【CISSPを目指して】0001日目

はじめに

5年前までCISSPを受験しようと思っていたけれど、挫折し、高度持ってるから、資格試験はもう良いや！と思っていたけれど、QiitaやXを徘徊していて合格記事を見て、もう一回受けてみようかな？と気持ちが高ぶってきました。

過去に受験経験もあり、かなりガチでやらないと合格できないことも知っているし、それだけの熱量を持ち続けていられる自信もない。

いくら資格持っても、報奨金出ないし、モチベーションがあがらないんですよね。
それに、一生懸命資格とっても、勉強しなかったら覚えた知識、すぐ忘れちゃうし、今受験したら高度多分合格出来ないと思う、

とまぁ、やらない理由はいくらでも上がるけど、他の人の合格体験記を読んで「やりたい」と思った日が吉日！

当面の目標は、合格ではなく、CISSP合格相当の知識を身につけることとし、息切れしないレベルで、ゆる～くやって行こうと思います。
（直近の優先事項はAtCoderでアルゴリズム学習なので、サブ的な位置づけで。）

目次

まずは、目次を作らないと迷子になるので、方向性を設定。

セキュリティとリスクマネジメントの基本概念

1.1. 情報セキュリティの基本原則
1.1.1. 機密性
1.1.2. 完全性
1.1.3. 可用性
1.1.4. 真正性
1.1.5. 否認防止

1.2. リスクマネジメントの概要
1.2.1. リスク特定
1.2.2. リスク評価
1.2.3. リスク対応
1.2.4. リスクモニタリング
1.2.5. リスクコミュニケーション

1.3. セキュリティポリシーと手順
1.3.1. ポリシーの種類
1.3.2. 標準
1.3.3. ガイドライン
1.3.4. 手順
1.3.5. ベースライン

1.4. セキュリティ意識向上とトレーニング
1.4.1. 意識向上プログラムの設計
1.4.2. トレーニング方法
1.4.3. 効果測定
1.4.4. 継続的教育
1.4.5. ソーシャルエンジニアリング対策

1.5. 倫理的ハッキングと脆弱性評価
1.5.1. 倫理的ハッキングの定義
1.5.2. 脆弱性スキャン
1.5.3. ペネトレーションテスト
1.5.4. レッドチーム演習
1.5.5. 脆弱性管理プロセス

資産セキュリティと物理的セキュリティ

2.1. 資産の分類と管理
2.1.1. 資産の種類
2.1.2. 資産台帳
2.1.3. 資産の価値評価
2.1.4. 資産のライフサイクル
2.1.5. 資産の廃棄

2.2. データのライフサイクル管理
2.2.1. データの作成
2.2.2. データの保存
2.2.3. データの使用
2.2.4. データの共有
2.2.5. データの廃棄

2.3. 物理的アクセス制御
2.3.1. 入退室管理システム
2.3.2. 生体認証
2.3.3. スマートカード
2.3.4. 監視カメラ
2.3.5. セキュリティガード

2.4. 環境セキュリティ
2.4.1. 温度管理
2.4.2. 湿度管理
2.4.3. 電源管理
2.4.4. 火災対策
2.4.5. 水害対策

2.5. サイトデザインと施設セキュリティ
2.5.1. セキュリティゾーニング
2.5.2. 障壁と境界
2.5.3. 照明設計
2.5.4. ロックシステム
2.5.5. 緊急時の出口設計

アクセス制御システムと方法論

3.1. アクセス制御モデル
3.1.1. 任意アクセス制御（DAC）
3.1.2. 強制アクセス制御（MAC）
3.1.3. ロールベースアクセス制御（RBAC）
3.1.4. 属性ベースアクセス制御（ABAC）
3.1.5. ルールベースアクセス制御

3.2. 認証メカニズム
3.2.1. パスワード認証
3.2.2. トークン認証
3.2.3. 生体認証
3.2.4. 多要素認証
3.2.5. シングルサインオン（SSO）

3.3. アクセス制御技術
3.3.1. ファイアウォール
3.3.2. プロキシサーバー
3.3.3. VPN
3.3.4. ネットワークアクセス制御（NAC）
3.3.5. データ暗号化

