Skip to content

Security Frameworks & Standards Reference

Quick Overview

Governance層(経営戦略)
├─ COBIT (IT統制全般)
├─ COSO (内部統制・リスク管理)
└─ ITIL (ITサービス管理)

Security Frameworks層(実装指針)
├─ NIST CSF (包括的セキュリティフレームワーク)
├─ ISO 27001/27002 (情報セキュリティマネジメント)
└─ CIS Controls (具体的な技術統制)

Compliance層(法規制)
├─ GDPR (EU個人情報保護)
├─ CCPA (カリフォルニア州プライバシー法)
├─ HIPAA (医療情報保護)
├─ SOX (財務報告統制)
└─ GLBA (金融情報保護)

Technical Standards層(技術基準)
├─ Common Criteria (製品評価基準)
├─ FIPS (暗号化基準)
└─ NIST SP 800 series (技術ガイダンス)

0. Domain 1 シグナル別クイックマップ

問題文のキーワードから、最初に当てる参照先を固定するための早見表。

問題シグナルまず見る参照先初動
法令・規制・コンプライアンスGDPR / HIPAA / SOX / CCPA適用法域・義務・期限を確定
取締役会・経営層・統治COBIT / COSO責任主体・監督構造・報告ラインを明確化
契約・SLA・委託ITIL / COBIT / ISO 27001(サプライヤ管理)契約条項確認、責任分界、エスカレーション
監査・証跡・内部統制ISO 27001 / COSO / SOX証跡要件と統制の運用可能性を確認
技術統制の優先順位付けNIST CSF / CIS Controlsリスクベースで段階的に統制適用

補足:

  • Domain 1 では「技術そのもの」より先に、法令・ガバナンス・責任分界を確定する。
  • 詳細な解き方は /cissp/engine/domain-1 を併用する。

1. Governance Frameworks(ガバナンスフレームワーク)

目的: IT governance and management framework - ITと事業目標の整合性確保

適用範囲: IT全般統制(組織全体のITガバナンス)

強制/任意: Voluntary(任意)

主要特徴:

  • ISACA(情報システムコントロール協会)が策定
  • 5つの原則: Stakeholder Needs, End-to-End Coverage, Single Framework, Holistic Approach, Governance/Management分離
  • 4つのドメイン:
    • Plan and Organize (計画と組織)
    • Acquire and Implement (取得と実装)
    • Deliver and Support (提供とサポート)
    • Monitor and Evaluate (監視と評価)

CISSP試験ポイント:

  • IT統制の成熟度評価モデル(Capability Maturity Model)
  • 「何を統制すべきか」ではなく「どう統制プロセスを回すか」に焦点
  • Domain 1 (Security and Risk Management) で頻出

他との違い:

  • COSO: 財務・会計統制に特化 vs COBIT: IT統制全般
  • ITIL: 運用プロセスに特化 vs COBIT: ガバナンス全体

COSO (Committee of Sponsoring Organizations)

目的: Internal control and risk management framework - 内部統制・リスク管理の基準

適用範囲: 組織全体の内部統制(財務報告の信頼性確保が主目的)

強制/任意: Voluntary(但しSOX法準拠では事実上必須)

主要特徴:

  • COSO Cube(3次元モデル):
    • 5つのコンポーネント: Control Environment, Risk Assessment, Control Activities, Information & Communication, Monitoring
    • 3つの目的: Operations, Reporting, Compliance
    • 4つのレベル: Entity-level, Division, Business Unit, Function
  • COSO ERM (Enterprise Risk Management) フレームワーク

CISSP試験ポイント:

  • 内部統制の3つの目的(Operations/Reporting/Compliance)
  • SOX法との関連性
  • 経営層の責任範囲(Control Environment)

他との違い:

  • COBIT: IT特化 vs COSO: 組織全体(財務中心)
  • NIST CSF: サイバーセキュリティ特化 vs COSO: 内部統制全般

ITIL (Information Technology Infrastructure Library)

