はじめに
CISSP(Certified Information Systems Security Professional)は試験範囲が膨大で、セキュリティに対する広く深い理解が必要です。
公式トレーニングが最も有効な試験対策ですが、そんなお金ないよという方や独学で合格を目指す方のバイブルとなるよう用語集を作りました。
ISC2発行の公式問題集の問題順に従い用語解説を行っているので、問題集と本サイトだけで対策可能な構成となっています。
この記事ではドメイン1で登場する用語を中心的に解説しています。
※あくまで備忘録となるため、内容の正確性を保証するものではありません
使用した問題集について
試験対策として公式が出版する問題集のみを使用して試験に合格しました。この問題集はAmazonで電子版の購入が可能です。Kindle版だと各問題番号が正答へのリンクとなっていてとても使いやすいので大変おススメです。
- セキュリティとリスクマネジメント(ドメイン1)#61~75
- リスク
- NIST SP 800-37(リスクマネジメントフレームワーク=RMF)
- リスクマネジメント
- 情報セキュリティの要素(目的)
- 緊急事態レスポンスガイドライン
- BCP(Business Continuity Plan)=事業継続計画
- DRPサイト
- CFAA(Computer Fraud and Abuse Act)=コンピュータ不正行為防止法
- フレームワーク
- アメリカ連邦法(刑法、および民法)
- ECPA(Electronic Communications Privacy Act of 1986)=1986年電子通信プライバシー法
- CALEA(Communications Assistance for Law Enforcement Act)
- 1974年プライバシー法(Privacy Act of 1974)
- HITECH法(Health Information Technology for Economic and Clinical Health Act)
- FERPA (Family Educational Rights and Privacy Act)=家庭教育権とプライバシー法
- GLBA(Gramm-Leach-Bliley Act)
- HIPAA(Health Insurance Portability and Accountability Act)
- NCA(Non-Compete Agreement)=競業禁止契約
- SLA(Service Level Agreement)=サービスレベル合意書
- NDA(Non-Disclosure Agreement)
- RTO(Recovery Time Objective)=目標復旧時間
セキュリティとリスクマネジメント(ドメイン1)#61~75
リスク
リスク
影響×可能性
影響(脅威)
何らかの理由によるシステムが使用できなくなった際に企業や事業に与える被害のこと。
可能性(発生可能性)=脆弱性
何らかの被害を受ける発現可能性。脆弱性を利用される可能性や人的ミスによる障害、自然災害の発生確率などを含む。
NIST SP 800-37(リスクマネジメントフレームワーク=RMF)
組織や情報システムにおける情報セキュリティリスク(プライバシーリスクを含む)の管理方法を示したもの。
- 情報システムのカテゴリー化
対象システムについて、機密性・完全性・可用性レベル特定し資産レベルを決定する。 - セキュリティコントロールの選択
システムのカテゴリー化の結果に基づき、セキュリティやプライバシー対策をベースラインから選択・調節する。 - セキュリティコントロールの実装
選択したコントロールを実装する。管理的な実装としては文書作成や技術的な実装を行う。 - セキュリティコントロールの評価
実装したコントロールが意図したセキュリティ・プライバシー要件を満たしているかを評価する。また、実装後の残存リスクについて再度評価する。 - 情報システムの認可
コントロール評価や残存リスクが受容可能かどうか判断する。 - セキュリティコントロールの監視
実装したコントロールの有効性を定期的に評価する。
リスクマネジメント
主なリスク対応は4つある
リスク低減
リスクの発生可能性・影響を抑える。管理・論理・物理的対策を導入する。
例)FWの導入、データセンターの周りのフェンス
リスク回避
リスクを発生させる活動を停止する。リスクがある行動を一切取らない。
例)事業を停止する
リスク移転
リスクによる影響を第三者へ移す。リスクの影響による損失を他者と共有したり移したりする。
例)保険の加入
リスク受容
リスクを受け入れる。リスクの影響力が小さいと判断し、リスクに対する施策を取らない。決定プロセスを文書化する。
例)何もしない
情報セキュリティの要素(目的)
機密性(Confidentiality)
アクセス制限を行い、適切な人だけが情報資産へアクセスできること。
完全性(Integrity)
情報が改ざんされず常に正しい状態を維持すること。
可用性(Availability)
利用者が利用したいときに常にアクセスできること。
否認防止(Non-repudiation)
