ciss 8ドメインガイドブック - japan.isc2.org ｜isc2 c 20092017 ciss...

(ISC)2 Copyright 2009-2017 ｜ 1

CISSP 8 ドメインガイドブック

｜ (ISC)2 Copyright 2009-20172


はじめに１

CISSP CBK ８ドメインの関係３

１．セキュリティとリスクマネジメント４

２．資産のセキュリティ６

３．セキュリティエンジニアリング７

４．通信とネットワークセキュリティ１０

５．アイデンティティとアクセスの管理１２

６．セキュリティの評価とテスト１４

７．セキュリティの運用１６

８．ソフトウェア開発セキュリティ１８

確認テスト２０

CISSP 受験から認定までの流れと認定維持２６

その他２８



セキュリティとリスクマネジメント

セキュリティエンジニアリング

セキュリティの運用

資産のセキュリティ

ソフトウェア開発セキュリティ

通信とネットワークセキュリティ

セキュリティの評価とテスト

アイデンティティとアクセス管理



■　機密性、完全性および可用性の概念の理解と適用□　機密性□　完全性□　可用性■　セキュリティガバナンスの原則の適用□　リスクマネジメント□　ポリシーとセキュリティ対策の実装□　セキュリティ対策の有効性のモニタリング□　意識向上（Awareness）□　学習と成長□　予算□　評価基準□　リソース□　役割と責任□　ガバナンスフレームワーク□　デューケア□　デューデリジェンス□　ISO/IEC 27000 シリーズ□　COBIT□　COSO□　ITIL■　コンプライアンス□　ガバナンス□　リスクマネジメント□　コンプライアンス□　プライバシー関連法

■ グローバルなコンテキストにおける情報セキュリティに関連する法規制の問題の理解□　コンピュータ犯罪□　使用許諾契約□　知的財産権□　国際データ流通□　ワッセナーアレンジメント□　OECD プライバシーガイドライン□　データ侵害□　インシデント□　イベント■　職業倫理の理解□　倫理□　(ISC)2 倫理規約■　文書化されたセキュリティポリシー、スタンダード、プロシージャ、およびガイドラインの策定と実施□　文書化□　セキュリティポリシー□　スタンダード□　プロシージャ□　ガイドライン□　ベースライン■　事業継続要件の理解□　事業継続計画□　事業影響度分析□　最大許容停止時間



□　目標復旧時間□　目標復旧時点■　人的セキュリティポリシーへの貢献□　採用□　雇用契約□　ジョブローテーション□　職務の分離□　知る必要性□　強制休暇□　第三者管理■　リスクマネジメントの概念の理解と適用□　損失の可能性□　リスク評価□　リスク分析□　脅威□　脆弱性□　影響□　残存リスク□　セキュリティ監査□　定性的リスク評価□　定量的リスク評価□　リスク受容□　リスク低減□　リスク移転□　リスク回避□　リスクの割り当て□　リスクフレームワーク□　対策の選択□　行為指示的制御□　抑止的制御□　防止的制御

□　補正的制御□　検知的制御□　是正的制御□　復旧的制御□　物理的制御□　管理的制御□　論理的（技術的）制御□　特権管理□　管理策評価□　有効性評価□　ペネトレーションテスト□　ソーシャルエンジニアリング□　資産評価□　継続的改善■　脅威のモデリングの理解と適用□　脅威の特定□　攻撃の種類■　セキュリティリスク考慮事項と取得戦略および実践への統合□　ハードウェア□　ソフトウェア□　第三者評価□　サービスレベルアグリーメント□　サービスレベル要件□　サービスレベル報告□　保証□　最低限のセキュリティ要件■　セキュリティ教育・訓練・意識啓発の確立と管理□　セキュリティ教育□　トレーニング□　意識向上トレーニング



■　情報分類および資産サポート□　データ分類□　データ分類ポリシー□　カテゴリー化□　資産管理□　構成管理データベース□　ソフトウェア使用許諾□　ソフトウェアのライフサイクル□　ハードウェアのライフサイクル■　所有権の決定・維持□　データに関するポリシー□　所有権□　管理権■　プライバシー保護□　EU のデータ保護条例□　セーフハーバープログラム□　データオーナー□　データの所有権□　情報オーナー□　データの管理権□　管理権の割り当て□　データ品質□　品質管理□　品質保証

□　データ規格□　データライフサイクル□　データ仕様□　データモデリング□　データ監査□　データの保存□　アーカイブ□　データの残留性■　適切な保持の確認□　情報ガバナンス□　データ保持ポリシー□　ストレージ□　廃棄■　データセキュリティ制御の決定□　ベースライン□　保護範囲の決定□　データ保護に関する規格□　暗号化■　処理要件の確立□　メディア□　マーキング□　ラベリング