目的: IT service management best practices - ITサービス提供の効率化・標準化

適用範囲: IT運用・サービスデリバリープロセス

強制/任意: Voluntary(任意)

主要特徴:

  • 英国政府が策定(現在はAxelos管理)
  • ITIL 4の4つの次元:
    • Organizations and People
    • Information and Technology
    • Partners and Suppliers
    • Value Streams and Processes
  • Service Value System (SVS) 概念

CISSP試験ポイント:

  • Change Management(変更管理プロセス)
  • Incident vs Problem Management の違い
  • Configuration Management Database (CMDB)
  • Service Level Agreement (SLA) の管理

他との違い:

  • COBIT: 「何をすべきか」 vs ITIL: 「どう運用するか」
  • ISO 20000: ITILのベストプラクティスを規格化したもの

2. Security Frameworks(セキュリティフレームワーク)

NIST Cybersecurity Framework (CSF)

目的: Risk-based approach to cybersecurity - 重要インフラのサイバーセキュリティ向上

適用範囲: 全業種(特に重要インフラ事業者向け)

強制/任意: Voluntary(米国大統領令で推奨)

主要特徴:

  • 5つのコア機能:
    1. Identify (資産・リスク特定)
    2. Protect (保護策実装)
    3. Detect (検知)
    4. Respond (対応)
    5. Recover (復旧)
  • Implementation Tiers (4段階の成熟度)
  • Framework Profiles(現状/目標プロファイル)

CISSP試験ポイント:

  • 5つのコア機能の順序と内容
  • "Risk-based approach" の意味(全てを守るのではなく優先順位付け)
  • 他フレームワークとのマッピング可能性

他との違い:

  • ISO 27001: 認証取得可能 vs NIST CSF: 自己評価のみ
  • CIS Controls: 具体的技術統制 vs NIST CSF: 高レベル戦略

ISO/IEC 27001 & 27002

目的: Information Security Management System (ISMS) - 情報セキュリティの継続的改善

適用範囲: 組織全体の情報セキュリティ管理

強制/任意: Voluntary(但し認証取得により第三者証明が可能)

主要特徴:

  • ISO 27001: ISMS要求事項(認証対象)
    • Plan-Do-Check-Act (PDCA) サイクル
    • Annex A: 93の統制策(27002の要約版)
  • ISO 27002: 具体的な統制策の実装ガイダンス(認証対象外)
  • 4つのテーマ: Organizational, People, Physical, Technological

CISSP試験ポイント:

  • PDCAサイクルの各フェーズの内容
  • 27001(要求事項)と27002(実装ガイド)の違い
  • Annex Aの14カテゴリ(組織的/人的/物理的/技術的統制)

他との違い:

  • NIST CSF: 米国中心 vs ISO 27001: 国際標準
  • ISO 27001: 認証取得可能 vs NIST CSF: 自己評価
  • CIS Controls: "What to do" vs ISO 27002: "How to do"

CIS Controls (Center for Internet Security)

目的: Prioritized cybersecurity actions - 攻撃者の戦術に基づく防御策の優先順位付け

適用範囲: 技術統制(ネットワーク・システム・アプリケーション)

強制/任意: Voluntary(任意)

主要特徴:

  • 18のControls(v8.0):
    • Implementation Group 1 (IG1): 基本的なサイバーハイジーン(小規模組織向け)
    • Implementation Group 2 (IG2): 中規模組織向け
    • Implementation Group 3 (IG3): 高度な脅威対策(大規模組織向け)
  • 攻撃チェーンの各段階に対応
  • 具体的で測定可能な統制策

CISSP試験ポイント:

  • "Prioritized" の意味(全てを一度に実装するのではなく段階的に)
  • Implementation Groupの違い(組織規模とリスクに応じた選択)
  • 上位5つのControls(資産管理・脆弱性管理・データ保護など)

他との違い:

  • NIST CSF: 戦略レベル vs CIS Controls: 戦術レベル
  • ISO 27002: 包括的 vs CIS Controls: 効果の高い統制に絞り込み

3. Privacy Regulations(プライバシー規制)

GDPR (General Data Protection Regulation)

