Control)
    • 是正的制御 ()
    • 復旧的制御 ()
    • 物理的制御 (Physical Control)
    • 管理的制御 (Administrative Control)
    • 倫理的(技術的)制御
    • 特権管理
    • 管理策評価
    • 有効性評価
    • ペネトレーションテスト (Penetration Test)
    • ソーシャルエンジニアリング (Social Engineering)
    • 評価
    • 継続的改善

  • 脅威のモデリングの理解と適用

    • 脅威の特定
    • 攻撃の種類

  • セキュリティリスク考慮事項と取得戦略および実践への統合

    • ハードウェア (Hardware)
    • ソフトウェア (Software)
    • 第三者評価 (Third-party Evaluation)
    • サービスレベルアグリーメント (SLA)
    • サービスレベル要件
    • サービスレベル報告
    • 保証
    • 最低限のセキュリティ要件

  • セキュリティ教育・訓練・意識啓発の確立と管理

    • セキュリティ教育 (Security Education)
    • トレーニング (Training)
    • 意識向上トレーニング (Awareness Training)

2 資産のセキュリティ

  • 情報分類および資産サポート

    • データ分類
    • データ分類ポリシー
    • カテゴリ化
    • 資産管理
    • 構成管理データベース
    • ソフトウェア使用許諾
    • ソフトウェアのライフサイクル (Software Lifecycle)
    • ハードウェアのライフサイクル (Hardware Lifecycle)

  • 所有権の決定・維持

    • データに関するポリシー
    • 所有権
    • 管理権

  • プライバシーの保護

    • EUのデータ保護条例
    • セーフハーバープログラム (Safe Harbor Program)
    • データオーナー (Data Owner)
    • データの所有権
    • 情報オーナー
    • データの管理権
    • 管理権の割り当て
    • データ品質 (Data Quality)
    • 品質管理
    • 品質保証
    • データ規格
    • データライフサイクル
    • データ仕様
    • データモデリングデータ監査データの保存アーカイブデータの残留性

  • 適切な保持の確認

    • 情報ガバナンス (Information Governance)
    • データ保持ポリシー
    • ストレージ (Storage)
    • 廃棄

  • データセキュリティ制御の決定

    • ベースライン (Baseline)
    • 保護範囲の決定
    • データ保護に関する規格
    • 暗号化 (Encryption)

  • 処理要件の確立

    • メディア (Media)
    • マーキング (Marking)
    • ラベリング (Labeling)

3 セキュリティエンジニアリング

  • セキュリティ設計原則を使用したエンジニアリングライフサイクルの実装および管理

    • システムエンジニアリングモデル (System Engineering Model)
    • ISO/IEC 5228:2008 (JIS X 0170:2013)
    • Vモデル (V Model)
    • コモンクライテリア (Common Criteria)
    • NIST SP800-27
    • ISO/IEC 21827:2008
    • SSE-CMM

  • セキュリティモデルの基本的概念の理解

    • プロセッサ (Processor)
    • CPU
    • 仮想化 (Virtualization)
    • 一時記憶装置
    • メモリ保護 (Memory Protection)
    • セグメンテーション (Segmentation)
    • ページング (Paging)
    • 保護キーイング (Protection Keying)
    • ASLR (Address Space Layout Randomization)
    • 二次記憶装置
    • 仮想メモリ (Virtual Memory)
    • ファームウェア (Firmware)
    • I/Oデバイス (I/O Device)
    • オペレーティングシステム (Operating System)
    • システムカーネル (System Kernel)
    • エンタープライズセキュリティアーキテクチャ (Enterprise Security Architecture)
    • セキュリティゾーン (Security Zone)
    • ザックマンフレームワーク (Zachman Framework)
    • SABSA (Sherwood Applied Business Security Architecture)
    • TOGAF (The Open Group Architecture Framework)
    • セキュリティモデル (Security Model)
    • 状態マシンモデル (State Machine Model)
    • ラティスモデル (Lattice Model)
    • 非干渉モデル
    • マトリクスベースモデル (Matrix-base Model)
    • 情報フローモデル (Information Flow Model)
    • Bell-LaPadulla機密性モデル (Bell-LaPadulla Confidentiality Model)
    • Biba完全性モデル (Biba Integrity Model)
    • Clark-Willson完全性モデル (Clark-Willson Integrity Model)
    • Lipnerモデル (Lipner Model)
    • Brewer-Nashモデル (Brewer-Nash Model)
    • 機能要件 (Functional Requirement)
    • 非機能要件 (Non-functional requirement)
    • 保証要件
    • 評価基準
    • 認証と認定 (Certification/Accreditation)
    • 製品評価モデル
    • TCSEC (Trusted Computer System Evaluation Criteria)
    • ITSEC (Information Technology Security Evaluation Criteria)
    • ISO/IEC 15408 (コモンクライテリア)
    • プロテクションプロファイル (Protection Profile)
    • セキュリティターゲット (Security Target)
    • 評価保証レベル (EAL)

