CISSP CBK8ドメイン概要
CISSP CBKは、以下の8ドメインから構成されています。
- セキュリティとリスクマネジメント
- 資産のセキュリティ
- セキュリティアーキテクチャとエンジニアリング
- 通信とネットワークのセキュリティ
- アイデンティティおよびアクセス管理
- セキュリティの評価とテスト
- セキュリティの運用
- ソフトウェア開発セキュリティ
CISSP CBK 8ドメインはそれぞれが独立した知識として提供されているのではなく、それぞれのドメインで提示された知識やスキルを組み合わせることで、セキュリティ計画や具体的な対策に役立てることができるようになっています。
これはCISSP の認定試験においても同様で、単一のドメインの知識を有していることを判断するのではなく、複数のドメインの知識を活用して、課題に対応していくことが求められています。
8ドメインの共通的な考え方は組織のガバナンスにあります。ガバナンスとは、組織全体の把握をし、適宜修正を行いながら、組織の目的や目標を効率に達成するためのプロセスです。ベストプラクティスを理解し、それを実践するだけではなく、そのベストプラクティスが自らの組織に合ったものであるかどうかを判断し、もしも適切なものでないとした時に組織に合わせた形に修正(テーラリング)できるようにしなければなりません。
CISSPの8ドメインを通して、このような情報セキュリティの推進に必要なコンセプトを理解し、それらを実践するための技術的な知識を網羅的かつ体系的を身につけていただきたいと考えています。
1.セキュリティとリスクマネジメント
「セキュリティとリスクマネジメント」のドメインでは、情報セキュリティ専門家としての姿勢と役割に関する知識とスキルが求められます。
情報セキュリティ専門家として第一に重要なことは倫理的な行動です。
情報セキュリティ専門家は多くの機密情報に触れる機会も多く、その扱いについても厳正な対応を求められます。また、専門家として意見を求められた際に、ただ不安だけを煽るような発言をするようなことがあってはいけません。情報セキュリティ専門家は組織が成し遂げようとする目的に対して協力的かつ適切な助言や対応を行うために職業倫理について理解が必要です。
情報セキュリティはリスクマネジメント、リスクガバナンスの一つの分野です。
将来起こりうる事故やトラブルに備え、それが発生しないように、また発生した際の被害を受容できる範囲内に収めるために、セキュリティ対策を計画し、実施します。そして、その計画が組織の目標や目的に沿ったものであるかを判断し、適宜修正をしていくためのモニタリングや評価の基盤も構築しておかなければなりません。
ガバナンスの範囲は組織内にとどまらず、サプライチェーンにも適用されるべきですし、その内容はセキュリティ、コンプライアンス、プライバシーと幅広くなっています。
それぞれを個別の課題として捉えるのではなく、包括的かつ一元的に管理するための知識とスキルが求められます。
2.資産のセキュリティ
「資産のセキュリティ」ドメインでは、情報のライフサイクル全体を通じた資産の入手、取り扱い、保護についての知識とスキルが求められます。情報分類と資産の取り扱いをベースに、情報、システム、ビジネス・プロセスなどの所有権についての理解も求められます。
デジタルトランスフォーメーションの推進による情報や資産のデジタル化に伴い、一般的な企業の機密管理だけではなく、プライバシーに配慮した情報の管理も求められるようになりました。プライバシーについてはビジネスニーズに応じて、コンプライアンス的な観点から国際的な課題を理解し、利用範囲や手段についても適切に把握しておく必要があります。
CISSPには、適切なデータセキュリティ対策を選択できることが求められるため、ライフサイクルに従って取り扱い要件を理解しなければいけません。特に情報分類にともなうラベリングの実践や法的な要求に伴う暗号化や廃棄手法などの要件を評価し、ポリシーや管理手順を策定できる知識とスキルが求められます。
3.セキュリティアーキテクチャとエンジニアリング
「セキュリティアーキテクチャとエンジニアリング」ドメインでは、セキュリティ計画に必要な原則の理解と、それを実践するための技術的な知識やスキルが求められます。このドメインの知識範囲は広く、システムの設計・構築をもとにしたセキュリティ要件の定義、それに必要な暗号システムなどを中心としたセキュリティ技術の理解、論理的セキュリティをサポートする物理的なセキュリティについてもカバーします。
このドメインを理解するために必要なことは、情報システムがどのように設計され、構築されているかのプロセスを理解することです。情報システムの形態はさまざまで、デバイス、サービス(サーバ)、ストレージ、ネットワークなどのエンティティの組み合わせによって求められる機能を提供しています。もちろんユーザや管理者など、人も関わることでさらに複雑な構造になっています。それぞれのシステムの構成を理解し、潜在的な弱さを理解することで、ベースラインとなるセキュリティ対策を計画することができるようになります。
セキュリティ対策を実践するには、その原則を理解しなくてはいけません。