■　セキュリティ設計原則を使用したエンジニアリングライフサイクルの実装および管理 □　システムエンジニアリングモデル□　ISO/IEC 15228:2008（JIS X 0170:2013）□　V モデル□　コモンクライテリア（CC）□　NIST SP800-27□　ISO/IEC 21827:2008□　SSE-CMM■　セキュリティモデルの基本的概念の理解 □　プロセッサ□　CPU□　仮想化□　一次記憶装置□　メモリ保護□　セグメンテーション□　ページング□　保護キーイング□　ASLR□　二次記憶装置□　仮想メモリ□　ファームウェア□　I/O デバイス□　オペレーティングシステム□　システムカーネル□　エンタープライズセキュリティアーキテクチャ

□　セキュリティゾーン□　ザックマンフレームワーク□　SABSA□　TOGAF□　セキュリティモデル□　状態マシンモデル□　ラティスモデル□　非干渉モデル□　マトリクスベースモデル□　情報フローモデル□　Bell-LaPadulla 機密性モデル□　Biba 完全性モデル□　Clark-Willson 完全性モデル□　Lipner モデル□　Brewer-Nash モデル□　機能要件□　非機能要件□　保証要件□　評価基準□　認証と認定□　製品評価モデル□　TCSEC□　ITSEC□　ISO/IEC 15408（コモンクライテリア）□　プロテクションプロファイル□　セキュリティターゲット



□　評価保証レベル（EAL）■　情報システムセキュリティ基準に基づく制御と対策の選択 □　ISO/IEC 27001□　ISO/IEC 27002□　COBIT□　PCI DSS■　情報システムのセキュリティ機能の理解 □　アクセス制御□　メモリ管理□　処理状態□　プロセス単離□　データ隠蔽□　抽象化□　暗号による保護□　ファイアウォール□　侵入防止□　監査□　監視□　仮想化■　セキュリティのアーキテクチャ、設計、およびソリューションの要素における脆弱性の評価と軽減 □　セキュリティアーキテクチャ□　データベースのセキュリティ□　クライアントベース□　サーバベース□　メインフレーム□　シンクライアント□　ミドルウェア□　組込みシステム□　大規模並列データシステム□　グリッドコンピューティング□　クラウドコンピューティング□　分散システム□　暗号システム□　暗号化手法□　対称暗号□　非対称暗号□　ハイブリッド暗号□　ストリームベース暗号□　ブロック暗号□　ブロック暗号モード□　初期化ベクトル

■　ウェブベースシステムにおける脆弱性の評価と軽減□　入力確認□　XML□　SAML□　OpenID□　OWASP■　モバイルシステムにおける脆弱性の評価と軽減 □　VPN□　クライアント認証■　組込みデバイスおよびサイバーフィジカルシステムにおける脆弱性の評価と軽減 □　サイバーフィジカルシステム□　産業用制御システム□　SCADA□　DCS□　PLC■　暗号の適用 □　暗号の歴史□　量子暗号□　否認防止□　認証□　アクセス制御□　リンク暗号化□　エンドツーエンドの暗号化□　ハッシュ□　暗号の輸出□　公開鍵基盤□　認証局□　公開鍵□　証明書□　鍵管理□　鍵の作成と配布□　鍵暗号化キー□　鍵配布センター□　デジタル署名□　DSS□　DRM□　MD5□　SHA-3□　HAVAL□　暗号文単独攻撃□　既知平文攻撃□　選択暗号文攻撃

□　鍵□　鍵長□　換字式暗号□　転置式暗号□　ランニングキー□　メッセージ完全性制御（MIC）□　DES□　トリプル DES□　AES□　RSA□　ディフィーヘルマン□　メッセージダイジェスト□　単一障害点□　ビッグデータ

□　頻度分析□　差分解読法□　線形解読法□　実装攻撃□　リプレイ攻撃□　代数的攻撃□　レインボー攻撃□　誕生日攻撃□　ソーシャルエンジニアリング□　辞書攻撃□　ブルートフォース□　リバースエンジニアリング■　施設と設備の設計に対するセキュアな原則の適用□　脅威の定義



