べりゅらぱどぅら

作成：2019年8月30日

突然ですが、小学生の頃、塾か何かで先取りで英語を勉強したと思われる児童が

「ディス イズ ア ペン！」

とか連呼していませんでしたか？

僕の周りはそうでした（笑）。
まぁ、当時の僕は英語が全くわからなかったので、何を言っているのかさっぱり理解できなかったのを覚えています。。


それから数十年の月日が流れ・・・。
僕はようやく当時の児童のレベルに達することができたような気がします。


「べるらぱどぅら、べりゅりゃぱじゅら・・・」


CISSPトレーニング終了直後の僕は、この呪文のような言葉を連呼してました。

はい。セキュリティモデルの1つ「Bell-LaPadula」ですね。

独特な響きが、僕の心の奥底に眠っていた何かを突き動かしたんだと思います。。。


今となっては連呼していたことをかろうじて覚えているのみ。
Bell-LaPadulaが何だったのか、完全に忘れてしまいました。。

セキュリティモデル、きちんと復習しないといけないです（苦笑）。

にほんブログ村 資格ブログ（国家試験）

リスクについて

更新：2019年9月8日（作成：2019年8月20日）

リスクの3要素

リスクを構成する要素は、

「情報資産」「脅威」「脆弱性」

の3つです。
・・・と思っていたのですが、CISSP公式ガイドブックには、

「資産」「脅威」「低減要因（mitigating factor）」

と記載されています。

低減要因（mitigating factor）って何だ？
脆弱性じゃないの？？

ガイドブックにはサラッと書かれていて、それ以上の言及はないし、少し調べたのですが、そのように定義する流派？も無さそうだし。。

それとも脆弱性と低減要因はほぼ同義・・・？
いや、全く逆の意味なような気もする。。

これ以上深堀しても仕方ないので、CISSP的リスク3要素は、「資産」「脅威」「低減要因」と割り切って覚えておくことにします。

リスクアセスメントの評価事項

リスクアセスメントで評価する事項、つまり目的は以下のとおりです。

・資産への脅威
・環境に存在する脆弱性
・脆弱性の悪用により脅威が顕在化する可能性
・脅威の顕在化が組織に及ぼす影響
・脅威が顕在化する可能性を低減するための対策、顕在化時に組織に及ぼす影響を低減するための対策
・残存リスク

CISSP公式ガイドブックでは、「脆弱性の暴露（exposure）を利用して、脅威が実現される可能性」といった表現が使われていますが、なんだかしっくり来ないので「脆弱性の悪用により脅威が顕在化する可能性」としています。

脆弱性の暴露って・・・あんまり言わないよなぁ。。

リスクを受容したら

組織として「リスクの受容」を判断した場合、受容に至ったプロセスを詳細に文書化しておく必要があります。

将来、監査等からの「なんでそんな判断をしたんだ？」というツッコミに対応できるようにしておく、という意味です。
まぁ、リスク云々に関わらず、記録に残すことはビジネスの基本ですよね。

セキュリティリスクという文脈では、セキュリティコントロールの実装時、災害復旧計画（Disaster Recovery Plan）の策定時、ビジネス影響度分析（BIA: Business Impact Analysis）の実施時・・・等々で、リスク受容が発生し得ます。

