Appearance
CISSP推論エンジン(CISSP Inference Engine) 🧠
CISSP試験用 推論フローOS(Inference Operating System)
🎯 目的(Purpose)
全ドメインで一貫した思考プロセスを維持する。(Maintain a consistent reasoning process across all domains.)
CISSPは技術試験ではない。(CISSP is not a technical exam.)CISSPはプロフェッショナル判断試験である。(CISSP is a professional judgment exam.)
使い方(OS + 用語 + Framework)
問題演習時は以下をセットで使う。
exam-os.md: 解答順序(First/Bestの判断、トラップ回避、優先順位)を固定するglossary.md: 用語定義(責任分界、リスク用語、統制用語)を素早く確認するframeworks.md: 法令・規格・フレームワークの選定軸を確認するengine/domain-1.md: Domain 1 の短時間解法(Manager-first)を適用する
Domain 1 同期メモ(2026-02-28)
- Engineer-firstではなく Manager-first で解く
firstは「確認 -> 評価 -> 報告ライン確立」を優先- 技術対策単体より、
Policy + Process + Evidenceの組み合わせを優先 - 迷ったら「監査可能・説明可能(Defensible)な選択肢」を採用
Part 1: 全ドメイン共通推論エンジン(Global Inference Engine)
全ドメインで適用する8ステップ推論プロセス
Step 1: 問題タイプ分類(Question Type Classification)
最初の自問(Ask First):
「この問題は本当に何を聞いているのか?」("What is this question really asking?")
問題タイプ(Question Types):
| タイプ(Type) | 特徴(Characteristics) | キー指標(Key Indicator) |
|---|---|---|
| ガバナンス(Governance) | ポリシー、方針、経営判断 | Policy, governance, executive |
| リスク管理(Risk Management) | リスク評価、対応戦略 | Risk, threat, vulnerability |
| 法令遵守(Legal/Compliance) | 法令、規制、証拠 | Law, regulation, compliance |
| 倫理(Ethical) | 倫理判断、利益相反 | Ethics, conflict, pressure |
| 技術(Technical) | 具体的な技術実装 | Implementation, technology |
| 運用(Operational) | 日常運用、手順 | Procedure, operation, daily |
| 管理(Managerial) | 管理、監督、リソース配分 | Management, oversight, resources |
分類ルール(Classification Rule):
複数該当する場合は上位を選択(If multiple types apply):
ガバナンス > 法令 > リスク > 管理 > 運用 > 技術
(Governance > Legal > Risk > Managerial > Operational > Technical)重要: 技術的要素を含んでいても、ガバナンス/法的/倫理的側面がある場合、そちらが優先。
🚨 IT/OT切替ルール(IT vs OT/CPS Context Switch)
問題文に以下のキーワードが出たら、IT脳からOT/CPS脳に切り替える:
トリガーワード: CPS、サイバーフィジカル、ICS、SCADA、産業制御、製造、発電、インフラ、OT環境、Safety(安全性)
| 観点 | IT系(通常) | OT/CPS/ICS系(切替後) |
|---|---|---|
| 最優先 | 機密性(Confidentiality) | 安全性(Safety) |
| 次点 | 完全性(Integrity) | 可用性(Availability) |
| 設計の出発点 | リスク評価(Risk Assessment) | 回復力(Resiliency) |
| 障害の影響 | データ損失・業務停止 | 人命・環境・物理的被害 |
| パッチ適用 | 定期的に実施 | 慎重に計画(停止リスク) |
判断フロー:
OT/CPSキーワードを検出
↓
通常のIT思考(機密性優先)を停止
↓
優先順位を切替:
安全性(Safety)> 可用性(Availability)> 完全性 > 機密性
↓
設計の最初の考慮事項 = 回復力(Resiliency)
「攻撃・障害は起きる前提(Assume Breach)で、
それでも安全な状態を維持できること」典型的な罠:
- 「最初に何をすべきか?」→ IT脳だとリスク評価(Risk Assessment)を選びがち
- OT/CPSでは回復力(Resiliency)が設計の前提であり、リスク評価は手段
Step 2: ストーリー削除(Story Elimination)
原則(Principle):
ノイズを削除し、本質を見つける。(Remove the noise. Find the core issue.)
