CISSPとは(ドメイン詳細)

ドメイン詳細

  1. セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
    ここでは、すべての情報セキュリティ機能のベースとなる、機密性、可用性および完全性という基本的なセキュリティ原則範囲を始めとして、さまざまな情報セキュリティとリスクマネジメントのトピックス全般を扱っており、セキュリティガバナンスとコンプライアンス領域におけるこれらの概念を基に構築されています。また、倫理学的考察全般、そして特に(ISC)2の倫理規定に関する知識を必要とします。情報セキュリティという枠組みのなかでポリシーおよびプロシージャを策定し導入することができるかどうかについての知識や、情報および要件の収集、ビジネスインパクト分析、目標復旧時点(RPO)といった事業継続計画のあらゆる側面も含まれます。そして、リスクマネジメントの概念である、リスク分析、対応策の選択と実施、リスク監視、報告、およびリスクの枠組み、脅威モデルの導入とハードウェア、ソフトウェアおよびサービス契約の取得および管理へのリスクマネジメントの統合などの理解が必要です。そして、人員のセキュリティポリシー領域についても問われ、セキュリティに関する教育、トレーニングおよび意識向上プログラムを構築し維持できることが求められます。

  2. 資産のセキュリティ(資産のセキュリティ保護)
    ライフサイクル全体を通した情報の収集、処理および保護を取り上げます。情報の分類および資産のサポートは、このドメインで取り上げるすべてのトピックスの基礎となっております。そして、情報、システム、およびビジネスプロセスに関しての所有権は、分類と切り離して考えることはできず、資産のセキュリティのドメインで取り上げられる2個目のトピックとなります。プライバシー保護も非常に重要な要素となっていて、データオーナー、データ処理装置、データの残留、および収集と保管の制限の概念などがあります。情報の収集と保管に関する議論を行う場合は、データ保存を含んだ、適切なデータセキュリティ管理策について詳細の知識を保有している事が求められます。最後にデータの保管、ラベリングおよび破棄などを含んだデータ処理要件についての理解が必要となります。

  3. セキュリティエンジニアリング(セキュリティ設計と構築)
    セキュリティエンジニアリングは、悪意ある行為、人的エラー、ハードウェア障害および自然災害により引き起こされる可能性のある脅威に対し、必要な機能を提供し続ける情報システムおよび関連アーキテクチャの構築の実践と定義することができます。このドメインでは、安全な設計原則を使用してセキュリティエンジニアリングプロセスを実装および管理する能力について問われます。セキュリティモデルの基本概念を理解し、組織の要件およびセキュリティポリシーに基づいて設計要件を策定し、これらの設計要件を満たす制御および対応策を選択することができなければなりません。セキュリティアーキテクチャ、設計およびソリューション要素における脆弱性を継続的に評価および軽減しなければならず、この領域について詳細に理解をしていることが求められます。暗号化とは、情報の完全性、機密性および信ぴょう性を確保するため情報を変更することにより、情報の移行中も保存中も情報を保護するということで、セキュリティエンジニアリングのドメインで詳細に取り上げています。一般的な暗号化の概念、暗号化のライフサイクル、暗号化システム、公開鍵インフラストラクチャ、暗号化キー管理実務、デジタル署名、およびデジタル著作権管理についての理解が必要となります。最後に、事業所および施設の設計および物理的セキュリティへの安全な設計原則の適用などへの理解も必要となります。

  4. 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
    ここでは、私設および公設通信ネットワーク双方を介して送信される情報の機密性、完全性および可用性を維持するのに使用される、ネットワークアーキテクチャ、通信方法、配送プロトコル、制御デバイス、およびセキュリティ対策を網羅しています。ネットワークトポロジー、IPアドレス設定、ネットワークのセグメンテーション、スイッチングとルーティング、無線ネットワーク利用、OSIとTCPモデルおよびTCP/IPプロトコルスイートなど、ネットワークの基本を十分に理解していることを示すことが求められます。かつ、安全なネットワーク通信に関連して、暗号化についても問われます。また、ネットワークデバイスの保護という見出しの下に、さまざまなトピックスも含まれていますので、スイッチ、ルーターおよび無線アクセスポイントといったネットワーク制御デバイスを安全に操作および保守する知識と能力についての知識も問われます。また、さまざまな伝送媒体に元々備わっているセキュリティについて熟知していなければなりません。ネットワークアクセスコントロール、エンドポイントセキュリティ、およびコンテンツ配信ネットワークについても取り上げます。データ、音声、リモートアクセス、マルチメディアコラボレーションおよび仮想化ネットワークなど多くの適用を促す、幅広い技術を使用して安全な通信チャネルを設計し実装できることが求められます。そして、ネットワーク攻撃のベクトルの知識や、これらの攻撃を防いだり軽減したりできるかについての理解も必要となります。

