Skip to content

CISSP推論エンジン(CISSP Inference Engine) 🧠

CISSP試験用 推論フローOS(Inference Operating System)


🎯 目的(Purpose)

全ドメインで一貫した思考プロセスを維持する。(Maintain a consistent reasoning process across all domains.)

CISSPは技術試験ではない。(CISSP is not a technical exam.)CISSPはプロフェッショナル判断試験である。(CISSP is a professional judgment exam.)


使い方(OS + 用語 + Framework)

問題演習時は以下をセットで使う。

  1. exam-os.md: 解答順序(First/Bestの判断、トラップ回避、優先順位)を固定する
  2. glossary.md: 用語定義(責任分界、リスク用語、統制用語)を素早く確認する
  3. frameworks.md: 法令・規格・フレームワークの選定軸を確認する
  4. engine/domain-1.md: Domain 1 の短時間解法(Manager-first)を適用する

Domain 1 同期メモ(2026-02-28)

  • Engineer-firstではなく Manager-first で解く
  • first は「確認 -> 評価 -> 報告ライン確立」を優先
  • 技術対策単体より、Policy + Process + Evidence の組み合わせを優先
  • 迷ったら「監査可能・説明可能(Defensible)な選択肢」を採用

Part 1: 全ドメイン共通推論エンジン(Global Inference Engine)

全ドメインで適用する8ステップ推論プロセス


Step 1: 問題タイプ分類(Question Type Classification)

最初の自問(Ask First):

「この問題は本当に何を聞いているのか?」("What is this question really asking?")

問題タイプ(Question Types):

タイプ(Type)特徴(Characteristics)キー指標(Key Indicator)
ガバナンス(Governance)ポリシー、方針、経営判断Policy, governance, executive
リスク管理(Risk Management)リスク評価、対応戦略Risk, threat, vulnerability
法令遵守(Legal/Compliance)法令、規制、証拠Law, regulation, compliance
倫理(Ethical)倫理判断、利益相反Ethics, conflict, pressure
技術(Technical)具体的な技術実装Implementation, technology
運用(Operational)日常運用、手順Procedure, operation, daily
管理(Managerial)管理、監督、リソース配分Management, oversight, resources

分類ルール(Classification Rule):

複数該当する場合は上位を選択(If multiple types apply):
ガバナンス > 法令 > リスク > 管理 > 運用 > 技術
(Governance > Legal > Risk > Managerial > Operational > Technical)

重要: 技術的要素を含んでいても、ガバナンス/法的/倫理的側面がある場合、そちらが優先。

🚨 IT/OT切替ルール(IT vs OT/CPS Context Switch)

問題文に以下のキーワードが出たら、IT脳からOT/CPS脳に切り替える:

トリガーワード: CPS、サイバーフィジカル、ICS、SCADA、産業制御、製造、発電、インフラ、OT環境、Safety(安全性)

観点IT系(通常)OT/CPS/ICS系(切替後)
最優先機密性(Confidentiality)安全性(Safety)
次点完全性(Integrity)可用性(Availability)
設計の出発点リスク評価(Risk Assessment)回復力(Resiliency)
障害の影響データ損失・業務停止人命・環境・物理的被害
パッチ適用定期的に実施慎重に計画(停止リスク)

判断フロー:

OT/CPSキーワードを検出

通常のIT思考(機密性優先)を停止

優先順位を切替:
  安全性(Safety)> 可用性(Availability)> 完全性 > 機密性

設計の最初の考慮事項 = 回復力(Resiliency)
  「攻撃・障害は起きる前提(Assume Breach)で、
   それでも安全な状態を維持できること」

典型的な罠:

  • 「最初に何をすべきか?」→ IT脳だとリスク評価(Risk Assessment)を選びがち
  • OT/CPSでは回復力(Resiliency)が設計の前提であり、リスク評価は手段

Step 2: ストーリー削除(Story Elimination)

原則(Principle):

ノイズを削除し、本質を見つける。(Remove the noise. Find the core issue.)

典型的ストーリーパターン(Common Story Patterns):

ストーリー要素(Story Element)本質的問題(Real Issue)CISSPの焦点(CISSP Focus)
「厳しい期限」("Tight deadline")期限プレッシャープロセス遵守 > 速度
「CEOが要求」("CEO demands")権力圧力倫理 > 権威
「予算制約」("Budget constraints")コスト制約リスクベース判断
「チーム間の混乱」("Confusion among teams")役割不明確ガバナンス構造
「攻撃の増加」("Increasing attacks")脅威増大リスク評価・対応
「多国間オペレーション」("Multi-country operation")複数法域最も厳格な法令
「新技術」("New technology")新規導入デューデリジェンス(Due Diligence)
「ベンダー推奨」("Vendor recommends")外部推奨独立評価

抽象化プロセス(Abstraction Process):

  1. 関与者の特定(Identify actors): 誰が関与?(Who)
  2. 圧力の特定(Identify pressure): 何が圧力?(Pressure)
  3. 制約の特定(Identify constraint): 何が制約?(Constraint)
  4. 原則への抽象化(Abstract to principle): どの原則の問題?(Principle)

例(Example):

ストーリー(Story): 「CEOが競争圧力のため、テストなしで新ツールを即座にデプロイしたい」
("CEO wants to deploy new tool immediately without testing due to competitive pressure")

