皆さん、CISSPの学習、お疲れ様です!広範な知識が求められるCISSPですが、その学習の出発点であり、最も基礎となるのが今回解説するドメイン1「セキュリティとリスクマネジメント」です。
情報セキュリティの世界では、技術的な知識はもちろん重要ですが、それだけでは十分ではありません。ビジネスを守るために、どのような脅威があり、どれだけのリスクがあるのかを正しく理解し、組織全体としてどう対応していくのかという、より上位の視点が不可欠です。そして、その視点を養うのが、このドメイン1なんです。
ドメイン1は、情報セキュリティの概念、組織のガバナンス、リスク管理プロセス、法規制、倫理といった、セキュリティプロフェッショナルが共通して理解しておくべき土台となる知識を扱います。範囲が広いので、最初は戸惑うこともあるかもしれませんが、ここをしっかり押さえることで、他のドメインで学ぶ技術的な内容の「なぜ?」が見えてくるようになります。
この記事では、ドメイン1の主要なテーマを分かりやすく解説し、CISSP受験に向けてどのような点を理解しておくべきかをお伝えします。少し難しそうに感じるかもしれませんが、一つずつ丁寧に見ていきましょう!
なぜドメイン1が基盤なのか?
CISSPの公式な学習ガイドを開くと、一番最初に登場するのがこの「セキュリティとリスクマネジメント」です。これには明確な理由があります。
情報セキュリティは、単にIT部門だけが行うウイルス対策やファイアウォール設定といった技術的な作業ではありません。それは、組織が持つ大切な情報資産を守り、ビジネス目標の達成を阻害するリスクを管理するための、経営レベルの活動です。
ドメイン1で学ぶ概念(CIAなど)やプロセス(リスク管理)は、その後のすべてのドメイン(資産のセキュリティ、セキュリティアーキテクチャ、通信とネットワークセキュリティなど)における対策や判断の根拠となります。「なぜこの資産にはこのレベルのセキュリティが必要なのか?」「なぜこの技術を採用するのか?」「なぜこのような手順で対応するのか?」といった問いの答えは、ドメイン1で学ぶセキュリティの基本原則やリスク管理の考え方に集約されるからです。
つまり、ドメイン1は、セキュリティプロフェッショナルが「技術者」から「経営課題としてのセキュリティを理解し、推進できる人材」へとステップアップするための、最初の、そして最も重要なステップなのです。
情報セキュリティの基本概念
情報セキュリティの世界で最も頻繁に出てくる、そして最も重要な概念が「CIAトライアド」です。
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability) – CIAトライアド
- 機密性 (Confidentiality): 許可された者だけが情報にアクセスできる状態を保つことです。情報が漏洩したり、権限のない人に見られたりしないように保護します。個人情報や企業の秘密情報などが対象になります。
- 完全性 (Integrity): 情報が正確で、改ざんや破壊がされていない状態を保つことです。情報が意図せず変更されたり、間違った情報が伝えられたりしないように保護します。財務データや契約書などが対象になります。
- 可用性 (Availability): 許可された者が、必要な時に情報やシステムにアクセスできる状態を保つことです。システム障害やサイバー攻撃によってサービスが停止し、情報にアクセスできなくなる事態を防ぎます。企業の業務システムやウェブサイトなどが対象になります。
これら3つの要素は、情報セキュリティの目標であり、すべてのセキュリティ対策はこれらを実現するために講じられます。多くの場合、これら3つはトレードオフの関係にあります。例えば、機密性を極限まで高めると、可用性が犠牲になることがあります。セキュリティ対策を考える際は、常にこのCIAのバランスを意識することが重要です。
その他の重要概念
CIA以外にも、ドメイン1で押さえておきたい重要な概念がいくつかあります。
- 真正性 (Authenticity): 情報や通信の送信元、あるいはユーザーが主張する通りの本人であると確認できることです。(例:デジタル署名や多要素認証)
- 説明責任 (Accountability): 個人の行動を追跡し、特定できることです。誰が、いつ、何をしたのかを記録することで、不正行為の抑止や原因究明を可能にします。(例:アクセスログの記録)
- 否認防止 (Non-repudiation): 行為の実行や情報の送受信を後から否定できないようにすることです。特に電子商取引や法的証拠として重要です。(例:電子署名)
これらの概念は、CIAと組み合わせて、より強固なセキュリティ体制を構築するために必要となります。
