| トピック | 出題範囲 |
| トピック 1 | - アクセス制御の概念:このセクションでは、アクセス制御スペシャリストと物理セキュリティ管理者の物理および論理アクセス制御に関するスキルを評価します。トピックには、バッジシステム、CCTV、監視、許可された担当者と許可されていない担当者の管理といった物理セキュリティ対策が含まれます。最小権限の原則、職務の分離、裁量的アクセス制御、強制アクセス制御、ロールベースアクセス制御といった論理アクセス制御の概念は、情報システムへのアクセス制御に不可欠です。
|
| トピック 2 | - 事業継続性(BC)、災害復旧(DR)、インシデント対応の概念:このドメインは、事業継続計画担当者とインシデント対応コーディネーターを対象としています。事業継続性、災害復旧、インシデント対応の目的、重要性、そして中核となる構成要素に焦点を当てています。受講者は、重要な業務オペレーションとITサービスを維持または迅速に復旧しながら、混乱に備え、対処する方法を学びます。
|
| トピック 3 | - セキュリティ原則:この試験セクションでは、セキュリティアナリストおよび情報保証スペシャリストのスキルを評価し、機密性、整合性、可用性、多要素認証を含む認証方法、否認防止、プライバシーといった基本的なセキュリティ概念を網羅します。また、リスク管理プロセスを理解し、優先順位と許容範囲に基づいたリスクの特定、評価、対処に重点を置きます。受験者は、技術的、管理的、物理的を含む様々なセキュリティ管理策に加え、ISC2プロフェッショナル倫理規定を理解していることが求められます。組織および法的要件の遵守を確保するために、ポリシー、手順、標準、規制、法律などのガバナンスプロセスについても学習します。
|
| トピック 4 | - ネットワークセキュリティ:この領域では、ネットワークセキュリティエンジニアとサイバーセキュリティスペシャリストの知識を評価します。OSI参照モデル、TCP
- IPモデル、IPアドレス指定、ネットワークポートといったコンピュータネットワークの基礎概念を網羅しています。受験者は、DDoS攻撃、マルウェアの亜種、中間者攻撃といったネットワーク脅威に加え、IDS、HIDS、NIDSといった検出ツールについても学習します。ファイアウォールやウイルス対策ソフトウェアといった防御戦略も網羅しています。また、オンプレミスデータセンターを含むネットワークセキュリティインフラストラクチャ、セグメンテーションや多層防御といった設計手法、SaaS、IaaS、ハイブリッド展開といったクラウドセキュリティモデルについても学習します。
|
| トピック 5 | - セキュリティ運用:この領域は、セキュリティ運用センター(SOC)アナリストとシステム管理者を対象としています。暗号化手法を用いたデータセキュリティ、分類と保持を含むデータの安全な取り扱い、セキュリティイベントのログ記録と監視の重要性について解説します。構成管理、ベースライン、アップデート、パッチ適用によるシステム強化も含まれます。データの取り扱い、パスワード、許容される使用方法、BYOD、変更管理、プライバシーポリシーといったセキュリティポリシーのベストプラクティスも重視します。最後に、この領域では、ソーシャルエンジニアリングの認識とパスワード保護に焦点を当てたセキュリティ意識向上トレーニングに重点を置き、セキュリティ意識の高い組織文化を醸成します。
|