CISA勉強メモ〜復習と備忘〜
復習と備忘を兼ねてCISAの勉強メモを殴り書きする。
・継続的かつ測定可能な品質向上
・承認されていない→IT部門が共通の目標に向かって業務を進められていない
・IT戦略が企業戦略に合わせるDescription
・ポリシーの遵守の促進→遵守を可能とするITメカニズムの存在
・IT運営委員会→IT計画、予算の承認と状況のモニタリング
・責任を取るのは事業部門責任者
・ITガバナンスの責任者→取締役会
・Job Description→職責と説明責任
・BSC:バランススコアカード
- 財務:株主に対してどのような行動を取るか
- 顧客:顧客に対してどのような行動を取るか
- 社内プロセス:どのような業務プロセスが必要になるか
- 学習と成長:どのように組織、従業員を成長させるか
・発券抽出法→サンプリングのこと?
・実証性テスト:監査目標の満足度を突合、確認、立ち合い等で直接的に検証し、被監査対象の作業結果や成果物の妥当性を点検、評価。
・準拠性テスト:予備調査で把握したコントロールが有効に機能しているか整備状況、遵守状況を検証
・インベントリ:資産目録のこと
・十分かつ適切な監査の証拠を集める
・情報システム監査規定:情報システム監査の役割
・CAAT:Computer Assisted Audit Technique コンピュータ利用監査技法
・リスク管理:保護すべき資産の識別
・CSA:Control Self Assessment →より早くリスクを検知
・システム監査:法的要件が最優先
・Stop and Go サンプリング:逐次抜取サンプリング→予想、逸脱率が予測できない時に利用
・監査規定の変更:監査委員会で決める。独立性が重要
・信頼率を下げること標本数を減らす
・発見的コントロール:予防が難しいことを早い段階で検知(火災検知器)
・予防的コントロール:そのまま(免震床、防災扉)
・訂正的コントロール:消化器
・補完的コントロール:一億円以上の決済は営業部長の承認を得る
・退職:チェックリストを用意しなさい
・ITガバナンス:利害関係者の要件及び、その関与を判断
・ザックマンフレームワーク:複雑な組織を体系的に分析、把握、6行6列のマトリクス
・Enterprise Architecture:組織が最も適切な技術に投資できる
・エスクロー契約:カスタムメイドのソフトウェア会社が倒産→ソースコードを第三者で管理
・チェックデジット:転置、転記エラー
・SDLC:Software Development Life Cycle
・RAD:Rapid Application Development
・ソーシャビリティテスト:既存システムへの影響確認
・回帰テスト:既存シナリオへの影響確認
・従業員の結託:識別が難しい→リスク
・ハッシュトータル:ファイルに埋め込まれていない
・チェックデジット:ファイル末尾に埋め込まれている
・時間的な制約がある→クリティカルパスを確認
・タイムボックス管理:コスト高、納入遅延を防止
・ビジネスケース:システムのライフサイクルが終わるまで保存
・コードレビューが実施されていない:バッファオーバーフローの危険あり
・インターフェースエラー:トップダウンテストで見つける
・ERPの導入:IPCが責任
・導入計画、リリース計画は設計時にやる。
・CMM:能力成熟度モデル
- 作業が場当たり的
- 基本的なプロジェクト管理が実施可
- 組織にプロセス管理を行なっている
- プロセス、プロダクトの定量管理
- プロセス改善に全員が参加
・トランザクションの網羅性:番号の自動配列
・導入事後評価:期待事項を満たしているか
・BPRのGAP分析
・並列テスト:新旧システムを比較する
・ソフトウェア取得プロセスにおいて契約レビューして承認するのは最も重要なプロセス
・プロジェクト運営委員会:プロジェクト成果物、コスト、スケジュール
・重要なコアコンピタンスは、外部委託するか慎重に検討すべし
・アルファテスト:組織内のユーザーのみ
・ベータテスト:外部ユーザーを巻き込んだ評価
・負荷テスト:通常ピーク時のソフトウェアパフォーマンスを評価
・ストレステスト:同時接続数の異常な数を評価
・実現性検証の結果により、組織的な影響(コスト、メリット、リスク)を判断
・データの正確性、網羅性、一貫性は編集などの品質コントロールによって確保
・データベースの完全性:テーブルリンク、参照チェック
・ネットワーク管理の重要なコンポーネント:構成、及び、変更管理
・OSSのライセンス条項に従う必要あり
・行われた変更を識別し、承認を検証する→組織の変更管理手順へのコンプライアンスの判断
・本番ライブラリの不正行動→システムログファイルレビューで見つける
・キャパシティ管理:SLAを満たしているかの確認
・DRPは必ずしもCEOの承認がいるとは限らない
・T1回線→企業向けデジタル専用線、ヨーロッパではE1回線
・人命の確保が最優先
・変更管理手続の有効性:独立した第三者による監査報告書
・コールセンターのSLA:一次解決率
・RTOが長ければ長いほど、耐災害性が高い