典型的ストーリーパターン(Common Story Patterns):
| ストーリー要素(Story Element) | 本質的問題(Real Issue) | CISSPの焦点(CISSP Focus) |
|---|---|---|
| 「厳しい期限」("Tight deadline") | 期限プレッシャー | プロセス遵守 > 速度 |
| 「CEOが要求」("CEO demands") | 権力圧力 | 倫理 > 権威 |
| 「予算制約」("Budget constraints") | コスト制約 | リスクベース判断 |
| 「チーム間の混乱」("Confusion among teams") | 役割不明確 | ガバナンス構造 |
| 「攻撃の増加」("Increasing attacks") | 脅威増大 | リスク評価・対応 |
| 「多国間オペレーション」("Multi-country operation") | 複数法域 | 最も厳格な法令 |
| 「新技術」("New technology") | 新規導入 | デューデリジェンス(Due Diligence) |
| 「ベンダー推奨」("Vendor recommends") | 外部推奨 | 独立評価 |
抽象化プロセス(Abstraction Process):
- 関与者の特定(Identify actors): 誰が関与?(Who)
- 圧力の特定(Identify pressure): 何が圧力?(Pressure)
- 制約の特定(Identify constraint): 何が制約?(Constraint)
- 原則への抽象化(Abstract to principle): どの原則の問題?(Principle)
例(Example):
ストーリー(Story): 「CEOが競争圧力のため、テストなしで新ツールを即座にデプロイしたい」
("CEO wants to deploy new tool immediately without testing due to competitive pressure")
抽象化(Abstraction):
- 関与者(Actor): CEO(権威)
- 圧力(Pressure): 競争の緊急性(Competitive urgency)
- 制約(Constraint): 検証なし(No testing)
- 原則(Principle): 変更管理 vs ビジネス圧力(Change management vs business pressure)
本質的問題(Core Issue): プロセス遵守 vs ビジネス圧力
→ CISSP解答(CISSP Answer): プロセス遵守(テスト必須)Step 3: トラップ検出(Trap Detection)
全ドメイン共通トラップ(Universal Traps)
🚨 トラップ 1: 期限プレッシャー(Deadline Pressure)
パターン(Pattern):
- 「緊急」("Urgent")
- 「直ちに」("Immediately")
- 「厳しい期限」("Tight deadline")
- 「…の時間がない」("No time for...")
CISSPの立場(CISSP Position): プロセスを飛ばす正当化理由にはならない
正しい思考(Correct Mindset):
- 緊急でも変更管理プロセスは必須
- 緊急でもリスク評価は必須
- 緊急でもテストは必須
🚨 トラップ 2: 権威圧力(Authority Pressure)
パターン(Pattern):
- 「CEOが要求」("CEO demands")
- 「経営層が主張」("Management insists")
- 「取締役会が要求」("Board requires")
CISSPの立場(CISSP Position): 倫理・法令 > 権威
正しい思考(Correct Mindset):
- 倫理的義務は権威で上書きできない
- 法的義務は権威で上書きできない
- プロフェッショナルとして説明責任を果たす
🚨 トラップ 3: 効率優先(Efficiency Over Security)
パターン(Pattern):
- 「より速く」("Faster")
- 「より便利に」("More convenient")
- 「より簡単に」("Easier")
- 「合理化」("Streamline")
CISSPの立場(CISSP Position): セキュリティ > 利便性
正しい思考(Correct Mindset):
- 効率的だがリスク増大 → 不正解
- セキュリティ統制を犠牲にした効率化 → 不正解
🚨 トラップ 4: 技術誘惑(Technical Temptation)
パターン(Pattern):
- 「最新技術」("Latest technology")
- 「先進的ソリューション」("Advanced solution")
- 「最先端」("Cutting-edge")
CISSPの立場(CISSP Position): ガバナンス・プロセス > 技術
正しい思考(Correct Mindset):
- 技術導入前にリスク評価
- 技術導入前にポリシー整合確認
- 技術導入前にデューデリジェンス(Due Diligence)
🚨 トラップ 5: 局所最適(Local Optimization)
パターン(Pattern):
- 「このシステム用に」("For this system")
- 「この部門用に」("For this department")
- 「応急処置」("Quick fix")
CISSPの立場(CISSP Position): 組織全体最適 > 局所最適
正しい思考(Correct Mindset):
- 組織全体のポリシーに整合
- 組織全体のリスクを考慮
- 全社標準化
🚨 トラップ 6: 事後対応優先(Reactive Over Proactive)
パターン(Pattern):
- 「監視・検知」("Monitor and detect")
- 「発生時に対応」("Respond when it happens")
- 「フォレンジック分析」("Forensic analysis")
CISSPの立場(CISSP Position): 予防 > 検知 > 是正
正しい思考(Correct Mindset):
- 予防統制(Preventive control)を優先
- 検知統制(Detective control)は補完
- 是正統制(Corrective control)は最後の手段
🚨 トラップ 7: 責任外部委託(Outsourcing Accountability)
パターン(Pattern):
- 「ベンダーが責任を持つ」("Vendor is responsible")
- 「クラウドプロバイダーがセキュリティを管理」("Cloud provider handles security")
- 「第三者が管理…」("Third-party manages...")
CISSPの立場(CISSP Position): 説明責任は委譲不可(Accountability は委譲不可)
正しい思考(Correct Mindset):
- 実行は委託できる(Responsibility)
- 説明責任は残る(Accountability)
- 監視・監督義務は継続
トラップ検出チェックリスト(Trap Detection Checklist)
問題を読んだら確認:
- [ ] 期限圧力はあるか?
- [ ] 権威からの圧力はあるか?
- [ ] 効率性を強調しているか?
- [ ] 技術的魅力を強調しているか?
- [ ] 局所的解決を示唆しているか?
- [ ] 事後対応を推奨しているか?
- [ ] 責任の外部委託を示唆しているか?