抽象化(Abstraction):
- 関与者(Actor): CEO(権威)
- 圧力(Pressure): 競争の緊急性(Competitive urgency)
- 制約(Constraint): 検証なし(No testing)
- 原則(Principle): 変更管理 vs ビジネス圧力(Change management vs business pressure)

本質的問題(Core Issue): プロセス遵守 vs ビジネス圧力
→ CISSP解答(CISSP Answer): プロセス遵守(テスト必須)

Step 3: トラップ検出(Trap Detection)

全ドメイン共通トラップ(Universal Traps)

🚨 トラップ 1: 期限プレッシャー(Deadline Pressure)

パターン(Pattern):

  • 「緊急」("Urgent")
  • 「直ちに」("Immediately")
  • 「厳しい期限」("Tight deadline")
  • 「…の時間がない」("No time for...")

CISSPの立場(CISSP Position): プロセスを飛ばす正当化理由にはならない

正しい思考(Correct Mindset):

  • 緊急でも変更管理プロセスは必須
  • 緊急でもリスク評価は必須
  • 緊急でもテストは必須

🚨 トラップ 2: 権威圧力(Authority Pressure)

パターン(Pattern):

  • 「CEOが要求」("CEO demands")
  • 「経営層が主張」("Management insists")
  • 「取締役会が要求」("Board requires")

CISSPの立場(CISSP Position): 倫理・法令 > 権威

正しい思考(Correct Mindset):

  • 倫理的義務は権威で上書きできない
  • 法的義務は権威で上書きできない
  • プロフェッショナルとして説明責任を果たす

🚨 トラップ 3: 効率優先(Efficiency Over Security)

パターン(Pattern):

  • 「より速く」("Faster")
  • 「より便利に」("More convenient")
  • 「より簡単に」("Easier")
  • 「合理化」("Streamline")

CISSPの立場(CISSP Position): セキュリティ > 利便性

正しい思考(Correct Mindset):

  • 効率的だがリスク増大 → 不正解
  • セキュリティ統制を犠牲にした効率化 → 不正解

🚨 トラップ 4: 技術誘惑(Technical Temptation)

パターン(Pattern):

  • 「最新技術」("Latest technology")
  • 「先進的ソリューション」("Advanced solution")
  • 「最先端」("Cutting-edge")

CISSPの立場(CISSP Position): ガバナンス・プロセス > 技術

正しい思考(Correct Mindset):

  • 技術導入前にリスク評価
  • 技術導入前にポリシー整合確認
  • 技術導入前にデューデリジェンス(Due Diligence)

🚨 トラップ 5: 局所最適(Local Optimization)

パターン(Pattern):

  • 「このシステム用に」("For this system")
  • 「この部門用に」("For this department")
  • 「応急処置」("Quick fix")

CISSPの立場(CISSP Position): 組織全体最適 > 局所最適

正しい思考(Correct Mindset):

  • 組織全体のポリシーに整合
  • 組織全体のリスクを考慮
  • 全社標準化

🚨 トラップ 6: 事後対応優先(Reactive Over Proactive)

パターン(Pattern):

  • 「監視・検知」("Monitor and detect")
  • 「発生時に対応」("Respond when it happens")
  • 「フォレンジック分析」("Forensic analysis")

CISSPの立場(CISSP Position): 予防 > 検知 > 是正

正しい思考(Correct Mindset):

  • 予防統制(Preventive control)を優先
  • 検知統制(Detective control)は補完
  • 是正統制(Corrective control)は最後の手段

🚨 トラップ 7: 責任外部委託(Outsourcing Accountability)

パターン(Pattern):

  • 「ベンダーが責任を持つ」("Vendor is responsible")
  • 「クラウドプロバイダーがセキュリティを管理」("Cloud provider handles security")
  • 「第三者が管理…」("Third-party manages...")

CISSPの立場(CISSP Position): 説明責任は委譲不可(Accountability は委譲不可)

正しい思考(Correct Mindset):

  • 実行は委託できる(Responsibility)
  • 説明責任は残る(Accountability)
  • 監視・監督義務は継続

トラップ検出チェックリスト(Trap Detection Checklist)

問題を読んだら確認:

  • [ ] 期限圧力はあるか?
  • [ ] 権威からの圧力はあるか?
  • [ ] 効率性を強調しているか?
  • [ ] 技術的魅力を強調しているか?
  • [ ] 局所的解決を示唆しているか?
  • [ ] 事後対応を推奨しているか?
  • [ ] 責任の外部委託を示唆しているか?

