ワンタイムパッドは最も安全で、すべての暗号化方式の中で最も単純なものの1つです。第一次世界大戦直後にギルバートによって発明され、特許を取得しました
Vernam（AT＆Tの）とJoseph Mauborgne（USA、後にSignal Corpsのチーフ）。基本的な機能は、送信者と受信者がそれぞれ暗号化キーのコピーを持っていることです。これは、暗号化されるメッセージと同じ長さであり、各キーは1つのメッセージにのみ使用されてから破棄されます。そのキーはランダムである必要があり、パターンがなく、攻撃者には知られていない必要があります。さらに、キーを再利用してはなりません。再利用しないと、暗号が簡単に解読可能になります。その特徴の1つはキーの長さであり、メッセージと同じです。

アクセス制御モデルは、情報リソースへのユーザーアクセスに関するコンピューターおよび/またはネットワークシステムのルールを定義します。アクセス制御モデルは、機密性と整合性を提供し、監査証跡を通じて説明責任も提供します。監査証跡は、実行された操作の記録とともに、サブジェクトによるオブジェクトへのアクセスを文書化します。操作には、読み取り、書き込み、実行、および所有が含まれます。非随意アクセス制御は通常、役割ベースであり、組織内で個人が持つ役割（銀行の出納係、銀行モデルの融資担当者など）に基づいた承認決定によって一元管理されます。システムのセキュリティ管理者は、ユーザーの役割に基づいてシステム権限を付与および/または取り消します。このモデルは、人員の離職率が高い企業に適しています。

質問のキーワードとしてNOTという単語が使用されています。修正制御ではない特定のオプションからセキュリティ制御を見つける必要があります。システム監視は検出制御であり、修正制御ではありません。試験では、さまざまなセキュリティ管理に関する以下の情報を知っておく必要があります
抑止制御抑止制御は、潜在的な攻撃者を思いとどまらせることを目的としています。アクセス制御は、潜在的な攻撃者が制御を回避しようとするのを防ぐのに十分であるという単純な事実によって、脅威や攻撃に対する抑止力として機能します。これは多くの場合、攻撃者が成功した場合の潜在的な報酬よりも制御を回避するために必要な労力がはるかに大きいため、または逆に、失敗した攻撃（または捕らえられた）の悪影響が成功の利点を上回っているためです。たとえば、ユーザー、サービス、またはアプリケーションの識別と認証、およびそれが意味するすべてを強制することにより、攻撃者はインシデントとの関連を恐れるため、システムに関連するインシデントの可能性が大幅に減少します。特定のアクセスパスに対するコントロールがない場合、インシデントの数と潜在的な影響は無限になります。コントロールは、プロセスに監視を適用することにより、本質的にリスクへのエクスポージャーを減らします。この見落としは抑止力として機能し、起こりうる影響に直面して攻撃者の食欲を抑制します。抑止制御の最良の例は、従業員と、意図的に許可されていない機能を実行し、望ましくないイベントにつながる傾向があることによって示されます。ユーザーがシステムに認証して機能を実行することにより、ユーザーのアクティビティがログに記録されて監視されることをユーザーが理解し始めると、ユーザーがそのようなアクションを試みる可能性が低くなります。多くの脅威は脅威エージェントの匿名性に基づいており、それらのアクションとの識別および関連付けの可能性は、いかなる犠牲を払っても回避されます。アクセス制御が攻撃者による回避の主要なターゲットであるのは、この根本的な理由です。抑止力は、ユーザーが許可されていないことをした場合の潜在的な罰の形も取ります。たとえば、組織のポリシーで、許可されていないワイヤレスアクセスポイントを設置している従業員が解雇されると指定されている場合、ほとんどの従業員はワイヤレスアクセスポイントを設置できなくなります。
予防的管理予防的管理は、インシデントの発生を回避することを目的としています。予防的アクセス制御は、ユーザーが何らかのアクティビティや機能を実行できないようにします。予防的制御は、制御がオプションではなく、（簡単に）バイパスできないという点で抑止的制御とは異なります。抑止制御は、制御をバイパスした結果を危険にさらすよりも、制御に従う方が簡単であるという理論に基づいて機能します。言い換えれば、アクションの力はユーザー（または攻撃者）にあります。予防的制御はシステムに行動の力を与え、制御に従うことはオプションではありません。コントロールをバイパスする唯一の方法は、コントロールの実装に欠陥を見つけることです。
