セクション: 情報資産の保護
Explanation:
メッシュ ネットワーク トポロジは、すべてのネットワーク ホスト間にポイントツーポイント リンクを提供します。各ホストが
通信をルーティングおよび転送するように構成されているこのトポロジは、ルートの最大の冗長性を提供します。
そして最大のネットワーク耐障害性を備えています。

セクション: 情報システムの監査プロセス
Explanation:
試験のために、さまざまなセキュリティ管理に関する以下の情報を知っておく必要があります。
抑止制御
抑止コントロールは、潜在的な攻撃者を阻止することを目的としています。アクセス制御は抑止力として機能します。
脅威や攻撃は、コントロールが存在するだけで潜在的な可能性を保つのに十分であるという単純な事実によって引き起こされます。
攻撃者が制御を回避しようとするのを防ぎます。これは多くの場合、回避するのに労力がかかるためです。
コントロールは、攻撃者が成功した場合の潜在的な報酬よりもはるかに大きい、または逆に、マイナスの場合
攻撃が失敗した（または捕まった）場合の影響の方が、成功した場合のメリットを上回ります。たとえば、強制的に
ユーザー、サービス、またはアプリケーションの識別と認証、およびそれが意味するすべての可能性
攻撃者はシステムとの関連を恐れるため、システムに関連するインシデントは大幅に減少します。
事件。特定のアクセス パスを制御できない場合、インシデントの数と潜在的な
インパクトは無限大になる。コントロールは本質的に、プロセスに監視を適用することでリスクにさらされるリスクを軽減します。
この見落としは抑止力として機能し、起こり得る影響に直面した攻撃者の意欲を抑制します。
抑止力コントロールの最良の例は、従業員とその従業員の意図的な行為の傾向によって実証されています。
許可されていない機能を実行し、望ましくないイベントを引き起こします。ユーザーがそれを理解し始めると、
機能を実行するためにシステムに認証されると、そのアクティビティがログに記録され監視され、
彼らがそのような行動を試みる可能性。多くの脅威は、脅威の匿名性に基づいています。
エージェントを特定し、その行為と関連付けられる可能性は、いかなる犠牲を払ってでも回避されます。これです
これが、アクセス制御が攻撃者による回避の主なターゲットである根本的な理由です。抑止力も
ユーザーが許可されていないことを行った場合、処罰される可能性があります。たとえば、組織が
ポリシーでは、無許可のワイヤレス アクセス ポイントを設置した従業員を解雇することが指定されています。
ほとんどの従業員がワイヤレス アクセス ポイントを設置しないようにするためです。
予防的管理
予防管理は、インシデントの発生を回避することを目的としています。予防的なアクセス制御により、
ユーザーが何らかのアクティビティや機能を実行できないようにします。予防的管理は抑止的管理とは次の点で異なります。
このコントロールはオプションではないため、(簡単に) バイパスすることはできません。抑止制御は、次の理論に基づいて機能します。
コントロールに従いやすくなる
制御を回避することによる結果を危険にさらすよりも。つまり、行動力が宿るということです。
ユーザー (または攻撃者) と。予防的制御では、システムに行動力が与えられ、規則に従います。
コントロールはオプションではありません。コントロールをバイパスする唯一の方法は、
コントロールの実装の欠陥を見つけます。
補償制御
補償制御は、システムの既存の機能がサポートしていない場合に導入されます。
ポリシーの要件。補償制御は、技術的、手順的、または管理的なものにすることができます。とはいえ、
既存のシステムは必要なコントロールをサポートしていない可能性があります。他のコントロールが存在する可能性があります。
既存の環境を補完し、制御のギャップを埋め、会議のニーズを満たすことができるテクノロジーまたはプロセス
ポリシー要件を満たし、全体的なリスクを軽減します。たとえば、アクセス制御ポリシーには、次のように記載されている場合があります。
authentication process must be encrypted when performed over the Internet. Adjusting an application to
natively support encryption for authentication purposes may be too costly. Secure Socket Layer (SSL), an
