ホーム IT・セキュリティ教育 ITサポート 会社案内 お問い合わせ
パートナー募集:インターネット検定 「.com Master」の認定アカデミー、指定校、協力校、代理店を募集しています

情報セキュリティ教育



トップ > IT・セキュリティ教育 > 情報セキュリティ教育 > CISSP®について > CISSP®セミナー > CBK(Common Body of Knowledge)10ドメイン

CBK(Common Body of Knowledge)10ドメイン

  1. Information Security and Risk Management (情報セキュリティとリスクのマネジメント)
  2. Security Architecture and Design (セキュリティアーキテクチャと設計)
  3. Access Control (アクセス制御)
  4. Application Security (アプリケーションセキュリティ)
  5. Operations Security (運用セキュリティ)
  6. Cryptography (暗号学)
  7. Telecommunications and Network Security (通信とネットワークのセキュリティ)
  8. Physical (Environmental) Security (物理(環境)セキュリティ)
  9. Business Continuity and Disaster Recovery Planning (事業継続と災害復旧の計画)
  10. Legal,Regulations,Compliance and Investigations (法、規則、コンプライアンス、捜査)

1. Information Security and Risk Management (情報セキュリティとリスクのマネジメント)

このドメインでは、機密性、完全性、可用性を軸にしたセキュリティマネージメントを行うために必要なポリシー、スタンダード、プロシージャ、ガイドラインの策定、文書化、実施方法について説明すると共に、そのマネージメントを有効に実施するため、情報の分類、リスクの特定、リスク評価、リスク分析(定性的・定量的)等の手段を用いてセキュリティの脅威を特定し、資産を分類し、システムの脆弱性を評価する方法について説明します。同時にポリシーを含めたマネージメントを組織内に定着される手法についても紹介します。

このドメインでCISSP®に求められる能力
  1. 組織の情報資産を洗い出し、それらを保護する上で必要となる計画を立て、組織を構成し、経営幹部や情報システムセキュリティ専門家、各オーナ、管理者、ユーザ、IT責任者、情報システム監査員等の役割を明確にできること。
  2. セキュリティマネージメントに適用されるポリシー、スタンダード、ガイドライン、およびプロシージャの違いを定義できること。
  3. セキュリティ意識の重要性を明示し、従業員が情報セキュリティの必要性を認識できるように取り組めること。
  4. 情報資産に対するリスクを特定し、それらに優先順位を付け、軽減を図るためのリスクマネージメント手法と手段の重要性を説明できること。
  5. 職業倫理を理解していること。

前のページに戻る>>

2. Security Architecture and Design (セキュリティアーキテクチャと設計)

このドメインでは、企業組織におけるネットワークインフラを設計し、モニターし、セキュリティを確保するための概念、原則、構造、規格・標準について説明します。インフラと呼ばれるものには次のものが含まれます:
ハードウェア、ソフトウェア、オペレーティングシステムとそれに関わる全ての機能、アプリケーション、ユーティリティ、ネットワーク環境、セキュリティ意識の向上とトレーニング、ポリシー・プロシージャ・ベースライン、および標準・規格に基づく情報システムセキュリティ。

このドメインでCISSP®に求められる能力
  1. アーキテクチャおよび設計に関連するセキュリティの問題点と管理方法を特定できること。
  2. コンピュータとネットワークの一般的な構成、企業組織におけるアーキテクチャ、設計の原則について説明できること。
  3. 様々なセキュリティモデルを理解し、定義できること。 これには各種、機密性、完全性、可用性モデルの機能理解も含まれます。
  4. 歴史的及び現存する(コモンクライテリア、ISO15048を含む)セキュリティ標準・規格の内容理解と適用について説明できること。

前のページに戻る>>

3. Access Control (アクセス制御)

このドメインでは、組織の情報へのアクセスを制御するさまざまな情報セキュリティシステムについて説明します。具体的には、アクセス制御の原則・基本概念や、脅威の特定、アクセス制御の種類及び分類、アクセス制御技術とモデル、監視システム、監査方法等が含まれます。

このドメインでCISSP®に求められる能力
  1. 強制的・任意アクセス制御を軸としたアクセス制御の概念と方法について説明できること。
  2. アクセス制御に必要なツールと技術を明確にできること。そして、それらの制御が何に対して有効なのかを理解していること。
  3. 情報システムの動作、使用状況、内容を分析するためのテスト方法及び監査機能について説明できること。

前のページに戻る>>

4. Application Security (アプリケーションセキュリティ)

このドメインでは、ソフトウェアアプリケーションに適用される重要なセキュリティ概念を扱います。またアプリケーションレベルの脅威についても特定し解説をします。そしてソフトウェアの設計と開発に必要な環境の概要を示すと共に、情報システムセキュリティでソフトウェアが果たす重要な役割について説明します。ここでいうソフトウェアとは、オペレーティングシステムソフトウェアとアプリケーションソフトウェアを含むものです。

このドメインでCISSP®に求められる能力
  1. ライフサイクル管理プロセスを通じて、アプリケーションをセキュアにするための原則を説明できること。
  2. アプリケーション開発プロセス管理、更には変更管理、データウェアハウジング、データマイニング、ナレッジベースシステム、プログラムインタフェース、ソフトウェアの可用性・完全性・機密性を実現するための概念について説明できること。
  3. アプリケーションソフトウェア設計のエンジニアリング方針を定義できること。
  4. さまざまな種類の悪質なコードを把握し、それらの悪質なコードがコンピューティング環境に入り込む過程、および悪質なコード攻撃を阻止、検出、修正するための保護手段について説明できること。
  5. 開発されたソフトウェアの評価、認証、認定について明確に意義と具体的な手法を説明できること。
プログラマーのようなアプリケーションソフトウェア開発コード等の知識は必要ありませんが、CISSP®はソフトウェア開発時のデザインや開発における基礎的な手順や概念、およびさまざまなアプリケーション開発プロセスの利点・欠点を理解しておかなければなりません。これは、CISSP®がソフトウェア開発プロセスを管理し、セキュリティ用件が正しく含まれているかどうかを確認するのに必須の知識となります。

