Appearance
CISSP Glossary | 用語集
CISSP試験特有の用語、特に日本の技術企業では馴染みの薄いガバナンス/マネジメント用語を中心に整理。
Domain 1 追加キーワード(2026-02-28)
Defensibility(正当化可能性) | 正当化可能性 | 後から監査や経営レビューで「なぜその判断をしたか」を説明できる性質。 CISSP文脈: 速い対応より、説明可能で再現可能な対応を優先する。
Escalation(エスカレーション) | 上位報告・判断移譲 | 権限外・高リスク事項を上位責任者へ正式に引き上げること。 CISSP文脈: first 問題で、独断実装より先に求められることが多い。
Compensating Control(代替統制) | 代替統制 | 本来の統制を直ちに導入できない場合に、同等のリスク低減を狙う代替策。 CISSP文脈: 制約(コスト・技術・運用)下で、未対応の放置を避ける中間解として有効。
Risk Treatment(リスク対応) | リスク対応 | リスクを回避(Avoid)・低減(Mitigate)・移転(Transfer)・受容(Accept)する判断。 CISSP文脈: 「リスクをゼロにする」は不正解。経営判断として処理方針を選ぶ。
A
Accountability(説明責任) | 説明責任 | 結果に対する「責任を問われる立場」。Responsibilityとセット。例:CISOはセキュリティプログラムの結果に対してAccountableだが、実際の実行(Responsible)は各部門が担う。 CISSP文脈: 委譲できない。最終的な責任者は一人。RACI図で「A」。
Administration(アドミニストレーション) | 実務管理 | 日常的なオペレーション業務。Governanceが方向性、Managementが実行計画、Administrationが日常作業。 使用例: Password reset, backup operations などの routine tasks。
Asset(資産) | 資産 | 組織が保護すべき価値を持つもの。データ、システム、人、評判など無形も含む。 CISSP文脈: Threat(脅威)が Vulnerability(脆弱性)を突いて Asset を侵害することで Risk(リスク)が発生する。
Assurance(保証) | 保証 | セキュリティ対策が意図通り機能している「確信度」。監査、テスト、レビューで担保。 よくある間違い: 「完全な安全」ではなく「合理的な信頼性」。
C
Comprehensive(包括的) | 包括的 | すべての側面を網羅すること。CISSPでは「部分的な対策」より「全体を見たアプローチ」が正解になりやすい。 使用例: "A comprehensive security program addresses people, process, and technology."
Corrective Control(是正的統制) | 是正的 | インシデント後に「修正・復旧」する統制。例:パッチ適用、バックアップリストア。 対比: Preventive(予防)→ Detective(検知)→ Corrective(是正)の順で対応。
Custodian(管理者) | 保管者 | データ/資産の「日常的な管理・保護」を担当する役割。ITチーム、DBAdminなど。 対比: Owner(所有者)が「何を」「どう」守るかを決め、Custodianが実行する。Userは使うだけ。 よくある間違い: Custodianに決定権はない。Ownerの指示に従う。
D
Detective Control(検知的統制) | 検知的 | インシデント発生を「検知」する統制。例:IDS、ログ監視、監査。 CISSP文脈: Preventive失敗後のセーフティネット。必ず必要。
Deterrent Control(抑止的統制) | 抑止的 | 攻撃者を「思いとどまらせる」統制。例:警告表示、監視カメラ(心理的効果)。 よくある間違い: 技術的に防げないが、心理的に攻撃を減らす。
Due Care(適正注意義務) | 適正注意 | 「合理的な人が取るべき注意・対応」を実行すること。例:パッチ適用、監視実施。 対比: Due Diligenceで「何をすべきか」を調べ、Due Careで「実際に実行」する。 法的重要性: Due Careを怠ると negligence(過失)で訴訟リスク。