・DRPのテストが行われていない:壊滅的なサービス中断
・災害復旧→継続的→主要担当者の連絡先
・問題管理→例外事項分析
・準備テスト→比較的低コストで環境全体をシミュレートする
・是正的コントロール:復旧手順を進める
・サービス提供目標(SDO):最低限許容できる操業能力
・互恵契約:提携先が距離的に離れている
・代替することができないデータの輸送:必ずバックアップを取得
・変更管理プロセスのレビュー:修正されたプログラムのサンプルが変更チケットに基づいているかを追跡する
・Disk to DIsk To tape Backup
・業務継続計画に関する従業員の研修
・パッチリリース:情報資産オーナーからの承認
・ホットサイト:稼働状態で待機
・ウォームサイト:非稼働状態で待機
・コールドサイト:機器の搬入等から
・緊急変更管理手順→説明責任→必要に応じて個人IDに本番アクセス権限を付与
・セキュリティアップデートの監査:自分ツールで確認
・災害復旧テスト→机上テスト→シナリオの機能テスト
・実際のリリースを使った災害復旧テスト→準備テスト
・災害復旧計画は業務継続計画の技術的要素
・BCPの最初のステップ:業務に障害をもたらした事象から回復する際のリスクを管理
・ハッシュトータル:データ処理におけるエラー検知、バッチレベルでトランザクションレベルを検証しない
・EUCツール:アプリ、テスト、及び、IT全般統制の対象外になりがち
・1対1チェック:個別文章とシステムの突合確認、時間かかる
・チェックデジット:データの転置エラーの防止
・特定の機密情報の保護:列または行レベルでの権限設定
・データベースユーザーの説明責任:ログ管理プロセスの導入
・削除が6ヶ月後:データの機密性が心配
・hidden:パラメータの改ざんが心配
・データマイニング:大量のデータから”知識”を見出す
・サーバOSの完全性:サーバ構成を強化する
・GSM:第二世代の携帯通信方式
・証拠の完全性の維持
・有効な予防コントロール:適切な職務の分離→SOD(Segregation of Duties)
・プライバシー要件の確認に最初にやること→法律、規制要件の確認
・ゲスト用無線LANは社内LANと分離しなさい
・二重ブラインドテスト:テスターがいきなり攻撃
・VoIP:Voice over Internet Protocol
・スプーフィング:ハッカーがユーザーになりすます
・DDoS攻撃:分散型サービス拒否攻撃
・クラウドベースの会計サービス:確実な情報の返還or破棄
・トランザクションログはWrite once Read many diskに書き込む
・LAN SwitchはUPS(無停電源装置)に接続しなさい
・リモートアクセスではパスワードは必ず暗号化
・医療情報(PHI)は、メールは自動で暗号化しなさい
・電磁放射:テンペスト攻撃
・スニファー:ネットワークトラフィックを監視
・監査中にウィルスを検知したらすぐに担当者に連絡する
・アクセスコントロール時に最初にやること:ISリソースの棚卸し
・ピギーバッキング:不正人物が物理的に侵入。共づれ禁止
・ダンプスターダイビング:ゴミ漁って重要情報を盗む
・ショルダーサーフィン:盗み見
・ステガノグラフィ→電子すかし→デジタル権利の管理
・ハッシング:不可逆がポイント
・アクセスコントロールのレビューで最初にやること→ネットワークの接続ポイントの識別
・VoIPは一般的には暗号化しない
・インターネットの世界→Webサーバ→FW→IDS→社内LAN
・PaaSを使うときは、データの種類と機密度の分類分けが必要
・サイバー攻撃からの復旧→インシデント対応チームを発動
・電圧レギュレータ:電圧サージから保護
・ITセキュリティベースラインがある組織は充足性を最初に見る
・マントラップ→ピギーバッキング
・侵入テストをするときはデータ所有者からの許可を得ること
・明確に定義されたデータ分類ポリシーの利点→コントロールコストの削減
・不正オンライン決済要求:トランザクションの監視
・VPNのセキュリティリスク:悪意のあるコードがネットワークを駆け巡る
・セキュリティが正しく設計されていない→プロジェクト計画にセキュリティ要件があるかを確認する
・ファイヤーウォールの次がIDS
・チャンレンジレスポンス認証:セッションハイジャック攻撃に弱い
・証明書執行リストが更新されていないのはリスク
・メッセージダイジェスト:ハッシュ値を利用。送信者と受信者の双方で算出
・トランザクションの暗号化:高度暗号化標準 AES
・ホテルのロビーの端末:セッションタイムアウトを必ず設定
・EER:等価エラー率→他人受け入れ率(FAR)と本人拒否率(FRR)が一致するように調整した後のエラー率で小さければ小さいほど良い
・EER:equal error rate
・FAR:False Acceptance Rate 他人受入率
・FRR:False Recognition Rate 本人拒否率
・セクターレベルの上書き:完全にデータを削除できる
・フォーマットはデータが残るのでNG