1つでも該当したら要注意。その選択肢は罠の可能性が高い。


Step 4: 優先順位モデル適用(Priority Model Application)

全体優先順位階層(Global Priority Hierarchy)

レベル1: 人命・安全(Life Safety)

レベル2: 倫理(Ethics)

レベル3: 法的義務(Legal Obligation)

レベル4: 組織リスク(Organizational Risk)

レベル5: プロセス・統制(Process & Governance)

レベル6: 技術(Technology)

適用ルール(Application Rules)

ルール1(Rule 1): 上位が常に優先

例: 法的義務 vs ビジネス要求 → 法的義務が優先

ルール2(Rule 2): 同レベルなら包括的な方

例: 局所的ポリシー vs 全社ポリシー → 全社ポリシー

ルール3(Rule 3): 同レベルなら予防的な方

例: 監視強化 vs アクセス制御 → アクセス制御(予防)


優先順位決定ツリー(Priority Decision Tree)

問題提示(Question presented)

人命・安全は関係するか?(Is human life/safety involved?)
    はい(YES)→ 人命安全を優先(Prioritize life safety)
    いいえ(NO)↓
倫理的対立はあるか?(Is there an ethical conflict?)
    はい(YES)→ (ISC)²倫理規定を適用(Apply (ISC)² Code of Ethics)
    いいえ(NO)↓
法的義務はあるか?(Is there a legal obligation?)
    はい(YES)→ 法令遵守(最も厳格な法域を適用)(Comply with law, strictest if multi-jurisdiction)
    いいえ(NO)↓
組織リスクはあるか?(Is there organizational risk?)
    はい(YES)→ リスクベース判断(リスク評価必須)(Risk-based decision, risk assessment required)
    いいえ(NO)↓
プロセス・ガバナンスの問題か?(Is there a process/governance issue?)
    はい(YES)→ ガバナンスに従う/確立する(Follow/establish governance)
    いいえ(NO)↓
純粋な技術問題か?(Is it purely technical?)
    はい(YES)→ 技術的ベストプラクティスを適用(Apply technical best practices)

Step 5: 根本原因分析(Root Cause Analysis)

CISSP原則(CISSP Principle):

構造的改善 > 一時対応(Structural fixes > Temporary fixes)

典型的シナリオ(Common Scenarios)

症状(Symptom)根本原因(Root Cause)CISSP解決策(CISSP Solution)
混乱・不整合役割・責任不明確役割の定義と文書化(Define & document roles, RACI)
繰り返す問題プロセス未定義プロセスの標準化と文書化(Standardize & document process)
再発インシデントガバナンス不足ガバナンス構造の確立(Establish governance structure)
権限過剰付与最小特権未実施最小特権の実装(Implement least privilege)
データ漏洩リスク分類未実施データ分類の実装(Implement data classification)
ベンダーリスクデューデリ不足デューデリジェンスの実施(Perform due diligence)
復旧困難BCP/DRP未策定BCP/DRPの策定とテスト(Develop & test BCP/DRP)

分析プロセス(Analysis Process)

  1. 症状の特定(Identify symptom): 表面的な問題は?
  2. 「なぜ?」を5回繰り返す(Ask "Why?" 5 times): なぜ×5回
  3. 構造的欠陥の発見(Find structural gap): 構造的欠陥は?
  4. ガバナンス解決策の選択(Select governance solution): ガバナンス解決策は?

例(Example):

症状(Symptom): データ漏洩

なぜ?(Why?) アクセス制御が弱い
なぜ?(Why?) 権限が過剰に付与されている
なぜ?(Why?) 最小特権が実施されていない
なぜ?(Why?) ポリシーが定義されていない
なぜ?(Why?) ガバナンス構造がない

根本原因(Root Cause): ガバナンス構造の欠如
解決策(Solution): アクセス制御ポリシー策定 + 最小特権原則の実装

Step 6: 包括性確認(Comprehensiveness Check)

自問(Ask):

  1. 正当化可能性(Defensibility):

    • 監査で説明できるか?
    • 経営層に報告できるか?
    • 法廷で正当化できるか?
  2. 適用範囲(Scope):

    • 組織全体に適用可能か?
    • 一部門だけの解決ではないか?
    • 全ステークホルダーを考慮しているか?
  3. 持続可能性(Sustainability):

    • 長期的に維持可能か?
    • 構造的な解決か?
    • ドキュメント化されているか?

CISSPが好む選択肢(CISSP Favors):

文書化されている(Documented)リスクベース(Risk-based)組織全体(Organization-wide)予防的(Preventive)ガバナンス整合(Governance-aligned)包括的(Comprehensive)持続可能(Sustainable)

CISSPが嫌う選択肢(CISSP Dislikes):

❌ 文書化なし(Undocumented) ❌ 場当たり的(Ad-hoc) ❌ 部門限定(Department-specific) ❌ 事後対応のみ(Reactive only) ❌ 技術優先(Technology-first) ❌ 一時的(Temporary)


Step 7: CISO視点フィルター(CISO Filter)

究極の質問(The Ultimate Question):

「もし自分がCISOなら、どの答えを取締役会で正当化できるか?」("If I were the CISO, which answer could I defend to the board of directors?")

CISO思考(CISO Mindset):

  1. ビジネス整合(Business Alignment):

    • ビジネス目標を支援するか?
    • ROIを説明できるか?
  2. リスク管理(Risk Management):

    • リスクを定量化できるか?
    • 残留リスクは許容範囲か?
  3. コンプライアンス(Compliance):

    • 法令遵守しているか?
    • 監査で問題ないか?
  4. ステークホルダーコミュニケーション(Stakeholder Communication):

    • 経営層に説明できるか?
    • 監査役に説明できるか?
    • 株主に説明できるか?

