ログイン
サインイン

マインドマップギャラリー CISSP 学習ノート - ドメイン 5 (アイデンティティアクセス管理)

CISSP 学習ノート - ドメイン 5 (アイデンティティアクセス管理)

これは、CISSP 学習ノート - ドメイン 5 (アイデンティティアクセス管理) に関するマインドマップです。主な内容には、復習の質問と知識ポイントが含まれます。

2024-04-02 12:32:49 に編集されました

WSUJfrxa

最近の作品その他の作品を表示>>

CISSP 学習ノート - ドメイン 5 (アイデンティティアクセス管理)

WSUJfrxa

最近の作品その他の作品を表示>>

おすすめ
アウトライン

大学入試地理の質問応答スキルのテンプレート
- 9
MMガイド作品
大学入試中国語出願問題解答テクニック
- 7
MMガイド作品
品質管理のレッドライン
- 14
MMガイド作品
安全管理要素の安全管理体制の確立と実施【実践編】
- 15
PlotWizard
安全設備用破裂板【規制概要】
- 14
PlotWizard
安全設備用安全弁【動作原理編】
- 15
PlotWizard
安全設備用安全弁【規制概要】
- 13
PlotWizard
CISSP 学習ノート - ドメイン 7 (セキュリティ運用)
- 15
WSUJfrxa
CISSP 学習ノート - ドメイン 6 (セキュリティ評価とテスト)
- 19
WSUJfrxa
CISSP 学習ノート - ドメイン 4 (通信とネットワークセキュリティ)
- 24
WSUJfrxa

CISSP 学習ノート - ドメイン 5 (アイデンティティアクセス管理)

知識のポイント

5.1. 資産への物理的および論理的アクセスの制御

5.1.1. 情報

5.1.1.1 ID とアクセス管理の概要

ID とアクセス管理 (IAM または IDAM) は情報セキュリティの基礎であり、リソースへのアクセスを要求するエンティティを識別および認証し、責任ある行動を確保することに重点を置いています。エンティティは、ユーザー、システム、アプリケーション、またはプロセスです。

IAM は、識別、認証、認可、監査 (IAAAA) という 4 つの基本要素で構成されます。

5.1.1.2 論理的および物理的アクセス制御

1 物理的アクセス制御: 建物への物理的アクセスを制御するためのドア、カーテン、フェンスなどが含まれます。

2 論理アクセス制御: システムへのアクセスに使用されるパスワード、PIN コード、または共有対称キーなどが含まれます。

3. 制御戦略: 組織の資産とアクセスの優先順位を理解し、貴重な物理的資産と機密性要件に対して強力な物理的アクセス制御を採用し、厳格なデータ整合性要件を持つ情報システムに対して論理的制御を採用する必要があります。

5.1.1.3 アクセス制御定義

•物体：

ファイル、アプリケーション、施設、データベースなど、サブジェクトがアクセスしようとしているエンティティ。オブジェクトは、機密性、完全性、可用性、否認防止および信頼性 (CIANA) 要件を満たす必要があります。

•本体：

人間のユーザー、またはシステム、プログラム、デバイスなどの人間以外のエンティティの場合もあります。サブジェクトはオブジェクトへのアクセスを必要とし、アクセス制御はこのアクセスをどのように許可、使用、監視するかを定義します。

•アクセス：

サブジェクトがオブジェクトに対して実行できる操作。

5.1.1.4 情報

情報 (生データを含む) は、システム、デバイス、記憶媒体、アプリケーションなどで送信、保存、または処理される場合があります。

情報が異なれば、必要な保護の種類やレベルも異なります。情報のライフサイクルに基づいて保護のニーズを評価し、対応する措置を講じる必要があります。

5.1.2. システム

5.1.2.1 システムの定義

システムとは、電子情報システムについて議論するために CISSP で一般的に使用されるハードウェア、ソフトウェア、人材、ポリシー、手順、およびその他のリソースの集合です。

5.1.2.2 システムアクセス制御の実装 CIANA

•機密性: 不正アクセスを避けるために、システム内の情報のセキュリティを確保する必要があります。施錠された金庫などの物理的アクセス制御と、フルディスク暗号化 (FDE) などの論理的アクセス制御。

• 完全性: アクセス制御を通じて、権限のないユーザーが情報を変更することを防ぎます。

•可用性: たとえば、サーバーキャビネットをロックすると、権限のないユーザーが悪意を持ってシステムをシャットダウンしたり、誤ってシステムをシャットダウンしたりすることを防ぎます。

· 信頼性: IAM の認証を使用して、システム内の信念、コマンド、またはその他の情報が信頼できることを証明します。身元の証明に成功したら、対象者または対象者が提供する証拠の信頼性を評価できます。

•否認防止: プリンシパルを一意に識別および認証する IAM システムの機能、およびシステムのアクションと識別情報の記録に依存します。

5.1.2.3 集中型 IAM

一元的な IAM 管理には、すべてのアクセス制御の管理を担当する専用のアクセス制御機能 (チームや特定の部門など) があり、厳格な監視と監視の利点が得られます。欠点は、単一障害点が存在する可能性があることです。

5.1.2.4 分散型 IAM

分散型 IAM 管理では機能が分散され、多くの場合、アクセス制御の決定がシステムまたは情報の所有者に割り当てられます。これにより、より大きな自由と柔軟性が得られますが、一貫性のない執行と統一された監視の欠如という欠点があります。

5.1.3. 設備

一部のデバイスでは、盗難や損傷を防ぐために独自のセキュリティ対策が必要な場合があります。これらには、画面ロック、リモートワイプ、アプリケーションと情報の分離 (コンテナ化)、その他のさまざまな物理的および論理的対策が含まれます。

デバイス IAM の目標は、エンドポイントを保護し、保護されていないデバイスへのアクセスを制限し、承認されたユーザーのみがアクセスできるようにすることです。

5.1.4. 設備

5.1.4.1 物理アクセス制御システム (PACSS)

物理的アクセス制御システムには、ゲート、フェンス、改札口、セキュリティバッジ、警備員などの物理的セキュリティを実装する施設が含まれます。

さらに、警備員の監視スケジュール、バッジの要件、積み込み場の手順、訪問者の登録と付き添いなど、これらの制御を運用するために必要な管理手順も含まれます。

予防：

•人命が第一の関心事であるため、PACSS を設計する際には緊急事態も考慮する必要があります。

•クラウドサービスプロバイダー (CSP) と個人所有のスマートフォンは、多くの組織が保護する必要がある新たな資産となっています。

•選択したコントロールの複雑さは、保護される資産の価値に比例する必要があります。

5.1.4.2 物理的アクセス制御システム要素

1. ユーザーとデバイスの識別

通常、人物は ID カード、ステッカー、またはバッジによって識別され、アイテムは RFID タグ、バーコード、またはクイックレスポンス (QR) コードを使用して識別できます。

2. フェンスと門

フェンスは不必要な立ち入りを防ぎ、人々を管理された立ち入りポイントに誘導します。ゲートは、ID バッジの表示やパスワードの入力など、識別と認証が行われる追加のチェックを実装する機能を提供します。

3.安全扉

スマートカード、スマートフォンアプリ、PIN コードの使用など、適切な資格情報を提示した人にのみ入場を許可します。

4. 錠前と鍵

5.侵入検知センサー

これらのセンサーは検出制御であり、不正アクセスを検出できます。たとえば、赤外線、音響、重量または圧力センサーは、体温、ガラスが割れる音、侵入者の動きに基づいて侵入者を検出できます。

6 回転ドアまたは二重ゲート

通常、回転式改札口では一度に 1 人しか通過できませんが、二重ゲートでは、ユーザーは安全な前室スペースに入るために 1 セットの資格情報を提示する必要があり、その後、前庭からメインスペースに入るには別のセットの資格情報が必要になります。

7. CCTV監視

8. セキュリティ

ガードは、物理的アクセス制御の最も便利で柔軟性が高く、高価な形式の 1 つです。

5.1.5. アプリケーション

1. 最小特権の原則

アプリケーションへのアクセスは、最小特権の原則に従い、ロールベースのアクセス制御 (RBAC) モデルに基づいて適切かつ過度ではないアクセスを許可する必要があります。

2. 必要なものの原理を知る（必要なものを知ることができる）

アプリケーションによる特定のデータへのアクセスは、何が必要かを知るという原則に従う必要があります。たとえば、モバイルデバイス管理 (MDM) では、コンテナ化テクノロジにより、論理的分離を通じて無許可のアプリケーションが組織データにアクセスするのを防ぐことができます。

3 アクセス許可の粒度

多くの場合、アプリケーションは複数のレベルのユーザーアクセスを提供します。粒度は、制御可能なアクセスのレベルを表します。高粒度のアプリケーションは、特定のオブジェクトへの各ユーザーのアクセスのカスタマイズをサポートしますが、低粒度のアプリケーションでは、アプリケーションとそれに含まれるすべてのデータへの基本的な許可/拒否アクセスのみが許可されます。粒度が不十分だと、セキュリティの脆弱性が発生する可能性があります。

5.2. 管理者、設備およびサービスの識別と認証

5.2.1. アイデンティティ管理 (IdM) の実装

ID 管理 (IdM) のいくつかの主要な機能:

1. 作成: リクエストを処理し、レビューと承認のプロセスをサポートすることで ID を確立します。

2. 削除: ユーザー削除プロセスを実装して、ID とアクセス権をタイムリーに削除します。

3. ID とアカウント管理: ユーザー ID を効果的に管理するための集中型または分散型アカウント管理機能を提供します。

4. 投資権管理: ID が作成された後、IdM は ID に初期アクセス権を割り当てる責任を負います。

5. ID レビュー: ユーザー ID とアクセス権を監督およびレビューして、セキュリティとコンプライアンスを確保します。

5.2.2. 単一要素認証と多要素認証 (MFA)

5.2.2.1 ID 認証要素

1. 認証要素には主に 3 つのタイプがあります。

•知っていること (知識要素、タイプ 1): パスワード、パスワード、または秘密の質問への答えなど。

•何を持っていますか (所有要素、タイプ 2): 携帯電話、USB キー、アクセスカードなど。

•あなた自身 (生体認証要素、タイプ 3): 指紋、虹彩スキャンなど。

単一要素認証では 1 つの認証要素が使用され、多要素認証では 2 つ以上の認証要素が使用されます。タイプ 1 が最も弱く、タイプ 3 が最も強力ですが、タイプ 3 も簡単に回避できます。したがって、多要素認証が推奨されます。

2 つの新しいタイプの認証要素

ユーザーがどこでどのように認証されるかを検討してください。新しいデバイスまたは見慣れない場所からのログイン、多要素認証 (MFA) プロンプトのトリガーなど。

5.2.2.2 何を知っていますか (タイプ 1)

利点: 使いやすく、実装も簡単です。

短所: 忘れられやすく、攻撃者によって簡単に破壊されます。

1.NIST SP 800-63B の最新パスワードポリシー推奨事項:

