- 勉強の為のメモです。内容は保証できません。正確な情報はCISSP CBKや公的なガイドライン等の参照お願いします。
- 記載者の独自の解釈を含みます。
- CISSPの試験内容は秘密であり、ここに書かれた内容が試験に直接でることはありません。
- 記載の範囲はCISSPドメインガイドブックの範囲と揃えられるよう努力しています。また、章立て、項番を(可能な限り)一致させています。
初めに
- インフラ関連を得意とするSE です。最近はDXな感じの部署で働いてます。
- 2023年4月にCISSPの試験を受けて無事合格しました。→ CISSP合格したので勉強法など
- discordでCISSPとその他の資格の勉強会をしています。→ CISSPその他の資格の勉強会
- 宜しければ一緒に勉強しましょう!!
範囲
ドメインガイドの以下の項目についてのまとめです。
1.1 職業倫理を理解し、遵守し、促進する
» 職業倫理、組織的倫理規定
» (ISC)²倫理規約
1.2 セキュリティの概念を理解し、適用する
» 機密性、完全性、可用性、信頼性、否認防止
1.3 セキュリティガバナンスの原則を評価し、適用する
» セキュリティ機能と事業戦略、目標、ミッション、目的との合致
» 組織におけるプロセス(買収、会社分割、ガバナンス委員会等)
» 組織における役割と責任
» セキュリティコントロールフレームワーク
» デューケア/デューデリジェンス
1.1 職業倫理を理解し、遵守し、促進する
セキュリティのプロフェッショナルにとって最も重要なこととして「厳格な倫理規定を理解し、それに従うこと」とCISSP CBKでは定義されています。
職業倫理、組織的倫理規定
属する組織、組織の属する業界の倫理規定を理解し、それに従うことが重要です。CISSPにおいては「倫理」は非常に重要な項目で、条文暗記以上のものを求められます。
(ISC)²倫理規約
以下の公式ページをご参照ください。4つのCanonが定められています。暗記と理解必須です。
Canonの上のほうがより重要で、Canon同士が矛盾する場合は上の項目を優先するとのこと。
普及に努めるために引用します。考えられた良い項目だと思います。
- Canon Ⅰ : 社会、一般大衆の福利、およびインフラを保護する
- Canon Ⅱ : 法律に違わず、公正かつ誠実に責任を持って行動する
- Canon Ⅲ: 当事者に対して、十分かつ適切なサービスを提供する
- Canon Ⅳ: セキュリティ専門家としての知識を向上し、保護する
※過去にはこのCanonごとに「Objectives for Guidance」という細則がついていたのですが、今は廃止されているようです。
Ethics and the internet
また、RFC1087(Ethics and the Internet)も有名な倫理項目なので押さえておくべきです。
以下を容認できないこと、として挙げています。
(a) インターネットのリソースに不正にアクセスしようとすること。
(b) インターネットの意図された利用を妨害すること、
(c) そのような行為により、資源(人、能力、コンピュータ)を浪費する。
(d) コンピュータを利用した情報の完全性を破壊すること。
(e) 利用者のプライバシーを侵害する。
1.2 セキュリティの概念を理解し、適用する
機密性、完全性、可用性、信頼性、否認防止
いわゆるCIA3要素+2です。セキュリティの勉強をすると1ページ目にでてくる要素なので、絶対に覚えておく必要があります。(まあ、基本のきなので覚えちゃうと思いますが)
定義はCBKを引用します。
機密性(Confidentiality)
機密性とはデータへのアクセスを許可されたユーザ及びシステムに制限し、許可されていない当事者からのアクセスを制限するという概念。(CISSP CBK reference 6th edition)
この「機密性」が侵害された例として情報漏洩などがあります。
完全性(integrity)
完全性(integrity)とは、データとシステムの正確性(accuracy)、妥当性(validity)、完全性(completeness)を維持するための概念。これにより、許可された目的を持つ許可された当事者以外のものによってデータが操作されず、許可されていない操作が簡単に識別できるようになる。(CISSP CBK reference 6th edition)
難しいのが、integrityについて「完全性」と訳されますが、いわゆる完全性(completeness)だけでなく、正確性(accuracy)、妥当性(validity)を含みます。※英語難しく、明確な概念説明できませんw
「完全性」が侵害された例として、Webページの改ざんなどがあります。
可用性(availability)
承認されたユーザが必要な時にデータにアクセスできるようにすることに焦点を当てた概念。エンタープライズ環境では、可用性の概念は、正当な関係者が業務を遂行するために必要なシステムとデータにタイムリーかつ中断なくアクセスできることを保障することを伴う。(CISSP CBK reference 6th edition)
CISSPでは「ビジネスの継続性」を非常に大事にするため、可用性が侵害されないことは重要事項です。
可用性が侵害されると、(例えばDDos攻撃により)サービスの利用に問題が生じます。
信頼性、否認防止(authenticity and nonrepudiation)
CIA以外で重要な要素です。
信頼性と否認防止は、完全性に密接に関連する2つの概念です。信頼性は、データが本物であり、すべての関係者が本人であることを保障することを指します。