encryption protocol, can be employed and layered on top of the authentication process to support the policy
statement. Other examples include a separation of duties environment, which offers the capability to isolate
システムの技術的制限を補い、トランザクションの安全性を確保するための特定のタスク。
さらに、認可、監督、管理などの管理プロセスを使用して、
アクセス制御環境のギャップを補います。
探偵のコントロール
探偵用コントロールは、何かが起こったときに警告を発し、事件後の最も早い時点で発生します。
タイムライン。アクセス制御は脅威に対する抑止力であり、有害な行為を防ぐために積極的に利用できます。
最小権限の適用によるインシデントの防止。ところが探偵は、
アクセス制御の性質により、アクセス環境に対する重要な可視性が提供され、
組織はアクセス戦略と関連するセキュリティ リスクを管理します。先ほども述べたように、強く
認証されたユーザーに提供される管理されたアクセス権限により、ユーザーのリスクを軽減する機能が提供されます。
認証されたユーザーが持つ機能を制限することで、企業の資産を保護します。ただし、数は少ないですが、
権限が付与された後にユーザーが実行できる内容を制御するオプション。たとえば、ユーザーが提供された場合、
ファイルへの書き込みアクセスがあり、そのファイルが破損、変更、またはその他の悪影響を受けている（意図的に
または意図せずに）、適用されたアクセス制御を使用すると、トランザクションの可視性が提供されます。制御
識別、認証、認可、および認証に関するアクティビティをログに記録する環境を確立できます。
システム上の特権の使用。これは、エラーの発生や実行の試みを検出するために使用できます。
不正なアクション、または提供された資格情報がいつ行使されたかを検証するため。ロギングシステムとしては、
探偵デバイスは、アクション (成功と失敗の両方) と実行されたタスクの証拠を提供します。
許可されたユーザーによって実行されます。
是正管理
セキュリティ インシデントが発生すると、セキュリティ インフラストラクチャ内の要素で修正措置が必要になる場合があります。
是正制御とは、環境のセキュリティ体制を変更して、あらゆる問題を修正しようとするアクションです。
欠陥を取り除き、環境を安全な状態に戻します。セキュリティ
インシデントは、1 つ以上の指令、抑止、予防、または補償の制御が失敗したことを示します。の
発見的制御がアラームまたは通知をトリガーした可能性がありますが、今度は修正的制御が機能する必要があります。
事件をその場で止めてください。是正管理には次のようなことが考えられます
多くの形式があり、すべては当面の特定の状況、または必要な特定のセキュリティ障害に応じて異なります。
対処される。
回復制御
セキュリティインシデントに直面した場合でも、サービスを提供する場合でも、アクセス制御環境に対する変更。
一時的な補償制御を正確に復元し、通常の動作に戻す必要があります。
アクセス制御、その適用性、ステータス、または管理に影響を与える可能性のある状況がいくつかあります。
イベントには、システムの停止、攻撃、プロジェクトの変更、技術的要求、管理上のギャップ、および
本格的な災害状況。たとえば、アプリケーションが正しくインストールまたはデプロイされていない場合、
システム ファイルに配置されたコントロールに悪影響を及ぼしたり、知らず知らずのうちにデフォルトの管理者アカウントが設定されたりすることもあります
インストール時に実装されます。さらに、従業員が転勤、退職、または一時休暇を取得する可能性があります。
職務の分離に関する政策要件に影響を与える可能性があります。システムへの攻撃により、次のような結果が発生した可能性があります。
トロイの木馬プログラムの埋め込みにより、クレジットなどの個人的なユーザー情報が漏洩する可能性があります。
カード情報と財務データ。これらすべての場合において、望ましくない状況は次のように修正される必要があります。
できるだけ早く制御を通常の動作に戻しました。