Due Diligence(適正評価義務) | 適正評価 | 「何をすべきか」を調査・評価すること。例:リスクアセスメント、ベンダー評価。 対比: Due Diligence = 調査・計画、Due Care = 実行・運用。 使用例: M&A前のセキュリティ監査はDue Diligenceの典型例。
G
Governance(ガバナンス) | 統治 | 「方向性・方針・監督」を行う経営層の活動。"What should be done"を決める。 対比表:
- Governance: 取締役会レベル。戦略・方針・監視。
- Management: 経営層〜中間管理職。方針の実行・リソース配分。
- Administration: 現場オペレーション。日常的な実務。 CISSP文脈: Security Governanceは経営責任。外部委託不可。
I
Inherent Risk(固有リスク) | 固有 | 対策を「実施前」の元々のリスク。 対比: Residual Risk(残留リスク)= 対策実施「後」に残るリスク。 計算: Inherent Risk - Control Effectiveness = Residual Risk
IT / OT / CPS 関連
IT(Information Technology / 情報技術) | 情報技術 | データの処理・保存・伝送を扱うシステム。一般的なサーバー、PC、クラウド等。 CISSP文脈: 機密性(Confidentiality)が最優先になりやすい。CIA の順で考える。 優先順位: Confidentiality > Integrity > Availability
OT(Operational Technology / 運用技術) | 運用技術 | 物理的なプロセスや装置を監視・制御するシステム。工場、発電所、水道等のインフラ。 CISSP文脈: 可用性(Availability)と安全性(Safety)が最優先。ITとは優先順位が逆転する。 優先順位: Safety > Availability > Integrity > Confidentiality よくある間違い: IT脳で機密性優先と考えてしまう。OTでは「止まらないこと」「人が死なないこと」が最優先。
CPS(Cyber-Physical System / サイバーフィジカルシステム) | サイバーフィジカルシステム | サイバー空間と物理空間が密に連携するシステム。IoT機器、自動運転車、医療機器、スマートグリッド等。 CISSP文脈: 障害が物理的被害(人命・環境)に直結する。設計時の最優先事項は回復力(Resiliency)。 試験ポイント: CPS設計で「最初の考慮事項」を問われたら → リスク評価ではなく回復力(Resiliency)。攻撃・障害は「起きる前提(Assume Breach)」で設計する。
ICS(Industrial Control System / 産業制御システム) | 産業制御システム | 製造業や公共インフラで使われる制御システムの総称。DCS、PLC、SCADAなどを含む上位概念。 CISSP文脈: OTの代表例。レガシーシステムが多く、パッチ適用が困難な場合が多い。 よくある間違い: ITと同じセキュリティ対策が適用できると考えてしまう。可用性優先のため「パッチ当てて再起動」が簡単にできない。
SCADA(Supervisory Control and Data Acquisition / 監視制御・データ収集) | 監視制御・データ収集 | 広範囲に分散した機器をリモートで監視・制御するシステム。電力網、ガスパイプライン、鉄道等。 CISSP文脈: ICSの一種。地理的に分散しているためネットワーク攻撃面が広い。 使用例: 発電所の遠隔監視、上下水道の圧力制御。
Resiliency(回復力 / レジリエンス) | 回復力・強靭性 | 障害や攻撃を受けても安全な状態を維持し、機能を回復する能力。 CISSP文脈: CPS/OT/ICS設計の最優先事項。「壊れても安全」「攻撃されても止まらない」設計思想。 対比: Availability(可用性)は「使えること」、Resiliencyは「壊れても持ちこたえること」。Resiliencyの方が広い概念。
IT vs OT 優先順位比較表
| 観点 | IT系 | OT/CPS/ICS系 |
|---|---|---|
| 最優先 | 機密性(Confidentiality) | 安全性(Safety) |
| 次点 | 完全性(Integrity) | 可用性(Availability) |
| 3番目 | 可用性(Availability) | 完全性(Integrity) |
| 最下位 | - | 機密性(Confidentiality) |
