このブログでは、CISSPの認定資格試験の受験に必要となるCBK(Common Body of Knowledge:共通知識分野)の学習に参考となる情報を取りまとめます。
0.2. 参考資料について
文中、特に断りの無い場合には「公式ガイド」は「CISSP認定試験 公式ガイドブック (NTT出版/ISBN-13: 978-4757101333)」を指します。
0.3. 学習分野(ドメイン)について
CBKは10の学習分野(ドメイン)に分かれています。各ドメインの正式な定義は(ISC)2のホームページを参照して下さい。
日本語版公式ガイドは2005年発行の後にアップデートされていないということもあり、ドメインのタイトルが現行版と合致していません。また、内容についても一部、記載箇所が異なる(別のドメインに移動している)ことがあります。
参考まで、以下に各ドメインのタイトルと、公式ガイドのタイトルの対象表を記載します。また、各ドメインの説明は、それぞれのタイトルのリンクから参照してください(順次作成予定)。
|
#
|
2014年現在のドメイン定義
|
公式ガイド(2005年発行)のドメイン定義
|
|
01
|
情報セキュリティガバナンスとリスクマネジメント
|
第1章:情報セキュリティマネジメント
|
|
02
|
セキュリティアーキテクチャと設計
|
第2章:セキュリティアーキテクチャとセキュリティモデル
|
|
03
|
アクセス制御
|
第3章:アクセス制御のシステムと方法論
|
|
04
|
通信とネットワークのセキュリティ
|
第8章:通信、ネットワーク、インターネットのセキュリティ
|
|
05
|
暗号学
|
第6章:暗号
|
|
06
|
アプリケーション開発セキュリティ
|
第4章:アプリケーションとシステム開発
|
|
07
|
事業継続と災害復旧の計画
|
第9章:事業継続計画
|
|
08
|
物理(環境)セキュリティ
|
第7章:物理セキュリティ
|
|
09
|
法、規則、コンプライアンス、捜査
|
第10章:法、捜査、倫理
|
|
10
|
運用セキュリティ
|
第5章:運用セキュリティ
|
これらのドメインの内、中心となるドメインは「アクセス制御」です。
「物理(環境)セキュリティ」「通信とネットワークのセキュリティ」「アプリケーション開発セキュリティ」「暗号学」は「アクセス制御」の実装として定義されています。
0.4. CISSPで重視されるコンセプト
CISSPでは「(情報システムを使用する)ユーザ組織の経営層の立場で、最適なコストでISMSを検討する」ことが重視されます。従って「できる限り手厚いセキュリティ対策」ではなく「リスクが顕在化した際に生じるコストを上限としたセキュリティ対策」が適切である、という考え方が根底にあると言えます。
また、CISSPでは「人間よりも機械(およびプログラム)を信用する」という観点、つまり「人間は不正やミスを犯す可能性がある為、セキュリティの確保はできるだけ自動化(システム化)するべき」という観点に立ちます。
