技術空曹募集開始しました🛩 以下の資格をお持ちの方をお待ちしております #１等航空整備士 #２等航空整備士 #航空交通管制技能証明保有者 #電気主任技術者 #CISSP #情報処理安全確保支援士 #ロシア語能力検定1級 #中国語検定1級 #韓国語能力検定 書ききれなかったので、詳しくは技術空曹で検索！ pic.x.com/321dn02gju

SCE (Script Check Engine) セキュリティ設定やシステム構成を評価するスクリプトベースのエンジン。カスタムスクリプトを使用し、環境に適した評価を柔軟に実施する。OVALやXCCDFと連携して、セキュリティ監査やコンプライアンス評価にも使用される。 #CISSP #Domain6

OVAL (Open Vulnerability and Assessment Language) 脆弱性やシステム構成の評価を自動化するためのオープンな標準言語。脆弱性定義やテスト結果を通じて、セキュリティの脆弱性やシステム設定の問題を正確に検出し、評価結果を報告する役割を持つ。 #CISSP #Domain6

驚くほど多くのCISSPホルダーや私と同じく勉強中の方々、その他セキュリティクラスタの皆様から❤️を頂きました。 よる年波と共に体力の衰えを感じる今日この頃ですが、これまでに培った経験を活かして頑張ります！ #CISSP

無線環境におけるアクティブスキャン Wi-Fiデバイスがプローブリクエストを送信し、アクセスポイントからのレスポンスでネットワークを検出する方法。検出速度が速い反面、デバイスが外部から検出される リスクが高まる。迅速なネットワーク検出が必要な場合に使用される。 #CISSP #Domain6

無線環境におけるパッシブスキャン Wi-Fiデバイスがアクセスポイントから送信されるビーコンフレームを受信してネットワークを検出する方法。デバイスからの送信がなく、ステルス性が高い一方、検出に は時間がかかることがある。無線セキュリティのモニタリングにも利用される。 #CISSP #Domain6

研修を受けた時に届いたまま放置していた封印を解く時がやってきた... 試験バウチャーの期限が11月なので、これから取得する遅めの夏休みを使って頑張る。 #CISSP pic.x.com/zjo4vei3g7

SOC-3（Trust Services Criteria for General Use Report） セキュリティや可用性などの信頼性基準に基づく一般公開用の簡易報告書。技術的な詳細は含まれず、サービスプロバイダーが基準を満たしていることを証明し、顧客や利害関係者に広く提供される。 #CISSP #Domain6

SOC-2（Trust Services Criteria） セキュリティやプライバシー、データ処理の完全性に関する信頼性基準を評価する監査報告。サービスプロバイダーがこれらの領域で適切な統制を行っているかを確認し、データの安全性を保証する。 #CISSP #Domain6

SOC-1 (Internal Control over Financial Reporting) 財務報告に関する内部統制を評価する監査報告書。委託元企業が適切な財務報告を行うために、サービスプロバイダーの統制が信頼できるかを第三者が確認する。 #CISSP #Domain6

業務委託会社監査 (SOC : Service Organization Control) サービスプロバイダーの統制や運用状況を第三者が評価する基準。SOC-1は財務報告、SOC-2はセキュリティなどの信頼性基準、SOC-3は一般公開用の簡易報告を提供する。 #CISSP #Domain6

SSAE16 Type2（期間評価） 一定期間にわたって内部統制が適切に運用されているかを評価する監査。統制の設計だけでなく、運用の継続的有効性も確認し、信頼性を長期的に保証する。 #CISSP #Domain6

SSAE16 Type1（時点評価） 特定の時点での内部統制の適切性を評価する監査。統制の設計が適切かどうかを確認し、運用の有効性までは評価しない。瞬間的な信頼性を保証する。 #CISSP #Domain6

SSAE16 (Statement on Standards for Attestation Engagements No. 16) 業務委託会社の内部統制や業務プロセスの信頼性を第三者が評価するための監査基準。Type1は時点評価、Type2は期間評価を行い、統制の有効性や運用状況を確認する。 #CISSP #Domain6

Nessus ネットワークやシステムの脆弱性をスキャンする商用ツール。脆弱性データベースを基に、設定ミスや未適用パッチを特定し、修正提案やリスク管理を支援する。 #CISSP #Domain6

OpenVAS (Open Vulnerability Assessment System) ネットワークやシステムの脆弱性をスキャンするオープンソースツール。既知の脆弱性を検出し、カスタムテストも可能。脆弱性管理を効率化し、ネットワークセキュリティを向上させる。 #CISSP #Domain6

sqlmap SQLインジェクション攻撃を検出し活用するためのオープンソースツール。データベースの脆弱性を自動で解析し、データ抽出や権限昇格などを行う。ウェブアプリケーシ ョンのセキュリティ評価に使用される。 #CISSP #Domain6

Metasploit 脆弱性評価や攻撃シミュレーションに使用されるオープンソースのセキュリティフレームワーク。ペネトレーションテストに活用され、実際の攻撃方法をシミュレーションしてシステムの脆弱性を評価する。 #CISSP #Domain6