補償コントロール補償コントロールは、システムの既存の機能がポリシーの要件をサポートしていない場合に導入されます。補償コントロールは、技術的、手続き的、または管理的である可能性があります。既存のシステムは必要な制御をサポートしていない場合がありますが、既存の環境を補完し、制御のギャップを埋め、ポリシー要件を満たし、全体的なリスクを軽減できる他のテクノロジーまたはプロセスが存在する場合があります。たとえば、アクセス制御ポリシーでは、インターネットを介して実行する場合、認証プロセスを暗号化する必要があると規定されている場合があります。認証目的で暗号化をネイティブにサポートするようにアプリケーションを調整すると、コストがかかりすぎる可能性があります。暗号化プロトコルであるSecureSocketLayer（SSL）を採用し、認証プロセスの上に階層化して、ポリシーステートメントをサポートできます。他の例としては、システムの技術的限界を補い、トランザクションのセキュリティを確保するために特定のタスクを分離する機能を提供する職務分離環境があります。さらに、承認、監視、管理などの管理プロセスを使用して、アクセス制御環境のギャップを補うことができます。
探偵コントロール探偵コントロールは、何かが起こったときに警告し、インシデント後のタイムラインの最も早い時点です。アクセス制御は脅威に対する抑止力であり、最小限の特権を適用することで有害なインシデントを防ぐために積極的に利用できます。ただし、アクセス制御の検出機能は、アクセス環境の重要な可視性を提供し、組織がアクセス戦略と関連するセキュリティリスクを管理するのに役立ちます。前述のように、認証されたユーザーに提供される強力に管理されたアクセス権限は、認証されたユーザーが持つ機能を制限することにより、企業の資産のリスクエクスポージャーを減らす機能を提供します。ただし、特権が提供された後にユーザーが実行できることを制御するためのオプションはほとんどありません。例えば、ユーザーにファイルへの書き込みアクセスが提供され、そのファイルが破損、変更、またはその他の方法で（意図的または意図せずに）悪影響を受けた場合、適用されたアクセス制御を使用すると、トランザクションを可視化できます。システムでの特権の識別、認証、許可、および使用に関するアクティビティをログに記録するための制御環境を確立できます。これは、エラーの発生、不正なアクションの実行の試みを検出するため、または提供された資格情報がいつ行使されたかを検証するために使用できます。検出デバイスとしてのロギングシステムは、許可されたユーザーによって実行されたアクション（成功と失敗の両方）とタスクの証拠を提供します。適用されたアクセス制御を使用すると、トランザクションを可視化できます。システムでの特権の識別、認証、許可、および使用に関するアクティビティをログに記録するための制御環境を確立できます。これは、エラーの発生、不正なアクションの実行の試みを検出するため、または提供された資格情報がいつ行使されたかを検証するために使用できます。検出デバイスとしてのロギングシステムは、許可されたユーザーによって実行されたアクション（成功と失敗の両方）とタスクの証拠を提供します。適用されたアクセス制御を使用すると、トランザクションを可視化できます。システムでの特権の識別、認証、許可、および使用に関するアクティビティをログに記録するための制御環境を確立できます。これは、エラーの発生、不正なアクションの実行の試みを検出するため、または提供された資格情報がいつ行使されたかを検証するために使用できます。検出デバイスとしてのロギングシステムは、許可されたユーザーによって実行されたアクション（成功と失敗の両方）とタスクの証拠を提供します。または、提供された資格情報がいつ行使されたかを検証します。検出デバイスとしてのロギングシステムは、許可されたユーザーによって実行されたアクション（成功と失敗の両方）とタスクの証拠を提供します。または、提供された資格情報がいつ行使されたかを検証します。検出デバイスとしてのロギングシステムは、許可されたユーザーによって実行されたアクション（成功と失敗の両方）とタスクの証拠を提供します。
是正措置セキュリティインシデントが発生した場合、セキュリティインフラストラクチャ内の要素に是正措置が必要になる場合があります。修正制御は、環境のセキュリティポスチャを変更して、欠陥を修正し、環境を安全な状態に戻すことを目的としたアクションです。セキュリティインシデントは、1つ以上の指示、抑止、予防、または補償の制御の失敗を示します。探偵コントロールがアラームまたは通知をトリガーした可能性がありますが、修正コントロールは、インシデントを追跡するために機能する必要があります。修正制御は、目前の特定の状況または対処する必要のある特定のセキュリティ障害に応じて、さまざまな形をとることができます。
