Skip to content

CISSP Domain 1 – Knowledge Base

Security and Risk Management

Domain Weight: 15% (約22-23問)

Purpose: セキュリティガバナンス、リスク管理、法規制、倫理、コンプライアンスの包括的知識体系。


1. Security Concepts(セキュリティ基礎概念)

1.1 CIA Triad(CIA三要素)

要素定義実装例
Confidentiality(機密性)認可された者のみがアクセス可能暗号化、アクセス制御、分類
Integrity(完全性)データの正確性・一貫性を維持ハッシュ、デジタル署名、バージョン管理
Availability(可用性)必要な時にアクセス可能冗長化、バックアップ、DDoS対策

試験頻出:

  • Confidentiality: 暗号化、最小特権、知る必要性
  • Integrity: ハッシュ検証、変更管理、職務分掌
  • Availability: 冗長化、フェイルオーバー、BCM

1.2 AAA Framework(AAA認証フレームワーク)

Authentication(認証): Who are you?

Authorization(認可): What can you do?

Accounting(監査): What did you do?

実装例:

  • Authentication: パスワード、MFA、バイオメトリクス
  • Authorization: RBAC、ABAC、ACL
  • Accounting: ログ、監査証跡、SIEM

試験ポイント:

  • Authenticationが失敗すればAuthorizationは不要
  • Accountingは法的証拠(Evidence)として重要

1.3 Defense in Depth(多層防御)

Layer
Physicalフェンス、鍵、監視カメラ
Networkファイアウォール、IDS/IPS、セグメンテーション
Hostアンチウイルス、ホストベースFW、パッチ管理
ApplicationWAF、入力検証、セキュアコーディング
Data暗号化、DLP、分類
Policiesポリシー、標準、手順、ガイドライン

原則:

  • 単一障害点(Single Point of Failure)を排除
  • 各層の失敗を他層で補完

1.4 Least Privilege(最小特権)

定義: 業務遂行に必要な最小限の権限のみ付与

関連概念:

  • Need-to-Know(知る必要性): 必要な情報のみアクセス可能
  • Separation of Duties(職務分掌): 1人が不正を完結できない設計
  • Job Rotation(職務ローテーション): 共謀防止、不正検出

試験頻出:

  • 迷ったら最小特権を選べ
  • 便利さ(Convenience)より最小特権

1.5 Security Models(セキュリティモデル)

Bell-LaPadula Model(機密性モデル)

機密性(Confidentiality)重視
軍事・政府向け

Rules:
- No Read Up(上位機密は読めない)
- No Write Down(下位への書込禁止)

: Top Secret職員がSecret文書に書込禁止(情報漏洩防止)


Biba Model(完全性モデル)

完全性(Integrity)重視
商用システム向け

Rules:
- No Read Down(下位データは読めない)
- No Write Up(上位への書込禁止)

: 信頼できないソースからデータを読込禁止(汚染防止)


Clark-Wilson Model(完全性モデル)

商用トランザクション向け
Well-formed transactions(整形済トランザクション)
Separation of Duties(職務分掌)

要素:

  • CDI(Constrained Data Item): 保護対象データ
  • UDI(Unconstrained Data Item): 非保護データ
  • IVP(Integrity Verification Procedure): 完全性検証
  • TP(Transformation Procedure): 変換手順

Brewer-Nash Model(Chinese Wall)

利益相反(Conflict of Interest)防止
コンサルティング、金融業界向け

: A社のコンサルタントはA社の競合B社のデータにアクセス不可


モデル比較表

ModelFocusUse CaseKey Rule
Bell-LaPadula機密性軍事・政府No Read Up, No Write Down
Biba完全性商用システムNo Read Down, No Write Up
Clark-Wilson完全性トランザクションWell-formed transactions
Brewer-Nash利益相反防止金融・コンサルDynamic access control

2. Governance & Compliance(ガバナンスとコンプライアンス)

2.1 Security Governance Hierarchy(セキュリティガバナンス階層)

Policy(ポリシー)← 最上位

Standard(標準)

Procedure(手順)

Guideline(ガイドライン)← 推奨

Policy(ポリシー)

特徴:

