CISSPの勉強は、範囲がとても広くどこから手を付けていいのかもわからない方も多いかと思います。
CISSPの「8ドメイン」の全体像を掴むのに少しでもやくだっていただければと思います。
ドメイン3 : セキュリティアーキテクチャとエンジニアリング
ドメイン1・2が「ルール決め」や「モノの管理」といった管理的な話だったのに対し、ドメイン3は「どうやって安全なシステムを『設計』するか、という技術的・工学的な「骨組み」の話になります。
ここは(特にハッキング技術に興味がおありなら)面白い分野かもしれません。
1/. 一番の山場「暗号技術」
このドメインで最も多く時間が割かれるのが「暗号」です。暗号は、ドメイン1で学んだ「CIA」(機密性、安全性、可用性)を実現するための中心的な技術です。
-
共通鍵暗号(ASEなど)
- ひとことで言うと : 「暗号化する鍵と、元に戻す鍵が同じ」方式
- 特徴 : 処理が速い
- 弱点 : その「同じ鍵」をどうやって相手に安全に渡すか(鍵配送問題)が大変。
- 例 : ファイルZIPで固めてパスワードをかけるイメージ
-
公開鍵暗号(RSAなど)
- ひとことで言うと : 「鍵が2つ(公開鍵と秘密鍵)のペア」になっている方式
- 特徴
1/. 「公開鍵」(誰に見せてもOK)で暗号化したものは、ペアの「秘密鍵」(自分だけが持つ)でしか元に戻せない
2. 処理は遅い - 使われ方 : 安全に通信を始めるとき、まず「共通鍵暗号で使うための鍵」を、この公開鍵暗号で安全に好感します。(ハイブリッド暗号)
-
ハッシュ関数(SHA-256など)
- ひとことで言うと : データを「元に戻せない、固定長の文字列(指紋)」に変える技術
- 特徴 : 少しでも元データが違うと、指紋(ハッシュ値)は全く別物になる。
- 目的 : データの「安全性」(改ざんされていないか)を確認するため。パスワードの保存にも使われます。
2. CPUとOSの「特権」
なぜアプリ(WordやChromeなど)がフリーズしても、OS(WindowsやLinux)全体は落ちないのか?のという話です。
- ひとことで言うと : CPUレベルで「やっていいこと」の権限を使い分けてるから
- リング(輪)という考え方:
- リング0(一番内側) : OSの核(カーネル)。一番偉い。すべてのハードウェアを直接操作できる。
- リング3(一番外側) : 一般的なアプリ。一番偉くない。ハードウェアを勝手に触れない。(OSにお願いするしかない)
*目的 : 1つのアプリが暴走しても、OSの核(カーネル)やほかのアプリに悪盈虚を与えないように分離するためです。
3. 「物理的な守り」
どれだけすごい暗号やファイヤーウォールを導入しても、サーバー室に誰でも葉入れて、サーバー本体が盗まれたら終わりです。この分野では、建物や部屋といった「物理的な場所」をどう守るかを学びます。
-
多重防御(Defense in Depth)
- 「玉ねぎ」のように、何重にも守りを重ねる方法。
- 例 : 敷地にフェンス → 建物の入り口に警備員 → 入退室ゲート → サーバー室の鍵 → サーバーラックの鍵
-
環境対策
- 火事(ガス消火設備)、水漏れ、地震対策
- 電力(UPS導入)、停電しても、安全にシャットダウンするまでの時間稼ぎをするバッテリー
ドメイン3のまとめ
このドメインで問われるのは、「安全なシステムをゼロから設計・構築するために必要な、技術的な『部品(暗号・OS・ハードウェア)』と『設計図(セキュリティモデル)』を理解していますか?」ということです。
かなり技術的な要素が強いですが、ここを理解すると、次の「ネットワーク」の話がとても分かりやすくなってきます。