その後は、ちゃんとドキュメントに残しておきましょう。

にほんブログ村 資格ブログ（国家試験）

章末レビュー問題の完了とその結果

お盆の週も普通に働いていましたが、休んでいる人が多かった関係で、比較的穏やかな1週間を過ごすことができました。

この機会を活かし、「CISSP CBK公式ガイドブック」のレビュー問題を全て終わらせてやったわい！

以下、恥ずかしながら、ドメインごとの正答率を晒してみます。。

1. セキュリティとリスクアセスメント

　37問中 23問正解（正答率 62.2%）


2. 資産のセキュリティ

　16問中 12問正解（正答率 75.0％）


3. セキュリティ設計とエンジニアリング

　40問中 17問正解（正答率 42.5%）


4. 通信とネットワークのセキュリティ

　22問中 14問正解（正答率 63.6%）


5. アイデンティティとアクセスの管理
　18問中 9問正解（正答率 50.0%）


6. セキュリティの評価とテスト
　17問中 14問正解（正答率 82.4%）


7. セキュリティの運用

　35問中 22問正解（正答率 62.9%）


8. ソフトウェア開発セキュリティ
　22問中 13問正解（正答率 59.4%）


うーーーん。。。
レビュー問題に取り組む前は、7割程度は解けるかなぁと思っていたんですけど。。。
なかなかのヘッポコぶりにションボリです。

まぁ、勉強（反省）のしがいがあるということで。。。
へこたれずに頑張ろうと思います。

にほんブログ村 資格ブログ（国家試験）

ガイドブックの日本語にひと苦労

CISSPの一発合格に向け、「新版 CISSP CBK公式ガイドブック」を活用しています。

新版 CISSP CBK公式ガイドブック

全部で約1,500ページもあります。。。

一応、CISSPトレーニングを受講済みの身なので、ガイドブックを精読するのではなく、ガイドブックに収録されている各ドメインのレビュー問題に取り組み、間違った箇所を中心に復習・補強する戦術で進めることにしました。

比較的余裕のあるお盆の期間を利用して、8つのドメインのうち3ドメインのレビュー問題を終えましたが・・・、結構間違えてます（汗）。

トレーニングで得た知識の多くが失われていることを実感。。。

まぁ、トレーニングと言っても、5日間講師の話をひたすら聴く形式でしたし、その後ろくに復習もしていなかったので、忘れても仕方がないですよねぇ（と言い訳をしてみる）。

レビュー問題を通じて少しずつリハビリし、トレーニング終了直後＋αの状態に持っていくことを当面の目標にして、頑張りたいと思います。


さて、公式ガイドブックですが、翻訳本特有のわかりづらさに大変苦労しています。。
本文を読んでも、全く頭に入ってこないんですよね（単に僕の理解力が乏しいだけかもしれないけれど）。

例えば、「狭いリスクアセスメント」。

「狭い」って何？？
「狭義の」という意味なのか、それとも「アセスメント対象が狭い」ということなのか・・・さっぱりわかりません。

こういう表現に出くわすたびにヤル気が削がれてしまいます。。。


ただ、レビュー問題については英語版も併録されており、日本語がよくわからない時は英語の問題を確認するようにしています。

ちなみに上記「狭いリスクアセスメント」ですが、英語版では「a narrow risk assessment」となっていました。。

うーん・・・・。
おそらく「限られた範囲を対象としたリスクアセスメント」という意味なんだろうな、と思います。。

ドメスティック人材にはツライっす（汗）。

にほんブログ村 資格ブログ（国家試験）

情報セキュリティ戦略

作成：2019年8月15日

情報セキュリティ戦略には「戦略的計画（Strategic Planning）」や「戦術的計画（Tactical Planning）」が含まれ、これらを実現するための運用／プロジェクト計画を立案し、遂行していくことが必要です。

うーん、「戦略（strategy）」と「戦術（tactics）」の違いって何だろう・・・？

・・・。

・・・・・。

そういえば昔、「タクティクスオウガ」ってゲームに無茶苦茶ハマったなぁ。。。

・・・・・。

あ、別のことを考えてしまった（汗）。


CISSPの勉強にあたっては、日本語で理解しようとするよりも原文の英語で意味を把握した方が良いと思うので、strategy と tactics の意味を調べてみました。

ランダムハウス英和大辞典によると、

strategy は戦時、平時を問わず、国の安全・勝利を確保するため長期的展望にたって立案する全兵力利用計画のこと。

tactics は実戦における軍隊の配備など個々の戦略についていう。

とのことです。。


上記は軍事の文脈での解説になっているけれど、一般化すると、strategy は長期的な視点での計画、tactics は計画を達成するための具体的な方策・・・という理解で良いのかしら。


最初の情報セキュリティ戦略に戻すと・・・、例えばの話になりますが、

戦略的計画は、組織全体の情報セキュリティポリシーやプロシージャの策定が該当し、
それに対して戦術的計画は、ポリシーやプロシージャを具現化するためのシステム導入

・・・と考えれば、僕的にはストンと腹落ちした気がします。

以上、ご参考まで。。

にほんブログ村 資格ブログ（国家試験）

デューケアとデューデリジェンス

更新：2019年9月14日（作成：2019年8月14日）

CISSPの勉強で、ドメスティックな僕を悩ませているのが用語の定義。
今回は「デューケア（Due Care）」と「デューデリジェンス（Due Diligence）」を整理したいと思います。