  • 経営層承認(Executive approval)
  • 義務的(Mandatory)
  • 高レベル、具体性なし
  • "What"と"Why"を定義

:

  • "全従業員は強力なパスワードを使用すること"
  • "機密情報は暗号化すること"

Standard(標準)

特徴:

  • ポリシーの具体化
  • 義務的(Mandatory)
  • 技術的仕様を定義

:

  • "パスワードは12文字以上、大小英数記号混在"
  • "AES-256を使用すること"

Procedure(手順)

特徴:

  • 具体的な実施手順
  • 義務的(Mandatory)
  • "How"を定義

:

  • "パスワードリセット手順: 1. IDを確認... 2. ..."
  • "暗号化実装手順: 1. 鍵生成... 2. ..."

Guideline(ガイドライン)

特徴:

  • 推奨事項(Recommended)
  • 任意的(Optional)
  • ベストプラクティス

:

  • "パスワードマネージャー利用を推奨"
  • "定期的なセキュリティトレーニング受講推奨"

2.2 Policy Types(ポリシータイプ)

TypePurposeExample
Organizational Policy全社方針情報セキュリティポリシー
Functional Policy機能別アクセス制御ポリシー
Issue-specific Policy特定課題リモートワークポリシー

2.3 Due Care vs Due Diligence(注意義務 vs 相当な注意)

概念定義
Due Care責任を持って行動する義務ポリシーを遵守、パッチ適用
Due Diligence事前の適切な調査・検証リスク評価、ベンダー評価、脆弱性スキャン

試験ポイント:

  • Due Diligence(調査)→ Due Care(実行)の順序
  • 両方が欠けると法的責任(Legal liability)

2.4 Compliance Frameworks(コンプライアンスフレームワーク)

ISO/IEC 27001

性格: 認証規格(Certification standard)

構成:

  • ISMS(Information Security Management System)構築
  • PDCA(Plan-Do-Check-Act)サイクル
  • 114管理策(Annex A)

適用: 組織全体のセキュリティマネジメント


ISO/IEC 27002

性格: 管理策ガイドライン(Control guidance)

構成:

  • 27001の管理策実装ガイド
  • ベストプラクティス集

NIST Cybersecurity Framework(NIST CSF)

性格: 高レベル整理フレームワーク

5機能:

  1. Identify(識別): 資産、リスク、脅威
  2. Protect(保護): セーフガード実装
  3. Detect(検知): 異常検知
  4. Respond(対応): インシデント対応
  5. Recover(復旧): 復旧計画

適用: プログラム全体の構造化


CIS Controls

性格: 実践的対策集(Prioritized controls)

構成:

  • 18の優先順位付き管理策
  • Implementation Groups(IG1/IG2/IG3)
  • 脅威ベース(Threat-informed)

適用: 即座に実装すべき対策


COBIT

性格: ITガバナンスフレームワーク

構成:

  • ビジネス整合(Business alignment)
  • 経営視点(Executive perspective)
  • IT統治(IT Governance)

適用: ITとビジネスの整合


フレームワーク選択ガイド

問題文キーワード選択すべきフレームワーク
認証取得(Certification)ISO 27001
プログラム整理(Structure)NIST CSF
実用的対策(Actionable)CIS Controls
ビジネス整合(Alignment)COBIT

3. Risk Management(リスク管理)

3.1 Risk Components(リスク構成要素)

Risk = Threat × Vulnerability × Impact

Threat(脅威): 危害を引き起こす可能性のある事象
Vulnerability(脆弱性): 脅威に悪用される弱点
Impact(影響): 実現した場合の被害規模

3.2 Risk Assessment(リスク評価)

Qualitative Risk Assessment(定性的リスク評価)

特徴:

  • 主観的(Subjective)
  • 高/中/低のレベル評価
  • 迅速、低コスト

手法:

  • Delphi technique(専門家意見集約)
  • Brainstorming
  • Risk matrix(リスクマトリックス)

利点:

  • 迅速な実施
  • コスト効率的
  • 経営層に理解されやすい

欠点:

  • 主観的
  • 定量比較不可

Quantitative Risk Assessment(定量的リスク評価)

特徴:

  • 客観的(Objective)
  • 金額ベース
  • 詳細、時間・コスト高

主要指標:

指標定義計算式
AV (Asset Value)資産価値-
EF (Exposure Factor)暴露係数(損失割合)0~1.0
SLE (Single Loss Expectancy)単一損失期待値AV × EF
ARO (Annualized Rate of Occurrence)年間発生率年間発生回数
ALE (Annualized Loss Expectancy)年間損失期待値SLE × ARO

例題:

資産価値(AV): $100,000
暴露係数(EF): 0.3(30%損失)
年間発生率(ARO): 0.1(10年に1回)

SLE = $100,000 × 0.3 = $30,000
ALE = $30,000 × 0.1 = $3,000

対策評価:

対策コスト: $2,000/年
軽減後ALE: $500/年
削減ALE: $3,000 - $500 = $2,500/年

ROI = ($2,500 - $2,000) / $2,000 = 25%
→ 対策は費用対効果あり

3.3 Risk Response Strategies(リスク対応戦略)

戦略説明適用場面
Avoidance(回避)リスク源を除去危険な事業から撤退リスク > 利益
Mitigation(軽減)リスクを低減ファイアウォール導入最も一般的
Transference(転嫁)リスクを第三者に移転保険、アウトソースリスク専門家に委託
Acceptance(受容)リスクを受け入れる低リスク放置対策コスト > リスク

試験頻出:

  • Mitigationが最も一般的
  • Acceptanceは経営層の明示的承認が必要
  • Transferenceは完全な転嫁ではない(責任は残る)

3.4 Risk Analysis Methods(リスク分析手法)

FMEA(Failure Mode and Effects Analysis)

目的: 故障モード分析

手順:

  1. 潜在的故障モード特定
  2. 影響分析
  3. 優先順位付け
  4. 対策実施

Fault Tree Analysis(FTA)

目的: トップダウン分析

手法: 望ましくない事象から逆算して原因を論理ツリーで分析


Scenario Analysis

目的: What-if分析

手法: 仮想シナリオで影響評価


3.5 Risk Frameworks(リスクフレームワーク)

NIST SP 800-37(Risk Management Framework - RMF)

6ステップ:

  1. Categorize: システム分類
  2. Select: 管理策選択
  3. Implement: 管理策実装
  4. Assess: 管理策評価
  5. Authorize: 運用認可
  6. Monitor: 継続的監視

ISO 31000(Risk Management)

原則:

  • 価値創造(Value creation)
  • プロセスの一部(Integral part)
  • 意思決定支援(Decision-making support)
  • 不確実性への対処(Addresses uncertainty)

Civil Law(大陸法)

特徴:

  • 成文法中心(Codified law)
  • 判例は参考
  • 欧州、日本、ラテンアメリカ

Common Law(英米法)

特徴:

  • 判例法中心(Case law)
  • Precedent(先例)重視
  • 米国、英国、オーストラリア

Religious Law(宗教法)

特徴:

  • 宗教教義ベース
  • Sharia law(イスラム法)など

Customary Law(慣習法)

特徴:

  • 慣習・伝統ベース
  • 部族社会など

Category説明
Criminal Law(刑事法)犯罪と刑罰ハッキング、詐欺
Civil Law(民事法)個人・組織間の紛争契約違反、不法行為
Administrative Law(行政法)政府規制ライセンス、許認可

4.3 Computer Crime Laws(コンピュータ犯罪法)

US Laws

LawPurpose
CFAA (Computer Fraud and Abuse Act)不正アクセス禁止
ECPA (Electronic Communications Privacy Act)電子通信の盗聴禁止
DMCA (Digital Millennium Copyright Act)著作権保護、DRM回避禁止
CAN-SPAMスパムメール規制

International Laws

RegionLaw
EUGDPR(一般データ保護規則)
UKComputer Misuse Act
Japan不正アクセス禁止法

4.4 Privacy Laws(プライバシー法)

GDPR(General Data Protection Regulation)

適用範囲:

  • EU居住者のデータ処理
  • 地理的制限なし(域外適用)

主要原則:

  • Lawfulness(適法性)
  • Fairness(公平性)
  • Transparency(透明性)
  • Purpose Limitation(目的制限)
  • Data Minimization(最小化)
  • Accuracy(正確性)
  • Storage Limitation(保存制限)
  • Integrity & Confidentiality(完全性・機密性)