  • 情報システムセキュリティ基準に基づく制御と対策の選択

    • ISO/IEC 27001
    • ISO/IEC 27002
    • COBIT (Control Objectives for Information and Related Technology)
    • PCI DSS

  • 情報システムのセキュリティ機能の理解

    • アクセス制御 (Access Control)
    • メモリ管理 (Memory Management)
    • 処理状態 (Processing State)
    • プロセス単離 (Process Isolation)
    • データ隠蔽 (Data Encapsulation)
    • 抽象化 (Abstraction)
    • 暗号化による保護
    • ファイアウォール (Firewall)
    • 侵入防止
    • 監査 (Audit)
    • 監視 (Monitoring)
    • 仮想化 (Virtualization)

  • セキュリティのアーキテクチャ、設計、およびソリューションの要素における脆弱性の評価と軽減

    • セキュリティアーキテクチャ
    • データベースのセキュリティ
    • クライアントベース (Client-based)
    • サーバベース (Server-based)
    • メインフレーム (Mail Frame)
    • シンクライアント (Thin Client)
    • ミドルウェア (Middleware)
    • 組込みシステム (Embedded System)
    • 大規模並列データシステム
    • グリッドコンピューティング (Grit Computing)
    • クラウドコンピューティング (Cloud Computing)
    • 分散システム (Distributed System)
    • 暗号システム暗号化手法
    • 対称暗号 (Symmetric Encryption)
    • 非対称暗号 (Asymmetric Encryption)
    • ハイブリッド暗号
    • ストリーム暗号 (Stream Cipher)
    • ブロック暗号 (Block Cipher)
    • ブロック暗号モード (Block Cipher Mode)
    • 初期化ベクトル
    • 鍵 (Key)
    • 鍵長 (Key Length)
    • 換字式暗号 (Substitution Cipher)
    • 転置式暗号 (Transposition Cipher)
    • ランニングキー (Running Key)
    • メッセージ完全性制御 (Message Integrity Control)
    • DES (Data Encryption Standard)
    • 3DES (Triple-DES)
    • AES (Advanced Encryption Standard)
    • RSA (Rivest-Shamir-Adleman)
    • ディフィ-ヘルマン (Diffie-Hellman)
    • メッセージダイジェスト (Message Digest)
    • 単一障害点 (Single Point of Failure, SPOF)
    • ビッグデータ (Big Data)

  • ウェブベースシステムにおける脆弱性の評価と軽減

    • 入力確認 (Input Validation )
    • XML (Extensible Markup Language)
    • SAML (Security Assertion Markup Language)
    • OpenID
    • OWASP (Open Web Application Security Project)

  • モバイルシステムにおける脆弱性の評価と軽減

    • VPN (Virtual Private Network)
    • クライアント認証

  • 組込みデバイスおよびサイバーフィジカルシステムにおける脆弱性の評価と軽減

    • サイバーフィジカルシステム (Cyber Physical System)
    • 産業用制御システム (Industrial Control System)
    • SCADA (Supervisory Control And Data Acquisition)
    • DCS (Distributed Control System)
    • PLC (Programmable Logic Controller)