目的: EU域内の個人データ保護・プライバシー権の強化

適用範囲: EU域内の個人データを扱う全ての組織(EU域外も対象)

強制/任意: Mandatory(強制) - 違反時は最大2,000万ユーロまたは全世界売上の4%の罰金

主要特徴:

  • 7つの原則: Lawfulness, Fairness, Transparency, Purpose Limitation, Data Minimization, Accuracy, Storage Limitation, Integrity & Confidentiality, Accountability
  • データ主体の権利:
    • Right to Access(アクセス権)
    • Right to Rectification(訂正権)
    • Right to Erasure(削除権/"忘れられる権利")
    • Right to Data Portability(データポータビリティ権)
  • 72時間以内の侵害通知義務
  • Data Protection Officer (DPO) の任命義務(条件あり)

CISSP試験ポイント:

  • 域外適用(Extraterritorial Scope)の概念
  • Consent(同意)の要件(明示的・具体的・撤回可能)
  • Privacy by Design & Privacy by Default
  • Data Controller vs Data Processor の責任範囲

他との違い:

  • CCPA: オプトアウト vs GDPR: オプトイン
  • HIPAA: 医療特化 vs GDPR: 全業種

CCPA (California Consumer Privacy Act)

目的: カリフォルニア州住民の個人情報に関する権利保護

適用範囲: カリフォルニア州住民の個人情報を扱う一定規模以上の事業者

強制/任意: Mandatory(強制) - カリフォルニア州法

主要特徴:

  • 適用条件(いずれか満たせば対象):
    • 年間総収入2,500万ドル以上
    • 5万世帯以上の個人情報を扱う
    • 個人情報販売による収入が50%以上
  • 消費者の権利:
    • Right to Know(情報開示請求権)
    • Right to Delete(削除請求権)
    • Right to Opt-Out(販売拒否権)
    • Right to Non-Discrimination(差別禁止)

CISSP試験ポイント:

  • Opt-Out方式(GDPRはOpt-In)
  • "Sale" の定義(金銭授受なしでも該当する場合あり)
  • "Do Not Sell My Personal Information" リンクの設置義務

他との違い:

  • GDPR: 事前同意必須 vs CCPA: 事後拒否可能
  • GDPR: 全世界適用 vs CCPA: カリフォルニア州のみ

HIPAA (Health Insurance Portability and Accountability Act)

目的: 医療情報の保護とプライバシー確保

適用範囲: 米国の医療機関・保険会社・医療情報処理業者

強制/任意: Mandatory(強制) - 米国連邦法

主要特徴:

  • 3つの主要ルール:
    1. Privacy Rule: PHI(Protected Health Information)の使用・開示制限
    2. Security Rule: ePHI(電子医療情報)の保護(Administrative/Physical/Technical safeguards)
    3. Breach Notification Rule: 侵害通知義務(500人以上は60日以内にHHS・メディアに通知)
  • 18の識別子(除去すればPHIでなくなる)
  • Business Associate Agreement (BAA) の締結義務

CISSP試験ポイント:

  • PHI vs ePHI の違い
  • Minimum Necessary Rule(必要最小限の原則)
  • Administrative/Physical/Technical safeguards の分類
  • Covered Entity vs Business Associate の責任

他との違い:

  • GDPR: 全業種 vs HIPAA: 医療特化
  • SOX: 財務情報 vs HIPAA: 医療情報

SOX (Sarbanes-Oxley Act)

目的: 財務報告の信頼性確保・企業不正防止

適用範囲: 米国上場企業および関連企業

強制/任意: Mandatory(強制) - 米国連邦法

主要特徴:

  • Section 302: CEO/CFOの財務報告認証義務
  • Section 404: 内部統制の有効性評価・監査義務
  • Section 802: 記録保持義務(最低7年間)・証拠隠滅の厳罰化
  • IT General Controls (ITGC) の重要性

CISSP試験ポイント:

  • 財務報告に影響するITシステムの統制(変更管理・アクセス管理・バックアップ)
  • Segregation of Duties(職務分離)の重要性
  • ログ保管期間(最低7年)