3.4. シングルサインオン（SSO）
3.4.1. SSOの種類
3.4.2. SSOの利点と欠点
3.4.3. SSOの実装方法
3.4.4. フェデレーテッド認証
3.4.5. SSOのセキュリティリスク

3.5. 特権アクセス管理
3.5.1. 特権アカウントの定義
3.5.2. 最小権限の原則
3.5.3. 特権アクセスの監視と監査
3.5.4. パスワードボールト
3.5.5. ジャストインタイム（JIT）アクセス

ネットワークセキュリティとテレコミュニケーション

4.1. ネットワークアーキテクチャとデザイン
4.1.1. ネットワークトポロジー
4.1.2. セグメンテーション
4.1.3. DMZ
4.1.4. VLANs
4.1.5. SDN（Software-Defined Networking）

4.2. セキュアなプロトコルとサービス
4.2.1. SSL/TLS
4.2.2. IPSec
4.2.3. SSH
4.2.4. SFTP
4.2.5. DNSSEC

4.3. ワイヤレスネットワークセキュリティ
4.3.1. WEP
4.3.2. WPA/WPA2
4.3.3. WPA3
4.3.4. EAP
4.3.5. ワイヤレス侵入検知/防止システム

4.4. ネットワーク攻撃と対策
4.4.1. DoS/DDoS攻撃
4.4.2. マンインザミドル攻撃
4.4.3. ARP spoofing
4.4.4. DNS poisoning
4.4.5. ポートスキャン

4.5. ネットワークモニタリングとログ管理
4.5.1. SIEM
4.5.2. IDS/IPS
4.5.3. ネットワークトラフィック分析
4.5.4. ログ収集と保管
4.5.5. セキュリティ情報の相関分析

アイデンティティと認証管理

5.1. アイデンティティ管理システム
5.1.1. ディレクトリサービス
5.1.2. IDaaS（Identity as a Service）
5.1.3. アイデンティティライフサイクル管理
5.1.4. ロール管理
5.1.5. アイデンティティガバナンス

5.2. 多要素認証
5.2.1. 知識要素
5.2.2. 所有要素
5.2.3. 生体要素
5.2.4. 場所要素
5.2.5. 行動要素

5.3. フェデレーテッドアイデンティティ
5.3.1. SAML
5.3.2. OAuth
5.3.3. OpenID Connect
5.3.4. トラストフレームワーク
5.3.5. クロスドメイン認証

5.4. シングルサインオン（SSO）の実装
5.4.1. エンタープライズSSO
5.4.2. ウェブSSO
5.4.3. モバイルSSO
5.4.4. クラウドSSO
5.4.5. SSOのセキュリティ考慮事項

5.5. ユーザープロビジョニングとデプロビジョニング
5.5.1. 自動プロビジョニング
5.5.2. セルフサービスプロビジョニング
5.5.3. ワークフロー承認
5.5.4. アカウント再認証
5.5.5. アクセス権の定期的レビュー

セキュリティアセスメントとテスト

6.1. セキュリティテストの種類
6.1.1. ブラックボックステスト
6.1.2. ホワイトボックステスト
6.1.3. グレーボックステスト
6.1.4. 静的解析
6.1.5. 動的解析
6.2. 脆弱性スキャンとペネトレーションテスト
6.2.1. 脆弱性スキャンの手法
6.2.2. ペネトレーションテストの計画
6.2.3. ペネトレーションテストの実施
6.2.4. 結果の分析と報告
6.2.5. 修正と再テスト
6.3. セキュリティ監査とレビュー
6.3.1. 内部監査
6.3.2. 外部監査
6.3.3. コンプライアンス監査
6.3.4. セキュリティポリシーレビュー
6.3.5. システム構成レビュー
6.4. リスクアセスメント手法
6.4.1. 定性的リスク分析
6.4.2. 定量的リスク分析
6.4.3. ハイブリッドアプローチ
6.4.4. 脅威モデリング
6.4.5. リスク軽減戦略
6.5. セキュリティメトリクスと報告
6.5.1. キーパフォーマンス指標（KPI）
6.5.2. セキュリティスコアカード
6.5.3. ダッシュボード作成
6.5.4. トレンド分析
6.5.5. 経営陣への報告