  • 暗号の適用

    • 暗号の歴史 (History of Cipher)
    • 量子暗号 (Quantum Cryptography)
    • 否認防止 (Non-repudiation)
    • 認証 (Authentication)
    • アクセス制御 (Access Control)
    • リンク暗号化
    • エンドツーエンドの暗号化
    • ハッシュ (Hash)
    • 暗号の輸出
    • 公開鍵基盤 (Public Key Infrastructure)
    • 認証局 (Certificate Authority)
    • 公開鍵 (Public Key)
    • 証明書 (Certificate)
    • 鍵管理鍵の作成と配布
    • 鍵暗号化キー
    • 鍵配布センタ (Key Distributing Center)
    • デジタル署名 (Digital Signature)
    • DSS (Data Security Standard)
    • DRM (Digital Rights Management)
    • MD5 (Message Digest Algorithm 5)
    • SHA-3
    • HAVAL (Hash of Variable Length)
    • 暗号文単独攻撃
    • 既知平文攻撃 (Known-plaintext Attack)
    • 選択暗号文攻撃
    • 頻度分析 (Frequency analysis)
    • 差分解読法
    • 線形解読法
    • 実装攻撃
    • リプレイ攻撃 (Replay Attack)
    • 代数的攻撃 (Algebraic Attack)
    • レインボー攻撃 (Rainbow Attack)
    • 誕生日攻撃 (Birthday Attack)
    • ソーシャルエンジニアリング (Social Engineering)
    • 辞書攻撃 (Dictionary Attack)
    • ブルートフォース (Brute Force)
    • リバースエンジニアリング (Reverse Engineering)

  • 施設と設備の設計に対するセキュアな原則の適用

    • 脅威の定義 (Definition of Threat)
    • ターゲットの識別
    • 脆弱性評価
    • サイト計画 (Site Plan)
    • CPTED (Crime Prevention Through Environmental Design)
    • FEMA (Federal Emergency Management Agency)

  • 施設のセキュリティの設計と実装

    • ケーブルプラント管理
    • データセンタ (Data Center)
    • ユーティリティ (Utility)
    • HVAC (Heating, Ventilation and Air Conditioning)
    • UPS (Uninterruptible Power Supply)
    • 火災検知
    • 消火装置

4 通信とネットワークセキュリティ

- セキュアなネットワーク階層モデル
- OSI参照モデル (OSI Reference Model)
- 物理層 (Physical Layer)
- データリンク層 (Data Link Layer)
- ネットワーク層 (Network Layer)
- トランスポート層 (Transport Layer)
- プレゼンテーション層 (Presentation Layer)
- アプリケーション層 (Application Layer)
- TCP/IPモデル (TCP/IP Model)
- TCP (Transmission Control Protocol)
- UDP (User Datagram Protocol)
- IP
- IPアドレス
- IPv6
- ディレクトリサービス (Directory Service)
- DNS (Domain Name System)
- LDAP (Lightweight Directory Access Protocol)
- NetBIOS
- 多層プロトコル
- IPコンバージェンス
- 収束プロトコル
- MPLS (Multi-Protocol Label Switching)
- Wi-Fi
- Bluetooth
- WiMAX
- 携帯電話通信網
- オープンシステム認証 (Open System Authentication)
- アドホックモード (Ad-hoc Mode)
- インフラストラクチャモード (Infrastructure Mode)
- WEP (Wired Equivalent Privacy)
- WPA (Wi-Fi Protected Access)
- WPA2 (Wi-Fi Protected Access 2)
- TKIP (Temporal Key Integrity Protocol)
- ルーティング (Routing)
- 中間者攻撃 (Man-in-the-Middle Attack)
- セキュリティ境界 (Security Boundary)
- ネットワーク分割 (Network Segmentation)
- デュアルホームホスト (Dual Home Host)
- 要塞ホスト (Host Hardening)
- DMZ (Demilitarized Zone)

