独学で作るCISSP用語集（１４）〜セキュリティとリスクマネジメント（ドメイン１）編

注意書き）

現在、本ブログははてなブログから移行をしている最中です。過去に書いたものであることご了承ください。

今日はどんより雲・・・というか完全に雨に包まれ、いかにも梅雨って感じの1日になってますが、皆様いかがお過ごしでしょうか？

私はちょっとイラッとすることがあり、心の中もどんより雲が漂ってます。あー、ヤダヤダ。

さて、愚痴はひとまず置いといて（といってもこの先愚痴については触れる気はありませんが）、本日の調査結果まとめを以下に記載していきます。

第1章　セキュリティとリスクマネジメント（ドメイン1）　ー続きー

アメリカ合衆国の国立の計量標準研究所であり、アメリカ合衆国商務省配下の技術部門であり日監督機関である。1901～1988年までは国立標準局（National Bureau of Standards（NBS））と称していた。

公式任務は次の通り。

「経済的（安全）保証を強化し生活の質を高めるような手法で、計量学や標準規格、産業技術を進歩されることによって、アメリカの技術革新と産業競争力を促進することが目的である。」

1987のコンピュータセキュリティ法はアメリカ国立標準技術研究所（NIST）に連邦政府のコンピュータシステムに関するスタンダードとガイドラインを策定する責務を与えた。この目的のために、NISTは適宜、国家安全保障局の助言と援助を活用する。

パソコンやキーボードの操作内容を記録するためのソフトウェア等の総称で、悪意のある者に個人情報などを盗み取られるなどの悪用をされることがあるもの。

組織や情報システムにおける情報セキュリティリスク（プライバシーリスク含む）の管理方法を示したもの。

以下の７つのステップで構成されている。

組織のリスクマネジメント戦略を策定して組織全体のリスクアセスメント（評価）を行い、共通管理策（複数システムサポート可能な共通的なセキュリティ対策）を特定する。

対象システムの特性を明らかにし、システムや情報のタイプを特定することにより、当該システムに求められるセキュリティ分類を機密性、完全性、可用性の観点でそれぞれ高、中、低に決定する。

対象システムの分類結果より、セキュリティ管理策（セキュリティ対策やプライバシー保護策）を、ベースラインとなるセキュリティ管理策の中から選択し、必要な場合はその内容を調整する。

対象システムのセキュリティ管理策を実装する。また、セキュリティ管理策の実装状況に基づき、セキュリティ管理策の変更内容やアウトプット等を文書化する。

対象システムのセキュリティ管理策が正しく実装され、意図したとおりに機能し、セキュリティ（およびプライバシー）の要件を満たしているかの有効性を評価する。その結果、不備があれば是正活動を行い、是正後のセキュリティ管理策を再度評価する。

運用認可責任者に、対象システム等の運用認可を申請し、リスクが需要可能であれば運用が認可される。受容できなければ運用は認可されない。運用認可者とは、組織において対象システムの運用によって生じるリスクを需要可能なレベルに収める責任を負う責任者である。

対象システムのセキュリティ管理策の有効性を継続的に評価し、必要な場合はリスク対応の取り組みを実施する。運用認可の申請と認可も継続的に行われる。また、対象システムを廃止する段階では、廃止に必要な作業を行う。

ほんと、CISSPとは全く無関係な話でさーせんっ！

でも、自分くらいの年代であれば、やっぱりこの「ドラクエ」っていうフレーズにはどうしても反応してしまうものなんです。どうかお許しを。

すごいですね〜、あれからもう３５年も経ったのかぁと思うと、非常に感慨深いです。色々発売されてきましたが、皆さんは何作目がお好きですか？

自分は圧倒的にドラクエＶ「天空の花嫁」ですね。ビアンカとフローラ、どちらを選ぶかでかなり迷うんですけど、どうしてもビアンカを選んでしまうんですよ。何回もやり込みましたけど、結局フローラを選んだのは１回だけでした（^^;

ちなみに、今はビアンカ、フローラに加え。デボラなんていうのも居るらしく・・・まぁ個人的にはビアンカ、フローラだけで十分かな〜と。

あぁ、無性にドラクエＶがやりたくなってしまったので、今日はもう仕事も勉強もせずに、携帯でドラクエ・・・タクトやっときます。（何故にタクトっ！？）

ドラクエ３５周年サイトはこちらです。