SSCP取得してサイバーセキュリティヒーローになるぞ!
(SSヒーローのことは置いといて)分からない用語はないかい?
まとめ作成します。
ちなみにCISSP資格保有者(2022年1月:NRI SECURE)
- 全世界:152,000名
- 日本人:3,300人超
SSCPとは
SSCP(Systems Security Certified Practitioner):(ISC)²が認定を行う情報セキュリティ資格
Youtube紹介動画によるとSSCP資格取得により
- あらゆる組織のセキュリティの最前線立つことができる
- 重要なITインフラにベストプラクティスを適用する高度なスキルと知識を身に付けられる
- 組織の重要な資産を守るためのリーダーシップ、専門知識、熱意を持っていることが証明できる
→高度なセキュリティ知識を持つIT担当者は組織にとって貴重なリソース
→「サイバーセキュリティヒーロー」
公式がヒーローになれると言っているよ。
ヒーローになるための入り口に立てるといったイメージかな。
(ISC)²:International Information Systems Security Certification Consortiumの略。サイバーセキュリティ専門家向けのトレーニングと認定を専門とする非営利団体、世界最大のITセキュリティ組織。読みはアイエスシースクエア。
- ネットワーク・システム開発や運用に従事している
- 情報セキュリティが専業ではない
- 情報セキュリティを「組織」という観点で理解し、情報セキュリティ専門家や経営陣とコミュニケーションを図れる人材を目指している
- より実践に近い内容をグローバルの標準に則った内容で理解していることを証明したい
日本語の公式ガイドブックはコレだけです。本著者は「CISSP認定公式ガイドブック(NTT版)」著者の河野省二氏、「CISSP-行政情報セキュリティ認定試験公式ガイドブック(アスキー出版)」著者の長谷川長一氏・安田良明氏
ドメインで求められる主なスキルは網羅していますが発売は2012年と古いため、次項のSSCP資格試験対策資料の紹介にあるドメインガイドブックも活用しましょう。
英語いけるぜって方はこっち。
英語版のSSCP認定公式ガイドブック(第3版:2022/1/7出版)
Kindle版を購入し、Kindle for PCやDeepL翻訳、Chrome拡張機能を活用すれば日本語で読めるようです。
Kindle for PCで洋書をDeepL翻訳を使ってスラスラ読む方法
英語版の公式問題集(第2版 (2021/10/29))
こちらを翻訳して使うのがおすすめ(英語が得意ならそのままでOK)
SSCP対策資料・試験について
認定試験の概要にはなぜか試験時間4時間・問題数150問とありますが、3時間・125問が正しいですね。
※非公式で無料のSSCP問題がありますが、信頼性は不明のため、ググってみて使えそうなら活用してみてください。
SSCP認定試験について
- 出題範囲 CBK®ドメイン
1 セキュリティの運用と管理
2 アクセス制御
3 リスク特定、モニタリング、分析
4 インシデントレスポンスとリカバリ
5 暗号化
6 ネットワークと通信のセキュリティ
7 システムとアプリケーションセキュリティ- 受験方法:Computer Based Testing(CBT)
- 出題形式:125問(日本語・英語併記)、四者択一
- 試験時間:3時間
- 受験費用:249米ドル+税
- 受験要綱(Exam Outline):ダウンロードはこちら
- 試験申込み:ピアソンVUE
引用:(ISC)² Japan
125問のうち、25問は調査のためで採点されません。
調査用の問題が初めの25問で「全然分からない!」となっても、採点範囲外なので諦めずに最後まで問題を解きましょう。(バラバラに振ってあるとは思いますが)
ここから各ドメインのメモ。
1 セキュリティ運用と管理
(ISC)²倫理規約
- 社会、公益、公共から求められる信頼と信用、インフラを守る。
- 法律に違わず、公正かつ誠実に責任を持って行動する。
- 原則に基づき、優れたサービスを提供する。
- 専門性を高め、維持する。
ドメインガイドブック(試験範囲)にも記載されているので覚えておこう。
資産マネジメント
- ハードウェアのインベントリ
ハードウェア情報の収集を定期的に行う、定期的に参照する。
機能的セキュリティ管理策
- プロシージャ
手順 - ガイドライン
ベストプラクティス(良いとこ取り)を提供。守る必要なし(義務ではない)
変更管理
- ベースライン
最低基準 - ロールアウト
新しいサービスを開始し、運用を開始すること
物理セキュリティの運用
- ハイテク鍵
住宅のスマートロックなど - ターンスタイル
金属棒が少しずつ回転することで1人ずつ通過できるゲート - マントラップ