複雑さよりも使いやすさを優先する: 複雑なパスワードは覚えにくいため、タイプミスを考慮してより多くの入力試行が可能になります。

複雑さよりも長さを増やす: 複雑さを増さずに長いパスワード (例: 1PassedTheCISspcertifrcation) を許可します (例: iP@ss3dTh3C1sSp)。後者はユーザーが誤ってロックする可能性が高くなります。

変更が少ないパスワードは推測や解読が難しいため、現在のガイダンスでは、パスワードが侵害された場合にのみ変更するよう求めています。

2. 一般的なパスワードの提案:

•パスワードの長さ: 8 文字以上。

•パスワードの複雑さ: 大文字、小文字、数字、特殊文字が含まれます。

•パスワードの有効期間: パスワードを定期的に変更します。

•Pyrimid コードストレージ: 暗号化ストレージ、非テキストストレージ。

•パスワードの回復: 忘れたり紛失したりした場合に効果的な方法。

・パスワードチェック：以前に使用したことがないか確認します。

•パスワード強度の評価: ユーザーに、より強力なパスワードを選択するよう促します。

組織は、業界およびコンプライアンスの要件に基づいて独自のパスワードポリシーを開発する必要があります。

5.2.2.3 何を持っていますか (タイプ 2)

デジタル証明書、ID バッジまたはスマートカード、物理認証トークン、スマートフォンベースの認証アプリケーションなど。通常は単独で使用することはなく、共有したり借りたりすることもあります。

1. 電子証明書: 所有者の身元と公開鍵を証明する電子証明書。

2. 番号バッジまたはスマートカード: ユーザーの ID を識別する物理媒体。スマートカードマシンの入力パスワードまたは指紋認証

3. 物理認証トークン: ワンタイム認証コードを生成する物理デバイス。

• 同期動的パスワードトークン (TOTP): サーバー時間と同期し、パスワードを定期的に生成します。

•非同期動的パスワードトークン (HOTP): パスワードの 1 回限りの使用を保証するために、ナンス (1 回限りの使用番号) を使用して動的パスワードの取得を手動でトリガーします。 TOTP は、時間ベースのワンタイムパスワード標準を使用します。 HOTP は、HMAC アルゴリズムに基づくワンタイムパスワード標準を使用します。

4. スマートフォンベースの認証アプリ: ワンタイム認証コードを生成し、スマートフォン経由でユーザーの身元を確認するモバイルアプリ。

5.2.2.4 あなたは何者ですか (タイプ 3)

生体認証要素は、身元を識別または検証するために使用されます。 MFA の 2 番目または 3 番目の要素として使用されますが、単独で使用されることはあまりありません。

一般的な生体認証方法:

•指紋認識:指紋をスキャンしてデバイスのロックを解除します。

・網膜認識：網膜の血管パターンを高精度でスキャンし、クラックが困難で、健康情報（PHI）やセキュリティ問題が漏洩する可能性があります。

●虹彩認識：虹彩パターンを高精度にスキャンし、長距離の認識が可能です。

•顔認識: 顔の特徴をスキャンしてデバイスのロックを解除し、犯罪者を逮捕します。

•音声認識：身元を識別するための音声認識技術。

•手書き認識: 手書きの痕跡をスキャンして身元を特定します。

●心電図識別：心電図をスキャンして個人を識別します。

5.2.2.5 一般的なアクセス制御エラー

· 本人拒否率 (FRR): タイプ 1 エラー。有効な生体認証は検証できないため、高度なセキュリティ要件が要求される環境で使用されます。

偽陰性、正しいユーザーを拒否する

•他人受入率 (FAR): タイプ 2 エラー。無効な生体認証は有効な ID と誤認され、セキュリティ要件が低い環境で使用されます。

誤検知、間違ったユーザーが許可される

・クロスオーバーエラーレート（CER）はFRRとFARの交点であり、基準となる評価値として使用されます。生体認証デバイスの精度を比較すると、CER が低いデバイスの方が、CER が高いデバイスよりも正確です。

5.2.2.6 多要素認証 (MFA)

パスワードだけでも簡単に推測でき、トークンだけでも紛失または盗難される可能性があり、生体認証だけでも誤検知が発生する可能性があります。組み合わせて使用すると強度と精度が高まります。

5.2.3. 説明責任

アカウンタビリティは、ユーザーまたはプログラムが実行するアクションや決定に対して責任を負うことを保証するメカニズムです。効果的な説明責任を実現するには、誰 (ユーザーまたはプログラム) がどのようなアクション (動作) を実行したかを明確に特定し、文書化する必要があります。これには、各ユーザーまたはプログラムに一意の ID を提供し、その ID の信頼性を検証する必要があります。

5.2.4. セッション管理

セッション管理はユーザーの識別と認証から始まり、アプリケーションまたはシステムからの切断で終了します。データとセッション中に交換されるデータを保護することが重要です。セッションは、長さを制限したり、特定のホスト間でのみ実行するなどのセキュリティ要件に従う必要もあります。

1. 安全なセッション管理を実現するには、次の措置を講じてください。

•強力な認証メカニズム

•高強度セッションキー

•優れた暗号化アルゴリズムとメカニズム

•セッションタイムアウトを制限する

•非アクティブなセッションは自動的に切断されます

•異常な活動を検出するための管理措置

2. セッション関連のセキュリティ脆弱性:

• セッションハイジャック: 攻撃者は、情報の取得または改ざんを目的として、通信当事者の 1 人になりすまします。

• セッション側ハイジャック: 同じネットワーク上のユーザーがパケットスニッフィングを通じてセッションをハイジャックし、セッション Cookie 情報を盗み、正規ユーザーになりすまします。

•セッション固定: セッション ID を再利用する Web アプリケーションに対する攻撃。攻撃者は既存のセッション ID を使用して、ユーザーのブラウザをだまして認証および資格情報を盗みます。

3. セッション管理のセキュリティ慣行

•OWASP によって公開されたセッション管理のベストプラクティスガイダンス: https://shorturl.ac/owasp_session。

提案：

•明らかな識別情報を避けるために、長く複雑なセッション ID 文字列を使用します。

-セッショントークンを Cookie 形式で保存して HTTPS の使用を強制する場合は、Secure 属性などの適切なセキュリティ属性を設定します。

•開発のベストプラクティスに従い、URL にセッション ID を含めることを避け、セッション ID を共有せず、不要なセッション ID を速やかに削除します。

5.2.5. 登録、認証および識別

ID 管理は、ユーザー情報の検証と、ID を確立するためのユーザーアカウントまたは資格情報の作成に関係しており、信頼性、機密性、完全性を含むシステムとそのデータのセキュリティを考慮する必要があります。

1.NIST の ID 保証レベル (IALS) は 3 つのレベルに分かれています。

•IAL1 (自己認証されたアイデンティティ)

最下位レベルでは、ユーザーは自分の身元を自己証明する必要があります。個人を検証された現実の身元と関連付ける必要はありません。現実世界の結果に責任が伴わないシステムに適用されます。

•IAL2 (身分証明書と証明の提出):

ユーザーは、実名認証のために本人確認書類と証明書を直接またはリモートで提出する必要があります。有効な身分証明書を雇用主に提供する必要がある雇用シナリオでよく使用されます。

•IAL3 (物理的な存在の証明と正式な審査):

最高レベルでは、信頼できる証拠 (政府発行の ID カードなど) による本人確認と、訓練を受けた CSP スタッフによる本人確認と文書の正式な審査が必要です。個人認証により信頼が高まります。

2. 必要な保証レベルは、システムとそのデータのセキュリティ要件、およびユーザーの作業の機密性によって異なります。

例: 航空会社の運航では、仕事の機密性に応じて、従業員ごとに異なる身分証明書要件が存在する場合があります。乗客の定員について案内するグリーターは生命、健康、安全への影響が少ないため、IAL2 のみが必要であり、整備士やメンテナンス担当者にはより厳しい検査が必要になる場合があります。

3. ID 情報が送信され、検証され、適切なレベルまで検証された後、ユーザーの ID を確立できます。

5.2.6. フェデレーション ID 管理 (FIM)

Federated Identity Management (FIM) は、フェデレーションに参加しているシステム間でユーザー認証とアクセス権を共有することで、管理オーバーヘッドを削減し、複数の資格情報セットの管理を簡素化します。 FIM はシングルサインオン (sSO) に似ており、アカウントの作成と管理のコストを削減し、ユーザーに簡単なアクセスを提供し、セキュリティ上の利点を提供するように設計されています。ただし、フェデレーションによってもたらされるリスクも慎重に評価する必要があります。フェデレーション内の 1 つの組織のセキュリティ慣行が不十分な場合、フェデレーション全体の他のシステムにセキュリティリスクが生じる可能性があります。

5.2.7. 認証情報管理システム (CMS)

資格情報管理システムを使用すると、組織はユーザー ID とパスワードを一元管理できます。このようなシステムは商用ソフトウェア製品として入手でき、オンプレミスまたはクラウド環境に展開されます。

CMS の主な役割は、ユーザーのアカウントを作成し、さまざまなシステムや LDAP や Microsoft Active Directory などの集中 ID 管理システムにオンデマンドで資格情報を配布することです。認証情報管理システムは、スタンドアロンアプリケーションとして存在することも、IAM システムのコンポーネントとして存在することもできます。

5.2.8.シングルサインオン(SSO)

SSO は、ユーザーが 1 回の認証で複数のリソースにアクセスできるようにする認証方法です。 SSO を実装するテクノロジーには、Kerberos や Windows Active Directory などがあります。 SSO とフェデレーション ID 管理を組み合わせると、サードパーティの ID プロバイダーを利用して、複数の組織や Web サイトなどのリソースに対してユーザーを認証できます。

SSO の利点:

•ユーザーのパスワード管理の負担を軽減し、脆弱なパスワードのリスクを軽減します。

•不審な動作を迅速に検出して対応します。

SSO の欠点:

• - 何も問題はありません。SSO アカウントが侵害されると、SSO 対応のすべてのアプリケーションが影響を受けます。

5.2.9. ジャストインタイム (JIT) の ID およびアクセス管理

ジャストインタイム (JIT) アクセス制御は、特定のタスクの実行中にアプリケーションまたはリソースへの一時的なアクセスを提供することにより、最小特権の原則を適用します。

一般的なシナリオ:

•Key Vault: 特権アカウント管理要素として、中央コンテナーは共有アカウント資格情報を保存し、特定の期間内に権限を昇格します。

·一時的にアカウントを作成: 必要に応じて必要な権限を持つ一時アカウントを動的に作成し、使用後すぐに自動的に削除します。

· 権限の一時的な昇格: アカウントには一定期間昇格された権限が付与され、時間が経過すると自動的に削除されます。

5.3. サードパーティサービスとの連携アイデンティティ

5.3.1. サービスとしてのアイデンティティ (IDaas)