・ネットワーク上の違法パッケージのローディング→定期的なハードウェアドライのチェック
・メールの機密性、完全性、否認防止→電子証明書
・サーキットゲートウェイ:トランスポート層で動作するファイヤーウォール
・ニューラルネットワークが不正行為の検知に有効→膨大な入力変数の考慮がいる場合
・ダンプスターダイビングのリスク軽減→セキュリティ向上トレーニングの実施
・Java applet、ActiveX→ファイルの発行元が信頼できること
・パリティチェック:誤り検出法の一つ。特定のブロックごとに奇数か偶数のチェックをつける
・エコーチェック:受信側でデータを送信側に返送し、送信側でチェックする。
・巡回冗長検査:データの転送などに伴う偶発的な誤りの検出
・セキュアな伝送媒体:光ファイバケーブル
・ロックイン:別の同種のサービスへの乗り換えが困難な状態
・認証局運用規定:CPS Certificate Practice Statement
・中間者攻撃:無線LANの傍受、通信内容の盗聴、オンラインバンキングへの不正送金→他要素認証が有効
・DLP(Data Loss Prevention):社内からの持ち出し検知、漏洩防止
・シングルサインオンの不正利用防止:強力なパスワードポリシーの要求
・セキュリティ向上プログラムの妥当評価:職務記述書に情報セキュリティの説明責任を明示
・セッションボーダーコントローラー:IP電話関連、別のネットワークとの境界におく
・ネットワークへの受動攻撃:トラフィック分析
・IDSはDNZに設置すべき
・意思決定システムの導入リスク:目的、用例が指定不可
・ピングオブデス:DDos攻撃
・リープフロッグ攻撃:Telnetで侵入
・否定応答攻撃:非同期の割り込み、無防備→OSの脆弱性
・電子署名にはメッセージダイジェストが含まれる→送信者、受信者が互いに計算して確かめる→完全性の確保
・誤認アラームの可能性が高い:統計ベース
・署名ベース:新しい攻撃に弱い
・電源ラインコンディショナ:短期的な電力の消失
・公開鍵インフラストラクチャの登録機関:証明書を要求している人物によって提供される情報を検証
・真正性:間違ってないよ
・認証局の第一の目的は証明書の発行。証明書を保有しているエンティティの身元を確認し、自らの発行した証明書の整合性を確認すること
・公開鍵インフラストラクチャのディレクトリサーバは、他のユーザー証明書をアプリケーションで利用可能にさせる
・機密性、完全性、否認防止:電子証明書
・被監査人が結果に不満:IT監査マネジャーと話し合う
・年次内部情報システム鑑査のリスク格付け前:監査領域の定義
・固有リスク:影響を受けるユーザー、ビジネス分野の数で高まる
・固有リスク、統制上のリスクの両方が高い→実証性テスト
・情報システム監査計画の主な目的:リソースの割り当て
・組織図のレビュー:従業員の責任、及び、権限に関する情報
・意思決定支援システム:データ分析、及び、インタラクティブモデルに基づく意思決定
・情報システムコントロール目標:特定のコントロール手順の導入における望まれる結果
・リスクマネジメントプロセス:セキュリティーポリシーの意思決定
・ITガバナンスの導入成功:組織戦略の識別
・ITバランススコアカード:ITと業務戦略の架け橋。顧客満足度、内部処理、革新能力
・システム開発ライフサイクルプロジェクトの段階、及び、成果物はどこで決める?→プロジェクトの初期計画ステージ
・予防的コンピュータメンテナンスの妥当性:システムダウタイムログ
・ライブラリアンコントロールソフトウェアの使用:プログラムの変更が承認されること
・SLAに準拠できなかった:サポートモデルが適切に開発導入されていない
・業務継続計画が最新であることの保証:グループが計画の様々なシナリオを最初から最後までウォークスルー
・ハッシュトータル:データ処理のエラー検出、データの完全性エラー
・データファイル変更管理、例外事項調査、時間短縮→トランザクションログ
・RSAを使用した電子署名:認証、完全性、メッセージダイジェスト
・スニッフィング:ネットワークの中身を見てデータを抜き取る
・VPNはネット上のスニファーから情報を隠す
・メッセージ送信者の身元証明:電子証明書
・SSLは暗号化に対称暗号鍵を用いる
・トランザクションジャーナルは全てのトランザクションアクティビティを記録
・積極的なセキュリティ強化:ハニースポット
・公開鍵インフラストラクチャの登録機関の役割:証明書を要求している人物によって提供される情報を検証
・ビジネスインパクト分析→業務継続戦略→業務継続計画の順番
・許容できるダウンタイムの決定→BIA
・業務継続計画の有効性:テスト結果的の監査
・業務継続計画の明瞭性、簡潔さ→インタビュー
・ブラックボックス侵入テスト計画:クライアント組織の経営陣の知識
・データの機密性、信頼性、完全性、インターネットビジネス→SSL
・ストップアンドゴーサンプリング:発生確率が低いとき
・技術における変化率:正しいプロセスの導入
改めて用語を振り返ってみると、楽しくはなかったなと。。。