CISSP CBK8ドメイン概要

cissp

CISSP CBKは、以下の8ドメインから構成されています。

  1. セキュリティとリスクマネジメント
  2. 資産のセキュリティ
  3. セキュリティアーキテクチャとエンジニアリング
  4. 通信とネットワークのセキュリティ
  5. アイデンティティとアクセスの管理
  6. セキュリティの評価とテスト
  7. セキュリティの運用
  8. ソフトウェア開発セキュリティ

CISSP CBK 8ドメインは、機能だけではなく、保証についても説明されています。また、実際のシステムに 実装できるように、具体的に記載されたものとなっています。


情報セキュリティの具体策となる「管理策(Control)」は、運用においてモニタリングされており、その結果が 方針の策定にフィードバックされることで定期的な改善が行われます。


CISSP CBK 8ドメインのキーとなるのは「アクセス制御」です。物理(環境)セキュリティにおける設計も、 ネットワークの物理設計、論理設計、そしてファイルサーバ上での権限管理などもすべてアクセス制御として実装されます。 具体的にどの管理策を採用するか、その決定においては「情報の分類」などの方針に沿って、「脅威」、「脆弱性」、 「事業影響度」などが考慮されます。


CISSPには、情報セキュリティ専門家として、相応の知識とスキルが求められます。技術的な内容に関する知識だけでなく、 方針を決定する判断力も必要とされます。管理策の選択においては、それぞれのメリット・デメリット、そして費用対効果などを 比較対照して提示する力が必要になります。さらに、判断のためには情報収集する力も必要になります。 情報収集のソースは、ネットワークの利用状況の結果や、コンプライアンスの遵守状況の結果です。そういった情報収集を 行うという意味では、フォレジック捜査やインシデントレスポンスなども運用セキュリティの一環としてとらえられるべきでしょう。


国内においてはJIS Q 27001を基盤として情報セキュリティ専門家の育成をしていることが多く、情報セキュリティマネジメントを キーとして捉えがちですが、CISSPはマネジメントの仕組みを作るというより、情報セキュリティ全体をどのように具現化していくのか、 どのように維持していくのかに重点を置いています。ISMSの構築をどのように行うのかだけではなく、その前段階となる設計、そして運用、 管理における判断力が求められています。8ドメインを学習する際には、何が優先事項であるかを考えながら内容を理解していくことが 重要です。



1.セキュリティとリスクマネジメント

「セキュリティとリスクマネジメント」ドメインでは、情報セキュリティの基本的な考え方となるセキュリティ原則に関する知識が求められます。 機密性、完全性、可用性などの原則を理解することと、幅広く一般的な情報セキュリティとリスクマネジメントに関する知識が必要です。

このドメインでは、セキュリティガバナンスとコンプライアンス分野をベースに知識とスキルを積み上げていかなければいけません。

CISSPには、情報セキュリティポリシーの策定やセキュリティ機能を実践するための手順を策定するスキルが求められます。 それは、セキュリティ機能が慎重かつ一様に適用されるための成功要因となります。この他にも、情報と要件の収集、ビジネス影響度分析、 目標復旧時点の設定を含む、事業継続計画におけるあらゆる側面が求められます。

本ドメインの中心はリスクマネジメントです。リスク分析、対策の選択と実施、モニタリング、報告、リスクフレームワークについての知識が求められます。 さらに、脅威モデルの導入、ハードウェア、ソフトウェア、サービスの調達や運用に関する契約や管理など、リスクマネジメントの統合的な考え方も求められます。

人的セキュリティについては、ポリシー策定、セキュリティ教育や訓練、意識向上(気づき)トレーニングの計画、実行を含む維持管理のスキルが求められます。

最後に、(ISC)² が提供しているその他の資格と同様に、CISSPでも一般的な倫理考慮事項についての知識が求められ、 更に資格所有者として求められる(ISC)² 倫理規約について理解していなければなりません。情報セキュリティ専門家は自らの技能が、 独立的で信頼され、一貫して倫理的かつ健全であることが求められることも理解しておく必要があります。


2.資産のセキュリティ

「資産のセキュリティ」ドメインでは、情報のライフサイクル全体を通じた資産の入手、取り扱い、保護についての知識とスキルが求められます。 情報分類と資産の取り扱いをベースに、情報、システム、ビジネス・プロセスなどの所有権についての理解も求められます。

データ化された個人情報の収集やストレージサービスが急速に発展した結果として、プライバシーに考慮した情報の管理も求められるようになりました。 プライバシーについては、データオーナー、データ利用者、データの残留性の観点からの考慮が必要とされ、情報の収集やストレージの取り扱いに 影響を与えるものとなっています。

情報の収集とストレージについて考慮する際には、データの保有についてのルールを明確にしておく必要があります。保有については、 組織のルールだけではなく、法規制の観点からも考慮する必要があります。

CISSPには、適切なデータセキュリティ対策を選択できることが求められるため、特にこの分野については詳細な知識とスキルが必要です。

データの取り扱いについてはライフサイクルに従って取り扱い要件を理解しなければいけません。特にラベル付けや廃棄などの要件を評価し、 これに基づいてポリシーや手順を策定できる知識とスキルが求められます。