情報資産へのアクセスを後から否定できないように証明する仕組み。デジタル署名やアクセスログ、操作ログが使用される。
緊急事態レスポンスガイドライン
緊急事態に対応して組織が従うべき即自的措置を含める必要がある。
緊急事態を通知する必要がある人のリスト、第1対応者のための二次対応手順が含まれる。
BCP(Business Continuity Plan)=事業継続計画
様々な脅威(災害、人災、パンデミックなど)による組織の事業への影響を最小限に抑え、事業を継続する計画であり、何らかのインシデントが発生した際に実施する。
BCPのステップ
①プロジェクト範囲の決定
組織の構造化分析・BCPチーム結成・利用可能なリソース評価、法整備の分析
②策定の目的設定
何を守るべきかの目標を設定する
③重要業務とリスクの洗い出し
事業を継続するにあたって、最も優先すべき事業を洗い出し、その事業に付随する想定されるリスクを洗い出す
④リスクに優先順位をつける
リスクの発生頻度、影響度を基準に順位をつける=BIAを行う
⑤実現可能な具体策を決める
誰が指揮を執り、だれがその指示を受けて実際に行動するのかなどの緊急対応体制を構築する
⑥事業継続計画を文書化する
・事業継続計画の目標
・重要性の表明
・優先順位の表明
・組織的責任の表明
・緊急性とタイミングの表明
・リスクアセスメントおよびリスク需要と低減文書
・重要レコードプログラム
企業の存続に関わる文書や代替情報が他にない文書のこと
・緊急事態レスポンスガイドライン
緊急事態に対応して組織が従うべき即自的措置を含める必要がある
緊急事態を通知する必要がある人のリスト、第1対応者のための二次対応手順が含まれる
・計画のメンテナンスとテスト
DRPサイト
HVAC(Heating, Ventilation, and Air Conditioning)
情報システム機器が故障などしない環境づくりの要素。HVACは、冗長構成にすることが望ましい。
ホットサイト
本番環境に何かあった際に、瞬時に切り替わるように常にサーバは稼働しデータのミラーリング行われている。
ウォームサイト
サーバなどの準備はしてあるが、業務を復旧するためには何らかの作業(最新データの同期など)を要する。
コールドサイト
事業継続に必要な設備として場所のみ確保されている。サーバやその他の設備の発注などを伴うため、復旧に時間がかかる。
モバイルサイト
データベースや電源等の必要な機器を備えた移動式のトレイラー。災害時に物理的に直接接続する必要がある場合などに使用される手段。あまりメジャーでない。
CFAA(Computer Fraud and Abuse Act)=コンピュータ不正行為防止法
政府や金融機関など米国連邦政府の機密情報を扱うシステムに対して悪意を持って損害を与える行為を罰する法律。年間$5000を超える損害を与えると、連邦政府に対する犯罪となる。
フレームワーク
情報が改ざんされず常に正しい状態を維持すること。
ITIL(Information Technology Infrastructure Library)
ITサービスマネジメント(ITSM)のためのベストプラクティスのフレームワークであり、効率的かつ効果的なITサービスの提供を支援する。
ITSMには以下の主要な5つの領域が含まれる。これらの領域は、ITILが提供する継続的な改善サイクルを通じて、組織が効率化し、顧客やビジネスへの価値提供を最大化するのに役立つ。
- サービス戦略(Service Strategy)
サービスプロバイダーが長期的な目標と戦略を策定し、ビジネスニーズに合わせた価値提供を計画する
サービスポートフォリオの管理と戦略的リソース割り当てが含まれる - サービスデザイン(Service Design)
サービスの設計と開発を行い、ビジネス要件や顧客ニーズに合致するようにする
サービスレベル管理(SLM)、容量管理、可用性管理、継続的なサービス改善(CSI)などが含まれる - サービス移行(Service Transition)
新しいまたは変更されたサービスを効果的に導入するためのプロセスを管理する
変更管理、リリースおよびデプロイメント管理、知識管理が含まれる - サービス運用(Service Operation)
サービスを効率的かつ効果的に提供し、日常の活動と管理をサポートする
インシデント管理、問題管理、イベント管理、リクエスト管理が含まれる - 継続的なサービス改善(Continual Service Improvement)
サービスとプロセスのパフォーマンスを監視し、継続的な改善を実施するPDCAサイクル(Plan-Do-Check-Act)に基づいて、プロセスとサービスを評価し、改善を実施する
ISO/IEC 27002
情報セキュリティのための国際標準規格であり、情報セキュリティ管理システム(ISMS)の実装に関するガイダンスを提供する。この規格は、情報セキュリティに関連するリスクを管理し、組織内の情報資産を保護するための手順とプラクティスを体系化している。ISO/IEC 27002は、組織が情報セキュリティリスクに対処するための基準として使用され、情報セキュリティ管理のベストプラクティスを促進する。組織はこの規格を適用することで、情報資産の保護、法的および規制要件への準拠、および信頼性の向上を実現できる。