1つでも該当したら要注意。その選択肢は罠の可能性が高い。
Step 4: 優先順位モデル適用(Priority Model Application)
全体優先順位階層(Global Priority Hierarchy)
レベル1: 人命・安全(Life Safety)
↓
レベル2: 倫理(Ethics)
↓
レベル3: 法的義務(Legal Obligation)
↓
レベル4: 組織リスク(Organizational Risk)
↓
レベル5: プロセス・統制(Process & Governance)
↓
レベル6: 技術(Technology)適用ルール(Application Rules)
ルール1(Rule 1): 上位が常に優先
例: 法的義務 vs ビジネス要求 → 法的義務が優先
ルール2(Rule 2): 同レベルなら包括的な方
例: 局所的ポリシー vs 全社ポリシー → 全社ポリシー
ルール3(Rule 3): 同レベルなら予防的な方
例: 監視強化 vs アクセス制御 → アクセス制御(予防)
優先順位決定ツリー(Priority Decision Tree)
問題提示(Question presented)
↓
人命・安全は関係するか?(Is human life/safety involved?)
はい(YES)→ 人命安全を優先(Prioritize life safety)
いいえ(NO)↓
倫理的対立はあるか?(Is there an ethical conflict?)
はい(YES)→ (ISC)²倫理規定を適用(Apply (ISC)² Code of Ethics)
いいえ(NO)↓
法的義務はあるか?(Is there a legal obligation?)
はい(YES)→ 法令遵守(最も厳格な法域を適用)(Comply with law, strictest if multi-jurisdiction)
いいえ(NO)↓
組織リスクはあるか?(Is there organizational risk?)
はい(YES)→ リスクベース判断(リスク評価必須)(Risk-based decision, risk assessment required)
いいえ(NO)↓
プロセス・ガバナンスの問題か?(Is there a process/governance issue?)
はい(YES)→ ガバナンスに従う/確立する(Follow/establish governance)
いいえ(NO)↓
純粋な技術問題か?(Is it purely technical?)
はい(YES)→ 技術的ベストプラクティスを適用(Apply technical best practices)Step 5: 根本原因分析(Root Cause Analysis)
CISSP原則(CISSP Principle):
構造的改善 > 一時対応(Structural fixes > Temporary fixes)
典型的シナリオ(Common Scenarios)
| 症状(Symptom) | 根本原因(Root Cause) | CISSP解決策(CISSP Solution) |
|---|---|---|
| 混乱・不整合 | 役割・責任不明確 | 役割の定義と文書化(Define & document roles, RACI) |
| 繰り返す問題 | プロセス未定義 | プロセスの標準化と文書化(Standardize & document process) |
| 再発インシデント | ガバナンス不足 | ガバナンス構造の確立(Establish governance structure) |
| 権限過剰付与 | 最小特権未実施 | 最小特権の実装(Implement least privilege) |
| データ漏洩リスク | 分類未実施 | データ分類の実装(Implement data classification) |
| ベンダーリスク | デューデリ不足 | デューデリジェンスの実施(Perform due diligence) |
| 復旧困難 | BCP/DRP未策定 | BCP/DRPの策定とテスト(Develop & test BCP/DRP) |
分析プロセス(Analysis Process)
- 症状の特定(Identify symptom): 表面的な問題は?
- 「なぜ?」を5回繰り返す(Ask "Why?" 5 times): なぜ×5回
- 構造的欠陥の発見(Find structural gap): 構造的欠陥は?
- ガバナンス解決策の選択(Select governance solution): ガバナンス解決策は?
例(Example):
症状(Symptom): データ漏洩
なぜ?(Why?) アクセス制御が弱い
なぜ?(Why?) 権限が過剰に付与されている
なぜ?(Why?) 最小特権が実施されていない
なぜ?(Why?) ポリシーが定義されていない
なぜ?(Why?) ガバナンス構造がない
根本原因(Root Cause): ガバナンス構造の欠如
解決策(Solution): アクセス制御ポリシー策定 + 最小特権原則の実装Step 6: 包括性確認(Comprehensiveness Check)
自問(Ask):
正当化可能性(Defensibility):
- 監査で説明できるか?
- 経営層に報告できるか?
- 法廷で正当化できるか?
適用範囲(Scope):
- 組織全体に適用可能か?
- 一部門だけの解決ではないか?
- 全ステークホルダーを考慮しているか?
持続可能性(Sustainability):
- 長期的に維持可能か?
- 構造的な解決か?
- ドキュメント化されているか?
CISSPが好む選択肢(CISSP Favors):
✅ 文書化されている(Documented) ✅ リスクベース(Risk-based) ✅ 組織全体(Organization-wide) ✅ 予防的(Preventive) ✅ ガバナンス整合(Governance-aligned) ✅ 包括的(Comprehensive) ✅ 持続可能(Sustainable)
❌ CISSPが嫌う選択肢(CISSP Dislikes):
❌ 文書化なし(Undocumented) ❌ 場当たり的(Ad-hoc) ❌ 部門限定(Department-specific) ❌ 事後対応のみ(Reactive only) ❌ 技術優先(Technology-first) ❌ 一時的(Temporary)
Step 7: CISO視点フィルター(CISO Filter)
究極の質問(The Ultimate Question):
「もし自分がCISOなら、どの答えを取締役会で正当化できるか?」("If I were the CISO, which answer could I defend to the board of directors?")
CISO思考(CISO Mindset):
ビジネス整合(Business Alignment):
- ビジネス目標を支援するか?
- ROIを説明できるか?
リスク管理(Risk Management):
- リスクを定量化できるか?
- 残留リスクは許容範囲か?
コンプライアンス(Compliance):
- 法令遵守しているか?
- 監査で問題ないか?
