Appearance
CISSP Domain 1 – Mental Model Installer 🧠
目的(Purpose): エンジニア脳(Technical mindset)から ガバナンス脳(Governance mindset)へ変換する。
0. 最重要原則(Core Principle)
Tech is last(技術は最後)。
優先順位(Priority Order):
- 法令(Law / Regulation)
- ガバナンス(Governance)
- リスク管理(Risk Management)
- プロセス(Process)
- 技術(Technology)
1. PPTモデル(People > Process > Technology)
人(People) > 手順(Process) > 技術(Technology)
確認事項(Ask yourself):
- 責任の所在は?(Accountability)
- ポリシーはあるか?(Policy)
- 手順は定義されているか?(Procedure)
- 統制は機能しているか?(Control effectiveness)
技術から入ったら負け。
2. インシデント時の優先順位(Incident Priority)
- 人命・安全(Life Safety)
- 法的義務(Legal Obligation)
- 事業継続(Business Continuity)
- 情報資産(Information Assets)
- 評判(Reputation)
データより人(People before data)。
3. ガバナンス優先思考(Governance First)
× すぐブロックする(Block immediately) ○ ポリシーと整合しているか確認(Align with policy)
× ツール導入(Deploy tool) ○ リスク評価(Risk assessment)
4. 予防 > 是正(Preventive > Corrective)
事後対応(Reactive)より 事前予防(Proactive)。
例(Examples):
- ログ分析(Log review)より職務分掌(Separation of Duties)
- 監視強化(Monitoring)より最小特権(Least Privilege)
5. 組織最適化(Organizational Perspective)
守る対象はシステムではない。 守る対象は組織(Organization)。
個別最適(Local optimization)は危険。
6. 最小特権は宗教(Least Privilege Doctrine)
- 最小特権(Least Privilege)
- 知る必要性(Need-to-Know)
- 職務分掌(Separation of Duties)
迷ったらこれ。
7. 文書化至上主義(Documentation Principle)
Documentされていないものは存在しない。
- ポリシー(Policy)
- 標準(Standard)
- 手順(Procedure)
- ガイドライン(Guideline)
8. 包括性を選べ(Choose the Most Comprehensive)
CISSPは 最も包括的(Most comprehensive)な選択肢を好む。
狭い正解より広い正解。
9. 感情ではなくリスク(Risk-based Thinking)
× 怖いから止める(Fear-based decision) ○ リスク評価に基づく判断(Risk-based decision)
10. 多国籍問題の鉄則(Multi-jurisdiction Rule)
If multi-country: → すべての関連法域(All relevant jurisdictions)
ローカル最適は不正解。
11. SOX系(SOX-type Questions)
内部統制(Internal Control) 経営責任(Executive Accountability) 内部告発保護(Whistleblower Protection)
技術よりガバナンス。
12. Trustworthy ≠ CIA
Trustworthy = CIA+
- 安全性(Safety)
- 信頼性(Reliability)
- 回復力(Resilience)
CIAだけ選ぶな。
13. Domain 1 超圧縮フレーズ(Ultra-short Reminder)
Think:
- Legal
- Governance
- Risk
- Organization
- Policy
Tech is last.
14. 倫理優先原則(Ethics Override Rule)
If ethics vs deadline: → Ethics wins(倫理が勝つ)
If security vs convenience: → Security wins(安全が勝つ)
If safety vs speed: → Safety wins(安全が勝つ)
重要ポイント(Key Insight): 圧力(Pressure)は正当化理由にならない。 Ethical obligation cannot be overridden by business urgency.
CISSPはプロフェッショナル判断試験である。
15. 圧力トラップ(Pressure Trap)
問題文に以下が出たら注意:
- 厳しい期限(Tight deadline)
- 上層部からの圧力(Management pressure)
- ビジネス優先(Business urgency)
- 競争優位(Competitive pressure)
これは誘惑フラグ(Temptation flag)。
CISSPはその誘惑に乗らない。
正しい思考(Correct mindset):
- まず倫理(Ethics)
- 次に法令(Legal obligation)
- そしてリスク(Risk consideration)
“合理的に見える妥協案”は不正解になりやすい。
圧縮フレーズ(Quick Reminder)
Ethics > Deadline
Security > Speed
Tested > Fast
Governance > Pressure
When in doubt, choose the ethically defensible answer.
16. フレームワーク性格モデル(Framework Personality Model)
フレームワークは暗記しない。 性格(Personality)で覚える。
🛠 CIS Controls(CIS Controls)
実践的(Practical) 優先順位付き(Prioritized) 脅威ベース(Threat-driven) 具体的対策(Actionable controls)
What it answers: 「今すぐ何をやるべきか?(What should we implement first?)」
覚え方: CIS = 現場(Operational baseline)
📜 ISO/IEC 27001
認証規格(Certification standard) ISMS構築(Information Security Management System) マネジメント重視(Management system approach)
What it answers: 「どう管理するか?(How do we manage security formally?)」
覚え方: ISO = 認証(Certification)
📘 ISO/IEC 27002
管理策ガイドライン(Control guidance) 実装の参考書(Implementation reference)
What it answers: 「どんな管理策があるか?(What controls can we use?)」
🧭 NIST Cybersecurity Framework(NIST CSF)
高レベル整理(High-level framework) 5機能モデル(Identify, Protect, Detect, Respond, Recover) リスクベース(Risk-based structure)
What it answers: 「どう整理するか?(How do we structure our program?)」
覚え方: NIST = 整理(Organize)
🏢 COBIT
ITガバナンス(IT Governance) ビジネス整合(Business alignment) 経営視点(Executive perspective)
What it answers: 「経営とどう整合させるか?(How do we align IT with business?)」
覚え方: COBIT = 経営(Governance layer)
🎯 超圧縮まとめ(Ultra-compressed reminder)
CIS = Do(実行) ISO = Certify & Manage(認証と管理) NIST = Organize(整理) COBIT = Govern(統治)
🚨 試験トリガー(Exam Trigger)
問題に以下が出たら:
実用的(Practical)
優先順位(Prioritized)
一般的脅威(Common threats) → CIS Controls
認証(Certification) → ISO 27001
プログラム整理(Program structure) → NIST CSF
経営整合(Business alignment) → COBIT