取締役会レベルの質問(Board-Level Questions):

  • 「なぜこのアプローチを選んだか?」("Why did you choose this approach?")
  • 「リスクは何か?」("What are the risks?")
  • 「コンプライアンスに適合しているか?」("Is this compliant?")
  • 「失敗した場合どうなるか?」("What if it fails?")
  • 「コストはいくらか?」("How much does it cost?")
  • 「ROIはどうか?」("What's the ROI?")

CISSP解答は経営層レベルで正当化可能でなければならない。(CISSP answers must be defensible at the executive level.)


Step 8: 解答選択(Answer Selection)

選択基準(Selection Criteria)

選択肢を以下の基準で評価:

1. 優先順位整合(Priority Alignment)

  • [ ] 人命・倫理・法令を優先しているか?
  • [ ] ガバナンス > 技術の順序を守っているか?

2. トラップ回避(Trap Avoidance)

  • [ ] 期限圧力に屈していないか?
  • [ ] 効率優先でセキュリティを犠牲にしていないか?

3. 包括性(Comprehensiveness)

  • [ ] 組織全体をカバーしているか?
  • [ ] 根本原因に対処しているか?

4. 正当化可能性(Defensibility)

  • [ ] 経営層に説明できるか?
  • [ ] 監査で問題ないか?

複数正解に見える場合(When Multiple Answers Seem Correct):

優先順位(Priority):
1. 最も包括的(Most comprehensive)
2. 最も予防的(Most preventive)
3. 最も上位層(Highest governance level)
4. 最もリスクベース(Most risk-based)

30秒クイックプロセス(30-Second Quick Process)

試験中の高速判断用:

  1. 何層?(What layer?)

    • ガバナンス?法令?技術?(Governance? Legal? Technical?)
  2. 本当の問題は?(What's the real problem?)

    • ストーリーを削ぎ落とす(Strip the story)
  3. トラップは?(Any traps?)

    • 期限?権威?効率?(Deadline? Authority? Efficiency?)
  4. 優先順位適用(Apply priority)

    • 人命 > 倫理 > 法令 > リスク > プロセス > 技術(Life > Ethics > Legal > Risk > Process > Tech)
  5. 最も正当化可能?(Most defensible?)

    • 取締役会で正当化できるか?(Can I defend this to the board?)

Part 2: ドメイン別推論(Domain-Specific Inference)

全ドメイン共通推論エンジン(Global Inference Engine)は同じ。 各ドメインの「優先原則」と「典型パターン」が異なる。


ドメイン1: セキュリティとリスク管理(Domain 1: Security & Risk Management)

D1核心原則(Domain 1 Core Principles)

1. 技術は最後(Tech is LAST)
2. ガバナンス優先(Governance > Everything)
3. 人 > プロセス > 技術(People > Process > Technology, PPTモデル)
4. リスクは除去不可(Risk cannot be eliminated)
5. 説明責任は委譲不可(Accountability cannot be outsourced)
6. 調査→実行(Due Diligence → Due Care)
7. 倫理優先(Ethics > Deadline)
8. 全て文書化(Document everything)

D1決定ツリー(D1 Decision Trees)

ツリー1: リスク管理の問題(Tree 1: Risk Management Questions)

リスク関連の問題(Risk-related question)

リスクは除去できるか?(Can risk be eliminated?)
    いいえ(NO)→ 受容/軽減/移転/回避(Risk acceptance/mitigation/transfer/avoidance)

費用便益分析は必要か?(Is cost-benefit analysis needed?)
    はい(YES)→ 定量分析(ALE計算)(Quantitative, ALE calculation)
    いいえ(NO)→ 定性分析(高/中/低)(Qualitative, High/Med/Low)

どのリスク対応か?(Which risk response?)
    リスク > 便益 → 回避(Avoid)
    統制コスト < ALE → 軽減(Mitigate)
    専門知識が必要 → 移転(Transfer)
    リスク < 許容範囲 → 受容(経営層の承認付き)(Accept, with executive approval)

ツリー2: ポリシー/ガバナンスの問題(Tree 2: Policy/Governance Questions)

ガバナンスの問題(Governance question)

文書のレベルは?(What level of document?)
    戦略的、経営層レベル → ポリシー(Policy)
    技術仕様 → 基準(Standard)
    手順書 → 手順(Procedure)
    推奨事項 → ガイドライン(Guideline)

誰が承認するか?(Who approves?)
    ポリシー(Policy)→ 経営層/取締役会(Executive/Board)
    基準(Standard)→ 上級管理職(Senior management)
    手順(Procedure)→ 部門長(Department head)
    ガイドライン(Guideline)→ 専門家(Subject matter expert)

強制力はあるか?(Is it mandatory?)
    ポリシー/基準/手順(Policy/Standard/Procedure)→ はい(YES)
    ガイドライン(Guideline)→ いいえ(NO)
法的問題(Legal question)

複数の法域か?(Multiple jurisdictions?)
    はい(YES)→ 全ての関連法を適用(最も厳格なものが優先)(Apply ALL relevant laws, strictest wins)
    いいえ(NO)→ 現地法を適用(Apply local law)