2つのドアを持つ部屋だが、常に1つのドアしか開かない部屋。室内で監視され、不正があれば閉じ込められ、問題がなければ反対側のドアが開く。
ドメインで求められるスキルの例
- アンチパスバック
入室時のID認証の記録がないと、退室(時の認証)を許可しない仕組み
2 アクセス制御
アクセス制御の実装
- オブジェクト
処理の対象(もの)。データや物体など - サブジェクト
主体(人)。オブジェクトにアクセスする側。ユーザ、プロセス、プログラム、コンピュータ、組織など
AAAの概要
- Authentication:認証
パスワードやトークンを基にアクセス許可されたユーザなのか確認 - Authorization:認可
認証に成功したユーザに対して権限を制限(付与)すること - Accounting:アカウンティング
認証に成功したユーザに対して情報を収集すること。サービスやリソースを利用しているユーザのアクセス履歴・入力コマンド・イベントなどをログに記録。
アクセス制御は大きく3種類
- DAC(Discretionary Access Control):任意アクセス制御(Linuxのファイルアクセス制御のイメージ)
ユーザが自身でアクセス制御。ユーザが作成したファイルの読取り・書込み・実行について自由に設定可能。所有者やグループも変更可能 - MAC(Mandatory Access Control):強制アクセス制御
管理者が1人でアクセス制御。管理者がオブジェクトとサブジェクトに付けたセキュリティラベルに応じてアクセス権を付与 - RBAC(Role-Based Access Control):ロール(役割)ベースのアクセス制御
アクセスを役割によって定義。管理者がロールの特定、アクセス権の付与(NDAC:非任意アクセス制御もコレ)
その他アクセス制御
- RuBAC(Rule-Based Access Control):ルールベースのアクセス制御
管理者が設定したルールに基づいてアクセス権を付与。いつ・どこで、IPアドレス、特定の時間帯など指定した条件でアクセス制御 - ABAC(Attribute Based Access Control):属性ベースのアクセス制御
サブジェクト、リソース(オブジェクト)、アクション(操作)、環境に基づいてアクセス権を付与。RBACの進化版で柔軟なポリシーが作成可能 - CDAC(Content Dependent Access Control):コンテンツ依存型アクセス制御
オブジェクトの内容によりアクセス制御。データの機密性に応じてアクセス範囲を決定しておく。
認証方法の実装と維持
- ADFS(Active Directoryフェデレーションサービス)
Active Directoryへの認証で外部サービスを利用できるSSO - OpenID Connect(オープンIDコネクト)
OAuth2を拡張したもので、IDトークンを発行
一番分かりやすい OpenID Connect の説明 – Qiita - フェデレーテッド
分散DB管理システム(1つのDBに保管されているかのように更新) - OAuth2(オープン認証2)
アクセストークン標準化(RFC6749)、アクセストークンを発行 - SAML(Security Assertion Markup Language):セキュリティアサーションマークアップ言語
異なるインターネットドメイン間でユーザ認証を行うためのXMLベースの言語 - SPML(Service Provisioning Markup Language):サービスプロビジョニングマークアップ言語
ラットフォームが登録要求を生成して応答できるように設計されたXMLベースの言語 - XACML(eXtensible Access Control Markup Language)
アクセス制御を記述するために使用 - SOAP(Simple Object Access Protocol)
メッセージプロトコル。ネットワーク経由でオブジェクト間の軽量通信を行う。 - ケルベロス
秘密鍵を使い認証プロセスを暗号化。ケルベロス鍵配布センター(KDC)はユーザ認証&ユーザ毎サービスの認可のための証明書(チケット)を発行 - RADIUS(Remote Authentication Dial-In User Service):リモート認証ダイヤルインユーザーサービス
ダイヤルアップ回線、無線・有線LAN、VPNなどへの接続時のユーザ認証プロトコルでセキュリティ強化が目的
ユーザがIDとパスワード入力 →RADIUSクライアントがRADIUSサーバにアクセス認証
「クライアントなりすまし」や「Man in the Middle攻撃」など脆弱性が多数ある。
対策→IPsecの利用、長く複雑な共通鍵やパスワードを使用