IDaas は Federated Identity (FIM) の拡張であり、さまざまなチーム、部門、組織のコラボレーションのニーズを満たすために使用されます。

多くの場合、SAML や OAuth などのフェデレーションソリューションは、内部および外部システムの IAM ニーズを満たすために実装されます。

サードパーティ IDaa の主なリスク:

•単一障害点: IDaas に障害が発生すると、関連するシステムが使用できなくなります。

• 制御の喪失: ID 認識はアクセス制御の基礎であり、これをアウトソーシングすることは高いリスクを伴います。 IDaaS プロバイダーのデータが侵害された場合、企業の ID やアクセス管理情報が影響を受ける可能性があります。

5.3.2. 企業内

オンプレミス ID 管理 (IdM) ソリューションの主な利点は、企業オフィスでホストされている Lightweight Directory Access Protocol (LDAP) や Microsoft Active Directory (AD) などの IAM システムで使用されるハードウェアとソフトウェアを完全に制御できることです。データセンター）システム。

5.3.3.クラウド

1 クラウドベースの ID サービスは、識別、認可、アクセス管理を担当するサードパーティの Identity as a Service (IDaas) によって提供されます。 Microsoft Office 365 や Active Directory と統合された Azure クラウドなど、組織内の顧客が使用するクラウドサービスプロバイダーの Saas アプリケーションで一般的に使用されます。

2クラウドソリューションでは、クラウドサービスへのアクセスを制御およびフィルタリングするためにクラウドアクセスセキュリティブローカー (CASB) が必要になる場合があります。 CASB は、アクセス制御、監査、および説明責任のサービスを提供します。

3. クラウドベースのサービスは、クラウドサービスプロバイダーのデータセンターが多重冗長化されているため、高い信頼性と可用性を備えています。クラウドベースのサービスは、オンプレミスのサービスと比較してコストを大幅に削減できるため、機器の購入とメンテナンス、専門スタッフの必要性が軽減されます。

5.3.4. 混合型

ハイブリッド ID サービスソリューションは、クラウドベースの ID 管理ソリューションとオンプレミスの ID 管理ソリューションを組み合わせたものです。ハイブリッドモデルは、弾力性や費用対効果など、クラウドベースのアプローチのメリットを享受しながら、ある程度の制御を維持するための最良のオプションを企業に提供します。

混合リスク:

•デュアル IAM 実装を維持するには、十分なリソースが必要です。クラウドへの移行により社内のメンテナンス要件は軽減されますが、ハイブリッドアプローチによってこの必要性が完全に排除されるわけではありません。

•ハイブリッドアプローチでは、サードパーティが ID を管理するため、クラウドベースの IAM と同じリスクが生じます。

•IDaaS が侵害された場合、内部リソースは IDaaS プロバイダーと同期している内部 IAM に依存するため、追加のリスクが発生します。

5.4. 認可メカニズムの実装と管理

5.4.1. 認可メカニズムを理解する

5.4.1.1 許可、権限、特権の比較

•許可

技術レベルでは、ユーザーは、読み取り可能、読み取り可能および書き込み可能、実行可能ファイルなどのリソースへのアクセス権を持ちます。

•右

現実的な権利。たとえば、読み取り権限がある場合に、データベース内のデータを表示する権利があります。

比較した

•特権

許可と権利の組み合わせを特権と呼びます。

•権利

資格とは、ユーザーに付与される権限の数を指し、通常はアカウントが最初に割り当てられるときに指定されます。

5.4.1.2 認可メカニズムを理解する

1暗黙的な拒否（ホワイトリストメカニズム）

ホワイトリストにないアクセスは拒否されます。例: 認証されていないユーザーは Web サイトにアクセスできません。

2. 能力表（対象能力重視）

サブジェクトを考慮し、サブジェクトがアクセスできるオブジェクトと実行できる操作を決定します。例: 一般の従業員はファイル共有にアクセスできますが、変更することはできません。

3 アクセス制御リスト（オブジェクトのアクセス状況に注意）

オブジェクトを検討し、そのオブジェクトにアクセスできるユーザーと実行できる操作を決定します。たとえば、プライベートファイルには管理者のみがアクセスできます。

4. アクセス制御マトリックス（機能テーブルとアクセス制御リストで構成）

機能テーブルとアクセス制御リスト (ファイアウォールのアクセス制御など) を組み合わせます。例: ファイアウォールを介した不正アクセスを制限します。

5. インターフェースの制約（ユーザー操作の制限）

ユーザーのアクションとビューを制限します。たとえば、システムメニューは一般ユーザーは変更できません。

6. 依存コンテンツの制御 (オブジェクトコンテンツによる制限)

コンテンツに基づいてユーザーを制限します。たとえば、データベース内のビューに基づいてユーザーアクセスを制限します。

7. コンテキスト依存制御 (被験者のアクションまたは時間制約に基づく)

対象のアクションまたは時間に基づいてユーザーを制限します。例: ファイルサービスは営業時間内にのみアクセスできます。

8. 何が必要かを知る (対象者のアクセスを仕事に必要なものだけに制限する)

知っておく必要があります

9. 最小限の権限 (作業を実行するために必要な権限のみを対象者に付与する)

10. 職務の分離 (機密性の高いタスクは複数人で実行されます)

11. 多層防御 (物理的、技術的、および管理制御を含む多層保護メカニズム)

5.4.1.3 セキュリティポリシーを使用した要件の定義

組織のセキュリティポリシーは、アクセス制御要件を決定し、実装をガイドします。最新の情報システムと環境では、多くの場合、ルールベースのファイアウォール、動的アクセス制御を備えた共有システム、特定の職務および関連する権限に対する役割ベースのアクセス制御を決定する人事部門など、ハイブリッドアクセス制御モデルが実装されています。

5.4.2. ルールベースのアクセス制御 (RUBAC)

ルールベースのアクセス制御 (RUBAC) は、事前定義されたルールのリストに基づいて承認を決定する方法です。ロールベースのアクセス制御との混同を避けるために、多くの場合、RUBAC と省略されます。宴会の招待者リストのように、リストに載っている人は入場を許可され、それ以外の人は入場を拒否されます。

情報システムでは、ファイアウォールルールセットなどの RUBAC を実装するためにアクセスコントロールリスト (ACL) がよく使用され、どの IP アドレスまたはポートが許可されるかブロックされるかを決定します。

ルールベースのシステムには 2 つのアプローチがあります。

1. 暗黙的に許可: デフォルトではすべてのアクセスが許可されます。アクセスを特に禁止する規則がない限り。たとえば、店はすべての人々に開かれていますが、窃盗をすることが知られている特定の顧客を拒否します。

2. 暗黙的な拒否: 承認済みリストにあるユーザーのみがアクセスを許可され、その他のユーザーはデフォルトで拒否されます。すべて拒否または例外付き許可とも呼ばれるこのアプローチは、不正アクセスの可能性を減らすため、基本的なセキュリティのベストプラクティスです。

5.4.3. ロールベースのアクセス制御 (RBAC)

ロールベースのアクセス制御 (RBAC) は、組織内のユーザーのロールに基づいてリソースへのアクセスを制御する方法です。

RBAC の利点:

•職務に基づいて権限を割り当てる: RBAC は、各役割に必要な権限を割り当てることで、権限のない担当者が機密情報にアクセスするリスクを軽減します。

• ロールレベルの権限管理: 管理者は、ユーザーごとではなくロールレベルで権限を管理できるため、アクセス制御管理プロセスが簡素化され、効率が向上します。

•監査と説明責任のサポート: RBAC は、誰がどのリソースにいつアクセスしたかの監査証跡を記録し、セキュリティインシデントの調査を可能にし、適切なアクセス制御を確保します。

• 最小特権の原則を適用する: 最小特権の原則に従って、RBAC を通じてアクセス許可を割り当て、ユーザーがジョブの実行に必要なアクセス許可のみを取得できるようにします。

注: 略語 RBAC はロールベースのアクセス制御のみに関連するというのが、セキュリティコミュニティで認められた慣例です。

5.4.4. 強制アクセス制御 (MAC)

強制アクセス制御 (MAC) は、軍事および政府組織で一般的に使用される厳格なアクセス制御モデルです。

MAC モードでは、データ所有者ではなく、セキュリティ管理者がアクセス権を割り当てる責任を負います。

MAC は、プリンシパルとボリュームにセキュリティラベルを割り当てることによって実装されます。たとえば、ユーザーが「秘密」のセキュリティラベルを持っている場合です。「Top Secret」とマークされた文書にはアクセスできませんが、「Secret」または「Unconfidential」とマークされた文書にはアクセスできます。

MAC は、Bell-LaPadula、Biba、Clark-Wilson モデルなどの機密性と整合性のモデルで広く使用されています。要約すると、MAC は、高度なセキュリティニーズを持つ組織に適した、厳密かつ非自由裁量のアクセス制御方法です。

5.4.5. 随意アクセス制御 (DAC)

随意アクセス制御 (DAC) は、システムまたはデータ所有者がリソースにアクセスできるサブジェクトを決定するアクセス制御モデルです。 DAC は分散型アクセス制御であり、柔軟性はありますが、管理が困難です。

WeChat モーメントを例に挙げると、コンテンツを他のユーザーに公開するか、特定のユーザーグループ (親しい友人や家族など) に制限するかをパブリッシャーが決定できます。

5.4.6. 属性ベースのアクセス制御 (ABAC)

属性ベースのアクセス制御 (ABAC) は、ユーザー、ホスト、ネットワーク、デバイスの属性を組み合わせて、ポリシーに基づいてアクセスを決定します。 ABACは、曜日、時間帯、ログイン場所などに基づいて柔軟にアクセスを制御します。

ステートフルファイアウォールは、サブジェクト属性を評価してアクセス要求を決定するファイアウォールの一例です。 ABAC は、属性とポリシーに基づいたきめ細かい制御手段を提供します。

5.4.7. リスクベースのアクセス制御

リスクベースのアクセス制御モデルは、リスクを動的な変化として扱い、認可を調整します。 RBAC や RUBAC などのモードとは異なり、動的認証には脅威インテリジェンス、システムログ、ユーザーの行動などのパラメーターが使用されます。

たとえば、部門がフィッシング攻撃を受けた場合、IAM システムは脅威を軽減するために一時的に MFA ログインの頻度を増やすことができます。リスクプロファイルはユーザーの行動やアクティビティによって変化するため、金融機関はこのモデルを個人アカウントの不正行為の検出にも使用します。

5.5. ID とアクセスのプロビジョニングのライフサイクルの管理

5.5.1. アクセス管理のライフサイクル

5.5.2. アカウントのアクセスと使用状況の確認

5.5.2.1 アカウントアクセスのレビュー

• チェックオブジェクト: ユーザーアカウント (個人に関連する) およびシステムアカウント (自動バックアップ、API 呼び出しなど、人間以外のアカウント)。

• コンテンツのレビュー: ユーザーがシステム、データ、権限への適切なアクセス権を持っているかどうかを確認し、非アクティブまたは休止アカウント、過剰な権限、有害なアクセスの組み合わせを調査します。