□　ターゲットの識別□　脆弱性評価□　サイト計画□　CPTED□　FEMA■　施設のセキュリティの設計と実装□　ケーブルプラント管理

□　データセンター□　ユーティリティ□　HVAC□　UPS□　火災検知□　消火装置



■　セキュアな設計原理をネットワークアーキテクチャに適用する□　階層化モデル□　OSI 参照モデル□　物理層□　データリンク層□　ネットワーク層□　トランスポート層□　セッション層□　プレゼンテーション層□　アプリケーション層□　TCP/IP モデル□　TCP□　UDP□　IP□　IP アドレス□　IPv6□　ディレクトリサービス□　DNS□　LDAP□　NetBIOS□　NIS□　多層プロトコル□　IP コンバージェンス□　収束プロトコル□　MPLS□　VoIP□　WiFi□　Bluetooth□　WiMAX□　携帯電話通信網□　オープンシステム認証□　シェアドキー認証□　アドホックモード

□　インフラストラクチャモード□　WEP□　WPA□　WPA2□　TKIP□　ルーティング□　境界ルータ□　スプーフィング□　中間者攻撃□　セキュリティ境界□　ネットワーク分割□　デュアルホームホスト□　要塞ホスト□　DMZ■　ネットワークコンポーネントのセキュリティ保護□　モデム□　コンセントレータ□　マルチプレクサ□　ハブ□　リピータ□　ブリッジ□　スイッチ□　ルータ□　パケットフィルタリング□　ステートフルパケットフィルタリング□　伝送メディア□　ツイストペアケーブル□　同軸ケーブル□　光ファイバー□　ファイアウォール□　NAT□　PAT□　プロキシ□　コンテンツ配信ネットワーク

(ISC)2 Copyright 2009-2017 ｜ 11


■　セキュアな通信チャネルの設計・確立□　PBX□　ウォーダイアリング□　P2P□　IRC□　VPN□　PPTP□　L2TP□　AH□　ESP□　SA□　IKE□　RADIUS□　DIAMETER□　TACACS□　SNMP□　TELNET□　X11□　ネットワークトポロジー□　ユニキャスト□　マルチキャスト□　ブロードキャスト□　回線交換ネットワーク□　パケット交換ネットワーク□　PVC□　SVC□　CSMA/CA□　CSMA/CD□　イーサネット□　トークンリング□　TLS

□　SSL□　SSH□　SSL-VPN□　DSL□　ケーブルモデム□　フレームリレー□　ATM□　SDN□　SDS□　プライベート VLAN■　ネットワーク攻撃の防止または軽減□　盗聴□　傍受□　多重防御□　多層防御□　オープンリレー□　スパム□　ポートスキャン□　FIN、NULLL、XMAS スキャニング□　シーケンス番号攻撃□　IDS□　IPS□　ティアドロップ攻撃□　オーバーラッピングフラグメント攻撃□　スマーフ攻撃□　フラグル攻撃□　DDoS□　SYN フラッディング□　なりすまし□　DNS 偽装



■　資産への物理的および論理的なアクセスの制御□　アクセス制御システム□　アクセスモード□　物理的アクセス制御□　アクセス制御ポリシー■　人およびデバイスの識別と認証の管理□　識別□　認証□　認可□　識別子□　ユーザ ID□　PIN□　MAC アドレス□　IP アドレス□　RFID□　SID□　アインデンティ管理□　中央リポジトリ□　プロファイル管理□　パスワード管理□　ディレクトリ管理□　X.500□　LDAP□　Active Directory□　シングルサインオン□　ケルベロス□　認証の要素□　多要素認証□　トークン□　バイオメトリクス□　説明責任□　アイデンティティ

□　電子認証□　ID フェデレーション□　相互認証□　SAML 2.0□　資格情報管理■　サービスとしてのアイデンティティ（IDaaS）の統合□　ID as a Service□　アイデンティティ□　IAM□　API■　サードパーティのアイデンティティサービスの統合□　ディレクトリ同期□　セキュリティトークンサービスプロバイダー■　認可メカニズムの実装と管理□　役割に基づくアクセス制御□　ルールベースアクセス制御□　強制アクセス制御□　任意アクセス制御□　非裁量アクセス制御■　アクセス制御攻撃の防止または軽減□　認証攻撃□　アクセス制御攻撃□　アクセス集約□　偵察□　パスワードの保護■　アイデンティティおよびアクセスのプロビジョニングにおけるライフサイクルの管理□　ライフサイクル管理□　プロビジョニング□　レビュー□　ID の取り消し



■　評価・テスト戦略の設計および検証□　ワーキンググループの策定□　妥当性確認□　システム設計□　ソフトウェア開発■　セキュリティ制御テストの実施□　SANS TOP25 Threat□　SANS Critical Security Controls□　ログ管理□　システムイベント□　監査レコード□　ログの保護□　ログ分析□　モニタリング□　代理トランザクション□　合成パフォーマンス監視□　ウェブサイトモニタリング□　データベースモニタリング□　ポート監視□　リアルユーザ監視□　セキュリティソフトウェア□　アンチウイルスソフトウェア□　動的テスト□　静的テスト□　ブラックボックステスト