前のページに戻る>>

5. Operations Security (運用セキュリティ)

運用セキュリティでは、ハードウェアや記録媒体、また、これらのリソースにアクセス権を持つオペレーターや管理者等を管理する方法について触れていきます。これは、ネットワークやデータ処理環境に接続されたコンピュータや記憶媒体上の情報資産を保護するためのものです。運用上の違反行為の特定、検出方法、対処策の説明をし、運用システムの種類と必要性、またデータセンター、サーバールーム、コンピュータルームの必要性、及びアクセス権の管理に焦点をあてて説明します。

このドメインでCISSP®に求められる能力
  1. 受動的および能動的な情報セキュリティの制御を定義できること。それが何に対する制御を行なおうとしているのかについても理解していること。
  2. ハードウェア、記録媒体、それらの運用者のセキュリティ管理手法について具体的に説明できること。

前のページに戻る>>

6. Cryptography (暗号学)

このドメインでは、完全性・機密性・信頼性を確保するための暗号化の原則、手段及び方式について説明します。具体的には、暗号技術の歴史から、さまざまな暗号方式・アルゴリズムの原則・特徴、公開鍵・共通鍵のアルゴリズム、PKI、システム上の暗号化アーキテクチャ、暗号への脅威等が含まれます。

このドメインでCISSP®に求められる能力
  1. 暗号学の基本概念を定義できること。
  2. 公開鍵と共通鍵を適用、及び使用する際のアルゴリズム及びそれぞれの利点・欠点を説明できること。
  3. 暗号方式・アルゴリズムのタイプ、鍵の配布と管理、暗号解読・攻撃方法を識別でき、それぞれにおける強弱点を認識できること。
  4. デジタル署名の適用方法、作成及び使用について定義できること。

前のページに戻る>>

7. Telecommunications and Network Security (通信とネットワークのセキュリティ)

このドメインでは、ネットワーク構造や伝送(トランスミッション)方式、伝送(トランスポート)形式、可用性・完全性・機密性を提供するために使用されるセキュリティ手段、専用通信網・公衆通信網・メディア上の通信の認証技術、ネットワーク上の脅威およびその防護策について説明します。

このドメインでCISSP®に求められる能力
  1. ローカルエリア、ワイドエリア、リモートアクセス(ワイヤレス含む)、またインターネット、イントラネット、エクストラネット上での情報伝送に関連する技術や概念を理解とそれぞれに対するセキュリティの脅威及び要素を説明できること。
  2. ネットワーク通信用プロトコル及びネットワークセキュリティ用プロトコールの理解と脅威、各種ネットワークにおけるセキュリティ対策(ファイアウォールやその他の技術を含む)を説明できること。

前のページに戻る>>

8. Physical (Environmental) Security (物理(環境)セキュリティ)

このドメインでは、外部周辺エリアから内部のデータセンターやサーバールームを含むオフィスエリアにおけるすべての情報資産やその施設全体の物理的な保護技術を階層化モデル、環境設計、施設の場所、施設建設の影響、インフラサポート設備といったような観点から説明します。

このドメインでCISSP®に求められる能力
  1. 企業の重要な情報資産を物理的に保護する上で、知っておくべき脅威、脆弱性、およびその対策(阻止、遅延、検出、判断、対処という5つの観点からの対策)について説明できること。
  2. 物理的なセキュリティに関して、施設、データ、媒体、機器、サポートシステム、およびオフィス備品に対するリスクを特定でき、リスク抑止対策、損害軽減策等について理解していること。

前のページに戻る>>

9. Business Continuity and Disaster Recovery Planning (事業継続と災害復旧の計画)

このドメインでは、正常な事業運営機能が停止した場合の業務の維持と復旧について説明します。重要な事業プロセスを保護するため、実行すべき行動を予め計画し、その内容をテストし、維持更新していくことが求められます。

このドメインでCISSP®に求められる能力
  1. 事業継続計画(BCP)の作成、導入、テスト、更新の見地から、最重要(クリティカル)な事業の運営を維持するために必要な具体的措置を計画する手法について理解していること。
  2. BCPの目的、必要性について明確に理解しており、災害復旧計画とBCPとの違いや事業影響度分析の重要性について説明できること。
  3. 様々なバックアップ手法を理解していると共に、BCP計画のテストに関する5段階のアプローチも明確に説明することができること。

前のページに戻る>>

10. Legal,Regulations,Compliance and Investigations (法、規則、コンプライアンス、捜査)

このドメインでは、法、規則、コンプライアンス、捜査について説明します。組織および人員に関わる法律・コンピュータ犯罪法・規制、及び、犯罪が行われたかどうかを判断するために使用する捜査手段と技術、犯罪事件の捜査、証拠の収集方法、法執行機関への連絡方法などについて扱います。

このドメインでCISSP®に求められる能力
  1. コンピュータ犯罪に適用される法律と法的問題を説明できること。
  2. 証拠の収集と保存、およびコンピュータ犯罪の調査に使用される法科学犯罪捜査(フォレンジック)手法を説明できること。
尚、ここで取り上げる法は、米国等、どこかの国に依存する法ではありません。あくまでもグローバルで通用する、またはグローバルで共通した法(ライセンス問題、知的所有権、輸出・輸入問題等)について取り上げます。

前のページに戻る>>




関連リンク
ページトップ