Appearance
CISSP Domain 1 – Knowledge Base
Security and Risk Management
Domain Weight: 15% (約22-23問)
Purpose: セキュリティガバナンス、リスク管理、法規制、倫理、コンプライアンスの包括的知識体系。
1. Security Concepts(セキュリティ基礎概念)
1.1 CIA Triad(CIA三要素)
| 要素 | 定義 | 実装例 |
|---|---|---|
| Confidentiality(機密性) | 認可された者のみがアクセス可能 | 暗号化、アクセス制御、分類 |
| Integrity(完全性) | データの正確性・一貫性を維持 | ハッシュ、デジタル署名、バージョン管理 |
| Availability(可用性) | 必要な時にアクセス可能 | 冗長化、バックアップ、DDoS対策 |
試験頻出:
- Confidentiality: 暗号化、最小特権、知る必要性
- Integrity: ハッシュ検証、変更管理、職務分掌
- Availability: 冗長化、フェイルオーバー、BCM
1.2 AAA Framework(AAA認証フレームワーク)
Authentication(認証): Who are you?
↓
Authorization(認可): What can you do?
↓
Accounting(監査): What did you do?実装例:
- Authentication: パスワード、MFA、バイオメトリクス
- Authorization: RBAC、ABAC、ACL
- Accounting: ログ、監査証跡、SIEM
試験ポイント:
- Authenticationが失敗すればAuthorizationは不要
- Accountingは法的証拠(Evidence)として重要
1.3 Defense in Depth(多層防御)
| Layer | 例 |
|---|---|
| Physical | フェンス、鍵、監視カメラ |
| Network | ファイアウォール、IDS/IPS、セグメンテーション |
| Host | アンチウイルス、ホストベースFW、パッチ管理 |
| Application | WAF、入力検証、セキュアコーディング |
| Data | 暗号化、DLP、分類 |
| Policies | ポリシー、標準、手順、ガイドライン |
原則:
- 単一障害点(Single Point of Failure)を排除
- 各層の失敗を他層で補完
1.4 Least Privilege(最小特権)
定義: 業務遂行に必要な最小限の権限のみ付与
関連概念:
- Need-to-Know(知る必要性): 必要な情報のみアクセス可能
- Separation of Duties(職務分掌): 1人が不正を完結できない設計
- Job Rotation(職務ローテーション): 共謀防止、不正検出
試験頻出:
- 迷ったら最小特権を選べ
- 便利さ(Convenience)より最小特権
1.5 Security Models(セキュリティモデル)
Bell-LaPadula Model(機密性モデル)
機密性(Confidentiality)重視
軍事・政府向け
Rules:
- No Read Up(上位機密は読めない)
- No Write Down(下位への書込禁止)例: Top Secret職員がSecret文書に書込禁止(情報漏洩防止)
Biba Model(完全性モデル)
完全性(Integrity)重視
商用システム向け
Rules:
- No Read Down(下位データは読めない)
- No Write Up(上位への書込禁止)例: 信頼できないソースからデータを読込禁止(汚染防止)
Clark-Wilson Model(完全性モデル)
商用トランザクション向け
Well-formed transactions(整形済トランザクション)
Separation of Duties(職務分掌)要素:
- CDI(Constrained Data Item): 保護対象データ
- UDI(Unconstrained Data Item): 非保護データ
- IVP(Integrity Verification Procedure): 完全性検証
- TP(Transformation Procedure): 変換手順
Brewer-Nash Model(Chinese Wall)
利益相反(Conflict of Interest)防止
コンサルティング、金融業界向け例: A社のコンサルタントはA社の競合B社のデータにアクセス不可
モデル比較表
| Model | Focus | Use Case | Key Rule |
|---|---|---|---|
| Bell-LaPadula | 機密性 | 軍事・政府 | No Read Up, No Write Down |
| Biba | 完全性 | 商用システム | No Read Down, No Write Up |
| Clark-Wilson | 完全性 | トランザクション | Well-formed transactions |
| Brewer-Nash | 利益相反防止 | 金融・コンサル | Dynamic access control |
2. Governance & Compliance(ガバナンスとコンプライアンス)
2.1 Security Governance Hierarchy(セキュリティガバナンス階層)
Policy(ポリシー)← 最上位
↓
Standard(標準)
↓
Procedure(手順)
↓
Guideline(ガイドライン)← 推奨Policy(ポリシー)
特徴:
- 経営層承認(Executive approval)
- 義務的(Mandatory)
- 高レベル、具体性なし
- "What"と"Why"を定義
例:
- "全従業員は強力なパスワードを使用すること"
- "機密情報は暗号化すること"
Standard(標準)
特徴:
- ポリシーの具体化
- 義務的(Mandatory)
- 技術的仕様を定義
例:
- "パスワードは12文字以上、大小英数記号混在"
- "AES-256を使用すること"
Procedure(手順)
特徴:
- 具体的な実施手順
- 義務的(Mandatory)
- "How"を定義
例:
- "パスワードリセット手順: 1. IDを確認... 2. ..."
