$30 off During Our Annual Pro Sale. View Details »

CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた

Avatar for kuzushiki kuzushiki
October 29, 2024
Technology
0
180

 CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた

47回 初心者のためのセキュリティ勉強会(オンライン開催)の発表資料です。
https://sfb.connpass.com/event/332870/

Avatar for kuzushiki

kuzushiki

October 29, 2024
Tweet

More Decks by kuzushiki

See All by kuzushiki
ECS-cape – Hijacking IAM Privileges in Amazon ECSを解説する
Avatar for kuzushiki kuzushiki
0
250
Next.jsの脆弱性(CVE-2025-29927)の話
Avatar for kuzushiki kuzushiki
0
20
攻撃者の視点から見たGraphQLのセキュリティ
Avatar for kuzushiki kuzushiki
0
20
PythonのURLパーサで見つかった脆弱性について解説する
Avatar for kuzushiki kuzushiki
0
33
Pythonのtarfileによる展開処理がセキュアになりそう
Avatar for kuzushiki kuzushiki
0
10
Web Cache Deception Attackについて解説する
Avatar for kuzushiki kuzushiki
0
27
PHP8.2の新機能✞SensitiveParameter✞につい て
Avatar for kuzushiki kuzushiki
0
16
Apple M1 CPUの脆弱性「PACMAN」について解説する
Avatar for kuzushiki kuzushiki
0
750
ファームウェア解析はじめました
Avatar for kuzushiki kuzushiki
0
12

Other Decks in Technology

See All in Technology
意外とあった SQL Server 関連アップデート + Database Savings Plans
Avatar for Takuya Shibata stknohg
PRO
0
330
学習データって増やせばいいんですか?
Avatar for fumihiko takahashi ftakahashi
2
340
re:Invent 2025 ふりかえり 生成AI版
Avatar for TakaakiKakei takaakikakei
1
210
CARTAのAI CoE が挑む「事業を進化させる AI エンジニアリング」 / carta ai coe evolution business ai engineering
Avatar for CARTA Engineering carta_engineering
0
1.6k
今年のデータ・ML系アップデートと気になるアプデのご紹介
Avatar for Nayuta S. nayuts
1
410
AIと二人三脚で育てた、個人開発アプリグロース術
Avatar for ZOZO Developers zozotech
PRO
1
730
エンジニアリングマネージャー はじめての目標設定と評価
Avatar for d-haru halkt
0
290
「図面」から「法則」へ 〜メタ視点で読み解く現代のソフトウェアアーキテクチャ〜
Avatar for Satoshi Kobayashi scova0731
0
230
乗りこなせAI駆動開発の波
Avatar for Ikko Eltociear Ashimine eltociear
1
1.1k
AWS re:Invent 2025で見たGrafana最新機能の紹介
Avatar for 濱田孝治 hamadakoji
0
390
RAG/Agent開発のアップデートまとめ
Avatar for sakai taka0709
0
180
寫​了​幾年​ Code,​然後​呢?​軟體​工程師​必須重新​認識​的​ DevOps
Avatar for Cheng-Wei Chen cheng_wei_chen
1
1.4k

Featured

See All Featured
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
141
7.2k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
54
7.9k
Scaling GitHub
Avatar for Zach Holman holman
464
140k
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
140k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
72
12k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
47
7.9k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
710
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.4k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.3k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k

Transcript

  1. CISSPに出てくるセキュリティモデルとアクセス制御モデルをまと めてみた kuzushiki

  2. 自己紹介 kuzushiki - セキュリティエンジニア5年目 - コーポレートITのセキュリティ担当 今月のニュース - CISSPトレーニングを受講した

  3. 背景 今月CISSPトレーニングを受講した ↓ あまり理解できない部分があった ↓ ドメイン3に出てくる「セキュリティモデル」と「アクセス制御モデル」についてまとめてみた

  4. CISSPとは?

  5. CISSPとは? ・国際的に最も権威あるセキュリティ プロフェッショナル認証資格 ・最も広範囲な知識レベルを必要とする資格で、セキュリティ業務従事者から管理職者 が対象 ・全世界で152,000名以上、日本では3,300名以上(2022年1月現在)が取得 https://www.nri-secure.co.jp/service/learning/cissp_overview から抜粋 これがあれば年収1000万円もらえるらしい!?

