Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
kuzushiki
October 29, 2024
Technology
0
290
CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた
47回 初心者のためのセキュリティ勉強会(オンライン開催)の発表資料です。
https://sfb.connpass.com/event/332870/
kuzushiki
October 29, 2024
Tweet
Share
More Decks by kuzushiki
See All by kuzushiki
ECS-cape – Hijacking IAM Privileges in Amazon ECSを解説する
kuzushiki
0
270
Next.jsの脆弱性(CVE-2025-29927)の話
kuzushiki
0
26
攻撃者の視点から見たGraphQLのセキュリティ
kuzushiki
0
27
PythonのURLパーサで見つかった脆弱性について解説する
kuzushiki
0
47
Pythonのtarfileによる展開処理がセキュアになりそう
kuzushiki
0
15
Web Cache Deception Attackについて解説する
kuzushiki
0
37
PHP8.2の新機能✞SensitiveParameter✞につい て
kuzushiki
0
25
Apple M1 CPUの脆弱性「PACMAN」について解説する
kuzushiki
0
790
ファームウェア解析はじめました
kuzushiki
0
22
Other Decks in Technology
See All in Technology
Kiro のクレジットを使い切る!
otanikohei2023
0
110
研究開発部メンバーの働き⽅ / Sansan R&D Profile
sansan33
PRO
4
22k
組織のSREを推進するためのPlatform EngineeringとEKS / Platform Engineering and EKS to drive SRE in your organization
chmikata
0
180
作りっぱなしで終わらせない! 価値を出し続ける AI エージェントのための「信頼性」設計 / Designing Reliability for AI Agents that Deliver Continuous Value
aoto
PRO
1
150
Ultra Ethernet (UEC) v1.0 仕様概説
markunet
3
210
JAWS Days 2026 楽しく学ぼう! 認証認可 入門/20260307-jaws-days-novice-lane-auth
opelab
2
580
製造業ドメインにおける LLMプロダクト構築: 複雑な文脈へのアプローチ
caddi_eng
1
470
Agentic Software Modernization - Back to the Roots (Zürich Agentic Coding and Architectures, März 2026)
feststelltaste
1
180
マネージャー版 "提案のレベル" を上げる
konifar
19
13k
A Gentle Introduction to Transformers
keio_smilab
PRO
1
490
vLLM Community Meetup Tokyo #3 オープニングトーク
jpishikawa
0
150
Serverless Agent Architecture on Azure / serverless-agent-on-azure
miyake
1
150
Featured
See All Featured
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.1k
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
3.7k
Leading Effective Engineering Teams in the AI Era
addyosmani
9
1.7k
How to Talk to Developers About Accessibility
jct
2
140
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.1k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
280
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.3k
Principles of Awesome APIs and How to Build Them.
keavy
128
17k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.1k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
96
Six Lessons from altMBA
skipperchong
29
4.2k
Transcript
CISSPに出てくるセキュリティモデルとアクセス制御モデルをまと めてみた kuzushiki
自己紹介 kuzushiki - セキュリティエンジニア5年目 - コーポレートITのセキュリティ担当 今月のニュース - CISSPトレーニングを受講した
背景 今月CISSPトレーニングを受講した ↓ あまり理解できない部分があった ↓ ドメイン3に出てくる「セキュリティモデル」と「アクセス制御モデル」についてまとめてみた
CISSPとは?
CISSPとは? ・国際的に最も権威あるセキュリティ プロフェッショナル認証資格 ・最も広範囲な知識レベルを必要とする資格で、セキュリティ業務従事者から管理職者 が対象 ・全世界で152,000名以上、日本では3,300名以上(2022年1月現在)が取得 https://www.nri-secure.co.jp/service/learning/cissp_overview から抜粋 これがあれば年収1000万円もらえるらしい!?
CISSPの出題範囲 1. セキュリティとリスクマネジメント 2. 資産のセキュリティ 3. セキュリティアーキテクチャとエンジニアリング 4. 通信とネットワークのセキュリティ 5.
アイデンティティおよびアクセス管理 6. セキュリティの評価とテスト 7. セキュリティの運用 8. ソフトウェア開発セキュリティ
セキュリティモデルとは?
