以前ワンタイムパッド暗号を紹介し、その完全秘匿性をLean4で形式証明しました。暗号の定義の中で「使った鍵は再利用してはいけない」、ということを書きました。ただしその条件は証明の中で明示的に使われているようには見えないし、数学的な条件なのか一般…

最近の記事では暗号とその安全性証明の基礎を勉強したいと思い、シャノンの完全秘匿性やそれを実装するワンタイムパッド暗号、完全秘匿性を持つ暗号における鍵の長さに関する定理の証明などを勉強しました。安永さん（東工大の先生ですね）の本を購入し、ま…

今回は完全秘匿性の話題に戻り、シャノンの論文でも証明されている、鍵の集合$K$と平文の集合$M$の大きさに関する定理をLean4で形式化して証明します。 https://tcc.c.titech.ac.jp/yasunaga/appmath6/perfect.pdf では定理６として述べられている次の定理で…

シャノンが暗号に関する論文で「完全秘匿性」という概念を定式化したことを紹介し、そのLean4での形式化までを前回の記事で紹介しました。 この概念がただの抽象概念で、そのような性質を満たす暗号など簡単には作れない、、、という話かというとそうではあ…

完全秘匿性という概念、せっかく数学的に定義したのですが数式が出てこないと数学している気分になれません。というわけで暗号の完全秘匿性について数式を用いて定義してみましょう。また数式化できればLean4での形式化も見たいですよね。とは言っても暗号と…

これから数回にわたって「セキュリティを数学的に証明する」話を書いていきます。自分の勉強のための覚書みたいなものですし、まだ勉強を始めたばかりの分野なので記載に間違いがあるかもしれません。そもそも理解の方向性が間違っているかもしれません。決…

連休直前の４月２９日より、イギリスでは消費者向けの様々なIoT機器（みなさんがよく使っているスマホ・スマートテレビ・スマートスピーカーを含むおよそ全てのネット接続機器）に一定のセキュリティ対策が施されて販売されています。 非常に大雑把に言うと…

今年もこのブログをよろしくお願いします。 昨年の12月に最初は数日おきに、途中から毎日CISSPの練習問題を作成して投稿する、という企画を実行してみました。 CISSP資格試験の問題は巨大なテスト問題のバンクからほぼランダムに選んで各受験者に対して出題…

今回が「CISSP練習問題」の最終回です。途中からアドベントカレンダー風に毎日投稿してきました。ただコントロールの話はぜひ出題したいと思っていて、クリスマスをはみ出して投稿を続けていました。 最終回はセキュリティコントロールの５つのタイプの分類…

ドメイン3からASLRの効果に関する問題を出題します。 攻撃者が自身のテストマシンで成功した悪用コードを対象システムで実行する際のASLR(Address Space Layout Randomization)の影響は何ですか？ a. 悪用コードが失敗する可能性が高まる b. セキュリティポ…

暗号に関してはCBKにも結構専門的なことが記載されています。ここは頑張って勉強しなければなりません。 カウンター（CTR）モードの主な特徴は何ですか？ a. フィードバックに前の暗号文を使用する b. 同じ平文は同じ暗号文を生成する c. 同じ平文は同じ暗号…

アドベントカレンダーはクリスマスまでのものですが、このシリーズは12月28日までは続けようと思います。 ドメイン1からの出題です。リスクが識別されて分析・評価された後に組織としての対応を決める必要があります。このリスク対応に関する問題です。 特定…

ドメイン7はセキュリティ運用に関するドメインです。すでにそれ以前のドメインで紹介されているセキュリティの概念やシステムを現場で運用する方法を述べています。パッチもドメイン3やドメイン6ですでに部分的に述べられています。ドメイン7では脆弱性管理…

個人的の感想ですが、ドメイン5は割とタフで勉強が大変な印象です。IAAAの基本概念、ID連携、シングルサインオン、LDAP, Kerberos, RADIUS, SAML, OAuthなど認証/認可のシステム、MAC, DAC, RBAC, ABACなどの認可の仕組み、type1〜3 の認証要素、ID管理とラ…

ドメイン5からフェデレーテッドアイデンティティ(ID連携)に関する問題を出します。 フェデレーテッドアイデンティティ管理（FIM）においてセキュリティ専門家が検討すべき重要な要素は？ a. フェデレーションのビジネス利益 b. アイデンティティ管理の複雑性…