• レビューの頻度: 法的、規制上の義務および潜在的な損害に基づいて組織によって決定されます。

•自動レビュー: SIEM や SOAR などのセキュリティツールを活用して、自動レビューを実施します。

5.5.2.2 アカウントの使用状況のレビュー

• ユーザーアカウントとシステムアカウントの動作をレビューして、不必要または不適切な使用法を特定し、説明責任を徹底します。

• 使用状況監査は、アクセス監査の一部として実行したり、SIEM などの自動化ツールを使用して実行したり、ランダム監査を通じて実行したりできます。これは、セキュリティを維持し、攻撃者の権限昇格などの不審なイベントを特定するために重要です。

5.5.3. 設定と設定解除

プロビジョニングはシステム、データ、リソースへのアクセスを許可するプロセスであり、構成解除はそれらのアクセス権を取り消すプロセスです。通常、従業員の変更 (入社、退職、異動、昇進など) に関連する場合、安全な実行を確保するために人事部門または IT チームとの調整が必要です。

• アクセス管理ポリシーでは、敵対的、友好的、およびジョブチェンジ時のユーザーアクセスの変化を考慮する必要があります。

• 構成解除では、プライバシー規制に準拠し、アカウントのログアウトエントリを提供するなど、ユーザーデータを無効化および削除するための適切な方法を提供する必要があります。

5.5.4. 役割の定義

ロールは、ユーザーの部門、機能、または職責に基づいてアクセス権を定義する方法です。最小限の特権などのアクセス管理原則に従い、職務の分離などのセキュリティ制御を実装します。ロールを使用すると、ユーザーを 1 つずつ承認するのではなくロールに割り当てることで、プロビジョニングとプロビジョニング解除のプロセスが簡素化されます。ロールメンバーシップを継続的に更新することは、プロビジョニングおよびプロビジョニング解除サイクルの重要な部分です。

5.5.5. 権限の昇格

権限昇格は、より高い権限を取得するプロセスです。

1. 通常の権限昇格:

•必要性は、可能な限り役割またはグループを使用してレビュー、記録、実装する必要があります。一般的な方法には、一時的なアクセス許可 (Linux の sudo または Windows の runas コマンドなど) と緊急アクセスが含まれます。

2. 特権昇格攻撃:

•垂直エスカレーション攻撃: 攻撃者は、SQL インジェクションなどを通じて、より高い権限を取得しようとします。

•ラテラルエスカレーション攻撃（横移動）：攻撃者は同じレベルのアカウント権限をさらに取得します。

3. 予防策:

•最小特権の原則を実装する

・脆弱性を速やかに修復する

·脆弱性スキャンの実行

·ネットワークトラフィックと動作を監視する

·強力なパスワードポリシーを策定する

・セキュリティ意識向上研修

5.6. 認証システムの実装

5.6.1. オープン ID 接続 (OIDC) とオープン認可 (Oauth)

5.6.1.1 オープン認可(OAuth)

OAuth はオープンプロトコルで、最新バージョンは 2.0 です。これを使用すると、Web、モバイル、デスクトップアプリケーションから安全な承認を取得するためのシンプルで標準的な方法が可能になり、認証ではなく承認に重点が置かれています。

OAuth によって定義される 4 つの主要な役割:

1) クライアント: 保護されたリソースへのアクセス要求を行うアプリケーション。

2) リソース所有者: 保護されたリソースを所有し、そのリソースを他のユーザー (通常はエンドユーザー、アプリケーションやサービス) に使用する許可を与えることができる人。これらの権限は通常、同意ダイアログボックスを通じて付与されます。

3) 認可サーバー: 認証が成功した後にアクセストークンをクライアントに発行するサーバーは、アライアンスシステム全体へのアクセスを取得するために使用されます。

4) リソースサーバー: アクセス要求を受け入れて応答する、保護されたリソースをホストするサーバー。

5.6.1.2 OpenID 接続 (OIDC)

OIDC は、OAuth 2.0 バージョンに認証機能を追加し、ID 管理を組み合わせて、SSO のような認証エクスペリエンスをユーザーに提供します。

1.ldP と JWT

OIDC では、ユーザーは WeChat、Weibo、Microsoft、Google などのアイデンティティプロバイダー (IdP) を選択できます。

ID プロバイダー (OpenID プロバイダー) は、JWT (Json Web Token) としてエンコードされた ID トークンをエンドユーザーに提供します。

2. トークン取得の流れ

ユーザーは IdP を選択し、OAuth を使用して認証情報を証明書利用者に提供します。 OIDC の認証情報は、OIDC プロバイダー (OP) から証明書利用者 (RP) にトークン (WT) の形式で渡されます。トークン (WT) には、ユーザーに関するクレームとそのクレームの ID 認証が含まれます。

概要: 混乱を避けるために、OAuth は認可フレームワークであり、OpenID は認証層であり、OpenID Connect (OIDC) は OAuth の上に位置し、認証および認可サービスを提供する認証フレームワークであることを覚えておいてください。

5.6.2．セキュリティアサーションマークアップ言語 (SAML)

Security Assertion Markup Language (SAML) は、当事者間、特に ID プロバイダーとサービスプロバイダーの間で認証および認可データを交換する、XML に基づくオープンソースの標準データ形式です。最新バージョンはSAML2.0です。

1.SAML対話プロセス

まず、プリンシパル (Web ブラウザなど) があり、サービスプロバイダー (Web アプリケーションなど) にリクエストを行います。サービスプロバイダーは、ユーザーの識別、認証、認可のためにアイデンティティプロバイダー (IdP) からのアサーションに依存します。

2 SAML の 4 つのコンポーネント。

1) アサーション: 認証および認可情報プロトコルまたはフレームワークなどの SAML 属性がどのように行われるかを定義します。

サービス利用。

2) バインディング: さまざまな参加者 (ユーザー、アイデンティティプロバイダー、サービスプロバイダーなど) 間で要求と応答の通信がどのように実行されるかを指定します。

3) プロトコル: HTTP や SOAP (Simple Object Access Protocol) など、メッセージをパッケージ化して参加者間で交換する方法を指定します。

4) プロファイル: 特定の SAML 実装では、プロファイルはアサーション、バインディング、プロトコルの組み合わせです。

SAML、OAuth2、QOIDCの比較

5.6.3. ケルベロス

Kerberos は、Linux や UNIX などのさまざまなテクノロジで使用される人気のあるオープン標準の認証プロトコルであり、Microsoft の Active Directory で最も顕著です。 Kerberos は MIT によって開発され、SSO およびエンドツーエンドのセキュリティ認証サービスを提供します。その仕組みは、チケットと呼ばれる認証トークンを生成することによって行われます。このトークンは、ユーザーがネットワーク上のリソースにさらにアクセスできるように、ユーザーに安全に発行されます。 Kerberos は、ネットワーク経由でパスワードを送信する代わりに、対称キー暗号化と共有キーを使用します。

1. Kerberos のいくつかの重要なコンポーネント:

1) プリンシパル: ユーザー、サービス、アプリケーションなど、識別と認証に Kerberos を使用する当事者。

2) キー配布センター (KDC): 新しいユーザーの登録を実行し、秘密キーのデータベースを維持するために使用されます。

3) 認証サーバー (AS): グラントチケット (TGT) の生成と配布を管理し、サーバーへの安全なアクセスを確保するために暗号化されたデータを交換することで検証を実行します。

4) チケット認可サービス (TGS): セキュリティプリンシパルがリソースまたは相互に認証する必要がある場合に、セキュリティプリンシパルに提供されるセッションチケットを生成します。

ケルベロスが働く

2. Kerberos のリスクポイント

•複数のサーバーによる冗長セットアップがない限り、KDC は単一障害点になります。

•認証とチケット配布は、Kerberos レルムでのシステム時刻同期に大きく依存しており、NTP サポートが必要です。そうでないと、チケットでタイムスタンプの問題が発生します。

5.6.4. RADIUS と TACACS

5.6.4.1 半径

RADIUS は、ネットワークへのリモート接続に認証、認可、アカウンティング (AAA) サービスを提供するアクセスプロトコルで、元々は大規模な ISP へのダイヤルアップをサポートするために使用されていました。 PAP、CHAP、MS-CHAP などの複数の認証プロトコルをサポートしますが、暗号化できるのはパスワードのみです。 UDP プロトコルが使用されるため、より多くのリソースを消費する必要があり、UDP のコネクションレス型の性質を補うためにエラーチェックメカニズムを組み込む必要があります。

5.6.4.2 TACACS

シスコ独自のプロトコルは、AAA（認証、認可、監査）をさまざまなサーバにホストし、TCP49 ポート経由で送信し、すべての認証情報を暗号化できます。

TACACS は多要素認証をサポートします。

5.6.4.3 直径

RADIUS の制限を克服するために開発された Diameter は、ワイヤレスデバイスやスマートフォンで使用されるポイントツーポイントプロトコルですが、RADIUS との下位互換性はありません。

レビュー質問

1 次の機能のうち、プリンシパルに焦点を当て、各プリンシパルがアクセスできるオブジェクトを識別するアクセス制御モデルとして説明されているのはどれですか? A. アクセス制御リスト B. 暗黙的な拒否リスト C.能力表 D. 権限管理マトリックス

C 教科能力表オブジェクトアクセス制御リスト主題-オブジェクト-マトリクス

2. Jim の組織は、クラウドベースのアプリケーションの IDaaS 実装を幅広くサポートしています。 Jim の会社には社内に ID 管理スタッフがおらず、集中型 ID サービスも使用していません。代わりに、Active Directory を利用して AAA を提供します。仕える。会社の内部 ID ニーズに対処するための最良の方法として、ジムは次のオプションのうちどれを推奨しますか? A. OAuth を使用して内部システムを統合します。 B. ローカルのサードパーティ ID サービスを使用します。 C. SAML を使用して内部システムを統合する。 D. 組織固有のニーズに対応する内部ソリューションを設計する。

B P508 クラウドベースのフェデレーションは通常、サードパーティを使用してフェデレーション ID を共有します

3. 次のうち、Kerberos の弱点ではないものはどれですか? A.KDC は単一障害点です。攻撃者によって制御される B.KDC は、あらゆるユーザーのなりすましを許可します。 C. 認証情報は暗号化されません。 D. パスワード推測に対して脆弱です。

4. 音声パターン認識はどのタイプの認証要素に属しますか? A. 知っていること B. あなたが所有しているもの C. あなたは何者ですか D. どこにいるのか

5. スーザンの組織が、ユーザー名、PIN、パスワード、網膜スキャンを使用してログインすることを要求している場合、スーザンはいくつの異なる認証要素タイプを使用しますか? A. 一種の B. 2種類 C.3種類 D.4種類

