https://infomation-sytem-security.hatenablog.com/entry/cissp-security-assessment-testing

はじめに：作っただけでは意味がない！「防御」の有効性を証明する

どんなに堅牢なセキュリティアーキテクチャを設計（ドメイン3）し、最新のネットワーク機器を導入（ドメイン4）しても、その防御策に穴があれば、攻撃者は容赦無く侵入してきます。

「我々の防御は、本当に機能しているのか？」この問いに客観的な答えを出すためのプロセスが、「ドメイン6：セキュリティの評価とテスト」です。このドメインは、計画（Plan）と実行（Do）のフェーズを終えたセキュリティ対策が、有効に機能しているかを検証（Check）し、改善（Act）に繋げる、PDCAサイクルの「C」にあたる重要な役割を担います。

こんにちは。CISSP保有者で、企業のセキュリティ担当を務める城咲子です。この記事では、脆弱性診断、ペネトレーションテスト、監査といった、セキュリティの有効性を測るための主要な手法について、CISSPで問われる知識を中心に徹底解説します。

最重要知識①：「脆弱性診断」と「ペネトレーションテスト」の違い

この2つは似て非なるものであり、その違いを明確に理解することは試験で絶対に必要です。

項目	脆弱性診断 (Vulnerability Assessment)	ペネトレーションテスト (Penetration Test)
目的	システムに存在する既知の脆弱性を網羅的に洗い出すこと	脆弱性を実際に悪用して侵入を試み、どこまで到達できるかを検証すること
視点	防御側の視点（健康診断）	攻撃側の視点（模擬戦闘）
手法	主に自動化されたスキャンツールを使用	ツールと専門家の手動によるテストを組み合わせる
範囲	広範囲	特定のシナリオやターゲットに絞る
結果	検出された脆弱性のリスト	侵入経路やビジネスインパクトの報告

CISSPマインドセット： どちらか一方を行えば良い、というものではありません。定期的な「脆弱性診断」で網羅的に弱点を把握し、重要なシステムに対して年に一度などの頻度で「ペネトレーションテスト」を実施し、実際の攻撃耐性を測る、というように両者を組み合わせるのがベストプラクティスです。

最重要知識②：客観的な視点で検証する「監査 (Audit)」

監査は、組織のセキュリティポリシーや各種基準、法規制などが、ルール通りに遵守・運用されているかを第三者的な視点で検証するプロセスです。

内部監査 vs 外部監査:
- 内部監査: 組織内の独立した部門（内部監査室など）が実施します。組織の自己改善が主な目的です。
- 外部監査: 組織とは利害関係のない独立した第三者機関が実施します。ISO 27001認証の取得や、SOC報告書（後述）の取得が目的です。
SOC (System and Organization Controls) 報告書: 特にクラウドサービスなどを利用する際に重要となる、外部監査の報告書です。
- SOC 1: 財務報告に係る内部統制を対象とします。
- SOC 2: セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーという5つのトラストサービス規準に関する内部統制を対象とします。
- SOC 3: SOC 2の要約版で、一般公開が可能です。

▼合格者の学習法を知る

これらの実践的な知識を効率よく学ぶには、コツが必要です。私がCISSPに1ヶ月で一発合格した際の学習戦略や、おすすめの教材については、以下の記事で全て公開しています。

あわせて読みたい： 【CISSP合格体験記】私が一発合格した勉強方法とタイムマネジメント術を全公開

最重要知識③：インシデントの「目」となる「ログ管理と監視」

セキュリティイベントを正確に把握し、インシデントを早期に検知するためには、ログの収集・分析が不可欠です。

ログ収集のポイント:
- 何を収集するか: サーバー、ネットワーク機器、アプリケーションなど、様々なソースからログを収集します。
- 時刻同期: 正確な時系列分析のため、NTP (Network Time Protocol) を使用して、全システムの時刻を同期させることが極めて重要です。
- ログの保護: ログ自体の完全性（改ざん防止）と可用性（必要な時に参照できること）を確保する必要があります。
SIEM (Security Information and Event Management): 複数のソースからログを収集し、リアルタイムで相関分析を行うことで、脅威の兆候を自動的に検知・通知するシステムです。現代のセキュリティ監視の中核を担います。