  5. アイデンティティとアクセスの管理(アクセス制御とID管理)
    ここでは、人間と情報システム、異種情報システム間、さらには情報システムの個々のコンポーネント間のやりとりに使用される、アイデンティティとアクセスのプロビジョニングと管理を扱います。システムや情報に不正にアクセスするためにアイデンティティまたはアクセス制御システムを危険にさらすことは、データの機密性に関するほぼすべての攻撃の目標にもなるため、これは情報セキュリティプロフェッショナルが相当な時間をかけなければならない領域です。ユーザー、システムおよびサービスの特定と承認に関する知識が必要となり、具体的にはID管理システム、単一要素および多要素認証、説明責任、セッション管理、登録と確認、フェデレーテッドID管理、および信用管理システムについての知識保有を求めています。さらに、サードパーティのクラウドベースおよびオンプレミスIDサービスの統合についても問われます。そして、ロールベース、ルールベース、強制および任意アクセス制御に基づくものを含め、承認メカニズムの実装および管理ができることが求められます。最後に、アクセス制御システムをターゲットとした攻撃の防止と軽減、およびID管理のライフサイクルも含まれます。

  6. セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)
    ここでは、アーキテクチャの問題、設計上の欠陥、構成エラー、ハードウェアとソフトウェアの脆弱性、コーディングエラー、および情報システムの能力に影響を及ぼす可能性のあるその他の弱点が原因となるリスクを特定および軽減して、意図された機能を安全に提供するため、さまざまなツールや手法を用いて、情報資産および関連するインフラストラクチャの評価に関しての知識が求められます。評価およびテスト戦略を検証し、さまざまな手法を用いてこれらの戦略を実行することができなければなりません。脆弱性評価、ペネトレーションテスト、代理トランザクション、コードレビューとテスト、悪用ケース、およびインターフェーステストに関する知識の保有が求められます。これら評価には、セキュリティポリシーとプロシージャの検証、ディザスタリカバリおよび事業継続計画も含まれます。最後に、テスト結果について分析し報告することができるか、さらに、社内監査および第三者監査を実施または円滑に進めることができるかどうかも理解している必要があります。

  7. セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
    ここでは、エンタープライズコンピューティングシステムの運用に関する情報セキュリティ概念およびベストプラクティスの適用に関するさまざまなトピックスが含まれています。証拠の収集と取り扱い、文書化と報告、捜査手法とデジタルフォレンジックといったさまざまな調査概念を含めたフォレンジックを指揮する、あるいはサポートするための知識が必要です。運用上、刑事上、民事上、および規制上の観点からも、調査要件を理解しなければなりません。効果的なロギングおよび監視の仕組みは、不可欠なセキュリティ機能です。そこについては、侵入検知と防止、セキュリティ情報とイベント監視システム、およびデータ漏洩防止などが含まれます。そして、リソースのプロビジョニングおよびこれらリソースのライフサイクルを通した管理と保護についても取り上げますが、セキュリティの運用が前提としているのはこれらリソースの保護です。ファイアウォール、侵入検知システム、アプリケーションホワイトリスティング、マルウェア対策、ハニーポットとハニーネットおよびサンドボクシングといった保護制御を運用し維持すると同時に、サードパーティのセキュリティ契約およびサービスを管理する能力、そしてパッチ、脆弱性および変更管理についても理解をすることが求められます。インシデントレスポンスとリカバリ、ディザスタリカバリ、および事業継続の運用面での理解が必要となります。物理的セキュリティおよび個人の安全についてのトピックスで締めくくります。

  8. ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
    実稼働および開発ソフトウェア環境へのセキュリティ概念およびベストプラクティスの適用について扱います。ソフトウェアに対するセキュリティ制御を評価し執行するために、ソフトウェア開発のライフサイクルにおいてセキュリティを理解し適用できなければなりません。その中で、ソフトウェア開発方法、成熟度モデル、オペレーションと保守および変更管理についての理解を必須とし、同時に統合化された製品開発チームの必要性も理解しないといけません。また、ソフトウェア開発環境においてセキュリティ制御を執行することもできなければならないので、ソフトウェア開発ツール、ソースコードの弱点と脆弱性、ソースコード開発に関する構成管理、コードリポジトリのセキュリティおよびアプリケーションプログラミングインターフェースのセキュリティなどについての知識取得も求めます。かつ、変更管理に関する監査とロギング、ソフトウェアセキュリティに関するリスク分析と軽減および取得したソフトウェアのセキュリティインパクトを含めたソフトウェアセキュリティ制御評価の領域についても理解が求められます。

関連情報