Maxima で綴る数学の旅

紙と鉛筆の代わりに、数式処理システムMaxima / Macsyma を使って、数学を楽しみましょう

-セキュリティ- CISSPの試験問題はなぜ難しいのか 例題3

f:id:jurupapa:20200329194919j:plain

本日もrsladeさんによるCISSPの例題をお送りします。

実装する前に準備するべき運用セキュリティの課題の完全な記述では、脅威、脆弱性及び以下のどれを示すべきでしょうか。

a. 保護手段
b. 資産
c. 曝露
d. 施策

 

Prior to implementation, a complete description of an operational security issue should specify threat, vulnerability, and

a. safeguard.
b. asset.
c. exposure.
d. control.

文献: Fitzgerald, Jerry, Internal Controls for Computerized Systems, 1978, pg 7

元記事のURL: https://community.isc2.org/t5/Certifications/CISSP-questions/m-p/18844/highlight/true#M3724

 

リスク管理に関する例題を選びました。この問題でも、選択肢はどれも正しそうに思えます。どのように考えると正解に辿り着けるでしょうか。早速rsladeさんの解説を見てみましょう。

これは何か分類できるような問題でもないのですが、そのためなのか、驚くほど多くの人が間違ってしまうようです。 私たちは「問題」に集中する傾向があり、保護しようとしていることが何であるかを忘れます。 その(または他の種類の)トンネルに向かうビジョンを選択しないでください。

もうひとつ、この問題はとても良い点があります。 CISSPは一般的な認証であり、国際的な認証であることを忘れないでください。 質問が表示されたら、自分の仕事や会社に特に適した答えを選択しないでください。セキュリティ全般に最も適した答えを選択してください。

rsladeさんの解説が難しすぎてかなり意訳してします。多分意図は合っていると思うのですが、、、

セキュリティの課題を述べる際に、最も重要なものは資産です。ここで資産とは保護するべき対象です。このことはこの世界では当たり前すぎることですが、セキュリティエンジニアが忘れがちなことでもあります。つい解決策(ここでは保護手段や施策)を選びたくなります(私もですが)。

 

「我が社のネットワーク運用におけるセキュリティ面の最大のリスクは不正侵入です」などという発言はよくありますね。「我が社」という言葉が示すとおり、ある会社というコンテキストでは守るべき資産がトップから従業員まで共有されていることで、何が資産なのかを省くこともできます。逆に言えば、そのようなコンテキストなしで上記のような発言をすると、「何を守るの」と聞かれてつい「ネットワーク」と答えてしまう、というミスを犯すことになります。

つまりセキュリティの課題を述べる際に真っ先に述べるべきなのは資産なのです。資産を明確にしないと、その資産に関するリスクも、リスク低減策も論じることはできません。

 

セキュリティ対策検討ミーティングで、「我が社の発売する新しいIoT商品のセキュリティの課題は、この商品をお客様が使う際に当社が取得するデータ(個人情報を含む)の保護です」と言えば守るべきものは明確になります。またこの時、「このIoT商品が踏み台攻撃に使われるのも困る」という発言があれば、「IoT商品自体、特にCPUパワーとネットワーク接続を資産として認識し、踏み台攻撃に使われることから守る」ことが結論されるでしょう。

 

正解:b 

 

これらの議論を読みながら、「うちは通信会社だからネットワーク自体を守らなければ、、、」とか「うちは小さいし特に資産はない、、、」と考えている方、それで良いのです。まず資産があるのかないのか、何が資産なのかを考えてみてください。