探偵コントロールは、インシデントの活動と侵入者の可能性を特定するのに役立ちます。試験では、さまざまなセキュリティコントロールに関する以下の情報を知っておく必要があります。
抑止制御 抑止制御は、潜在的な攻撃者を阻止することを目的としています。アクセス制御は、制御が存在するだけで、潜在的な攻撃者が制御を回避しようとするのを阻止するのに十分であるという単純な事実によって、脅威や攻撃に対する抑止力として機能します。これは、多くの場合、制御を回避するために必要な労力が、攻撃者が成功した場合の潜在的な見返りよりもはるかに大きいため、または逆に、攻撃が失敗した場合 (または捕まった場合) のマイナスの影響が成功の利点を上回るためです。たとえば、ユーザー、サービス、またはアプリケーションの識別と認証、およびそれが意味するすべてのことを強制すると、攻撃者はインシデントとの関連を恐れるため、システムに関連するインシデントの可能性が大幅に減少します。特定のアクセス パスに制御がない場合、インシデントの数と潜在的な影響は無限になります。制御は、プロセスに監視を適用することで、本質的にリスクにさらされる可能性を減らします。この監視は抑止力として機能し、起こり得る影響に直面した攻撃者の意欲を抑制します。抑止制御の最も良い例は、従業員が故意に許可されていない機能を実行し、望ましくないイベントを引き起こす傾向に表れています。ユーザーが、機能を実行するためにシステムに認証すると、アクティビティが記録および監視されることを理解し始めると、そのようなアクションを試みる可能性が低くなります。多くの脅威は脅威エージェントの匿名性に基づいており、識別やアクションとの関連付けの可能性は、どんな犠牲を払ってでも回避されます。これが、アクセス制御が攻撃者による回避の主なターゲットである根本的な理由です。抑止は、ユーザーが許可されていないことを行った場合に罰則を科すという形を取ることもあります。たとえば、組織のポリシーで、許可されていないワイヤレス アクセス ポイントをインストールした従業員は解雇されると指定されている場合、ほとんどの従業員はワイヤレス アクセス ポイントをインストールしないことになります。
予防的コントロール 予防的コントロールは、インシデントの発生を回避することを目的としています。予防的アクセス コントロールは、ユーザーが何らかのアクティビティや機能を実行できないようにします。予防的コントロールは、コントロールがオプションではなく、(簡単に) バイパスできないという点で、抑止的コントロールとは異なります。抑止的コントロールは、コントロールをバイパスするリスクを負うよりも、コントロールに従う方が簡単であるという理論に基づいて機能します。言い換えると、アクションの権限はユーザー (または攻撃者) にあります。予防的コントロールでは、アクションの権限がシステムにあり、コントロールに従うことはオプションではありません。コントロールをバイパスする唯一の方法は、コントロールの実装に欠陥を見つけることです。
代替制御 代替制御は、システムの既存の機能がポリシーの要件をサポートしていない場合に導入されます。代替制御は、技術的、手順的、または管理的なものになります。既存のシステムが必要な制御をサポートしていない場合でも、既存の環境を補完し、制御のギャップを埋め、ポリシー要件を満たし、全体的なリスクを軽減できる他のテクノロジまたはプロセスが存在する場合があります。たとえば、アクセス制御ポリシーでは、インターネット経由で認証プロセスを実行する場合は暗号化する必要があると規定されている場合があります。認証のために暗号化をネイティブでサポートするようにアプリケーションを調整すると、コストがかかりすぎる可能性があります。暗号化プロトコルである Secure Socket Layer (SSL) を採用し、認証プロセスの上に重ねてポリシー ステートメントをサポートできます。その他の例としては、職務分離環境があります。職務分離環境では、特定のタスクを分離してシステムの技術的制限を補い、トランザクションのセキュリティを確保できます。さらに、承認、監督、管理などの管理プロセスを使用して、アクセス制御環境のギャップを補うことができます。
