IT監査

はじめに：CISSPとは何か CISSP（Certified Information Systems Security Professional）は、(ISC)²が認定する情報セキュリティ分野で最も権威ある国際資格の一つです。世界170カ国以上で約16万人以上が取得しており、日本国内でも需要が急増しています。 この資格は単なる技術的な知識だけでなく、セキュリティマネジメントの観点から組織全体を俯瞰できる能力を証明するものです。合格率は約20〜25%と言われており、十分な準備なしには突破できない難関資格です。 本記事では、CISSP試験の8つのドメインそれぞれについて、実務経験者の視点から重点ポイントを解説します。効率的な学習計画の立て方から、各ドメインで押さえるべき核心的な概念まで、合格に必要な情報を網羅的にお伝えします。 CISSPの試験概要と受験要件 試験の基本情報 CISSP試験は、2024年現在、以下の形式で実施されています： 項目 内容 試験形式 CAT（コンピュータ適応型テスト） 問題数 125〜175問（日本語では250問の線形試験） 試験時間 3〜4時間（日本語版は6時間） 合格ライン 1000点満点中700点以上 受験料 749 USD（約11万円） 受験資格 CISSPを受験するには、8ドメインのうち2つ以上の分野で、5年以上の有償の実務経験が必要です。ただし、以下の条件で1年分の経験が免除されます： 4年制大学の学位保有 (ISC)²が認める関連資格の保有（CISA、Security+など） 実務経験が不足している場合でも、試験に合格すれば「Associate of (ISC)²」として認定され、6年以内に必要な経験を積むことで正式なCISSP資格を取得できます。 ドメイン1：セキュリティとリスクマネジメント（Security and Risk Management） 出題比率と重要度 このドメインは試験全体の**約15%**を占め、8ドメインの中で最も出題比率が高い領域です。セキュリティの基本原則から法規制、リスク管理まで幅広い内容を含みます。 重点ポイント 1. CIA トライアド（機密性・完全性・可用性） 情報セキュリティの3大原則であるCIAトライアドは、あらゆる問題の根底にある概念です。 機密性（Confidentiality）: 許可された者だけが情報にアクセスできる状態 完全性（Integrity）: 情報が改ざんされていない正確な状態 可用性（Availability）: 必要なときに情報にアクセスできる状態 実務では、これらのバランスを取ることが重要です。例えば、機密性を高めすぎると可用性が低下する場合があります。 2. リスク管理フレームワーク リスク管理は以下の計算式を理解することが必須です： リスク = 脅威 × 脆弱性 × 資産価値 また、以下の用語の違いを明確に理解しておきましょう： SLE（Single Loss Expectancy）: 単一損失予測額 = 資産価値 × 暴露係数 ARO（Annualized Rate of Occurrence）: 年間発生頻度 ALE（Annualized Loss Expectancy）: 年間損失予測額 = SLE × ARO 3. セキュリティポリシーの階層 組織のセキュリティ文書は以下の階層構造を持ちます： ...

はじめに：なぜ今、SaaS監査が重要なのか 企業のクラウドサービス利用は、もはや例外ではなく標準となりました。総務省の調査によると、日本企業のクラウドサービス利用率は2023年時点で72.2%に達し、その中でもSaaS（Software as a Service）の利用は特に顕著な伸びを見せています。 しかし、SaaSの普及に伴い、新たなリスクも浮上しています。2023年には大手SaaSプロバイダーでの情報漏洩事故が複数発生し、利用企業にも甚大な影響を与えました。こうした背景から、外部サービスのリスク評価、すなわちSaaS監査の重要性が急速に高まっています。 本記事では、IT監査・セキュリティ担当者の皆様に向けて、SaaS監査の具体的な方法とリスク評価のポイントを実務視点で解説します。 SaaS監査とは：基本概念の整理 SaaSの定義と特徴 SaaS（Software as a Service）とは、インターネット経由で提供されるソフトウェアサービスのことです。ユーザーはソフトウェアをインストールすることなく、Webブラウザ等からアクセスして利用できます。 代表的なSaaSの例： コミュニケーション系：Microsoft 365、Google Workspace、Slack、Zoom 業務系：Salesforce、freee、マネーフォワード、SmartHR 開発系：GitHub、Jira、Notion SaaSの特徴として、以下の点が挙げられます： 特徴 内容 マルチテナント 複数の顧客が同一のインフラを共有 サブスクリプション 月額・年額課金が一般的 自動アップデート プロバイダー側で機能更新・パッチ適用 データの外部保管 顧客データがプロバイダーの環境に保存 SaaS監査の目的 SaaS監査の主な目的は以下の3点です： リスクの可視化：外部サービス利用に伴うセキュリティリスク、コンプライアンスリスクを特定する ガバナンスの確保：シャドーIT（未承認SaaS）の把握と管理体制の構築 継続的モニタリング：プロバイダーのセキュリティ状況の変化を追跡する SaaS監査の7つのステップ ここからは、実務で活用できるSaaS監査の具体的な手順を7つのステップで解説します。 ステップ1：SaaS利用状況の棚卸し 最初に行うべきは、自社で利用しているSaaSの全体像を把握することです。 多くの企業では、想定以上に多くのSaaSが利用されています。ある調査では、従業員1,000人以上の企業で平均200以上のSaaSが利用されているという結果も出ています。 棚卸しの方法 IT部門管理のサービス一覧の確認 契約管理台帳、経費精算システムからの抽出 SSO（シングルサインオン）連携済みサービスの確認 シャドーITの発見 CASB（Cloud Access Security Broker）ツールの活用 ネットワークログ（プロキシログ、ファイアウォールログ）の分析 従業員へのアンケート調査 SaaS管理プラットフォーム（SMP）の導入検討 Zylo、Productiv、Torii等のツールで自動検出 実務ポイント 棚卸し結果は以下の項目を含むリストとして整備しましょう： - サービス名 - プロバイダー名 - 契約部門・管理者 - 利用開始日 - 月額/年額費用 - 利用ユーザー数 - 取り扱うデータの種類（個人情報、機密情報等） - 契約形態（直接契約/代理店経由） ステップ2：リスク分類とティアリング 全てのSaaSを同じ深度で監査することは現実的ではありません。リスクベースアプローチに基づき、優先順位付けを行います。 ...

ISMSとは情報セキュリティマネジメントシステムのことです。