情報セキュリティガバナンスとセキュリティポリシー
前回のドメイン2でも触れましたが、情報セキュリティは組織のガバナンスのもとで行われます。情報セキュリティガバナンスは、情報セキュリティ活動がビジネス目標と整合し、効果的に機能するための枠組みを提供します。
ガバナンスの重要な成果物の一つが、情報セキュリティに関する様々な規則や指示を定めた文書群です。これらは一般的に、以下の階層構造を持っています。
ポリシー、基準、手順、ガイドライン
- ポリシー (Policy): 組織の最高レベルの意思決定に基づいて定められる、情報セキュリティに関する基本的な考え方、目標、および遵守すべき原則を示した文書です。「何をしなければならないか」を定めます。組織全体に適用される最も重要な文書です。
- 基準 (Standard): ポリシーを実現するために、組織が遵守すべき強制力のある要求事項や仕様を定めた文書です。特定の技術やプロセスに対して、「何をどのように測定可能に満たすべきか」を示します。(例:全てのパスワードは最低8文字以上とし、英数記号を混在させる、など)
- 手順 (Procedure): 特定の作業やタスクを完了するための具体的なステップを詳細に示した文書です。「どのように実行するか」を具体的に説明します。特定の担当者やチーム向けに作成されます。(例:新しいユーザーアカウントを作成する際の手順)
- ガイドライン (Guideline): 手順よりも柔軟性があり、推奨される行動や助言を示した文書です。「どうすればより良くなるか」を示し、強制力はありませんが、判断に迷った際の参考になります。(例:安全なインターネット利用に関するヒント)
これらの文書は、組織の情報セキュリティレベルを均一に保ち、従業員に何を期待されているかを明確に伝えるために不可欠です。そして、これらの文書が策定・承認されるプロセス自体が、ガバナンスの一環として行われます。
リスク管理プロセス
ドメイン1の核となるのが、この「リスク管理」です。情報セキュリティにおけるリスク管理とは、情報資産に関連するリスクを継続的に特定し、評価し、対応し、監視する一連のプロセスです。
リスクとは、「脆弱性を悪用しようとする脅威によって、資産が損害を受ける可能性」として捉えることができます。つまり、リスク = 脅威 × 脆弱性 × 資産価値 という関係性で考えられます。(単純な乗算ではなく、より複雑な評価を行う場合もあります。)
- 脅威 (Threat): 資産に損害を与える可能性のある事象や原因。(例:マルウェア、不正アクセス、地震、従業員の誤操作)
- 脆弱性 (Vulnerability): 資産やコントロールの弱点であり、脅威によって悪用される可能性があるもの。(例:パッチ未適用のソフトウェア、弱いパスワード、不十分な教育)
- 資産価値 (Asset Value): 組織にとっての情報資産の価値。損害を受けた場合のビジネスへの影響度。(例:機密性の高い顧客リスト、業務システム、ブランドイメージ)
リスク管理は一度行えば終わりではなく、環境の変化に応じて継続的に実施されるサイクルです。
具体的なプロセスは以下のステップで構成されます。
リスク特定 (Identification)
組織が保有する情報資産を特定し、それらに対する潜在的な脅威と脆弱性を洗い出します。既存のセキュリティコントロールがどの程度機能しているかも確認します。何がリスクになりうるかを幅広くリストアップする段階です。
リスク分析 (Analysis)
特定されたリスクについて、その発生可能性と、発生した場合のビジネスへの影響度を評価します。分析方法には大きく分けて二つあります。
- 定性的分析 (Qualitative Analysis): リスクを「高・中・低」や「重大・要注意・軽微」といった言葉や尺度で評価する方法です。比較的短時間で行えますが、主観が入りやすいという側面もあります。
- 定量的分析 (Quantitative Analysis): リスクを金銭的な価値や確率といった数値を用いて評価する方法です。客観的な評価が可能ですが、分析に時間とコストがかかることがあります。有名な計算式として、単一損失期待値 (Single Loss Expectancy: SLE = 資産価値 x 露出係数) や、年間損失期待値 (Annualized Loss Expectancy: ALE = SLE x 年間発生率 ARO) があります。
リスク評価 (Evaluation/Assessment)
リスク分析の結果に基づき、組織にとってどのリスクが最も重要であるか、どのリスクから優先的に対応すべきかを決定します。リスクの大きさを比較し、リスク対応のための意思決定をサポートする段階です。リスクマトリクスなどを用いて視覚化することもあります。
