CISSPの勉強は、範囲がとても広くどこから手を付けていいのかもわからない方も多いかと思います。
CISSPの「8ドメイン」の全体像を掴むのに少しでもやくだっていただければと思います。
ドメイン2 : 資産のセキュリティ
ドメイン1が「どう守るか(ルール決め」だったのに対し、ドメイン2は「何を守るか(モノの管理)」です。
1. CISSPでいう「資産」は「データ」のこと
まず、大事なのは「資産」と聞くとPCやサーバーなどの「モノ」を想像しがちですが、CISSPで最も重要視する資産は「データ(情報)」そのものです。
PCやサーバーは、極端に言えば「データを守るための箱」にすぎません。このドメインでは、「データ」をどう管理し、守り、そして安全に捨てるかを学びます。
2. データに「ランク付け」をする(データ分類)
会社には「超重要な顧客情報」から「どうでもいい社内メモ」まで、様々なデータがあります。これらすべてに最高レベルのセキュリティ(例えば、すべて暗号化して金庫に入れる)をかけるのは、お金と手間がかかりすぎて現実的ではありません。
そこで、データの重要度に応じて「ランク付け(分類)」を行います。
- ひとことで言うと : 「守るべきデータに優先順位を付ける」こと。
- 目的 : 限られた予算(コスト)で、大事なものから効率よく守るため。
- 分類の例:
- 機密(Confidential) : 漏れたら会社が倒産するレベルの超重要情報。(例 : 顧客の個人情報、新製品の設計図)
- 社外秘(Internal Use Only) : 社員だけが見ても大丈夫な情報。(例 : 社内の連絡網、業績データ)
- 公開(Public) : 誰が見てもよい情報。(例 : プレスリリース、ホームページの情報)
※ 軍隊や政府機関では「トップシークレット」「シークレット」といった別の分類を行います。CISSPでは両方の考え方が出てきます。
3. データの「役割分担」を決める(所有権)
データを守るために、「誰が」「何をするか」という役割分担を決めます。
-
データオーナー(Data Owner) :
- ひとことで言うと : データの「管理者・責任者」
- そのデータに対する最終的な責任を持つ人。多くは、そのデータを業務で使う部門の偉い人(部長など)がなります。
- 「このデータは『機密』ランクにする」とか「誰にアクセス許可を出すか」を決定します。
-
データカンストディアン(Data Custodian) :
- ひとことで言うと : データの「実務者・保管者」
- IT部門のエンジニアなど、オーナーから依頼されて「実際にデータを守る作業」をする人です。
- 例 : バックアップを取る、アクセス権の設定作業をする、サーバー管理をする
-
データユーザー(Data User) :
- ひとことで言うと : データの「利用者」
- そのデータを業務で使う一般社員のことです。
4. データを「安全に捨てる」(残存データ・廃棄)
データは、使い終わったら安全に捨てなければなりません。PCのゴミ箱で「削除」しただけでは、データはHDDやSSDから完全には消えていません。(これを「データ残存」と言います)
- ひとことで言うと : 「復元できないように、完全に消し去る」こと
- 削除(Erasing) : ゴミ箱を空にするレベル。(簡単に復元できる)
- クリア(Clearing) : 専用ソフトで無意味なデータを上書きする(復元が難しくなる)
- パージ(Ourging) : 特殊な磁気を使って消す。(さらに強力)
- 破壊(Destruction) : 物理的にドリルで穴を開けたり、粉砕したりする。(最も安全)
「機密」ランクだったデータが入ったHDDを捨てるときは、ただゴミ箱に入れるのではなく、「破壊」するなど、そのランクにふさわしい捨て方をしなければならない、ということです。
ドメイン2のまとめ
このドメインで問われるのは「あなたは『データ』という資産の価値を正しく見極め、ランク付けし、担当者を決め、生まれてから捨てるまでの一生を、同管理しますか?」ということです。
ドメイン1の「ルール」に基づき、ドメイン2で「モノ(データ)」を管理する、という流れになっています。