Skip to content

CISSP Domain 1 – Mental Model Installer 🧠

目的(Purpose): エンジニア脳(Technical mindset)から ガバナンス脳(Governance mindset)へ変換する。


0. 最重要原則(Core Principle)

Tech is last(技術は最後)。

優先順位(Priority Order):

  1. 法令(Law / Regulation)
  2. ガバナンス(Governance)
  3. リスク管理(Risk Management)
  4. プロセス(Process)
  5. 技術(Technology)

1. PPTモデル(People > Process > Technology)

人(People) > 手順(Process) > 技術(Technology)

確認事項(Ask yourself):

  • 責任の所在は?(Accountability)
  • ポリシーはあるか?(Policy)
  • 手順は定義されているか?(Procedure)
  • 統制は機能しているか?(Control effectiveness)

技術から入ったら負け。


2. インシデント時の優先順位(Incident Priority)

  1. 人命・安全(Life Safety)
  2. 法的義務(Legal Obligation)
  3. 事業継続(Business Continuity)
  4. 情報資産(Information Assets)
  5. 評判(Reputation)

データより人(People before data)。


3. ガバナンス優先思考(Governance First)

× すぐブロックする(Block immediately) ○ ポリシーと整合しているか確認(Align with policy)

× ツール導入(Deploy tool) ○ リスク評価(Risk assessment)


4. 予防 > 是正(Preventive > Corrective)

事後対応(Reactive)より 事前予防(Proactive)。

例(Examples):

  • ログ分析(Log review)より職務分掌(Separation of Duties)
  • 監視強化(Monitoring)より最小特権(Least Privilege)

5. 組織最適化(Organizational Perspective)

守る対象はシステムではない。 守る対象は組織(Organization)。

個別最適(Local optimization)は危険。


6. 最小特権は宗教(Least Privilege Doctrine)

  • 最小特権(Least Privilege)
  • 知る必要性(Need-to-Know)
  • 職務分掌(Separation of Duties)

迷ったらこれ。


7. 文書化至上主義(Documentation Principle)

Documentされていないものは存在しない。

  • ポリシー(Policy)
  • 標準(Standard)
  • 手順(Procedure)
  • ガイドライン(Guideline)

8. 包括性を選べ(Choose the Most Comprehensive)

CISSPは 最も包括的(Most comprehensive)な選択肢を好む。

狭い正解より広い正解。


9. 感情ではなくリスク(Risk-based Thinking)

× 怖いから止める(Fear-based decision) ○ リスク評価に基づく判断(Risk-based decision)


10. 多国籍問題の鉄則(Multi-jurisdiction Rule)

If multi-country: → すべての関連法域(All relevant jurisdictions)

ローカル最適は不正解。


11. SOX系(SOX-type Questions)

内部統制(Internal Control) 経営責任(Executive Accountability) 内部告発保護(Whistleblower Protection)

技術よりガバナンス。


12. Trustworthy ≠ CIA

Trustworthy = CIA+

  • 安全性(Safety)
  • 信頼性(Reliability)
  • 回復力(Resilience)

CIAだけ選ぶな。


13. Domain 1 超圧縮フレーズ(Ultra-short Reminder)

Think:

  • Legal
  • Governance
  • Risk
  • Organization
  • Policy

Tech is last.



14. 倫理優先原則(Ethics Override Rule)

If ethics vs deadline: → Ethics wins(倫理が勝つ)

If security vs convenience: → Security wins(安全が勝つ)

If safety vs speed: → Safety wins(安全が勝つ)

重要ポイント(Key Insight): 圧力(Pressure)は正当化理由にならない。 Ethical obligation cannot be overridden by business urgency.

CISSPはプロフェッショナル判断試験である。


15. 圧力トラップ(Pressure Trap)

問題文に以下が出たら注意:

  • 厳しい期限(Tight deadline)
  • 上層部からの圧力(Management pressure)
  • ビジネス優先(Business urgency)
  • 競争優位(Competitive pressure)

これは誘惑フラグ(Temptation flag)。

CISSPはその誘惑に乗らない。

正しい思考(Correct mindset):

  • まず倫理(Ethics)
  • 次に法令(Legal obligation)
  • そしてリスク(Risk consideration)

“合理的に見える妥協案”は不正解になりやすい。


圧縮フレーズ(Quick Reminder)

Ethics > Deadline
Security > Speed
Tested > Fast
Governance > Pressure

When in doubt, choose the ethically defensible answer.


16. フレームワーク性格モデル(Framework Personality Model)

フレームワークは暗記しない。 性格(Personality)で覚える。


🛠 CIS Controls(CIS Controls)

実践的(Practical) 優先順位付き(Prioritized) 脅威ベース(Threat-driven) 具体的対策(Actionable controls)

What it answers: 「今すぐ何をやるべきか?(What should we implement first?)」

覚え方: CIS = 現場(Operational baseline)


📜 ISO/IEC 27001

認証規格(Certification standard) ISMS構築(Information Security Management System) マネジメント重視(Management system approach)

What it answers: 「どう管理するか?(How do we manage security formally?)」

覚え方: ISO = 認証(Certification)


📘 ISO/IEC 27002

管理策ガイドライン(Control guidance) 実装の参考書(Implementation reference)

What it answers: 「どんな管理策があるか?(What controls can we use?)」


🧭 NIST Cybersecurity Framework(NIST CSF)

高レベル整理(High-level framework) 5機能モデル(Identify, Protect, Detect, Respond, Recover) リスクベース(Risk-based structure)

What it answers: 「どう整理するか?(How do we structure our program?)」

覚え方: NIST = 整理(Organize)


🏢 COBIT

ITガバナンス(IT Governance) ビジネス整合(Business alignment) 経営視点(Executive perspective)

What it answers: 「経営とどう整合させるか?(How do we align IT with business?)」

覚え方: COBIT = 経営(Governance layer)


🎯 超圧縮まとめ(Ultra-compressed reminder)

CIS = Do(実行) ISO = Certify & Manage(認証と管理) NIST = Organize(整理) COBIT = Govern(統治)


🚨 試験トリガー(Exam Trigger)

問題に以下が出たら:

  • 実用的(Practical)

  • 優先順位(Prioritized)

  • 一般的脅威(Common threats) → CIS Controls

  • 認証(Certification) → ISO 27001

  • プログラム整理(Program structure) → NIST CSF

  • 経営整合(Business alignment) → COBIT