リスク対応 (Treatment/Response)
評価されたリスクに対して、組織がどのような対策を講じるかを決定し、実行します。主なリスク対応戦略は以下の4つです。
- リスク回避 (Avoidance): リスクの原因となる活動やプロセス自体を行わないようにすること。(例:特定の危険なオンラインサービスを利用しない)
- リスク移転 (Transfer): リスクを第三者(保険会社や専門業者など)に移転すること。(例:サイバー保険への加入、セキュリティ監視を外部に委託)
- リスク軽減 (Mitigation): リスクの発生可能性や影響度を低減させるためにコントロールを導入すること。(例:ファイアウォールの設置、パッチ適用、従業員教育)
- リスク受容 (Acceptance): リスク対策にかかるコストや労力が、リスクが発生した場合の損害よりも大きい場合など、リスクを認識した上で、あえて対策を講じずにそのリスクを受け入れること。ただし、これはリスクを無視することではなく、経営層が正式に承認した場合のみ有効な戦略です。
リスク監視 (Monitoring)
一度講じた対策が効果的であるかを継続的に監視し、新たなリスクが発生していないか、既存のリスクレベルが変化していないかを確認します。定期的なレビューや監査を通じて、リスク管理プロセス全体が適切に機能しているかを評価します。リスク管理は生き物であり、常に変化に対応していく必要があります。
法規制、コンプライアンス、倫理
セキュリティプロフェッショナルとして働く上で、関連する法規制やコンプライアンス要求を理解し、倫理的に行動することは非常に重要です。
多くの国や地域で、個人情報保護やデータの取り扱いに関する厳しい法規制(例:EUのGDPR、各国の個人情報保護法)が定められています。これらの法規制への準拠(コンプライアンス)は、組織にとって必須の要件であり、違反した場合には巨額の罰金や信頼失墜といった重大な結果を招く可能性があります。
また、CISSPの認定を維持するためには、(ISC)2が定める倫理規程(Code of Ethics)を遵守する必要があります。この規程は、社会、専門職、雇用主、そして自身に対して、情報セキュリティプロフェッショナルとして誠実かつ専門的に行動するための基本的な原則を示しています。試験にも出題される可能性がありますので、その内容を理解しておくことが大切です。
事業継続計画(BCP)と災害復旧計画(DRP)の基礎
ドメイン1では、情報セキュリティの可用性に関連して、事業継続計画(Business Continuity Planning: BCP)と災害復旧計画(Disaster Recovery Planning: DRP)の基礎も学習します。
- BCP: 災害や重大な障害が発生した場合でも、組織が重要な事業活動を中断させない、または可能な限り短期間で再開できるようにするための計画です。ビジネスの視点から、どのような業務を優先的に継続・復旧させるかを検討します。
- DRP: BCPの一部として、特にITシステムの復旧に焦点を当てた計画です。被災したITシステムやデータセンターを復旧させるための具体的な手順を定めます。
これらの計画を策定する上で、以下の重要な用語を理解しておく必要があります。
- ビジネス影響度分析 (Business Impact Analysis: BIA): 災害や障害によって事業活動が中断した場合の、ビジネスへの潜在的な影響(財務的、法的、評判など)を評価するプロセスです。どの業務が最も重要で、どれくらいの期間停止に耐えられるかを特定します。
- 目標復旧時間 (Recovery Time Objective: RTO): 事業活動やシステムを許容できない停止時間から復旧させるまでの目標時間です。
- 目標復旧地点 (Recovery Point Objective: RPO): 障害発生時に失っても許容できるデータの最大量を決定するための指標です。つまり、どこまでデータを戻せば許容できるか、を時間で示します。(例:RPOが4時間なら、最大4時間分のデータ損失は許容可能)
- 最大許容停止時間 (Maximum Tolerable Downtime: MTD): 事業活動が中断しても、組織にとって許容できる最大の期間です。MTDはRTOよりも長くなります。
BCPとDRPは、可用性を確保し、組織の回復力を高めるための重要な要素であり、リスク管理の一環として位置づけられます。
CISSP受験対策としてのドメイン1攻略法
さて、CISSP受験に向けて、このドメイン1をどのように学習すれば良いでしょうか?
