CISSP CBK8ドメイン概要

cissp

CISSP CBK8ドメインでは全体を大きく3つの分野「概念と設計、計画」「実装と技術」「運用と評価」に 分類しています。

「概念と設計、計画」では「セキュリティとリスクマネジメント」と「セキュリティエンジニアリング」が含まれています。 「セキュリティとリスクマネジメント」では、情報セキュリティの基盤について理解します。特に情報セキュリティマネジメントやガバナンスといった 内容について理解することで、その他のドメインの内容全体をカバーできるような知識が必要となります。 これを受けて「セキュリティエンジニアリング」では、設計や構築について理解します。セキュリティの実装においては、 包括的な対応をするためのベースとなる方針や手法について理解します。

「実装と技術」ではベースとなる考え方として 「アイデンティティとアクセスの管理」、具体的な方針と手法としての「資産のセキュリティ」「ソフトウェア開発セキュリティ」 「通信とネットワークセキュリティ」が含まれています。「アイデンティティとアクセスの管理」は情報システムセキュリティの 中心的な考え方となる、ID管理とアクセス制御の方針について理解します。「資産のセキュリティ」「ソフトウェア開発セキュリティ」 「通信とネットワークセキュリティ」のそれぞれのドメインでは、アクセス制御を実装するための具体的な考え方を理解します。 特に「資産のセキュリティ」はアクセス制御を実装するために重要な役割と責任についての理解が必要となります。                

「運用と評価」では「セキュリティの運用」「セキュリティの評価とテスト」が含まれます。この2つのドメインは「概念と設計、計画」をサポートする重要な役割を持っています。情報セキュリティマネジメントやガバナンスにおける改善を有効に行うための重要な分野です。「セキュリティの運用」では、情報セキュリティ専門家が日常的に最も多くの時間を費やす運用について、ログの取得や監視、そしてインシデント対応や災害復旧を中心にした理解が必要となります。事故が発生した際のフォレンジックなどの観点も含め、情報セキュリティの改善活動に必要な幅広い知識を身につけます。「セキュリティの評価とテスト」では、事故やトラブルの有無に関係なく行われる定期的な検査や監査について、効果的に行うための考え方やツールの活用などについての理解も求められます。セキュリティの設計や構築について見直すためにどのような評価やテストを計画し、実施すればよいのかの知識を身につけます。情報セキュリティのサイクルについて全般的な知識を得て、それを具体的な情報システムに実装するためのスキルを身につけるためにすべてのドメインを理解することが求められています。

  1. セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
  2. セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
  3. アイデンティティとアクセスの管理(アクセス制御とID管理)
  4. 資産のセキュリティ(資産の保護)
  5. セキュリティエンジニアリング(セキュリティ設計と構築)
  6. 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
  7. ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
  8. セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)

セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)

ここでは、すべての情報セキュリティ機能のベースとなる、機密性、可用性および完全性という基本的なセキュリティ原則範囲を始めとして、 さまざまな情報セキュリティとリスクマネジメントのトピックス全般を扱っており、セキュリティガバナンスとコンプライアンス領域における これらの概念を基に構築されています。また、倫理学的考察全般、そして特に(ISC)2の倫理規定に関する知識を必要とします。
情報セキュリティという枠組みのなかでポリシーおよびプロシージャを策定し導入することができるかどうかについての知識や、 情報および要件の収集、ビジネスインパクト分析、目標復旧時点(RPO)といった事業継続計画のあらゆる側面も含まれます。 そして、リスクマネジメントの概念である、リスク分析、対応策の選択と実施、リスク監視、報告、およびリスクの枠組み、 脅威モデルの導入とハードウェア、ソフトウェアおよびサービス契約の取得および管理へのリスクマネジメントの統合などの 理解が必要です。そして、人員のセキュリティポリシー領域についても問われ、セキュリティに関する教育、トレーニングおよび 意識向上プログラムを構築し維持できることが求められます。

セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)