- "暗号化実装手順: 1. 鍵生成... 2. ..."
Guideline(ガイドライン)
特徴:
- 推奨事項(Recommended)
- 任意的(Optional)
- ベストプラクティス
例:
- "パスワードマネージャー利用を推奨"
- "定期的なセキュリティトレーニング受講推奨"
2.2 Policy Types(ポリシータイプ)
| Type | Purpose | Example |
|---|---|---|
| Organizational Policy | 全社方針 | 情報セキュリティポリシー |
| Functional Policy | 機能別 | アクセス制御ポリシー |
| Issue-specific Policy | 特定課題 | リモートワークポリシー |
2.3 Due Care vs Due Diligence(注意義務 vs 相当な注意)
| 概念 | 定義 | 例 |
|---|---|---|
| Due Care | 責任を持って行動する義務 | ポリシーを遵守、パッチ適用 |
| Due Diligence | 事前の適切な調査・検証 | リスク評価、ベンダー評価、脆弱性スキャン |
試験ポイント:
- Due Diligence(調査)→ Due Care(実行)の順序
- 両方が欠けると法的責任(Legal liability)
2.4 Compliance Frameworks(コンプライアンスフレームワーク)
ISO/IEC 27001
性格: 認証規格(Certification standard)
構成:
- ISMS(Information Security Management System)構築
- PDCA(Plan-Do-Check-Act)サイクル
- 114管理策(Annex A)
適用: 組織全体のセキュリティマネジメント
ISO/IEC 27002
性格: 管理策ガイドライン(Control guidance)
構成:
- 27001の管理策実装ガイド
- ベストプラクティス集
NIST Cybersecurity Framework(NIST CSF)
性格: 高レベル整理フレームワーク
5機能:
- Identify(識別): 資産、リスク、脅威
- Protect(保護): セーフガード実装
- Detect(検知): 異常検知
- Respond(対応): インシデント対応
- Recover(復旧): 復旧計画
適用: プログラム全体の構造化
CIS Controls
性格: 実践的対策集(Prioritized controls)
構成:
- 18の優先順位付き管理策
- Implementation Groups(IG1/IG2/IG3)
- 脅威ベース(Threat-informed)
適用: 即座に実装すべき対策
COBIT
性格: ITガバナンスフレームワーク
構成:
- ビジネス整合(Business alignment)
- 経営視点(Executive perspective)
- IT統治(IT Governance)
適用: ITとビジネスの整合
フレームワーク選択ガイド
| 問題文キーワード | 選択すべきフレームワーク |
|---|---|
| 認証取得(Certification) | ISO 27001 |
| プログラム整理(Structure) | NIST CSF |
| 実用的対策(Actionable) | CIS Controls |
| ビジネス整合(Alignment) | COBIT |
3. Risk Management(リスク管理)
3.1 Risk Components(リスク構成要素)
Risk = Threat × Vulnerability × Impact
Threat(脅威): 危害を引き起こす可能性のある事象
Vulnerability(脆弱性): 脅威に悪用される弱点
Impact(影響): 実現した場合の被害規模3.2 Risk Assessment(リスク評価)
Qualitative Risk Assessment(定性的リスク評価)
特徴:
- 主観的(Subjective)
- 高/中/低のレベル評価
- 迅速、低コスト
手法:
- Delphi technique(専門家意見集約)
- Brainstorming
- Risk matrix(リスクマトリックス)
利点:
- 迅速な実施
- コスト効率的
- 経営層に理解されやすい
欠点:
- 主観的
- 定量比較不可
Quantitative Risk Assessment(定量的リスク評価)
特徴:
- 客観的(Objective)
- 金額ベース
- 詳細、時間・コスト高
主要指標:
| 指標 | 定義 | 計算式 |
|---|---|---|
| AV (Asset Value) | 資産価値 | - |
| EF (Exposure Factor) | 暴露係数(損失割合) | 0~1.0 |
| SLE (Single Loss Expectancy) | 単一損失期待値 | AV × EF |
| ARO (Annualized Rate of Occurrence) | 年間発生率 | 年間発生回数 |
| ALE (Annualized Loss Expectancy) | 年間損失期待値 | SLE × ARO |
例題:
資産価値(AV): $100,000
暴露係数(EF): 0.3(30%損失)
年間発生率(ARO): 0.1(10年に1回)
SLE = $100,000 × 0.3 = $30,000
ALE = $30,000 × 0.1 = $3,000対策評価:
対策コスト: $2,000/年
軽減後ALE: $500/年
