トップ > CISSP > CISSPドメイン7:セキュリティの運用を徹底攻略

CISSPドメイン7:セキュリティの運用を徹底攻略

CISSP セキュリティ資格
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

はじめに:セキュリティは「日常」にあり!平時と有事を支える運用力

どんなに優れたセキュリティ設計も、日々の運用が伴わなければ形骸化し、いざという時に機能しません。セキュリティ対策を「生きている」状態に保ち、インシデントという「有事」に的確に対応するためのプロセスを学ぶのが、「ドメイン7:セキュリティの運用」です。

このドメインは、セキュリティ担当者の日々のオペレーションに直結する内容が多く、実務経験者にとってはイメージしやすい反面、そのプロセスの「なぜ」を問われると答えに詰まる、奥深い領域でもあります。

こんにちは。CISSP保有者で、企業のセキュリティ担当を務める城咲子です。この記事では、インシデント管理や変更管理といった日々の運用業務について、CISSPで問われる体系的な知識とベストプラクティスを中心に徹底解説します。

最重要知識①:「有事」に備えるインシデント管理

インシデント管理は、セキュリティ侵害が発生した際に、その影響を最小限に抑え、迅速に復旧するためのプロセスです。CISSPでは、NIST SP 800-61などで定義されている、以下のインシデント対応ライフサイクルの各フェーズの役割を理解することが不可欠です。

  1. 準備 (Preparation): インシデントに備える平時の活動。対応計画の策定、チーム(CSIRTなど)の組成、ツールの準備、訓練の実施が含まれます。
  2. 検知と分析 (Detection & Analysis): IDS/IPSのアラート、ユーザーからの報告、ログ分析などからインシデントの兆候を掴み、それが本当にインシデントであるかを判断します。
  3. 封じ込め、根絶、復旧 (Containment, Eradication & Recovery):
    • 封じ込め: 被害拡大を防ぐため、感染した端末をネットワークから隔離するなど、一時的な措置を講じます。
    • 根絶: 攻撃の原因(マルウェアなど)を完全に除去します。
    • 復旧: システムを正常な状態に戻し、運用を再開します。
  4. インシデント後の活動 (Post-Incident Activity): いわゆる「レッスンズ・ラーンド(Lessons Learned)」。インシデントの原因を分析し、報告書を作成し、再発防止策を講じます。このフェーズが最も重要です。

最重要知識②:「平時」の安定を守る変更管理と構成管理

予期せぬインシデントだけでなく、良かれと思って行った「変更」が、新たな脆弱性を生むことも少なくありません。

  • 変更管理 (Change Management): システムへの全ての変更を、正式なプロセス(要求→承認→テスト→実装→レビュー)を通じて管理する手法です。これにより、変更に起因する障害やセキュリティリスクを最小化します。緊急変更の場合でも、事後の承認・記録といったプロセスを省略してはならない点がポイントです。
  • 構成管理 (Configuration Management): システムのハードウェアやソフトウェアの構成情報を正確に記録・管理することです。CMDB(構成管理データベース)がその中核を担い、変更管理やインシデント管理の基礎情報となります。

これらは、ITサービスマネジメントのベストプラクティスであるITILの考え方に基づいています。

▼資格取得後のキャリア

ここで学ぶ運用スキルは、セキュリティ専門家としての市場価値に直結します。CISSP取得後にどのようなキャリアパスが開けるのか、具体的な年収例と共に以下の記事で解説しています。

最重要知識③:事業を守る最後の砦「事業継続と災害復旧」

大規模な自然災害やシステム障害など、事業の継続を脅かす事態にどう備えるかも、セキュリティ運用の重要なテーマです。

  • 事業継続計画 (BCP: Business Continuity Plan): 災害時でも、中核となる事業を継続・復旧させるための包括的な計画です。代替オフィスや人員計画などが含まれます。
  • 災害復旧計画 (DRP: Disaster Recovery Plan): BCPの一部であり、特にITシステムを復旧させるための技術的な手順書です。
  • 重要な指標:
    • RTO (目標復旧時間): システム停止後、どのくらいの時間で復旧させるか。
    • RPO (目標復旧時点): どの時点のデータまで復旧させるか(データの損失許容量)。

CISSPマインドセット: BCP/DRPの目的は、単にシステムを元に戻すことではありません。事業への影響を最小限に抑え、組織を存続させることが最終ゴールです。

▼知識を体系的に学ぶ

ここで紹介した個別の運用プロセスは、CISSPの広大な知識体系の一部に過ぎません。資格の全体像や、合格に向けた学習戦略については、以下のピラー記事で網羅的に解説しています。

CISSP 8ドメイン解説シリーズ

この記事ではドメイン7について解説しました。他のドメインの理解を深めたい方は、以下の記事も併せてご覧ください。

まとめ:「備えよ常に」の精神が組織を守る

ドメイン7「セキュリティの運用」は、決して派手ではありませんが、組織のセキュリティレベルを日常的に支える、縁の下の力持ちのような存在です。

インシデント対応、変更管理、BCP/DRPといったプロセスは、すべて「予期せぬ事態」に備えるためのものです。「何も起きないのが一番」ですが、プロフェッショナルは「何か起きても対処できる」ための準備を怠りません。

この「備えよ常に」の精神こそが、ドメイン7の根幹をなす考え方です。