□　ソフトウェア開発ライフサイクル（SDLC）□　静的ソースコード解析□　静的バイナリコード解析□　手動コードレビュー□　回帰分析□　テストツール□　ユースケース□　ネガティブテスト□　ミスユースケース□　インタフェース試験■　セキュリティプロセスデータの収集□　Information Security Continuous Monitoring　　（ISCM）□　評価指標□　測定基準□　コンプライアンス中心のリスク管理□　データ中心のリスク管理■　内部監査および第三者監査の実施または促進□　米国監査基準書（SAS）第 70 号□　SOC1□　SOC2□　SOC3□　財務報告に係る内部統制（ICOFR）



■　調査の理解、サポート□　インシデントの現場□　有効な証拠□　ロカールの交換原理□　証拠の管理の連鎖（Chain of Custody: CoC）□　デジタルフォレンジック□　メディア分析□　ネットワーク分析□　ソフトウェアの解析□　作成者の識別□　コンテンツ分析□　ハードウェア／組み込みデバイス解析■　調査タイプごとの要件の理解□　行動調査□　犯罪捜査□　民事調査□　e ディスカバリー□　EDRM■　ログ記録と監視活動の実施□　IDS□　IPS□　SIEM□　出口監視□　データ漏洩 / 損失防止（DLP）□　データの分類、位置、および経路

□　ステガノグラフィー□　電子透かし■　構成管理によるリソースのプロビジョニングの確保□　資産インベントリ□　ハードウェアインベントリ□　ソフトウェアインベントリ□　構成管理□　構成管理の CMMI■　基本的なセキュリティ運用概念の理解、適用□　セキュアな運用原理□　信頼できるパス□　フェイルセキュア□　知る必要性□　最小権限□　職務の分離と責任□　権限のモニタリング□　モニタリング技術□　グループとロールによるアカウントの管理□　情報ライフサイクル□　情報オーナー□　分類□　カテゴリー化□　分類とカテゴリー化のシステム□　保存スケジュール□　サービスレベル契約（SLA）

(ISC)2 Copyright 2009-2017 ｜ 17


■　リソース保護技術の採用□　媒体管理□　クラウドストレージ□　仮想化ストレージ□　ログ管理□　データの残留性■　インシデント対応の実施□　インシデント対応□　トリアージ□　封じ込め□　インシデント検出□　攻撃検出□　根本原因分析（RCA）■　予防措置の運用および維持□　ファイアウォール□　IPS と IDS の管理□　ハニーポット、ハニーネット□　ホスト型□　ネットワーク型□　異常検知□　ステートフルマッチング型検知□　統計的アノマリ検知□　プロトコル異常検知□　トラフィックアノマリ検知□　侵入対応■　パッチおよび脆弱性管理の実装とサポート□　パッチ管理プログラム□　脆弱性管理システム■　変更管理プロセスへの関与と理解□　変更管理プロセス□　文書化

□　サービス品質□　フォールトトレランス□　クラスタリング□　ドライブ装置およびデータストレージ装置□　SAN□　NAS□　JBOB□　RAID（1,2,3,4,5,6,1+0,0+1,15）□　バックアップおよび復旧システム□　復元のための人員配置■　災害復旧プロセスの実装□　災害復旧□　緊急事態管理チーム■　災害復旧計画のテスト□　テスト戦略□　テストポリシー□　デスクチェック□　構造化ウォークスルーテスト□　シミュレーションテスト□　パラレルテスト□　完全な中断 / 本番テスト□　計画の更新と維持管理■　事業継続計画の演習への参加□　事業継続計画□　緊急事態管理機関（EMO）□　役割と責任□　事業継続プランナー■　物理的セキュリティの実装と管理□　物理的システム□　多重防護□　境界

■　復旧戦略の実装□　バックアップストレージ戦略□　完全バックアップ□　増分バックアップ□　差分バックアップ□　復旧サイト戦略□　コールドサイト□　外部ウォームサイト□　内部ウォームサイト□　ホットサイト□　モバイルサイト□　処理契約□　相互リンク協定□　アウトソーシング□　システムレジリエンス□　高可用性

□　境界アクセス制御□　スマートカード□　防犯カメラ□　赤外線センサー□　マイクロ波センサー□　照明□　モニター□　警報□　エスコートと訪問者管理□　ドア□　窓□　鍵（ロック）■　従業員の安全への関与□　出張時のセキュリティ□　強要、脅迫によるリスク