ステークホルダーコミュニケーション(Stakeholder Communication):
- 経営層に説明できるか?
- 監査役に説明できるか?
- 株主に説明できるか?
取締役会レベルの質問(Board-Level Questions):
- 「なぜこのアプローチを選んだか?」("Why did you choose this approach?")
- 「リスクは何か?」("What are the risks?")
- 「コンプライアンスに適合しているか?」("Is this compliant?")
- 「失敗した場合どうなるか?」("What if it fails?")
- 「コストはいくらか?」("How much does it cost?")
- 「ROIはどうか?」("What's the ROI?")
CISSP解答は経営層レベルで正当化可能でなければならない。(CISSP answers must be defensible at the executive level.)
Step 8: 解答選択(Answer Selection)
選択基準(Selection Criteria)
選択肢を以下の基準で評価:
1. 優先順位整合(Priority Alignment)
- [ ] 人命・倫理・法令を優先しているか?
- [ ] ガバナンス > 技術の順序を守っているか?
2. トラップ回避(Trap Avoidance)
- [ ] 期限圧力に屈していないか?
- [ ] 効率優先でセキュリティを犠牲にしていないか?
3. 包括性(Comprehensiveness)
- [ ] 組織全体をカバーしているか?
- [ ] 根本原因に対処しているか?
4. 正当化可能性(Defensibility)
- [ ] 経営層に説明できるか?
- [ ] 監査で問題ないか?
複数正解に見える場合(When Multiple Answers Seem Correct):
優先順位(Priority):
1. 最も包括的(Most comprehensive)
2. 最も予防的(Most preventive)
3. 最も上位層(Highest governance level)
4. 最もリスクベース(Most risk-based)30秒クイックプロセス(30-Second Quick Process)
試験中の高速判断用:
何層?(What layer?)
- ガバナンス?法令?技術?(Governance? Legal? Technical?)
本当の問題は?(What's the real problem?)
- ストーリーを削ぎ落とす(Strip the story)
トラップは?(Any traps?)
- 期限?権威?効率?(Deadline? Authority? Efficiency?)
優先順位適用(Apply priority)
- 人命 > 倫理 > 法令 > リスク > プロセス > 技術(Life > Ethics > Legal > Risk > Process > Tech)
最も正当化可能?(Most defensible?)
- 取締役会で正当化できるか?(Can I defend this to the board?)
Part 2: ドメイン別推論(Domain-Specific Inference)
全ドメイン共通推論エンジン(Global Inference Engine)は同じ。 各ドメインの「優先原則」と「典型パターン」が異なる。
ドメイン1: セキュリティとリスク管理(Domain 1: Security & Risk Management)
D1核心原則(Domain 1 Core Principles)
1. 技術は最後(Tech is LAST)
2. ガバナンス優先(Governance > Everything)
3. 人 > プロセス > 技術(People > Process > Technology, PPTモデル)
4. リスクは除去不可(Risk cannot be eliminated)
5. 説明責任は委譲不可(Accountability cannot be outsourced)
6. 調査→実行(Due Diligence → Due Care)
7. 倫理優先(Ethics > Deadline)
8. 全て文書化(Document everything)D1決定ツリー(D1 Decision Trees)
ツリー1: リスク管理の問題(Tree 1: Risk Management Questions)
リスク関連の問題(Risk-related question)
↓
リスクは除去できるか?(Can risk be eliminated?)
いいえ(NO)→ 受容/軽減/移転/回避(Risk acceptance/mitigation/transfer/avoidance)
↓
費用便益分析は必要か?(Is cost-benefit analysis needed?)
はい(YES)→ 定量分析(ALE計算)(Quantitative, ALE calculation)
いいえ(NO)→ 定性分析(高/中/低)(Qualitative, High/Med/Low)
↓
どのリスク対応か?(Which risk response?)
リスク > 便益 → 回避(Avoid)
統制コスト < ALE → 軽減(Mitigate)
専門知識が必要 → 移転(Transfer)
リスク < 許容範囲 → 受容(経営層の承認付き)(Accept, with executive approval)ツリー2: ポリシー/ガバナンスの問題(Tree 2: Policy/Governance Questions)
ガバナンスの問題(Governance question)
↓
文書のレベルは?(What level of document?)
戦略的、経営層レベル → ポリシー(Policy)
技術仕様 → 基準(Standard)
手順書 → 手順(Procedure)
推奨事項 → ガイドライン(Guideline)
↓
誰が承認するか?(Who approves?)
ポリシー(Policy)→ 経営層/取締役会(Executive/Board)
基準(Standard)→ 上級管理職(Senior management)
手順(Procedure)→ 部門長(Department head)
ガイドライン(Guideline)→ 専門家(Subject matter expert)
↓
強制力はあるか?(Is it mandatory?)
ポリシー/基準/手順(Policy/Standard/Procedure)→ はい(YES)
ガイドライン(Guideline)→ いいえ(NO)ツリー3: 法令/コンプライアンスの問題(Tree 3: Legal/Compliance Questions)
法的問題(Legal question)
↓
複数の法域か?(Multiple jurisdictions?)
はい(YES)→ 全ての関連法を適用(最も厳格なものが優先)(Apply ALL relevant laws, strictest wins)
いいえ(NO)→ 現地法を適用(Apply local law)
↓
プライバシーデータが関係するか?(Privacy data involved?)
