【日本語】初心者から学べるCISSP講座：CBK Domain 1

• 社会、一般大衆の福利、およびインフラを保護する。

• 法律に違わず、公正かつ誠実に責任を持って行動する。

• 当事者に対して、十分かつ適切なサービスを提供する。

• 専門知識を高め、維持する。

• コンプライアンスを守るためにはルール作りだけではなく、個人の意識も必要です。

• アウトソーシングする場合には、別のリスクに置き換わっていることを考えるべきです。

• セキュリティ防御策のことをセーフガードといいます。

• CIAは機密性・完全性・可用性の頭文字です。

• CIAを満たしていることがセキュリティが確保されていることです。

• CIAトライアドはバランスが大事です。

• セーフガードは多層にすべきです。

• 防御策はその手法がバレても突破されないことを目指すべきです。

• アクセス制御が最小権限の原則と知る必要性（Need to Know）に則る必要があります。

• 最小権限の原則では、情報そのものが侵害されるリスクに着目しています。

• 知る必要性では、信頼のある人であっても情報を不必要に共有することへのリスクに着目しています。

• 真正性とは、ある対象がそれが何であるかの記述や主張の通りに本物であることを確認できることです。認証機能を強化します。

• 否認防止とは、主体の行動に対して否定されることを防止することです。

「ガバナンス」において取り扱う範囲を説明いたします。

• 組織目標を達成するためのセキュリティ機能を考えましょう。

• ガバナンスとは、利害関係者のニーズを評価して、信頼を維持するための管理体制です。

• マネジメントとは、ガバナンスを前提としてビジネス目標を達成するための管理です。

• ガバナンス委員会は、意思決定を行う方法やガバナンスの変更、例外の承認を行います。

• 買収・合併・売却といった組織編成が変わる時にはガバナンスも見直されます。

• ビジネスオーナーは事業の責任者です。

• システムオーナーは現場の責任者です。

• システム管理者は現場の作業者です。

• システム開発チームとセキュリティチームは分かれています。

• ISO/IEC 27000シリーズは、様々な観点から情報セキュリティマネジメントシステムのフレームワークです。

• PCI DSSは、電子決済する際の個人情報流出を避けるためのフレームワークです。

• FedRAMPは、クラウドの製品やサービスに対するセキュリティ評価、認証、継続的監視に関する認定制度です。

• COBITでは、企業のITガバナンスの成熟度を測るフレームワークが提供されている。

• COSOでは、粉飾させないための統治を目的としている。

• ITILは、ベストプラクティスをまとめた書籍群です。

• デューディリジェンス（Due Diligence）とは、正当な仕組みや制度です。

• デューケア（Due Care）とは、従業員が組織から敷かれているルールに十分な努力をもって従うことです。

• ハッカーはコンピューターに詳しい人、クラッカーは攻撃する人です。

• クラッカーがコンピューターに危害を加える動機は、快楽、政治、金銭、諜報など様々あります。

• サイバー攻撃は犯罪です。

• ウイルスとは、Excelマクロなどの他のプログラムに処理を従属するマルウェアです。

• トロイの木馬とは、優良そうなソフトウェアを装いダウンロードさせるなど、一見無害そうに伝染するマルウェアです。

• ワームとは、コンピュータに利用者の操作なしに伝染するマルウェアです。

• 破壊系マルウェアでは、ランサムウェアに代表されるコンピュータ自体を破壊することを目的にしたマルウェアです。

• 潜在的マルウェアは、スパイウェアのように明確に悪意があるかわからないが、目的によっては侵害に至るケースがあるプログラムです。

• 合衆国の法律が試験範囲になります。

• 法律は 、刑法、民法、行政法に大別されます。

• 粉飾というのは企業業績を示す財務諸表と実態に大きな差が出ることです。

• 会社とは独立した公認会計士や社外取締役に監視を求めます。

• グラム・リーチ・ブライリー法とは、銀行業, 投資業と保険業の兼業規制を緩めた法律です。

• 国家としてのどこまで制御するべきなのかは、たびたび議論される。

• 法執行のための通信援助法（CALEA）とは、通信会社の傍受協力のための法律です。

• 連邦情報セキュリティマネジメント法とは、セキュリティの予算を確保し組織やルールを整備する法律です。

• 政府や金融機関などの保護されたコンピューターに対して、意図的な損害を禁止している。

• 知的財産はビジネスにおいて最も重要な資産になりうる。

• 商標とは事業者の取り扱う商品・サービスの識別標識です。

• ライセンスは主に利用の許可を示し、通常正当な手続きが行われたアクセス利用権を取得することを指します。

• 営業秘密であるためには、公になっていない、利益を生む、秘密にされていることが必要です。

• 著作権は、死亡してから70年、公表されてから95年、作られてから120年で失効する。

• デジタルミレニアム著作権法は、Webのデジタルコンテンツの著作権を保護する法律です。

• 連邦経済スパイ法では、営業秘密を漏洩した場合に罰する刑事法です。

• 輸入輸出品は、軍用としても民生用としても使えるデュアル・ユースもあり得ます。

• COCOMの目的は、米国とソ連の間の軍事力や技術力の格差を維持することです。

• 米国の輸出管理法規の一部は、主権や管理権の及ばない他国との取引にも適用される。

• 一般データ保護規則（GDPR）は、EU圏の市民のプライバシーを保護する規則です。

• 消去権・忘れられる権利とは、企業が必要なくなったときに個人情報の削除を要求する権利です。

• データポータビリティの権利とは、個人データを取得している管理者を別の管理者に送信させる権利です。

• データの侵害が発生した場合、データを管理している組織は個人データ侵害を認識してから72時間以内に管轄の監督機関に、当該個人データ侵害を通知しなければなりません。