3.セキュリティアーキテクチャとエンジニアリング

「セキュリティアーキテクチャとエンジニアリング」ドメインでは、様々な問題(例えば、悪意のある行為、人的エラー、ハードウェアの故障や自然災害によるトラブルなど) が発生しても、必要なビジネス機能を続行する情報システムおよびそれに関連するアーキテクチャを構築することができる知識やスキルが求められます。 これは、システムエンジニアリングにおける情報セキュリティ原則の適用ができるかどうかというスキルに関連します。

CISSPはセキュアな設計の概念や原則について理解している必要があります。

セキュリティモデルの基本的な概念を理解し、組織のビジネス要件とセキュリティポリシーに基づいた設計要件を満たすセキュリティ対策の選択ができるスキルが求められます。 これらを実践するためには、情報システムにおけるセキュリティの制限と能力を正しく把握する必要があるため、それらに関する知識も求められます。

CISSPは継続的に情報システムの脆弱性を評価し、低減するための知識とスキルも求められます。具体的には、クライアントとサーバの脆弱性、 データベースに関するセキュリティ要件、分散システムやクラウドに関するセキュリティや暗号システム、産業用の制御システムなどが対象となります。 また、ウェブアプリケーションやモバイルデバイス、組込みシステムなどの脆弱性についても把握できる知識とスキルが必要です。

暗号は機密性、完全性、真正性を確保することが目的であり、情報の意図しない変更からの保護に有効な対策であるため、本ドメインでも詳細な知識が求められます。 一般的な暗号の概念だけではなく、暗号のライフサイクル、システム、公開鍵基盤、鍵管理の実践、デジタル署名およびデジタル著作権管理の広範囲にわたる知識が求められます。 また、セキュリティ専門家として暗号解読の攻撃手法(ソーシャルエンジニアリング、総当たり、暗号文、既知平文、頻度分析、選択暗号、実装攻撃など)を十分に理解しておく必要があります。

セキュリティエンジニアリングに関する知識は、情報システムの開発に限定されることなく、施設や設備の設計などの物理的なセキュリティに関する設計の原則についても知識が求められます。


4.通信とネットワークのセキュリティ

「通信とネットワークセキュリティ」ドメインでは、ネットワークアーキテクチャ、伝送方法、トランスポートプロトコル、制御デバイスのほかオープンなネットワークやクローズな ネットワークを介して送信される情報の機密性、完全性、可用性を維持するために利用されるセキュリティ対策の理解が求められます。

CISSPは、ネットワークの基礎(トポロジー、アドレス、セグメンテーション、スイッチングやルーティング、無線、OSIやTCP/IPモデルおよびプロトコルスイートなど)を 十分に理解していることが求められます。また、セキュアなネットワークを実装するための暗号、ネットワーク機器のセキュリティ対策など広範なトピックについても理解しておかなければなりません。 ネットワーク機器の(スイッチ、ルータ、無線LANアクセスポイントなど)の安全な設置と維持管理に関する知識とスキルが求められます。ネットワークにおけるアクセス制御、 エンドポイントのセキュリティ、コンテンツ配信ネットワーク(CDN)についての知識も必要です。

CISSPはネットワークを利用した多くのアプリケーション(データ、音声、リモートアクセス、マルディメディアなど)の利用を推進するために様々な技術を利用して、 セキュアな通信チャネルを設計および実装できるスキルが求められます。また、これらのアプリケーションに対する攻撃ベクトルの知識や、それらを防止、 低減する知識やスキルについても求められます。


5.アイデンティティとアクセスの管理

「アイデンティティとアクセスの管理」ドメインでは、情報セキュリティに不可欠な、人と情報システムの相関、情報システム同士の相関、さらには情報システムの個々の コンポーネント間の相関に利用されるアイデンティティとアクセス権のプロビジョニングや管理に関連した知識が求められます。これらのセキュリティが損なわれると、 攻撃者の不正アクセスによって機密性が侵害されます。情報セキュリティ専門家はこの問題に多大な時間を費やすため、この分野の知識やスキルも必要です。

このドメインでは、利用者、システムおよびサービスの識別と認可を扱います。CISSPには、ID管理システム、単一要素認証や多要素認証、説明責任、セッション管理、 ID登録とその証明、IDフェデレーション、およびクレデンシャル(資格情報)管理システムに関する知識も求められます。

クラウドベースによるID管理やアクセス制御、またそれらと社内のID管理サービスとの統合についての知識も求められます。CISSPは認可に関する仕組み(ロールベース、ルールベース、 強制アクセス制御、任意アクセス制御など)の実装と管理に関するスキルも求められます。

