個人用CISSP壁打ちメモ

章ごとに思ったことをメモするチラシの裏

Domain1　セキュリティとリスクマネジメント

リスクマネジメントと危機管理（BCP）

リスク管理と危機管理は異なる。未然に対する活動と、必然に対する活動。なのでbcpで言うところのビジネスインパクト分析は、リスク管理におけるそれとは導く出力結果が全然異なる。なんならリスクを活用するなんて発想はbcpには無い。

Due XX

Due Care：組織が取組みを適切に実施すること
Due Diligence：第三者それを監査・評価すること

Domain2　資産のセキュリティ

合衆国の機微データに対する分類体系

├Top Secret 最高機密 ├Secret 機密 ├Confidential 秘密 など ├CUI - Controlled Unclassified Info. 要管理の非格付けデータ など

Domain3　セキュリティアーキテクチャーとエンジニアリング

Domain4　通信とネットワークセキュリティ

Domain5　アイデンティティとアクセスの管理

IDaaS

IDaaS
├ IdP
　├ 認証
　├ 認可
　├ SSO
　├ フェデレーション
　├ トークン管理
├ MFA
├ ABAC
├ IDストア
├ IAM
　├ RBAC
└ 監査ログ

Domain6　セキュリティの評価とテスト

Domain7　セキュリティの運用

Domain8　ソフトウェア開発セキュリティにおけるセキュリティを理解し適用する

データベース

1. トランザクション開始
2. UNDO（ロールバック）に備える情報がジャーナルへ
3. REDO（ロールフォワード）に備える情報がジャーナルへ
4. トランザクションが論理的に（メモリ上で）確定※コミット
   　>> 1～4蓄積
5. メモリ上のデータがディスクへ※チェックポイント

データベースは、未コミットの状態のトランザクションであっても、メモリからディスクに書き込まれて（＝チェックポイント）、メモリの保持するトランザクションデータを開放する（負荷軽減）。 ※チェックポイントは、データの整合性確保ではなくメモリ最適化のためのもの！

ディスク上のデータが全てコミットされているか否かは、トランザクション管理システム（TMS）によって事後的に評価され、常に整合性が保たれる。

往々にして、ロールバック（トランザクション異常、コミットされない場合）は、TMSが自動で行う仕事であり、UNDOログを用いてトランザクションを無かったことにする。

また往々に、ロールフォワード（ディスク故障など）は、人が手動で行う仕事であり、時点のバックアップのリストアに対して、以降新たにコミットされたトランザクションの全てを、REDOログを用いてディスクに反映する。