  6. CISSPの出題範囲 1. セキュリティとリスクマネジメント 2. 資産のセキュリティ 3. セキュリティアーキテクチャとエンジニアリング 4. 通信とネットワークのセキュリティ 5.

    アイデンティティおよびアクセス管理 6. セキュリティの評価とテスト 7. セキュリティの運用 8. ソフトウェア開発セキュリティ

  7. セキュリティモデルとは?

  8. セキュリティモデルとは? 会社の情報に対して、社員が好き勝手にアクセスできてはいけない。ちゃんとしたルー ルを作るべき →「どんなルールが安全か」を研究者が厳密に定義したのがセキュリティモデル

  9. CISSPに出てくるセキュリティモデル ・BLP(Bell-LaPadula) ・Biba ・Brewer-Nash ・Clark-Wilson ・Graham-Denning ・HRU(Harrison, Ruzzo, Ullman)

  10. BLP(Bell-LaPadula) 機密性を扱うモデル 機密度が高い情報 機密度が中程度の情報 機密度が低い情報 read write

  11. Biba 完全性を扱うモデル 信頼度が高い情報 信頼度が中程度の情報 信頼度が低い情報 write read

  12. Brewer-Nash 競合がいることを想定したモデル A社 B社 コンサル Cさん

  13. Clark-Wilson Bibaモデルの改良。他者の変更を評価できるように 信頼度が高い情報 信頼度が中程度の情報 信頼度が低い情報 write read 勝手に変更

  14. Graham-Denning アクセス制御に関する8つのルールを定めた 1. アクセス権を譲渡 2. アクセス権を付与 3. アクセス権の削除 4. アクセス権の確認

    5. オブジェクトの削除 6. オブジェクトの作成 7. サブジェクトの削除 8. サブジェクトの作成

  15. HRU(Harrison, Ruzzo, Ullman) Graham-Denningのモデルと似ているが、アクセス制御マトリクス に操作が集約されて いる 1. アクセス権を譲渡 2. アクセス権を付与

    3. アクセス権の削除 4. アクセス権の確認 5. オブジェクトの削除 6. オブジェクトの作成 7. サブジェクトの削除 8. サブジェクトの作成 1. アクセス制御マトリクスの追記 2. アクセス制御マトリクスの削除 ユーザA ユーザB 読み出し 〇 〇 実行 〇 削除 〇

  16. アクセス制御モデルとは?

  17. アクセス制御モデルとは? NIST SP 800-192の説明 > アクセス制御システムによって執行されるセキュリティポリシーの正式な提示であり、 システムの理論的限界を証明するのに有用である セキュリティモデルは理論的なものであり、そのまま実装するのは難しい →実装とのギャップを埋めるのがアクセス制御モデル

  18. CISSPに出てくるアクセス制御モデル ・強制アクセス制御(Mandatory Access Control: MAC) ・任意アクセス制御(Discretionary Access Control: DAC) ・非任意アクセス制御(Non-discretionary

    Access Control: NDAC) ・ロールベースアクセス制御(Role-Based Access Control: RBAC) ・ルールベースアクセス制御(RuBAC) ・属性ベースアクセス制御(ABAC) ・リスクベースアクセス制御

  19. 強制・任意・非任意アクセス制御の違い 強制 任意 非任意 アクセス権の決定 システム管理者 ユーザ システム管理者 対応するモデル すべて

    すべて ロールベース 具体例 軍事セキュリティ WindowsなどのOS 企業システム

  20. ロールベースアクセス制御(Role-Based Access Control: RBAC) 職務などに応じたロールを設定し、それをもとにアクセス制御を行う 人事 Aさん 情シス Bさん

  21. ルールベースアクセス制御(RuBAC) あらかじめアクセス制御のルールを定義しておく ・社内のIPアドレスからのみアクセス可能 ・平日の業務時間帯のみアクセス可能 ・勤務地からのみアクセス可能

  22. 属性ベースアクセス制御(ABAC) 属性の組み合わせをもとにアクセス制御を行う RuBACをよりシンプルにしたもの ・〇〇県から□時にアクセスがあったら許可(場所と時刻の属性) ・IPアドレス××から△△部の人のアクセスがあったら許可(IPとユーザの属性)

  23. リスクベースアクセス制御 リスクによるアクセス制御。しきい値を調整できる ・ユーザが普段と違うふるまいをしたらアクセスを拒否 or 多要素認証の要求  ・普段と違う場所  ・普段と違う端末  ・ありえない移動

  24. おわりに 「最も広範囲な知識レベルを必要とする資格」とあるように、CISSPは覚えることが多くて 大変... 引き続き勉強頑張ります