セキュリティ運用

7.1. インシデント対応と管理
7.1.1. インシデント対応計画の策定
7.1.2. インシデントの検知と分類
7.1.3. インシデントの封じ込めと根絶
7.1.4. システムの復旧
7.1.5. インシデント後のレビューと学習
7.2. ログ管理とセキュリティ情報イベント管理（SIEM）
7.2.1. ログ収集の設定
7.2.2. ログの正規化と相関分析
7.2.3. アラートの設定と管理
7.2.4. ログの保存と保護
7.2.5. フォレンジック分析のためのログ活用
7.3. チェンジマネジメントとパッチ管理
7.3.1. チェンジ管理プロセス
7.3.2. パッチ適用の優先順位付け
7.3.3. テスト環境でのパッチ検証
7.3.4. 本番環境へのパッチ適用
7.3.5. パッチ適用後の監視と評価
7.4. セキュリティ意識向上プログラム
7.4.1. トレーニングニーズの分析
7.4.2. トレーニング教材の開発
7.4.3. セキュリティ啓発キャンペーン
7.4.4. フィッシング訓練
7.4.5. トレーニング効果の測定
7.5. ディザスタリカバリと事業継続計画
7.5.1. リスクアセスメントと影響分析
7.5.2. 復旧戦略の策定
7.5.3. 計画の文書化
7.5.4. テストと訓練
7.5.5. 計画の維持と更新

ソフトウェア開発セキュリティ

8.1. セキュアなソフトウェア開発ライフサイクル（SDLC）
8.1.1. 要件定義段階のセキュリティ考慮事項
8.1.2. 設計段階のセキュリティレビュー
8.1.3. 実装段階のセキュアコーディング
8.1.4. テスト段階のセキュリティ検証
8.1.5. 運用・保守段階のセキュリティ管理
8.2. アプリケーションセキュリティテスト
8.2.1. 静的アプリケーションセキュリティテスト（SAST）
8.2.2. 動的アプリケーションセキュリティテスト（DAST）
8.2.3. インタラクティブアプリケーションセキュリティテスト（IAST）
8.2.4. ファジングテスト
8.2.5. コード品質分析
8.3. セキュアなコーディング practices
8.3.1. 入力検証
8.3.2. 出力エンコーディング
8.3.3. セッション管理
8.3.4. エラー処理とログ記録
8.3.5. クリプトグラフィの適切な使用
8.4. ウェブアプリケーションセキュリティ
8.4.1. クロスサイトスクリプティング（XSS）対策
8.4.2. SQLインジェクション対策
8.4.3. クロスサイトリクエストフォージェリ（CSRF）対策
8.4.4. セキュアなセッション管理
8.4.5. コンテンツセキュリティポリシー（CSP）
8.5. モバイルアプリケーションセキュリティ
8.5.1. データ保護と暗号化
8.5.2. セキュアな通信
8.5.3. アプリケーション権限管理
8.5.4. セキュアなデータストレージ
8.5.5. モバイルアプリケーションの難読化

事業継続と災害復旧計画

9.1. 事業影響分析（BIA）
9.1.1. クリティカルな業務プロセスの特定
9.1.2. 復旧時間目標（RTO）の設定
9.1.3. 復旧ポイント目標（RPO）の設定
9.1.4. 財務的影響の評価
9.1.5. 依存関係の分析
9.2. 災害復旧計画の策定
9.2.1. リスク評価
9.2.2. 復旧戦略の選択
9.2.3. 役割と責任の定義
9.2.4. コミュニケーション計画
9.2.5. 計画の文書化
9.3. バックアップと復元戦略
9.3.1. バックアップ方式の選択
9.3.2. オフサイトストレージ
9.3.3. データ暗号化
9.3.4. バックアップの定期的なテスト
9.3.5. 復元手順の文書化
9.4. 事業継続計画のテストと訓練
9.4.1. テスト計画の策定
9.4.2. テーブルトップ演習
9.4.3. 機能テスト
9.4.4. フルスケールシミュレーション
9.4.5. テスト結果の評価と改善
9.5. クラウドコンピューティングと事業継続
9.5.1. クラウドサービスの可用性評価
9.5.2. マルチクラウド戦略
9.5.3. データレプリケーション
9.5.4. クラウドベースの災害復旧サービス
9.5.5. クラウドプロバイダーとの契約管理