はい(YES)→ GDPR/CCPA/HIPAAの適用可否を確認(Check GDPR/CCPA/HIPAA applicability)
→ データ最小化(Data minimization)
→ 同意が必要(Consent required)
→ 侵害通知(GDPRは72時間)(Breach notification, 72 hours for GDPR)
いいえ(NO)→ 標準的な法的レビュー(Standard legal review)
↓
証拠の取り扱いか?(Evidence handling?)
はい(YES)→ 証拠の連鎖(Chain of custody)
→ 最良証拠ルール(原本優先)(Best evidence rule, original preferred)
→ 適切なフォレンジック手順(Proper forensic procedure)ツリー4: BCP/DRPの問題(Tree 4: BCP/DRP Questions)
継続性の問題(Continuity question)
↓
何を聞いているか?(What's being asked?)
事業継続 → BCP
IT復旧 → DRP(BCPのサブセット)(DRP, subset of BCP)
↓
時間に関連するか?(Time-related?)
どのくらいダウンできるか? → 最大許容停止時間(MTD)(How long can we be down? → MTD)
どのくらい速く復旧するか? → 目標復旧時間(RTO)(How fast must we recover? → RTO)
どのくらいのデータ損失が許容か? → 目標復旧時点(RPO)(How much data loss acceptable? → RPO)
↓
サイト選択か?(Site selection?)
重要(数時間)→ ホットサイト(Hot site)(Critical, hours)
重要(数日)→ ウォームサイト(Warm site)(Important, days)
非重要(数週間)→ コールドサイト(Cold site)(Non-critical, weeks)
↓
テスト方法か?(Testing method?)
最初に → チェックリストレビュー(Checklist review)(Start with)
次に → 机上演習/ウォークスルー(Tabletop/Walkthrough)(Then)
次に → シミュレーション(Simulation)(Then)
最後に → 完全中断テスト(最もリスク高)(Full interruption, highest risk)(Finally)ツリー5: 人的セキュリティの問題(Tree 5: Personnel Security Questions)
人事関連の問題(Personnel question)
↓
雇用段階は?(Employment phase?)
雇用前(Pre-employment)→ バックグラウンドチェック、リファレンスチェック(Background check, reference check)
雇用中(During employment)→ 研修、職務分掌、最小特権、強制休暇(Training, SoD, least privilege, mandatory vacation)
退職時(Termination)→ 即時アクセス取消、退職面談、資産返却(Immediate access revocation, exit interview, asset return)
↓
不正防止か?(Fraud prevention?)
はい(YES)→ 職務分掌(Separation of Duties, SoD)
→ 強制休暇(Mandatory vacation)
→ ジョブローテーション(Job rotation)
→ 二重管理(重要操作)(Dual control, critical operations)
↓
第三者/ベンダーか?(Third-party/vendor?)
はい(YES)→ 契約前にデューデリジェンス(Due diligence before contract)
→ SLAにセキュリティ要件を含む(Security requirements in SLA)
→ 監査権条項(Right to audit clause)
→ 継続的モニタリング(Continuous monitoring)
→ 注意:説明責任は組織に残る(Remember: Accountability stays with organization)ツリー6: 倫理の問題(Tree 6: Ethics Questions)
倫理の問題(Ethics question)
↓
(ISC)²倫理規定の優先順位を適用(Apply (ISC)² Code of Ethics priority):
1. 社会・公共(Society/Public)
2. 名誉・合法(Act honorably/legally)
3. 依頼主(Principals)
4. 専門職(Profession)
↓
対立を検出したか?(Conflict detected?)
倫理 vs 期限 → 倫理(Ethics vs Deadline → Ethics)
倫理 vs 権威 → 倫理(Ethics vs Authority → Ethics)
倫理 vs 利益 → 倫理(Ethics vs Profit → Ethics)
法令 vs ビジネス → 法令(Legal vs Business → Legal)
セキュリティ vs 利便性 → セキュリティ(Security vs Convenience → Security)
↓
圧力が存在するか?(Pressure present?)