プライバシーデータが関係するか?(Privacy data involved?)
    はい(YES)→ GDPR/CCPA/HIPAAの適用可否を確認(Check GDPR/CCPA/HIPAA applicability)
        → データ最小化(Data minimization)
        → 同意が必要(Consent required)
        → 侵害通知(GDPRは72時間)(Breach notification, 72 hours for GDPR)
    いいえ(NO)→ 標準的な法的レビュー(Standard legal review)

証拠の取り扱いか?(Evidence handling?)
    はい(YES)→ 証拠の連鎖(Chain of custody)
        → 最良証拠ルール(原本優先)(Best evidence rule, original preferred)
        → 適切なフォレンジック手順(Proper forensic procedure)

ツリー4: BCP/DRPの問題(Tree 4: BCP/DRP Questions)

継続性の問題(Continuity question)

何を聞いているか?(What's being asked?)
    事業継続 → BCP
    IT復旧 → DRP(BCPのサブセット)(DRP, subset of BCP)

時間に関連するか?(Time-related?)
    どのくらいダウンできるか? → 最大許容停止時間(MTD)(How long can we be down? → MTD)
    どのくらい速く復旧するか? → 目標復旧時間(RTO)(How fast must we recover? → RTO)
    どのくらいのデータ損失が許容か? → 目標復旧時点(RPO)(How much data loss acceptable? → RPO)

サイト選択か?(Site selection?)
    重要(数時間)→ ホットサイト(Hot site)(Critical, hours)
    重要(数日)→ ウォームサイト(Warm site)(Important, days)
    非重要(数週間)→ コールドサイト(Cold site)(Non-critical, weeks)

テスト方法か?(Testing method?)
    最初に → チェックリストレビュー(Checklist review)(Start with)
    次に → 机上演習/ウォークスルー(Tabletop/Walkthrough)(Then)
    次に → シミュレーション(Simulation)(Then)
    最後に → 完全中断テスト(最もリスク高)(Full interruption, highest risk)(Finally)

ツリー5: 人的セキュリティの問題(Tree 5: Personnel Security Questions)

人事関連の問題(Personnel question)

雇用段階は?(Employment phase?)
    雇用前(Pre-employment)→ バックグラウンドチェック、リファレンスチェック(Background check, reference check)
    雇用中(During employment)→ 研修、職務分掌、最小特権、強制休暇(Training, SoD, least privilege, mandatory vacation)
    退職時(Termination)→ 即時アクセス取消、退職面談、資産返却(Immediate access revocation, exit interview, asset return)

不正防止か?(Fraud prevention?)
    はい(YES)→ 職務分掌(Separation of Duties, SoD)
        → 強制休暇(Mandatory vacation)
        → ジョブローテーション(Job rotation)
        → 二重管理(重要操作)(Dual control, critical operations)

第三者/ベンダーか?(Third-party/vendor?)
    はい(YES)→ 契約前にデューデリジェンス(Due diligence before contract)
        → SLAにセキュリティ要件を含む(Security requirements in SLA)
        → 監査権条項(Right to audit clause)
        → 継続的モニタリング(Continuous monitoring)
        → 注意:説明責任は組織に残る(Remember: Accountability stays with organization)

ツリー6: 倫理の問題(Tree 6: Ethics Questions)

倫理の問題(Ethics question)

(ISC)²倫理規定の優先順位を適用(Apply (ISC)² Code of Ethics priority):
    1. 社会・公共(Society/Public)
    2. 名誉・合法(Act honorably/legally)
    3. 依頼主(Principals)
    4. 専門職(Profession)

対立を検出したか?(Conflict detected?)
    倫理 vs 期限 → 倫理(Ethics vs Deadline → Ethics)
    倫理 vs 権威 → 倫理(Ethics vs Authority → Ethics)
    倫理 vs 利益 → 倫理(Ethics vs Profit → Ethics)
    法令 vs ビジネス → 法令(Legal vs Business → Legal)
    セキュリティ vs 利便性 → セキュリティ(Security vs Convenience → Security)

圧力が存在するか?(Pressure present?)
    はい(YES)→ 圧力を拒否(Reject pressure)
        → 専門職としての義務を説明(Explain professional obligation)
        → 決定を文書化(Document decision)
        → 必要なら上位にエスカレーション(Escalate if needed)

D1特有のトラップ(D1-Specific Traps)

🚨 D1トラップ1: 「リスク除去」("Risk Elimination")

パターン(Pattern):

  • 「リスクを除去する」("Eliminate the risk")
  • 「全てのリスクを除去する」("Remove all risk")
  • 「リスクゼロ」("Zero risk")

真実(Truth): リスクは除去できない。軽減・移転・受容のみ。

正しい解答パターン(Correct Answer Pattern):

  • 「リスクを許容レベルまで低減する」("Reduce risk to acceptable level")
  • 「リスクを軽減する」("Mitigate the risk")
  • 「残留リスクを受容する」("Accept residual risk")

🚨 D1トラップ2: 「定量分析万能」("Quantitative Always Better")

パターン(Pattern):

  • 「詳細なALE計算を行う」("Perform detailed ALE calculation")
  • 「定量分析を使用する」("Use quantitative analysis")

真実(Truth): 定量分析は時間・コストがかかる。状況に応じて定性分析も有効。

判断ロジック(Decision Logic):

  • 高額資産・重要判断 → 定量分析(Quantitative)
  • 迅速な判断必要 → 定性分析(Qualitative)
  • 経営層への報告 → 定性分析(理解しやすい)(Qualitative)