検出制御 検出制御は、何かが発生したときに警告を発するもので、インシデント発生後のタイムラインの最も早い時点です。アクセス制御は脅威に対する抑止力であり、最小限の権限を適用することで有害なインシデントを防ぐために積極的に活用できます。ただし、アクセス制御の検出的な性質により、アクセス環境を大幅に可視化でき、組織がアクセス戦略と関連するセキュリティ リスクを管理するのに役立ちます。前述のように、認証されたユーザーに提供される厳格に管理されたアクセス権限は、認証されたユーザーの機能を制限することで、企業の資産のリスク エクスポージャーを軽減する機能を提供します。ただし、権限が付与された後にユーザーが実行できる操作を制御するオプションはほとんどありません。たとえば、ユーザーにファイルへの書き込みアクセス権限が付与され、そのファイルが破損、変更、またはその他の悪影響を受けた場合 (意図的または意図的でない)、適用されたアクセス制御を使用すると、トランザクションを可視化できます。制御環境を確立して、システムでの権限の識別、認証、承認、および使用に関するアクティビティをログに記録できます。これを使用して、エラーの発生、不正なアクションの実行の試みを検出したり、提供された資格情報が使用されたかどうかを検証したりできます。検出デバイスとしてのログ記録システムは、承認されたユーザーによって実行されたアクション (成功と失敗の両方) とタスクの証拠を提供します。
是正管理 セキュリティ インシデントが発生すると、セキュリティ インフラストラクチャ内の要素に是正措置が必要になる場合があります。是正管理とは、環境のセキュリティ態勢を変更して欠陥を修正し、環境を安全な状態に戻すための措置です。セキュリティ インシデントは、1 つ以上の指令、抑止、予防、または補償管理の失敗を示します。検出管理によってアラームまたは通知がトリガーされた可能性がありますが、今度は是正管理によってインシデントを阻止する必要があります。是正管理にはさまざまな形式があり、すべては現在の特定の状況や対処が必要な特定のセキュリティ障害によって異なります。
リカバリ制御 セキュリティ インシデントが発生した場合でも、一時的な補償制御を提供する場合でも、アクセス制御環境への変更は、正確に復元して通常の運用に戻す必要があります。アクセス制御、その適用性、ステータス、または管理に影響を与える可能性のある状況はいくつかあります。イベントには、システム停止、攻撃、プロジェクトの変更、技術的要求、管理上のギャップ、および本格的な災害状況が含まれます。たとえば、アプリケーションが正しくインストールまたは展開されていない場合、システム ファイルに設定されている制御に悪影響を与えたり、インストール時に既定の管理アカウントが知らないうちに実装されたりする可能性があります。さらに、従業員が異動、退職、または一時休暇を取ると、職務分離に関するポリシー要件に影響する可能性があります。システムへの攻撃によってトロイの木馬プログラムが埋め込まれ、クレジットカード情報や財務データなどのユーザーの個人情報が漏洩する可能性があります。これらのすべてのケースで、望ましくない状況をできるだけ早く修正し、制御を通常の運用に戻す必要があります。
次の回答は間違っています。
抑止力 - 抑止力は潜在的な攻撃者を阻止することを目的としています
予防的 - 予防的管理は、事故の発生を回避することを目的としています。
補償 - 補償制御は制御の代替手段を提供します
この質問を作成するために、以下の参考資料が使用されました:
CISA レビューマニュアル 2014 ページ番号 44 および公式 ISC2 CISSP ガイド第 3 版 ページ番号 50 および 51

説明/参照:
Explanation:
データベース シャドウイングは、ユーザーのデータベースの完全なコピーを代替情報処理施設で維持するトランザクション冗長性ソリューションの一種です。
誤った回答:
B: データ ミラーリングでは、必ずしもリモート ロケーションを使用するわけではありません。データ ミラーリングでは、ローカル ネットワーク上の別のサーバー、または同じサーバー上の別のハード ドライブにデータがミラーリングされます。
C: バックアップ ソリューションはデータベース レコードを処理しません。ファイル レベルでデータを処理します。
D: アーカイブ ソリューションはデータベース レコードを処理しません。ファイルはファイル レベルで処理されます。
参考文献:
http://www.bcmpedia.org/wiki/Database_Shadowing