セキュリティモデルとは? 会社の情報に対して、社員が好き勝手にアクセスできてはいけない。ちゃんとしたルー ルを作るべき →「どんなルールが安全か」を研究者が厳密に定義したのがセキュリティモデル
CISSPに出てくるセキュリティモデル ・BLP(Bell-LaPadula) ・Biba ・Brewer-Nash ・Clark-Wilson ・Graham-Denning ・HRU(Harrison, Ruzzo, Ullman)
BLP(Bell-LaPadula) 機密性を扱うモデル 機密度が高い情報 機密度が中程度の情報 機密度が低い情報 read write
Biba 完全性を扱うモデル 信頼度が高い情報 信頼度が中程度の情報 信頼度が低い情報 write read
Brewer-Nash 競合がいることを想定したモデル A社 B社 コンサル Cさん
Clark-Wilson Bibaモデルの改良。他者の変更を評価できるように 信頼度が高い情報 信頼度が中程度の情報 信頼度が低い情報 write read 勝手に変更
Graham-Denning アクセス制御に関する8つのルールを定めた 1. アクセス権を譲渡 2. アクセス権を付与 3. アクセス権の削除 4. アクセス権の確認
5. オブジェクトの削除 6. オブジェクトの作成 7. サブジェクトの削除 8. サブジェクトの作成
HRU(Harrison, Ruzzo, Ullman) Graham-Denningのモデルと似ているが、アクセス制御マトリクス に操作が集約されて いる 1. アクセス権を譲渡 2. アクセス権を付与
3. アクセス権の削除 4. アクセス権の確認 5. オブジェクトの削除 6. オブジェクトの作成 7. サブジェクトの削除 8. サブジェクトの作成 1. アクセス制御マトリクスの追記 2. アクセス制御マトリクスの削除 ユーザA ユーザB 読み出し 〇 〇 実行 〇 削除 〇
アクセス制御モデルとは?
アクセス制御モデルとは? NIST SP 800-192の説明 > アクセス制御システムによって執行されるセキュリティポリシーの正式な提示であり、 システムの理論的限界を証明するのに有用である セキュリティモデルは理論的なものであり、そのまま実装するのは難しい →実装とのギャップを埋めるのがアクセス制御モデル
CISSPに出てくるアクセス制御モデル ・強制アクセス制御(Mandatory Access Control: MAC) ・任意アクセス制御(Discretionary Access Control: DAC) ・非任意アクセス制御(Non-discretionary
Access Control: NDAC) ・ロールベースアクセス制御(Role-Based Access Control: RBAC) ・ルールベースアクセス制御(RuBAC) ・属性ベースアクセス制御(ABAC) ・リスクベースアクセス制御
強制・任意・非任意アクセス制御の違い 強制 任意 非任意 アクセス権の決定 システム管理者 ユーザ システム管理者 対応するモデル すべて
すべて ロールベース 具体例 軍事セキュリティ WindowsなどのOS 企業システム
ロールベースアクセス制御(Role-Based Access Control: RBAC) 職務などに応じたロールを設定し、それをもとにアクセス制御を行う 人事 Aさん 情シス Bさん
ルールベースアクセス制御(RuBAC) あらかじめアクセス制御のルールを定義しておく ・社内のIPアドレスからのみアクセス可能 ・平日の業務時間帯のみアクセス可能 ・勤務地からのみアクセス可能
属性ベースアクセス制御(ABAC) 属性の組み合わせをもとにアクセス制御を行う RuBACをよりシンプルにしたもの ・〇〇県から□時にアクセスがあったら許可(場所と時刻の属性) ・IPアドレス××から△△部の人のアクセスがあったら許可(IPとユーザの属性)
リスクベースアクセス制御 リスクによるアクセス制御。しきい値を調整できる ・ユーザが普段と違うふるまいをしたらアクセスを拒否 or 多要素認証の要求 ・普段と違う場所 ・普段と違う端末 ・ありえない移動
おわりに 「最も広範囲な知識レベルを必要とする資格」とあるように、CISSPは覚えることが多くて 大変... 引き続き勉強頑張ります
kuzushiki
otanikohei2023
sansan33
chmikata
aoto
markunet
opelab
caddi_eng
feststelltaste
konifar
keio_smilab
jpishikawa
miyake
afnizarnur
danielanewman
raygrieselhuber
addyosmani
jct
inesmontani
skipperchong
tammyeverts
keavy
tmiket