6.Charies は資格情報管理システム (CMS) を導入したいと考えています。彼は鍵をできるだけ安全に保管したいと考えています。彼の CMS 実装に最適な設計オプションは次のうちどれですか? A. 3DES の代わりに AES-256 を使用します。 B. 長いキーを使用します。 C. HSM (ハードウェアセキュリティモジュール) を使用します。 D. パスワードフレーズを定期的に変更します。

C 見つかりませんでした、覚えておいてください

7.ブランは大学の研究者です。研究の一環として、彼は大学の資格情報を使用して、工科大学でホストされているコンピューティングクラスターにログインしました。ログインすると、クラスターにアクセスし、研究プロジェクトでの役割に応じてリソースを使用できるようになり、同時に所属機関のリソースとサービスも使用できるようになります。これを達成するために、ブラン大学は何を実施しましたか? A. ドメインのスタッキング B. フェデレーション ID 管理 C. ドメインのネスト D.ハイブリッドログイン

8. 以下の手順を、Kerberos 認証プロセス中に発生する順序に並べてください。 1. クライアント/サーバーチケットを生成する 2. TGT（チケット交付チケット）の生成 3. クライアント/TGS (チケット認可サーバー) キーを生成します。 4. サービスへのユーザーのアクセス 5. ユーザーが認証資格情報を提供する A. 5、3、2、1、4 B. 5、4、2、1、3 C. 3、5、2、1、4 D.5,3,1,.2,4

あオプション A は 52314 である必要があります

Kerberos認証プロセス Kerberos 認証プロセスは、クライアント、認証サーバー (AS)、およびサービスチケット許可サーバー (TGS) が関与する対話型プロトコルです。その主な手順は次のとおりです。 1. クライアントは、通常、ユーザー名とパスワードを含む認証サーバー (AS) に認証要求を送信します。 2. AS はクライアントの資格情報を検証し、その資格情報が有効である場合、AS は暗号化された「チケット許可チケット」(TGT) を生成します。 TGT にはユーザーの ID 情報とセッションキーが含まれており、TGT はクライアントに返されます。 3. クライアントはパスワードを使用して TGT を復号化し、セッションキーを取得します。このセッションキーはその後の通信に使用されます。 4. クライアントが特定のネットワークサービスにアクセスする必要がある場合、セッションキーを使用して「サービスチケット」を生成し、それを TGS に送信します。 5. TGS はクライアントの TGT を検証します。TGT が有効な場合、TGS は暗号化されたサービスチケットを生成し、サービスのキーを使用してサービスチケットを暗号化し、クライアントに返します。 6. クライアントはサービスチケットをサービスに送信し、サービスはサービスチケット内のセッションキーを使用して認証します。サービスチケットが有効な場合、サービスによりクライアントは必要なサービスにアクセスできます。このプロセスにより、クライアントの ID が検証され、クライアントが要求されたサービスにアクセスできることが保証されます。同時に、Kerberos プロトコルは対称キー暗号化アルゴリズムとタイムスタンプを使用して、送信中のデータのセキュリティを保護します。

9. 分散型アクセス制御によってよく生じる主な問題は何ですか? A. アクセス障害が発生する可能性があります。 B. 一貫性のないコントロール。 C. 制御が細かすぎる。 D. トレーニング費用が高い。

10. 固定電話番号へのコールバックは、どのタイプの認証要素の一例ですか? A. 知っていること B あなたがいる場所 C. あなたが所有しているもの D. あなたは何者ですか

11. Kathleen は、次のことを許可するために Active Directory 信頼をセットアップする必要があります。認証用の Kerberos K5 ドメイン。彼女はどのような種類の信頼関係を築く必要があるでしょうか? A. ショートカットの信頼 B. 森林信託 C. 外部の信頼 D.A レルムの信頼

12. 次の AAA プロトコルのうち、最も一般的に使用されているものはどれですか? A.TACACS B. TACACS C.XTACACS D.スーパーTACACS

14 Windows システムのユーザーはメッセージ送信機能を使用できません。この制限を最もよく表すアクセス制御モデルはどれですか A. 最低限の権限 B. 知る必要がある C. インターフェースが制限されている D. 職務の分離

C 本をチェックする

15. ファイルの所有者がアクセス制御リストを使用して他のユーザーにファイルへのアクセスを許可できるアクセス制御のタイプはどれですか? A. 役割ベース B. 非自発的 C. ルールベース D．独立した

16.アレックスの仕事では、患者の適切な治療を確保するために保護医療情報 (PHI) を確認する必要があります。同氏の患者の医療記録へのアクセスには、患者の住所や請求情報へのアクセスは含まれていなかった。次のアクセス制御概念のうち、このタイプの制御を最もよく説明しているものはどれですか? A. 職務の分離 B. 制限されたインターフェース C. コンテキスト依存のコントロール D.知る必要がある

質問 17 ～ 19 については、Kerberos ログインプロセスの理解に基づいて、次の表を参照してください。 17 図のポイント A で、クライアントのユーザー名とパスワードが KDC に送信されます。ユーザー名とパスワードはどうですか保護されましたか？ A.3DES暗号化 B. TLS暗号化 C. SSL暗号化 D.AES暗号化 18. 図のポイント B で、ユーザー名が有効であることを確認した後、KDC は 2 つの重要なメッセージを送信します。要素？ A. 暗号化された TGT と公開キー B. アクセスチケットと公開キー C 暗号化され、タイムスタンプが付けられた TGT と、ユーザーパスワードのハッシュで暗号化された対称キー D 暗号化され、タイムスタンプが付けられた TGT とアクセストークン 19. TGT を使用する前にクライアントはどのようなタスクを実行する必要がありますか? A. TGT のハッシュを生成し、対称キーを復号化する必要があります。 B. TGT を受け入れ、対称キーを復号化する必要があります。 C TGT と対称キーを復号化する必要がある。 D. 対称キーを使用して有効な応答を KDC に送信する必要があり、TGT がインストールされている必要があります。

D Microsoft Active Directory は、Rivest Cipher 4 (RC4)、Advanced Encryption Standard 128 ビット (AES-128)、Advanced Encryption Standard 256 ビット (AES-256)、および Data Encryption Standard (DES) 暗号化をサポートしています。これらの暗号化アルゴリズムは、セキュアハッシュアルゴリズム (SHA) やメッセージダイジェストアルゴリズム 5 (MDA5) などの暗号化ハッシュ関数で強化されています。安全ではないと考えられている DES 暗号化の使用は避けることをお勧めします。

https://blog.csdn.net/weixin_46944519/article/details/126828074?ops_request_misc=%7B%22request%5Fid%22%3A%22171202843516800213053640%22%2C%22scm%22%3A%2220140713 102334..%22 %7D&request_id =171202843516800213053640&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_positive~default-1-126828074-null-null.142^v100^pc_search_result_base3&utm_term=Ker beros&s pm=1018.2226.3001.4187 詳しい説明

20 サムは組織に生体認証システムを導入することを計画しており、網膜スキャンの使用を検討しています。組織内の他の人が網膜スキャンについてどのような懸念を抱く可能性がありますか? A. 網膜スキャンにより、病状に関する情報が明らかになる場合があります。 B. 網膜スキャンはユーザーの目に空気を噴射する必要があるため、痛みを伴います。 C. 網膜スキャナーは、最も高価なタイプの生体認証デバイスです。 D. Retina スキャナは誤報率が高く、サポートの問題が発生する可能性があります。

あ

21. 強制アクセス制御はどのようなタイプのモデルに基づいていますか? A. 任意のアクセス制御 B. グループベースのアクセス制御 C. グリッドベースのアクセス制御 D. ルールベースのアクセス制御

22. グレッグは、組織内で POS 端末として使用されている iPad へのアクセスを制御したいと考えています。共有環境でデバイスの論理アクセス制御を実装するには、次のどの方法を使用する必要がありますか? A. すべての POS 端末に共有 PIN を使用して、使いやすくします。 B. 各ユーザーが OAuth を使用してクラウドにログインできるようにします。 C. 各ユーザーには、使用している iPad に固有の PIN コードが発行されます。 D. Active Directory とユーザーアカウントを使用して、AD のユーザー ID とパスワードを使用して iad にログインします。

23. ID 使用の追跡可能性を提供する最善の方法は何ですか? A. ロギング B認可 C. デジタル署名 D.タイプ 1 認証

あ見つかりませんでした、覚えておいてください

24 ジムは過去数年間、会社で人事、給与、顧客サービスの役割を果たしてきました。彼が適切な権限を持っていることを確認するには、会社はどのタイプのプロセスを実装する必要がありますか? A. 再構成する B. アカウントのレビュー C. 権限の拡大 D.アカウントのキャンセル

25.Biba はどのタイプのアクセス制御モデルに属しますか? A.MAC B.DAC C. BAC の役割 D.ABAC

あ P525 Windows NTFS ファイルシステムは DAC を使用します Windows オペレーティングシステムは RBAC を使用しますファイアウォールルールベースソフトウェアデファインドネットワーク ABAC P530 MAC はグリッドに基づいており、分類ラベルに依存しています。つまり、Biba と Bell-~ は MAC に属します。

26. ネットワークアクセスサーバーがアクセス要求メッセージを中央サーバーに送信してリモートユーザーを認証できるように設計されたクライアント/サーバープロトコルは次のうちどれですか? A.ケルベロス B.EAP C.半径 D.OAuth

27.ヘンリーは、Web アプリケーション開発チームと協力して、会社の新しいアプリケーションの認証および認可プロセスを設計しています。チームはセッション ID を可能な限り安全なものにしたいと考えています。ヘンリーが推奨すべきベストプラクティスではないものは次のうちどれですか? A. セッション ID トークンは予測可能である必要があります。 B. セッション ID には少なくとも 64 ビットのエントロピーが必要です。 C セッションの長さは少なくとも 128 ビットである必要があります。 D. セッション ID は無意味であるべきです。

あ

28.Angela は、スニファーを使用して、デフォルト設定で構成された RADIUS サーバーへのトラフィックを監視します。どのプロトコルを監視する必要がありますか?また、どのトラフィックを読み取ることができるでしょうか? A.UDP、トラフィックを読み取ることができません。すべての RADIUS トラフィックは暗号化されます。 B.TCP: 暗号化されたパスワードを除くすべてのトラフィックを読み取ることができます。 C.UDP: 暗号化されたパスワードを除くすべてのトラフィックを読み取ることができます。 D.TCP、トラフィックを読み取ることができません。すべての RADIUS トラフィックは暗号化されます。

29. NAC のポスチャ評価機能を最もよく表すアクセス制御のタイプはどれですか? A. 強制的なアクセス制御 B. リスクベースのアクセス制御 C. 任意のアクセス制御 D. 役割ベースのアクセス制御

B P532 覚えておいてください

30. アプリケーションまたはシステムがログインユーザーに特定のアクションの実行を許可する例は何ですか? A. 役割 B. グループ経営 C. ログイン D.認可

