Appearance
Security Frameworks & Standards Reference
Quick Overview
Governance層(経営戦略)
├─ COBIT (IT統制全般)
├─ COSO (内部統制・リスク管理)
└─ ITIL (ITサービス管理)
Security Frameworks層(実装指針)
├─ NIST CSF (包括的セキュリティフレームワーク)
├─ ISO 27001/27002 (情報セキュリティマネジメント)
└─ CIS Controls (具体的な技術統制)
Compliance層(法規制)
├─ GDPR (EU個人情報保護)
├─ CCPA (カリフォルニア州プライバシー法)
├─ HIPAA (医療情報保護)
├─ SOX (財務報告統制)
└─ GLBA (金融情報保護)
Technical Standards層(技術基準)
├─ Common Criteria (製品評価基準)
├─ FIPS (暗号化基準)
└─ NIST SP 800 series (技術ガイダンス)0. Domain 1 シグナル別クイックマップ
問題文のキーワードから、最初に当てる参照先を固定するための早見表。
| 問題シグナル | まず見る参照先 | 初動 |
|---|---|---|
| 法令・規制・コンプライアンス | GDPR / HIPAA / SOX / CCPA | 適用法域・義務・期限を確定 |
| 取締役会・経営層・統治 | COBIT / COSO | 責任主体・監督構造・報告ラインを明確化 |
| 契約・SLA・委託 | ITIL / COBIT / ISO 27001(サプライヤ管理) | 契約条項確認、責任分界、エスカレーション |
| 監査・証跡・内部統制 | ISO 27001 / COSO / SOX | 証跡要件と統制の運用可能性を確認 |
| 技術統制の優先順位付け | NIST CSF / CIS Controls | リスクベースで段階的に統制適用 |
補足:
- Domain 1 では「技術そのもの」より先に、法令・ガバナンス・責任分界を確定する。
- 詳細な解き方は
/cissp/engine/domain-1を併用する。
1. Governance Frameworks(ガバナンスフレームワーク)
COBIT (Control Objectives for Information and Related Technologies)
目的: IT governance and management framework - ITと事業目標の整合性確保
適用範囲: IT全般統制(組織全体のITガバナンス)
強制/任意: Voluntary(任意)
主要特徴:
- ISACA(情報システムコントロール協会)が策定
- 5つの原則: Stakeholder Needs, End-to-End Coverage, Single Framework, Holistic Approach, Governance/Management分離
- 4つのドメイン:
- Plan and Organize (計画と組織)
- Acquire and Implement (取得と実装)
- Deliver and Support (提供とサポート)
- Monitor and Evaluate (監視と評価)
CISSP試験ポイント:
- IT統制の成熟度評価モデル(Capability Maturity Model)
- 「何を統制すべきか」ではなく「どう統制プロセスを回すか」に焦点
- Domain 1 (Security and Risk Management) で頻出
他との違い:
- COSO: 財務・会計統制に特化 vs COBIT: IT統制全般
- ITIL: 運用プロセスに特化 vs COBIT: ガバナンス全体
COSO (Committee of Sponsoring Organizations)
目的: Internal control and risk management framework - 内部統制・リスク管理の基準
適用範囲: 組織全体の内部統制(財務報告の信頼性確保が主目的)
強制/任意: Voluntary(但しSOX法準拠では事実上必須)
主要特徴:
- COSO Cube(3次元モデル):
- 5つのコンポーネント: Control Environment, Risk Assessment, Control Activities, Information & Communication, Monitoring
- 3つの目的: Operations, Reporting, Compliance
- 4つのレベル: Entity-level, Division, Business Unit, Function
- COSO ERM (Enterprise Risk Management) フレームワーク
CISSP試験ポイント:
- 内部統制の3つの目的(Operations/Reporting/Compliance)
- SOX法との関連性
- 経営層の責任範囲(Control Environment)
他との違い:
- COBIT: IT特化 vs COSO: 組織全体(財務中心)
- NIST CSF: サイバーセキュリティ特化 vs COSO: 内部統制全般