ドメイン２からデータ分類に関する問題です。データ分類は地味ですが重要なセキュリティ施策です。 データ分類ポリシーと手順を持つことは、情報を最も効率的かつ効果的に保護するためのどの段階で役立ちますか？ a. データの分類を行う前 b. データの分類中…

CISSPのCBK (Common Body of Knowledge)のドメイン3には新しい技術もいくつか記載されておりIoT機器も取り上げられています。今回はそのIoT機器のセキュリティの問題です。 セキュリティ専門家がIoTデバイスの脆弱性を評価する際、最も重要な要因は何でしょ…

もう一問ドメイン１から出題します。現代では組織をつくり社会的な活動をするときには最初からセキュリティを考慮する必要があります。それを実際にやり始めるにはどうしたら良いか、考えてみて下さい。 組織にセキュリティ機能を実装する際にトップダウンア…

ドメイン１からの設問です。組織の中でのセキュリティ機能の位置付けに関する問題です。 セキュリティガバナンスにおいて、組織が最も行うべき活動には次のうちどれが含まれますか？ a. 組織のセキュリティ機能を特定のプロジェクトにのみ適用すること b. 組…

ドメイン１からの出題です。情報セキュリティにおいて最も基本となる概念であるCIAに関する問題です。 情報が正確であること、妥当であること、および欠落がないこと、を維持する概念は何ですか？ a. 完全性 b. 可用性 c. 信頼性 d. 機密性 正解：a 完全性 …

ソフトウェアの開発を理解しその中で必要なセキュリティ対策を実施していくことは非常に重要です。 SDLCのどのフェーズで、システムの要件が文書化され、システムの設計と必要なアーキテクチャが行われますか？ a. 初期化 b. 開発 c. 配備と納品 d. 運用と保…

ドメイン７からインシデント対応プロセスにおける検知に関する問題です。 セキュリティインシデントを検知するために、組織はどのような手段を使用するべきですか？ a. インシデントを手動で報告する b. SIEMツールを使用してログを監視する c. セキュリティ…

ドメイン６からセキュリティテストの問題です。 コードの開発段階へのフィードバックが容易であるため、セキュリティの観点から最も望ましいとされるテストアプローチは何ですか？ a. システムテスト b. グレーボックステスト c. ホワイトボックステスト d. …

ドメイン６からペンテストの実施手順（５つのフェーズ）に関する問題です。各フェーズとその目的がわかることが必要です。 ペネトレーションテスターが、Metasploitなどのツールを使用して、同定された脆弱性を悪用しアクセスを試みる際の目的は何ですか？ a…

特定された脆弱性の評価には、組織の固有の構成や状況を考慮した何が含まれていますか？ a. 攻撃者が実施する前の脆弱性スキャン b. 脆弱性に対する優先順位付けと対応策の評価 c. 組織のフィジカルセキュリティの評価 d. インシデント発生時の対応計画の構…

だんだんノリとしてはアドベントカレンダー的になってきました。このCISSP資格試験のための練習問題シリーズを、毎日少なくともクリスマスまで続けたいと思います。 定期的なアクセスレビューの目的は何ですか？ a. アクセスの承認 b. データの暗号化 c. プ…

Mandatory Access Control (MAC) モデルにおいて、ラベルが使用される目的は何ですか？ a. ユーザーの認証情報を表示するため b. オブジェクトの機密度を示し、アクセスを制御するため c. ネットワーク通信の暗号化を実現するため d. ファイルの物理的な保管…

もう一問ドメイン５からIAM関連の問題を出します。問題文に登場する物理的な証明書(IDカードなど)には顔写真と名前などが記載された組織発行のものを考えて下さい。単純のためにICチップなどの組み込まれていないものとして下さい。 IAMシステムにおいて、ユ…

IAM(Identity Access Management)の四つの基本要素は何ですか？ a. 識別、認証、認可、説明責任 (IAAA) b. 情報セキュリティ、アクセス制御、ユーザー管理、コンプライアンス (IAUC) c. 完全性、可用性、機密性、非否認 (IACN) d. 暗号化、復号化、キー管理…

TPM（Trusted Platform Module）についての説明文から、TPMが担当する最も主要な機能は次のうちどれでしょうか？ a. 機密データの暗号化 b. ハードウェアおよびソフトウェアの状態の暗号的ハッシュの生成 c. 攻撃からのデータのバックアップ d. デジタル署名…