Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた

Avatar for kuzushiki kuzushiki
October 29, 2024
Technology
0
2

 CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた

47回 初心者のためのセキュリティ勉強会(オンライン開催)の発表資料です。
https://sfb.connpass.com/event/332870/
Avatar for kuzushiki

kuzushiki

October 29, 2024
Tweet

More Decks by kuzushiki

See All by kuzushiki
Next.jsの脆弱性(CVE-2025-29927)の話
Avatar for kuzushiki kuzushiki
0
8
攻撃者の視点から見たGraphQLのセキュリティ
Avatar for kuzushiki kuzushiki
0
3
PythonのURLパーサで見つかった脆弱性について解説する
Avatar for kuzushiki kuzushiki
0
1
Pythonのtarfileによる展開処理がセキュアになりそう
Avatar for kuzushiki kuzushiki
0
1
Web Cache Deception Attackについて解説する
Avatar for kuzushiki kuzushiki
0
4
PHP8.2の新機能✞SensitiveParameter✞につい て
Avatar for kuzushiki kuzushiki
0
5
Apple M1 CPUの脆弱性「PACMAN」について解説する
Avatar for kuzushiki kuzushiki
0
620
ファームウェア解析はじめました
Avatar for kuzushiki kuzushiki
0
4
「7-Zip」の脆弱性について解説する (CVE-2022-29072)
Avatar for kuzushiki kuzushiki
0
2

Other Decks in Technology

See All in Technology
Twelve-Factor-Appから学ぶECS設計プラクティス/ECS practice for Twelve-Factor-App
Avatar for k-ozawa ozawa
3
160
Mastraに入門してみた ~AWS CDKを添えて~
Avatar for つくぼし tsukuboshi
0
380
Oracle Cloud Infrastructure:2025年4月度サービス・アップデート
Avatar for oracle4engineer oracle4engineer
PRO
0
330
もう難しくない!誰でもカンタンDocker入門 〜30分であなたのPCにアプリを立ち上げる〜
Avatar for とことんDevOps devops_vtj
0
180
C++26アップデート 2025-03
Avatar for Akira Takahashi faithandbrave
0
1.2k
PagerDuty×ポストモーテムで築く障害対応文化/Building a culture of incident response with PagerDuty and postmortems
Avatar for AEON aeonpeople
3
540
Pythonデータ分析実践試験 出題傾向や学習のポイントとテクニカルハイライト
Avatar for Manabu TERADA terapyon
1
110
OPENLOGI Company Profile for engineer
Avatar for OPENLOGI hr01
1
25k
SREからゼロイチプロダクト開発へ ー越境する打席の立ち方と期待への応え方ー / Product Engineering Night #8
Avatar for itkq itkq
2
1.1k
Gateway H2 モジュールで
スマートホーム入門
Avatar for MinoruInachi minoruinachi
0
130
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
2
450
ビジネスとデザインとエンジニアリングを繋ぐために 一人のエンジニアは何ができるか / What can a single engineer do to connect business, design, and engineering?
Avatar for 株式会社カミナシ kaminashi
2
870

Featured

See All Featured
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
53
11k
Building Applications with DynamoDB
Avatar for Matt Wood mza
94
6.4k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
378
70k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
656
60k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
23
2.7k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
34
2.2k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
280
13k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
690
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
349
20k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.6k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
177
9.7k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
14
1.4k

Transcript

  1. CISSPに出てくるセキュリティモデルとアクセス制御モデルをまと めてみた kuzushiki

  2. 自己紹介 kuzushiki - セキュリティエンジニア5年目 - コーポレートITのセキュリティ担当 今月のニュース - CISSPトレーニングを受講した

  3. 背景 今月CISSPトレーニングを受講した ↓ あまり理解できない部分があった ↓ ドメイン3に出てくる「セキュリティモデル」と「アクセス制御モデル」についてまとめてみた

  4. CISSPとは?

  5. CISSPとは? ・国際的に最も権威あるセキュリティ プロフェッショナル認証資格 ・最も広範囲な知識レベルを必要とする資格で、セキュリティ業務従事者から管理職者 が対象 ・全世界で152,000名以上、日本では3,300名以上(2022年1月現在)が取得 https://www.nri-secure.co.jp/service/learning/cissp_overview から抜粋 これがあれば年収1000万円もらえるらしい!?