試験のために、さまざまなセキュリティ管理に関する以下の情報を知っておく必要があります。
抑止制御
抑止コントロールは、潜在的な攻撃者を阻止することを目的としています。アクセス制御は抑止力として機能します。
脅威や攻撃は、コントロールが存在するだけで潜在的な可能性を保つのに十分であるという単純な事実によって引き起こされます。
攻撃者が制御を回避しようとするのを防ぎます。これは多くの場合、回避するのに労力がかかるためです。
コントロールは、攻撃者が成功した場合の潜在的な報酬よりもはるかに大きい、または逆に、マイナスの場合
攻撃が失敗した（または捕まった）場合の影響の方が、成功した場合のメリットを上回ります。たとえば、強制的に
ユーザー、サービス、またはアプリケーションの識別と認証、およびそれが意味するすべての可能性
攻撃者はシステムとの関連を恐れるため、システムに関連するインシデントは大幅に減少します。
事件。特定のアクセス パスを制御できない場合、インシデントの数と潜在的な
インパクトは無限大になる。コントロールは本質的に、プロセスに監視を適用することでリスクにさらされるリスクを軽減します。
この見落としは抑止力として機能し、起こり得る影響に直面した攻撃者の意欲を抑制します。
抑止力コントロールの最良の例は、従業員とその従業員の意図的な行為の傾向によって実証されています。
許可されていない機能を実行し、望ましくないイベントを引き起こします。
ユーザーが、機能を実行するためにシステムに認証することによって、ユーザーのアクティビティが制限されることを理解し始めると、
ログに記録され監視されるため、そのような行為を試みる可能性が低くなります。多くの脅威は、
脅威エージェントの匿名性、およびその脅威エージェントとの識別および関連付けの可能性に基づいて、
いかなる犠牲を払ってでも行動は避けられます。
これが、アクセス制御が攻撃者による回避の主要なターゲットである根本的な理由です。
抑止力は、ユーザーが許可されていないことを行った場合に罰せられる可能性もあります。たとえば、次の場合
組織のポリシーでは、従業員が無許可のワイヤレス アクセス ポイントを設置した場合、
これにより、ほとんどの従業員はワイヤレス アクセス ポイントを設置しなくなります。
予防的管理
予防管理は、インシデントの発生を回避することを目的としています。予防的なアクセス制御により、
ユーザーが何らかのアクティビティや機能を実行できないようにします。予防的管理は抑止的管理とは次の点で異なります。
このコントロールはオプションではないため、(簡単に) バイパスすることはできません。抑止制御は、次の理論に基づいて機能します。
コントロールに従いやすくなる
制御を回避することによる結果を危険にさらすよりも。つまり、行動力が宿るということです。
ユーザー (または攻撃者) と。予防的制御では、システムに行動力が与えられ、規則に従います。
コントロールはオプションではありません。コントロールをバイパスする唯一の方法は、コントロールの実装の欠陥を見つけることです。
補償制御
補償制御は、システムの既存の機能がサポートしていない場合に導入されます。
ポリシーの要件。補償制御は、技術的、手順的、または管理的なものにすることができます。とはいえ、
既存のシステムは必要な制御をサポートしていない可能性があります。他のテクノロジーやプロセスが存在する可能性があります。
既存の環境を補完し、制御のギャップを埋め、ポリシー要件を満たし、
全体的なリスクを軽減します。
たとえば、アクセス制御ポリシーには、次の場合に認証プロセスを暗号化する必要があると記載されている場合があります。
インターネット経由で実行されます。認証用の暗号化をネイティブにサポートするようにアプリケーションを調整する
目的によってはコストがかかりすぎる可能性があります。暗号化プロトコルである Secure Socket Layer (SSL) を採用でき、
ポリシーステートメントをサポートするために認証プロセスの上に重ねられます。
他の例には、特定の従業員を分離する機能を提供する職務分離環境が含まれます。
システムの技術的制限を補い、トランザクションのセキュリティを確保するタスク。の
さらに、認可、監督、管理などの管理プロセスを使用して、
アクセス制御環境のギャップを補います。
探偵のコントロール
探偵用コントロールは、何かが起こったときに警告を発し、事件後の最も早い時点で発生します。
タイムライン。アクセス制御は脅威に対する抑止力であり、有害な行為を防ぐために積極的に利用できます。