- 用語の定義を正確に覚える: CIA、真正性、説明責任、否認防止といった基本概念や、リスク管理プロセス、BCP/DRP関連の用語(RTO, RPOなど)は、それぞれの定義と意味を正確に理解することが不可欠です。試験ではこれらの用語の理解が問われます。
- プロセスの流れを理解する: 特にリスク管理プロセス(特定→分析→評価→対応→監視)は、各ステップで何を行い、それらがどのように繋がっているのかを流れで理解しましょう。
- 経営層視点を持つ: ドメイン1では、技術的な詳細よりも、なぜその対策が必要なのか、それがビジネスにどう貢献・影響するのかといった、より上位の視点が重要になります。常に「もし自分が経営者なら?」あるいは「CISOなら?」という視点で考える癖をつけましょう。
- 他のドメインとの関連性を意識する: ドメイン1で学ぶ概念やプロセスが、他のドメイン(例えば、ドメイン3の技術選定、ドメイン7のログ監視、ドメイン2の資産分類など)にどのように適用されるのかを常に意識することで、知識が単なる点の集まりではなく、線や面として繋がっていきます。
まとめ
この記事では、CISSPの学習における最初のステップであるドメイン1「セキュリティとリスクマネジメント」について、その重要性、主要な概念、リスク管理プロセス、そして法規制・倫理・BCP/DRPの基礎を解説しました。
ドメイン1は、情報セキュリティの専門家としてキャリアを築く上で不可欠な、揺るぎない基盤となります。最初は難しく感じるかもしれませんが、ここで学ぶ考え方は、他のドメインの理解を深めるための強力な武器となるはずです。
焦らず、一つ一つの概念やプロセスを丁寧に理解していくことが大切です。ドメイン1の知識がしっかり定着すれば、その後の学習もスムーズに進むでしょう。
皆さんのCISSP合格を心から応援しています!頑張ってください!
CISSP ドメイン1「セキュリティとリスクマネジメント」演習問題
それでは、ドメイン1の理解度を確認するための演習問題を10問出題します。ぜひ挑戦してみてください。
問題1
情報セキュリティの基本原則であるCIAトライアドにおいて、情報が正確で、改ざんや破壊がされていない状態を保つことを指す概念は何ですか?
- 機密性 (Confidentiality)
- 完全性 (Integrity)
- 可用性 (Availability)
- 真正性 (Authenticity)
問題2
組織の情報セキュリティに関する最も上位レベルの、遵守すべき基本的な考え方や目標を示した文書はどれですか?
- 手順 (Procedure)
- ガイドライン (Guideline)
- 基準 (Standard)
- ポリシー (Policy)
問題3
リスク管理プロセスにおいて、洗い出されたリスクの発生可能性と影響度を数値(金銭的価値や確率)を用いて評価する分析方法は、次のうちどれに該当しますか?
- 定性的分析 (Qualitative Analysis)
- 定量的分析 (Quantitative Analysis)
- リスク特定 (Risk Identification)
- リスク監視 (Risk Monitoring)
問題4
情報資産に関連するリスクに対する対応戦略のうち、リスクの原因となる活動自体を行わないようにすることで、リスクの発生をゼロにすることを目指す戦略は何ですか?
- リスク移転 (Risk Transfer)
- リスク軽減 (Risk Mitigation)
- リスク受容 (Risk Acceptance)
- リスク回避 (Risk Avoidance)
問題5
事業継続計画(BCP)において使用される用語で、災害や障害発生後、事業活動やシステムを許容できない停止時間から回復させるまでの目標時間を指すのはどれですか?
- RPO (Recovery Point Objective)
- RTO (Recovery Time Objective)
- MTD (Maximum Tolerable Downtime)
- BIA (Business Impact Analysis)
問題6
CISSP認定保持者が遵守すべき倫理規程を定めている組織はどこですか?
- ISACA
- (ISC)²
- CompTIA
- SANS Institute
問題7
リスク管理プロセスにおける「リスク受容 (Risk Acceptance)」が適切な対応戦略となりうるのは、主にどのような場合ですか?
- リスクの発生可能性が非常に高い場合
- リスク対策にかかるコストが、リスクが発生した場合の損害を大幅に下回る場合
- リスク対策にかかるコストや労力が、リスクが発生した場合の損害よりも大きいと判断され、経営層が承認した場合
- リスクの原因を完全に排除できる場合
問題8
組織が保有する情報資産の価値を評価し、それらに対する潜在的な脅威と脆弱性を洗い出すプロセスは、リスク管理のどのステップで行われますか?