以下の主要な領域に焦点を当てている。
- 組織のセキュリティポリシーとリスクマネジメント
組織が情報セキュリティに関する方針を策定し、リスクを評価し、適切な対策を実施するためのガイダンスを提供 - 組織内の資産管理
情報資産の識別、分類、所有権の明確化、および適切な保護措置の実施に関するガイダンスを提供 - 人的セキュリティ
従業員や外部の関係者に対する教育、訓練、意識向上プログラムの実施に焦点を当て、内部脅威に対する対策を提供 - 物理的セキュリティ
物理的なアクセス制御、施設のセキュリティ、機器の保護など、組織内の物理的なリソースのセキュリティに関するガイダンスを提供 - 通信および操作のセキュリティ
ネットワークセキュリティ、システムの保護、アクセス制御、データの安全な処理など、情報の通信と処理に関するセキュリティの確保に焦点を当てる - アクセス制御
ユーザー認証、権限管理、アクセス監査など、情報資産へのアクセスを管理するためのプラクティスに関するガイダンスを提供 - 暗号化技術の適用
機密情報の保護やデータの機密性の確保のために、暗号化技術の実施に関するガイダンスを提供 - 情報セキュリティの監視、検証、および改善
セキュリティイベントの監視、セキュリティ対策の有効性の検証、情報セキュリティ管理プロセスの継続的な改善に関するガイダンスを提供
CMM(Capability Maturity Model)、またはSW-CMM(Software Capability Maturity Model)
ソフトウェア開発プロセスの成熟度を評価し、改善するためのモデル。ソフトウェアエンジニアリングインスティテュート(SEI)によって開発され、5つの成熟度レベルで構成されている。 CMMは、組織が自己評価やプロセス改善を通じて成熟度を向上させるための枠組みを提供する。
- 初期レベル(Initial)
プロセスが不安定で、予測不能な状態
作業はプロジェクトごとに異なり、再利用性が低い
成果物の品質やスケジュールの予測が難しい - 管理されていない(Managed)
プロセスが一部文書化され、プロジェクトごとに管理されている
プロセスの安定性が向上し、組織内の一貫性が増す
プロジェクト管理の基準が確立され、リスク管理が改善される - 定義された(Defined)
プロセスが組織全体で定義され、文書化されている
プロセスの一貫性と効率性が向上し、ベストプラクティスが採用されている
プロジェクトの計画と管理が標準化され、品質管理が強化されている - 管理された(Managed)
プロセスの測定と制御が行われ、データに基づいた意思決定が行われている
プロセスの改善が継続的に行われ、リスクが定期的に評価されている
プロジェクトの成果物の品質が一貫して高くなり、顧客満足度が向上する - 最適化された(Optimizing)
プロセスの最適化が行われ、継続的な改善が組織の文化として浸透している
プロセスの自動化と自己評価が進み、イノベーションが促進されている
組織は継続的な学習と成長を重視し、競争力を維持・向上させている
PMBOK(Project Management Body of Knowledge)
プロジェクトマネジメントのベストプラクティスを体系化したもので、プロジェクトマネジメントの標準リファレンスとして広く利用されている。PMBOKは、プロジェクトマネジメントの専門家やプロジェクトマネージャーがプロジェクトを計画し、実行し、監視し、制御し、閉鎖するための包括的なガイドとして役立つ。組織はPMBOKを活用することで、プロジェクトの成功確率を向上させ、リスクを最小限に抑え、資源の最適化を図ることができる。
PMBOKの主要な要点;
- 知識エリア
PMBOKは10の知識エリアを定義しており、それぞれがプロジェクトマネジメントの特定の側面に焦点を当てている。
例)スコープ管理、スケジュール管理、コスト管理など - プロセスグループ
PMBOKは5つのプロセスグループを定義しており、プロジェクトライフサイクル全体をカバーしています。これらのグループには、開始、計画、実行、監視・制御、閉鎖が含まれる。 - プロセス
各プロセスグループには、プロジェクトマネジメントの活動を実行するための一連のプロセスが含まれている。これらのプロセスは、プロジェクトの目的を達成するために必要な活動を定義する。 - 入出力
各プロセスには、入力、ツールとテクニック、出力が定義されている。これらの入出力は、プロジェクトマネジメントの活動をサポートし、プロジェクトの進行状況を追跡し、成果物を生成するのに役立つ。 - 成果物
PMBOKは、プロジェクトの成果物についても定義しており、これらの成果物はプロジェクトの目標を達成するために必要な全ての成果物やドキュメントを指す。
アメリカ連邦法(刑法、および民法)
ECPA(Electronic Communications Privacy Act of 1986)=1986年電子通信プライバシー法
司法当局が犯罪捜査の為に電子メールなどにアクセスする際の決まり。
CALEA(Communications Assistance for Law Enforcement Act)