ここでは、エンタープライズコンピューティングシステムの運用に関する情報セキュリティ概念およびベストプラクティスの 適用に関するさまざまなトピックスが含まれています。証拠の収集と取り扱い、文書化と報告、捜査手法とデジタルフォレンジックと いったさまざまな調査概念を含めたフォレンジックを指揮する、あるいはサポートするための知識が必要です。
運用上、刑事上、民事上、および規制上の観点からも、調査要件を理解しなければなりません。効果的なロギングおよび 監視の仕組みは、不可欠なセキュリティ機能です。そこについては、侵入検知と防止、セキュリティ情報とイベント 監視システム、およびデータ漏洩防止などが含まれます。そして、リソースのプロビジョニングおよびこれら リソースのライフサイクルを通した管理と保護についても取り上げますが、セキュリティの運用が前提としているのは これらリソースの保護です。ファイアウォール、侵入検知システム、アプリケーションホワイトリスティング、 マルウェア対策、ハニーポットとハニーネットおよびサンドボクシングといった保護制御を運用し維持すると同時に、 サードパーティのセキュリティ契約およびサービスを管理する能力、そしてパッチ、脆弱性および変更管理についても 理解をすることが求められます。インシデントレスポンスとリカバリ、ディザスタリカバリ、および事業継続の 運用面での理解が必要となります。物理的セキュリティおよび個人の安全についてのトピックスで締めくくります。

アイデンティティとアクセスの管理(アクセス制御とID管理)

ここでは、人間と情報システム、異種情報システム間、さらには情報システムの個々のコンポーネント間のやりとりに使用される、 アイデンティティとアクセスのプロビジョニングと管理を扱います。システムや情報に不正にアクセスするためにアイデンティティ またはアクセス制御システムを危険にさらすことは、データの機密性に関するほぼすべての攻撃の目標にもなるため、 これは情報セキュリティプロフェッショナルが相当な時間をかけなければならない領域です。ユーザー、システムおよびサービスの 特定と承認に関する知識が必要となり、具体的にはID管理システム、単一要素および多要素認証、説明責任、セッション管理、 登録と確認、フェデレーテッドID管理、および信用管理システムについての知識保有を求めています。 さらに、サードパーティのクラウドベースおよびオンプレミスIDサービスの統合についても問われます。 そして、ロールベース、ルールベース、強制および任意アクセス制御に基づくものを含め、承認メカニズムの実装および管理が できることが求められます。最後に、アクセス制御システムをターゲットとした攻撃の防止と軽減、およびID管理のライフサイクルも含まれます。

資産のセキュリティ(資産の保護)

ライフサイクル全体を通した情報の収集、処理および保護を取り上げます。情報の分類および資産のサポートは、 このドメインで取り上げるすべてのトピックスの基礎となっております。そして、情報、システム、およびビジネスプロセスに関しての 所有権は、分類と切り離して考えることはできず、資産のセキュリティのドメインで取り上げられる2個目のトピックとなります。 プライバシー保護も非常に重要な要素となっていて、データオーナー、データ処理装置、データの残留、および収集と保管の制限の 概念などがあります。情報の収集と保管に関する議論を行う場合は、データ保存を含んだ、適切なデータセキュリティ管理策について 詳細の知識を保有している事が求められます。最後にデータの保管、ラベリングおよび破棄などを含んだデータ処理要件についての理解が必要となります。

セキュリティエンジニアリング(セキュリティ設計と構築)

セキュリティエンジニアリングは、悪意ある行為、人的エラー、ハードウェア障害および自然災害により引き起こされる可能性のある脅威に対し、 必要な機能を提供し続ける情報システムおよび関連アーキテクチャの構築の実践と定義することができます。
このドメインでは、安全な設計原則を使用してセキュリティエンジニアリングプロセスを実装および管理する能力について問われます。 セキュリティモデルの基本概念を理解し、組織の要件およびセキュリティポリシーに基づいて設計要件を策定し、 これらの設計要件を満たす制御および対応策を選択することができなければなりません。セキュリティアーキテクチャ、設計および ソリューション要素における脆弱性を継続的に評価および軽減しなければならず、この領域について詳細に理解をしていることが求められます。 暗号化とは、情報の完全性、機密性および信ぴょう性を確保するため情報を変更することにより、情報の移行中も保存中も情報を保護するということで、 セキュリティエンジニアリングのドメインで詳細に取り上げています。一般的な暗号化の概念、暗号化のライフサイクル、暗号化システム、 公開鍵インフラストラクチャ、暗号化キー管理実務、デジタル署名、およびデジタル著作権管理についての理解が必要となります。 最後に、事業所および施設の設計および物理的セキュリティへの安全な設計原則の適用などへの理解も必要となります。

