Certificate of Cloud Security Knowledge (CCSK)受験の準備 クラウドセキュリティアライアンスガイド Certificate of Cloud Security Knowledge (CCSK)にようこそ。 これは、セキュア・クラウドコンピューティングに対する業界初の認証です。 CCSK は、クラウドコンピューティングに関係する、責任を持った、広範囲な専門家が、セキュ リティ上の脅威と、クラウドを安全にするためのベストプラクティスへの確かな意識を持つこと を保証するよう設計されています。 CCSK 試験の基本事項 CCSK 試験は時間制限のある多肢選択式の試験であり、https://ccsk.cloudsecurityalliance.org/ にあります。試験は、50 の多肢選択式問題で構成されており 50、60 分以内に完了しなければな りません。受験者は、合格点に達するためには、80%の問題に正解する必要があります。 試験を途中で中断・停止し、後日、完了することはできません。したがって、受験者は、開始前 に、しっかり受験の準備をすべきです。また、受験者は、昼夜いつでも受験することができます が、一旦、試験を開始したら 60 分間は邪魔が入らないよう、予定すべきです。 試験そのものに問題がある場合や、ネットワークの故障等、試験完了を妨げるようなその他情状 酌量すべき事情がある場合は、CCSK テストサポート([email protected])に 連絡してください。 CCSK に関するその他の情報は、http://cloudsecurityalliance.org/ccsk_faq.html をご覧ください。 CCSK のホームページは、 http://cloudsecurityalliance.org/certifyme.html です。 CCSK 試験の学習 CCSK 試験の知識の本体は、「CSA Security Guidance for Critical Areas of Focus in Cloud Computing V2.1」(英語版)および ENISA のレポートである「Cloud Computing: Benefits, Risks and Recommendations for Information Security」です。これらの研究文書は、以下のサイ トからダウンロードできます。 CSA Guidance: http://cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf ENISA: http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment 試験問題の 70%は CSA ガイダンス、20%は ENISA レポートに基づいており、10%は両方の文 書のベストプラクティスに関連した応用問題となっています。CCSK 試験の準備として最善の方 法は、これら 2 つの文書を十分に読んで理解することです。 CCSK 試験の主要な概念 CSA Guidance For Critical Areas of Focus in Cloud Computing V2.1 (英語版) ドメイン 1 クラウドコンピューティングに対する米国標準技術局(NIST)による定義 Copyright © 2011 Cloud Security Alliance 1 (本質的特質、クラウドサービスモデル、クラウド展開モデル) マルチテナント(Multi-tenancy) クラウド参照モデル Jericho クラウドキューブモデル(Jericho Cloud Cube Model) クラウドセキュリティ参照モデル クラウドサービスブローカー(Cloud Service Brokers) ドメイン 2 契約上のセキュリティ要件 エンタープライズリスクマネジメントおよびインフォメーションリスクマネジメント サードパーティの管理に関する推奨事項 ドメイン 3 クラウド vs.外部委託 法律上の問題の 3 つの側面 契約の法的強制力 情報証拠開示の考慮(eDiscovery considerations) 管轄権とデータロケーション ドメイン 4 クラウド契約におけるコンプライアンスインパクト SAS 70 Type II ISO 27001/27002 コンプライアンス解析の要件 監査人の要件 ドメイン 5 データセキュリティライフサイクルの 6 つのフェーズと主要な要素 データの残留性(Data Remanence) データの結合(Data Commingling) データバックアップ(Data Backup) データ開示(Data Discovery) データ集約(Data Aggregation) ドメイン 6 S-P-I の移植における重要な目標(Key Portability Objectives of S-P-I) クラウド展開モデルによってロックインのリスクを低減するテクニック ドメイン 7 内部関係者による不正使用(Insider Abuse) 事業継続管理/災害復旧のデューデリジェンス クラウドプロバイダーの従業員の考慮 ドメイン 8 プロバイダーの選定(Provider selection) リソースシェアリング(Resource sharing) パッチ管理(Patch management) Copyright © 2011 Cloud Security Alliance 2 技術サポート(Technical support) ドメイン 9 推奨されるプロバイダーツールと機能 レスポンストレードオフ(Response tradeoffs) 疑わしいプロバイダオファリング(Questionable provider offerings) ドメイン 10 SDLC への影響(SDLC impact and implications) S-P-I モデルの違い ドメイン 11 鍵管理のベストプラクティス 鍵管理の標準 S-P-I モデルにおける暗号化 ドメイン 12 アイデンティティのフェデレーション(Identity Federation) 権限付与 アクセスコントロール プロビジョニング(Provisioning) ドメイン 13 仮想マシンのセキュリティの特徴 仮想マシンの攻撃対象範囲(VM attack surfaces) 仮想マシンの区画化(Compartmentalization of VMs) ENISA Cloud Computing: Benefits, Risks and Recommendations for Information Security クラウドのセキュリティ上の利点 リスク R.1 – R.35 および潜在する脆弱性 情報セキュリティ確保のためのフレームワーク 法的責任の範囲 法律上の重要な問題点 応用知識 一般的なクラウドプロバイダーの S-P-I モデルへの分類 冗長性 一般的なクラウドサービスの確保 脆弱性のアセスメントの考慮 実際の暗号化の使用事例 不合格の場合は・・・ 現在、受験者は、1 回の受験登録につき 2 回の受験機会が得られます。この場合には、すぐに再 受験せず、2 回目に読むと多くの問題が目につくようになることがあるので、原資料を再読する ために数日取ることをお勧めします。 Copyright © 2011 Cloud Security Alliance 3
© Copyright 2024 ExpyDoc
