<CISSP試験でも重要!【セキュリティモデル】を完璧にするシリーズ①~準備編~>
今回ですが、最近お仕事の中でもこのような知識が必要だな~と思った場面があったので、シリーズでいくつかの概念についてご紹介をしていこうと思います!
尚、【セキュリティモデル】という要素はCISSP試験でも非常に重要であり、これに関連した知識は試験の点数に大きく関係しますので、テスト的に重要なところも漏れなくご紹介していこうと思います!!
さて、第一回目は準備編となるため、【セキュリティモデル】とはそもそも何か?という点についてご紹介をしていこうと思います!準備編以降は具体的なセキュリティモデルの種類をご紹介していく予定ですが、準備編での基礎知識が前提になってくることもあるので、是非覚えてください~~(^^♪
・セキュリティモデルとは?
→一言でいえば、頑張って決めたセキュリティポリシーを具体期に実行していくための方法論。だと考えればOKです。
例えば、セキュリティポリシーで以下のようなポリシーを定めたとします。
「機密性の高い情報は必要最低限の人しか閲覧できない」
そして、これを実際に、
「Aさん(サブジェクト)がBファイル(オブジェクト)を閲覧する」
という現実のシーンで遵守しようとする場合に、
【具体的にどのようなルールで閲覧の可否を決定するのか?】が【セキュリティモデル】になってきます。
※ちなみに、CISSP試験の観点でもセキュリティモデルとは何か?ということは押さえておく必要がありますが、テスト対策としては上記のイメージがついていれば問題ないです。
その上で、次回以降は以下のモデルについてご紹介をしていきます。
- 状態マシンモデル
- Bell-Lapadulaモデル
- Biba
- Clark-Wilson
- 情報フローモデル
- 不干渉モデル
- ラティスモデル
- Brewer-Nashモデル
- グラハム・デニングモデル
- Harison-Ruzzo-Ulmanモデル
「どんだけモデルがあんだよ」と思われた方、その通りです。僕も最初はそう思いました(笑)
ですので、僕なりに重要なポイントを絞りながら、CISSP試験的な要素も考慮してシリーズでご紹介をしていこうと思います!僕自身、CISSP試験時にこの全てを理解していたわけでは無いので、これから試験に臨まれる方もポイントだけ押さえてもらえればと思います!!
最後にオマケですが、、、
流行り言葉の「ゼロトラスト(アーキテクチャ)」も、実は一つのセキュリティモデルでしかなく、上述のセキュリティモデルを学習していくと、「なんとなくOOモデルっぽいな~」とか「これはXXモデルに似ているな~」みたいなイメージが湧くようになってくるかと思います。このように、【セキュリティモデル】をしっかりと押さえて頂くと、仮に新しそうなセキュリティ概念や流行り言葉が出てきても、その本質が何なのかを理解しやすくなると僕は思っています!そして、本質が分かれば言葉に騙されず、本当にそのような仕組み・サービスが必要のなのか?という検討もしやすくなるはずです。(^^)/
はい。今回は以上となります。ありがとうございました!
2年前くらいかな?サンディエゴの夜。楽しかったな、、