通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)

ここでは、私設および公設通信ネットワーク双方を介して送信される情報の機密性、完全性および可用性を維持するのに使用される、 ネットワークアーキテクチャ、通信方法、配送プロトコル、制御デバイス、およびセキュリティ対策を網羅しています。 ネットワークトポロジー、IPアドレス設定、ネットワークのセグメンテーション、スイッチングとルーティング、無線ネットワーク利用、 OSIとTCPモデルおよびTCP/IPプロトコルスイートなど、ネットワークの基本を十分に理解していることを示すことが求められます。 かつ、安全なネットワーク通信に関連して、暗号化についても問われます。また、ネットワークデバイスの保護という見出しの下に、 さまざまなトピックスも含まれていますので、スイッチ、ルーターおよび無線アクセスポイントといったネットワーク制御デバイスを 安全に操作および保守する知識と能力についての知識も問われます。また、さまざまな伝送媒体に元々備わっているセキュリティに ついて熟知していなければなりません。ネットワークアクセスコントロール、エンドポイントセキュリティ、およびコンテンツ配信 ネットワークについても取り上げます。データ、音声、リモートアクセス、マルチメディアコラボレーションおよび仮想化ネット ワークなど多くの適用を促す、幅広い技術を使用して安全な通信チャネルを設計し実装できることが求められます。 そして、ネットワーク攻撃のベクトルの知識や、これらの攻撃を防いだり軽減したりできるかについての理解も必要となります。

ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)

実稼働および開発ソフトウェア環境へのセキュリティ概念およびベストプラクティスの適用について扱います。 ソフトウェアに対するセキュリティ制御を評価し執行するために、ソフトウェア開発のライフサイクルにおいてセキュリティを 理解し適用できなければなりません。その中で、ソフトウェア開発方法、成熟度モデル、オペレーションと保守および変更管理 についての理解を必須とし、同時に統合化された製品開発チームの必要性も理解しないといけません。
また、ソフトウェア開発環境においてセキュリティ制御を執行することもできなければならないので、 ソフトウェア開発ツール、ソースコードの弱点と脆弱性、ソースコード開発に関する構成管理、コードリポジトリの セキュリティおよびアプリケーションプログラミングインターフェースのセキュリティなどについての知識取得も求めます。 かつ、変更管理に関する監査とロギング、ソフトウェアセキュリティに関するリスク分析と軽減および取得したソフトウェアの セキュリティインパクトを含めたソフトウェアセキュリティ制御評価の領域についても理解が求められます。

セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)

ここでは、アーキテクチャの問題、設計上の欠陥、構成エラー、ハードウェアとソフトウェアの脆弱性、コーディングエラー、 および情報システムの能力に影響を及ぼす可能性のあるその他の弱点が原因となるリスクを特定および軽減して、 意図された機能を安全に提供するため、さまざまなツールや手法を用いて、情報資産および関連するインフラストラクチャの 評価に関しての知識が求められます。評価およびテスト戦略を検証し、さまざまな手法を用いてこれらの戦略を実行すること ができなければなりません。脆弱性評価、ペネトレーションテスト、代理トランザクション、コードレビューとテスト、 悪用ケース、およびインターフェーステストに関する知識の保有が求められます。これら評価には、セキュリティポリシーと プロシージャの検証、ディザスタリカバリおよび事業継続計画も含まれます。最後に、テスト結果について分析し報告する ことができるか、さらに、社内監査および第三者監査を実施または円滑に進めることができるかどうかも理解している必要があります。