ITIL (Information Technology Infrastructure Library)
目的: IT service management best practices - ITサービス提供の効率化・標準化
適用範囲: IT運用・サービスデリバリープロセス
強制/任意: Voluntary(任意)
主要特徴:
- 英国政府が策定(現在はAxelos管理)
- ITIL 4の4つの次元:
- Organizations and People
- Information and Technology
- Partners and Suppliers
- Value Streams and Processes
- Service Value System (SVS) 概念
CISSP試験ポイント:
- Change Management(変更管理プロセス)
- Incident vs Problem Management の違い
- Configuration Management Database (CMDB)
- Service Level Agreement (SLA) の管理
他との違い:
- COBIT: 「何をすべきか」 vs ITIL: 「どう運用するか」
- ISO 20000: ITILのベストプラクティスを規格化したもの
2. Security Frameworks(セキュリティフレームワーク)
NIST Cybersecurity Framework (CSF)
目的: Risk-based approach to cybersecurity - 重要インフラのサイバーセキュリティ向上
適用範囲: 全業種(特に重要インフラ事業者向け)
強制/任意: Voluntary(米国大統領令で推奨)
主要特徴:
- 5つのコア機能:
- Identify (資産・リスク特定)
- Protect (保護策実装)
- Detect (検知)
- Respond (対応)
- Recover (復旧)
- Implementation Tiers (4段階の成熟度)
- Framework Profiles(現状/目標プロファイル)
CISSP試験ポイント:
- 5つのコア機能の順序と内容
- "Risk-based approach" の意味(全てを守るのではなく優先順位付け)
- 他フレームワークとのマッピング可能性
他との違い:
- ISO 27001: 認証取得可能 vs NIST CSF: 自己評価のみ
- CIS Controls: 具体的技術統制 vs NIST CSF: 高レベル戦略
ISO/IEC 27001 & 27002
目的: Information Security Management System (ISMS) - 情報セキュリティの継続的改善
適用範囲: 組織全体の情報セキュリティ管理
強制/任意: Voluntary(但し認証取得により第三者証明が可能)
主要特徴:
- ISO 27001: ISMS要求事項(認証対象)
- Plan-Do-Check-Act (PDCA) サイクル
- Annex A: 93の統制策(27002の要約版)
- ISO 27002: 具体的な統制策の実装ガイダンス(認証対象外)
- 4つのテーマ: Organizational, People, Physical, Technological
CISSP試験ポイント:
- PDCAサイクルの各フェーズの内容
- 27001(要求事項)と27002(実装ガイド)の違い
- Annex Aの14カテゴリ(組織的/人的/物理的/技術的統制)
他との違い:
- NIST CSF: 米国中心 vs ISO 27001: 国際標準
- ISO 27001: 認証取得可能 vs NIST CSF: 自己評価
- CIS Controls: "What to do" vs ISO 27002: "How to do"
CIS Controls (Center for Internet Security)
目的: Prioritized cybersecurity actions - 攻撃者の戦術に基づく防御策の優先順位付け
適用範囲: 技術統制(ネットワーク・システム・アプリケーション)
強制/任意: Voluntary(任意)
主要特徴:
- 18のControls(v8.0):
- Implementation Group 1 (IG1): 基本的なサイバーハイジーン(小規模組織向け)
- Implementation Group 2 (IG2): 中規模組織向け
- Implementation Group 3 (IG3): 高度な脅威対策(大規模組織向け)
- 攻撃チェーンの各段階に対応
- 具体的で測定可能な統制策
CISSP試験ポイント:
- "Prioritized" の意味(全てを一度に実装するのではなく段階的に)
- Implementation Groupの違い(組織規模とリスクに応じた選択)
- 上位5つのControls(資産管理・脆弱性管理・データ保護など)
他との違い:
- NIST CSF: 戦略レベル vs CIS Controls: 戦術レベル
- ISO 27002: 包括的 vs CIS Controls: 効果の高い統制に絞り込み
3. Privacy Regulations(プライバシー規制)