削減ALE: $3,000 - $500 = $2,500/年
ROI = ($2,500 - $2,000) / $2,000 = 25%
→ 対策は費用対効果あり3.3 Risk Response Strategies(リスク対応戦略)
| 戦略 | 説明 | 例 | 適用場面 |
|---|---|---|---|
| Avoidance(回避) | リスク源を除去 | 危険な事業から撤退 | リスク > 利益 |
| Mitigation(軽減) | リスクを低減 | ファイアウォール導入 | 最も一般的 |
| Transference(転嫁) | リスクを第三者に移転 | 保険、アウトソース | リスク専門家に委託 |
| Acceptance(受容) | リスクを受け入れる | 低リスク放置 | 対策コスト > リスク |
試験頻出:
- Mitigationが最も一般的
- Acceptanceは経営層の明示的承認が必要
- Transferenceは完全な転嫁ではない(責任は残る)
3.4 Risk Analysis Methods(リスク分析手法)
FMEA(Failure Mode and Effects Analysis)
目的: 故障モード分析
手順:
- 潜在的故障モード特定
- 影響分析
- 優先順位付け
- 対策実施
Fault Tree Analysis(FTA)
目的: トップダウン分析
手法: 望ましくない事象から逆算して原因を論理ツリーで分析
Scenario Analysis
目的: What-if分析
手法: 仮想シナリオで影響評価
3.5 Risk Frameworks(リスクフレームワーク)
NIST SP 800-37(Risk Management Framework - RMF)
6ステップ:
- Categorize: システム分類
- Select: 管理策選択
- Implement: 管理策実装
- Assess: 管理策評価
- Authorize: 運用認可
- Monitor: 継続的監視
ISO 31000(Risk Management)
原則:
- 価値創造(Value creation)
- プロセスの一部(Integral part)
- 意思決定支援(Decision-making support)
- 不確実性への対処(Addresses uncertainty)
4. Legal & Regulatory(法規制)
4.1 Legal Systems(法体系)
Civil Law(大陸法)
特徴:
- 成文法中心(Codified law)
- 判例は参考
- 欧州、日本、ラテンアメリカ
Common Law(英米法)
特徴:
- 判例法中心(Case law)
- Precedent(先例)重視
- 米国、英国、オーストラリア
Religious Law(宗教法)
特徴:
- 宗教教義ベース
- Sharia law(イスラム法)など
Customary Law(慣習法)
特徴:
- 慣習・伝統ベース
- 部族社会など
4.2 Legal Categories(法律カテゴリー)
| Category | 説明 | 例 |
|---|---|---|
| Criminal Law(刑事法) | 犯罪と刑罰 | ハッキング、詐欺 |
| Civil Law(民事法) | 個人・組織間の紛争 | 契約違反、不法行為 |
| Administrative Law(行政法) | 政府規制 | ライセンス、許認可 |
4.3 Computer Crime Laws(コンピュータ犯罪法)
US Laws
| Law | Purpose |
|---|---|
| CFAA (Computer Fraud and Abuse Act) | 不正アクセス禁止 |
| ECPA (Electronic Communications Privacy Act) | 電子通信の盗聴禁止 |
| DMCA (Digital Millennium Copyright Act) | 著作権保護、DRM回避禁止 |
| CAN-SPAM | スパムメール規制 |
International Laws
| Region | Law |
|---|---|
| EU | GDPR(一般データ保護規則) |
| UK | Computer Misuse Act |
| Japan | 不正アクセス禁止法 |
4.4 Privacy Laws(プライバシー法)
GDPR(General Data Protection Regulation)
適用範囲:
- EU居住者のデータ処理
- 地理的制限なし(域外適用)
主要原則:
- Lawfulness(適法性)
- Fairness(公平性)
- Transparency(透明性)
- Purpose Limitation(目的制限)
- Data Minimization(最小化)
- Accuracy(正確性)
- Storage Limitation(保存制限)
- Integrity & Confidentiality(完全性・機密性)
個人の権利:
- Right to access(アクセス権)
- Right to rectification(訂正権)
- Right to erasure(削除権・忘れられる権利)
- Right to data portability(データポータビリティ権)
- Right to object(異議申立権)
義務:
- DPO(Data Protection Officer)任命(一定条件)
- DPIA(Data Protection Impact Assessment)実施
- 72時間以内の侵害通知
罰則: 最大2000万ユーロまたは全世界売上の4%
