トップ > CISSP > CISSPドメイン1「セキュリティとリスクマネジメント」の最重要トピックを徹底解説

CISSPドメイン1「セキュリティとリスクマネジメント」の最重要トピックを徹底解説

CISSP
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

承知いたしました。タスク4に着手します。

ドメイン1「セキュリティとリスクマネジメント」の記事を編集し、8つ全てのドメイン解説記事へリンクするナビゲーションセクションを追加しました。これにより、「ドメイン解説」クラスター内の回遊性を高めます。

ご確認いただき、問題なければ他の7つのドメイン記事にも同様のナビゲーションを設置する作業を進めます。

CISSP(Certified Information Systems Security Professional)試験は、情報セキュリティのプロフェッショナルを認定する国際資格です。試験範囲は8つのドメインに分かれており、その中でも「セキュリティとリスクマネジメント」は、情報セキュリティの基礎となる重要な領域です。本記事では、CISSP試験におけるセキュリティとリスクマネジメントの概要、試験対策、そして実務への応用について詳しく解説します。

CISSPにおけるセキュリティとリスクマネジメントとは?

CISSP試験におけるセキュリティとリスクマネジメントは、組織の情報資産を保護するための戦略、ポリシー、手順、およびリスク管理プロセスを包括的に理解することを目的としています。具体的には、以下の知識領域が含まれます。

  • セキュリティガバナンス: 組織のセキュリティ戦略、ポリシー、および手順の策定と実施。例えば、経営層がセキュリティに関する意思決定を行い、セキュリティ委員会を設置してセキュリティ対策を推進するなどが該当します。
  • リスクマネジメント: リスクの特定、評価、および軽減。例えば、リスクアセスメントを実施し、リスクの高い情報資産に対して優先的に対策を講じるなどが該当します。
  • コンプライアンス: 法規制、業界標準、および組織ポリシーへの準拠。例えば、個人情報保護法やGDPRなどの法規制を遵守し、ISO 27001などの国際規格に準拠するなどが該当します。
  • セキュリティ意識向上: 従業員のセキュリティ意識を高めるための教育と訓練。例えば、定期的にセキュリティ研修を実施し、フィッシング詐欺やマルウェア感染などの脅威に対する注意喚起を行うなどが該当します。
  • ビジネス継続計画(BCP)と災害復旧計画(DRP): 事業継続性を確保するための計画策定。例えば、災害発生時のバックアップデータの復旧手順や、代替システムの稼働手順などを定めておくなどが該当します。

CISSP試験対策:セキュリティとリスクマネジ-メントの攻略法

セキュリティとリスクマネジメントは、CISSP試験の中でも比較的配点が高い領域です。試験対策としては、以下のポイントを押さえて学習を進めることが重要です。

1. 公式教材と参考書の活用

(ISC)²が提供する公式教材「CISSP Official Study Guide」や、Mike Chapple氏の「CISSP For Dummies」などの信頼できる参考書を活用し、各知識領域の概念を深く理解しましょう。特に、リスクマネジメントのフレームワーク(NIST Risk Management Framework、ISO 27005など)や、コンプライアンスに関する法規制(GDPR、HIPAA、PCI DSSなど)は重点的に学習する必要があります。

新版 CISSP CBK 公式ガイド

新版 CISSP CBK 公式ガイド

  • NTT出版
Amazon

2. 問題集と模擬試験の活用

(ISC)²が提供する公式問題集「CISSP Official Practice Tests」や、CCCureなどのオンライン問題集を活用し、過去問題集や模擬試験を繰り返し解くことで、試験形式に慣れ、弱点を把握することができます。特に、リスクアセスメントの計算問題(ALE、AROなど)や、ポリシーに関する事例問題は、繰り返し練習することで理解を深めることができます。