はい(YES)→ 圧力を拒否(Reject pressure)
→ 専門職としての義務を説明(Explain professional obligation)
→ 決定を文書化(Document decision)
→ 必要なら上位にエスカレーション(Escalate if needed)D1特有のトラップ(D1-Specific Traps)
🚨 D1トラップ1: 「リスク除去」("Risk Elimination")
パターン(Pattern):
- 「リスクを除去する」("Eliminate the risk")
- 「全てのリスクを除去する」("Remove all risk")
- 「リスクゼロ」("Zero risk")
真実(Truth): リスクは除去できない。軽減・移転・受容のみ。
正しい解答パターン(Correct Answer Pattern):
- 「リスクを許容レベルまで低減する」("Reduce risk to acceptable level")
- 「リスクを軽減する」("Mitigate the risk")
- 「残留リスクを受容する」("Accept residual risk")
🚨 D1トラップ2: 「定量分析万能」("Quantitative Always Better")
パターン(Pattern):
- 「詳細なALE計算を行う」("Perform detailed ALE calculation")
- 「定量分析を使用する」("Use quantitative analysis")
真実(Truth): 定量分析は時間・コストがかかる。状況に応じて定性分析も有効。
判断ロジック(Decision Logic):
- 高額資産・重要判断 → 定量分析(Quantitative)
- 迅速な判断必要 → 定性分析(Qualitative)
- 経営層への報告 → 定性分析(理解しやすい)(Qualitative)
🚨 D1トラップ3: 「ベンダー責任」("Vendor Responsibility")
パターン(Pattern):
- 「セキュリティをベンダーに外部委託」("Outsource security to vendor")
- 「クラウドプロバイダーが責任を持つ」("Cloud provider is responsible")
- 「第三者がコンプライアンスを管理」("Third-party handles compliance")
真実(Truth): 実行責任(Responsibility)は委譲できるが、説明責任(Accountability)は残る。
正しい思考(Correct Mindset):
- 監視義務は継続
- 契約にセキュリティ要件明記
- 定期監査実施
- 最終責任は組織に残る
🚨 D1トラップ4: 「ポリシー=セキュリティ」("Policy = Security")
パターン(Pattern):
- 「ポリシーを作る」が唯一の選択肢("Create a policy")
真実(Truth): ポリシーは必要だが十分ではない。実装・監視・監査も必要。
包括的な解答(Comprehensive Answer):
- 方針(Policy)
- 基準(Standard)
- 手順(Procedure)
- 実装(Implementation)
- 教育(Training)
- 監視(Monitoring)
- 監査(Audit)
🚨 D1トラップ5: 「ホットサイト最適」("Hot Site Always Best")
パターン(Pattern):
- 「最速復旧のためにホットサイトをデプロイ」("Deploy hot site for fastest recovery")
真実(Truth): コスト・ビジネス要求のバランスが必要。
判断ロジック(Decision Logic):
RTO < 数時間 → ホットサイト(Hot site)
RTO < 数日 → ウォームサイト(Warm site)
RTO < 数週間 → コールドサイト(Cold site)
コスト vs RTOのバランスで判断(Cost vs RTO balance)🚨 D1トラップ6: 「フレームワーク認証必須」("Framework Certification Required")
パターン(Pattern):
- 「直ちにISO 27001認証を取得」("Obtain ISO 27001 certification immediately")
真実(Truth): 認証は手段であり目的ではない。ビジネス要求に応じて選択。
判断ロジック(Decision Logic):
- 顧客要求・契約要件 → 認証必要
- 内部改善目的 → フレームワーク採用(認証不要)
- コスト・時間・効果を考慮
🚨 D1トラップ7: 「ユーザーエラー処罰」("Punish User Error")
パターン(Pattern):
- 「従業員を処分する」("Discipline the employee")
- 「セキュリティ違反で解雇」("Terminate for security violation")
真実(Truth): 人的エラーは統制設計の問題。懲罰より教育・プロセス改善。
CISSPアプローチ(CISSP Approach):
- 根本原因分析(Root cause analysis)
- プロセス改善(Process improvement)
- 教育強化(Training enhancement)
- 技術的統制(Technical controls)
- 懲戒処分(Disciplinary action)← 最後の手段
🚨 D1トラップ8: 「IT脳でOT/CPS問題を解く」("IT Mindset on OT/CPS Questions")
パターン(Pattern):
- CPS/ICS/SCADA/OT環境の設計・対策を問う問題
- 「最初の考慮事項は?」「設計時に最も重要なのは?」
罠(Trap): IT脳のまま「まずリスク評価」「まず機密性確保」を選んでしまう
真実(Truth): OT/CPS環境ではCIAの優先順位が逆転する。
IT系の優先順位:
機密性(Confidentiality)> 完全性(Integrity)> 可用性(Availability)
OT/CPS系の優先順位:
安全性(Safety)> 可用性(Availability)> 完全性 > 機密性判断ロジック(Decision Logic):
- 「リスク評価(Risk Assessment)」= 設計プロセスの中で実施する手段
- 「回復力(Resiliency)」= 設計の前提・出発点
- CPS設計で「最初に」と聞かれたら → 回復力(Resiliency)
- 攻撃・障害は起きる前提(Assume Breach)で設計する
見分け方: 問題文に「CPS」「ICS」「SCADA」「製造」「発電」「安全性(Safety)」が出たら → IT脳を停止 → OT脳に切替
D1トリガーワード(D1 Trigger Words)
問題文に以下が出たら、D1原則を適用:
ガバナンストリガー(Governance Triggers):
- ポリシー(Policy)、基準(Standard)、手順(Procedure)、ガイドライン(Guideline)
- ガバナンス(Governance)、経営層(Executive)、取締役会(Board)
- 組織的(Organizational)、全社的(Enterprise-wide)
→ 思考(Think): ポリシー階層、経営責任、組織全体最適
リスクトリガー(Risk Triggers):
- リスク(Risk)、脅威(Threat)、脆弱性(Vulnerability)