1994年にアメリカ合衆国で制定された法律。通信業界に対して、警察や捜査機関が通信内容にアクセスできるようにするための手段を提供する義務を課す。
電話、インターネット、VoIPなどの通信手段を対象としていて、通信事業者に通信内容の盗聴や傍受のためのバックドアを提供することを義務付け、警察や捜査機関が法的手続きに基づいて通信データにアクセスできるようにする。
1974年プライバシー法(Privacy Act of 1974)
連邦政府による個人識別情報の収集、保有、利用および配布を規制する。
HITECH法(Health Information Technology for Economic and Clinical Health Act)
2009年にアメリカ合衆国で成立した法律。この法律は、医療情報技術(Health Information Technology:Health IT)の利用と普及を促進することを目的としています。電子健康記録(Electronic Health Records:EHR)の採用を奨励し、医療情報のデジタル化と共有を促進することで、医療の効率性と品質を向上させることを目指している。具体的には、医療機関や診療所におけるEHRの導入を補助する奨励金制度や、EHRのプライバシーとセキュリティを強化する規定などが含まれている。
FERPA (Family Educational Rights and Privacy Act)=家庭教育権とプライバシー法
幼稚園から大学生までの間の教育情報は教育機関に適切に保護されることを定めた法律。保護者は子供の教育情報を閲覧することができ、間違っている場合は修正をすることも可能。
GLBA(Gramm-Leach-Bliley Act)
ローン、財務・投資アドバイス、保険などの個人向け金融商品・サービスなどの個人金融資産を保護するための法律。対象はこれらの金融資産を提供する企業。対象となる金融機関は毎年、顧客へのプライバシー通知を提供する必要がある。
HIPAA(Health Insurance Portability and Accountability Act)
個人の病歴や投与している薬などから病気を推測できるので個人の健康情報は保護する必要がある。対象は医務室、保険会社、取引先、雇用主を含む(これに限定されない)医療データを扱う企業や事務所。保護する対象はPHI(Protected Health Information)。
NCA(Non-Compete Agreement)=競業禁止契約
雇用関係や取引関係において、一定の条件下で従業員や取引先が競合する事業を行わないことを約束する法的文書。通常、雇用契約や業務委託契約などで使用される。NCAは従業員や取引先が離職した後の競合活動を制限するために使用される。
一般的なNCAには、次のような内容が含まれる。
・競業禁止の期間(例:離職後1年間)
・競業禁止の範囲(例:同業他社、特定の地域)
・補償金の支払い(例:競業禁止期間中に支払われる金額)
NCAは法的文書であり、違反すると法的な制裁を受ける可能性があるため、雇用者や従業員、取引先など、関係するすべての当事者はその条件を遵守する必要がある。
例)従業員が離職した後、同じ業界や同じ顧客に対して競合する事業を始めることを防ぐために、前の雇用主がNCAを要求するなど
SLA(Service Level Agreement)=サービスレベル合意書
通信サービスやクラウド製品などのITサービスを受ける際に保証するサービス内容や責任範囲を細かく定義しておき、それらが達成できなかった際にどうするのかまでを定めたもの。責任範囲や説明責任の根拠を明確にし、サービスを受ける側からするとサービスの品質担保の根拠や万一の損失補償などに利用される。
例)フェイルオーバーの時間、稼働時間、最大連続停止時間
NDA(Non-Disclosure Agreement)
情報の機密性を保護するための法的文書。一般的に、機密情報を取り扱う関係者間での情報漏洩を防ぐために使用される。NDAは、企業や組織が契約を結ぶ取引先、従業員、外部のパートナー、顧客などの当事者間で情報の開示、利用、共有に関するルールや制限を定め、情報の機密性を確保するために広く使用される。NDAには、情報の定義、開示の範囲、機密情報の保持期間、違反時の制裁などが含まれる。これらの規定は、情報漏洩を防ぎ、契約当事者の権利と責任を明確にするために重要である。
具体的な状況としては、以下のようなものが挙げられる。
- 取引交渉
企業間や個人間での取引や提携の際に、機密情報を開示する前にNDAが締結されることがあります。これにより、取引先が提供された情報を第三者に漏洩することを防ぐ。 - 雇用関係
従業員が会社の機密情報にアクセスする場合、入社時にNDAに署名することが一般的。これにより、従業員は機密情報を保護し、会社の利益を守ることが求められる。 - アイデアや発明の保護
アイデアや発明を第三者に開示する際に、NDAが使用される。発明者やアイデアの考案者は、自分のアイデアや発明を保護し、他者がそれを横取りするのを防ぐためにNDAを要求することがある。
RTO(Recovery Time Objective)=目標復旧時間
どのくらいの時間でシステムを復旧させるのかの目標値