個人の権利:

  • Right to access(アクセス権)
  • Right to rectification(訂正権)
  • Right to erasure(削除権・忘れられる権利)
  • Right to data portability(データポータビリティ権)
  • Right to object(異議申立権)

義務:

  • DPO(Data Protection Officer)任命(一定条件)
  • DPIA(Data Protection Impact Assessment)実施
  • 72時間以内の侵害通知

罰則: 最大2000万ユーロまたは全世界売上の4%


HIPAA(Health Insurance Portability and Accountability Act)

適用: 米国医療情報

保護対象: PHI(Protected Health Information)

主要規則:

  • Privacy Rule: PHI使用・開示制限
  • Security Rule: 電子PHI(ePHI)の技術的保護
  • Breach Notification Rule: 侵害通知義務

GLBA(Gramm-Leach-Bliley Act)

適用: 米国金融機関

義務:

  • プライバシーポリシー提供
  • 情報共有のオプトアウト
  • 情報セキュリティプログラム

COPPA(Children's Online Privacy Protection Act)

適用: 13歳未満の子供のオンラインプライバシー(米国)

義務:

  • 親の同意取得
  • プライバシーポリシー掲示
  • データ最小化

4.5 Intellectual Property(知的財産)

TypeProtectionDurationExample
Copyright(著作権)創作物作者死後70年(米国)ソフトウェア、文書
Patent(特許)発明20年アルゴリズム、プロセス
Trademark(商標)ブランド更新可能(永続)ロゴ、商品名
Trade Secret(営業秘密)秘密情報秘密保持中コカ・コーラのレシピ

試験ポイント:

  • ソフトウェアはCopyrightPatent両方で保護可能
  • Trade Secretは登録不要だが秘密保持が条件

4.6 Evidence Types(証拠タイプ)

Type説明Reliability
Best Evidence(最良証拠)オリジナル原本最高
Secondary Evidence(二次証拠)コピー写し
Direct Evidence(直接証拠)事実を直接証明目撃証言
Circumstantial Evidence(状況証拠)推論が必要IPログ
Corroborative Evidence(補強証拠)他証拠を補強複数ログの一致-
Hearsay Evidence(伝聞証拠)又聞き低(通常不採用)

試験ポイント:

  • Best Evidence Rule: オリジナルを優先
  • Chain of Custody(証拠保管連鎖): 証拠の完全性証明に必須

4.7 Liability(法的責任)

Type説明Example
Negligence(過失)注意義務違反パッチ未適用
Gross Negligence(重過失)著しい不注意既知脆弱性放置
Strict Liability(無過失責任)過失不要製造物責任
Vicarious Liability(代位責任)他者の行為に責任従業員の不正

4.8 Multi-jurisdiction Issues(複数法域問題)

原則:

  • 全ての関連法域の法律を遵守(All applicable laws)
  • 最も厳格な法律に準拠(Strictest law applies)

:

EU顧客データを米国で処理
→ GDPRとUS法の両方を遵守
→ より厳格な方(GDPR)に準拠

5. Business Continuity & Disaster Recovery(事業継続と災害復旧)

5.1 BCP vs DRP

概念FocusScope
BCP (Business Continuity Plan)事業継続組織全体
DRP (Disaster Recovery Plan)IT復旧IT/技術

関係: DRPはBCPの一部(Subset)


5.2 Key Metrics(主要指標)

指標定義決定者
RTO (Recovery Time Objective)許容停止時間ビジネス
RPO (Recovery Point Objective)許容データ損失時間ビジネス
MTD (Maximum Tolerable Downtime)最大許容停止時間ビジネス
WRT (Work Recovery Time)業務復旧時間IT

関係:

RTO + WRT ≤ MTD

RPO: 許容可能なデータ損失期間
例: RPO = 4時間 → 4時間前のバックアップまで許容

5.3 BIA(Business Impact Analysis)

目的: ビジネス機能の重要度と影響を評価

手順:

  1. Critical Functions特定: 重要業務プロセス識別
  2. Dependencies分析: 依存関係分析
  3. Impact評価: 停止時の影響評価
  4. RTO/RPO決定: 許容値設定
  5. Priority設定: 復旧優先順位

