CISSP CBKを購入して、CISSP受験の際にした勉強を復習しています。当時はOfficial Study Guideという本やYoutube videoなども使って勉強していました。その頃に疑問に思ったこと、今回購入したCBKを読んで初めて知ったことなどを紹介していきます。
Domain 1の中に、「セキュリティガバナンスの原則を評価して適用する」という項目があり、その中に表題の「Due careとdue diligence」という項目があります。なかなか分かりにくい概念です。
Due careとは合理的な人間が当然に払うべき注意、というような概念です。「合理的」とは何かを明確にする必要があります。ある人の行為が合理的だったかどうかは、同じような背景と経験を持った人が同じあるいは似た状況に置かれたときに同じあるいは似た行動をするか、という観点から評価されます。
Due diligenceとは継続な行動によってdue careの内容を維持すること、維持できていることを確認することです。ビジネスの世界では、例えば会社の経営者が会社の運営を行う際に、合理的な人間が当然に払うべき注意(due care)を払って会社を経営することをdue diligenceと呼びます*1。
CISSP試験の練習問題(practice tests)ではこのdue careとdue diligenceの区別を問うような問題がよくあります。上記の区別を理解しておけばそれらの問題は解けると思います。
CBKではこのdue careとdue diligenceの考えを情報セキュリティに適用しています。CISSPを保持する情報セキュリティの専門家にもdue careとdue diligenceが求められます。それは所属している組織の資産の3つのセキュリティ=機密性、完全性、可用性を維持するために合理的な人がすることをおこう、ということです。
では具体的にCISSPを保持しているあなたがきちんとdue care/due diligenceを果たしている、と言えるにはどこまでやったら良いのでしょうか?
情報セキュリティの専門家のdue careの範囲は次のうちのどれが最も適切か?
上記1〜3のいずれもどんな情報セキュリティの専門家でも知っていてやるべきことですから、それぞれに間違っているわけではありません。その中で「最も適切な」選択肢を考えます。CBKには次のような記載があります:「CISSP CBKの目的は合理的な情報セキュリティの専門家に要求される一連の知識と行動を確立することです」。
情報セキュリティの専門家としてdue careを果たすためにはCISSP CBKを知り、状況に応じて適切な運用をすることが求められているのです。従って情報セキュリティの専門家のdue careの範囲の「最も適切な」選択肢は4となります。