  6. CISSPの出題範囲 1. セキュリティとリスクマネジメント 2. 資産のセキュリティ 3. セキュリティアーキテクチャとエンジニアリング 4. 通信とネットワークのセキュリティ 5.

    アイデンティティおよびアクセス管理 6. セキュリティの評価とテスト 7. セキュリティの運用 8. ソフトウェア開発セキュリティ

  7. セキュリティモデルとは?

  8. セキュリティモデルとは? 会社の情報に対して、社員が好き勝手にアクセスできてはいけない。ちゃんとしたルー ルを作るべき →「どんなルールが安全か」を研究者が厳密に定義したのがセキュリティモデル

  9. CISSPに出てくるセキュリティモデル ・BLP(Bell-LaPadula) ・Biba ・Brewer-Nash ・Clark-Wilson ・Graham-Denning ・HRU(Harrison, Ruzzo, Ullman)

  10. BLP(Bell-LaPadula) 機密性を扱うモデル 機密度が高い情報 機密度が中程度の情報 機密度が低い情報 read write

  11. Biba 完全性を扱うモデル 信頼度が高い情報 信頼度が中程度の情報 信頼度が低い情報 write read

  12. Brewer-Nash 競合がいることを想定したモデル A社 B社 コンサル Cさん

  13. Clark-Wilson Bibaモデルの改良。他者の変更を評価できるように 信頼度が高い情報 信頼度が中程度の情報 信頼度が低い情報 write read 勝手に変更

  14. Graham-Denning アクセス制御に関する8つのルールを定めた 1. アクセス権を譲渡 2. アクセス権を付与 3. アクセス権の削除 4. アクセス権の確認

    5. オブジェクトの削除 6. オブジェクトの作成 7. サブジェクトの削除 8. サブジェクトの作成

  15. HRU(Harrison, Ruzzo, Ullman) Graham-Denningのモデルと似ているが、アクセス制御マトリクス に操作が集約されて いる 1. アクセス権を譲渡 2. アクセス権を付与

    3. アクセス権の削除 4. アクセス権の確認 5. オブジェクトの削除 6. オブジェクトの作成 7. サブジェクトの削除 8. サブジェクトの作成 1. アクセス制御マトリクスの追記 2. アクセス制御マトリクスの削除 ユーザA ユーザB 読み出し 〇 〇 実行 〇 削除 〇

  16. アクセス制御モデルとは?

  17. アクセス制御モデルとは? NIST SP 800-192の説明 > アクセス制御システムによって執行されるセキュリティポリシーの正式な提示であり、 システムの理論的限界を証明するのに有用である セキュリティモデルは理論的なものであり、そのまま実装するのは難しい →実装とのギャップを埋めるのがアクセス制御モデル

  18. CISSPに出てくるアクセス制御モデル ・強制アクセス制御(Mandatory Access Control: MAC) ・任意アクセス制御(Discretionary Access Control: DAC) ・非任意アクセス制御(Non-discretionary

    Access Control: NDAC) ・ロールベースアクセス制御(Role-Based Access Control: RBAC) ・ルールベースアクセス制御(RuBAC) ・属性ベースアクセス制御(ABAC) ・リスクベースアクセス制御

  19. 強制・任意・非任意アクセス制御の違い 強制 任意 非任意 アクセス権の決定 システム管理者 ユーザ システム管理者 対応するモデル すべて

    すべて ロールベース 具体例 軍事セキュリティ WindowsなどのOS 企業システム

  20. ロールベースアクセス制御(Role-Based Access Control: RBAC) 職務などに応じたロールを設定し、それをもとにアクセス制御を行う 人事 Aさん 情シス Bさん

  21. ルールベースアクセス制御(RuBAC) あらかじめアクセス制御のルールを定義しておく ・社内のIPアドレスからのみアクセス可能 ・平日の業務時間帯のみアクセス可能 ・勤務地からのみアクセス可能

  22. 属性ベースアクセス制御(ABAC) 属性の組み合わせをもとにアクセス制御を行う RuBACをよりシンプルにしたもの ・〇〇県から□時にアクセスがあったら許可(場所と時刻の属性) ・IPアドレス××から△△部の人のアクセスがあったら許可(IPとユーザの属性)

  23. リスクベースアクセス制御 リスクによるアクセス制御。しきい値を調整できる ・ユーザが普段と違うふるまいをしたらアクセスを拒否 or 多要素認証の要求  ・普段と違う場所  ・普段と違う端末  ・ありえない移動

  24. おわりに 「最も広範囲な知識レベルを必要とする資格」とあるように、CISSPは覚えることが多くて 大変... 引き続き勉強頑張ります