最小権限の適用によるインシデントの防止。ただし、アクセス制御の検出的な性質により、
アクセス環境に対する重要な可視性を提供し、組織のアクセス管理を支援します。
戦略とそれに関連するセキュリティリスク。
前述したように、認証されたユーザーに提供される強力に管理されたアクセス権限により、
認証された機能を制限することで、企業の資産のリスクを軽減する機能
ユーザーが持っています。ただし、権限が付与された後にユーザーが実行できる内容を制御するオプションはほとんどありません。
たとえば、ユーザーにファイルへの書き込みアクセスが許可されており、そのファイルが破損、変更されている場合などです。
(意図的または非意図的に) 悪影響を受ける場合、適用されたアクセス制御を使用すると、
トランザクションの可視化。制御環境を確立して、以下に関するアクティビティをログに記録できます。
システム上の識別、認証、認可、特権の使用。
これは、エラーの発生、不正なアクションの実行の試み、または
提供された資格情報がいつ実行されたかを検証します。探偵装置としてのロギングシステムが提供する
許可されたユーザーによって実行されたアクション (成功および失敗の両方) およびタスクの証拠。
是正管理
セキュリティ インシデントが発生すると、セキュリティ インフラストラクチャ内の要素で修正措置が必要になる場合があります。
是正制御とは、環境のセキュリティ体制を変更して、あらゆる問題を修正しようとするアクションです。
欠陥を取り除き、環境を安全な状態に戻します。セキュリティインシデントは、いずれか、または
より指示的、抑止的、予防的、または補償的な制御。探偵のコントロールには次のような機能がある可能性があります。
アラームまたは通知がトリガーされましたが、現在は、インシデントを阻止するために是正制御が機能する必要があります。
トラック。是正管理にはさまざまな形があり、すべては当面の特定の状況や状況に応じて異なります。
対処する必要がある特定のセキュリティ障害。
回復制御
セキュリティインシデントに直面した場合でも、サービスを提供する場合でも、アクセス制御環境に対する変更。
一時的な補償制御を正確に復元し、通常の動作に戻す必要があります。
アクセス制御、その適用性、ステータス、または管理に影響を与える可能性のある状況がいくつかあります。
イベントには、システムの停止、攻撃、プロジェクトの変更、技術的要求、管理上のギャップ、および
本格的な災害状況。たとえば、アプリケーションが正しくインストールまたはデプロイされていない場合、
システム ファイルに配置されたコントロールに悪影響を及ぼしたり、知らず知らずのうちにデフォルトの管理者アカウントが設定されたりすることもあります
インストール時に実装されます。
さらに、従業員が転勤、退職、または一時休暇を取得する可能性があり、ポリシーに影響を与える可能性があります。
職務の分離に関する要件。システムへの攻撃により、次のようなものが埋め込まれた可能性があります。
トロイの木馬プログラム。クレジット カード情報や個人情報などの個人情報が漏洩する可能性があります。
財務データ。これらすべての場合において、望ましくない状況はできるだけ早く是正されなければなりません。
制御は通常の動作に戻りました。
次の答えは正しくありません。
抑止力 - 抑止力コントロールは、潜在的な攻撃者を阻止することを目的としています。
予防 - 予防管理はインシデントの発生を回避することを目的としています。
探偵 - 探偵による制御は、インシデントのアクティビティと潜在的な侵入者を特定するのに役立ちます
この質問を作成するために次の参考資料が使用されました。
CISA レビューマニュアル 2014 ページ番号 44
と
公式 ISC2 CISSP ガイド 第 3 版 ページ番号 50 および 51

セクション: 情報システムの取得、開発、実装

説明/参照:
Explanation:
2 つのシステムはデータベース スキーマを含め、異なるデータ表現を持つ可能性があるため、情報システム監査人の主な関心事は、データの解釈が新しいシステムでも古いシステムでも同じであることを検証することです。算術特性はデータ構造とデータベースの内部定義の側面を表すため、意味論的特性ほど重要ではありません。機能特性の相関関係のレビューや 2 つのシステム間のプロセスの相対効率のレビューは、データ移行のレビューには関係ありません。