CISSPの勉強は、範囲がとても広くどこから手を付けていいのかもわからない方も多いかと思います。
CISSPの「8ドメイン」の全体像を掴むのに少しでもやくだっていただければと思います。
ドメイン1 : セキュリティとリスクマネジメント
ここは技術的な話の土台となる、 セキュリティの考え方、決めごとを学ぶ分野です。
1. セキュリティの「3大目的」を学ぶ。
まずは、セキュリティ対策は何のために行うのか?これが有名な「CIA」です。
-
気密性(Confidentiality) :
- ひとことで言うと : 「見てはいけない人に見せない」
- 例 : パスワードでロックする、データを暗号化する
-
安全性(Integrity) :
- ひとことで言うと : 「データが勝手に書き換えられたり、壊されたりしない」
- 例 : データが本物か確認する仕組み(ハッシュ値など)、変更履歴を記録する
-
可用性(Availability) :
- ひとことで言うと : 「使いたいときに、ちゃんと使える」
- 例 : サーバーが止まらないように二重化する、攻撃(DDoS攻撃など)に備える
CISSPでは、あらゆるセキュリティ対策を「これはCIAのどれを守るため?」という視点で考えます。
2.「リスク」を正しく管理する(リスクマネジメント)
これがドメイン1の「核心」です。セキュリティ対策にはお金がかかります。限られた予算の中で、何を・どう守るかを合理的に決める手順を学びます。
-
リスクとは?
「悪いことが起こる可能性」と「起こった時の影響の大きさ」を掛け合わせたものです。 -
リスクへの4つの対策法 :
1. 回避(Avoid) : リスクが大きすぎるので、その活動自体をやめる。
(例 : 危険な国での事業をやめる)
2. 移転(Transfer) : リスクを他社に押し付ける
(例 : サイバー保険に入る、クラウドサービスを使う)
3. 軽減(Mitigate) : 対策をして、リスクの発生率や影響を下げる。
(例 : ファイアウォールを導入する、ウイルス対策ソフトを入れる)
4. 受容(Accept) : リスクは小さいと半田氏、対策せず「仕方ない」と受け入れる。
(例 : 対策費用が高すぎるので、万が一の時はあきらめる)
大事なのは、「なんとなく守る」のではなく、「リスクを分析して、経営陣が『どの対処法を選ぶか』をちゃんと決める」というプロセスです。
3/. 「ルール」と「責任」を決める(ガバナンス)
セキュリティは、現場のエンジニアだけが頑張ってもだめです。会社全体で取り組む必要があります。
-
ガバナンス : 「セキュリティの最終的な席には経営陣にある」という考え方です。経営陣が「うちの会社はこう守る」と方針を決め、ちゃんと実行されているか監視することです。
-
コンプライアンス : 「法律や業界ルールを守る」ことです。
(例 : 個人情報保護法、クレジットカードのルール[PCI DSS]など) -
ルールの階層 : 会社でルールを作るときの順番(階層)も学びます。
1. ポリシー(方針) : 会社の「憲法」。「こうあるべき」という一番偉いルール。
2. 標準(Standard) : 「具体的にこのOSを使いなさい」という強制力のあるルール
3. ガイドライン(Guideline) : 「こうするのが望ましい」という推奨ルール
4. 手順(Procedure) : 「このボタンを押して、次にこれを入力する」という具体的なマニュアル
ドメイン1のまとめ
このドメインで問われるのは、「あなたは経営者・管理者の立場で、どうやって会社を守るための『意思決定』をするか?」ということです。
技術的な知識よりも、「なぜそれが必要なのか?」「法律やコストとどうバランスを取るか?」といった管理的な視点が重要になります。