31. Alex は 10 年以上同社に勤務しており、社内でさまざまな役職を歴任しています。監査中に、彼は以前の役職により共有フォルダーとアプリケーションにアクセスできたことが判明しました。アレックスの会社はどうなったのですか？質問？ A. オーバープロビジョニング B. 不正アクセス C. 権限の拡大 D アカウントのレビュー

32. Geoff は、組織内での権限昇格攻撃を阻止したいと考えています。次の実践のうち、横方向の権限昇格を防ぐ可能性が最も高いのはどれですか? A. 多要素認証 B. グループとアカウントへの権限を制限する C. 未使用のポートとサービスを無効にする D. アプリケーションでのユーザー入力をサニタイズする

あ

33.Jim の Microsoft Exchange 環境にはオンプレミスが含まれていますデータセンター内のサーバー、およびこれらのオフィスにいない従業員用の Office 365 展開する。 ID は両方の環境で作成および使用され、両方で機能します。ジムが実行しているヘッドタイプのジョイントシステムはどれですか? A. 主要なクラウドシステム B. プライマリローカルシステム C.ハイブリッドシステム D.マルチテナントシステム

34. 次の表は、どのタイプのアクセス制御スキームを示していますか? A.RBAC B DAC CMAC DTBAC

C グリッドを元に、主語と目的語に属性があるのでMACです

35. ミシェルの会社は、マーケティングおよびコミュニケーション部門を 2 つの別々のチームに分割し、新しい部門を設立しています。彼女は、各チームにリソースへのアクセスを提供する役割を作成したいと考えています。適切なセキュリティと権限を維持するにはどうすればよいでしょうか? A 同様のアクセス要件があるため、マーケティングチームを既存のグループに配置します。 B マーケティングチームを既存のグループに残し、特定のニーズに基づいて新しいコミュニケーショングループを作成します。 C コミュニケーションチームを現在のグループに残し、特定のニーズに基づいて新しいマーケティンググループを作成します。 D. 2 つの新しいグループを作成し、それぞれの役割を実行するために必要な権限を評価し、必要に応じて追加の権限を追加します。

36. 主体がアイデンティティを宣言すると、どのようなプロセスが発生しますか? A. ログイン B. 特定する C.認可 D. トークンの提示

37. 犬、警備員、柵はどのようなタイプの管理の一般的な例ですか? A. 検出タイプ B. 回復タイプ C. 管理型 D.物理タイプ

38.スーザンの組織はパスワードポリシーを更新中で、可能な限り強力なパスワードを使用したいと考えています。ブルートフォース攻撃の防止に最も大きな影響を与えるパスワード要件はどれですか? A. 最大利用期間を1年から180日に変更します。 B. パスワードの最小長を 8 文字から 16 文字に増やします。 C. パスワードが複雑になり、少なくとも 3 つの文字カテゴリ (大文字、小文字、数字、記号など) が必要になります。 D. 再利用を防ぐために、少なくとも 4 つのパスワードの履歴を保管してください。

B 長さを伸ばすことが最も大きな影響を及ぼします

39. Alaina は、定期的にスケジュールされたサービスアカウントのレビューを実行しています。次の出来事のうち、彼女が最も心配しているのはどれですか? A. サービスアカウントの対話型ログイン B. サービスアカウントのパスワード変更 C. サービスアカウントの権限の制限 D. サービスアカウントを使用したローカル操作

あ P508 本の元の言葉 - アカウントを非対話型アカウントとして設定する

40. 生体認証を使用している組織で、より高い FAR ではなく、より高い FRR を許可することを選択するのはどのような場合ですか? A. 可用性よりもセキュリティが重要な場合 B. データ品質の問題により誤拒否が問題にならない場合 C. システムのCERが不明な場合 D. システムの CER が非常に高い場合

あ

41 営業時間外のワークステーションへの不正アクセスに関する最近の報告を受けて、デレクは保守担当者が事業所内のワークステーションにログインできないようにする方法を見つけるように求められました。保守スタッフは依然として組織のシステムにアクセスする必要があるため、休憩室やオフィスに組織のシステムを置いています。このニーズを満たすためにデレクは何をすべきでしょうか? A は多要素認証を必要とし、オフィスの従業員のみが多要素トークンを持つことを許可します。 B. ルールベースのアクセス制御を使用して、作業エリアでの勤務時間外のログインを禁止します。 C. ロールベースのアクセス制御を使用して、すべてのメンテナを含むグループを設定し、指定されたワークステーションにのみログインする権利を付与します。 D. ジオフェンスを使用して、メンテナンスエリアでのみログインを許可します。

42. Nick は、Web アプリケーションにセッション管理を実装したいと考えています。一般的な Web アプリケーションのセッション管理技術または方法は次のうちどれですか? （該当するものをすべて選択。） A. IP追跡 B. クッキー C.URL書き換え D.TLS トークン

紀元前覚えて

質問 43 ～ 45 については、SAML 統合とセキュリティアーキテクチャ設計に関する知識を活用し、次のシナリオと図を参照してください。 Alex は、組織にさまざまなビジネス生産性サービスを提供する主要なサードパーティパートナーとの SAML 統合を担当しています。 43.Alex は SAML トラフィックの盗聴を非常に懸念しており、偽造されたアサーションが成功しないようにしたいと考えています。こうした潜在的な攻撃を防ぐには何をすべきでしょうか? A. SAML セキュリティモデルを使用してセキュリティ認証を提供します。 B. 強力な暗号スイートを使用して TLS を実装し、両方の攻撃から保護します。 C. 強力な暗号スイートを使用して TLS を実装し、デジタル署名を使用します。 D. 強力な暗号スイートを使用して TLS とメッセージハッシュを実装します。 44. Alex の組織が主に外部の旅行ユーザーで構成されている場合、ビジネスクリティカルなアプリケーションをオンサイト認証に統合するとどのような可用性リスクが生じますか?また、それにどのように対処する必要がありますか? A. サードパーティの統合では、SSL とデジタル署名が使用されている可能性があります。 B. ローカル組織がオフラインになると、出張中のユーザーはハイブリッドクラウドのローカル認証システムを実装してサードパーティのアプリケーションにアクセスできなくなります。 C. ローカルユーザーがサードパーティサービスに正しくリダイレクトされない可能性があります。ローカルゲートウェイを実装します。 D ブラウザは正しくリダイレクトしない場合があります。リダイレクトの問題を確実に解決するために hosts ファイルを使用します。 45. ステップ 2 で示したサードパーティ制御の SSO リダイレクトの解決に最も役立つソリューションはどれですかという質問に対して？ A. 信頼できる第三者に関する啓発活動 B.TLS C. ローカルサイトでリダイレクトを処理する D. IPS を実装して SSO リダイレクト攻撃を捕捉する

A覚えておいてください

46.スーザンは、組織で MAC ソリューションと DAC ソリューションのどちらを使用するべきかを推奨するよう求められました。アクセス制御の実装に柔軟性と拡張性が必要な場合、どのオプションを推奨する必要がありますか?その理由は何ですか? A. MAC は、より優れたスケーラビリティと柔軟性を提供するため、必要に応じて追加するだけです。ラベルを付けるだけ B.DAC は、個々の管理者が制御するオブジェクトを選択できるようにすることで、スケーラビリティを提供します。と柔軟性 C.MAC、パーティション化は柔軟性に優れているため、パーティションを追加すると拡張性が高くなります。セックス D.DAC は、中央の意思決定プロセスが迅速に対応でき、必要な意思決定の数を減らすことができるため、これらの決定を中央機関に移すことで、拡張性と柔軟性が提供されます。

47.組織のセキュリティポリシーを保証する方法でプロビジョニングプロセスが構成されていることを確認するために通常使用されないツールは次のうちどれですか? A. ログのレビュー B. 手動による権限の確認 C. シグネチャベースの検出 D. 監査証跡記録を確認する

C 覚えて

48.ジェシカは、提供しているサービスに関する情報を第三者組織に送信する必要があります。インターフェースを構築するにはどの標準ベースのマークアップ言語を選択すればよいでしょうか? A.SAML B.ソープ C. SPML D.XACML

C 覚えて

49. 侵入テスト中に、クリスはアクセスしようとしていたシステムのハッシュ化されたパスワードを含むファイルを回復しました。ハッシュ化されたパスワードに対して最も成功する可能性が高い攻撃の種類はどれですか? A. 暴力的な攻撃 B. ハッシュ値による攻撃 C レインボーテーブルアタック D 塩回収攻撃

50 ドメイン全体にわたるさまざまな組織やアプリケーションとの Google の ID 統合は、次のうちどれの一例ですか? A.PKI B. 連邦 C. シングルサインオン D.供給

B 覚えて

51.アマンダは新しい仕事を始め、仕事では必要のないさまざまなシステムにアクセスできることに気づきました。彼女はどんな問題に遭遇しましたか? A. 許可のクリープ B. 制限の競合 C. 最低限の特権 D. 権限が多すぎる

52. Chris が個人の身元を認証し、ユーザー ID などの一意の識別子を ID システムに追加するときどのようなプロセスが起こったのでしょうか? A. 本人確認 B. 登録する C. ディレクトリ管理 D. セッション管理

53.Selah は、組織の主要なビジネスアプリケーションに行動追跡可能性を提供したいと考えています。この状況で最も一般的に使用される制御手段は何ですか? （該当するものをすべて選択。） A. 監査ログを有効にします。 B. 各従業員に固有のアカウントを提供し、多要素認証を有効にします。 C. 時間と場所に基づくログイン要件を有効にする。 D. 各従業員に固有のアカウントを提供し、自分で選択したパスワードを要求します。

54. Chariles は、Web アプリケーションの一部として認証サービスを提供したいと考えています。他の Web ID プロバイダーと簡単に統合したい場合、どの標準を使用すればよいでしょうか? A.OpenID B. TACACS C.半径 D.OAuth

55 キャメロンの会社は、ユーザーが必要に応じてシステムへの特権アクセスを要求できるシステムを使用しています。。カムネロンはアクセスをリクエストしましたが、彼の役割により、リクエストは事前に承認されました。その後、システムにアクセスしてタスクを実行できるようになります。完了すると、権限が削除されます。彼はどのような種類のシステムを使用していますか? A. ゼロトラスト B. フェデレーション ID 管理 C. シングルサインオン D. タイムリーなアクセス

56. Ene は銀行の Web サイトの構築を担当しています。彼女は、サイトにサインアップしたユーザーの身元を確認する必要があります。ユーザーの身元を確認するにはどうすればよいでしょうか? A. ユーザーに、自分だけが知っているユニークな質問を作成するよう依頼します。 B. 新規利用者は、運転免許証またはパスポートを直接銀行まで持参する必要があります。 C. 信用報告書から得た質問など、銀行とユーザーの両方が持っている情報を使用します。 D. ユーザーの登録電話番号に電話して、本人であることを確認します。