Impact Categories:

  • Financial: 財務損失
  • Operational: 業務停止
  • Regulatory: 法令違反
  • Reputational: 評判損失

5.4 BCP Development Process(BCP策定プロセス)

フェーズ:

1. Project Initiation(プロジェクト開始)

  • 経営層承認
  • スコープ定義
  • チーム編成

2. BIA(Business Impact Analysis)

  • 重要業務特定
  • RTO/RPO設定
  • 影響評価

3. Strategy Development(戦略策定)

  • 復旧戦略決定
  • リソース要件定義
  • 代替サイト選定

4. Plan Development(計画策定)

  • BCP文書作成
  • 手順書作成
  • 連絡体制構築

5. Testing(テスト)

  • 計画検証
  • 演習実施
  • 改善

6. Maintenance(保守)

  • 定期レビュー
  • 更新
  • トレーニング

5.5 Recovery Site Types(復旧サイトタイプ)

TypeSetupCostRTO説明
Hot Site完全稼働短(時間~数時間)全システム稼働中
Warm Site部分的中(数日)設備あり、データなし
Cold Site施設のみ長(週~月)空間のみ
Mobile Siteトラック等中~高短~中移動可能
Cloud Siteクラウド柔軟クラウドベース

試験頻出:

  • Hot Site: 最速復旧、最高コスト
  • Cold Site: 最遅復旧、最低コスト
  • Warm Site: バランス型

5.6 Backup Strategies(バックアップ戦略)

Type説明SpeedRestore Time
Full Backup全データ速(1テープ)
Incremental Backup前回バックアップ以降の変更分遅(全テープ必要)
Differential Backup前回フルバックアップ以降の変更分中(フル+最終差分)

復元例:

Full: 日曜
Incremental: 月火水木金
→ 金曜復元: 日曜フル + 月火水木金全て

Full: 日曜
Differential: 月火水木金
→ 金曜復元: 日曜フル + 金曜差分のみ

5.7 Testing Methods(テスト手法)

Method説明DisruptionCost
Checklist Review文書レビューなし
Structured Walkthrough机上演習なし
Simulation模擬訓練なし
Parallel Test並行稼働テストなし中~高
Full Interruption完全停止テストあり

推奨順序: 上から順に実施(段階的アプローチ)


5.8 Crisis Management(危機管理)

チーム構成:

  • Crisis Management Team: 戦略的意思決定
  • Emergency Response Team: 初動対応
  • Damage Assessment Team: 被害評価
  • Recovery Team: 復旧実施

通信計画:

  • 内部通信(従業員)
  • 外部通信(顧客、メディア、規制当局)
  • 連絡先リスト(複数手段)

6. Security Education & Awareness(セキュリティ教育と意識向上)

6.1 三層モデル

LevelTargetFocusDepth
Awareness全従業員基本知識、文化醸成広く浅く
Training特定役割職務特化スキル実務的
Educationセキュリティ専門家専門知識、設計能力深い

試験ポイント:

  • Awareness: 最も広範囲、定期的実施
  • Training: 職務に特化、定期更新
  • Education: 専門家育成、長期的

6.2 Effective Programs(効果的プログラム)

要素:

  • 経営層支援(Executive support)
  • 定期的実施(Regular delivery)
  • 測定可能(Measurable)
  • 役割ベース(Role-based)
  • インタラクティブ(Interactive)

測定方法:

  • フィッシングテスト
  • クイズ・アンケート
  • インシデント発生率
  • ポリシー遵守率

7. Personnel Security(人的セキュリティ)

7.1 Employment Lifecycle(雇用ライフサイクル)

Pre-employment(雇用前)

活動:

  • Background Check(身元調査)
  • Reference Check(照会先確認)
  • Education Verification(学歴確認)
  • Credit Check(信用調査)※適用法域による

留意点:

  • 法的制約確認(Privacy laws)
  • 職務に応じた適切なレベル

During Employment(雇用中)

活動:

  • NDA (Non-Disclosure Agreement)(秘密保持契約)署名
  • AUP (Acceptable Use Policy)(利用規定)承認
  • Security Training(セキュリティ研修)
  • Least Privilege(最小特権)適用
  • Separation of Duties(職務分掌)
  • Job Rotation(職務ローテーション)
  • Mandatory Vacation(強制休暇)

目的:

  • 職務ローテーション・強制休暇: 不正検出、共謀防止

Termination(退職・解雇)

チェックリスト:

  • アカウント無効化(即時)
  • アクセスカード回収
  • 機器返却
  • 最終面談(Exit interview)
  • データ削除確認
  • 退職合意書(必要に応じ)

留意点:

  • 敵対的解雇: IT同席、即座のアクセス剥奪
  • 友好的退職: 引継ぎ期間、段階的アクセス削減

7.2 Security Controls for Personnel(人的統制)

ControlPurpose
Separation of Duties1人で不正完結不可
Job Rotation不正検出、共謀防止
Mandatory Vacation不正活動の中断・検出
Dual Control重要操作に2名必要
Least Privilege必要最小限の権限

7.3 Third-party Security(第三者セキュリティ)

プロセス:

1. Vendor Assessment(ベンダー評価)

  • セキュリティ体制確認
  • 認証取得状況(ISO27001等)
  • インシデント履歴

2. Contract(契約)

  • SLA (Service Level Agreement)(サービスレベル合意)
  • セキュリティ要件明記
  • 監査権(Right to audit)
  • 侵害通知義務
  • データ処理契約(GDPR等)

3. Monitoring(監視)

  • 定期レビュー
  • 監査実施
  • パフォーマンス測定

4. Termination(契約終了)

  • データ返却・削除
  • アクセス削除
  • 最終監査

8. Ethics(倫理)

8.1 (ISC)² Code of Ethics

4つのCanons(規範):

1. Protect society, the common good, necessary public trust and confidence, and the infrastructure

社会、公共の利益、必要な公的信頼、インフラを保護する


2. Act honorably, honestly, justly, responsibly, and legally

名誉を持って、誠実に、公正に、責任を持って、合法的に行動する


3. Provide diligent and competent service to principals

依頼者に勤勉で有能なサービスを提供する


4. Advance and protect the profession

専門職を発展させ保護する


8.2 優先順位(Priority Order)

1. Society(社会)
2. Legal Obligation(法的義務)
3. Principals(依頼者)
4. Profession(専門職)

試験頻出:

  • 依頼者の要求 vs 法的義務 → 法的義務が優先
  • 速度 vs 倫理 → 倫理が優先
  • ビジネス圧力 vs セキュリティ → セキュリティが優先

8.3 倫理ジレンマ解決法

ステップ:

  1. 事実を特定(Identify facts)
  2. 関係者を特定(Identify stakeholders)
  3. 法的義務確認(Legal obligations)
  4. 倫理原則適用(Apply ethical principles)
  5. 結果予測(Predict consequences)
  6. 行動決定(Make decision)
  7. 文書化(Document)

9. Security Control Categories(セキュリティ統制分類)

9.1 By Function(機能別)

CategoryPurposeExample
Preventive(予防的)脅威を防ぐファイアウォール、暗号化
Detective(検知的)脅威を検知IDS、ログ監視
Corrective(是正的)被害を修正パッチ適用、復旧
Deterrent(抑止的)攻撃を思い留まらせる警告表示、監視カメラ
Recovery(復旧的)機能を復旧バックアップ復元
Compensating(代償的)他の統制を補完代替管理策

9.2 By Type(タイプ別)

TypeNatureExample
Administrative(管理的)ポリシー・手順ポリシー、研修
Technical(技術的)テクノロジー暗号化、認証
Physical(物理的)物理的保護鍵、フェンス

9.3 統制組合せ例

ATM現金引出し:
- Preventive/Technical: PIN認証
- Detective/Technical: 異常取引検知
- Preventive/Physical: カメラ(抑止)
- Administrative: 利用規約

10. Threat Modeling(脅威モデリング)

10.1 Threat Actors(脅威アクター)

ActorMotivationCapability
Nation State(国家)政治、スパイ最高
Organized Crime(組織犯罪)金銭
Hacktivists(ハクティビスト)政治、思想中~高
Insider(内部者)金銭、恨み高(アクセス)
Script Kiddie(スクリプトキディ)評判