他のドメインと同様に、本ドメインでもシステムに対する攻撃やライフサイクルにわたる攻撃の防止や低減についての知識も求められます。


6.セキュリティの評価とテスト

「セキュリティの評価とテスト」のドメインでは、情報資産やそれに関わるインフラの評価をさまざまな技術やツールを用いて実施する知識とスキルが求められます。 これらの評価は構造的な問題や設計上の欠陥、設定のミスやハードウェアやソフトウェアの脆弱性、コーディングのミス、その他の欠陥など、 情報システムが期待通りに機能するために、リスクの識別や低減を状況に応じて実施します。CISSPには、組織における情報セキュリティの計画、ポリシー、 プロセスおよび手順が適用されていることに関する継続な検証も求められます。

CISSPには、評価とテストの戦略を検証し、これらのテストを実行できるスキルが求められます。脆弱性検査、ペネトレーションテスト、代理トランザクション、 コードレビューやコードテスト、ミスユースケース、およびインタフェース試験についての知識も求められます。

CISSPにはセキュリティポリシーとそれに伴う手順を継続的に、かつ一様に適用することが求められます。また、障害復旧や事業継続計画を維持管理、 必要に応じて更新し、災害発生時にはそれらが目的に応じて確実に機能するようにしなければなりません。 このため、本ドメインではセキュリティ運用におけるデータ収集に関する知識が求められます。アカウント管理、マネジメントレビュー、パフォーマンスとリスクの指標、 バックアップの検証、セキュリティ訓練と意識向上(気づき)トレーニングおよび障害復旧と事業継続に関する知識も求められます。

セキュリティ評価とテストにおいては、適切なリスク低減戦略を策定し、実施できるだけの綿密な分析と、評価結果の報告がなければ意味をなしません。 CISSPにはテスト結果の分析と報告を行うスキルが求められます。


7.セキュリティの運用

「セキュリティの運用」ドメインは、エンタープライズコンピューティングシステムの運用に対する情報セキュリティのコンセプトとベストプラクティスの適用に関わる広範なトピックを含んでいます。

情報セキュリティの専門家が、日常的に実行することが要求されるタスクおよびその状況を示すことを目的としています。

フォレンジック調査に関する知識およびそれらを指揮したりサポートしたりする能力についてのトピックが含まれ、様々な調査コンセプトの概念(証拠の収集と取り扱い、文書化と報告、 調査手法およびデジタルフォレンジックを含む)に関する知識が求められます。また、運用状況、犯罪、市民、および規制の観点から調査の要件を理解する必要があります。

ロギングとモニタリングの仕組みづくりは、セキュリティの基盤となる機能です。フォレンジック調査のサポートに加えて、ログ取得記録とモニタリングは、 インフラストラクチャの日常業務を俯瞰するのに役立ちます。侵入検知防御、セキュリティ情報とイベントモニタリングシステムSIEM(Security Information and Event Monitoring system)、 および漏えいからの保護が含まれます。

また、「セキュリティの運用」ドメインでは、リソースのプロビジョニングとそれらのリソースのライフサイクル全体を通じた管理と保護も扱っており、 リソースの保護に関するセキュリティ運用基盤についての知識も求められます。保護制御(ファイアウォール、侵入防止システム、アプリケーションホワイトリスト、 アンチマルウェア、ハニーポットとハニーネットおよびサンドボックスを含む)の運用と維持ならびにサードパーティのセキュリティサービス契約と管理を行うことに 関するスキルも求められます。パッチ、脆弱性および変更管理についての知識も必要になります。

さらに、インシデント対応と回復復旧、障害・災害復旧、および事業継続も含まれます。CISSPには、インシデント管理などに関するスキルについて、 および障害・災害復旧プロセスの実装とテストを行い事業継続計画に参加する知識とスキルが求められます。物理的セキュリティと人と個人の安全に関するトピックも含まれています。


8.ソフトウェア開発セキュリティ

「ソフトウェア開発セキュリティ」ドメインは、ソフトウェアの開発、およびソフトウェアの開発環境に対するセキュリティコンセプト概念とベストプラクティスの適用に関わっています。 ソフトウェア開発者や、ソフトウェアセキュリティエンジニアが環境内で運用しているソフトウェアに関するセキュリティ制御を評価、実行します。CISSPは、 この目的を達成するためにソフトウェア開発のライフサイクルに照らしてセキュリティを理解し適用しなければなりません。CISSPは、ソフトウェア開発手法、成熟度モデル、 運用および保守、変更管理、統合された製品開発チームの必要性を理解する必要があります。

またCISSPは、ソフトウェア開発環境においてセキュリティ管理策制御を実行できなければなりません。CISSPは、ソフトウェア開発ツール、ソースコードの弱点と脆弱性、 構成管理のセキュリティを含む(これは、ソースコード開発、コードリポジトリのセキュリティおよびアプリケーションプログラミングインターフェースのセキュリティに関連しています) この領域分野のいくつかのトピックについての理解が求められます。

またCISSPは、ソフトウェア保護統制評価の領域分野についても知っている必要があります。この領域分野のトピックには、監査とログ記録(これは変更管理に関連しています)、 リスクの分析と低減(これはソフトウェアセキュリティに関連しています)および取得されたソフトウェアのセキュリティ上の影響が含まれます。