- ALE、SLE、ARO、EF
- 定性(Qualitative)、定量(Quantitative)
→ 思考(Think): リスクは除去不可、定量 vs 定性、対応戦略
法令トリガー(Legal Triggers):
- 法律(Law)、規制(Regulation)、コンプライアンス(Compliance)
- GDPR、HIPAA、SOX
- 複数法域(Multi-jurisdiction)、国際(International)
→ 思考(Think): 法令優先、最も厳格、全法域遵守
BCP/DRPトリガー(BCP/DRP Triggers):
- 復旧(Recovery)、継続(Continuity)、災害(Disaster)
- RTO、RPO、MTD
- ホットサイト(Hot site)/ウォームサイト(Warm site)/コールドサイト(Cold site)
→ 思考(Think): BCP > DRP、ビジネス要求ベース、テスト必須
倫理トリガー(Ethics Triggers):
- 圧力(Pressure)、期限(Deadline)、緊急性(Urgency)
- 「CEOが要求」(CEO demands)、「経営層が主張」(Management insists)
- 競争的(Competitive)、事業に不可欠(Business-critical)
→ 思考(Think): 倫理優先、圧力は正当化理由にならない
人事トリガー(Personnel Triggers):
- 従業員(Employee)、ベンダー(Vendor)、第三者(Third-party)
- バックグラウンドチェック(Background check)、退職(Termination)
- 職務分掌(Separation of Duties)
→ 思考(Think): 人的統制、雇用ライフサイクル、説明責任不可譲
OT/CPSトリガー(OT/CPS Triggers):
- サイバーフィジカル(CPS)、産業制御(ICS)、SCADA
- 製造(Manufacturing)、発電(Power generation)、インフラ(Infrastructure)
- 安全性(Safety)、回復力(Resiliency)
- OT環境(OT environment)
→ 思考(Think): IT脳を停止。Safety > Availability。設計の出発点は回復力(Resiliency)。リスク評価は手段であり出発点ではない。
D1解答選択優先順位(D1 Answer Selection Priority)
ドメイン1で迷ったら、以下の優先順位で選択:
1. ガバナンス・ポリシー解決(Governance/Policy solution)
2. リスクベース判断(Risk-based decision)
3. 組織全体アプローチ(Organization-wide approach)
4. 予防的統制(Preventive control)
5. 文書化プロセス(Documented process)
6. 技術的実装(Technical implementation)← 最後例(Examples):
| シナリオ(Scenario) | 選択肢A(Option A) | 選択肢B(Option B) | 解答(Answer) |
|---|---|---|---|
| データ分類 | ツール導入 | ポリシー策定 | B(ポリシー先) |
| インシデント増加 | 監視強化 | リスク評価 | B(リスク評価先) |
| 新規ベンダー | 契約署名 | デューデリジェンス(Due Diligence) | B(調査先) |
| BCP未実施 | DR訓練 | BIA実施 | B(BIA先) |
D1典型問題パターン(D1 Common Question Patterns)
パターン1: 「最初のステップ」問題(Pattern 1: "FIRST step" Questions)
問題形式(Question Format): 「最初に何をすべきか?」("What should be done FIRST?")
D1解答ロジック(D1 Answer Logic):
ポリシーの問題 → ポリシーを定義(Policy question → Define policy)
リスクの問題 → リスク評価(Risk question → Risk assessment)
インシデント → 封じ込め(ただしD1は予防に焦点)(Incident → Containment, but D1 focuses on prevention)
BCP/DRP → BIA(事業影響分析)(BCP/DRP → BIA, Business Impact Analysis)
ベンダー → デューデリジェンス(Vendor → Due diligence)パターン2: 「最善のアプローチ」問題(Pattern 2: "BEST approach" Questions)
問題形式(Question Format): 「最善のアプローチは何か?」("What is the BEST approach?")
D1解答ロジック(D1 Answer Logic):
- 最も包括的(Comprehensive)
- 最も上位層(Governance > Technical)
- 最もリスクベース(Risk-informed)
- 最も構造的(Structural vs temporary)
パターン3: 「主要な責任」問題(Pattern 3: "Primary responsibility" Questions)
問題形式(Question Format): 「誰が主要な責任を持つか?」("Who has PRIMARY responsibility?")
D1解答ロジック(D1 Answer Logic):
セキュリティガバナンス → 経営層/取締役会(Security governance → Executive/Board)
データ分類 → データオーナー(ビジネス側)(Data classification → Data Owner, business)
データ管理 → データカストディアン(IT側)(Data custody → Data Custodian, IT)
リスク受容 → 経営層(Risk acceptance → Executive management)
ポリシー承認 → 経営層/取締役会(Policy approval → Executive/Board)
実装 → 担当者(Implementation → Assigned personnel)パターン4: 「コンプライアンス」問題(Pattern 4: "Compliance" Questions)
問題形式(Question Format): 「…へのコンプライアンスをどう確保するか?」("How to ensure compliance with...?")
D1解答ロジック(D1 Answer Logic):
- 法的要件の理解(Understand legal requirements)
- ギャップ分析(Gap analysis)
- 統制の実装(Implement controls)
- 文書化(Document)
- 教育(Train)
- 監視(Monitor)
- 監査(Audit)
パターン5: 「リスク計算」問題(Pattern 5: "Risk calculation" Questions)
問題形式(Question Format): 「ALEを計算せよ…」または「どのリスク対応か?」("Calculate the ALE..." or "Which risk response?")