| パッチ適用 | 定期的に実施 | 慎重に計画(停止リスク) |
| 設計思想 | リスク評価から入る | 回復力(Resiliency)から入る |
| 障害の影響 | データ損失・業務停止 | 人命・環境・物理的被害 |
試験での見分け方
問題文に以下が出たら → OT/CPS脳に切り替え:
- 「サイバーフィジカル」「CPS」
- 「産業制御」「ICS」「SCADA」
- 「製造」「発電」「インフラ」
- 「Safety」「安全性」「人命」
- 「OT環境」
→ 通常のIT思考(機密性優先)を捨てる
→ Safety > Availability > Integrity > Confidentiality
→ 設計の出発点は「回復力(Resiliency)」M
Management(マネジメント) | 管理・経営 | ガバナンスが定めた方針を「実行」し、リソースを配分する活動。 対比: Governanceは「方向性」、Managementは「実行」。 CISSP文脈: Security Managementはリスク管理、インシデント対応、教育などの実務。
O
Owner(所有者) | データオーナー | データ/資産の「分類・保護要件の決定・アクセス承認」に責任を持つ役割。通常は業務部門長。 対比:
- Owner: 決定権。「このデータは機密、バックアップ毎日」
- Custodian: 実行。「では暗号化してS3に保存します」
- User: 使用権のみ。「承認されたデータを業務で使う」 よくある間違い: IT部門はCustodian。Ownerではない。
P
Preventive Control(予防的統制) | 予防的 | インシデントを「発生させない」統制。例:ファイアウォール、暗号化、アクセス制御。 CISSP文脈: 最も優先度が高い。Detective/Correctiveより上位。
Q
Qualitative Analysis(定性的分析) | 定性的 | リスクを「High/Medium/Low」などの段階で評価。主観的だが迅速。 対比: Quantitative(定量)は「ALE = SLE × ARO」など数値化。時間かかるが客観的。 使用例: ビジネス影響度を「重大/中/軽微」で評価 → Qualitative。
Quantitative Analysis(定量的分析) | 定量的 | リスクを「金額・確率」で数値化。例:年間予想損失(ALE)を計算。 計算式:
- SLE (Single Loss Expectancy): 1回の損失額
- ARO (Annual Rate of Occurrence): 年間発生率
- ALE = SLE × ARO: 年間予想損失 よくある間違い: 完璧な数値化は不可能。あくまで「意思決定の材料」。
R
Residual Risk(残留リスク) | 残留 | 対策を実施「後」に残るリスク。ゼロにはできない。 CISSP文脈: 残留リスクがRisk Tolerance内なら許容、超えるなら追加対策かリスク移転(保険)。 よくある間違い: 「リスクをゼロに」は不可能。残留リスクの許容判断が重要。
Responsibility(実行責任) | 実行責任 | タスクを「実際に実行する」責任。複数人に分散可能。 対比: Accountability(説明責任)は一人のみ。Responsibilityは複数人でシェア可能。 使用例: RACI図で「R」。例:セキュリティポリシー実装は各部門がResponsible。
Risk(リスク) | リスク | 「Threat(脅威)が Vulnerability(脆弱性)を突いて Asset(資産)を侵害する可能性」。 計算: Risk = Threat × Vulnerability × Asset Value 関係図: Threat exploits Vulnerability → impacts Asset → creates Risk よくある間違い: 脅威と脆弱性が両方存在して初めてリスク。片方だけでは成立しない。
Risk Appetite(リスク選好度) | リスク選好 | 組織が「積極的に取りたい」リスクの量。戦略的。経営判断。 対比: Risk Toleranceは「許容できる最大限」の閾値。 使用例: スタートアップはRisk Appetite高い(スピード優先)。金融機関は低い。
Risk Tolerance(リスク許容度) | リスク許容 | 組織が「許容できる」リスクの上限。具体的な閾値。 対比: Risk Appetiteは戦略的方向性、Toleranceは具体的な限界値。 使用例: 「個人情報漏洩リスクは年間0.1%まで許容」← Tolerance