GDPR (General Data Protection Regulation)
目的: EU域内の個人データ保護・プライバシー権の強化
適用範囲: EU域内の個人データを扱う全ての組織(EU域外も対象)
強制/任意: Mandatory(強制) - 違反時は最大2,000万ユーロまたは全世界売上の4%の罰金
主要特徴:
- 7つの原則: Lawfulness, Fairness, Transparency, Purpose Limitation, Data Minimization, Accuracy, Storage Limitation, Integrity & Confidentiality, Accountability
- データ主体の権利:
- Right to Access(アクセス権)
- Right to Rectification(訂正権)
- Right to Erasure(削除権/"忘れられる権利")
- Right to Data Portability(データポータビリティ権)
- 72時間以内の侵害通知義務
- Data Protection Officer (DPO) の任命義務(条件あり)
CISSP試験ポイント:
- 域外適用(Extraterritorial Scope)の概念
- Consent(同意)の要件(明示的・具体的・撤回可能)
- Privacy by Design & Privacy by Default
- Data Controller vs Data Processor の責任範囲
他との違い:
- CCPA: オプトアウト vs GDPR: オプトイン
- HIPAA: 医療特化 vs GDPR: 全業種
CCPA (California Consumer Privacy Act)
目的: カリフォルニア州住民の個人情報に関する権利保護
適用範囲: カリフォルニア州住民の個人情報を扱う一定規模以上の事業者
強制/任意: Mandatory(強制) - カリフォルニア州法
主要特徴:
- 適用条件(いずれか満たせば対象):
- 年間総収入2,500万ドル以上
- 5万世帯以上の個人情報を扱う
- 個人情報販売による収入が50%以上
- 消費者の権利:
- Right to Know(情報開示請求権)
- Right to Delete(削除請求権)
- Right to Opt-Out(販売拒否権)
- Right to Non-Discrimination(差別禁止)
CISSP試験ポイント:
- Opt-Out方式(GDPRはOpt-In)
- "Sale" の定義(金銭授受なしでも該当する場合あり)
- "Do Not Sell My Personal Information" リンクの設置義務
他との違い:
- GDPR: 事前同意必須 vs CCPA: 事後拒否可能
- GDPR: 全世界適用 vs CCPA: カリフォルニア州のみ
HIPAA (Health Insurance Portability and Accountability Act)
目的: 医療情報の保護とプライバシー確保
適用範囲: 米国の医療機関・保険会社・医療情報処理業者
強制/任意: Mandatory(強制) - 米国連邦法
主要特徴:
- 3つの主要ルール:
- Privacy Rule: PHI(Protected Health Information)の使用・開示制限
- Security Rule: ePHI(電子医療情報)の保護(Administrative/Physical/Technical safeguards)
- Breach Notification Rule: 侵害通知義務(500人以上は60日以内にHHS・メディアに通知)
- 18の識別子(除去すればPHIでなくなる)
- Business Associate Agreement (BAA) の締結義務
CISSP試験ポイント:
- PHI vs ePHI の違い
- Minimum Necessary Rule(必要最小限の原則)
- Administrative/Physical/Technical safeguards の分類
- Covered Entity vs Business Associate の責任
他との違い:
- GDPR: 全業種 vs HIPAA: 医療特化
- SOX: 財務情報 vs HIPAA: 医療情報
SOX (Sarbanes-Oxley Act)
目的: 財務報告の信頼性確保・企業不正防止
適用範囲: 米国上場企業および関連企業
強制/任意: Mandatory(強制) - 米国連邦法
主要特徴:
- Section 302: CEO/CFOの財務報告認証義務
- Section 404: 内部統制の有効性評価・監査義務
- Section 802: 記録保持義務(最低7年間)・証拠隠滅の厳罰化
- IT General Controls (ITGC) の重要性
CISSP試験ポイント:
- 財務報告に影響するITシステムの統制(変更管理・アクセス管理・バックアップ)
- Segregation of Duties(職務分離)の重要性
- ログ保管期間(最低7年)
他との違い:
- GLBA: 金融機関の顧客情報保護 vs SOX: 財務報告の信頼性