否認防止は、情報セキュリティの世界で強い類似点を持つ法的原則です。この概念では、当事者が自分の行動(データの作成、変更、削除など)を拒否できないようにする必要があります。デジタル署名は情報システムの信頼性と否認防止を確立するために使用されるもっとも一般的なメカニズムです。(CISSP CBK reference 6th edition)
ちょっとだけまとめると以下のようになります。
- 信頼性(authenticity) - 「情報作成者の適切な属性」 (The proper attribution of the person who created information) 本人が本人と信頼できること。二要素認証等、認証(authentication)に関する性質
- 否認防止(nonrepudiation) - 当事者が自分の行動(データの作成、変更、削除など)を拒否できないようにする。監査ログ、デジタル署名など。
1.3 セキュリティガバナンスの原則を評価し、適用する
セキュリティ機能と事業戦略、目標、ミッション、目的との合致
非常に重要なこととして、
「セキュリティとビジネスが競合し、セキュリティがビジネスの阻害要因としてみなされる、というよくある事態を避け、ビジネスが、「セキュリティのおかげで」その目的を達成できるものにしなくてはならない。」
ということがあります。とにかくCISSP的な考え方として、「ビジネス」のためのセキュリティ(あと「人命」のため)が重要であり、「セキュリティの為にビジネスを止める」 というのはあってはならないこととされています。
ビジネスの目標、目的、ミッションを遂行するために(セキュリティが)その機密性、完全性、可用性を担保する必要があり、また それを認識してもらう必要 があります。
とにかくCISSPの活動において、「CISSPとしての考え方」が非常に重要です。暗記項目やセキュリティサービスに比べ地味だし学習しづらいですが、学習するうえでも意識しておく必要があります。
組織におけるプロセス(買収、会社分割、ガバナンス委員会等)
買収や、会社分割などは大きなセキュリティリスクを伴います。代表的なリスクは以下です。
買収・M&Aなどの場合
- 未知のITインフラストラクチャの吸収 - セキュリティプロセスの違いにより、2つの事業の統合中及び統合後に運用上の課題や一貫性のないプロシージャが発生する可能性がある。
- 新しい攻撃ベクトル - 新しいシステムとの統合により、今までなかった攻撃ルートが発生する可能性がある
- リソースへの影響 - セキュリティ機能・ポリシーの統合やセキュリティツールの統合によりセキュリティが薄くなる可能性がある。
- 従業員の不満 - M&Aにより従業員に深刻な不満が発生する可能性があり、インサイダーの脅威が発生する可能性がある
会社分割などの場合
- 知的財産の保護 - 会社を分離して別の組織にする会社分割の場合に、知的財産の保護が問題となることがある
組織における役割と責任
ここは非常にややこしいというか、公式に明確な定義がない、かつ日米で役職のイメージが違うので難しいです。。また、だれが 最終的な責任者 なのか、日常的な運用に 責任を持つのか、ということを理解する必要があります。
よくある定義(わたしの解釈込みです!ご注意!)
| 役職 | セキュリティに関する役割 |
|---|---|
| CEO | セキュリティ全体の 最終的な 責任を負う。基本的にセキュリティはビジネスと共にあるのでビジネス上の責任者が、セキュリティについても 最終的な 責任を負うことが望ましい。 |
| CIO,CISO | 情報セキュリティプログラムの所有者となる。セキュリティコントロールが実施されることに責任をもつ |
| データオーナー | 自分がオーナーとなるデータに対して 最終的な 責任を負う。一般的にシニアマネジメントがなることが多い。カストディアンに対して日常業務を委任することができる。ただし、 最終的な責任(responsibility)は委譲できない 。データの分類を実施する。 |
| データカストディアン(custodian) | 一般的にITシステム部の誰かがなることが多い。どのようなコントロールが必要かなどを決定することはない。データオーナーのために、委譲された 日常的な コントロールに責任をもつ |
| データ管理者(Data Administratror) | 利用者へのアクセス許可を与える(RBACが利用されることも) |
| 資産(Asset)オーナー | 自分がオーナーとなる資産に 最終的な 責任を負う。機密データを処理する資産またはシステムを所有し、機密データ及び関連するセキュリティ計画について責任をもつ |
| 利用者 | システムを通じてデータにアクセスする |
| ビジネスオーナー/ミッションオーナー | 名前のままであるが、ビジネスやミッションに責任を持つ |
セキュリティコントロールフレームワーク
組織にセキュリティを導入するための一般的なフレームワークについても理解しておく必要があります。
FIPS200とSP800-53
FIPS-200「連邦政府の情報および情報システムに対する最低限のセキュリティ要求事項」とその要求事項を具体化したSP800-53_rev5「組織と情報システムのためのセキュリティおよびプライバシー管理策」です。
米国政府用のセキュリティフレームワークですが、一般的に利用されることが多いです。(後述しますが、最近は(米国政府サプライチェーンにいる)民間企業向けのフレームワークもあり、そちらが参照されることも多いようです。
- FIPS-200「連邦政府の情報および情報システムに対する最低限のセキュリティ要求事項」
- SP800-53_rev5「組織と情報システムのためのセキュリティおよびプライバシー管理策」
SP800-53には具体的なセキュリティコントロールが以下のように分類されて定められています。
※ SP800-53_rev5より引用
NIST-SP800-53には末尾にAとBがつく2つの付属文書があります。
-