T
Threat(脅威) | 脅威 | 資産に害を与える「可能性のある原因」。例:ハッカー、火災、内部犯。 CISSP文脈: Threatが「Vulnerabilityを突く」ことでリスク発生。脅威だけではリスクにならない。 対比: Threat(原因)vs Vulnerability(弱点)vs Risk(可能性×影響)
U
User(利用者) | データユーザー | データ/資産を「業務で使用する」役割。アクセス権限内でのみ利用可能。 対比: Ownerが決定、Custodianが管理、Userが使用。 CISSP文脈: セキュリティ意識教育の対象。最もリスクの高い要素(人的脅威)。
V
Vulnerability(脆弱性) | 脆弱性 | Threat(脅威)が「突ける弱点」。例:未パッチソフト、弱いパスワード、設計ミス。 CISSP文脈: Vulnerabilityだけでは被害なし。Threatと組み合わさってRiskになる。 よくある間違い: 「脆弱性=リスク」ではない。脅威が存在して初めてリスク。
重要な概念マップ
リスクの構成要素
Asset(保護対象)
↓
Vulnerability(弱点)
↓
Threat(攻撃者/原因)が exploit
↓
Risk(リスク発生)
↓
Control(統制)で軽減
↓
Residual Risk(残留リスク)統制の種類(時系列)
- Deterrent(抑止): 攻撃を思いとどまらせる
- Preventive(予防): 攻撃を防ぐ
- Detective(検知): 攻撃を検知
- Corrective(是正): 被害を修正
役割の違い
| 役割 | 権限 | 責任 | 例 |
|---|---|---|---|
| Owner | 決定 | 分類・保護要件 | 営業部長(顧客データOwner) |
| Custodian | なし | 実装・運用 | ITチーム(バックアップ実施) |
| User | なし | 適切な使用 | 営業担当(データ入力) |
ガバナンス vs マネジメント vs アドミニストレーション
| レベル | 活動 | 質問 | 担当 |
|---|---|---|---|
| Governance | 方向性・監督 | "What should be done?" | 取締役会 |
| Management | 実行・配分 | "How do we do it?" | 経営層・部門長 |
| Administration | 日常業務 | "What's the process?" | 現場担当 |
よくある混同・間違い
AccountabilityとResponsibility
- ❌ 「責任者」を複数設定 → ⭕ Accountableは一人、Responsibleは複数可
CustodianとOwner
- ❌ ITがデータ所有者 → ⭕ 業務部門がOwner、ITはCustodian
ThreatとVulnerability
- ❌ 脆弱性=リスク → ⭕ 脅威が脆弱性を突いて初めてリスク
Due DiligenceとDue Care
- ❌ 同じ意味 → ⭕ DiligenceはWhat(調査)、CareはHow(実行)
Inherent RiskとResidual Risk
- ❌ 対策前後で同じ → ⭕ Inherent(対策前)> Residual(対策後)
Risk AppetiteとRisk Tolerance
- ❌ 同義語 → ⭕ Appetiteは「取りたい」量、Toleranceは「許容できる」上限
GovernanceとManagement
- ❌ 同じ経営活動 → ⭕ Governanceは方向性、Managementは実行
試験対策のポイント
- 最も包括的(Comprehensive)な選択肢を選ぶ
- **予防(Preventive)> 検知(Detective)> 是正(Corrective)**の優先順位
- 経営層の責任は外部委託不可(Governance, Accountability)
- 定量的分析は時間かかるが客観的、定性的分析は迅速だが主観的
- 残留リスクはゼロにできない前提で、許容判断が重要
- **Due Diligence(調査)→ Due Care(実行)**はセット
- Asset - Vulnerability - Threat - Riskの関係を理解
- Owner vs Custodian vs Userの役割分担を明確に
- Governance vs Management vs Administrationの階層を意識
更新日: 2026-02-18