- COSO: 内部統制フレームワーク(任意) vs SOX: 内部統制評価義務(強制)
GLBA (Gramm-Leach-Bliley Act)
目的: 金融機関における顧客情報の保護
適用範囲: 米国の金融機関(銀行・証券・保険)
強制/任意: Mandatory(強制) - 米国連邦法
主要特徴:
- 3つのルール:
- Financial Privacy Rule: 個人情報の収集・共有に関する通知義務
- Safeguards Rule: 顧客情報保護のための情報セキュリティプログラム実装義務
- Pretexting Protection: 詐称による情報取得の禁止
- Annual Privacy Notice(年次プライバシー通知)の送付義務
- Opt-Out方式(顧客は情報共有を拒否可能)
CISSP試験ポイント:
- Safeguards Ruleの要件(リスク評価・従業員教育・ベンダー管理)
- 金融機関の定義(貸付・送金・投資助言なども含む広範な定義)
- PCI DSS(カード情報)との違い
他との違い:
- HIPAA: 医療情報 vs GLBA: 金融情報
- SOX: 財務報告 vs GLBA: 顧客プライバシー
4. Technical Standards(技術基準)
Common Criteria (ISO/IEC 15408)
目的: IT製品のセキュリティ評価基準の国際標準化
適用範囲: セキュリティ製品(OS・FW・暗号化製品など)
強制/任意: Voluntary(政府調達では必須の場合あり)
主要特徴:
- 3つのパート:
- Introduction and General Model
- Security Functional Requirements (SFR)
- Security Assurance Requirements (SAR)
- Evaluation Assurance Level (EAL): EAL1〜EAL7
- EAL1: Functionally Tested(機能テスト済み)
- EAL4: Methodically Designed, Tested, and Reviewed(商用製品の標準)
- EAL7: Formally Verified Design and Tested(最高レベル・軍事用途)
- Protection Profile (PP): セキュリティ要件のテンプレート
- Target of Evaluation (TOE): 評価対象製品
CISSP試験ポイント:
- EALレベルの意味(高いほど保証レベルが高い、コストも高い)
- "Assurance" の意味(機能があることではなく、機能が正しく動作することの保証)
- Orange Book (TCSEC) からの移行経緯
他との違い:
- FIPS 140-2/3: 暗号モジュール特化 vs Common Criteria: IT製品全般
- TCSEC (Orange Book): 米国独自 vs Common Criteria: 国際標準
FIPS (Federal Information Processing Standards)
目的: 米国政府機関の情報システムに関する技術標準
適用範囲: 米国連邦政府機関(民間は任意だが事実上の標準)
強制/任意: Mandatory(米国政府) / Voluntary(民間)
主要な規格:
- FIPS 140-2/3: Cryptographic Module Validation(暗号モジュール検証)
- Security Level 1〜4
- Level 1: 基本的な暗号アルゴリズム
- Level 2: 物理的改竄の証拠(Tamper-evident)
- Level 3: 物理的侵入防止(Tamper-resistant)
- Level 4: 環境攻撃への耐性(Tamper-responsive)
- FIPS 199: Security Categorization(影響度分類: Low/Moderate/High)
- FIPS 200: Minimum Security Requirements(最低限のセキュリティ要件)
CISSP試験ポイント:
- FIPS 140-2/3のSecurity Levelの違い
- FIPS 199の3つの影響度(Confidentiality/Integrity/Availabilityごとに評価)
- NIST SP 800シリーズとの関係(FIPSは必須、SP 800は推奨)
他との違い:
- Common Criteria: 製品全体の評価 vs FIPS 140: 暗号モジュールのみ
- ISO/IEC 19790: FIPS 140の国際版
NIST SP 800 Series
目的: 情報セキュリティに関する詳細なガイダンス提供
適用範囲: 米国連邦政府機関(民間も広く参照)
強制/任意: Mandatory(米国政府) / Voluntary(民間)
主要な文書:
- SP 800-53: Security and Privacy Controls(800以上の統制策カタログ)
- Baseline: Low/Moderate/High
- Families: AC (Access Control), AU (Audit), CM (Configuration Management), etc.