NIST SP800-53A Rev4 “Assessing Security and Privacy Controls in Federal Information Systems and Organizations: Building Effective Assessment Plans”
(セキュリティコントロールを評価するアセスメントのガイドライン)この文書の中で各セキュリティコントロールのカテゴリが示されています。これについて理解が必要です。
| カテゴリ | 内容 |
|---|---|
| 仕様 | 文書ベースの成果物(例えば、方針、手順、計画、システムセキュリティ及びプライバシー要件、機能仕様、アーキテクチャ設計) |
| メカニズム | ハードウェア、ソフトウェア、またはファームウェアのセーフガードと対策 |
| アクティビティ | バックアップ、監視など運用的作業 |
| 個人 | これらを実行する運用者及びセキュリティを適用する対象となる人々 |
- NIST-SP800-53B Control Baselines for Information Systems and Organizations
(セキュリティコントロールをテーラリングするためのガイドライン)
SP800-171 非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護
サプライチェーンセキュリティのリスクの高まりから、米国政府のサプライチェーンに属する民間企業についても必要なセキュリティフレームワークが定義されました。
ここの資料が非常にわかりやすいので一読をお勧めします。
SP800-53 は基本的にCI(機密情報)を取り扱う組織向けのセキュリティ管理策である。
SP800-171は非政府組織の(CUI)管理対象非機密情報に対するセキュリティ管理策。
ISMS (ISO/IEC 27001,2)
ISMSとして日本でも一般的なISO27000シリーズも代表的なフレームワークです。
FIPS200とSP800-53の関係と同じく、27001が要求事項、27002がセキュリティコントロールについて書かれています。
・ISO/IEC27001 情報セキュリティマネジメントシステム(ISMS)に関する国際規格
・ISO/IEC27002 情報セキュリティマネジメントシステム(ISMS)に関するベストプラクティスのガイドライン
↑JIS版(ISOからJISにローカライズされる。基本中身は同じ
NIST Cybersecurity Framework (CSF)
NISTが出しているSP800シリーズとは別のセキュリティフレームワークもあります。
理解する前は非常に混乱しましたが、以下の狙いがあります。
- NISTSP800シリーズが具体的なセキュリティコントロールを定めているのに対しCSFでは管理手法、体制を定義する
- 今までのセキュリティ対策が「予防」「防御」に焦点を当てていたのに対し侵入後の「検知」「対応」「復旧」にまで焦点をあてる
- 攻撃手法が高度化し、侵入を完全に防ぐことはできないという昨今の事情を踏まえ、セキュリティ対策をアップデートする
↓NIST SP-171と同じく、このサイトが非常にわかりやすいです。ありがたや。
CIS Controls
別観点のフレームワークとして、CIS(Center for Internet Security)が発行している、CIS Controlsもあります。
これは、セキュリティコントロールのリストを対策として大きな効果がある順番にならべてくれており、(ちょっと誤解を招いて怒られるかもしれませんが)単純に順番に検討・適用していくことができます。
非常にアセスメントコストがかからないので、使いやすいです。
デューケア/デューデリジェンス
CISSPの学習で初めでてくるよくわからない概念です。(個人的には対立的にとらえるから余計にわからないような、、、後述します)。「この時、Aさんが実践したのはDue careか、Due diligenceかどっち??みたいな文脈で登場します」
基本的には、「Due diligence =事前に発揮するもの」, 「Due care = その時に発揮するもの」ととらえておけば問題を解くうえではOKかと思います。
- Due diligence - 事前にちゃんと調査すること
- Due care - 行動時に適切に注意すること※善管注意義務
↓個人的には以下サイトの法律用語としての説明がわかりやすかったです。
デューデリジェンスはデューケアと似ていますが、この2つの概念は本質的に異なります。デュー・ケアとは、何かを正常に機能させるために必要なメンテナンスを行うことです。また、ある人がある状況下で期待されていることを守ることでもあります。つまり、デュー・ケアとは、十分に注意することを指します。一方、デューデリジェンスとは、特定の行動計画に着手する前に徹底的な調査を行うことです。
デュー・ケアとデュー・デリジェンスの違いは、契約法で説明するのが一番わかりやすい。もし誰かが、契約書に署名し、その条件にコミットする前に、契約書の条件および/または契約書を発行する会社を調査した場合、その人は契約書の条件をすべて理解するために勤勉であったことになる。これは、デューデリジェンスの行使である。一旦契約書にサインしたら、その条件を遂行するために十分な注意を払って行動することが期待される。つまり、期待されることをするか、その結果に苦しむことが想定される。(上記サイトより引用)
※個人的には2つの「気遣いの形」のように統一的にとらえずに、「職業的気遣い(Due care)」と「業務分野(Due diligence)」とまったく別の概念ととらえたほうがわかりやすい気が、、、
- Due care - 善管注意義務
- Due diligence - 以下のような調査業務(財務DD、M&ADD、税務DDなどなど)
以上