他との違い:

  • GLBA: 金融機関の顧客情報保護 vs SOX: 財務報告の信頼性
  • COSO: 内部統制フレームワーク(任意) vs SOX: 内部統制評価義務(強制)

GLBA (Gramm-Leach-Bliley Act)

目的: 金融機関における顧客情報の保護

適用範囲: 米国の金融機関(銀行・証券・保険)

強制/任意: Mandatory(強制) - 米国連邦法

主要特徴:

  • 3つのルール:
    1. Financial Privacy Rule: 個人情報の収集・共有に関する通知義務
    2. Safeguards Rule: 顧客情報保護のための情報セキュリティプログラム実装義務
    3. Pretexting Protection: 詐称による情報取得の禁止
  • Annual Privacy Notice(年次プライバシー通知)の送付義務
  • Opt-Out方式(顧客は情報共有を拒否可能)

CISSP試験ポイント:

  • Safeguards Ruleの要件(リスク評価・従業員教育・ベンダー管理)
  • 金融機関の定義(貸付・送金・投資助言なども含む広範な定義)
  • PCI DSS(カード情報)との違い

他との違い:

  • HIPAA: 医療情報 vs GLBA: 金融情報
  • SOX: 財務報告 vs GLBA: 顧客プライバシー

4. Technical Standards(技術基準)

Common Criteria (ISO/IEC 15408)

目的: IT製品のセキュリティ評価基準の国際標準化

適用範囲: セキュリティ製品(OS・FW・暗号化製品など)

強制/任意: Voluntary(政府調達では必須の場合あり)

主要特徴:

  • 3つのパート:
    1. Introduction and General Model
    2. Security Functional Requirements (SFR)
    3. Security Assurance Requirements (SAR)
  • Evaluation Assurance Level (EAL): EAL1〜EAL7
    • EAL1: Functionally Tested(機能テスト済み)
    • EAL4: Methodically Designed, Tested, and Reviewed(商用製品の標準)
    • EAL7: Formally Verified Design and Tested(最高レベル・軍事用途)
  • Protection Profile (PP): セキュリティ要件のテンプレート
  • Target of Evaluation (TOE): 評価対象製品

CISSP試験ポイント:

  • EALレベルの意味(高いほど保証レベルが高い、コストも高い)
  • "Assurance" の意味(機能があることではなく、機能が正しく動作することの保証)
  • Orange Book (TCSEC) からの移行経緯

他との違い:

  • FIPS 140-2/3: 暗号モジュール特化 vs Common Criteria: IT製品全般
  • TCSEC (Orange Book): 米国独自 vs Common Criteria: 国際標準

FIPS (Federal Information Processing Standards)

目的: 米国政府機関の情報システムに関する技術標準

適用範囲: 米国連邦政府機関(民間は任意だが事実上の標準)

強制/任意: Mandatory(米国政府) / Voluntary(民間)

主要な規格:

  • FIPS 140-2/3: Cryptographic Module Validation(暗号モジュール検証)
    • Security Level 1〜4
    • Level 1: 基本的な暗号アルゴリズム
    • Level 2: 物理的改竄の証拠(Tamper-evident)
    • Level 3: 物理的侵入防止(Tamper-resistant)
    • Level 4: 環境攻撃への耐性(Tamper-responsive)
  • FIPS 199: Security Categorization(影響度分類: Low/Moderate/High)
  • FIPS 200: Minimum Security Requirements(最低限のセキュリティ要件)

CISSP試験ポイント:

  • FIPS 140-2/3のSecurity Levelの違い
  • FIPS 199の3つの影響度(Confidentiality/Integrity/Availabilityごとに評価)
  • NIST SP 800シリーズとの関係(FIPSは必須、SP 800は推奨)

他との違い:

  • Common Criteria: 製品全体の評価 vs FIPS 140: 暗号モジュールのみ
  • ISO/IEC 19790: FIPS 140の国際版