D1解答ロジック(D1 Answer Logic):
計算(Calculation):
- SLE = AV × EF
- ALE = SLE × ARO
対応(Response):
- 統制コスト < ALE → 統制を実装(軽減)(If control cost < ALE → Implement control, Mitigate)
- 統制コスト > ALE → 他の対応を検討(If control cost > ALE → Consider other responses)
- リスク > 許容範囲 → 軽減または回避(If risk > tolerance → Mitigate or Avoid)
- リスク < 許容範囲 → 受容(承認付き)(If risk < tolerance → Accept, with approval)D1思考まとめ(D1 Mindset Summary)
エンジニア脳 → ガバナンス脳 変換テーブル
| エンジニア思考 | CISSP D1思考 |
|---|---|
| すぐ実装 | まずポリシー策定 |
| ツール導入 | リスク評価先 |
| 技術で解決 | ガバナンスで統制 |
| 効率優先 | セキュリティ優先 |
| 個別対応 | 組織全体標準化 |
| 事後対応 | 事前予防 |
| 監視強化 | 最小特権実装 |
| ログ分析 | 職務分掌 |
| 自動化 | プロセス文書化 |
D1究極の質問(D1 Ultimate Question)
「ガバナンス、リスク、コンプライアンスの観点から、この判断を取締役会で正当化できるか?」("Can I defend this decision to the board of directors from a governance, risk, and compliance perspective?")
はい(YES)→ 正解の可能性が高い いいえ(NO)→ 別の選択肢を検討
CAT試験戦略(CAT Exam Strategy)
CAT動作(CAT Behavior)
- 正解すると難易度上昇
- 不正解で難易度低下
- 目標: 能力レベルの正確な測定
安定ルール(Stability Rules)
急がない(Do NOT rush)
- 1問あたり平均2-3分
- 難しい問題ほど慎重に
難しい=成功(Difficulty = Success)
- 問題が難しく感じる = 能力レベル上昇中
- パニック不要
一貫性が鍵(Consistency is key)
- 同じ推論プロセスを毎回適用
- 疲労による判断ブレを防ぐ
核心アプローチを変えない(Never change core approach)
- ガバナンス > 技術(Governance > Technology)を貫く
- 圧力トラップに屈しない
最終チェックリスト(Final Checklist)
試験中、各問題で確認:
全ドメイン共通(Global Checklist)
- [ ] 問題タイプを分類したか?
- [ ] ストーリーを削ぎ落としたか?
- [ ] トラップを検出したか?
- [ ] 優先順位モデルを適用したか?
- [ ] 根本原因を特定したか?
- [ ] 包括性を確認したか?
- [ ] CISO視点で正当化できるか?
D1特有(D1 Specific Checklist)
- [ ] 技術は最後(Tech is last)を守ったか?
- [ ] ガバナンス優先したか?
- [ ] リスク除去を選んでいないか?
- [ ] 説明責任の外部委託を選んでいないか?
- [ ] 圧力に屈していないか?
- [ ] 文書化・標準化を考慮したか?
- [ ] 組織全体最適か?
クイックリファレンスカード(Quick Reference Card)
試験中に迷ったら:
普遍ルール(Universal Rules)
- 人命 > 倫理 > 法令 > リスク > プロセス > 技術(Life > Ethics > Legal > Risk > Process > Tech)
- ガバナンス > 技術(Governance > Technology)
- 予防 > 検知 > 是正(Preventive > Detective > Corrective)
- 組織全体 > 局所(Organization-wide > Local)
- 構造的 > 一時的(Structural > Temporary)
- 文書化 > 非文書化(Documented > Undocumented)
- リスクベース > 恐怖ベース(Risk-based > Fear-based)
- 包括的 > 狭い(Comprehensive > Narrow)
ドメイン1ルール(Domain 1 Rules)
- 技術は最後(Tech is LAST)
- リスクは除去不可(Risk cannot be eliminated)
- 説明責任は委譲不可(Accountability cannot be outsourced)
- 調査→実行(Due Diligence → Due Care)
- 倫理 > 期限(Ethics > Deadline)
- ポリシー > 基準 > 手順 > ガイドライン(Policy > Standard > Procedure > Guideline)
- 定量 = 客観的だが遅い(Quantitative = objective but slow)
- 定性 = 主観的だが速い(Qualitative = subjective but fast)
推論エンジンまとめ(Inference Engine Summary)
入力(Input): CISSP問題(CISSP Question)
↓
ステップ1: 問題タイプを分類(Classify question type)
ステップ2: ストーリーを削除し本質を発見(Remove story, find core issue)
ステップ3: トラップを検出(Detect traps)
ステップ4: 優先順位モデルを適用(Apply priority model)
ステップ5: 根本原因を分析(Analyze root cause)
ステップ6: 包括性を確認(Check comprehensiveness)
ステップ7: CISOフィルターを適用(Apply CISO filter)
ステップ8: 解答を選択(Select answer)
↓
出力(Output): 正当化可能でリスクベースかつガバナンス整合の解答
(Defensible, risk-based, governance-aligned answer)覚えておくこと(Remember): CISSPはプロフェッショナル判断を測定する。技術知識ではない。(CISSP measures professional judgment, not technical knowledge.)
あなたの役割(Your job): エンジニアではなく、CISOとして考える。(Think like a CISO, not an engineer.)
推論エンジン 終了(End of Inference Engine)
次のドメイン(D2-D8)のドメイン別推論(Domain-Specific Inference)は今後追加予定。 全ドメイン共通推論エンジン(Global Inference Engine, Part 1)は全ドメインで共通使用。