法律、規制、コンプライアンス、調査

10.1. 情報セキュリティ関連法規
10.1.1. サイバーセキュリティ法
10.1.2. データ保護法
10.1.3. 電子商取引法
10.1.4. 知的財産権法
10.1.5. 通信傍受法

10.2. プライバシー保護法と規制
10.2.1. 一般データ保護規則（GDPR）
10.2.2. カリフォルニア州消費者プライバシー法（CCPA）
10.2.3. 個人情報保護法
10.2.4. 越境データ転送規制
10.2.5. セクター別プライバシー規制

10.3. コンプライアンスフレームワーク
10.3.1. ISO/IEC 27001
10.3.2. NIST サイバーセキュリティフレームワーク
10.3.3. PCI DSS
10.3.4. HIPAA
10.3.5. SOX

10.4. デジタルフォレンジック
10.4.1. 証拠の収集と保全
10.4.2. データ分析技術
10.4.3. ログ分析
10.4.4. メモリフォレンジック
10.4.5. ネットワークフォレンジック

10.5. サイバー犯罪と法的対応
10.5.1. サイバー犯罪の種類
10.5.2. 国際的なサイバー法執行
10.5.3. サイバー犯罪捜査手法
10.5.4. 電子証拠の法的取り扱い
10.5.5. サイバーセキュリティ保険

情報セキュリティガバナンスと管理

11.1. 情報セキュリティ戦略の策定
11.1.1. ビジネス目標との整合性
11.1.2. セキュリティロードマップの作成
11.1.3. 予算計画と資源配分
11.1.4. 主要業績評価指標（KPI）の設定
11.1.5. 経営陣への報告と承認

11.2. セキュリティポリシーとプロシージャの管理
11.2.1. ポリシー階層の構築
11.2.2. ポリシーの作成と更新プロセス
11.2.3. 従業員教育とトレーニング
11.2.4. ポリシー遵守の監視と強制
11.2.5. 例外管理プロセス

11.3. リスクマネジメントフレームワーク
11.3.1. リスク評価手法
11.3.2. リスク軽減戦略
11.3.3. リスク受容基準
11.3.4. リスク転移オプション
11.3.5. 継続的リスクモニタリング

11.4. セキュリティ監査と評価
11.4.1. 内部監査プロセス
11.4.2. 外部監査の管理
11.4.3. 脆弱性評価とペネトレーションテスト
11.4.4. コンプライアンス監査
11.4.5. 監査結果の報告と改善計画

11.5. ベンダー管理とサードパーティリスク
11.5.1. ベンダー選定プロセス
11.5.2. セキュリティ要件の契約への組み込み
11.5.3. ベンダーのセキュリティ評価
11.5.4. サードパーティアクセス管理
11.5.5. ベンダーインシデント対応計画

直近の方向

個人的には

• ネットワークセキュリティとテレコミュニケーション
• アイデンティティと認証管理
• セキュリティアセスメントとテスト
• 法律、規制、コンプライアンス、調査
  が好きだから、ここからやって行きますか。

最後に

学習記録は、自分のブログでやろうと思ったのですが、WordPressって使い方、ものすごく変わった？
最後に触ったのが、2年くらい前で、最新バージョンインストールしたら、使い勝手が分からず大苦戦。

Qiita等で、復旧事例を見つかったものの、PHPをいじらないと行けなかったり苦戦しそうな気配がしたので、ひとまず撤退しました。

もう一度、WordPressの勉強とYoutubeで解説動画見ながら、リトライし、ブログが出来たらそちらの方での更新を行いたいと思います。