回復制御セキュリティインシデントが発生した場合でも、一時的な補償制御を提供する場合でも、アクセス制御環境への変更は、正確に復元して通常の操作に戻す必要があります。アクセス制御、それらの適用性、ステータス、または管理に影響を与える可能性のあるいくつかの状況があります。イベントには、システムの停止、攻撃、プロジェクトの変更、技術的な要求、管理上のギャップ、および本格的な災害状況が含まれる可能性があります。たとえば、アプリケーションが正しくインストールまたは展開されていない場合、システムファイルに配置されたコントロールに悪影響を及ぼしたり、インストール時にデフォルトの管理者アカウントが無意識のうちに実装されたりする可能性があります。さらに、従業員は転勤、退職、または一時的な休暇をとることがあり、職務の分離に関するポリシー要件に影響を与える可能性があります。システムへの攻撃により、トロイの木馬プログラムが導入され、クレジットカード情報や財務データなどの個人ユーザー情報が公開される可能性があります。これらすべての場合において、望ましくない状況を可能な限り迅速に修正し、制御を通常の操作に戻す必要があります。
試験では、さまざまなセキュリティ管理に関する以下の情報を知っておく必要があります
抑止制御抑止制御は、潜在的な攻撃者を思いとどまらせることを目的としています。アクセス制御は、潜在的な攻撃者が制御を回避しようとするのを防ぐのに十分であるという単純な事実によって、脅威や攻撃に対する抑止力として機能します。これは多くの場合、攻撃者が成功した場合の潜在的な報酬よりも制御を回避するために必要な労力がはるかに大きいため、または逆に、失敗した攻撃（または捕らえられた）の悪影響が成功の利点を上回っているためです。たとえば、ユーザー、サービス、またはアプリケーションの識別と認証、およびそれが意味するすべてを強制することにより、攻撃者はインシデントとの関連を恐れるため、システムに関連するインシデントの可能性が大幅に減少します。特定のアクセスパスに対するコントロールがない場合、インシデントの数と潜在的な影響は無限になります。コントロールは、プロセスに監視を適用することにより、本質的にリスクへのエクスポージャーを減らします。この見落としは抑止力として機能し、起こりうる影響に直面して攻撃者の食欲を抑制します。抑止制御の最良の例は、従業員と、意図的に許可されていない機能を実行し、望ましくないイベントにつながる傾向があることによって示されます。ユーザーがシステムに認証して機能を実行することにより、ユーザーのアクティビティがログに記録されて監視されることをユーザーが理解し始めると、ユーザーがそのようなアクションを試みる可能性が低くなります。多くの脅威は脅威エージェントの匿名性に基づいており、それらのアクションとの識別および関連付けの可能性は、いかなる犠牲を払っても回避されます。アクセス制御が攻撃者による回避の主要なターゲットであるのは、この根本的な理由です。抑止力は、ユーザーが許可されていないことをした場合の潜在的な罰の形も取ります。たとえば、組織のポリシーで、許可されていないワイヤレスアクセスポイントを設置している従業員が解雇されると指定されている場合、ほとんどの従業員はワイヤレスアクセスポイントを設置できなくなります。
予防的管理予防的管理は、インシデントの発生を回避することを目的としています。予防的アクセス制御は、ユーザーが何らかのアクティビティや機能を実行できないようにします。予防的制御は、制御がオプションではなく、（簡単に）バイパスできないという点で抑止的制御とは異なります。抑止制御は、制御をバイパスした結果を危険にさらすよりも、制御に従う方が簡単であるという理論に基づいて機能します。言い換えれば、アクションの力はユーザー（または攻撃者）にあります。予防的制御はシステムに行動の力を与え、制御に従うことはオプションではありません。コントロールをバイパスする唯一の方法は、コントロールの実装に欠陥を見つけることです。