  • ネットワークコンポーネントのセキュリティ保護

    • モデム (Modem)
    • コンセントレータ (Concentrator)
    • マルチプレクサ
    • ハブ (Hub)
    • リピータ (Repeater)
    • ブリッジ (Bridge)
    • スイッチ (Switch)
    • ルータ (Router)
    • パケットフィルタリング
    • ステートフルパケットフィルタリング (Stateful Packet Inspection)
    • 伝送メディア
    • ツイストペアケーブル (Twisted Pair Cable)
    • 同軸ケーブル
    • 光ファイバー (Optical Fiber)
    • ファイアウォール (Firewall)
    • NAT (Network Address Translation)
    • PAT (Port Address Translation)
    • プロキシ (Proxy)
    • コンテンツ配信ネットワーク

  • セキュアな通信チャネルの設計・確率

    • PBX (Private Branch eXchange)
    • ウォーダイアリング (War Dialing)
    • P2P (Point to Point)
    • IRC (Internet Relay Chat)
    • VPN (Virtual Private Network)
    • PPTP (Point-to-Point Tunneling Protocol)
    • L2TP (Layer 2 Tunneling Protocol)
    • AH (Authentication Header)
    • ESP (Encapsulating Security Payload)
    • SA (Security Association)
    • IKE (Internet Key Exchange)
    • RADIUS (Remote Authentication Dial In User Service)
    • DIAMETER
    • TACACS (Terminal Access Controller Access Control System)
    • SNMP (Simple Network Management Protocol)
    • TELNET
    • X11
    • ネットワークトポロジー (Network Topology)
    • 回線交換ネットワーク
    • パケット交換ネットワーク
    • PVC (Permanent Virtual Circuits)
    • SVC (Switched Virtual Circuits)
    • CSMA/CA
    • CSMA/CD
    • イーサネット (Ethernet)
    • トークンリング (Token Ring)
    • TLS (Transport Layer Security)
    • SSL (Secure Sockets Layer)
    • SSH (Secure Shell)
    • SSL-VPN
    • DSL (Domain-Specific Language)
    • ケーブルモデム (Cable Modem)
    • フレームリレー (Frame Relay)
    • ATM
    • SDN (Software Defined Network)
    • SDS (Software Defined Storage)
    • プライベートVLAN

  • ネットワーク攻撃の防止または軽減

    • 盗聴
    • 傍受
    • 多重防御 (Defense in Depth)
    • 多層防御 (Defense in Depth)
    • オープンリレー (Open Relay)
    • スパム (Spam)
    • ポートスキャン (Port Scanning)
    • FIN、NULLL、XMASスキャニング
    • シーケンス番号攻撃 (Sequence Number Attack)
    • IDS (Intrusion Detection System)
    • IPS (Intrusion Prevention System)
    • ティアドロップ攻撃 (Teardrop Attack)
    • オーバーラッピングフラグメント攻撃 (Overlapping Fragment Attack)
    • スマーフ攻撃 (Smurf Attack)
    • フラグル攻撃 (Fraggle Attack)
    • DDoS (Distributed Denial of Service)
    • SYNフラッディング (SYN Flooding)
    • なりすまし
    • DNS偽装 (DNS Spoofing)

5 アイデンティティとアクセスの管理

  • 資産への物理的および論理的なアクセスの制御

    • アクセス制御システム (Access Control System)
    • アクセスモード
    • 物理的アクセス制御 (Physical Access Control)
    • アクセス制限ポリシー (Access Restriction Policy)

  • 人およびデバイスの識別と認証の管理

    • 識別
    • 認証
    • 認可
    • 識別子
    • ユーザーID (User ID)
    • PIN
    • MACアドレス (MAC Address)
    • IPアドレス (IP Address)
    • RFID (Radio Frequency Identifier)
    • SID
    • アイデンティティ管理 (Identity Management)
    • 中央リポジトリ (Central Repository)
    • プロファイル管理 (Profile Management)
    • パスワード管理 (Password Management)
    • ディレクトリ管理 (Directory Management)
    • X.500
    • LDAP (Lightweight Directory Access Protocol)
    • Active Directory
    • シングルサインオン (Single Sign-On)
    • ケルベロス (Kerberos)
    • 認証の要素
    • 多要素認証
    • トークン (Token)
    • バイオメトリクス (Biometorics)
    • 説明責任 (Accountability)
    • アイデンティティ (Identity)
    • 電子認証
    • IDフェデレーション (ID Federation)
    • 相互認証
    • SAML 2.0
    • 資格情報管理 (Credential Manager)

