Go to Qiita Advent Calendar 2024 Top
LoginSignup
5
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@H4ppyR41nyD4y()

「CISSP的考え方」とはなんなのか?

Last updated at Posted at 2024-01-09

CISSP的考え方とは?

CISSP試験において、知識があっても「CISSP的考え方」がないと解答が導き出せないと言われていますが、CISSP的考え方とはどのようなものなのでしょうか?

合格体験記等から試験前に見返すために自分用にまとめました。

Kelly Handerhanさん

  • Your Role is a Risk Advisor -- Do NOT fix Problems
    • CISSPは、問題を修復する(Firewall設定を見直すなど)役割ではない。
    • CISSPの役割は、情報収集し、上級管理職に報告し、アドバイスを与えること
  • Who is responsible for security?
    • CISSPは選択と決定を行わない。上級管理職が行うこと。
    • いきなり変更などの行動をしない。変更管理プロセスに違反している。
  • How much security is enough?
  • All decisions start with risk management, whitch starts with Evaluating your assets.
    • 資産の評価から始める。
    • 資産価値を超える対策は行わない。
  • Think "End Game"
    • 最終的なゴールを考える。
  • "Security Transcends Technology"
    • テクノロジーが変わってもセキュリティ原則は変わらない
    • 新しい技術を学ぶより原則を学ぶ
  • Physical safety is always the first choice
    • 人の安全が最優先。
  • Hey, Techmical people --- Stay out of the weeds!!!
    • 技術的な解決よりも、管理とプロセスを考えること
    • ビジネスニーズを優先すること
  • Incorporate security into the design, as opposed to adding it on later
    • 早い段階からセキュリティを考える
    • シフトレフト

晴耕雨読さんのまとめ

Q. いつからセキュリティ対策を考えるのか?(When)

A. システムの用件定義などの早い段階から検討する。一番良いのはライフサイクルの中にセキュリティを組み込むこと

Q. どこをセキュリティ対策すべきか?(Where)

A. 定量的評価では価値の高い資産から順に、定性的評価では発生可能性と影響を考慮して、優先順位を付けて守る。全てを守る必要はない

Q. どの立場からセキュリティを考えるのか?(Who)

A. 経営者の視点からセキュリティ対策を考える。技術の安全な利活用の方法とビジネスへの貢献を考える

Q. 何を最優先に守るべきか?(What)

A. 健康と人命が最優先。人を守れない組織に、資産を守ることはできない

Q. なぜセキュリティ対策をするのか?(Why)

A. 最低限の安全確保をして最大限にITを利活用するため。対策費用が予想被害額よりも高くてはいけない

Q. どのようにセキュリティ対策をするのか?(How)

A. 範囲を決めてガイドラインや国際的なスタンダードなどのベストプラクティスを実施する。次に、少しずつ手順を組織に合うように調整していく

Q. どのくらいセキュリティ対策が必要なのか?(How much)

A. 攻撃を完全に防げる対策は存在しない。しかし、攻撃者を諦めさせる対策や侵入を遅らせる遅延策の組み合わせでも十分効果がある

引用元

knmtsさんのまとめ

セキュリティはあくまでもビジネスの補助役である

では CISSP 的な考え方は何だ?となるわけですが「セキュリティはあくまでもビジネスの補助役である」という考え方に尽きると思います。
「ビジネスを車に例えると、収益を産むのがアクセルで、セキュリティはブレーキにあたる。理想的にはアクセルを踏み続けたいが、障害物を回避する際などにはブレーキも適切に使わないと事故になってしまう。だからと言って、ブレーキをずっと踏んでいると車はちっとも進まない。ブレーキは必要な時に必要な最小限だけ使用するのが良いのであって、セキュリティについてもそのように考えるべき。」です。抽象的な問題を考える際の出発点として、この考え方を念頭に置いておけば、概ね妥当な回答ができるのではないでしょうか。

引用元

PEDPINのまとめ

1.企業目標を達成するためのセキュリティ

企業で実現したい目的に見合った規模・範囲でのセキュリティを担保する

2.安全な状態などない

すべてのリスクを排除する完璧な状態がないということを理解する

3.すべてはお金で説明

明確な基準がないと評価できない

4.組織の一員としての判断

勝手に業務スコープを広げない。取締役ではなくあくまでもセキュリティ専門家としての職務を全うしないとならない。他の職務の権限を含むような判断を勝手にしてはいけない。また、真っ当な説明責任が果たせるように合理的で筋が通っていないといけない。

引用元

shmatsuyさんのまとめ

私の解釈では CISSP 的な考え方は人命は最優先な上でヒト・モノ・カネのバランスがとれていること、生産性を損なわないための最適解。という感じ。

引用元

Ozte9さんのまとめ

CISSPはプロフェッショナルとして動くべきことを意識する。(ISC)² 倫理規約を読んでおく。

2択になったら、「どちらがより多くの人/システムに対応することができるか」を考えて、範囲が広いほうを選ぶ。一般性が高いほうを選ぶ。

目線は経営者(ビジネス)目線にする。リスクと対策コストを比較して、対策コストのほうが高いのならばリスク受容する。
人命に関わる場合はどんな事態であっても人命優先。

引用元

5
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?