CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

2019-01-01から1年間の記事一覧

クレジットカード関連の不正行為ついて

<クレジットカード関連の不正行為について> 今回は日々ニュースなどで騒がれまくっているクレジットカード関連の不正行為についてご紹介します。キャッシュレス元年などと言われている今日この頃ですが、当然のごとくクレジットカードによる決済もキャッシ…

FW、IPS、WAFの違い

<FW、IPS、WAFの違い> 皆様はこの各機器・機能の差が良く分からなくなることはないでしょうか? 僕はセキュリティ業界で日々でお仕事をする立場にもかかわらず、あります!(お恥ずかしい限りです・・・) そこで、今回はついつい忘れてしまいそうになる「…

クレデンシャル・スタッフィング

<クレデンシャル・スタッフィング> 皆様はこの言葉をご存知でしたでしょうか?お恥ずかしながら僕は最近知りました(笑) この言葉について、自信の備忘録も兼ねて簡単にまとめたいと思います! 特にセールスの方などが、セールスネタとして使える機会がくる…

雇用前・雇用中・雇用後のセキュリティ

<雇用前・雇用中・雇用後のセキュリティ> この要素は情報処理安全確保支援士試験・CISSP試験共に重要なのでご紹介させて頂きます!ちなみに、個人的には前に書かせて頂いた「バイトテロ」みたいな事象への対応策としてもとーーっても有効と考えています。 …

CISSP用語解説③<ウイルス・アクセス制御など>

<CISSP用語解説③ウイルス・アクセス制御など編> CISSP試験用に用語をまとめています!個人的に理解すべきだと考える用語は赤字にしていますので、試験前までには用語の意味を説明できるようになっておいてください! 用語 意味 備考 エキスパートシステム …

CISSP用語解説②<データベース・プログラミング>

<CISSP用語解説②データベース・プログラミング編> CISSP試験用に用語をまとめています!個人的に理解すべきだと考える用語は赤字にしていますので、試験前までには用語の意味を説明できるようになっておいてください! 用語 意味 備考 反復型開発 サイクル…

システム・アプリの開発プロセス

<システム・アプリの開発プロセス> CISSP試験でも非常に重要な要素となります。様々な開発ライフサイクルがありますが、下記の流れは似ているところがあり、大げさに言えば普遍です! 実際の業務でも何かのシステムとかを開発する際にセキュリティに関する…

ブロードキャストドメインとコリジョンドメイン~実践向け~

<ブロードキャストドメインとコリジョンドメイン> 今回は実際のNW構築などの現場で役に立つであろうテーマについて書いてみようと思います。僕自身、何度勉強してもブロードキャストドメインとコリジョンドメインのイメージが混同してしまうので、備忘録と…

認証系知識~SAML~

<SAML>Security Assertion Markup Language ざっくりと、OASISという団体が策定した「異なるインターネットドメイン間でユーザー認証を行う」ためのXMLベースの世界標準規格です! SAMLはシングルサインオン(=SSO)を実現するためには必要不可欠な技術であ…

DDoS攻撃にどう対応すべきか?

<DDoS攻撃にどう対応すべきか?> 今更感のある今回のテーマですが、ある意味セキュリティの世界では永遠のテーマの一つなのかもしれません。 今回はDDoS攻撃の特徴や対策の方法について、「シンプルイズベスト」をモットーに紹介できればと思います。 まず…

DNS基本編②

<DNS基本編②> <DNS基本編①>(https://blog.hatena.ne.jp/CyberSEALs/cyberseals.hatenablog.com/edit?entry=17680117127159744070)に引き続き、インターネットの最重要要素といっても過言ではない、「DNS」について書いていきます! さて、前回は「DNSっ…

DNS基本編①

<DNS基本編①> 今回はインターネットの最重要要素といっても過言ではない、「DNS」について書いていきます!といっても奥が深いので、数回に分けてご紹介していこうと思います。✌✌ さて、基本的なところから行きますが、「DNS」ってなんでしょうか? 以下、…

CAブラウザフォーラムとは?

<CAブラウザフォーラムとは?> 今回はこちらをテーマに記事を書いていきたいと思います。 皆さんはCAブラウザフォーラムって知っていましたか?僕はお仕事柄、非常によく聞くワードなのですが、知らない方も多いかもしれません。 一言でいえば、 「電子証…

CVSSを分かりやすく!【追記】

<CVSSを分かりやすく> IT業界、その中でも特にセキュリティ関連のお仕事をされている方は一度は聞いたことがあるであろう「CVSS」。 今回はこのCVSSについて、シンプルイズベストをもっとーに紹介致します。 まず最初に以下を覚えてください(^^)/ ・CVSS=…

暗号化の強度を上げればセキュアと言えるのか?