  • サービスとしてのアイデンティティ(IDaaS)の統合

    • ID as a Service
    • アイデンティティ (Identity)
    • IAM (Identity and Access Management)
    • API

  • サードパーティのアイデンティティサービスの総合

    • ディレクトリ同期 (Directory Synchronization)
    • セキュリティトークンサービスプロバイダ (Security Token Service Provider)

  • 認可メカニズムの実装と管理

    • 役割に基づくアクセス制御 (Role-based Access Control)
    • ルールベースアクセス制御 (Rule-based Access Control)
    • 強制アクセス制御 (Mandatory Access Control)
    • 任意アクセス制御 (Discretionary Access Control)
    • 非裁量アクセス制御

  • アクセス制御攻撃の防止または軽減

    • 認証攻撃
    • アクセス制御攻撃
    • アクセス集約
    • 偵察
    • パスワードの保護

  • アイデンティティおよびアクセスのプロビジョニングにおけるライフサイクルの管理

    • ライフサイクル管理 (Life Cycle Management)
    • プロビジョニング (Provisioning)
    • レビュー (Review)
    • IDの取り消し

6 セキュリティの評価とテスト

  • 評価・テスト戦略の設計および検証

    • ワーキンググループの策定
    • 妥当性確認
    • システム設計 (System Design)
    • ソフトウェア開発 (Software Development)

  • セキュリティテストの実装

    • SANS TOP 25 Threat
    • SANS Critical Security Controls
    • ログ管理 (Log Management)
    • システムイベント (System Event)
    • 監査レコード
    • ログの保護
    • ログ分析 (Log Analysis)
    • モニタリング (Monitoring)
    • 代理トランザクション
    • 合成パフォーマンス監視
    • ウェブサイトモニタリング
    • データベースモニタリング
    • ポート監視 (Port Monitoring)
    • リアルユーザ監視 (Rial User Monitoring)
    • セキュリティソフトウェア (Security Software)
    • アンチウイルスソフトウェア (Anti Virus Software)
    • 動的テスト (Dynamic Test)
    • 静的テスト (Static Test)
    • ブラックボックステスト (Black Box Test)
    • ソフトウェア開発ライフサイクル (SDLC)
    • 静的ソースコード解析 (Static Source Code Analysis)
    • 静的バイナリコード解析 (Static Binary Code Analysis)
    • 手動コードレビュー (Manual Code Review)
    • 回帰分析 (Regression Analysis)
    • テストツール (Test Tool)
    • ユースケース (Use Case)
    • ネガティブテスト (Negative Test)
    • ミスユースケース (Miss Use Case)
    • インタフェース試験

  • セキュリティプロセスデータの収集

    • Information Security Continuous Monitoring (ISCM)
    • 評価指標
    • 測定基準
    • コンプライアンス中心のリスク管理
    • データ中心のリスク管理 (Data-centric Risk Management)

  • 内部監査および第三者監査の実施または促進

    • 米国監査基準書 (SAS) 第75号
    • SOC1
    • SOC2
    • SOC3
    • 財務報告に係る内部統制 (ICOFR)

7 セキュリティの運用

- 調査の理解、サポート
- インシデントの現場
- 有効な証拠
- ローカルの交換原理 (Locard's Exchange Principle)
- 証拠の管理の連鎖 (Chain of Custody)
- デジタルフォレンジック (Digital Forensics)
- メディア分析 (Media Analysis)
- ネットワーク分析 (Network Analysis)
- ソフトウェアの解析 (Software Analysis)
- 作成者の識別
- コンテンツ分析 (Content Analysis)
- ハードウェア/組込みデバイス解析

  • 調査タイプごとの要件の理解

    • 行動調査
    • 犯罪捜査 (Criminal Investigation)
    • 民事調査
    • eディスカバリ (e-Discovery)
    • EDRM

