鳩小屋

落書き帳

CISSP勉強記①:セキュリティとリスクマネジメント 

CISSP勉強記の第一弾。
だらだら勉強してるだけだとモチベがゼロになりそうなので勉強したことを記録していく作戦。
日本語版書籍は内容が古いのでそのうち英語版読まねば。

モチベーション

建前:世界で通用する情報セキュリティの知識を身に着ける
本音:会社でとっている人が多いので取得していないと肩身が狭い

CISSP 概要

Certified Information Systems Security Professionalの略で情報セキュリティの米国資格です。
ボリューム感としては参考書の厚さが15cm。重さ3kg。六法全書並。
カタログスペックではマウントパワーの高い資格となっています。
ただ、下流工程というよりCXOのような上流責任者必須の知識体系となっているため、技術的には浅そうなイメージです。

CISSP試験はCISSP CBKという8つのドメインで構成されています。
1.セキュリティとリスクマネジメント
2.資産のセキュリティ
3.セキュリティアーキテクチャとエンジニアリング
4.通信とネットワークのセキュリティ
5.アイデンティティとアクセスの管理
6.セキュリティの評価とテスト
7.セキュリティの運用
8.ソフトウェア開発セキュリティ

内容的は、サイバーセキュリティというよりセキュリティ。つまり、技術的なセキュリティのみならず、ガバナンスやマネジメントなど、企業や社会をより安全・安心・健全な状態へ導くための考え方やテクニックで構成されています。

特徴的なのは、最も優先されるのが人命、その次にビジネスの継続というところです。具体例として、セキュリティ3要素の機密性、可用性、完全性において、日本では情報漏洩などがよくニュースになりますが、CISSPでは、上述の観点から、人命に直結する完全性や可用性が特に重要視されます。米国では、人は最も大事な資産として扱われますが、これは神から与えられた命が大事という精神論ではなく、本質的に代替が効かないために失うと取り返しがつかないという考えに基づいています。人は育成するのにも管理するのにも大きなコストがかかります。したがって、せっかくコストをかけた人に死なれたら困る、人を死なせたら償いきれない、という考えになります。
日本と米国の違いは、軍事面でよく表れています。旧日本軍では、【国のために命を捧げよ】(調査兵団風)が標語で、結果的に回天や神風といった世界でも例を見ない外道兵器が登場しました。一方、米軍では、応急修理班や安全装置など、人命や設備に関わる体制が比較的整備されていました。特に航空機のパイロットが大事にされたという点は対照的と言えるでしょう。

戦後の日本では、こういった考えは大きく改められましたが、この精神がなくなったわけではありません。人命とビジネスの優先度が逆になっている企業で、社員のブランコやバンジージャンプが発生するのがいい例でしょう。旧日本軍のような体制は短期的な業績にはつながりますが、長期目線で見ればリスクになります。いずれにせよ、このような考え方に基づいて情報セキュリティをトップダウンに習得するのがこの米国資格の特徴になります。(たぶん)

試験内容はすべて4択問題で一見簡単そうに見えますが、普通の4択とは違い、正しい答えが並んでいるという問題も多数出題されます。つまり、正しい答えの中で最も優先される項目を選択する形式になります。このような問題は、消去法が効かず、あいまいな理解で回答できません。その意味ではあいまいな正しさではなく、上述した考え方を正しく理解して最適解を選択する力が求められます。果たして鳩ポッポは一発合格できるのか?

セキュリティとリスクマネジメント

今回は第一回ということで第一ドメインの内容を紹介。
こちらはCISSPの特徴が濃いドメインになります。ビジネス寄りで技術要素がないので退屈なところもありますが大事な内容なので頑張って読みました。章ごとの用語や概要を簡単にメモ。(次の章読んだころには全部忘れてそう)

機密性、完全性、可用性

情報セキュリティのCIA3要素。機密性は情報漏洩対策、完全性は改ざん対策、可用性は機能停止対策などがメイン

セキュリティガバナンス

株主、従業員、ビジネスパートナー、顧客に対する説明責任(安心・信頼)を果たし、取締役会や経営陣が企業のリスクを受容水準まで管理するための内部統制の仕組み。ポリシーや戦略の設定、資産の配置、管理責任の割り当てなどが該当。

情報セキュリティマネジメントは、物理コントロール、業務コントロール、管理コントロール、技術コントロール、運用コントロールを実装することで実現。ITIL。ISO27000。