NIST SP 800 Series

目的: 情報セキュリティに関する詳細なガイダンス提供

適用範囲: 米国連邦政府機関(民間も広く参照)

強制/任意: Mandatory(米国政府) / Voluntary(民間)

主要な文書:

  • SP 800-53: Security and Privacy Controls(800以上の統制策カタログ)
    • Baseline: Low/Moderate/High
    • Families: AC (Access Control), AU (Audit), CM (Configuration Management), etc.
  • SP 800-37: Risk Management Framework (RMF)
    • 7つのステップ: Prepare → Categorize → Select → Implement → Assess → Authorize → Monitor
  • SP 800-61: Computer Security Incident Handling
  • SP 800-88: Media Sanitization(Clear/Purge/Destroy)
  • SP 800-30: Risk Assessment
  • SP 800-171: Protecting Controlled Unclassified Information (CUI)

CISSP試験ポイント:

  • SP 800-53の統制ファミリー(AC/AU/CM/IAなど)
  • RMFの7ステップ(特にCategorize → Select → Implementの流れ)
  • Media Sanitizationの3つの方法(Clear < Purge < Destroy)

他との違い:

  • ISO 27002: 国際標準 vs SP 800-53: 米国標準(ただし国際的に参照される)
  • CIS Controls: 優先順位付き vs SP 800-53: 包括的カタログ

5. Framework Comparison Table

目的別分類

FrameworkPrimary PurposeTarget AudienceCertification Available
COBITIT GovernanceIT Management, BoardNo (but audit-based assessment)
COSOInternal Control & ERMFinance, Audit, ExecutiveNo
ITILIT Service ManagementIT OperationsYes (ITIL Foundation, etc.)
NIST CSFCybersecurity Risk ManagementCritical Infrastructure, All sectorsNo (self-assessment)
ISO 27001ISMSAll organizationsYes (third-party audit)
ISO 27002Security Controls ImplementationSecurity PractitionersNo (guidance only)
CIS ControlsPrioritized Cyber DefenseIT Security TeamsNo
GDPRData Privacy (EU)Data Controllers/ProcessorsNo (legal compliance)
CCPAConsumer Privacy (California)Businesses handling CA residents' dataNo (legal compliance)
HIPAAHealthcare PrivacyHealthcare Providers, InsurersNo (legal compliance)
SOXFinancial Reporting IntegrityPublic Companies (US)No (legal compliance)
GLBAFinancial PrivacyFinancial Institutions (US)No (legal compliance)
Common CriteriaProduct Security AssuranceProduct Vendors, GovernmentsYes (EAL rating)
FIPSCryptographic StandardsUS Government, ContractorsYes (for modules)
NIST SP 800Security Implementation GuidanceUS Federal Agencies, ContractorsNo (guidance)

強制/任意の分類

CategoryMandatory (強制)Voluntary (任意)
Governance-COBIT, COSO, ITIL
Security Frameworks-NIST CSF, ISO 27001, CIS Controls
Privacy RegulationsGDPR, CCPA, HIPAA, SOX, GLBA-
Technical StandardsFIPS (for US Gov), NIST SP 800 (for US Gov)Common Criteria

Note: "Voluntary" でも、業界標準として事実上必須の場合あり(例: ISO 27001認証がないと大手企業と取引不可)


適用範囲マトリックス

FrameworkOrganizationalTechnicalComplianceIndustry-Specific
COBIT✓✓✓-
COSO✓✓✓-✓✓Finance (主)
ITIL✓✓✓✓--
NIST CSF✓✓✓✓Critical Infrastructure (主)
ISO 27001✓✓✓✓✓-
CIS Controls✓✓✓--
GDPR✓✓✓✓✓-
HIPAA✓✓✓✓✓Healthcare
SOX✓✓✓✓✓Finance (Public Companies)
Common Criteria-✓✓✓-Government Procurement
FIPS-✓✓✓✓✓Government

✓✓✓ = Primary Focus / ✓✓ = Significant Coverage / ✓ = Partial Coverage


6. Framework Selection Guide(選定ガイド)

Scenario 1: 新規ISMS構築

状況: ISO 27001認証取得を目指す中規模企業

推奨フレームワーク組み合わせ:

  1. ISO 27001 (主軸): ISMS要求事項
  2. ISO 27002 (実装): 具体的統制策の実装方法
  3. CIS Controls (補助): 技術統制の優先順位付け
  4. NIST CSF (評価): 成熟度評価に使用

理由: ISO 27001は国際標準で認証取得可能。CIS Controlsで技術面を補強。


Scenario 2: 米国政府機関向けシステム開発

状況: 連邦政府機関のクラウドシステム構築

必須フレームワーク:

  1. NIST SP 800-53 (統制策カタログ)
  2. NIST SP 800-37 (RMF - リスク管理プロセス)
  3. FIPS 140-2/3 (暗号モジュール検証)
  4. FedRAMP (クラウド特化の認証プログラム)

理由: 米国政府機関向けはFIPS/NIST SP 800シリーズが法的義務。


Scenario 3: 医療機関のセキュリティ強化

状況: 米国の病院チェーンのサイバーセキュリティ向上

推奨フレームワーク組み合わせ:

  1. HIPAA (法的義務): Security Rule準拠
  2. NIST CSF (戦略): サイバーセキュリティプログラム全体
  3. CIS Controls (技術): 具体的な防御策
  4. HITRUST CSF (業界特化): HIPAA + ISO 27001統合フレームワーク

理由: HIPAA準拠は必須。NIST CSFで全体戦略、CIS Controlsで技術実装。


Scenario 4: EU向けSaaSサービス提供

状況: EU市民向けにクラウドサービスを提供するスタートアップ

必須フレームワーク:

  1. GDPR (法的義務): データ保護法準拠
  2. ISO 27001 (信頼性): 第三者認証でセキュリティ証明
  3. ISO 27018 (クラウド特化): クラウドサービスのプライバシー保護
  4. NIST CSF (内部管理): セキュリティプログラム運用

理由: GDPR準拠は必須。ISO 27001認証で顧客の信頼獲得。


7. CISSP Exam Tips(試験対策ポイント)

頻出の比較問題

Q: ISO 27001 vs NIST CSF の違いは?

  • ISO 27001: 認証取得可能(第三者監査)、PDCA重視、国際標準
  • NIST CSF: 自己評価、5つのコア機能(Identify/Protect/Detect/Respond/Recover)、米国推奨

Q: COBIT vs COSO の使い分けは?

  • COBIT: IT統制全般(ITガバナンス)
  • COSO: 内部統制全般(財務報告中心)

Q: Privacy Rule (HIPAA) vs Security Rule (HIPAA) の違いは?

  • Privacy Rule: PHI全般(紙・電子)の使用・開示制限
  • Security Rule: ePHI(電子医療情報)のみ、技術的保護措置

Q: EAL4 vs FIPS 140-2 Level 2 の違いは?

  • EAL4: IT製品全体の保証レベル(機能・設計・テスト)
  • FIPS 140-2 Level 2: 暗号モジュールの物理的保護レベル(Tamper-evident)

ドメイン別の重要フレームワーク

DomainKey Frameworks
1. Security and Risk ManagementNIST CSF, ISO 27001, COBIT, COSO
2. Asset SecurityISO 27002, NIST SP 800-88 (Media Sanitization)
3. Security Architecture and EngineeringCommon Criteria, FIPS 140-2/3, ISO 15408
4. Communication and Network SecurityNIST SP 800-53 (SC family), CIS Controls
5. Identity and Access ManagementNIST SP 800-53 (AC/IA family), ISO 27002
6. Security Assessment and TestingNIST SP 800-53A (Assessment Procedures)
7. Security OperationsITIL, NIST SP 800-61 (Incident Response)
8. Software Development SecurityNIST SP 800-64 (SDLC), ISO 27034 (App Security)