- SP 800-37: Risk Management Framework (RMF)
- 7つのステップ: Prepare → Categorize → Select → Implement → Assess → Authorize → Monitor
- SP 800-61: Computer Security Incident Handling
- SP 800-88: Media Sanitization(Clear/Purge/Destroy)
- SP 800-30: Risk Assessment
- SP 800-171: Protecting Controlled Unclassified Information (CUI)
CISSP試験ポイント:
- SP 800-53の統制ファミリー(AC/AU/CM/IAなど)
- RMFの7ステップ(特にCategorize → Select → Implementの流れ)
- Media Sanitizationの3つの方法(Clear < Purge < Destroy)
他との違い:
- ISO 27002: 国際標準 vs SP 800-53: 米国標準(ただし国際的に参照される)
- CIS Controls: 優先順位付き vs SP 800-53: 包括的カタログ
5. Framework Comparison Table
目的別分類
| Framework | Primary Purpose | Target Audience | Certification Available |
|---|---|---|---|
| COBIT | IT Governance | IT Management, Board | No (but audit-based assessment) |
| COSO | Internal Control & ERM | Finance, Audit, Executive | No |
| ITIL | IT Service Management | IT Operations | Yes (ITIL Foundation, etc.) |
| NIST CSF | Cybersecurity Risk Management | Critical Infrastructure, All sectors | No (self-assessment) |
| ISO 27001 | ISMS | All organizations | Yes (third-party audit) |
| ISO 27002 | Security Controls Implementation | Security Practitioners | No (guidance only) |
| CIS Controls | Prioritized Cyber Defense | IT Security Teams | No |
| GDPR | Data Privacy (EU) | Data Controllers/Processors | No (legal compliance) |
| CCPA | Consumer Privacy (California) | Businesses handling CA residents' data | No (legal compliance) |
| HIPAA | Healthcare Privacy | Healthcare Providers, Insurers | No (legal compliance) |
| SOX | Financial Reporting Integrity | Public Companies (US) | No (legal compliance) |
| GLBA | Financial Privacy | Financial Institutions (US) | No (legal compliance) |
| Common Criteria | Product Security Assurance | Product Vendors, Governments | Yes (EAL rating) |
| FIPS | Cryptographic Standards | US Government, Contractors | Yes (for modules) |
| NIST SP 800 | Security Implementation Guidance | US Federal Agencies, Contractors | No (guidance) |
強制/任意の分類
| Category | Mandatory (強制) | Voluntary (任意) |
|---|---|---|
| Governance | - | COBIT, COSO, ITIL |
| Security Frameworks | - | NIST CSF, ISO 27001, CIS Controls |
| Privacy Regulations | GDPR, CCPA, HIPAA, SOX, GLBA | - |
| Technical Standards | FIPS (for US Gov), NIST SP 800 (for US Gov) | Common Criteria |
Note: "Voluntary" でも、業界標準として事実上必須の場合あり(例: ISO 27001認証がないと大手企業と取引不可)
適用範囲マトリックス
| Framework | Organizational | Technical | Compliance | Industry-Specific |
|---|---|---|---|---|
| COBIT | ✓✓✓ | ✓ | ✓ | - |
| COSO | ✓✓✓ | - | ✓✓ | Finance (主) |
| ITIL | ✓✓ | ✓✓ | - | - |
| NIST CSF | ✓✓ | ✓✓ | ✓ | Critical Infrastructure (主) |