• プライバシーは個人情報の機密性を保護する総称です。

• 健康や身体情報も個人情報に含まれます。

• 健康に関する個人情報を保護する法律としては、HIPAAやHITECHがあります。

• 児童オンラインプライバシー保護法とは、 13歳未満の子どもをオンラインサービスから守る法律です。

• 証拠は正当な手順で取得しなければならない。

• 証拠を取得するときから十分に証拠保全を行わなければならない。

• 証拠の優先順位があり物的証拠や原本は基本的に優先されます。

• セキュリティドキュメントは、ポリシー・スタンダード・ベースライン・ガイドライン・プロシージャからなります。

• ビジネスケースの実行については、上司の承認が必要であり、それは有効で効果的でなければなりません。

• セキュリティドキュメントは、自体に被害があったときに、経営幹部が十分な注意を払ったことを証明するものとしても使われます。

• 事業影響分析によって事業停止を引き起こす箇所を明確にします。

• システムの可用性は稼働率から計ることができます。

• 平均故障時間と平均修理時間から稼働率を計算できます。

• MTD ≥ RTO + WRTでなければなりません。

• 外部の依存関係とは、あなたやあなたのチームがコントロールできない外部要因にタスクが依存していることです。

• 自身の組織が健全であっても関係組織の停止によって、根幹となる業務が止まってしまい、事業の継続が危ぶまれます。

• 採用時には、候補者の職歴や学歴の取得、推薦状の確認、候補者についての同僚へのインタビュー、警察や政府の逮捕歴や違法行為の記録、個人面接を行います。

• 採用時には、採用側は差別的な判定を下すことを禁止する法的規制を十分に認識することも重要です。

• 職務記述書とは職業内容が記載された文章です。

• 採用後には、新入社員を組織に加え、雇用契約や方針を確認し署名いただき、マネージャーや同僚を紹介し、社員の業務や物流に関するトレーニングを行います。

• 秘密保持契約は、組織内の機密情報が従業員によって開示されないように保護するために使用されます。

• オリエンテーションによって、従業員の満足度を上げましょう。

• 入社すると、従業員アカウントが配布されます。

• 異動する際には、ロールが変更され、権限超過しないように注意します。

• 退職時には出口面接を設けます。

• 競業避止義務とは、従業員が雇用主に対する競争に参加しないことを約束する契約です。

• ベンダー管理システムは優先すべきベンターをリストアップするとともに、発注・納品の業務プロセスも処理できるようになっていることが一般的です。

• リスクは脅威と脆弱性の間に生じます。

• 最新のニュースや官公庁の資料、調査会社のレポートから情報セキュリティに対する潜在的な脅威を特定し、文書化し、最新の情報を常に確認します。

• ある時点での脆弱性箇所は、恒久的なものではありません。

• 定性分析とは、性質を評価軸としたリスク影響度の分析方法です。

• リスク分析マトリックスによって、発生頻度と影響度から事象に対するリスクの大きさを知ることに貢献します。

• 定量分析とは、リスクを費用として算出します。

• 年間予想損失額として、将来的に発生する費用も含めて年間の費用に均します 。

• 総コストTCO（Total Cost of Ownership）が低い案を採用することが金額的に合理的であると判断できます。

• 定性分析とは、性質を評価軸としたリスク影響度の分析方法です。

• リスク分析マトリックスによって、発生頻度と影響度から事象に対するリスクの大きさを知ることに貢献します。

• アクセスコントロールタイプを手段と性質で考え、広い視点を持つ。

• 管理的コントロール、技術的コントロール、物理的コントロールに分けられる。

• 複数の性質を持つアクセスコントロールもあります。

• 企業のあらゆる活動は投資対効果で測られるだろう。

• セキュリティとは、機密性・完全性・可用性を保護することを目的とします。

• プライバシーとは、個人の権利を尊重し、不適切なデータ使用や情報漏洩を防ぐことを目的とします。

• 継続的モニタリングは、組織がリアルタイムでリスクを特定し、監視することを指します。

• 監査は組織外の独立的な立場の人や組織が行います。

• 業務受託会社監査（SOC）とは、米国公認会計士協会（AICPA）によって決められている業務の請け負い側の内部統制を保証するものです。

• 監査を成功させるためには、オープンな議論が必要です。

• 組織の枠組みやルールだけではなく、規定された方法が、実用的、効率的、リスクを減らすことを保証しているかも確認します。

• 実態と文章内容は一致していることを確認します。

• 監査はストレスですが、やる価値は十分にあります。

• リスクマネジメントは、一度対応したら終わりではありません。継続的に改善する必要があります。

• リスク成熟度モデル（RMM）は、組織のリスク管理プログラムに焦点を当てた評価ツールです。

• リスクは、脅威と脆弱性の両方の大きさにより、その影響度合いが変わる。

• リスクの関係性を整理してから、それぞれの脅威と脆弱性を特定し、リスクの大きさを算出していきます。そして、各リスクへの対応策を発案して、確定し、実行します。