|
|
|
|
|
|
|
 10ドメイン、7ドメインとは
|
|
|
『CISSP (ISC)2 公式10ドメインレビューセミナー』、『SSCP (ISC)2公式7ドメインレビューセミナー』など、それぞれの名称には、『ドメイン』という表記があります。 ここで言う、ドメインとはそれぞれの資格に求められるセキュリティの共通言語(知識)の領域のことを指します。 また、共通言語のことを、CBK/Common Body of Knowledgeと言い、全部で10分野から構成されています。 CBKは(ISC)2が提唱したものであり、情報セキュリティに関する共通知識やベストプラクティス(最適慣行)を収集し、分野別にまとめて体系化したものです。全世界にいるセキュリティ専門家の知識の尺度として使用されています。 次の図は、CBK10ドメインの関係の全体像を示したものです。情報セキュリティアーキテクチェに基づいて「要因(Why)」、「方針(What)」、「具体策(How)」に分類して示しています。 『CISSP』については、CBKの全10分野の全てが出題範囲となります。 『SSCP』は全10分野のうち7分野が出題範囲になります。『法、規制、コンプライアンス、捜査』、『セキュリティアーキテクチャ』、『物理セキュリティ』の3分野は含まれません。 CBKに関する詳しい説明はこちらをクリックしてください。  情報セキュリティの具体策となる「管理策」は、運用においてモ二タリング(監視)されており、その結果が方針の策定にフィードバックされることで定期的な改善が行われています。 CISSP CBK10ドメインのキーとなるのは「アクセス制御」です。物理セキュリティにおける設計も、ネットワークの物理設計、論理設計、そしてファイルサーバー上での権限管理などもすべてアクセス制御として実装されています。具体的にどのような管理策を採用するのかについての判断は「情報分類」などの方針によって考慮され、「脅威、ぜい弱性の割当」と「事業影響度」などを考慮して決定されます。 CISSPには相応の知識とスキルが求められています。技術的な内容については知識が、方針などを反映する部分は判断力が必要になります。管理策の選択においては、それぞれのメリット・デメリット、そして費用対効果などを提示するために比較をする力が必要になります。さらに、判断のためには情報収集が必要になります。これはネットワークの利用状況だったリ、コンプライアンスの順守状況だったりします。そういった情報収集を行うという意味合いでは、捜査やコンプライアンス、インシデントレスポンスなども運用セキュリティの一環としてとらえられるべきでしょう。 国内においてはJIS Q 27001を基盤として情報セキュリティ専門家の育成をしているために、情報セキュリティマネジメントがキードメインとしてとらえられがちですが、CISSPはマネジメントの仕組みを作るというよりは、情報セキュリティ全体をどのように具現化していくのかに重点をおいています。ISMSの構築をどのように行うのかだけではなく、その前段階となる設計、そして運用、管理における判断力が求められているのです。つまり、10ドメインを学習する際には、何が優先事項であるかを考えながら、内容を理解していくことが重要なのです。 |
|
セキュリティソリューションに関するお問い合わせはこちら
English