HIPAA(Health Insurance Portability and Accountability Act)
適用: 米国医療情報
保護対象: PHI(Protected Health Information)
主要規則:
- Privacy Rule: PHI使用・開示制限
- Security Rule: 電子PHI(ePHI)の技術的保護
- Breach Notification Rule: 侵害通知義務
GLBA(Gramm-Leach-Bliley Act)
適用: 米国金融機関
義務:
- プライバシーポリシー提供
- 情報共有のオプトアウト
- 情報セキュリティプログラム
COPPA(Children's Online Privacy Protection Act)
適用: 13歳未満の子供のオンラインプライバシー(米国)
義務:
- 親の同意取得
- プライバシーポリシー掲示
- データ最小化
4.5 Intellectual Property(知的財産)
| Type | Protection | Duration | Example |
|---|---|---|---|
| Copyright(著作権) | 創作物 | 作者死後70年(米国) | ソフトウェア、文書 |
| Patent(特許) | 発明 | 20年 | アルゴリズム、プロセス |
| Trademark(商標) | ブランド | 更新可能(永続) | ロゴ、商品名 |
| Trade Secret(営業秘密) | 秘密情報 | 秘密保持中 | コカ・コーラのレシピ |
試験ポイント:
- ソフトウェアはCopyrightとPatent両方で保護可能
- Trade Secretは登録不要だが秘密保持が条件
4.6 Evidence Types(証拠タイプ)
| Type | 説明 | 例 | Reliability |
|---|---|---|---|
| Best Evidence(最良証拠) | オリジナル | 原本 | 最高 |
| Secondary Evidence(二次証拠) | コピー | 写し | 中 |
| Direct Evidence(直接証拠) | 事実を直接証明 | 目撃証言 | 高 |
| Circumstantial Evidence(状況証拠) | 推論が必要 | IPログ | 中 |
| Corroborative Evidence(補強証拠) | 他証拠を補強 | 複数ログの一致 | - |
| Hearsay Evidence(伝聞証拠) | 又聞き | 噂 | 低(通常不採用) |
試験ポイント:
- Best Evidence Rule: オリジナルを優先
- Chain of Custody(証拠保管連鎖): 証拠の完全性証明に必須
4.7 Liability(法的責任)
| Type | 説明 | Example |
|---|---|---|
| Negligence(過失) | 注意義務違反 | パッチ未適用 |
| Gross Negligence(重過失) | 著しい不注意 | 既知脆弱性放置 |
| Strict Liability(無過失責任) | 過失不要 | 製造物責任 |
| Vicarious Liability(代位責任) | 他者の行為に責任 | 従業員の不正 |
4.8 Multi-jurisdiction Issues(複数法域問題)
原則:
- 全ての関連法域の法律を遵守(All applicable laws)
- 最も厳格な法律に準拠(Strictest law applies)
例:
EU顧客データを米国で処理
→ GDPRとUS法の両方を遵守
→ より厳格な方(GDPR)に準拠5. Business Continuity & Disaster Recovery(事業継続と災害復旧)
5.1 BCP vs DRP
| 概念 | Focus | Scope |
|---|---|---|
| BCP (Business Continuity Plan) | 事業継続 | 組織全体 |
| DRP (Disaster Recovery Plan) | IT復旧 | IT/技術 |
関係: DRPはBCPの一部(Subset)
5.2 Key Metrics(主要指標)
| 指標 | 定義 | 決定者 |
|---|---|---|
| RTO (Recovery Time Objective) | 許容停止時間 | ビジネス |
| RPO (Recovery Point Objective) | 許容データ損失時間 | ビジネス |
| MTD (Maximum Tolerable Downtime) | 最大許容停止時間 | ビジネス |
| WRT (Work Recovery Time) | 業務復旧時間 | IT |
関係:
RTO + WRT ≤ MTD
RPO: 許容可能なデータ損失期間
例: RPO = 4時間 → 4時間前のバックアップまで許容5.3 BIA(Business Impact Analysis)
目的: ビジネス機能の重要度と影響を評価
手順:
- Critical Functions特定: 重要業務プロセス識別
- Dependencies分析: 依存関係分析
- Impact評価: 停止時の影響評価
- RTO/RPO決定: 許容値設定
- Priority設定: 復旧優先順位
Impact Categories:
- Financial: 財務損失
- Operational: 業務停止
- Regulatory: 法令違反
- Reputational: 評判損失
5.4 BCP Development Process(BCP策定プロセス)
フェーズ:
1. Project Initiation(プロジェクト開始)
- 経営層承認