  • ログ記録と監視活動の実施

    • IDS (Intrusion Detection System)
    • IPS (Intrusion Prevention System)
    • SIEM (Security Information and Event Management)
    • 出口監視
    • データ漏洩 / 損失防止 (DLP)
    • データの分類、位置、および経路
    • ステガノグラフィ (Steganography)
    • 電子透かし (Digital Watermark)

  • 構成管理によるソースのプロビジョニングの確保

    • 資産インベントリ (Asset Inventory)
    • ハードウェアインベントリ (Hardware Inventory)
    • ソフトウェアインベントリ (Software Inventory)
    • 構成管理 (Configuration Management)
    • 構成管理のCMMI (Configuration Management)

  • 基本的なセキュリティ運用概念の理解、適用

    • セキュアな運用管理
    • 信頼できるパス
    • フェイルセキュア (Fail Secure)
    • 知る必要性 (Need to Know)
    • 最小権限 (Least Privilege)
    • 職務の分離と責任
    • 権限のモニタリング
    • モニタリング技術
    • グループとロールによるアカウントの管理
    • 情報ライフサイクル (Information Life Cycle)
    • 情報オーナー (Information Owner)
    • 分類 (Categorization)
    • カテゴリ化 (Categorization)
    • 分類とカテゴリ化のシステム
    • 保存スケジュール
    • サービスレベル契約 (SLA)

  • リソース保護技術の採用

    • 媒体管理
    • クラウドストレージ (Cloud Storage)
    • 仮想化ストレージ (Virtualization Storage)
    • ログ管理 (Log Management)
    • データの残留性

  • インシデント対応の実施

    • インシデント対応 (Incident Response)
    • トリアージ (Triage)
    • 封じ込め
    • インシデント検出 (Incident Detection)
    • 攻撃検出 (Attack Detection)
    • 根本原因分析 (RCA)

  • 予防措置の運用および維持

    • ファイアウォール (Firewall)
    • IPSとIDSの管理 (IPS/IDS Management)
    • ハニーポット、ハニーネット (Honeypot/Honeynet)
    • ホスト型 (Host-based)
    • ネットワーク型 (Network-based)
    • 異常検知 (Anomaly Detection)
    • ステートフルマッチング型検知 (Stateful matching-based Detection)
    • 統計的アノマリ検知 (Statistical Anomaly Detection)
    • プロトコル異常検知 (Protocol Anomaly Detection)
    • トラフィックアノマリ検知 (Traffic Anomaly Detection)
    • 侵入対応 (Intrusion Response)

  • パッチおよび脆弱性管理の実装とサポート

    • パッチ管理プログラム (Patch Management System)
    • 脆弱性管理システム (Vulnerability Management System)
    • 変更管理プロセスへの関与と理解
    • 変更管理プロセス (Change Management Process)
    • 文書化 (Documentation)

  • 復旧戦略の実装

    • バックアップストレージ戦略 (Backup Storage Strategy)
    • 完全バックアップ (Full Backup)
    • 増分バックアップ (Incremental Backup)
    • 差分バックアップ (differential Backup)
    • 復旧サイト戦略 (Recovery Site Strategy)
    • コールドサイト (Cold Site)
    • 外部ウォームサイト
    • 内部ウォームサイト
    • ホットサイト (Hot Site)
    • モバイルサイト (Mobile Site)
    • 処理契約
    • 相互リンク協定
    • アウトソーシング (Outsourcing)
    • システムレジリエンス (System Resilience)
    • 高可用性 (High Availability)
    • サービス品質 (Quality of Service)
    • フォールトトレランス (Fault Tolerance)
    • クラスタリング (Clustering)
    • ドライブ装置およびデータストレージ装置 (Drive Device and Data Storage Device)
    • SAN (Storage Area Network)
    • NAS (Network Attached Storage)
    • JBOD (Just a Bunch Of Disks)
    • RAID (1,2,3,4,5,6,1+0,0+1,15)
    • バックアップおよび復旧システム
    • 復元のための人員配置