説明/参照:
Explanation:
Secure Sockets Layer (SSL) は主に Web ベースのトラフィックを保護します。
誤った回答:
B: Secure Sockets Layer (SSL) は EDI トランザクションを保護しません。Web トランザクションを保護します。
C: Secure Sockets Layer (SSL) は、Telnet トランザクションではなく、Web トランザクションを保護します。
D: Secure Sockets Layer (SSL) は、電子決済トランザクションではなく、Web トランザクションを保護します。
参考文献:
ハリス、ショーン、「オールインワン CISSP 試験ガイド」、第 6 版、マグロウヒル、ニューヨーク、2013 年、708 ページ

スマート ID カードには、ユーザーの ID を確立し、メッセージをデジタルで暗号化および復号化するためのデジタル証明書を含めることができます。
通常、ID カードには、身分証明書、個人証明書、公開証明書の 3 種類の証明書があります。
- 身分証明書: 施設に入るときにスワイプしたり、コンピューターにログインするときに、身元を証明するために使用される証明書です。
- 公開証明書: これは一般公開されます。この証明書を持つ人は誰でも、秘密鍵で暗号化したメッセージを復号化するために使用できます。
- 秘密証明書: これは、メッセージを暗号化するために使用するキーです。これは、公開キーの補完キーです。秘密キーで暗号化されたメッセージを復号化できるのは、公開キーだけです。
PKI (公開鍵インフラストラクチャ) とも呼ばれるこの方法は、カード上で鍵を使用する方法です。通常、適切な PIN 番号を入力すると、ログオン、デジタル署名、メッセージの暗号化と復号化を行うことができるソフトウェアがコンピューター上に存在します。
カードを紛失した場合、秘密にしておくことが不可欠な唯一の証明書は、公開鍵で暗号化されたメッセージを復号化できる秘密鍵です。
このような状況が発生すると、秘密キーが CRL (証明書失効リスト) に追加されます。これは証明機関または CA サーバーによって公開され、システムがどの証明書を信頼し、どの証明書を信頼しないかを把握できるように、定期的にダウンロードする必要があります。
特に、失効リストは、特に低速または戦術的な軍事ネットワークでは、かなり大きくなり、ダウンロードに時間がかかることがあります。また、証明書は、
CRL: 取り消しまたは保留。保留は取り消すことができますが、取り消し状態になると永久に失われます。
OCSPについて
証明書が有効かどうかを検証する別の方法は、OCSP を使用することです。
オンライン証明書ステータスプロトコル（OCSP）は、X.509デジタル証明書の失効ステータスを取得するために使用されるインターネットプロトコルです。これはRFC 6960で説明されており、
インターネット標準トラック。証明書失効リストの代替として作成された。
(CRL)、特に公開鍵インフラストラクチャ (PKI) で CRL を使用することに関連する特定の問題に対処します。OCSP を介して通信されるメッセージは ASN.1 でエンコードされ、通常は HTTP 経由で通信されます。これらのメッセージの「要求/応答」の性質により、OCSP サーバーは OCSP レスポンダーと呼ばれます。
次の回答は間違っています。
- ユーザーに再発行されます。これは正しくありません。プライベート証明書が失われると、ユーザーの制御が及ばなくなるため、二度と信頼されなくなる可能性があります。
- ユーザーに新しい証明書が発行されます。これは実際には正しいのですが、最初に起こることではありません。
通常、ユーザーの以前の証明書が CRL に追加され、その後、新しい証明書がユーザーに発行されます。この方法では、1 人のユーザーに対して証明書が 2 セット存在する可能性はありません。
- ユーザーは証明書を持っていなくなる可能性があります: ユーザーが解雇されたり退職したりしない限り、これは正しくありません。ユーザーは PKI 環境で操作するために証明書を持っている必要があります。(公開鍵
インフラストラクチャー）
この質問を作成するために、次の参考資料が使用されました。
2013年。Security+公式カリキュラム。