- スコープ定義
- チーム編成
2. BIA(Business Impact Analysis)
- 重要業務特定
- RTO/RPO設定
- 影響評価
3. Strategy Development(戦略策定)
- 復旧戦略決定
- リソース要件定義
- 代替サイト選定
4. Plan Development(計画策定)
- BCP文書作成
- 手順書作成
- 連絡体制構築
5. Testing(テスト)
- 計画検証
- 演習実施
- 改善
6. Maintenance(保守)
- 定期レビュー
- 更新
- トレーニング
5.5 Recovery Site Types(復旧サイトタイプ)
| Type | Setup | Cost | RTO | 説明 |
|---|---|---|---|---|
| Hot Site | 完全稼働 | 高 | 短(時間~数時間) | 全システム稼働中 |
| Warm Site | 部分的 | 中 | 中(数日) | 設備あり、データなし |
| Cold Site | 施設のみ | 低 | 長(週~月) | 空間のみ |
| Mobile Site | トラック等 | 中~高 | 短~中 | 移動可能 |
| Cloud Site | クラウド | 柔軟 | 短 | クラウドベース |
試験頻出:
- Hot Site: 最速復旧、最高コスト
- Cold Site: 最遅復旧、最低コスト
- Warm Site: バランス型
5.6 Backup Strategies(バックアップ戦略)
| Type | 説明 | Speed | Restore Time |
|---|---|---|---|
| Full Backup | 全データ | 遅 | 速(1テープ) |
| Incremental Backup | 前回バックアップ以降の変更分 | 速 | 遅(全テープ必要) |
| Differential Backup | 前回フルバックアップ以降の変更分 | 中 | 中(フル+最終差分) |
復元例:
Full: 日曜
Incremental: 月火水木金
→ 金曜復元: 日曜フル + 月火水木金全て
Full: 日曜
Differential: 月火水木金
→ 金曜復元: 日曜フル + 金曜差分のみ5.7 Testing Methods(テスト手法)
| Method | 説明 | Disruption | Cost |
|---|---|---|---|
| Checklist Review | 文書レビュー | なし | 低 |
| Structured Walkthrough | 机上演習 | なし | 低 |
| Simulation | 模擬訓練 | なし | 中 |
| Parallel Test | 並行稼働テスト | なし | 中~高 |
| Full Interruption | 完全停止テスト | あり | 高 |
推奨順序: 上から順に実施(段階的アプローチ)
5.8 Crisis Management(危機管理)
チーム構成:
- Crisis Management Team: 戦略的意思決定
- Emergency Response Team: 初動対応
- Damage Assessment Team: 被害評価
- Recovery Team: 復旧実施
通信計画:
- 内部通信(従業員)
- 外部通信(顧客、メディア、規制当局)
- 連絡先リスト(複数手段)
6. Security Education & Awareness(セキュリティ教育と意識向上)
6.1 三層モデル
| Level | Target | Focus | Depth |
|---|---|---|---|
| Awareness | 全従業員 | 基本知識、文化醸成 | 広く浅く |
| Training | 特定役割 | 職務特化スキル | 実務的 |
| Education | セキュリティ専門家 | 専門知識、設計能力 | 深い |
試験ポイント:
- Awareness: 最も広範囲、定期的実施
- Training: 職務に特化、定期更新
- Education: 専門家育成、長期的
6.2 Effective Programs(効果的プログラム)
要素:
- 経営層支援(Executive support)
- 定期的実施(Regular delivery)
- 測定可能(Measurable)
- 役割ベース(Role-based)
- インタラクティブ(Interactive)
測定方法:
- フィッシングテスト
- クイズ・アンケート
- インシデント発生率
- ポリシー遵守率
7. Personnel Security(人的セキュリティ)
7.1 Employment Lifecycle(雇用ライフサイクル)
Pre-employment(雇用前)
活動:
- Background Check(身元調査)
- Reference Check(照会先確認)
- Education Verification(学歴確認)
- Credit Check(信用調査)※適用法域による
留意点:
- 法的制約確認(Privacy laws)
- 職務に応じた適切なレベル
During Employment(雇用中)
活動:
- NDA (Non-Disclosure Agreement)(秘密保持契約)署名
- AUP (Acceptable Use Policy)(利用規定)承認
- Security Training(セキュリティ研修)
- Least Privilege(最小特権)適用
- Separation of Duties(職務分掌)
- Job Rotation(職務ローテーション)
- Mandatory Vacation(強制休暇)