10.2 STRIDE Model

CategoryThreatExample
SpoofingなりすましID詐称
Tampering改ざんデータ変更
Repudiation否認ログ削除
Information Disclosure情報漏洩盗聴
Denial of Serviceサービス拒否DDoS
Elevation of Privilege権限昇格管理者権限取得

10.3 DREAD Model(リスク評価)

FactorQuestion
Damageどれだけ被害が大きいか?
Reproducibility再現しやすいか?
Exploitability悪用しやすいか?
Affected Users影響範囲は?
Discoverability発見されやすいか?

スコア: 各1-10点、合計で優先順位付け


10.4 Attack Trees

手法: 攻撃目標を頂点に、達成手段をツリー構造で展開

:

目標: 銀行口座から不正送金
├─ ATMから現金引出
│  ├─ カード盗難 + PIN盗聴
│  └─ スキミング + ショルダーサーフィン
└─ オンラインバンキングで送金
   ├─ フィッシング
   └─ マルウェア

11. Asset Management(資産管理)

11.1 Asset Classification(資産分類)

典型的分類レベル:

LevelDescriptionExample
Top Secret最高機密国家安全保障情報
Secret機密軍事作戦計画
Confidential戦略計画
Internal Use Only社内限定内部文書
Public公開マーケティング資料

商用組織例:

  • Highly Confidential: M&A計画
  • Confidential: 財務情報
  • Internal: 業務手順
  • Public: プレスリリース

11.2 Data Classification Process(データ分類プロセス)

ステップ:

  1. Data Owner指定: データ所有者決定
  2. Classification Levels定義: 分類レベル設定
  3. Classification Criteria設定: 分類基準策定
  4. Data分類: データを分類
  5. Labeling: ラベル付け
  6. Handling Procedures策定: 取扱手順作成
  7. Training: 教育実施
  8. Monitoring: 監視・レビュー

11.3 Roles & Responsibilities(役割と責任)

RoleResponsibility
Data Ownerデータの分類、アクセス承認、ビジネス責任
Data Custodianデータの保管、バックアップ、技術的保護
Data Processorデータの処理(GDPR用語)
Data Controllerデータの処理目的・方法決定(GDPR用語)
System Ownerシステム全体の責任
Userポリシー遵守、適切な使用

試験頻出:

  • Data Owner: ビジネス側(経営層・部門長)
  • Data Custodian: IT側(システム管理者)
  • 分類決定はData Ownerの責任

11.4 Data States(データ状態)

StateDescriptionProtection
Data at Rest保存中暗号化、アクセス制御
Data in Transit転送中TLS/VPN、暗号化
Data in Use使用中メモリ暗号化、DRM

12. Change & Configuration Management(変更・構成管理)

12.1 Change Management Process(変更管理プロセス)

ステップ:

  1. Request: 変更要求
  2. Review: 影響評価
  3. Approval: 承認(CAB: Change Advisory Board)
  4. Testing: テスト環境で検証
  5. Implementation: 本番実装
  6. Documentation: 文書化
  7. Review: 事後レビュー

原則:

  • 全変更を文書化
  • テスト必須
  • ロールバック計画
  • 承認プロセス

12.2 Configuration Management(構成管理)

要素:

  • Configuration Baseline: 構成ベースライン(承認済構成)
  • Configuration Item: 構成アイテム(管理対象)
  • Configuration Control: 構成管理(変更管理統合)
  • Configuration Audit: 構成監査(実態確認)

13. Incident Priority(インシデント優先順位)

13.1 保護優先順位

1. Life Safety(人命・安全)
2. Legal Obligation(法的義務)
3. Business Continuity(事業継続)
4. Information Assets(情報資産)
5. Reputation(評判)

例題パターン:

Q: データセンター火災時、最初の行動は?
A: 人命確保(避難誘導)

Q: 個人情報漏洩時、最初の行動は?
A: 法的通知義務の確認・履行

14. Risk Appetite & Tolerance(リスク選好・許容度)

14.1 定義

概念定義決定者
Risk Appetite受容可能なリスクの総量経営層
Risk Tolerance個別リスクの許容変動幅経営層・部門
Residual Risk対策後の残存リスク-
Total Risk対策前の総リスク-