参考:RADIUSの概要および脆弱性と対策
アイデンティティ管理のライフサイクル
- IAM(Identitty and Access Management):アクセス管理システム
ログインIDに対して権限を設定してサービスの利用を制限する機能
3 リスク特定、モニタリング、分析
モニタリングシステムの運用と維持
- SCADA(Supervisory Control And Data Acquisition)
産業制御システム。システム監視、データ収集、プロセス制御 - SCAP(Security Content Automation Protocol):セキュリティ設定共通化手順
情報セキュリティ対策の自動化と標準化を目指す。
SCAPは以下6つの標準仕様から構成
- 脆弱性を識別するためのCVE
(Common Vulnerabilities and Exposures:共通脆弱性識別子)- セキュリティ設定を識別するためのCCE
(Common Configuration Enumeration:共通セキュリティ設定一覧)- 製品を識別するためのCPE
(Common Platform Enumeration:共通プラットフォーム一覧)- 脆弱性の深刻度を評価するためのCVSS
(Common Vulnerability Scoring System:共通脆弱性評価システム)- チェックリストを記述するためのXCCDF
(eXtensible Configuration Checklist Description Format:セキュリティ設定チェックリスト記述形式)- 脆弱性やセキュリティ設定をチェックするためのOVAL
(Open Vulnerability and Assessment Language:セキュリティ検査言語)
4 インシデントレスポンスとリカバリ
事業継続計画と災害復旧計画の理解
- BCP(Business Continuity Plan):事業継続計画
自然災害やインフラ停止、テロなどの脅威の発生時、いかに影響を最小化して事業を継続するかの方策 - DRP(Disaster Recovery Plan):災害復旧計画
事業を継続させる際、いかに迅速に復旧させるかの計画(DRはPlanを抜いたもの) - BIAプロセス(Business Impact Analysis):ビジネスインパクト分析
災害で業務やシステムが停止したときの影響度評価分析。BCP策定に必要 - BCM(Business Continuity Management):事業継続管理
5 暗号化
暗号化の理由と要件の理解
データセンシティビティ
- PII(Personally Identifiable Information)
個人情報 - IP(Intellectual Property)
知的財産 - PHI(Protected Health Information)
保護された健康情報
規制及び業界のベストプラクティス
- PCI-DSS(Payment Card Industry Data Security Standard)
ペイメントカード業界データセキュリティ規格
暗号アルゴリズム
- 換字式暗号
平文を1文字や数文字に変換 - 転置式暗号
平文の文字を並べ替えて暗号文を作成する暗号
ブロック暗号の主なモード
- ECBモード:Electronic CodeBook mode (電子符号表モード)
- CBCモード:Cipher Block Chaining mode (暗号ブロック連鎖モード)
- CFBモード:Cipher-FeedBack mode (暗号フィードバックモード)
- OFBモード:Output-FeedBack mode (出力フィードバックモード)
- CTRモード:CounTeR mode (カウンタモード)
PKI
- Web of Trust
公開鍵の所有者を自身が信頼できる人物に保証してもらう仕組み。PGP、GnuPG、OpenPGP - PGP(Pretty Good Privacy)
社会的信頼関係に基づき、暗号鍵を共有する。 - X.509
公開鍵基盤で使用する規格。デジタル証明書の作成と検証を管理する暗号化技術
セキュアプロトコル
- IPsec(Secrity Architecture for Internet Protocol)
暗号化によりパケットの秘匿や改ざん検知を実現するプロトコル。
トランスポートモード(IPペイロードを暗号化、IPヘッダは暗号化しない)
トンネルモード(IPペイロードとIPヘッダが暗号化され、新しいIPヘッダを追加しトンネルを通過)
| IPsecプロトコル | 役割 | プロトコル種別 |
| AH |
| IPプロトコル番号51 |
| ESP |