  • 災害復旧プロセスの実装

    • 災害復旧 (Disaster Recovery)
    • 緊急事態管理チーム (Emergency Management Team)

  • 災害復旧計画のテスト

    • テスト戦略 (Test Strategy)
    • テストポリシー (Test Policy)
    • デスクチェック (Desk Check)
    • 構造化ウォークスルーテスト (Structured Walk Trough Test)
    • シミュレーションテスト (Simulation Test)
    • パラレルテスト (Parallel Test)
    • 完全な中断 / 本番テスト
    • 計画の更新と維持管理

  • 事業継続計画の演習への参加

    • 事業継続計画 (Business Continuity Plan)
    • 緊急事態管理機関 (EMO)
    • 役割と責任 (Role/Responsibility)
    • 事業継続プランナ (Business Continuity Planner)

  • 物理的セキュリティの実装と管理

    • 物理的システム
    • 多重防護
    • 境界 (Boundary)
    • 境界アクセス制御 (Boundary Access Control)
    • スマートカード (Smart Card)
    • 防犯カメラ (Security Camera)
    • 赤外線センサ (Infrared Sensor)
    • マイクロ波センサ (Microwave Sensor)
    • 照明モニタ
    • 警報 (Alert)
    • エスコート訪問者管理
    • ドア (Door)
    • 窓鍵 (ロック)

  • 従業員の安全への関与

    • 出張中のセキュリティ
    • 強要、脅迫によるリスク

8 ソフトウェア開発セキュリティ

- ソフトウェア開発ライフサイクル (SDLC) におけるセキュリティの理解と応用
- 開発ライフサイクル手法 (Development Life Cycle Approach)
- 機能要件の定義 (Definition of Functional Requirement)
- システム設計仕様 (System Design Specification)
- 開発と実装 (Development/Implementation)
- 受け入れ
- テスト及び評価の制御
- 認証と認定
- 本番環境への移行
- 成熟度モデル (Maturity Model)
- ソフトウェア用能力成熟度モデル
- 国際標準化機構 (International Standard Organization)
- 運用および保守
- 統合生産プロセス開発
- DevOps
- 変更管理 (Change Management)
- 統合製品チーム (IPT)