57.スーザンの組織は、複数の組織のユーザーが他のフェデレーションサイトのリソースやサービスにアクセスできるようにするフェデレーションの一部です。 Susn が提携サイトのサービスを利用したい場合、どれを利用すればよいですか? アイデンティティプロバイダー? A. スーザンの組織の ID プロバイダー B. サービスプロバイダーのアイデンティティプロバイダー C. 自身の ID プロバイダーとサービスプロバイダーの ID プロバイダー D. サービスプロバイダーが新しい ID を作成する

あ

58. ユーザー認証に指紋スキャナーを使用している銀行の新規顧客は、自分の指紋をスキャンしたところ、別の顧客の口座にログインしていたことに驚きました。どのような種類の生体認証エラーが発生しましたか? A. 登録エラー B. タイプ 1 エラー C.A タイプ 2 エラー D. 使用時間や使用方法の誤り

· 本人拒否率 (FRR): タイプ 1 エラー。有効な生体認証は検証できないため、高度なセキュリティ要件が要求される環境で使用されます。

偽陰性、正しいユーザーを拒否する

•他人受入率 (FAR): タイプ 2 エラー。無効な生体認証は有効な ID と誤認され、セキュリティ要件が低い環境で使用されます。

誤検知、間違ったユーザーが許可される

59. ファイアウォールではどのようなタイプのアクセス制御が一般的に使用されますか? A. 任意のアクセス制御 B. ルールベースのアクセス制御 C. タスクベースのアクセス制御 D. 強制的なアクセス制御

60. ユーザー ID とパスワードを入力するときに実行する重要な ID およびアクセス管理アクティビティは何ですか? A.認可 B. 検証 C. 認証 D. ログイン

61.カトリーンは、個人や組織に物理的なデータセンタースペースを提供するデータセンターコロケーション施設で働いています。最近まで、各ユーザーは、サーバーが配置されている施設の一部にアクセスするために磁気ストライプベースのキーカードを受け取り、サーバーが配置されているケージまたはラックにアクセスするためのキーも受け取りました。過去 2 か月間でいくつかのサーバーが侵害されましたが、パスログには有効な ID のみが示されています。パスユーザーが本来あるべき姿であることを保証するための keatnleen の最善の選択肢は何ですか? A パス利用者に PIN の入力を要求するカードリーダーを追加します。 B. 誰がサーバーにアクセスしているかを監視するために、施設にカメラシステムを追加します。 C. 生体認証要素を追加します。 D. 磁気ストライプベースのキーカードをスマートカードに置き換えます。

62 テレサは、従業員がサービスアカウントやその他のめったに使用されない管理資格情報を含むシステムのパスワードを安全に保存および管理できるようにしたいと考えています。これを達成するにはどのような種類のツールを実装する必要がありますか? A. シングルサインオン B. フェデレーション ID システム C. パスワードマネージャー D. 多要素認証システム

C 覚えて

63.オリビアは、権限昇格攻撃の可能性を減らすために、ユーザーが sudo 経由で実行できるコマンドを制限したいと考えています。これを実現するにはどの Linux ファイルを変更する必要がありますか? A.bash .bin 設定ファイル B.sudoers ファイル C. bash の .allowed 設定ファイル D.sudont ファイル

64. MAC モデル内のどのオブジェクトとエージェントにラベルが付いていますか? A. 社外秘、社外秘、または極秘として分類されたオブジェクトおよび主題にはラベルが付けられます。 B. すべてのオブジェクトにはラベルがあり、すべてのサブジェクトにはコンパートメントがあります。 C. すべてのオブジェクトとサブジェクトにはラベルがあります。 D. すべてのサブジェクトにはラベルがあり、すべてのオブジェクトにはコンパートメントがあります。

質問 65 ～ 67 については、次のシナリオと図を参照してください。 Chris は、成長を続ける e コマース Web サイトのアイデンティティアーキテクトです。彼と彼のチームは、ユーザーが既存の Google アカウントを電子商取引サイトのプライマリアカウントとして使用できるようにすることで、ソーシャルアイデンティティを活用する予定です。これは、新しいユーザーが最初に e コマースプラットフォームに接続するときに、Google アカウント (OAuth 2.0 を使用) を使用するか、電子メールアドレスと任意のパスワードを使用してプラットフォーム上に新しいアカウントを作成するかを選択できることを意味します。 65. 電子商取引アプリケーションが Google ユーザーのアカウントを作成する場合、ユーザーのパスワードを保存する必要がありますどこに保管されていますか? A.パスワードは、電子商取引アプリケーションのデータベースに保存されます。 B. パスワードは電子商取引アプリケーションサーバーのメモリに保存されます。 C. パスワードは Google のアカウント管理システムに保存されます。 D．パスワードは保存されず、代わりにソルト付きハッシュ値が Google に保存されます。アカウント管理システム内で。 66. Google ユーザーのユーザー認証を担当するのは次のうちどれですか? A. 電子商取引アプリケーション。 B. 電子商取引アプリケーションと Google サーバーの両方が存在します。 C. Google サーバー。 D. このチャートでは、これを判断するのに十分な情報が提供されていません。 67. 状態トークンを作成および交換して防止する目的は、どのような種類の攻撃ですか? A.XSS B. CSRF C. SQL インジェクション D.XACML

B クロスサイトリクエストフォージェリ (英語: Cross-site request forgery) は、ワンクリック攻撃またはセッションライディングとも呼ばれ、CSRF または CSRF と略されることが多い攻撃手法です。指定された Web サイトに対するユーザーの信頼を利用するクロスサイトスクリプティング (XSS) と比較して、CSRF はユーザーの Web ブラウザーに対する Web サイトの信頼を利用します。防衛：リファラーフィールドを確認してください HTTP ヘッダーには Referer フィールドがあり、リクエストの送信元アドレスを示すために使用されます。機密データのリクエストを処理する場合、一般的に、Referer フィールドはリクエストされたアドレスと同じドメイン名の下にある必要があります。上記の銀行業務を例にとると、通常、Referer フィールドのアドレスは、転送ボタンが配置されている Web アドレスである必要があり、これも www.examplebank.com の下に配置されている必要があります。 CSRF 攻撃からのリクエストの場合、Referer フィールドには悪意のある URL を含むアドレスが含まれており、この時点でサーバーは悪意のあるアクセスを識別できます。この方法はシンプルで実装が簡単で、主要なアクセスポイントに検証の 1 ステップを追加するだけで済みます。ただし、この方法には制限もあります。正しい Referer フィールドの送信をブラウザーに完全に依存しているからです。 http プロトコルにはこのフィールドの内容に関する明確な規制がありますが、訪問先ブラウザの特定の実装を保証することはできません。また、ブラウザにこのフィールドに影響を与えるセキュリティ脆弱性がないことも保証できません。また、攻撃者が一部のブラウザを攻撃し、Referer フィールドを改ざんする可能性もあります。検証トークンを追加する CSRF の本質は、攻撃者がユーザーを騙して自分で設定したアドレスにアクセスさせることであるため、機密データにアクセスする際の検証として、ユーザーのブラウザが Cookie に保存されておらず、攻撃者によって偽造できないデータの提供を要求される場合、攻撃者は CSRF 攻撃を実行できなくなります。このデータは通常、フォーム内のデータ項目です。サーバーはそれを生成してフォームに追加します。その内容は擬似乱数です。クライアントがフォームを通じてリクエストを送信すると、この疑似乱数も検証のために送信されます。通常のアクセスでは、クライアントのブラウザはこの擬似乱数を正しく取得して返すことができますが、CSRF を介した不正な攻撃では、攻撃者はこの擬似乱数の値を事前に知る方法がなく、サーバーは次のようになります。検証トークンの値が空であるか間違っている場合、疑わしいリクエストは拒否されます。

68. あなたのペットの名前は何ですか?この問題はどのタイプの認証で発生しますか? A. 知識ベースの認定 B. 動的な知識ベースの認証 C. 帯域外認証 D. 3 番目の認証要素

あ

69. Madhuri は、担当するシステムのアクセス制御を管理するために、割り当てられた特権、オブジェクト、プリンシパルのテーブルを作成します。プリンシパルがオブジェクトにアクセスしようとするたびに、システムはテーブルをチェックして、プリンシパルがオブジェクトに対する適切な権限を持っているかどうかを確認します。マドゥリ氏はどのような種類のアクセス制御システムを使用していますか? A. 能力表 B. アクセス制御リスト C. アクセス制御マトリックス D. サブジェクト/オブジェクトの権利管理システム

70. ベンの組織は、サポートチケットを確認したところ、ヘルプケースの 4 分の 1 以上をパスワードの変更が占めていることを発見しました。次のオプションのうち、この数値を大幅に減らす可能性が最も高いのはどれですか? A. 二要素認証 B. 生体認証 C. セルフサービスのパスワードリセット D. パスフレーズ

C 覚えて

71. ブライアンの大規模組織は、長年にわたって RADIUS を使用してネットワークデバイスに AAA サービスを提供してきました。そして最近、認証プロセス中に送信される情報のセキュリティ上の問題に気づきました。ブライアンは何のためにやるべきか RADIUS実装の暗号化? A. RADIUS に組み込まれている暗号化機能を使用します。 B. TLS を使用してネイティブ UDP 上に RADIUS を実装し、保護を提供します。 C. TLS を使用して RADIUS over TCP を実装し、保護を提供します。 D. デバイス間で AES256 事前共有暗号を使用します。。

C RADIUS 自体は UDP プロトコルを使用し、TLS を使用した後は TCP プロトコルになります。

72 jim は、クラウドベースのアプリケーションが彼の代わりに他の Web サイト上の情報にアクセスできるようにします。これを実現できるツールは次のどれですか? A.ケルベロス B.OAuth C.OpeniD D. LDAP

B 認可プロトコルが必要なのでOAuth

73.ベンの組織では、従業員がデスクにいない昼休みにアプリケーションやワークステーションへの不正アクセスが発生しました。この種のアクセスを防ぐためにベンが推奨する最適なセッション管理ソリューションは何ですか? A すべてのアクセスにセッション ID を使用し、すべてのワークステーションのシステム IP アドレスを確認します。 B. アプリケーションのセッションタイムアウトを設定し、ワークステーション上でパスワードで保護されたスクリーンセーバーを使用し、非アクティブタイムアウトを設定します。 C ワークステーション上のすべてのプログラムとパスワードで保護されたスクリーンセーバーにセッション ID を使用します。 D. アプリケーションのセッションタイムアウトを設定し、すべてのワークステーションのシステム IP アドレスを確認します。

74 次の図は、どのタイプの認証シナリオを示していますか A. 混合組合 B. その場で結合する C. クラウドフェデレーション D. ケルベロス連合

あ P508 クラウドベースのフェデレーションは通常、サードパーティを使用してフェデレーション ID を共有しますハイブリッドフェデレーションは、クラウドフェデレーションとオンプレミスフェデレーションの組み合わせです。