補償コントロール補償コントロールは、システムの既存の機能がポリシーの要件をサポートしていない場合に導入されます。補償コントロールは、技術的、手続き的、または管理的である可能性があります。既存のシステムは必要な制御をサポートしていない場合がありますが、既存の環境を補完し、制御のギャップを埋め、ポリシー要件を満たし、全体的なリスクを軽減できる他のテクノロジーまたはプロセスが存在する場合があります。たとえば、アクセス制御ポリシーでは、インターネットを介して実行する場合、認証プロセスを暗号化する必要があると規定されている場合があります。認証目的で暗号化をネイティブにサポートするようにアプリケーションを調整すると、コストがかかりすぎる可能性があります。暗号化プロトコルであるSecureSocketLayer（SSL）を採用し、認証プロセスの上に階層化して、ポリシーステートメントをサポートできます。他の例としては、システムの技術的限界を補い、トランザクションのセキュリティを確保するために特定のタスクを分離する機能を提供する職務分離環境があります。さらに、承認、監視、管理などの管理プロセスを使用して、アクセス制御環境のギャップを補うことができます。
探偵コントロール探偵コントロールは、何かが起こったときに警告し、インシデント後のタイムラインの最も早い時点です。アクセス制御は脅威に対する抑止力であり、最小限の特権を適用することで有害なインシデントを防ぐために積極的に利用できます。ただし、アクセス制御の検出機能は、アクセス環境の重要な可視性を提供し、組織がアクセス戦略と関連するセキュリティリスクを管理するのに役立ちます。
前述のように、認証されたユーザーに提供される強力に管理されたアクセス権限は、認証されたユーザーが持つ機能を制限することにより、企業の資産のリスクエクスポージャーを減らす機能を提供します。ただし、特権が提供された後にユーザーが実行できることを制御するためのオプションはほとんどありません。たとえば、ユーザーにファイルへの書き込みアクセスが提供され、そのファイルが破損、変更、またはその他の方法で（意図的または意図せずに）悪影響を受けた場合、適用されたアクセス制御を使用すると、トランザクションを可視化できます。システムでの特権の識別、認証、許可、および使用に関するアクティビティをログに記録するための制御環境を確立できます。これは、エラーの発生、不正なアクションの実行の試みを検出するために使用できます。または、提供された資格情報がいつ行使されたかを検証します。検出デバイスとしてのロギングシステムは、許可されたユーザーによって実行されたアクション（成功と失敗の両方）とタスクの証拠を提供します。
是正措置セキュリティインシデントが発生した場合、セキュリティインフラストラクチャ内の要素に是正措置が必要になる場合があります。修正制御は、環境のセキュリティポスチャを変更して、欠陥を修正し、環境を安全な状態に戻すことを目的としたアクションです。セキュリティインシデントは、1つ以上の指示、抑止、予防、または補償の制御の失敗を示します。探偵コントロールがアラームまたは通知をトリガーした可能性がありますが、修正コントロールは、インシデントを追跡するために機能する必要があります。修正制御は、目前の特定の状況または対処する必要のある特定のセキュリティ障害に応じて、さまざまな形をとることができます。
回復制御
セキュリティインシデントに直面した場合でも、
一時的な補償コントロールを提供し、正確に復元して通常に戻す必要があります
オペレーション。アクセス制御、その適用性、ステータスに影響を与える可能性のあるいくつかの状況があります。
または管理。
イベントには、システムの停止、攻撃、プロジェクトの変更、技術的な要求、管理などが含まれます。
ギャップ、そして本格的な災害状況。たとえば、アプリケーションが正しくインストールされていない場合や
デプロイすると、システムファイルに配置されたコントロールに悪影響を及ぼしたり、デフォルトが発生したりする可能性があります
インストール時に無意識のうちに管理アカウントが実装されました。
さらに、従業員は転勤、退職、または一時的な休暇をとることがあり、ポリシーに影響を与える可能性があります
職務の分離に関する要件。システムへの攻撃により、
トロイの木馬プログラムの埋め込み。次のような個人ユーザー情報を公開する可能性があります。
クレジットカード情報と財務データ。これらすべての場合において、望ましくない状況は
可能な限り迅速に修正され、コントロールは通常の操作に戻りました。
次の答えは正しくありません。
他の例は、修正管理に属しています。
この質問を作成するために、次の参照が使用されました。
CISAレビューマニュアル2014ページ番号44
と
公式ISC2CISSPガイド第3版ページ番号50および51