大項目	中項目
第１章 セキュリティとリスクマネジメント	1.1 職業倫理を理解し、遵守し、促進する
第１章 セキュリティとリスクマネジメント	1.2 セキュリティの概念を理解し、適用する
第１章 セキュリティとリスクマネジメント	1.3 セキュリティガバナンスの原則を評価し、適用する
第１章 セキュリティとリスクマネジメント	1.4 コンプライアンスおよびその他の要件を決定する
第１章 セキュリティとリスクマネジメント	1.5 情報セキュリティに関連する法的および規制上の問題を総合的に理解する
第１章 セキュリティとリスクマネジメント	1.6 調査の各種類の要件を理解する
第１章 セキュリティとリスクマネジメント	1.7 文書化されたセキュリティポリシー、スタンダード、プロシージャ、およびガイドラインを策定し、実施する
第１章 セキュリティとリスクマネジメント	1.8 事業継続(BC)要件を特定し、分析し、優先順位付けする
第１章 セキュリティとリスクマネジメント	1.9 人員のセキュリティポリシーとプロシージャに貢献し、実施する
第１章 セキュリティとリスクマネジメント	1.10 リスクマネジメントの概念を理解し、適用する
第１章 セキュリティとリスクマネジメント	1.11 脅威モデリングの概念と手法を理解し、適用する
第１章 セキュリティとリスクマネジメント	1.12 サプライチェーンリスク管理
第１章 セキュリティとリスクマネジメント	1.13 セキュリティ意識、教育、トレーニングプログラムを確立し、管理する
第２章 資産のセキュリティ	2.1 情報と資産を特定し、分類する
第２章 資産のセキュリティ	2.2 情報と資産の取り扱い要件を確立する
第２章 資産のセキュリティ	2.3 リソースを安全にプロビジョニングする
第２章 資産のセキュリティ	2.4 データライフサイクルを管理する
第２章 資産のセキュリティ	2.5 適切な資産保持を確実にする
第２章 資産のセキュリティ	2.6 データセキュリティ管理とコンプライアンス要件を決定する
第３章 セキュリティアーキテクチャーとエンジニアリング	3.1 安全な設計原則を使用してエンジニアリングプロセスを調査し、導入し、管理する
第３章 セキュリティアーキテクチャーとエンジニアリング	3.2 セキュリティモデルの基本概念を理解する
第３章 セキュリティアーキテクチャーとエンジニアリング	3.3 システムセキュリティ要件に基づき管理策を選択する
第３章 セキュリティアーキテクチャーとエンジニアリング	3.4 情報システムのセキュリティ能力を理解する
第３章 セキュリティアーキテクチャーとエンジニアリング	3.5 セキュリティアーキテクチャ、設計、およびソリューション要素の脆弱性を評価し軽減する
第３章 セキュリティアーキテクチャーとエンジニアリング	3.6 暗号化ソリューションを選択し、決定する
第３章 セキュリティアーキテクチャーとエンジニアリング	3.7 暗号解読攻撃の方法を理解する
第４章 通信とネットワークセキュリティ	4.1 ネットワークアーキテクチャに安全な設計原則を評価し、適用する
第４章 通信とネットワークセキュリティ	4.2 安全なネットワークコンポーネント
第４章 通信とネットワークセキュリティ	4.3 安全な通信チャネルを設計し構築する
第５章 アイデンティティとアクセスの管理	5.1 資産への物理的および論理的アクセスを制御する
第５章 アイデンティティとアクセスの管理	5.2 人、デバイス、サービスの特定および識別を管理する
第５章 アイデンティティとアクセスの管理	5.3 認証システムを実装する
第５章 アイデンティティとアクセスの管理	5.4 認可の仕組みを実装し管理する
第５章 アイデンティティとアクセスの管理	5.5 アイデンティティおよびアクセスプロビジョニングのライフサイクルを管理する
第５章 アイデンティティとアクセスの管理	5.6 サードパーティのサービスとしてアイデンティティを統合する
第６章 セキュリティの評価とテスト	6.1 評価、テスト、監査を設計し、検証する
第６章 セキュリティの評価とテスト	6.2 セキュリティコントロールのテストを実施する
第６章 セキュリティの評価とテスト	6.3 セキュリティプロセスデータを収集する
第６章 セキュリティの評価とテスト	6.4 テスト出力を分析し、レポートを生成する
第７章 セキュリティの運用	7.1 調査を理解し、遵守する
第７章 セキュリティの運用	7.2 ロギングと監視活動を実施する
第７章 セキュリティの運用	7.3 構成管理(CM)の実行
第７章 セキュリティの運用	7.4 基礎的なセキュリティ運用概念を理解し適用する
第７章 セキュリティの運用	7.5 リソース保護手法を採用する
第７章 セキュリティの運用	7.6 インシデント管理を実施する
第７章 セキュリティの運用	7.7 検知および防止策を運用し維持する
第７章 セキュリティの運用	7.8 パッチおよび脆弱性管理を実施しサポートする
第７章 セキュリティの運用	7.9 変更管理プロセスに参加し理解する
第７章 セキュリティの運用	7.10 復旧戦略を実施する
第７章 セキュリティの運用	7.11 災害復旧(DR)プロセスを導入する
第７章 セキュリティの運用	7.12 災害復旧計画(DRP)をテストする
第７章 セキュリティの運用	7.13 事業継続性(BC)の立案および訓練に参加する
第７章 セキュリティの運用	7.14 物理的セキュリティを実装し管理する
第７章 セキュリティの運用	7.15 個人の安全に関する懸念への対処に参加する
第８章 ソフトウェア開発セキュリティ	8.1 ソフトウェア開発ライフサイクル(SDLC)におけるセキュリティを理解し適用する
第８章 ソフトウェア開発セキュリティ	8.2 開発環境においてセキュリティ制御を認識し執行する
第８章 ソフトウェア開発セキュリティ	8.3 ソフトウェアセキュリティの有効性を評価する
第８章 ソフトウェア開発セキュリティ	8.4 取得したソフトウェアのセキュリティインパクトを評価する
第８章 ソフトウェア開発セキュリティ	8.5 セキュアコーディング規定とガイドラインを定義し適用する