目的:
- 職務ローテーション・強制休暇: 不正検出、共謀防止
Termination(退職・解雇)
チェックリスト:
- アカウント無効化(即時)
- アクセスカード回収
- 機器返却
- 最終面談(Exit interview)
- データ削除確認
- 退職合意書(必要に応じ)
留意点:
- 敵対的解雇: IT同席、即座のアクセス剥奪
- 友好的退職: 引継ぎ期間、段階的アクセス削減
7.2 Security Controls for Personnel(人的統制)
| Control | Purpose |
|---|---|
| Separation of Duties | 1人で不正完結不可 |
| Job Rotation | 不正検出、共謀防止 |
| Mandatory Vacation | 不正活動の中断・検出 |
| Dual Control | 重要操作に2名必要 |
| Least Privilege | 必要最小限の権限 |
7.3 Third-party Security(第三者セキュリティ)
プロセス:
1. Vendor Assessment(ベンダー評価)
- セキュリティ体制確認
- 認証取得状況(ISO27001等)
- インシデント履歴
2. Contract(契約)
- SLA (Service Level Agreement)(サービスレベル合意)
- セキュリティ要件明記
- 監査権(Right to audit)
- 侵害通知義務
- データ処理契約(GDPR等)
3. Monitoring(監視)
- 定期レビュー
- 監査実施
- パフォーマンス測定
4. Termination(契約終了)
- データ返却・削除
- アクセス削除
- 最終監査
8. Ethics(倫理)
8.1 (ISC)² Code of Ethics
4つのCanons(規範):
1. Protect society, the common good, necessary public trust and confidence, and the infrastructure
社会、公共の利益、必要な公的信頼、インフラを保護する
2. Act honorably, honestly, justly, responsibly, and legally
名誉を持って、誠実に、公正に、責任を持って、合法的に行動する
3. Provide diligent and competent service to principals
依頼者に勤勉で有能なサービスを提供する
4. Advance and protect the profession
専門職を発展させ保護する
8.2 優先順位(Priority Order)
1. Society(社会)
2. Legal Obligation(法的義務)
3. Principals(依頼者)
4. Profession(専門職)試験頻出:
- 依頼者の要求 vs 法的義務 → 法的義務が優先
- 速度 vs 倫理 → 倫理が優先
- ビジネス圧力 vs セキュリティ → セキュリティが優先
8.3 倫理ジレンマ解決法
ステップ:
- 事実を特定(Identify facts)
- 関係者を特定(Identify stakeholders)
- 法的義務確認(Legal obligations)
- 倫理原則適用(Apply ethical principles)
- 結果予測(Predict consequences)
- 行動決定(Make decision)
- 文書化(Document)
9. Security Control Categories(セキュリティ統制分類)
9.1 By Function(機能別)
| Category | Purpose | Example |
|---|---|---|
| Preventive(予防的) | 脅威を防ぐ | ファイアウォール、暗号化 |
| Detective(検知的) | 脅威を検知 | IDS、ログ監視 |
| Corrective(是正的) | 被害を修正 | パッチ適用、復旧 |
| Deterrent(抑止的) | 攻撃を思い留まらせる | 警告表示、監視カメラ |
| Recovery(復旧的) | 機能を復旧 | バックアップ復元 |
| Compensating(代償的) | 他の統制を補完 | 代替管理策 |
9.2 By Type(タイプ別)
| Type | Nature | Example |
|---|---|---|
| Administrative(管理的) | ポリシー・手順 | ポリシー、研修 |
| Technical(技術的) | テクノロジー | 暗号化、認証 |
| Physical(物理的) | 物理的保護 | 鍵、フェンス |
9.3 統制組合せ例
ATM現金引出し:
- Preventive/Technical: PIN認証
- Detective/Technical: 異常取引検知
- Preventive/Physical: カメラ(抑止)
- Administrative: 利用規約10. Threat Modeling(脅威モデリング)
10.1 Threat Actors(脅威アクター)
| Actor | Motivation | Capability |
|---|---|---|
| Nation State(国家) | 政治、スパイ | 最高 |
| Organized Crime(組織犯罪) | 金銭 | 高 |
| Hacktivists(ハクティビスト) | 政治、思想 | 中~高 |
| Insider(内部者) | 金銭、恨み | 高(アクセス) |
| Script Kiddie(スクリプトキディ) | 評判 | 低 |