CISSP公式問題集

CISSP公式問題集

Amazon

3. 実務経験との関連付け

セキュリティとリスクマネジメントは、実務経験と密接に関連しています。日頃から情報セキュリティに関する業務(リスクアセスメント、ポリシー策定、インシデント対応など)に積極的に取り組み、学習内容を実務に結びつけることで、より深い理解が得られます。例えば、リスクアセスメントを実施する際に、過去のインシデント事例や脆弱性情報を参考にすることで、より実践的なリスク評価が可能になります。

4. 最新の動向の把握

情報セキュリティの脅威や技術は常に変化しています。最新のセキュリティニュース(例えば、IPA「情報セキュリティ10大脅威」やJPCERT/CC「注意喚起」など)や業界動向(例えば、クラウドセキュリティ、IoTセキュリティ、AIセキュリティなど)を把握し、試験対策に役立てましょう。

www.ipa.go.jp

実務への応用:セキュリティとリスクマネジメントの重要性

CISSP試験で得た知識は、実務においても非常に役立ちます。セキュリティとリスクマネジメントの知識を応用することで、組織の情報資産を効果的に保護し、ビジネスの継続性を確保することができます。

1. リスクアセスメントの実施

リスクアセスメントを実施することで、組織の潜在的なリスク(例えば、サイバー攻撃、内部不正、自然災害など)を特定し、適切な対策(例えば、ファイアウォール、IDS/IPS、アクセス制御など)を講じることができます。リスクアセスメントは、定期的に(例えば、年1回)実施し、最新の脅威に対応することが重要です。

2. セキュリティポリシーの策定と実施

組織のセキュリティポリシー(例えば、情報セキュリティ基本方針、アクセス制御ポリシー、パスワードポリシーなど)を策定し、従業員に周知徹底することで、セキュリティ意識の向上を図ることができます。セキュリティポリシーは、組織の規模や業種に合わせてカスタマイズし、定期的に(例えば、年1回)見直す必要があります。

3. インシデント対応計画の策定

インシデント発生時の対応計画(例えば、インシデントハンドリング手順、CSIRTの役割分担、緊急連絡先など)を策定しておくことで、被害を最小限に抑え、迅速な復旧が可能になります。インシデント対応計画は、定期的に(例えば、年1回)訓練(例えば、机上演習、シミュレーション演習など)を実施し、実効性を確認することが重要です。

4. ビジネス継続計画(BCP)と災害復旧計画(DRP)の策定

ビジネス継続計画(BCP)と災害復旧計画(DRP)を策定しておくことで、災害やシステム障害が発生した場合でも、事業を継続することができます。BCP/DRPは、定期的に(例えば、年1回)見直し、最新の状況(例えば、事業環境、システム構成、リスク状況など)に合わせて更新する必要があります。

関連するセキュリティフレームワーク・規格

CISSP試験におけるセキュリティとリスクマネジメントの知識は、以下のセキュリティフレームワークや規格と関連しています。

  • NIST Cybersecurity Framework: サイバーセキュリティリスク管理のためのフレームワーク
  • ISO 27001/27002: 情報セキュリティマネジメントシステム(ISMS)の国際規格
  • ISO 27005: 情報セキュリティリスクマネジメントの国際規格
  • COBIT: ITガバナンスとマネジメントのフレームワーク
  • PCI DSS: クレジットカード業界のセキュリティ基準

これらのフレームワークや規格を理解することで、より体系的なセキュリティ対策を講じることができます。

CISSP 8ドメイン解説シリーズ

この記事ではドメイン1について解説しました。他のドメインの理解を深めたい方は、以下の記事も併せてご覧ください。

まとめ

CISSP試験におけるセキュリティとリスクマネジメントは、情報セキュリティの基礎となる重要な領域です。試験対策としては、公式教材や問題集を活用し、実務経験との関連付けを意識することが重要です。また、試験で得た知識は、実務においても非常に役立ちます。リスクアセスメント、セキュリティポリシー、インシデント対応計画、BCP/DRPなどの策定と実施を通じて、組織の情報資産を効果的に保護し、ビジネスの継続性を確保しましょう。

CISSP の他のドメインや認定資格に必要な業務経験、試験勉強などの詳細を以下の記事で解説しています。