記憶すべき数字

Framework/RegulationKey Numbers
GDPR72時間 以内の侵害通知、最大 2,000万ユーロ or 4% の罰金
HIPAA500人以上 の侵害は60日以内にHHS・メディアに通知
SOX記録保持 7年間
CCPA年間総収入 2,500万ドル 以上または 5万世帯 以上の情報
Common CriteriaEAL1〜7 (商用標準はEAL4)
FIPS 140-2/3Security Level 1〜4
ISO 2700193の統制策 (Annex A)、14カテゴリ
NIST SP 800-53800以上 の統制策
CIS Controls18のControls (v8.0)
NIST CSF5つのコア機能

よくある誤解

: ISO 27001取得すればGDPR準拠になる ✅ : ISO 27001はセキュリティ管理の枠組み、GDPRは法的義務(別途対応必要)

: NIST CSFは米国企業のみが使う ✅ : 国際的に広く採用されている(特に重要インフラ)

: EALレベルが高いほど製品がセキュア ✅ : EALは「保証レベル」であり「セキュリティレベル」ではない(評価の厳密さを示す)

: HIPAA準拠には暗号化が必須 ✅ : HIPAAは「addressable」な統制もあり、リスクベースで代替策も可(但し暗号化が推奨)

: SOXはIT部門のみの責任 ✅ : CEO/CFOが認証責任を負う(経営層の責任)


8. Cross-Domain Mapping(クロスリファレンス)

NIST CSF → ISO 27001 マッピング例

NIST CSF FunctionISO 27001 Annex A Controls
IdentifyA.5 (Information Security Policies), A.8 (Asset Management)
ProtectA.9 (Access Control), A.10 (Cryptography), A.13 (Communications Security)
DetectA.12 (Operations Security), A.16 (Incident Management)
RespondA.16 (Incident Management), A.17 (Business Continuity)
RecoverA.17 (Business Continuity), A.18 (Compliance)

NIST SP 800-53 → CIS Controls マッピング例

CIS ControlNIST SP 800-53 Families
1. Inventory of AssetsCM-8 (Information System Component Inventory)
2. Software InventoryCM-8, SA-22 (Unsupported System Components)
3. Data ProtectionSC-28 (Protection of Information at Rest), SC-8 (Transmission Confidentiality)
4. Secure ConfigurationCM-6 (Configuration Settings), CM-7 (Least Functionality)
5. Account ManagementAC-2 (Account Management), IA-4 (Identifier Management)

Summary(まとめ)

フレームワーク選定の3つの軸

  1. Mandatory vs Voluntary:

    • 法的義務(GDPR/HIPAA/SOX)は優先度最高
    • 任意だが業界標準(ISO 27001)も事実上必須の場合あり
  2. Strategic vs Tactical:

    • 戦略レベル: COBIT, NIST CSF, ISO 27001
    • 戦術レベル: CIS Controls, NIST SP 800-53
  3. General vs Industry-Specific:

    • 汎用: ISO 27001, NIST CSF
    • 業界特化: HIPAA (医療), SOX (財務), GLBA (金融)

CISSP試験での出題パターン

  1. 定義・目的の問題: "What is the primary purpose of COBIT?"
  2. 比較問題: "What is the difference between ISO 27001 and ISO 27002?"
  3. 適用範囲の問題: "Which regulation applies to California residents' data?"
  4. 技術レベルの問題: "What does EAL4 certification indicate?"
  5. プロセスの問題: "What are the steps in NIST RMF?"

対策: 各フレームワークの「目的」「適用範囲」「他との違い」を3行で説明できるようにする


References(参考文献)

  • COBIT 2019 Framework (ISACA)
  • COSO Internal Control - Integrated Framework
  • ITIL 4 Foundation (Axelos)
  • NIST Cybersecurity Framework v1.1
  • ISO/IEC 27001:2022 & 27002:2022
  • CIS Controls v8.0
  • GDPR Official Text (EUR-Lex)
  • HIPAA Security Rule (45 CFR Part 164 Subpart C)
  • Sarbanes-Oxley Act of 2002
  • Common Criteria v3.1 (ISO/IEC 15408)
  • FIPS 140-3 (NIST)
  • NIST Special Publications 800 series

Last updated: 2026-02-18