🚨 D1トラップ3: 「ベンダー責任」("Vendor Responsibility")

パターン(Pattern):

  • 「セキュリティをベンダーに外部委託」("Outsource security to vendor")
  • 「クラウドプロバイダーが責任を持つ」("Cloud provider is responsible")
  • 「第三者がコンプライアンスを管理」("Third-party handles compliance")

真実(Truth): 実行責任(Responsibility)は委譲できるが、説明責任(Accountability)は残る。

正しい思考(Correct Mindset):

  • 監視義務は継続
  • 契約にセキュリティ要件明記
  • 定期監査実施
  • 最終責任は組織に残る

🚨 D1トラップ4: 「ポリシー=セキュリティ」("Policy = Security")

パターン(Pattern):

  • 「ポリシーを作る」が唯一の選択肢("Create a policy")

真実(Truth): ポリシーは必要だが十分ではない。実装・監視・監査も必要。

包括的な解答(Comprehensive Answer):

  • 方針(Policy)
  • 基準(Standard)
  • 手順(Procedure)
  • 実装(Implementation)
  • 教育(Training)
  • 監視(Monitoring)
  • 監査(Audit)

🚨 D1トラップ5: 「ホットサイト最適」("Hot Site Always Best")

パターン(Pattern):

  • 「最速復旧のためにホットサイトをデプロイ」("Deploy hot site for fastest recovery")

真実(Truth): コスト・ビジネス要求のバランスが必要。

判断ロジック(Decision Logic):

RTO < 数時間 → ホットサイト(Hot site)
RTO < 数日 → ウォームサイト(Warm site)
RTO < 数週間 → コールドサイト(Cold site)

コスト vs RTOのバランスで判断(Cost vs RTO balance)

🚨 D1トラップ6: 「フレームワーク認証必須」("Framework Certification Required")

パターン(Pattern):

  • 「直ちにISO 27001認証を取得」("Obtain ISO 27001 certification immediately")

真実(Truth): 認証は手段であり目的ではない。ビジネス要求に応じて選択。

判断ロジック(Decision Logic):

  • 顧客要求・契約要件 → 認証必要
  • 内部改善目的 → フレームワーク採用(認証不要)
  • コスト・時間・効果を考慮

🚨 D1トラップ7: 「ユーザーエラー処罰」("Punish User Error")

パターン(Pattern):

  • 「従業員を処分する」("Discipline the employee")
  • 「セキュリティ違反で解雇」("Terminate for security violation")

真実(Truth): 人的エラーは統制設計の問題。懲罰より教育・プロセス改善。

CISSPアプローチ(CISSP Approach):

  1. 根本原因分析(Root cause analysis)
  2. プロセス改善(Process improvement)
  3. 教育強化(Training enhancement)
  4. 技術的統制(Technical controls)
  5. 懲戒処分(Disciplinary action)← 最後の手段

🚨 D1トラップ8: 「IT脳でOT/CPS問題を解く」("IT Mindset on OT/CPS Questions")

パターン(Pattern):

  • CPS/ICS/SCADA/OT環境の設計・対策を問う問題
  • 「最初の考慮事項は?」「設計時に最も重要なのは?」

罠(Trap): IT脳のまま「まずリスク評価」「まず機密性確保」を選んでしまう

真実(Truth): OT/CPS環境ではCIAの優先順位が逆転する。

IT系の優先順位:
  機密性(Confidentiality)> 完全性(Integrity)> 可用性(Availability)

OT/CPS系の優先順位:
  安全性(Safety)> 可用性(Availability)> 完全性 > 機密性

判断ロジック(Decision Logic):

  • 「リスク評価(Risk Assessment)」= 設計プロセスの中で実施する手段
  • 「回復力(Resiliency)」= 設計の前提・出発点
  • CPS設計で「最初に」と聞かれたら → 回復力(Resiliency)
  • 攻撃・障害は起きる前提(Assume Breach)で設計する

見分け方: 問題文に「CPS」「ICS」「SCADA」「製造」「発電」「安全性(Safety)」が出たら → IT脳を停止 → OT脳に切替


D1トリガーワード(D1 Trigger Words)

問題文に以下が出たら、D1原則を適用:

ガバナンストリガー(Governance Triggers):

  • ポリシー(Policy)、基準(Standard)、手順(Procedure)、ガイドライン(Guideline)
  • ガバナンス(Governance)、経営層(Executive)、取締役会(Board)
  • 組織的(Organizational)、全社的(Enterprise-wide)

思考(Think): ポリシー階層、経営責任、組織全体最適

リスクトリガー(Risk Triggers):

  • リスク(Risk)、脅威(Threat)、脆弱性(Vulnerability)
  • ALE、SLE、ARO、EF
  • 定性(Qualitative)、定量(Quantitative)

思考(Think): リスクは除去不可、定量 vs 定性、対応戦略

  • 法律(Law)、規制(Regulation)、コンプライアンス(Compliance)
  • GDPR、HIPAA、SOX
  • 複数法域(Multi-jurisdiction)、国際(International)

思考(Think): 法令優先、最も厳格、全法域遵守

BCP/DRPトリガー(BCP/DRP Triggers):