| ISO 27001 | ✓✓✓ | ✓✓ | ✓ | - |
| CIS Controls | ✓ | ✓✓✓ | - | - |
| GDPR | ✓✓ | ✓ | ✓✓✓ | - |
| HIPAA | ✓ | ✓✓ | ✓✓✓ | Healthcare |
| SOX | ✓✓ | ✓ | ✓✓✓ | Finance (Public Companies) |
| Common Criteria | - | ✓✓✓ | - | Government Procurement |
| FIPS | - | ✓✓✓ | ✓✓ | Government |
✓✓✓ = Primary Focus / ✓✓ = Significant Coverage / ✓ = Partial Coverage
6. Framework Selection Guide(選定ガイド)
Scenario 1: 新規ISMS構築
状況: ISO 27001認証取得を目指す中規模企業
推奨フレームワーク組み合わせ:
- ISO 27001 (主軸): ISMS要求事項
- ISO 27002 (実装): 具体的統制策の実装方法
- CIS Controls (補助): 技術統制の優先順位付け
- NIST CSF (評価): 成熟度評価に使用
理由: ISO 27001は国際標準で認証取得可能。CIS Controlsで技術面を補強。
Scenario 2: 米国政府機関向けシステム開発
状況: 連邦政府機関のクラウドシステム構築
必須フレームワーク:
- NIST SP 800-53 (統制策カタログ)
- NIST SP 800-37 (RMF - リスク管理プロセス)
- FIPS 140-2/3 (暗号モジュール検証)
- FedRAMP (クラウド特化の認証プログラム)
理由: 米国政府機関向けはFIPS/NIST SP 800シリーズが法的義務。
Scenario 3: 医療機関のセキュリティ強化
状況: 米国の病院チェーンのサイバーセキュリティ向上
推奨フレームワーク組み合わせ:
- HIPAA (法的義務): Security Rule準拠
- NIST CSF (戦略): サイバーセキュリティプログラム全体
- CIS Controls (技術): 具体的な防御策
- HITRUST CSF (業界特化): HIPAA + ISO 27001統合フレームワーク
理由: HIPAA準拠は必須。NIST CSFで全体戦略、CIS Controlsで技術実装。
Scenario 4: EU向けSaaSサービス提供
状況: EU市民向けにクラウドサービスを提供するスタートアップ
必須フレームワーク:
- GDPR (法的義務): データ保護法準拠
- ISO 27001 (信頼性): 第三者認証でセキュリティ証明
- ISO 27018 (クラウド特化): クラウドサービスのプライバシー保護
- NIST CSF (内部管理): セキュリティプログラム運用
理由: GDPR準拠は必須。ISO 27001認証で顧客の信頼獲得。
7. CISSP Exam Tips(試験対策ポイント)
頻出の比較問題
Q: ISO 27001 vs NIST CSF の違いは?
- ISO 27001: 認証取得可能(第三者監査)、PDCA重視、国際標準
- NIST CSF: 自己評価、5つのコア機能(Identify/Protect/Detect/Respond/Recover)、米国推奨
Q: COBIT vs COSO の使い分けは?
- COBIT: IT統制全般(ITガバナンス)
- COSO: 内部統制全般(財務報告中心)
Q: Privacy Rule (HIPAA) vs Security Rule (HIPAA) の違いは?
- Privacy Rule: PHI全般(紙・電子)の使用・開示制限
- Security Rule: ePHI(電子医療情報)のみ、技術的保護措置
Q: EAL4 vs FIPS 140-2 Level 2 の違いは?
- EAL4: IT製品全体の保証レベル(機能・設計・テスト)
- FIPS 140-2 Level 2: 暗号モジュールの物理的保護レベル(Tamper-evident)
ドメイン別の重要フレームワーク
| Domain | Key Frameworks |
|---|---|
| 1. Security and Risk Management | NIST CSF, ISO 27001, COBIT, COSO |
| 2. Asset Security | ISO 27002, NIST SP 800-88 (Media Sanitization) |
| 3. Security Architecture and Engineering | Common Criteria, FIPS 140-2/3, ISO 15408 |
| 4. Communication and Network Security | NIST SP 800-53 (SC family), CIS Controls |
| 5. Identity and Access Management | NIST SP 800-53 (AC/IA family), ISO 27002 |
| 6. Security Assessment and Testing | NIST SP 800-53A (Assessment Procedures) |
| 7. Security Operations | ITIL, NIST SP 800-61 (Incident Response) |
| 8. Software Development Security | NIST SP 800-64 (SDLC), ISO 27034 (App Security) |
記憶すべき数字
| Framework/Regulation | Key Numbers |
|---|---|
| GDPR | 72時間 以内の侵害通知、最大 2,000万ユーロ or 4% の罰金 |
| HIPAA | 500人以上 の侵害は60日以内にHHS・メディアに通知 |
| SOX | 記録保持 7年間 |
