CISSPを勉強した際の自分用のメモです。参考程度にとどめてください<(*_ _)>

関連記事はこちら⬇︎

受験記録
ドメイン1
ドメイン2
ドメイン3
ドメイン4
ドメイン6
ドメイン7
ドメイン8

• アクセス制御の基本用語
  • 認証(Authentication)
  • 認可(Authorization)
  • Accounting
  • 識別
  • 資格（Entitlement）
• アクセス管理の原則
  • 最小権限の原則(Principle of Least Privilege, PoLP)
  • 特権クリープ（集約）
  • 2人制御
• 認証(Authentication)技術
  • タイプ1 Something you know
  • タイプ2 Something you have
  • タイプ3 Something you are
  • 生体認証関連用語
• アクセスコントロールの技術
  • DAC(Discretionary Access Control)
  • MAC(Mandatory Access Control)
  • ABAC(Attribute Based Access Control)
  • RBAC(Role Based Access Control)
  • CDAC(Content Dependent Access Control)
  • LBAC(Lattice Based Access Control)
  • ケイパビリティテーブル（機能テーブル）
  • アクセス制御マトリックス
• 集中アクセスコントロール
  • RADIUS(Remote Authentication Dial In User Service)
  • TACACS+
  • LDAP
• SSO関連
  • ケルベロス認証
  • SAML
  • OAuth

 

アクセス制御の基本用語

認証(Authentication)

ユーザーが本人であるかどうか　IDの真実性を証明するプロセス

認可(Authorization)

ユーザーが特定のリソースにアクセス権を持っているかを検証するプロセス。アクセス制御リスト（ACL）は、認可に利用される技術の一つ

Accounting

認証に成功したユーザーの情報を収集するプロセス

識別

サブジェクトによるアイデンティティの要求のプロセス

資格（Entitlement）

アカウントを最初に設定する時にユーザーに与えられる権限のこと

アクセス管理の原則

最小権限の原則(Principle of Least Privilege, PoLP)

職務の遂行に必要な権限のみを割り当てること

特権クリープ（集約）

時間の経過とともに権限が蓄積されること。最小権限の原則に違反する状態になっていることがある

2人制御

認証(Authentication)技術

タイプ1 Something you know

知識情報。パスワード、PIN、秘密の質問（あなたのペットの名前は？）が該当する。

タイプ2 Something you have

所持情報。カード、証明書、ワンタイムパスワードが該当する。

タイプ3 Something you are

生体情報。音声パターン、網膜、静脈などが該当する

konomamaowaru.hatenablog.jp

生体認証関連用語

• FRR（False Rejection Rate）ー本人拒否率。タイプIエラーとも呼ばれる
• FAR（False Acceptance Rate）ー他人受け入れ率。タイプIIエラーとも呼ばれる
• 他人受入率(FAR)をゼロに近づけると、本人拒否率(FRR)は高くなる=非常に厳しいセキュリティを実現できる
• CER（Cross Over Error Rate）ーFARとFRRが交差するポイントのこと
• 参照テンプレート（プロファイル）ー保存されたサンプルのこと

アクセスコントロールの技術

DAC(Discretionary Access Control)

任意アクセス制御方式。オブジェクトの所有者がメンバーの属性ごとにアクセス権を決めるモデル。MACより拡張性が高い

MAC(Mandatory Access Control)

強制アクセス制御方式。オブジェクトの所有者の意図に関わらず、 システムにより一定のアクセス制御を強制するモデル。DACより安全性は高いが、拡張性に欠ける

ABAC(Attribute Based Access Control)

属性ベースのアクセス制御

RBAC(Role Based Access Control)

ユーザのロールに応じてアクセスを制御する方式

CDAC(Content Dependent Access Control)

文脈に依存した制御。時間ベースの制御はCDACの一例

LBAC(Lattice Based Access Control)

強制アクセス制御方式ベースのアクセスコントロール。最小上限と最大下限を定義する

ケイパビリティテーブル（機能テーブル）

サブジェクトに割り当てられた権限をリスト化した表

アクセス制御マトリックス

オブジェクト、サブジェクト、およびそれらの権限をリスト化したテーブルのこと

集中アクセスコントロール

ユーザID、権限、許可を1箇所でコントロールするシステムのこと

RADIUS(Remote Authentication Dial In User Service)

• ネットワーク上でユーザー認証を実現するプロトコルで、ネットワークデバイスに使用することが多い
• デフォルトではUDPが使用され、パスワード以外は暗号化されない
• TLSを利用することも可能
• 後継としてDiameterが開発された

TACACS+

• ネットワークへのアクセス制御に用いられるプロトコルの1つで、前身のTACACS、XTACACSの利点を併せ持つ
• 2020年にRFC 8907として仕様がまとめられた
• RADIUSと異なり、TCPを使用するため伝送データ全体が暗号化される

LDAP

• SSL/TLS経由のLDAPを利用する際はポート636が使われる（セキュアでない場合はポート389）
• グローバルカタログとは、LDAP内のデータベースのオブジェクトのうち、よく使われる属性のコピーを集めたもの。セキュアグローバルカタログのポートは3269
• OpenLDAPはオープンソースのディレクトリサービス
• SASL(Simple Authentication and Security Layer)では幅広い認証方法がサポートされており、セキュアな認証が可能である

SSO関連

ケルベロス認証

• チケットを発行し、ネットワーク経由でユーザを認証する仕組み
• KDC=Key Distribution Center / AS=Authentication Service / TGS=Ticket Granting Service / TGT=TicketGrantingTicket
• ユーザは、AESを用いてユーザ名とパスワードを暗号化してからKDCに情報を送る
• KDCは単一障害ポイントとなる

SAML

• 異なるインターネットドメイン間でユーザ認証を行う仕組み
• セキュリティモードはないため、必要な場合はTLSとディジタル署名でセキュリティを確保する

OAuth

• ユーザの許可の下、複数のWebサービス間で情報を共有する仕組み