CISSP ドメイン 1 データを守るプレイヤー

はじめに

この記事では、CISSPの勉強において、ドメイン1で主に勉強する

「データを守るプレイヤー」について説明します。

この記事でわかること

データオーナー、セキュリティ管理者など、データを守るプレイヤーの

役割についてCISSPの勉強に役立つ知識をまとめました。

この記事では書かないこと

基本的に、CISSPの試験でどのような問題が出題されたかについてはこの記事では掲載しません。

用語の説明

  • Data Owner の役割

データオーナーは、組織内の特定の情報資産に対して責任を負う個人または部署です。データの収集、処理、使用、および保管について意思決定を行い、データの価値やセキュリティ要件について最終的な決定を下します。

NIST SP ]-18 ではこれをプログラムマネージャーや情報システムのオーナーとしています。

データオーナーによって、そのデータがどれだけ重要なのかを決めることができます。

データオーナーは データの sensitivity と Classification に関する決定権を持っています。

データオーナーは、組織内の情報資産に対して責任を持ち、その情報資産に対するセキュリティ要件を決定します。その中で、データオーナーは、情報資産の機密性、完全性、可用性、および責任を決定するために、情報資産の「Sensitivity(感度)」および「Classification(分類)」を定義します。

Sensitivity

は、情報資産が機密性や重要度、公開度合いなどの観点からどの程度の価値があるかを示す指標です。感度の高い情報は、不正アクセスや漏洩、改ざんなどの被害を受けた場合、組織に深刻な損害を与える可能性があります。感度の高い情報は、通常、秘密保持契約や法的規制に従い、アクセスを制限されることが期待されます。

Classification

は、情報資産に対する機密性、完全性、可用性、責任に基づいて、特定のセキュリティクラスに分類するための指標です。これは、情報資産のセキュリティレベルを示すために使用され、アクセス制御、セキュリティポリシーの策定、およびリスク評価に使用されます。例えば、政府機関の機密情報は「Top Secret」「Secret」「Confidential」などのクラスに分類されます。

データオーナーは、組織内の情報資産の感度と分類を決定することで、データに適切なアクセス制御を実施し、情報資産のセキュリティを確保することが期待されます。

また、データの保管期限、ベースライン、コントロールの方法を決める立場にあります

Data processor データプロセッサー(データ取り扱い者)

データプロセッサは、データオーナーが指定した手順に従って、データを処理する役割を持つ個人または部署です。プロセッサは、データを収集し、保存し、維持し、管理するために必要な技術とリソースを提供することが期待されます。 社外にデータのやり取りを委任する場合に利用する。例:給与明細の発行を外部に委託するときは データプロセッサーが外部業者に委託するような感じです。

Data   Controller データコントローラー

データコントローラは、データの取得、使用、および処理について法的および規制上の責任を負う個人または部署です。コントローラは、データの保護に関連する法的要件に従い、データオーナーやデータプロセッサに対して指示を与えることが期待されます。

senior management 上級管理職

上級管理職は、組織全体の戦略的方針を設定する立場にあります。CISSPにおいては、セキュリティに関する決定を下すことが求められます。上級管理職は、セキュリティポリシーの策定、監視、および評価を担当することが期待されます。

data custodian カストディアン

オーナーの代わりにデータの管理をする 人のことを指します。

データカストディアンは、特定のデータ資産を管理する個人または部署です。彼らは、データのアクセス、使用、および保管に関する責任を持ちます。データカストディアンは、セキュリティ上の問題に対処し、データ資産を適切に保護するための技術的なソリューションを実装することが期待されます。

security administrator セキュリティ管理者

セキュリティ管理者はセキュリティの実務を執り行います。 Security Adminstrator は セキュリ

ティを運用するのでポリシーやベースラインは決めません。セキュリティ管理者は、組織内のセキュリティポリシーの実装、監視、および維持に責任を持つ個人または組織を指します。

auditor 監査人

監査人はセキュリティが適切に機能しているかどうかを見ます監査官は適切にマネジメントできているのかを監査して、トップマネジメントにその結果をw独立した視点から提供します。Auditor監査人は、組織の情報セキュリティプログラムが目的を達成し、規制や方針に準拠しているかどうかを評価するために、内部または外部から任命された監査人です。Auditor監査人は、情報システムやネットワークの構成、設計、実装、および運用に関する情報を収集し、評価を実施します。そのため、Auditor監査人は、セキュリティポリシー、規制、および標準に対する遵守度を評価するため、監査チェックリストを使用して、セキュリティリスクの特定や改善策の提案を行います。また、Auditor監査人は、脆弱性テストやペネトレーションテストなどの手法を使用して、脆弱性や不適切なセキュリティプラクティスを特定することがあります。

security specialistセキュリティスペシャリスト

セキュリティスペシャリストは、情報セキュリティの専門家であり、情報セキュリティプログラムの設計、開発、および実施に関与します。セキュリティスペシャリストは、組織内の情報セキュリティに関する問題を特定し、解決策を提供することが期待されます。

セキュリティスペシャリストの役割は、情報セキュリティポリシー、手順、技術的コントロール、物理的コントロールなど、様々な領域にわたります。例えば、以下のような役割があります。

・情報セキュリティポリシーや手順を策定する。

・リスクアセスメントを実施し、リスク管理手順を策定する。

・情報セキュリティに関するトレーニングや教育を提供する。

・情報セキュリティ技術コントロール(ファイアウォール、IDS、IPSなど)を実施する。

・情報セキュリティインシデントの調査を実施し、結果を分析します。

Security Administrator(セキュリティ管理者)とSecurity Specialist(セキュリティスペシャリスト)の違い

、Security Administrator(セキュリティ管理者)とSecurity Specialist(セキュリティスペシャリスト)は、似たような役割を担当することがありますが、異なる側面に焦点を当てています。

セキュリティ管理者は、情報システムのセキュリティに対する責任を負っています。この役割は、情報セキュリティポリシーや手順の実施、アクセス制御の管理、脆弱性管理、ログの監視、および情報セキュリティインシデントの対応など、情報システムの日常的な運用に関連することが多いです。

一方、セキュリティスペシャリストは、情報セキュリティの専門家であり、情報セキュリティプログラムの設計、開発、および実施に関与します。セキュリティスペシャリストは、情報セキュリティポリシーや手順の策定、リスクアセスメント、技術コントロールの設計、およびインシデントの調査や解決策の提供など、戦略的な側面に焦点を当てることが多いです。

つまり、セキュリティ管理者は、情報システムの運用に焦点を当てた実践的な役割を担当するのに対し、セキュリティスペシャリストは、戦略的な側面に焦点を当て、情報セキュリティプログラムの設計、開発、および実施に関与することが期待されます。

監査人は、内部監査や外部監査のいずれかで、例えば、以下のような監査を行うことがあります。

・情報セキュリティポリシーの実施状況を確認する。

・アクセス制御手順やリスク管理手順の適切な実施を確認する。

・物理的セキュリティ措置の実施状況を確認する。

・情報システムの脆弱性スキャンを実施し、結果を分析する。

最後に

以上となります。今回は用語の定義のみを説明しましたが、用語を正確に理解して

覚えるということは実務においても非常に重要であると思いましたのでこの記事を書きました

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です