関係:

Total Risk - Controls = Residual Risk
Residual Risk ≤ Risk Tolerance

15. Supply Chain Security(サプライチェーンセキュリティ)

15.1 リスク領域

リスク:

  • ソフトウェアの脆弱性
  • ハードウェアの改ざん
  • サービスの中断
  • データ漏洩

対策:

  • ベンダー評価
  • 契約にセキュリティ要件明記
  • 定期監査
  • 多重ソース(複数ベンダー)
  • エスクロー契約(ソースコード)

15.2 Software Escrow(ソフトウェアエスクロー)

目的: ベンダー倒産時のソースコード入手

仕組み:

  1. ベンダーがソースコードを第三者(エスクローエージェント)に預託
  2. 契約条件(ベンダー倒産等)発生時に顧客に開示

16. Outsourcing & Cloud Security(アウトソーシング・クラウドセキュリティ)

16.1 責任分担

原則:

  • 組織は最終的責任(Accountability)を保持
  • ベンダーは実務責任(Responsibility)を負う

IaaS/PaaS/SaaS別:

ModelCustomer ResponsibilityProvider Responsibility
IaaSOS、アプリ、データ物理、ネットワーク、ハイパーバイザー
PaaSアプリ、データOS、ミドルウェア、ランタイム
SaaSデータ、アクセス管理アプリ、インフラ全て

16.2 Due Diligence(デューデリジェンス)

確認事項:

  • セキュリティ認証(SOC 2、ISO27001等)
  • データ所在地(Data residency)
  • 暗号化実装
  • インシデント通知プロセス
  • SLA
  • 監査権(Right to audit)
  • データ返却・削除プロセス

試験対策Tips

Domain 1頻出トピック

  1. Risk Management:

    • ALE計算(SLE × ARO)
    • リスク対応戦略(回避/軽減/転嫁/受容)
    • 定性vs定量リスク評価
  2. Governance:

    • Policy階層(Policy > Standard > Procedure > Guideline)
    • フレームワーク選択(ISO/NIST/CIS/COBIT)
  3. Legal:

    • GDPR(72時間通知、罰則)
    • 証拠タイプ(Best Evidence Rule)
    • 知的財産(Copyright vs Patent vs Trade Secret)
  4. BCP/DRP:

    • RTO/RPO/MTD関係
    • 復旧サイトタイプ(Hot/Warm/Cold)
    • BIA実施
  5. Ethics:

    • 倫理 > 期限
    • 社会 > 依頼者
    • 圧力トラップ回避
  6. Personnel:

    • Separation of Duties
    • Mandatory Vacation
    • 雇用ライフサイクル

思考フレームワーク適用

問題を見たら:

  1. Layer特定: 管理 vs 技術 vs 倫理
  2. 優先順位適用: 人命 > 法 > 事業 > 技術
  3. トラップ検出: 期限圧力、効率重視
  4. 包括性確認: 組織全体 vs 局所
  5. CISO視点: 経営層に説明可能か

キーフレーズ

  • Tech is last(技術は最後)
  • People > Process > Technology
  • Governance over convenience(ガバナンス優先)
  • Risk-based decision(リスクベース判断)
  • Most comprehensive answer(最も包括的な選択肢)
  • Document everything(全て文書化)
  • Least Privilege is doctrine(最小特権は宗教)
  • When in doubt, choose ethics(迷ったら倫理)

Summary(まとめ)

Domain 1は「Security Governance & Risk Management」。

Core Concepts:

  • ガバナンスが技術に優先
  • リスクベースの意思決定
  • 法令遵守と倫理が最優先
  • 組織全体の視点(局所最適を避ける)
  • 文書化と標準化
  • 人的要素が最重要

試験で問われるのは:

  • 「技術的に正しい」ではなく「CISO/経営層として正当化できる」選択肠
  • プロフェッショナルとしての判断力

Mental Model適用:

  • d1.mdの原則を常に意識
  • exam-os.mdの推論エンジンで判断

Remember: CISSP Domain 1 is not about technology. It's about governance, risk, and professional judgment.

技術は最後。ガバナンスが先。