CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

<CISSP試験で重要!人的なセキュリティについてはここを押さえよう>

CISSP試験で重要!人的なセキュリティについてはここを押さえよう>

 

セキュリティは人。こんな話を聞くことも多いかと思います。では、世界的にも認められたCISSPではどのように考え、どのようなことが問われるのでしょうか(';')

本日は試験対策も兼ねて、人的セキュリティで押さえるべきポイントを解説していければと思います!試験対策的な要素が強いですが、試験に臨まれない方にも参考になる部分はあるかな~と思っています(^^♪

はじめに人的にセキュリティで重要となる以下、3つのポイントを覚えましょう。

 

・雇用→異動→退職

IAMの取組み等で良く聞きますが、所謂JMLとか呼ばれるものと同義です。

CISSP試験的には、この3つのフェーズ毎に押さえるべきポイントが出てきます。

 

では次に、フェーズ毎に押さえるべきポイントを解説していきます。試験対策的にはここは丸暗記でOKです(^^)/

 

・雇用

‐人物を調査する(例:リファレンスを実施する、バックグラウンド調査を行う)

-以下を網羅した雇用契約書を締結する

  -提供される or 利用可能なITリソースに関する事項

  -NDA

  -辞めても競合に行かないこと(外資だと結構当たり前にあるやつです・・・)

  -倫理的なルールを雇用契約書で網羅すること

・異動

-共謀を無くすためにはジョブローテーション

-内部不正を防ぐためには職務分離

※IAMでは、ロールベースのアクセス管理により異動前のロールから異動後のロールに即時、漏れなく、該当ユーザーのIDをアサインすることが重要ですが、CISSP試験ではあまり重要でない印象です・・・

・退職

-権限の停止(例:ITリソースの返還、アカウント停止)

 

このあたりまでを覚えて頂ければ、CISSP試験的には十分かと思います。まだ余裕がある!という方は以下も併せて覚えて頂けると更に良いかと思います。

 

・雇用中の対策例

-強制休暇

→内部不正を行っている人がいた場合、これにより不正を発見するきっかけとなる可能性がある(日本ではなかなか強制的に休暇を取らせることは難しそうですが・・・)

-知る必要性&最小権限

→有名な概念ですので、ここでは限界までかみ砕きくだいてみます!

つまり、

ある人やシステムができること(=閲覧したり、編集したり、共有したり)は、

「マジでお前、それやる必要ある?」という事を良く考え、

「実際これだけできれば十分じゃん」っていう範囲でしかできなくしておく!

ってことです。

 

さて、ここまでの内容が参考になっていることを信じつつ、今回は終わりたいと思います!最後までありがとうございました。

 

(倒れる暑さの中、久々にオフィスに来ました。外の緑が山のようなストレスを癒してくれますね。笑)