  • 復旧(Recovery)、継続(Continuity)、災害(Disaster)
  • RTO、RPO、MTD
  • ホットサイト(Hot site)/ウォームサイト(Warm site)/コールドサイト(Cold site)

思考(Think): BCP > DRP、ビジネス要求ベース、テスト必須

倫理トリガー(Ethics Triggers):

  • 圧力(Pressure)、期限(Deadline)、緊急性(Urgency)
  • 「CEOが要求」(CEO demands)、「経営層が主張」(Management insists)
  • 競争的(Competitive)、事業に不可欠(Business-critical)

思考(Think): 倫理優先、圧力は正当化理由にならない

人事トリガー(Personnel Triggers):

  • 従業員(Employee)、ベンダー(Vendor)、第三者(Third-party)
  • バックグラウンドチェック(Background check)、退職(Termination)
  • 職務分掌(Separation of Duties)

思考(Think): 人的統制、雇用ライフサイクル、説明責任不可譲

OT/CPSトリガー(OT/CPS Triggers):

  • サイバーフィジカル(CPS)、産業制御(ICS)、SCADA
  • 製造(Manufacturing)、発電(Power generation)、インフラ(Infrastructure)
  • 安全性(Safety)、回復力(Resiliency)
  • OT環境(OT environment)

思考(Think): IT脳を停止。Safety > Availability。設計の出発点は回復力(Resiliency)。リスク評価は手段であり出発点ではない。


D1解答選択優先順位(D1 Answer Selection Priority)

ドメイン1で迷ったら、以下の優先順位で選択:

1. ガバナンス・ポリシー解決(Governance/Policy solution)
2. リスクベース判断(Risk-based decision)
3. 組織全体アプローチ(Organization-wide approach)
4. 予防的統制(Preventive control)
5. 文書化プロセス(Documented process)
6. 技術的実装(Technical implementation)← 最後

例(Examples):

シナリオ(Scenario)選択肢A(Option A)選択肢B(Option B)解答(Answer)
データ分類ツール導入ポリシー策定B(ポリシー先)
インシデント増加監視強化リスク評価B(リスク評価先)
新規ベンダー契約署名デューデリジェンス(Due Diligence)B(調査先)
BCP未実施DR訓練BIA実施B(BIA先)

D1典型問題パターン(D1 Common Question Patterns)

パターン1: 「最初のステップ」問題(Pattern 1: "FIRST step" Questions)

問題形式(Question Format): 「最初に何をすべきか?」("What should be done FIRST?")

D1解答ロジック(D1 Answer Logic):

ポリシーの問題 → ポリシーを定義(Policy question → Define policy)
リスクの問題 → リスク評価(Risk question → Risk assessment)
インシデント → 封じ込め(ただしD1は予防に焦点)(Incident → Containment, but D1 focuses on prevention)
BCP/DRP → BIA(事業影響分析)(BCP/DRP → BIA, Business Impact Analysis)
ベンダー → デューデリジェンス(Vendor → Due diligence)

パターン2: 「最善のアプローチ」問題(Pattern 2: "BEST approach" Questions)

問題形式(Question Format): 「最善のアプローチは何か?」("What is the BEST approach?")

D1解答ロジック(D1 Answer Logic):

  • 最も包括的(Comprehensive)
  • 最も上位層(Governance > Technical)
  • 最もリスクベース(Risk-informed)
  • 最も構造的(Structural vs temporary)

パターン3: 「主要な責任」問題(Pattern 3: "Primary responsibility" Questions)

問題形式(Question Format): 「誰が主要な責任を持つか?」("Who has PRIMARY responsibility?")

D1解答ロジック(D1 Answer Logic):

セキュリティガバナンス → 経営層/取締役会(Security governance → Executive/Board)
データ分類 → データオーナー(ビジネス側)(Data classification → Data Owner, business)
データ管理 → データカストディアン(IT側)(Data custody → Data Custodian, IT)
リスク受容 → 経営層(Risk acceptance → Executive management)
ポリシー承認 → 経営層/取締役会(Policy approval → Executive/Board)
実装 → 担当者(Implementation → Assigned personnel)

パターン4: 「コンプライアンス」問題(Pattern 4: "Compliance" Questions)

問題形式(Question Format): 「…へのコンプライアンスをどう確保するか?」("How to ensure compliance with...?")

D1解答ロジック(D1 Answer Logic):

  1. 法的要件の理解(Understand legal requirements)
  2. ギャップ分析(Gap analysis)
  3. 統制の実装(Implement controls)
  4. 文書化(Document)
  5. 教育(Train)
  6. 監視(Monitor)
  7. 監査(Audit)

パターン5: 「リスク計算」問題(Pattern 5: "Risk calculation" Questions)

問題形式(Question Format): 「ALEを計算せよ…」または「どのリスク対応か?」("Calculate the ALE..." or "Which risk response?")