■　ソフトウェア開発ライフサイクル（SDLC）におけ　　るセキュリティの理解と応用□　開発ライフサイクル手法□　機能要件の定義□　システム設計仕様□　開発と実装□　受け入れ□　テストおよび評価の制御□　認証と認定□　本番環境への移行　　□　成熟度モデル□　ソフトウェア用能力成熟度モデル□　国際標準化機構□　運用および保守□　統合生産プロセス開発□　DevOps□　変更管理□　統合製品チーム（IPT）■　開発環境におけるセキュリティ管理策の実行□　ソフトウェア開発手法□　ウォーターフォール□　反復的開発□　データベースとデータウェアハウス環境□　DBMS□　データベースモデル□　トランザクションの持続性□　フォールトトレランス□　階層型データベース管理モデル□　ネットワークデータベース管理モデル□　リレーショナルデータベース管理モデル□　オブジェクト指向データベースモデル□　SQL□　スキーマ□　テーブル

□　ビュー□　データベースインターフェイス言語□　ODBC□　JDBC□　XML□　OLE DB□　アプリケーションプログラミングインターフェイ　　ス（API）□　ADO□　メタデータ□　オンライン分析処理（OLAP）□　DBMS 制御□　ロック制御機構□　ACID テスト□　原子性□　一貫性□　分離性□　持続性□　ナレッジ管理□　データベースからの知識発見（KDD）□　ウェブアプリケーション環境□　OWASP□　ソフトウェア環境のセキュリティ□　JavaScript□　Java□　オブジェクト指向プログラミング（OOP）□　カプセル化□　継承□　ポリモーフィズム□　ポリインスタンス化□　オブジェクト指向セキュリティ□　分散オブジェクト指向システム□　CORBA ：Common Object Request Broker 　　Architecture

(ISC)2 Copyright 2009-2017 ｜ 19


□　共通プログラミング言語ライブラリ□　プログラミングツール□　統合開発環境□　ソースコードレベルでの脆弱性□　ソーシャルエンジニアリング□　バッファオーバーフロー□　メモリ再利用（オブジェクト再利用）□　実行可能なコンテンツ／モバイルコード□　TOC/TOU□　トラップドア／バックドア□　シチズンプログラマ□　漏洩経路□　不正な形式の入力攻撃□　未利用時間における攻撃□　ソースコード解析ツール□　悪意のあるソフトウェア（マルウェア）□　ウイルス□　ファイル感染ウイルス□　ブートセクター感染ウイルス□　システム感染ウイルス□　コンパニオンウイルス□　電子メールウイルス□　複合感染型□　マクロウイルス□　スクリプトウイルス□　ワーム□　デマ□　トロイの木馬□　DDoS□　ゾンビ□　論理爆弾□　ボットネット□　スパイウェアとアドウェア□　ソフトウェア保護メカニズム□　高信頼コンピューティング基盤（TCB）□　参照モニタ（リファレンスモニタ）□　セキュリティカーネル□　プロセッサの特権状態□　プロセス単離□　メモリ保護□　割り込み

□　オブジェクトのカプセル化□　共有リソースの時分割多重化□　命名上の区別□　仮想メモリのマッピング□　バックアップ制御□　ソフトウェアフォレンジック□　モバイルコード管理□　サンドボックス□　セキュアなコーディングの一面としての構成管理□　構成管理□　コードリポジトリのセキュリティ□　GitHub□　アプリケーションプログラミングインタフェース　　のセキュリティ□　REST□　RESTful API□　ベーシック認証□　OAuth■　ソフトウェア保護の有効性の評価□　変更の監査とログ記録□　認証および認定□　NIST SP 800-37□　リスクマネジメントフレームワーク□　リスクの分析と低減□　原因と影響□　リスク特定□　リスクのドキュメント□　リスク監視□　パッチ管理□　テストと検証□　コード署名□　回帰テスト□　受け入れテスト■　ソフトウェア調達上のセキュリティの評価□　SwA フェーズ□　計画フェーズ□　契約フェーズ□　監視と受け入れフェーズ□　継続



(ISC)2 日本語 web サイト https://japan.isc2.org/

CISSP 認定試験案内 https://www.isc2.org/japan/examination_cissp.html

(ISC)2 公式 CISSP CBK レビュートレーニング案内 https://japan.isc2.org/cissp_training.html

ciss 8ドメインガイドブック - japan.isc2.org ｜isc2 c 20092017 ciss...

Documents