Nikto ウェブサーバーの脆弱性をスキャンするオープンソースツール。古いソフトウェア、不適切な設定、既知の脆弱性を検出し、サーバーやWebアプリケーションのセキュリテ ィを向上させる。 #CISSP #Domain6

zzuf ソフトウェアにランダムなデータを入力して異常動作やクラッシュを引き起こし、バグや脆弱性を検出するファズテストツール。さまざまなソフトウェアに適用可能で、早期の脆弱性発見と安定性向上に役立つ。 #CISSP #Domain6

Diameter 認証、認可、課金をサポートする次世代のネットワークプロトコル。RADIUSの後継であり、モバイルネットワークやIP通信で使用される。拡張性、セキュリティ、信頼性が強化され、エンドツーエンドの暗号化や大量接続の処理が可能。 #CISSP #Domain5

OpenID プロバイダー ユーザーの認証を行い、その結果をリライングパーティに提供するサービス提供者。ユーザーの資格情報を確認し、認証トークンやID情報を生成して、リライングパーティに渡す役割を担う。 #CISSP #Domain5

OpenID リライングパーティ OpenID認証を利用して他のサービスで認証されたユーザーを受け入れるウェブサイトやアプリケーション。ユーザーの認証情報をプロバイダーから受け取り、サービスにアクセスさせる役割を持つ。 #CISSP #Domain5

CISSP 、ドメイン5 が段違いに難しい。普段業務内で取り扱わないからなのか、専門的すぎるのか。ID深い。 #CISSP #Domain5

CACとPIVの違い CACは米国国防総省で、PIVは米国連邦政府全体で使用されるスマートカード型身分証明書。両者とも物理的および論理的アクセス制御に使用されるが、対象組織が異なる。技術的には類似しているが、使用環境に応じた違いがある。 #CISSP #Domain5

PIV (Personal Identity Verification) 米国連邦政府で使用されるスマートカード型身分証明書で、政府職員や契約者の身元確認とアクセス制御を目的とする。個人識別情報、PKI証明書、生体情報を含み、統一 された認証を提供する。 #CISSP #Domain5

CAC (Common Access Card) 米国国防総省で使用されるスマートカード型身分証明書で、物理的および論理的アクセス制御に利用される。個人識別情報やPKI証明書、生体情報が含まれ、多要素認証の 一環として強力な認証を提供する。 #CISSP #Domain5

CISSPの135ドル 以前は85ドルくらいだったが、なぜ、ここまで値上げするのか？ 日本でCISSPの価値を上げる活動とかしてくれよ。 #CISSP

OAuthとOpenIDの違い OAuthは、認証情報を共有せずにリソースへの限定的アクセスを許可するプロトコル。OpenIDは、単一のIDで複数のサービスにログインするための認証プロトコル。OAuthはアクセス制御、OpenIDは認証を目的とする。 #CISSP #Domain5

OpenID 単一のデジタルIDを使って複数のサービスにログインできる認証プロトコル。OpenIDプロバイダーを通じてシングルサインオンを実現し、異なるサービス間での認証を簡素化。 #CISSP #Domain5

OAuth ユーザーの認証情報を渡さずに、リソースへの限定的なアクセスを第三者に許可するプロトコル。アクセストークンを発行し、これを利用してアクセスを制御することで、セキュリティとプライバシーを確保。 #CISSP #Domain5

CYDERでもCPEを獲得できるとのこと #CISSP pic.x.com/igemvka5nj

タイプ5: 振る舞いベースの認証 キーストロークやマウスの動きなど、行動パターンを利用する認証方式。高いセキュリティを提供するが、行動の変化に敏感。 #CISSP #Domain5

タイプ4: ロケーションベースの認証 GPSやIPアドレスを使い、ユーザーの位置情報で認証。特定の場所に制限するのに有効だが、位置情報の精度が重要。 #CISSP #Domain5

タイプ3: 生体認証 指紋や顔認識など、身体的特性を利用する認証方式。セキュリティは高いが、誤認やプライバシーの問題がある。 #CISSP #Domain5

タイプ2: 所有物ベースの認証 スマートカードやトークンなど、ユーザーが持つ物に基づく認証。安全だが、紛失リスクが伴う。 #CISSP #Domain5

タイプ1: 知識ベースの認証 パスワードなど、ユーザーが知っている情報を使用する認証方式。実装は容易だが、推測リスクが存在する。 #CISSP #Domain5

CPEの稼ぎ方_φ(･_･ #cissp x.com/takaharuogasa/…

近況報告です。 2023年 CEH取得 2024年 CISSP認定、双子が生まれました まだしばらくは育休ですが、これからも精進します。 復帰後、このまま今の会社に残るか、セキュリティやれる会社に転職するか、考えたいと思います。(よいお話があると嬉しいです) #CISSP #CEH

pass-the-hash 攻撃 パスワードハッシュを使ってシステムに不正に認証する攻撃手法。パスワードの平文を知らなくても、ハッシュがそのまま認証に使える場合に成立し、主にWindows環境でリスクが高い。 #CISSP #Domain5