多くのベストプラクティスは想定された環境に依存するものとなっていて、ユニバーサルであるとはいえません。環境に応じた対策を計画し、実践するためには、情報セキュリティの原則を理解する必要があります。たとえば、最小権限(Least Privilege)という原則を理解することで、アクセス制御の認可において、権限の粒度を設定することができるようになります。管理者とユーザという大きな分け方ではなく、誰が何をすることができるのかという実践的なものとすることが可能になります。
暗号システムはいまや情報の秘匿のためだけに使われるものではありません。
鍵を持っているということが、その情報やシステムに対する権限を有するという考え方のもとに、アクセス制御や否認防止に利用することもできます。もちろんこれらの鍵の利用状況をユーザやエンティティの振る舞いとしてモニタリングに利用することもできるようになりました。暗号を適切に理解することが組織のポリシーを実現するための必須知識となっているのです。
また、論理セキュリティをサポートするものとして、物理セキュリティがあります。
CISSPには、物理セキュリティの専門家と意見交換をしながら、お互いを補完するような提案ができる知識とスキルが求められます。
4.通信とネットワークのセキュリティ
「通信とネットワークセキュリティ」ドメインでは、ネットワークアーキテクチャ、伝送方法、トランスポートプロトコル、制御デバイスのほかオープンなネットワークやクローズなネットワークを介して送信される情報の機密性、完全性、可用性を維持するために利用されるセキュリティ対策の理解が求められます。
CISSPは、ネットワークの基礎(トポロジー、アドレス、セグメンテーション、スイッチングやルーティング、無線、OSIやTCP/IPモデルおよびプロトコルスイートなど)を十分に理解していることが求められます。また、セキュアなネットワークを実装するための暗号、ネットワーク機器のセキュリティ対策など広範なトピックについても理解しておかなければなりません。ネットワーク機器の(スイッチ、ルータ、無線LANアクセスポイントなど)の安全な設置と維持管理に関する知識とスキルが求められます。ネットワークにおけるアクセス制御、エンドポイントのセキュリティ、コンテンツ配信ネットワーク(CDN)についての知識も必要です。
CISSPはネットワークを利用した多くのアプリケーション(データ、音声、リモートアクセス、マルディメディアなど)の利用を推進するために様々な技術を利用して、セキュアな通信チャネルを設計および実装できるスキルが求められます。また、これらのアプリケーションに対する攻撃ベクトルの知識や、それらを防止、低減する知識やスキルについても求められます。
5.アイデンティティとアクセスの管理
「アイデンティティとアクセスの管理(IAM)」ドメインでは、機密性を維持するために必要な、人、デバイス、サービス、アプリケーション、データなどのエンティティの相関を理解し、それを適切に管理するための知識とスキルが求められます。
アイデンティティ(Id)は単にユーザアカウントのことを指すのではなく、組織の資産全てを適切に判別し管理を行うために必要な、個別の識別子とその属性です。これらの情報を活用して、組織の求める安全な状態の維持を実践することが可能になります。
アクセス管理において最も重要なことは、機密性の理解です。機密性(Confidentiality)とは、情報の機微性(Sensitivity)や重要性(Importance)ではなく、権限の維持ができていることを指します。つまり、誰かが何かにアクセスできる状態を適切に維持するということです。誰か(Subject)がなにか(Object)に対して、どのような権限が与えられているか。これを最小権限の原則に基づいて設計したり、職務の分離の原則に基づいて設計したりすることが、アクセス管理です。
アクセスポリシーをどのように構築するか。リスクやアクセス時の属性に応じて動的にポリシーを構築し適用する仕組みがゼロトラストです。このドメインのキーワードである「強制アクセス制御」および「属性ベースのアクセス制御」における認可の仕組みを理解すれば、ゼロトラストも構築できるようになります。
「アイデンティティとアクセスの管理(IAM)」の知識とスキルを身につけることで、さまざまなセキュリティソリューションの仕組みを容易に理解できるようになります。
6.セキュリティの評価とテスト
「セキュリティの評価とテスト」のドメインでは、セキュリティの運用やソフトウェア開発のセキュリティと関連して、日々のセキュリティ活動におけるセキュリティ対策の評価や、ソフトウェアが適切に開発されているかを確認するためのテストなど、セキュリティ機能の有効性を測るための知識とスキルが求められます。
評価やテストは十分に準備してから行われなければなりません。それは正しい評価を行うためでもあり、サービスやシステムへの影響を最小限にする必要があるためです。ソフトウェアのテストなどはテスト環境で実施できますが、日常的なセキュリティ対策の評価やテストは本番環境で行うことも少なくないためです。