10.2 STRIDE Model
| Category | Threat | Example |
|---|---|---|
| Spoofing | なりすまし | ID詐称 |
| Tampering | 改ざん | データ変更 |
| Repudiation | 否認 | ログ削除 |
| Information Disclosure | 情報漏洩 | 盗聴 |
| Denial of Service | サービス拒否 | DDoS |
| Elevation of Privilege | 権限昇格 | 管理者権限取得 |
10.3 DREAD Model(リスク評価)
| Factor | Question |
|---|---|
| Damage | どれだけ被害が大きいか? |
| Reproducibility | 再現しやすいか? |
| Exploitability | 悪用しやすいか? |
| Affected Users | 影響範囲は? |
| Discoverability | 発見されやすいか? |
スコア: 各1-10点、合計で優先順位付け
10.4 Attack Trees
手法: 攻撃目標を頂点に、達成手段をツリー構造で展開
例:
目標: 銀行口座から不正送金
├─ ATMから現金引出
│ ├─ カード盗難 + PIN盗聴
│ └─ スキミング + ショルダーサーフィン
└─ オンラインバンキングで送金
├─ フィッシング
└─ マルウェア11. Asset Management(資産管理)
11.1 Asset Classification(資産分類)
典型的分類レベル:
| Level | Description | Example |
|---|---|---|
| Top Secret | 最高機密 | 国家安全保障情報 |
| Secret | 機密 | 軍事作戦計画 |
| Confidential | 秘 | 戦略計画 |
| Internal Use Only | 社内限定 | 内部文書 |
| Public | 公開 | マーケティング資料 |
商用組織例:
- Highly Confidential: M&A計画
- Confidential: 財務情報
- Internal: 業務手順
- Public: プレスリリース
11.2 Data Classification Process(データ分類プロセス)
ステップ:
- Data Owner指定: データ所有者決定
- Classification Levels定義: 分類レベル設定
- Classification Criteria設定: 分類基準策定
- Data分類: データを分類
- Labeling: ラベル付け
- Handling Procedures策定: 取扱手順作成
- Training: 教育実施
- Monitoring: 監視・レビュー
11.3 Roles & Responsibilities(役割と責任)
| Role | Responsibility |
|---|---|
| Data Owner | データの分類、アクセス承認、ビジネス責任 |
| Data Custodian | データの保管、バックアップ、技術的保護 |
| Data Processor | データの処理(GDPR用語) |
| Data Controller | データの処理目的・方法決定(GDPR用語) |
| System Owner | システム全体の責任 |
| User | ポリシー遵守、適切な使用 |
試験頻出:
- Data Owner: ビジネス側(経営層・部門長)
- Data Custodian: IT側(システム管理者)
- 分類決定はData Ownerの責任
11.4 Data States(データ状態)
| State | Description | Protection |
|---|---|---|
| Data at Rest | 保存中 | 暗号化、アクセス制御 |
| Data in Transit | 転送中 | TLS/VPN、暗号化 |
| Data in Use | 使用中 | メモリ暗号化、DRM |
12. Change & Configuration Management(変更・構成管理)
12.1 Change Management Process(変更管理プロセス)
ステップ:
- Request: 変更要求
- Review: 影響評価
- Approval: 承認(CAB: Change Advisory Board)
- Testing: テスト環境で検証
- Implementation: 本番実装
- Documentation: 文書化
- Review: 事後レビュー
原則:
- 全変更を文書化
- テスト必須
- ロールバック計画
- 承認プロセス
12.2 Configuration Management(構成管理)
要素:
- Configuration Baseline: 構成ベースライン(承認済構成)
- Configuration Item: 構成アイテム(管理対象)
- Configuration Control: 構成管理(変更管理統合)
- Configuration Audit: 構成監査(実態確認)
13. Incident Priority(インシデント優先順位)
13.1 保護優先順位
1. Life Safety(人命・安全)
2. Legal Obligation(法的義務)
3. Business Continuity(事業継続)
4. Information Assets(情報資産)
5. Reputation(評判)例題パターン:
Q: データセンター火災時、最初の行動は?