最近だと干シタル庁の話が、ガバガバナンスの見本かもしれません。身内に謀反を起こされた挙句、トップが説明責任を果たせないという最悪のパターンです。民間企業なら粛清と株価半額セールが始まるところですが、それでも沈没しないのが官公庁。失注や減額自体はオリンピックやコロナの特殊性を考えれば仕方ない気もしますし、受注ベンダとしても想定リスクの範囲内かと思います。大手ベンダで少なからず下請け搾取の構造があることを考えれば応報といえるかもしれません。担当SEの心情はお察ししますが。

効果的なセキュリティプログラム

エンドユーザ、経営幹部、情報セキュリティ専門家。データオーナー、監査人、セキュリティ管理者、ネットワーク管理者、警備員、サービスデスク管理者の役割と責任。
法的義務に該当する妥当な注意(Due Care)とこれらを先制的に避ける予防策のような適切な注意(Due Diligence)の概念。適切な注意には、従業員のバックグラウンドチェック、取引先の与信確認、物理的なリスクアセスメントなどが該当。

コンプライアンス

法規制よりも広い範囲で設定された社内基準や方針に準拠する仕組み。

法規制

サイバー犯罪の種類。知的財産権。企業秘密。ライセンス。輸出入規制。国境間のデータ管理。プライバシー。
児童ポルノやら火器管制装置などの用語が出るあたり、やはり海外資格という感じ。

倫理

操作が簡単だからと言ってすべての操作が正しいわけではないこと、他人を害することもあること、情報は無料ではない、といったコンピュータ倫理の誤認。ハッカーの倫理。

あとは資格ホルダーは高い倫理感を持ちましょうという話。鳩ぽっぽは中学生あたりで誇りや倫理感をどこかに置き忘れてしまったので、再インストールが必要です。

(ISC)倫理規定。
・社会、一般大衆の福利およびインフラを保護する。
・法に違わず誠実に責任を持って行動する。
・当事者に対して、十分かつ適切なサービスを提供する。
・セキュリティ専門家としての知識を向上し、保護する。

CISSPの倫理規定。
インフォームドコンセント
・最悪の場合に対応するより高い倫理
・スケール変更テスト
・所有者の所有権の保全
・ユーザの所有権の保全

セキュリティポリシー

経営陣によるセキュリティステートメント。ポリシーの実装となるスタンダード、プロシージャ、ベースライン、ガイドライン

事業継続と災害復旧

災害復旧計画。事業継続計画。事業影響度分析。

人的セキュリティ

採用候補者の適正審査。リファレンスチェック。バックグラウンド調査。信用履歴。犯罪歴。運転記録。薬物検査。職務の分離。最小特権。強制休暇。サードパーティ人員の管理。プライバシー。

リスクマネジメント

リスクアセスメントとは、リスクをアセスメントするということです。(セクシー風)
リスクは、脆弱性(悪用の可能性)と脅威による影響の組み合わせ。
リスクアセスメントのは手法は組織の文化、予算、リソースをもとに決定する。
ここで大事なのは、リスクは完全にゼロにならないこと、リスクが許容範囲であるかということ。

手順
・目的の特定
・範囲の特定
・制約条件の設定
・情報源の設定
・分析アプローチ

概念
・資産への脅威
・環境に存在する脆弱性
脆弱性の顕現
・組織への影響
・脅威の低減策
・残存リスク

定性的リスクアセスメントは専門知識がなくても実施可能。高中低程度の指標。
定量リスクアセスメントは専門知識が求められるが、リスクと対策コストを数値で比較可能。
脅威のソースは、人間、自然。技術。物理。環境。運用。
リスク回避。リスク移転。リスク低減。リスク受容。

コントロールの種類。指示。抑止。防止。補償。検知。是正。復旧。
管理コントロール。論理コントロール。物理コントロール
物理的な入室。管理コントロール。ポリシーとプロシージャ。人的セキュリティ。モニタリング。ユーザアクセス制御。特権管理。ネットワークアクセス。リモートアクセス。システムアクセス。アプリケーションアクセス。マルウェアコントロール。暗号化。脆弱性評価。ペネトレーションテスト。アプリケーションセキュリティ診断。DoS診断。ウォーダイヤリング。無線ネットワーク診断。ソーシャルエンジニアリング
有形資産。無形資産。
無形資産の価値を評価するのは難しく、組織への影響をもとに判断する。

脅威モデリング

評価の範囲。脅威者と攻撃の特定。既存対策の理解。悪用可能な脆弱性を特定。リスクの優先順位付け。脅威の低減策を特定。

調達戦略

サプライチェーンクラウドサービスと第三者ガバナンス。サービスレベルアグリーメント(SLA)

セキュリティ教育

セキュリティ意識啓発トレーニング(Security Awareness Training)。
セキュリティポリシーとは何か。なぜセキュリティポリシーが重要か。ポリシーと自身の役割の関係。ペナルティは何か。