| CCPA | 年間総収入 2,500万ドル 以上または 5万世帯 以上の情報 |
| Common Criteria | EAL1〜7 (商用標準はEAL4) |
| FIPS 140-2/3 | Security Level 1〜4 |
| ISO 27001 | 93の統制策 (Annex A)、14カテゴリ |
| NIST SP 800-53 | 800以上 の統制策 |
| CIS Controls | 18のControls (v8.0) |
| NIST CSF | 5つのコア機能 |
よくある誤解
❌ 誤: ISO 27001取得すればGDPR準拠になる ✅ 正: ISO 27001はセキュリティ管理の枠組み、GDPRは法的義務(別途対応必要)
❌ 誤: NIST CSFは米国企業のみが使う ✅ 正: 国際的に広く採用されている(特に重要インフラ)
❌ 誤: EALレベルが高いほど製品がセキュア ✅ 正: EALは「保証レベル」であり「セキュリティレベル」ではない(評価の厳密さを示す)
❌ 誤: HIPAA準拠には暗号化が必須 ✅ 正: HIPAAは「addressable」な統制もあり、リスクベースで代替策も可(但し暗号化が推奨)
❌ 誤: SOXはIT部門のみの責任 ✅ 正: CEO/CFOが認証責任を負う(経営層の責任)
8. Cross-Domain Mapping(クロスリファレンス)
NIST CSF → ISO 27001 マッピング例
| NIST CSF Function | ISO 27001 Annex A Controls |
|---|---|
| Identify | A.5 (Information Security Policies), A.8 (Asset Management) |
| Protect | A.9 (Access Control), A.10 (Cryptography), A.13 (Communications Security) |
| Detect | A.12 (Operations Security), A.16 (Incident Management) |
| Respond | A.16 (Incident Management), A.17 (Business Continuity) |
| Recover | A.17 (Business Continuity), A.18 (Compliance) |
NIST SP 800-53 → CIS Controls マッピング例
| CIS Control | NIST SP 800-53 Families |
|---|---|
| 1. Inventory of Assets | CM-8 (Information System Component Inventory) |
| 2. Software Inventory | CM-8, SA-22 (Unsupported System Components) |
| 3. Data Protection | SC-28 (Protection of Information at Rest), SC-8 (Transmission Confidentiality) |
| 4. Secure Configuration | CM-6 (Configuration Settings), CM-7 (Least Functionality) |
| 5. Account Management | AC-2 (Account Management), IA-4 (Identifier Management) |
Summary(まとめ)
フレームワーク選定の3つの軸
Mandatory vs Voluntary:
- 法的義務(GDPR/HIPAA/SOX)は優先度最高
- 任意だが業界標準(ISO 27001)も事実上必須の場合あり
Strategic vs Tactical:
- 戦略レベル: COBIT, NIST CSF, ISO 27001
- 戦術レベル: CIS Controls, NIST SP 800-53
General vs Industry-Specific:
- 汎用: ISO 27001, NIST CSF
- 業界特化: HIPAA (医療), SOX (財務), GLBA (金融)
CISSP試験での出題パターン
- 定義・目的の問題: "What is the primary purpose of COBIT?"
- 比較問題: "What is the difference between ISO 27001 and ISO 27002?"
- 適用範囲の問題: "Which regulation applies to California residents' data?"
- 技術レベルの問題: "What does EAL4 certification indicate?"
- プロセスの問題: "What are the steps in NIST RMF?"
対策: 各フレームワークの「目的」「適用範囲」「他との違い」を3行で説明できるようにする
References(参考文献)
- COBIT 2019 Framework (ISACA)
- COSO Internal Control - Integrated Framework
- ITIL 4 Foundation (Axelos)
- NIST Cybersecurity Framework v1.1
- ISO/IEC 27001:2022 & 27002:2022
- CIS Controls v8.0
- GDPR Official Text (EUR-Lex)
- HIPAA Security Rule (45 CFR Part 164 Subpart C)
- Sarbanes-Oxley Act of 2002
- Common Criteria v3.1 (ISO/IEC 15408)
- FIPS 140-3 (NIST)
- NIST Special Publications 800 series
Last updated: 2026-02-18