  • 開発環境におけるセキュリティ管理策の実行

    • ソフトウェア開発手法 (Software Development Method)
    • ウォーターフォール (Waterfall)
    • 反復的開発 (Iterative Development)
    • データベースとデータウェアハウス環境 (Database and Data Warehouse environment)
    • DBMS (DataBase Management System)
    • データベースモデル (Database Model)
    • トランザクションの持続性 (Transaction durability)
    • フォールトトレランス (Fault Tolerance)
    • 階層型データベース管理モデル (Hierarchical Database Model)
    • ネットワークデータベース管理モデル (Network Database Management Model)
    • リレーショナルデータベース管理モデル (Relational Database Management Model)
    • オブジェクト指向データベースモデル (Object-oriented Database Model)
    • SQL (Structured English Query Language)
    • スキーマ (Schema)
    • テーブル (Table)
    • ビュー (View)
    • データベースインターフェース言語 (Database Interface Language)
    • ODBS (Open Database Connectivity)
    • JDBC (Java DataBase Connectivity)
    • XML (Extensible Markup Language)
    • OLE DB (Object Linking and Embedding, Database)
    • アプリケーションプログラミングインタフェース (Application Programming Interface)
    • ADO (ActiveX Data Objects)
    • メタデータ (Meta Data)
    • オンライン処理法 (OLAP)
    • DBMS制御 (DBMS Control)
    • ロック制御機構 (Rock Control Mechanism)
    • ACIDテスト (ACID Test)
    • 原子性 (Atomicity)
    • 一貫性 (Consistency)
    • 分離性 (Isolation)
    • 持続性 (Durability)
    • ナレッジ管理データベースからの知識発見 (KDD) (Knowledge Discovery form Knowledge Management Database)
    • ウェブアプリケーション環境 (Web Application Environment)
    • OWASP
    • ソフトウェア環境のセキュリティ (Software Environment Security)
    • JavaScript
    • Java
    • オブジェクト指向プログラミング (Object-oriented Programming)
    • カプセル化 (Encapsulation)
    • 継承 (Inheritance)
    • ポリモーフィズム (Polymorphism)
    • ポリインスタンス化 (Polyinstance)
    • オブジェクト指向セキュリティ (Object-Oriented Security)
    • 分散オブジェクト指向システム
    • CORBA (Common Object Request Broker Architecture)
    • 共通プログラミング言語ライブラリ
    • ソーシャルエンジニアリング (Social Engineering)
    • オーバーフロー (Over Flow)
    • メモリ再利用 (オブジェクト再利用)
    • 実行可能なコンテンツ / モバイルコード (Executable Content/Mobile Code)
    • TOC/TOU (Time of Check/Time of Use)
    • トラップドア / バックドア
    • シチズンプログラマ (Citizen Programmer)
    • 漏洩経路
    • 不正な形式の入力攻撃 (Invalid Format Input Attack)
    • 未利用時間における攻撃
    • ソースコード解析ツール (Source Code Analysis Tool)
    • マルウェア (Malware)
    • ウイルス (Virus)
    • ファイル感染ウイルス (File Virus)
    • ブートセクタ感染ウイルス (Boot sector Virus)
    • システム感染ウイルス (System Virus)
    • コンパニオンウイルス (Companion Virus)
    • 電子メールウイルス (Electric Mail Virus)
    • 複合感染型
    • マクロウイルス (Macro Virus)
    • スクリプトウイルス (Script Virus)
    • ワーム (Warm)
    • トロイの木馬 (Trojan Horse)
    • DDoS (Distributed Denial of Service)
    • ゾンビ (Zombie)
    • 論理爆弾 (Logic Bomb)
    • ボットネット (Botnet)
    • スパイウェアとアドウェア (Spyware/Adware)
    • ソフトウェア保護メカニズム (Software Protection Mechanism)
    • 高信頼コンピューティング基盤 (TCB)
    • 参照モニタ (リファレンスモニタ)
    • セキュリティカーネル (Security Kernel)
    • プロセッサの特権状態
    • プロセス単離 (Process Isolation)
    • メモリ保護 (Memory Protection)
    • 割り込み (Interrupt)
    • オブジェクトのカプセル化 (Object Encapsulation)
    • 共有リソースの時分割多重化
    • 命名上の区分
    • 仮想メモリのマッピング (Mapping of Virtual Memory)
    • バックアップ制御 (Backup Control)
    • ソフトウェアフォレンジック (Software Forensics)
    • モバイルコード管理 (Mobile Code Management)
    • サンドボックス (Sandbox)
    • セキュアなコーディングの一面としての構成管理
    • 構成管理 (Configuration Management)
    • コードリポジトリのセキュリティ (Code Repository Security)
    • GitHub
    • アプリケーションプログラミングインタフェースのセキュリティ
    • REST (Representational State Transfer)
    • RESTful API
    • ベーシック認証 (Basic Authentication)
    • OAuth
    • ソフトウェア保護の有効性の評価
    • 変更の監査とログ記録
    • 認証および認定
    • NIST SP800-37
    • リスクマネジメントフレームワーク (Risk Management Framework)
    • リスクの分析と低減 (Risk Analysis and Mitigation)
    • 原因と影響 (Cause and effect)
    • リスク特定 (Risk Identification)
    • リスクのドキュメント (Risk Document)
    • リスク監視 (Risk Monitoring)
    • パッチ管理 (Patch Management)
    • テストと検証 (Test and Verification)
    • コード署名 (Codesigning)
    • 回帰テスト (Regression Test)
    • 受け入れテスト (Acceptance Test)

  • ソフトウェア調達上のセキュリティの評価

    • SwAフェーズ (Software Assurance Phase)
    • 計画フェーズ (Plan Phase)
    • 契約フェーズ (Contract Phase)
    • 監視と受け入れフェーズ (Monitoring and Acceptance Phase)
    • 継続
10
8
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
10
8