 |
≫ |
|
|
|
|
|
|
|
|
|
| |
|
このようなアクセス制御の各構成要素を理解するには、基本書を読んで、例題を解くことが有効です。参考までに例題を見てみたいと思います。
以下の例題は試験対策サイト  (オリジナルは英文)から、筆者が再構成して出題しています。問題を経るごとに、徐々に難易度を上げていますので試してみて下さい。
(問題1) 次のアクセスモデルで、従業員の転職率が高い会社にとって一番相応しいのはどれか?
A. 強制アクセス制御
B. 役割に基づくアクセス制御
C. ラティスベースのアクセス制御
D. 任意アクセス制御 |
|
*解説
| A. |
強制アクセス制御(MAC)は、コンピュータを不正な利用から守るため、ユーザ(サブジェクト)はプロセス、ファイル、システムデバイスといったリソース(オブジェクト)へアクセスする権限を全て自由に制御できず、管理者から一定の強制を受けるモデルです。MACは、政府や軍の情報のような機密データを扱う多重レベルシステムで採用されます。 |
| B. |
役割に基づくアクセス制御(RBAC)とは、組織的・機能的な役割に基づいて、サブジェクトのグループ化を行うもので、アクセス権と権限の管理を大幅に単純化します。 |
| C. |
ラティス(束)ベースのアクセス制御とは、MACを適用する技術のひとつで、複数のオブジェクトや複数のサブジェクトが関わる複雑なアクセス制御に使用されるモデルです。ラティス(束)とは、オブジェクトとサブジェクトの組合せの集合から、アクセスの上限と下限を定義する数学的構造をいいます。 |
| D. |
任意アクセス制御(DAC)は、ユーザに認められたリソースへのアクセスはユーザに全て委ねられる恣意的なシステム制御で、UNIXやWindowsでの標準的なセキュリティモデルです。 |
会社での利用という点から、DACもしくはRBACのいずれかということになります。転職率が高いということは、管理者のユーザ設定の頻度が高いことから、RBACがより相応しいといえるでしょう。
ただし、情報システム毎に認証システムが異なり、また、実際の業務の権限とシステム上のアクセス権限が一致していない等の理由のため、実際にはRBACによるシステムを構築しているケースはまだ日本では少ないと考えられます。このことについては、内部統制の観点からの問題点が指摘されております(後述「内部統制とアクセス制御」へ)。
*回答 B
(問題 2) パスフレーズは、
A. システムによって、新しいパスフレーズに変換される。
B. システムによって、仮想パスワードに変換される。
C. 暗号化技術によって変換され、新しいパスフレーズが作成される。
D. 永久に使用されるシステムによって実パスワードに変換される。 |
|
*解説
パスフレーズは、パスワードの文字数が長くなったものです。ユーザがパスフレーズをアプリケーションに入力すると、アプリケーションにより、仮想パスワードに変換されます。
*回答 B
(問題 3) ケルベロス(Kerberos)は、次のどの暗号に依存するか?
A. 公開鍵暗号
B. 秘密鍵暗号
C. エル・ガマル(El Gamal)暗号
D. ブローフィッシュ(Blowfish)暗号 |
|
*解説
Windows2000やMac OS Xで採用されているケルベロスは、共通(秘密)鍵暗号によって暗号化されます。
*回答 B
(問題4) より強力なパスワード、より簡単なパスワード管理、より早いリソースへのアクセスを実現する利点をもつのは次のうち、どれか?
A. スマートカード
B. シングルサインオン(SSO)
C. ケルベロス
D. PKI |
|
*解説
SSOは、ユーザが一度認証を受けるだけで、許可されているすべての機能を利用できるようになるシステムです。
*回答 B
(問題5) 次のうちで、IDS(Intrusion Detection System)(*1)の補足物でないのはどれか?
A. ハニーポット
B. ファイヤウォール
C. padded cell
D. ファイル整合性チェッカー |
|
*解説
| A. |
ハニーポットは、クラッカーの侵入手法などを調査するために、わざと侵入しやすいよう設定されたサーバやネットワーク機器のことです。 |
| C. |
Padded cellは、元々は「けが防止用クッションが装備された個室」のようなものですが、IDSが検知した攻撃者を特定されるために用意された擬似環境です。 |
| D. |
ファイル整合性チェッカーは、チェックサムやメッセージダイジェストにより、重要なファイルに権限のない変更がされたかどうかを検知するものです。 |
A、C、Dはいずれも、侵入検知でIDSを補足しうるものといえます。
*回答 B
(*1) IDS・・・通信回線を監視し、ネットワーク への侵入を検知して管理者に通報するシステム。
いかがでしたでしょうか?
試験対策サイトに掲載されている問題は、世界中のCISSP資格保有者がボランティアで作成し、これから資格取得をめざす方向けに日々更新されています。CBKは各分野で必要とされる知識を体系的に網羅したものなので、例題を解いて学習することで知識の確認をすることができます。 |
|
|
|
|
|
|
| |
|
最近のIT業界で最も注目を集めているトピックスに、日本版SOX法対策、内部統制などがあげられます。
内部統制で参考となるのは、米国 SOX法のPCAOB(米公開会社監視委員会)監査基準です。PCAOBによると、IT全般統制の評価及び監査は、詳細なリスク項目における統制内容を、証拠とともに明確にしなければならないとされます。
多くの企業では、これらのリスク項目として、COBIT(Control Objectives for Information and related Technology)が参照されています。COBITは、米情報システムコントロール協会(ISACA)などが提唱する内部統制目標です。
アクセス制御についてみると、COBIT の最新バージョン4.0「Deliver & Support 5: Ensure Systems Security」にて、リスク項目として規定されています。例えば、DS5.3「Identity Management(ID管理)」では、共有IDの利用禁止、RBAC(役割に基づくアクセス制御)、ID情報の集中管理、職務の分離などが規定されています。
このように、RBACもCOBITのリスク項目として、内部統制には必要と考えられます。RBACを導入するには、全社的システムの見直しといった課題もあるかもしれません。
さらに、同5.4「User Account Management(ユーザアカウント管理)」では、プロセスの文書化を強く推奨しており、同5.5「Security Testing, Surveillance and Monitoring(セキュリティテスト、監視、モニタリング)」では、ログ取得と監視をあげています。
日本におけるITガバナンスの実践という点においても、充分に参考にできる要素だと思います。 |
|
|
|
|
|
|
| |
|
「世界で認められたセキュリティ専門家資格『CISSP』とは」として、3回に分けて、CISSPのご紹介、学習方法、そして、具体的な内容について述べてまいりました。特に、アクセス制御については、法人のお客様にとっては重要な構成要素を多く含むため、重点を置いて、ご説明いたしました。
情報セキュリティへの関心事やトピックスは、絶えず様々な議論がされています。こうした状況に柔軟に対応するには、基本知識があるのみならず、セキュリティ専門家としての考え方ができることが必要ではないでしょうか。
この記事を機会に、読者の皆様から新たなCISSP取得者が生まれ、組織としてCISSPへの関心を高めていただき、ひいては情報セキュリティ分野をリードする人材が輩出されることを切に願っております。ありがとうございました。
筆者: ソフトウェア統括本部 ソフトウェアマーケティング部 星野敏彦 CISSP |
|
|
|
|
(1/5) |
|
 |
|
|
| [1分アンケート] |
|
|
|
|
|
|
| |
 |
|
|
|
|
お聞かせください!あなたの感想。
抽選で3名様に「iPAQ」差し上げます!
締切:アンケートは終了しました。 |
|
|
|
|
|
|
|
|
|
|
|
|
印刷用画面へ