なお、日本語版テキストでは、デューケアは「妥当な注意」、デューデリジェンスは「適切な注意」と訳されています。

・・・・・。

さっぱりわかりませんね（汗）。

デューケア（Due Care）

デューケアは、個人は合理的な人から期待されるものと同じレベルで注意（ケア）して対応する、という原則です。

うーん、いまいちピンと来ない。。

ちなみに、CISSPトレーニングの講師は「やるべきことをやること」と説明していました。

デューデリジェンス（Due Care）

デューデリジェンスは、責任を割り当てられた個人は、その責任を正確かつ迅速に完了するためにデューケアを行使する、という原則です。

こちらもよくわからないですが、トレーニングの講師は「デューケアの根拠を示すこと（説明責任を果たすこと）」とおっしゃっていました。


とりあえず、講師の説明を信じ、

デューケア： やるべきことをやること
デューデリジェンス： デューケアの根拠を示すこと（説明責任を果たすこと）

と覚えておきます！

にほんブログ村 資格ブログ（国家試験）

リスクアセスメント

2019年11月2日更新（2019年8月13日作成）

リスクアセスメントは、以下の２つに大別されます。
「定量的リスクアセスメント（Quantitative Risk Assessment）」
「定性的リスクアセスメント（Qualitative Risk Assessment）」

定量的リスクアセスメント は被害金額などを算定しやすい財務的なリスクの評価に向いていて、一方、定性的リスクアセスメントは風評被害など無形なリスクの評価に向いていると言えます。

・ 有形資産　→ 定量的リスクアセスメント
・ 無形資産 → 定性的リスクアセスメント

アセスメント対象に応じて、両者をうまく使い分けたり、組み合わせたりします。

定量的リスクアセスメント

SLE ＝ AV × EF
ALE ＝ SLE × ARO

↑のように、公式が（アルファベットで）頭にバババっと浮かぶようになりたいですね。。

SLE は”Single Loss Expectancy”で「単一損失予測」。
AV は ”Asset Value"で「資産価値」。
EF は”Exposure Factor”で「暴露係数」。リスクが顕在化した際の、資産価値に対する損失の割合を表します。

単一損失予測は、資産価値と暴露係数の積で表されます。

SLE（単一損失予測） ＝　AV（資産価値） × EF（暴露係数）

SLEは名前のとおり、1回の損失予測額です。
これに ARO（Annualized Rate of Occurrence： 年間発生頻度）を掛ければ、年間損失予測（Annualized Loss Expectancy： ALE）を算出できます。

ALE（年間損失予測） ＝ SLE（単一損失予測） × ARO（年間発生頻度）


しかし、暴露係数ってどうやって決定するんですかね・・・。

「暴露係数」で検索すると「暴露係数ハンドブック」なるものがヒットしましたが、情報セキュリティとは関係なかったです（苦笑）。

にほんブログ村 資格ブログ（国家試験）

CISSP合格に向けて背水の陣

気がつけば8月。
梅雨も明け、すっかり暑くなりましたね。

技術士第二次試験も既に終了しており。。
受験された皆様、大変お疲れさまでした。
僕は早々に受験を断念してしまいましたが、来年以降にチャレンジしたいです。

こんなグダグダな状況なので、このブログについても「技術士試験ラボ」から違う名称に変更しようかなぁと思う今日この頃。。


さて、仕事の方ですが、4月に異動して以降、落ち着くこともなく激務が続いています。。

深夜0時前後に帰宅し、母ちゃんが作り置きしてくれた夕食を食べる気力が残っていればまだマシな方で、帰宅直後に床に転がってそのまま寝てしまい、2時か3時頃に身体の痛みで目を覚まし、それから夕食を食べる・・・こんな感じの日々を送っています。。

まぁ、それでも精神的負荷は一時期よりマシになりつつあるので、自己研鑽の目標を再設定し、動き始めようと思った次第であります。


ということで、次の目標はCISSP！
3月にトレーニングを受けて以降、知識レベルはほぼゼロとなってしまいましたが（汗）、再び奮起しようと思います。

頑張ると言うのは簡単で、日々の忙しさにかまけて結局はグダグダになる危険性があります。
そこで、受験日を決めて自分を追い込むことにしました。
少し先の話ではありますが、12月に受験すべく、申し込みを完了！

受験料が高過ぎ（699ドル）なので、一発合格が必達目標です！！

にほんブログ村 資格ブログ（国家試験）