A: 人命確保(避難誘導)
Q: 個人情報漏洩時、最初の行動は?
A: 法的通知義務の確認・履行14. Risk Appetite & Tolerance(リスク選好・許容度)
14.1 定義
| 概念 | 定義 | 決定者 |
|---|---|---|
| Risk Appetite | 受容可能なリスクの総量 | 経営層 |
| Risk Tolerance | 個別リスクの許容変動幅 | 経営層・部門 |
| Residual Risk | 対策後の残存リスク | - |
| Total Risk | 対策前の総リスク | - |
関係:
Total Risk - Controls = Residual Risk
Residual Risk ≤ Risk Tolerance15. Supply Chain Security(サプライチェーンセキュリティ)
15.1 リスク領域
リスク:
- ソフトウェアの脆弱性
- ハードウェアの改ざん
- サービスの中断
- データ漏洩
対策:
- ベンダー評価
- 契約にセキュリティ要件明記
- 定期監査
- 多重ソース(複数ベンダー)
- エスクロー契約(ソースコード)
15.2 Software Escrow(ソフトウェアエスクロー)
目的: ベンダー倒産時のソースコード入手
仕組み:
- ベンダーがソースコードを第三者(エスクローエージェント)に預託
- 契約条件(ベンダー倒産等)発生時に顧客に開示
16. Outsourcing & Cloud Security(アウトソーシング・クラウドセキュリティ)
16.1 責任分担
原則:
- 組織は最終的責任(Accountability)を保持
- ベンダーは実務責任(Responsibility)を負う
IaaS/PaaS/SaaS別:
| Model | Customer Responsibility | Provider Responsibility |
|---|---|---|
| IaaS | OS、アプリ、データ | 物理、ネットワーク、ハイパーバイザー |
| PaaS | アプリ、データ | OS、ミドルウェア、ランタイム |
| SaaS | データ、アクセス管理 | アプリ、インフラ全て |
16.2 Due Diligence(デューデリジェンス)
確認事項:
- セキュリティ認証(SOC 2、ISO27001等)
- データ所在地(Data residency)
- 暗号化実装
- インシデント通知プロセス
- SLA
- 監査権(Right to audit)
- データ返却・削除プロセス
試験対策Tips
Domain 1頻出トピック
Risk Management:
- ALE計算(SLE × ARO)
- リスク対応戦略(回避/軽減/転嫁/受容)
- 定性vs定量リスク評価
Governance:
- Policy階層(Policy > Standard > Procedure > Guideline)
- フレームワーク選択(ISO/NIST/CIS/COBIT)
Legal:
- GDPR(72時間通知、罰則)
- 証拠タイプ(Best Evidence Rule)
- 知的財産(Copyright vs Patent vs Trade Secret)
BCP/DRP:
- RTO/RPO/MTD関係
- 復旧サイトタイプ(Hot/Warm/Cold)
- BIA実施
Ethics:
- 倫理 > 期限
- 社会 > 依頼者
- 圧力トラップ回避
Personnel:
- Separation of Duties
- Mandatory Vacation
- 雇用ライフサイクル
思考フレームワーク適用
問題を見たら:
- Layer特定: 管理 vs 技術 vs 倫理
- 優先順位適用: 人命 > 法 > 事業 > 技術
- トラップ検出: 期限圧力、効率重視
- 包括性確認: 組織全体 vs 局所
- CISO視点: 経営層に説明可能か
キーフレーズ
- Tech is last(技術は最後)
- People > Process > Technology
- Governance over convenience(ガバナンス優先)
- Risk-based decision(リスクベース判断)
- Most comprehensive answer(最も包括的な選択肢)
- Document everything(全て文書化)
- Least Privilege is doctrine(最小特権は宗教)
- When in doubt, choose ethics(迷ったら倫理)
Summary(まとめ)
Domain 1は「Security Governance & Risk Management」。
Core Concepts:
- ガバナンスが技術に優先
- リスクベースの意思決定
- 法令遵守と倫理が最優先
- 組織全体の視点(局所最適を避ける)
- 文書化と標準化
- 人的要素が最重要
試験で問われるのは:
- 「技術的に正しい」ではなく「CISO/経営層として正当化できる」選択肠
- プロフェッショナルとしての判断力
Mental Model適用:
- d1.mdの原則を常に意識
- exam-os.mdの推論エンジンで判断
Remember: CISSP Domain 1 is not about technology. It's about governance, risk, and professional judgment.
技術は最後。ガバナンスが先。