トップ > CISSP > CISSPドメイン4:通信とネットワークセキュリティを徹底攻略

CISSPドメイン4:通信とネットワークセキュリティを徹底攻略

CISSP セキュリティ資格
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

はじめに:サイバー攻撃の主戦場「ネットワーク」を制圧する

CISSPの学習を進める上で、避けては通れない技術的な関門が「ドメイン4:通信とネットワークセキュリティ」です。現代のサイバー攻撃のほとんどはネットワークを介して行われるため、この領域の理解なくして、情報資産を保護することはできません。

しかし、TCP/IPモデルから始まり、無数のプロトコル、暗号化技術、そして多様なネットワーク機器…そのあまりの範囲の広さに、どこから手をつければいいか途方に暮れている方も多いのではないでしょうか。

こんにちは。CISSP保有者で、企業のセキュリティ担当を務める城咲子です。この記事では、複雑怪奇に見えるネットワークセキュリティの世界を、CISSP合格に必要な知識に絞って、体系的かつ分かりやすく解説します。この記事を読ばえば、ドメイン4の全体像が明確になり、自信を持って学習を進められるようになります。

ネットワークの「共通言語」:OSI参照モデルとTCP/IPモデル

まず、全てのネットワーク技術の基礎となる2つのモデルを理解することが、ドメイン4攻略の第一歩です。

  • OSI参照モデル: 国際標準化機構(ISO)によって策定された、7階層(物理層、データリンク層、ネットワーク層、トランスポート層、セッション層、プレゼンテーション層、アプリケーション層)からなる通信機能のモデルです。CISSPでは、各層の役割と、代表的なプロトコル、そして各層で発生するセキュリティリスクを関連付けて覚えることが重要です。
  • TCP/IPモデル: インターネットで標準的に利用されている、4階層(ネットワークインターフェース層、インターネット層、トランスポート層、アプリケーション層)のモデルです。OSI参照モデルと対比させながら、IP、TCP、UDPといった主要プロトコルの役割を理解しましょう。

CISSPマインドセット: なぜモデルを学ぶのか?それは、インシデント発生時に「どの階層で問題が起きているのか」を論理的に切り分け、最適な対策を判断するためです。

最重要知識①:セキュアな通信を実現する「暗号化技術とプロトコル」

盗聴、改ざん、なりすましといった脅威から通信を守るための技術は、試験で頻出する最重要トピックです。

  • IPsec (Internet Protocol Security): ネットワーク層(IP層)で動作し、暗号化(ESP)認証(AH)の機能を提供します。VPN(Virtual Private Network)の構築に広く利用されており、トランスポートモードとトンネルモードの違いは必ず押さえておきましょう。
  • TLS (Transport Layer Security) / SSL (Secure Sockets Layer): トランスポート層の上で動作し、Web通信(HTTPS)やメール(SMTP over TLS)などの暗号化に利用されます。ハンドシェイクプロセスの流れや、旧バージョンのSSLの脆弱性についても問われます。
  • SSH (Secure Shell): 安全でないネットワーク上で、リモートログインやファイル転送を安全に行うためのプロトコルです。TelnetやFTPといった平文で通信するプロトコルの代替として利用されます。
  • DNSSEC (DNS Security Extensions): DNS応答のオリジン認証完全性を保証し、DNSキャッシュポイズニングなどの攻撃を防ぎます。

これらのプロトコルが、OSI参照モデルのどの階層で動作し、CIA(機密性、完全性、可用性)のうち何を提供するのかを整理することが、得点に直結します。

最重要知識②:ネットワークインフラの要「セキュアな設計と機器」

堅牢なネットワークは、適切な設計思想とセキュリティ機器の配置によって実現されます。

  • ネットワークセグメンテーション: ネットワークを小さなセグメントに分割し、境界にファイアウォールなどを設置することで、攻撃者が侵入した際の被害拡大(ラテラルムーブメント)を防ぎます。DMZ(非武装地帯)の設計は典型的な例です。
  • ファイアウォール: パケットフィルタリング型、ステートフルインスペクション型、アプリケーションゲートウェイ(プロキシ)型など、種類ごとの特徴と動作原理を理解しましょう。
  • 侵入検知システム(IDS)/ 侵入防止システム(IPS): IDSは攻撃を検知・通知し、IPSはさらに防御(ブロック)まで行います。シグネチャベースとアノマリベースの検知方法の違いも重要です。
  • 無線LANセキュリティ: WEPの脆弱性から、WPA、WPA2、そして最新のWPA3への進化の過程を理解します。IEEE 802.1X認証やEAPといったエンタープライズ向けの認証方式も問われます。

▼知識を体系的に学ぶ

ここで紹介した個別の技術は、CISSPの広大な知識体系の一部に過ぎません。資格の全体像や、合格に向けた学習戦略については、以下のピラー記事で網羅的に解説しています。 * 【必読】: CISSP完全解剖:認定取得とキャリアアップのための戦略的ガイド

最重要知識③:現代の脅威「ネットワーク攻撃と対策」

古典的な攻撃から最新の攻撃まで、その手法と対策を理解することが求められます。

  • DoS/DDoS攻撃: SYNフラッド攻撃、Smurf攻撃などの古典的な手法から、近年のアプリケーション層を狙ったDDoS攻撃まで、その原理と対策(レートリミット、ブラックホールルーティングなど)を学びます。
  • なりすまし攻撃: IPスプーフィング、ARPスプーフィング、DNSキャッシュポイズニングなど、各層におけるなりすましの手口と、それを防ぐ技術(リバースパスフォワーディング、DNSSECなど)をセットで覚えます。
  • 中間者攻撃(Man-in-the-Middle Attack): 通信の間に割り込んで、盗聴や改ざんを行います。公開鍵基盤(PKI)や証明書の検証が、なぜ重要なのかを理解する上で良い事例です。

▼効率的な学習法を知る

広大なドメイン4を効率的に学習するには、戦略が必要です。私が1ヶ月でCISSPに一発合格した際に実践した、具体的な学習テクニックやおすすめのUdemy講座については、以下の記事で詳しく紹介しています。

CISSP 8ドメイン解説シリーズ

この記事ではドメイン4について解説しました。他のドメインの理解を深めたい方は、以下の記事も併せてご覧ください。

まとめ:ネットワークを制する者がセキュリティを制す

ドメイン4「通信とネットワークセキュリティ」は、覚えるべき技術要素が多く、学習に時間がかかる領域です。しかし、裏を返せば、一度体系的に理解してしまえば、安定した得点源に変わるドメインでもあります。

一つ一つのプロトコルや技術を丸暗記するのではなく、OSI参照モデルという地図を片手に、「どの場所で」「どのような脅威から」「何を守るための技術なのか」を常に意識しながら学習を進めてください。このドメインをマスターしたとき、あなたのセキュリティ専門家としての土台は、より一層強固なものになっているはずです。