- リスク特定 (Risk Identification)
- リスク分析 (Risk Analysis)
- リスク評価 (Risk Evaluation)
- リスク対応 (Risk Response)
問題9
情報セキュリティの基本概念である「説明責任 (Accountability)」を確保するために最も効果的な対策は次のうちどれですか?
- 強力な暗号化の適用
- ファイアウォールの設置
- 全てのユーザー行動のログを記録し、監査可能にする
- 冗長化システムの導入
問題10
組織の情報セキュリティガバナンスにおいて、セキュリティポリシーや基準の策定・承認に責任を負うべきなのは、主に組織内のどの階層ですか?
- 現場のシステム管理者
- 情報システム部門の担当者
- 経営層または取締役会
- 監査部門
—
演習問題 解答と解説
問題1 解答:2
理由:情報の正確さと非改ざん性を保証するのは「完全性 (Integrity)」の役割です。機密性(1)は情報の漏洩防止、可用性(3)は必要な時にアクセスできること、真正性(4)は情報やユーザーが本物であること、を指します。
問題2 解答:4
理由:組織全体の情報セキュリティに関する最高レベルの原則や方針を定めた文書は「ポリシー (Policy)」です。基準(3)はポリシーを満たすための具体的な要求事項、手順(1)は具体的な作業ステップ、ガイドライン(2)は推奨される行動を示します。
問題3 解答:2
理由:リスクを数値(金銭的価値や確率など)で評価する方法は「定量的分析 (Quantitative Analysis)」です。定性的分析(1)は言葉や尺度で評価します。リスク特定(3)はリスクを洗い出す段階、リスク監視(4)はリスク管理の最終ステップです。
問題4 解答:4
理由:リスクの原因となる活動自体を行わないようにすることで、リスクの発生を回避する戦略は「リスク回避 (Risk Avoidance)」です。移転(1)は第三者に任せる、軽減(2)はコントロールでリスクレベルを下げる、受容(3)はリスクを許容する、という戦略です。
問題5 解答:2
理由:RTO (Recovery Time Objective) は、事業活動やシステムを許容できない停止時間から復旧させるまでの目標時間です。RPO(1)は許容できるデータ損失量、MTD(3)は許容できる最大の停止期間、BIA(4)はビジネスへの影響を分析するプロセスです。
問題6 解答:2
理由:CISSPの認定機関であり、その倫理規程を定めているのは「(ISC)²」です。ISACA(1)はCISAなどの認定機関、CompTIA(3)やSANS Institute(4)もセキュリティ関連のトレーニングや認定を提供していますが、CISSPの倫理規程は(ISC)²が定めています。
問題7 解答:3
理由:リスク受容は、リスク対策のコストが損害を上回る場合など、リスク対策が費用対効果に見合わないと判断され、かつ、そのリスクを受け入れることについて経営層が正式に承認した場合に選択される戦略です。リスクが高い(1)場合は通常軽減や回避を検討します。リスク対策が損害を下回る(2)場合は軽減や回避・移転が適切です。原因排除(4)はリスク回避の一種です。
問題8 解答:1
理由:情報資産を特定し、それに対する脅威と脆弱性を洗い出すのは、リスク管理プロセスの最初のステップである「リスク特定 (Risk Identification)」で行われます。リスク分析(2)は特定されたリスクを評価する段階です。
問題9 解答:3
理由:説明責任(Accountability)は、個人の行動を追跡し、特定できることによって確保されます。システムへのアクセスや操作ログを記録し、監査可能な状態にすることで、「誰が」「何を」「いつ」行ったのかを後から確認できるようになり、説明責任を果たす基盤となります。暗号化(1)は機密性、ファイアウォール(2)はアクセスコントロール、冗長化(4)は可用性に関連が深いです。
問題10 解答:3
理由:組織全体の情報セキュリティ戦略や、それを実現するための最高レベルのポリシーや基準は、情報セキュリティガバナンスの一環として、経営層または取締役会が承認・決定すべき事項です。これは、セキュリティが経営課題であるという考え方に基づいています。現場の担当者(1, 2)や監査部門(4)は、ポリシー策定の実行やチェックに関わりますが、承認責任は持ちません。
コメント