CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

CISSP試験でも重要!【セキュリティモデル】を完璧にするシリーズ⑤~Clark Wilson編~

CISSP試験でも重要!【セキュリティモデル】を完璧にするシリーズ⑤~Clark Wilson編~>

 

さて、今回は【Biba】の兄さんともいえるClark Wilsonについて紹介をしていきます!これもCISSP試験的には覚える必要がありますが、Bibaの兄さんとして、「Bibaとの違いは何か?」という観点で学習をしていくのが一番理解しやすはずです(^^)/
 

それではまず、概要から。

 

・Clark Wilsonとは?

 →一言で言うと、「Bibaモデルの後に開発された、アクセストリプルという考え方が特徴の、【完全性】にフォーカスしたセキュリティモデル」といった具合になります。

 

このモデルではいくつかのコンポーネントの説明する必要があるので、この後にご説明をさせて頂きますが、CISSP試験的には【アクセストリプル】【職務の分離】【適格トランザクション】という単語はClark Wilsonでは必ず暗記をして頂くことをオススメ致します!!!

それではコンポーネントについてご説明をさせて頂き、Clark Wilsonについてしっかりと理解を深めていきましょう(*^▽^*)

 

コンポーネント

・ユーザー(User):そのままの意味で考えればOK。

・変更手順(TP):読み取り、書き込み、修正などの操作

・制約データ項目(CDI):重要で大切なデータ

・非制約データ項目(UDI):そこまで重要でないデータ

・完全性検証手順(IVP):重要で大切なデータ(CDI)の完全性をチェックする担当

 

これでは意味不明ですよね・・・( ;∀;)

ここではインターネットバンキングの利用時を例に、それぞれのイメージをつかんでいただければと思います。

「例」

いきなり当然のことを言いますが、インターネットバンキングで自分の銀行口座残高データ(=CDI)を自分(=ユーザー)で直接修正することってもちろんできませんよね?こんなことができてしまっては、残高データの完全性はメチャクチャになってデータとしての信頼はゼロになってしまいます。

なので、インターネットバンキングで口座残高を変更するためには、インターネットバンキング側の何らかの信頼できるシステム(=TP)を通して、完全性がしっかりと保たれることをチェック(=IVP)した上で残高変更を行うわけです。

一方でインターネットバンキングのプロフィール情報、例えば電話番号、プロフィール写真などのデータ(=UDI)は自分で直接修正ができたりするかと思います。(もちろん会社によりますが)

 

この例にClark Wilsonで覚えるべき要素の全てが入っていると断言します!これをイメージ頂ければ、Clark Wilsonというセキュリティモデルの考え方が把握できるはずです('ω')

 

そして、最後に以下の単語はCISSP試験対策として必要な方は覚え頂き、今回は終了したいと思います!!!

 

【アクセストリプル】・・・UserはTPを経由しないとCDIを変更できない

【職務の分離】・・・認可済のユーザーが不適切や、過剰な修正ができないようチェックすること(=これもClark Wilsonで提供できる要素である)

【適格トランザクション】・・・TPを利用してCDIを変更すること(=つまり、完全性を担保した変更になるということ)

 

以上です!ありがとうございました。

f:id:CyberSEALs:20211203162118j:plain

先日、美味しい馬刺しを食べました(笑)