CISSPはさまざまな種類のテストについて、その目的と手法を理解し、対象に合わせた適切なものを選択しなければなりません。例えば、侵入対策が適切にできているかを評価する場合にはペネトレーションテストを、対策したはずの脆弱性が見逃されていないかどうかを評価するためには脆弱性テストを選択します。
評価したい内容によってはこれらを組み合わせて利用することもありますし、攻撃者がそのテスト手法を利用する可能性がないかなども検証したりします。
また評価の結果を活かした改善プロセスを通じて、事業継続やレジリエンス、セキュリティ対策の継続的向上などにも役立てることができます。
セキュリティの評価とテストは単独のドメインとして取り上げられていますが、他のドメインの知識やスキルをサポートするものとして重要な要素が含まれています。CISSPは評価やテストの知識やスキルを情報セキュリティのライフサイクルに活かすことが求められています。
7.セキュリティの運用
「セキュリティの運用」ドメインでは、組織の情報セキュリティの機能や計画を維持し、適切に改善していくための知識とスキルが求められます。機能や計画が維持できているかを判断するためには、セキュリティ対策やポリシーの遵守状況などに関する情報収集が必要になります。また、インシデント対応や調査活動もセキュリティ運用の重要な要素です。
情報収集を適切に行うためには、事前の準備が必要になります。例えばセキュリティ対策を目的通りに実施しているということを確認、または証明するためにはエビデンスが必要になります。このエビデンスは後から作ることができませんので、ログ管理、モニタリング機能を設計する際に十分に検討しなくてはいけません。
準備できていなかった場合には、フォレンジックスなどの技術を活用してエビデンスを掘り起こす必要があります。このような作業には非常に大きなコストと時間がかかることから、日常的な運用に必要な情報はいつでも取得できるように準備しておきます。
モニタリングの結果、トラブルや事故の予兆があった場合には、その対応が必要になります。明確な事故が発生していない場合は資産の保護を改めて実施し、インシデントの発生が見られた場合には、インシデント対応を実施します。
CISSPには、このような日々の運用に必要な活動を十分に理解することが求められます。
セキュリティの運用に関するさまざまな知識は、運用担当者だけではなく、開発担当者にも必要になります。DevSecOps 環境においては、運用担当者がどのような情報を必要としているか、そして運用上の修正作業を開発者が直接関与することなく運用担当者だけで行うためにはどのような機能の提供が必要かなどを検討する必要があるためです。
たとえば、クラウド上でのサービス運用においてサーバのパフォーマンスが足りない場合にサーバの台数を増やすといったことが必要になります。これらの作業を運用担当者が評価し、開発担当者に伝え、確認の上で開発担当者が構成をし直すといった場合、適切な時間で作業が終了しないことがあります。このような場合には運用担当者用のインタフェースをあらかじめ作成し、自ら修正ができるようにしておくのが望ましいと言えます。
このような判断をするためにも、セキュリティの運用とソフトウェア開発、アクセス制御、リスクマネジメントのそれぞれのドメインの関連についてCISSPは熟知しておく必要があります。
運用セキュリティにおいては、セキュリティ担当者の日常的な活動を把握し、それをサポートするためのインフラの構築について理解しなくてはいけません。CISSPには、セキュリティ担当者が効率的に日常的な活動を実践し、継続的なセキュリティ対策の維持ができる環境を計画、提案することが求められます。
8.ソフトウェア開発セキュリティ
「ソフトウェア開発セキュリティ」ドメインでは、コーディングだけではなく、ソフトウェアの開発における環境や手法を含めた、開発ライフサイクル全般についてのセキュリティに関する知識とスキルが求められます。SDNやIoTなど、これまではハードウェアのセキュリティとして捉えられていた分野も、ソフトウェア化されることにより、ますますソフトウェアに関するセキュリティへの依存度が高まっているなか、CISSPもソフトウェア開発について十分な知識が求められるようになりました。
システムライフサイクル(SLC)におけるソフトウェア開発ライフサイクル(SDLC)について正しく理解し、開発者のプロセスや責任を明確にした上で、セキュリティ専門家が助言できる内容について把握します。開発と運用、そして品質管理を統合的に管理するためのDevSecOpsを実践するために、運用を考慮した開発についても支援します。
また、開発手法や開発環境の選択においても、複数の手法や環境の目的を正しく理解した上で、メリット・デメリットを判断し、プロジェクトに応じて選択できるようにセキュリティの視点から助言をします。単に開発を迅速に行うだけではなく、サービスのデプロイ時間を考慮して、効率的なテスト手法の選択、サービスレジリエンスを実現するための仕組みなどを提案します。
ソフトウェア開発においては、実際にコーディングするスキルが必要なわけではなく、開発チームの役割や責任、システムライフサイクルにおける活動を適切に理解し、機密性、完全性が維持できるような助言を実施できるスキルと知識が求められます。