| IPプロトコル番号50 |
| IKE |
| UDPポート番号500 |
データはパケットと読み替えてOK
- SA(Security Association)
通信を行う際の仮想的な通信路
6 ネットワークと通信のセキュリティ
ドメインの主題となるキーワードと関連する用語
- RPC(リモートプロシージャコール)
遠隔手続き呼び出し。別のアドレス空間にあるサブルーチンを呼び出すこと - スマーフ攻撃
送信元をなりすましたDoS攻撃 - オープンメールリレー
SMTPサーバが外部から依頼を受け付け、メール送信をすること
無線ネットワークの設定と運用
- WEP(Wired Equivalent Privacy)
- WPA(Wi-Fi Protected Access)
TKIP - WPA2(Wi-Fi Protected Access2)
TKIP → AES - WPA3(Wi-Fi Protected Access3)
KRACKs脆弱性(WPA2の脆弱性)対策SAEハンドシェイク導入 - アドホックモード
アクセスポイントを使用せず端末同士で通信 - インフラストラクチャモード
アクセスポイントを使用した端末同士の通信
ネットワークアクセス制御
- PBX(Private Branch Exchange):電話交換機
オフィスやコールセンターに敷かれた電話回線を集約し、内線の接続や内線外線を制御 - iSCSI(Internet Small Computer System Interface)
SCSIコマンドをIPネットワーク経由で送受信するプロトコル。安価にストレージネットワークを構築可能
他
- QoS(Quality of Service)
予測可能な品質レベルに定める。 - MPLS(Multi-Protocol Label Switching)
ラベルをパケットに付与することで高速転送を実現する技術
7 システムとアプリケーションセキュリティ
ドメインの主題となるキーワードと関連する用語
- シャドウIT
企業が把握していないデバイス、外部サービス
SSCP取得体験記
SSCP試験無事合格しました。
試験終了後、スコアレポートを受け取ると『暫定的に合格』という記載がありました。
(ISC)²の試験は初めてだったので「暫定的ってなんだ?補欠合格みたいな奴か?」と思いましたが、帰りの電車でググってみると、スコアレポート上では合格者全員が同じ文言で書かれているようでホッとしましたw
試験結果が暫定的とは、認定の決定までに心理測定およびフォレンジック評価の対象となる可能性があるためです。
試験結果が(ISC)²に送信されるまでに2~5日かかるとあるので、正式な結果はさらに数日後かと思っていましたが、翌日に試験結果のメールが届きました。
期間&時間
SSCPのために使った勉強期間は1.5ヶ月ほどです。
仕事や家族サービスに追われていたため、1日あたりの勉強時間が少ないため、期間が長くなってしまいました。
勉強時間は合計80時間くらい
- 1.5時間/日 × 30日 = 45時間
- 7時間/日 × 5日 = 35時間
平日で忙しい日や土日は全く勉強しない日も多々ありました。
基本は平日で、時間が取れた日だけガッツリ勉強しました。
勉強方法
- 公式問題集を翻訳したものを3周
→知らない用語は調査(公式ガイドブックが基本、載ってなければgoogle先生) - 公式ガイドブックをひと通り読む
- ドメインガイドブックの知らない用語の調査&暗記
- Ankiアプリで記憶に定着(覚えづらい用語など)
勉強については範囲(公式ガイドブック&ドメインガイドブック)に含まれている知らない用語を潰すことが1発合格に繋がったのだと思います。
試験合格へのポイント
公式問題集や公式ガイドブック内の確認問題と全く同じ問題の出題はありません。
基本的に初見の問題なので、問題と解答の丸暗記では絶対に合格できません。
逆に用語をしっかり理解していれば合格できる試験だと感じました。
本番はもちろん日本語で受けましたが、翻訳が直訳なような文章もあるので少しでも日本語がおかしいと感じたときは英文も見てみることをおすすめします(ただし私自身英文が読めるとは言っていない)
SSCP取得後について
セキュリティ分野の資格はComptiaのSecurity+のみでしたので、少しだけ自信を持つことができました。
更新料や将来を考えると次はCISSPだよなー。
さっそくCISSPの情報収集しようか。
SSCP・CISSP受験で参考になる勉強サイト
- CISSP 勉強ノート –晴耕雨読
自分用のまとめということで非常に分かりやすくまとまっています。 - CISSP 単語集 – Qiita
各ドメインごとの単語がまとめられています。 - CISSP STUDY GUIDE 単語帳 – Quizlet
コメント