<暗号化の強度を上げればセキュアと言えるのか?> 今回はこちらのテーマについて、書いていこうと思います。CISSP等の試験向けではなく、営業職の方やコンサルティング職の方の考え方やネタとして活用頂ければと思っていますm(__)m さて、皆様は今回のテー…

CPTED

<CPTED> セキュリティハードウェア、心理学、環境設計で犯罪の発生を予防する CPTEDは、CISSP試験では「物理セキュリティ」関連で非常に重要な要素となります。CPTEDの中でも超重要な要素を以下で必ず覚えておきましょう! ・【領域性(敷地強化)】:範囲を…

CISSP用語解説①<データベース・プログラミング>

<CISSP用語解説①データベース・プログラミング編> CISSP試験用に用語をまとめています!個人的に理解すべきだと考える用語は赤字にしていますので、試験前までには用語の意味を説明できるようになっておいてください! 用語 意味 DBMS アクセス制御、デー…

ブラック&ホワイトボックス

<ブラック&ホワイトボックス> CISSP試験用にそれぞれの特徴をまとめてみました!事前の学習からテスト直前の頭の整理までご活用いただければ幸いです! 尚、共にシステム開発時に必要な要素となり、CISSPだけでなく情報処理安全確保支援士試験においても…

<ゼロトラスト・セキュリティ①~ID認証プロキシ(IAP)~>

<ゼロトラスト・セキュリティ①~ID認証プロキシ(IAP)~> 今回は既に時遅し感はありますが、今後より一般的になってくるであろう【ゼロトラスト・セキュリティ】を3部に分けてご紹介していこうと思います! 第一弾は<ゼロトラスト・セキュリティ①~ID認証…

CISSP受験をされる方へ!

<CISSP受験をされる方へ> CISSP試験をこれから受験される皆様の力になれるよう、CISSP試験受験に伴い締結するNDAの内容に反しない範囲で情報を公開します!!(※このNDAで試験問題の公開はNGとなっているんです) 「試験前の僕の知識レベル」 ・情報処理安…

施設立地の要素

<施設立地の要素> CISSP試験的に覚えておく必要があるのは、重要なデータを扱う施設の立地を決めるための要素についてです!データセンターやアーカイブ保管庫などをイメージすると良いかと思います。 以下に重要な要素を「プラス要素」「マイナス要素」で…

CISSP試験概要のまとめ!<合格したらどうすればよいの?>

めでたく試験に合格された皆様!まずはおめでとうございます! 早速ですが、合格後に必要となる認定手続きについてご紹介します!先にご案内させて頂きますが、何か困ったことなどがありましたらお気軽にお問い合わせくださいね!( ´艸`) 【認定手続】 CISS…

CISSP試験概要のまとめ!<試験を受験するためにどうすればよいの?>

果敢にも難関試験のCISSP試験に臨まれる皆様。合格を心よりお祈り申し上げると共に、試験の概要についてご紹介します! 【試験概要】 受験方法:Computer Based Testing(CBT) 出題形式:250問(日本語・英語併記)、四者択一 試験時間:6時間 【申し込み手…

啓発・トレーニング・教育

<啓発・トレーニング・教育> CISSP試験的に確実に覚えておく必要のある3兄弟です!以下の表を暗記してください! 啓発 トレーニング 教育 目標 認識させ記憶させる スキルを習得させる ちゃんと理解させる 手段 ・ポスター ・ビデオ ・ケーススタディ ・ハ…

コモンクライテリア

<コモンクライテリア> ITに関連した様々な製品・サービスのセキュリティレベルを評価する国際的なフレームワーク CISSP試験的には「コモンクライテリア=ISO/IEC15408」というの必須知識ですね! また、重要な要素として以下も必ず覚えておきましょう! ・…

「損失額を減らすためのサイバーセキュリティのKPI モデル」(試論)のまとめ

「損失額を減らすためのサイバーセキュリティのKPI モデル」(試論) 皆様はご存知でしょうか? これは、一般社団法人 日本サイバーセキュリティ・イノベーション委員会(JCIC)から公表された「組織のセキュリティレベルを評価するためのKPI」といった具合の…

バイトテロをCISSP的に考えてみる③ 【②個人ではなく法人若しくは組織の問題である】

【②個人ではなく法人若しくは組織の問題である】 これはあくまで個人的な見解を多分に含ますが、バイトテロが起きるのは「若い世代のモラルや常識が欠落していること!」「スマホ世代はネット社会での責任について理解が甘い!」みたいな論調を全否定します…

バイトテロをCISSP的に考えてみる② 【①経営課題として対処すべき明確なリスクである】

【①経営課題として対処すべき明確なリスクである】 はじめに、セキュリティという言葉には、「組織が継続的に安定した利益を創出し続けられる」ようになることを目標としている側面があります。 CISSP試験でも「費用対効果」の低い対策はやる意味がなく、「…

バイトテロをCISSP的に考えてみる①

<バイトテロ> アルバイトの従業員などが、勤務先の商品などを悪ふざけして使う様子などを撮影し、SNSに投稿して炎上する現象(バイトテロの起源は「2007年のテラ豚丼事件」だそうです。) 皆様もニュースなどで聞いたことがあると思います。 ちなみに、「バ…

完全性

<完全性>Integrity ある情報やプロセスが「故意」「誤り」に関係なく「意図しない」状態に変更ができないように、情報を保護することです。CISSP試験的には「改ざん」「バックアップ」といった要素と深い関係にあるというこを覚えておいてください。他の要…