D1解答ロジック(D1 Answer Logic):

計算(Calculation):
- SLE = AV × EF
- ALE = SLE × ARO

対応(Response):
- 統制コスト < ALE → 統制を実装(軽減)(If control cost < ALE → Implement control, Mitigate)
- 統制コスト > ALE → 他の対応を検討(If control cost > ALE → Consider other responses)
- リスク > 許容範囲 → 軽減または回避(If risk > tolerance → Mitigate or Avoid)
- リスク < 許容範囲 → 受容(承認付き)(If risk < tolerance → Accept, with approval)

D1思考まとめ(D1 Mindset Summary)

エンジニア脳 → ガバナンス脳 変換テーブル

エンジニア思考CISSP D1思考
すぐ実装まずポリシー策定
ツール導入リスク評価先
技術で解決ガバナンスで統制
効率優先セキュリティ優先
個別対応組織全体標準化
事後対応事前予防
監視強化最小特権実装
ログ分析職務分掌
自動化プロセス文書化

D1究極の質問(D1 Ultimate Question)

「ガバナンス、リスク、コンプライアンスの観点から、この判断を取締役会で正当化できるか?」("Can I defend this decision to the board of directors from a governance, risk, and compliance perspective?")

はい(YES)→ 正解の可能性が高い いいえ(NO)→ 別の選択肢を検討


CAT試験戦略(CAT Exam Strategy)

CAT動作(CAT Behavior)

  • 正解すると難易度上昇
  • 不正解で難易度低下
  • 目標: 能力レベルの正確な測定

安定ルール(Stability Rules)

  1. 急がない(Do NOT rush)

    • 1問あたり平均2-3分
    • 難しい問題ほど慎重に
  2. 難しい=成功(Difficulty = Success)

    • 問題が難しく感じる = 能力レベル上昇中
    • パニック不要
  3. 一貫性が鍵(Consistency is key)

    • 同じ推論プロセスを毎回適用
    • 疲労による判断ブレを防ぐ
  4. 核心アプローチを変えない(Never change core approach)

    • ガバナンス > 技術(Governance > Technology)を貫く
    • 圧力トラップに屈しない

最終チェックリスト(Final Checklist)

試験中、各問題で確認:

全ドメイン共通(Global Checklist)

  • [ ] 問題タイプを分類したか?
  • [ ] ストーリーを削ぎ落としたか?
  • [ ] トラップを検出したか?
  • [ ] 優先順位モデルを適用したか?
  • [ ] 根本原因を特定したか?
  • [ ] 包括性を確認したか?
  • [ ] CISO視点で正当化できるか?

D1特有(D1 Specific Checklist)

  • [ ] 技術は最後(Tech is last)を守ったか?
  • [ ] ガバナンス優先したか?
  • [ ] リスク除去を選んでいないか?
  • [ ] 説明責任の外部委託を選んでいないか?
  • [ ] 圧力に屈していないか?
  • [ ] 文書化・標準化を考慮したか?
  • [ ] 組織全体最適か?

クイックリファレンスカード(Quick Reference Card)

試験中に迷ったら:

普遍ルール(Universal Rules)

  1. 人命 > 倫理 > 法令 > リスク > プロセス > 技術(Life > Ethics > Legal > Risk > Process > Tech)
  2. ガバナンス > 技術(Governance > Technology)
  3. 予防 > 検知 > 是正(Preventive > Detective > Corrective)
  4. 組織全体 > 局所(Organization-wide > Local)
  5. 構造的 > 一時的(Structural > Temporary)
  6. 文書化 > 非文書化(Documented > Undocumented)
  7. リスクベース > 恐怖ベース(Risk-based > Fear-based)
  8. 包括的 > 狭い(Comprehensive > Narrow)

ドメイン1ルール(Domain 1 Rules)

  1. 技術は最後(Tech is LAST)
  2. リスクは除去不可(Risk cannot be eliminated)
  3. 説明責任は委譲不可(Accountability cannot be outsourced)
  4. 調査→実行(Due Diligence → Due Care)
  5. 倫理 > 期限(Ethics > Deadline)
  6. ポリシー > 基準 > 手順 > ガイドライン(Policy > Standard > Procedure > Guideline)
  7. 定量 = 客観的だが遅い(Quantitative = objective but slow)
  8. 定性 = 主観的だが速い(Qualitative = subjective but fast)

推論エンジンまとめ(Inference Engine Summary)

入力(Input): CISSP問題(CISSP Question)

ステップ1: 問題タイプを分類(Classify question type)
ステップ2: ストーリーを削除し本質を発見(Remove story, find core issue)
ステップ3: トラップを検出(Detect traps)
ステップ4: 優先順位モデルを適用(Apply priority model)
ステップ5: 根本原因を分析(Analyze root cause)
ステップ6: 包括性を確認(Check comprehensiveness)
ステップ7: CISOフィルターを適用(Apply CISO filter)
ステップ8: 解答を選択(Select answer)

出力(Output): 正当化可能でリスクベースかつガバナンス整合の解答
(Defensible, risk-based, governance-aligned answer)

覚えておくこと(Remember): CISSPはプロフェッショナル判断を測定する。技術知識ではない。(CISSP measures professional judgment, not technical knowledge.)

あなたの役割(Your job): エンジニアではなく、CISOとして考える。(Think like a CISO, not an engineer.)


推論エンジン 終了(End of Inference Engine)

次のドメイン(D2-D8)のドメイン別推論(Domain-Specific Inference)は今後追加予定。 全ドメイン共通推論エンジン(Global Inference Engine, Part 1)は全ドメインで共通使用。