【CISSP対策】1発合格者による勉強ノート ドメイン1 #106~111

CISSP試験対策
2024.04.17
スポンサーリンク

はじめに

 CISSP(Certified Information Systems Security Professional)は試験範囲が膨大で、セキュリティに対する広く深い理解が必要です。
 公式トレーニングが最も有効な試験対策ですが、そんなお金ないよという方や独学で合格を目指す方のバイブルとなるよう用語集を作りました。
 ISC2発行の公式問題集の問題順に従い用語解説を行っているので、問題集と本サイトだけで対策可能な構成となっています。
 この記事ではドメイン1で登場する用語を中心的に解説しています。
※あくまで備忘録となるため、内容の正確性を保証するものではありません

使用した問題集について

 試験対策として公式が出版する問題集のみを使用して試験に合格しました。この問題集はAmazonで電子版の購入が可能です。Kindle版だと各問題番号が正答へのリンクとなっていてとても使いやすいので大変おススメです。

https://amzn.to/3WRcrSX

セキュリティとリスクマネジメント(ドメイン1)#106~111

CISSP倫理規定定量的リスクアセスメント

  • 社会、公益、公共から求められる信頼と信用、インフラを守る。
  • 法律に違わず、公正かつ誠実に責任を持って行動する。
  • 当事者に対して、十分かつ適切なサービスを提供する。
  • 専門性を高め、維持する。

企業合併時のリスク管理

 下記理由から、企業が合併する際には脆弱性スキャンとリスクアセスメントを行うことが推奨されている。

①セキュリティの統合

 合併によって、それぞれの企業が異なるセキュリティプロセスやシステムを持っている場合、脆弱性スキャンとリスクアセスメントを行いシステムやプロセスを評価し、統合するためのベースラインを確立する必要がある。

②リスクの特定

 合併によって、新たなリスクが生じる可能性があるので、脆弱性スキャンとリスクアセスメントを実施することで合併に関連する潜在的なセキュリティリスクを特定し、それに対処するための戦略を策定する必要がある。

③法的要件の遵守

 合併は規制や法的要件を伴うことが多く、個人情報保護法や金融規制などが挙げられる。脆弱性スキャンとリスクアセスメントを行うことで、これらの法的要件を満たし、適切なセキュリティ対策を実施する必要がある。

④信頼の確保

 企業合併は顧客や取引先に対して信頼を確保することも重要。セキュリティの強化やリスク管理の実施は、顧客や取引先に対して企業が情報セキュリティを真剣に考えていることを示す重要な手段となる。

退職処理

 退職処理は従業員が企業を離れる際に実施される重要なセキュリティプロセスである。情報資産を保護するために適切な手順を実施する必要がある。主に下記の対応が求められる。

①アクセスの削除

 退職する従業員のアクセス権をシステムやネットワークから削除する
 例)電子メールアカウント、システムアクセス権、物理的なアクセス権限

②データの引き継ぎ

 従業員が担当していた業務やプロジェクトに関連するデータや情報を適切に引き継ぐこと。
 例)ファイルの共有、ドキュメントの整理、重要な連絡先やパスワードの提供などが含まれます。

③機密情報の保護

 退職する従業員が知識や情報を持っている場合、その情報が企業外に漏れることを防ぐための対策が必要。
 例)機密情報の取り扱い方の再確認、機密情報を含む文書やデータの適切な処理、退職者との面談、NDA等

SCA(Security Control Assessment) =セキュリティコントロールアセスメント

 情報システムやネットワーク上で実装されたセキュリティコントロールが、設計通りに機能しているかどうかを評価するプロセス。この評価は、セキュリティポリシーや規制要件に準拠し、組織のセキュリティ目標を達成するために重要である。

下記のステップで実施される。

①セキュリティコントロールの効果確認

 実装されたセキュリティコントロールが適切に機能し、情報資産を保護するために効果的であるかどうかを確認する。技術的なセキュリティコントロール(ファイアウォール、侵入検知システムなど)や組織的な管理セキュリティコントロール(ポリシーや手順)の評価が含まれる。

②セキュリティリスクの特定

 脆弱性や脅威が特定され、それに対するリスクが評価される。セキュリティコントロールの評価によって、セキュリティリスクを最小限に抑えるための改善点や対策が特定される。

③規制要件の遵守

 セキュリティコントロールの評価は、規制要件やコンプライアンスの要求を満たすために必要。多くの場合、規制・政府機関や監査人は、セキュリティコントロールの効果を評価するためにセキュリティアセスメントを実施する。

④改善計画の策定

 セキュリティコントロールの評価から得られた結果をもとに、セキュリティの脆弱性や不足点に対処するための改善計画を策定する。これにより、セキュリティポストレビューや改善プロジェクトが実施される可能性がある。

リスクマネジメント

 主なリスク対応は4つある。

①リスク低減

 リスクの発生可能性・影響を抑える。管理・論理・物理的対策を導入する。
 例)FWの導入、データセンターの周りのフェンス

②リスク回避

 リスクを発生させる活動を停止する。リスクがある行動を一切取らない。
 例)事業を停止する

③リスク移転

 リスクによる影響を第三者へ移す。リスクの影響による損失を他者と共有したり移したりする。
 例)保険の加入

④リスク受容

 リスクを受け入れる。リスクの影響力が小さいと判断し、リスクに対する施策を取らない。決定プロセスを文書化する。
 例)何もしない

【CISSP対策】1発合格者による勉強ノート ドメイン1 #91~105
はじめに  CISSP(Certified Information Systems Security Professio...
jpsecengineer.com
2024.04.16
【CISSP対策】1発合格者による勉強ノート ドメイン2 #1~16
はじめに  CISSP(Certified Information Systems Security Professio...
jpsecengineer.com
2024.04.25

    タイトルとURLをコピーしました