75. Chris は、施設へのアクセスを制御しながら個人を特定したいと考えています。彼はまた、これらの個人が入国を許可されることを確認したいと考えており、継続的に多額の費用がかかることを望んでいません。次のオプションのうち、これらの要件をすべて満たすソリューションはどれですか? （該当するものをすべて選択。） A. 警備員と写真付き身分証明書 B. RFID バッジと PIN キーパッド付きリーダー C. 磁気ストライプバッジと PIN パッド付きカードリーダー D. セキュリティ要員と磁気ストライプリーダー

紀元前

76. Yubikey や Titan セキュリティキーなどのデバイスは、どのタイプの 2 番目の認証要素に分類されますか? A. トークン B. 生体認証識別子 C.スマートカード D.PIV

あ覚えて

77. OAuthと組み合わせてRESTful APIを使用して認証およびユーザープロファイル情報を取得できる認証技術は何ですか? A.SAML B.シボレス C. OpenID Connect D.ヒギンズ

78.Jim は、ユーザーがアクセスを委任できないようにするためのアクセス制御スキームを実装したいと考えています。また、オペレーティングシステムレベルでアクセス制御を強化したいと考えていました。これらの要件を最もよく満たすアクセス制御メカニズムはどれですか? A. 役割ベースのアクセス制御 B. 任意のアクセス制御 C. 強制的なアクセス制御 D. 属性ベースのアクセス制御

79.スーザンの会社のセキュリティ管理者は、スーザンが勤務時間中にのみログインを許可するように彼女が使用するワークステーションを設定しました。この制限を最もよく表すのはどのタイプのアクセス制御ですか? A. 制限されたインターフェース B. 状況依存の制御 C. コンテンツ関連のコントロール D. 最低限の特権

80.ベンはコードを毎分変更するソフトウェアベースのトークンを使用しています。彼はどのような種類のトークンを使用していますか? A. 非同期 B. スマートカード C. 同期 D.静的

81. ファイアウォールは、どのタイプのアクセス制御メカニズムの一例ですか? A. 強制的なアクセス制御 B. 属性ベースのアクセス制御 C. 任意のアクセス制御 D. ルールベースのアクセス制御

82.ミシェルは金融サービス会社に勤めており、Web アプリケーションに顧客を登録したいと考えています。彼女が、事前の関係を持たずに、初回ログイン時にその人物が本人であることを迅速かつ自動的に確認したい場合、どのようなタイプの認証メカニズムを使用できるでしょうか? A. 社会保障番号を尋ねます。 B. 知識ベースの認証を使用します。 C. 手動認証を実行します。 D. 生体認証要素を使用する。

B 覚えて

83 Megan の会社は、Google アカウントを使用して Web アプリケーションを迅速に導入したいと考えています。 Megan が実装する必要がある一般的なクラウドフェデレーションテクノロジは何ですか? （該当するものをすべて選択） A.ケルベロス B.OpeniD C.OAuth D.半径

紀元前

84. セッション ID の長さとサイズは、どのタイプの攻撃を防ぐために重要ですか? A. サービス拒否 B. クッキーの盗難 C. 会話の推測 D. 中間者攻撃

85. ナオミの組織のアクセス制御システムは、ナオミがネットワークに接続できるようにする前に、コンピューターが完全に接続されているか、マルウェア対策スキャンが成功しているか、ファイアウォールがオンになっているかなどのセキュリティ検証をチェックします。潜在的な問題がある場合、接続がブロックされるため、サポートに連絡する必要があります。このタイプのプロセスを最もよく表すのは、どのタイプのアクセス制御スキームですか? A.MAC B. ルールベースのアクセス制御 C. 役割ベースのアクセス制御 D．リスクベースのアクセス制御

86. lsabelle は、組織のサービスアカウントに対する権限昇格攻撃を防ぎたいと考えています。次のセキュリティ対策のうちどれですかこの状況に最適ですか? A. 不要な権限を削除します。 B サービスアカウントの対話型ログインを無効にします。 C. アカウントのログイン時間を制限する。 D. 意味のない、またはランダム化されたサービスアカウント名を使用する。

あ

87. OpenID 依存者に OpenID プロバイダーへの接続の制御を許可すると、どのような危険がありますか? A. OpenID プロバイダーの選択が間違っている可能性があります。 B. 偽の OpenID プロバイダーにデータを送信することによるフィッシング攻撃の可能性。 C. 依拠当事者は顧客のユーザー名とパスワードを盗むことができる可能性があります。 D. 依存当事者は、署名されたアサーションを送信することはできません。

88. ジムは、組織にクラウド ID ソリューションを実装しています。彼はどのような種類のテクノロジーを使用しているのでしょうか? A. サービスとしてのアイデンティティ B. サービスとしての従業員の地位 C. クラウドベースの RADIUS D.OAuth

あ IDaaS

89.Kisten は、従業員の役職、各役職グループに必要なアプリケーション権限、時間、場所に基づいて、組織内のアプリケーションへのアクセスを制御したいと考えています。どのタイプの制御スキームを選択する必要がありますか? 属性ベースラインアクセスコントロール (ABAC) B. 随意アクセス制御 (DAC) C. 強制アクセス制御 (MAC) D. ロール属性ベースラインアクセス制御 (ロール BAC)

あ

90. Alex が Linux サーバー上のユーザーとして以下の図に示すアクセス許可を設定するとき、彼はどのタイプのアクセス制御モデルを利用しますか? $ chmod 7313 アル $1s-la 合計12 drwxr-xr-x 3 ルート drwxr-xr-x 3 ルート A. 役割ベースのアクセス制御 B. ルールベースのアクセス制御 C. 強制アクセス制御 (MAC) D. 随意アクセス制御 (DAC)

91.ジョアンナは組織のアイデンティティ管理チームを率いており、従業員が新しい役職に異動するたびに役割が更新されるようにしたいと考えています。役割定義の問題を回避するには、従業員のどの問題に焦点を当てるべきでしょうか? A. 登録する B. 許可のクリープ C. 廃止 D.アカウントの責任

92下の図に示されている認可メカニズムは何ですか? A. ロールベースのアクセス制御 (RBAC) B. 属性ベースラインアクセス制御 (ABAC) C. 強制アクセス制御 (MAC) D. 随意アクセス制御 (DAC)

あ

93. スーザンは、TGT (チケット許可チケット) が有効なチケットとして受け入れられないことや、新しいチケットを取得できないことなど、Kerberos 認証の問題のトラブルシューティングを行っています。トラブルシューティングしているシステムが Kerberos 認証用に適切に構成されている場合、ユーザー名、パスワードは正しいです。ネットワーク接続は正常です。何が問題なのでしょうか? A.Kerberos サーバーはオフラインです。 B. プロトコルの不一致があります。 C．クライアントの TGT は、侵害され、不正なものとしてマークされます。 D Kerberos サーバーとローカルクライアントのタイムクロックが同期されていません。

94. ブライアンは、組織の管理者にとって地方連合の利点を説明したいと考えています。次のオプションのうち、フェデレーテッド ID システムの共通の利点ではないものはどれですか? A. アカウント管理を簡素化する B. シングルサインオン C. ブルートフォース攻撃を防ぐ D. 生産性の向上

95. アーロンの銀行は、提携しているサードパーティパートナーが提供する新しいアドオンアプリケーションを顧客が使用できるようにしたいと考えています。すべての顧客がアカウントを望んでいるわけではないため、アーロン氏は銀行に対し、ユーザーがアプリをダウンロードしてログインしようとしたときにアカウントを作成する SAML ベースのワークフローを使用することを推奨しています。彼はどのようなタイプの構成システムを推奨していますか? A. ジャストインタイム構成 (JIT) B.OpeniD C.OAuth D.ケルベロス

あ

96.Windows は Active Directory システムに対してデフォルトでどの認証プロトコルを使用しますか? A. 半径 B.ケルベロス C.OAuth D.TACACS

B Kerberos: Kerberos は、Active Directory のデフォルトの認証サービスです。

97.Valerie は、BYOD 環境でモバイルデバイスに展開されたアプリケーションへのアクセスを制御する必要があります。エンドユーザーが使用するデバイスにデータが残らないようにしながら、アプリケーションを制御できるようにするには、どのような種類のソリューションが最適でしょうか? A. アプリケーションを BYOD デバイスに展開し、デバイスごとに一意の PIN を要求します。 B はアプリケーションをデスクトップシステムに展開しており、ユーザーはリモートインターフェイスを使用してエンタープライズ認証を使用してアプリケーションにアクセスする必要があります。 C. アプリケーションコンテナを使用してアプリケーションシートを BY0D デバイスに展開し、デバイスごとに一意の PIN を要求します。 D. 仮想ホストアプリケーション環境を使用するには、企業の資格情報を使用した認証が必要です。

98. 次の認可メカニズムとその説明を一致させてください。 1. ロールベースの属性ベースラインアクセス制御 (Role-BAC) 2. ルールベースの属性ベースラインアクセス制御 (ルール BAC) 3. 随意アクセス制御 (DAC) 4. 属性ベースラインアクセス制御 (ABAC) 5. 強制アクセス制御 (MAC) A. オペレーティングシステムによって強制されるアクセス制御モデル。 B. IP アドレス、時間、またはその他の特定の詳細による一致する要件に基づいて、アクセス許可または権利を付与します。 C. ポリシーベースのアクセス制御とも呼ばれるこのモデルは、プリンシパルに関する情報を使用してアクセス許可を割り当てます。 D. プリンシパルに適切なアクセス許可を付与し、それらのアクセス許可を他のプリンシパルに割り当てたり渡したりするモデル E. ジョブまたは機能に基づいて権限を割り当てるために使用されます。

1E2B3D4C5A

99. デジタル認証テクノロジーを適切なカテゴリーに適合させます。各テクノロジーはカテゴリに対応させる必要があります。各カテゴリは、1 回だけ使用することも、複数回使用することも、まったく使用しないこともできます。認証技術 1. パスワード 2.IDカード 3. 網膜スキャン 4. モバイルトークン 5. 指紋分析カテゴリー： A. 所有しているもの B. 知っておくべきこと Cは何かです

1B2A3C4A5C

100. 次の ID およびアクセス制御を、保護するのに最適な資産の種類に合わせてください。各オプションは 1 回のみ選択できます。 1. 情報資産 2. システム 3. モバイルデバイス 4. 設備 5. パートナーアプリケーション A. 任意のアクセス制御 B. アクセス制御カードリーダー C. フェデレーション ID 管理 D．生体認証 E. 多要素認証を使用したユーザーアカウント

1A2E3D4B5C

CISSP 学習ノート - ドメイン 5 (アイデンティティ アクセス管理)

CISSP 学習ノート - ドメイン 5 (アイデンティティ アクセス管理)

CISSP 学習ノート - ドメイン 5 (アイデンティティアクセス管理)

CISSP 学習ノート - ドメイン 5 (アイデンティティアクセス管理)