CISSPはどのように考えるかが試験の肝
CISSP試験は、非常に長くかつ経済的にも何度受けようと思わない試験である。6時間で4択を解き続けるわけで、おそらくここまで4択問題を解くのはセンター試験とここぐらいであろう。問題内容はNDAにより口外してはいけないことになっており、あらゆる試験対策が有効であるのかは受けてみるまでわからないようになっている。
色々な試験対策サイトに徘徊している方であれば、おそらくこんな言葉を聞いたことがあるのではないか。「問題を解くにはCISSPらしい考え方を知らなければならない。」実にわかりにくい表現である。肝心のCISSPらしいの部分がもやもやしており、一切意味が伝わってこない。しかし、実際に試験対策問題を受けてみると一見すると4つの選択肢すべてが正しく思えるようなことがあるのだ。あなたは、この中で最もCISSPらしい回答を選ばなければならない。つまり、CISSPがどのように考えるのかを理解していなければ問題は解けない。もっと言えば、CISSPだったらこう考えるということを明確にしていなければ6時間という長期の時間でだんだんと自分の人格が戻ってきてしまい、ずれた回答をするようになってしまう。そこで本記事では、そのCISSPらしい考え方を定義してみることにした。試験を受ける前には是非とも一読いただきたい。
その1:企業目標を達成するためのセキュリティ
情報セキュリティマネジメントは、適切なポリシー、スタンダード、プロシージャ、ガイドラインが実装され、業務が許容範囲内のリスクレベルで確実に実施されていることを検証するものである。セキュリティは、組織のビジョン、ミッション、事業目標をサポートし、実現することを目的とします。つまりは、あなたの規模であなたの目標を達成が憚れるほどの対応をしてはいけないということです。あくまであなたの企業で実現したい目的と見合った規模でのセキュリティを担保することが目標になります。新しい技術を搭載したいが、セキュリティに問題がありそうな場合には、「セキュリティ的な問題がありそうだからやらない」か「リスクを許容して実施する」という2択がありそうだ。どちらが正しいということではなく、CISSPとしては組織と新技術のリスクを明確に整理し、組織目標を達成するためにするべきかしないべきかをコンサルタントをすることが求められる。
その2:安全な状態などない
セキュリティ専門家としてどのような状態であっても安全な状態ではないということは理解しなければならない。素晴らしい暗号化をしていても秘密鍵がばれてしまう可能性がある、機密性に優れたシステムを構築するためのリソースで財源が圧迫されているなど、どのような状態であろうとある側面のリスクを受け入れていることを忘れてないけない。そのため、すべての脅威を排除する完璧な状態というものも存在しないことを意味する。もしも試験問題の中に、「万全である」、「心配ない」という選択肢があったらそれは真っ先に消すすべきであろう。
その3:すべてはお金で説明
セキュリティ専門家としての仕事は、現在と将来のあるべき状態に対してリスクを洗い出し、お金という単位で換算することにある。安全な状態はないという上記の議論によって、常にリスクは存在するということであり、専門家はそれを評価する立場であるということだ。日本人としてお金で換算することにいやらしさを感じてしまうかもしれないが、これは全くの見当違いである。専門家としての評価は主観で判断してはならず、数値で示せないものは明確な判断基準がないということを意味する。というよりも、明確な判断基準があるということを示していない状態になる。よくわからないためコストとして出せないというのは、前提となる情報が不足しているか、前提を置けていないことを疑うべきである。何より、それがあなたの仕事です。
その4:組織の一員としての判断
CISSPの目的は組織に属するセキュリティ専門家としての判断であり、リスクを洗い出し、リスクを適切に評価する。勝手に業務スコープは広げると余計な軋轢を及ぼすものである。あなたは、事務の管理者でもましては取締役でもない、あくまでセキュリティ専門家としての職務を全うしなければならない。つまり、他の職務の権限を含むような判断は勝手にしてはいけないということである。例えば、業務の効率化のためにシステム開発を依頼、セキュリティリスクがあるためビジネスの転換を行う行為は、セキュリティ専門家としての職務ではないし、実施するまでの承認を経ていない。こういった、たくさん仕事をしたから正しいというのは、合理性に欠ける。最後に合理性の話をしたが、真っ当な説明責任が果たせるように合理的で筋が通っていないといけない。
経験によらず合理的に判断しよう
どうでしたでしょうか。何か怒られているかのような気持ちになったでしょうか。それは、あまりにもCISSPが合理性を重視しているからです。海外の資格らしいですね。日本人が受けるとたくさん仕事をしている人が正義だ!お客様のことを第一に考えて完璧な製品を出さなければならない!ということを重視しがちですが、CISSPでは全体合理性一点でバキッと判断します。
おすすめ書籍
新版 CISSP CBK 公式ガイド
セキュリティ専門家の国際的認証基準として需要が高まっているCISSP(Certified Information Systems Security Professional)。2005年既刊の邦訳版から12年が経ち、CISSPのドメインが変更され内容・訳語が古くなったため、最新の第4版の邦訳版を日本語公式ガイドブックとして出版。技術知識はもちろん、経営・法律知識まで完全に網羅し、セキュリティの設計・運用・実装を理解するための最高のテキスト。
更にゴールに近づくためには?
PIEDPINでは、皆様のお役に立てるように情報セキュリティ専門家になるための様々なコンテンツを用意しています。初心者の方から臨めるように、簡単に、効率よく、どこででも学ぶことができるように設計しています。