HOME
CISA (公認情報システム監査人) 試験 (ドメイン全般)

「CISA (公認情報システム監査人) 試験 (ドメイン全般)」の記事一覧

アジャイル開発における「ユーザーストーリー」の「INVEST」基準に含まれないものはどれか。

INVESTは、Independent, Negotiable, Valuable, Estimable（見積り可能）, Small（小さい）, Testable（テ…

2026年3月5日

BCP発動時の「緊急時コミュニケーション計画」において、最も優先して伝えるべき相手と内容はどれか。

災害発生直後の最優先事項は人命の安全（Human Safety）であり、次いで混乱を防ぐための正確な情報提供で…

2026年3月5日

ITリソースの「チャージバック（課金）システム」を導入する効果はどれか。

無料だと無制限に使いがちだが、使用量に応じて部門予算から費用を徴収することで、ユーザー部門にコスト…

2026年3月5日

セッションハイジャック攻撃を防ぐためのWebアプリケーションの対策はどれか。

セッション固定攻撃や盗聴を防ぐため、認証成功時にIDを変え、かつクライアントスクリプトからIDを読めな…

2026年3月5日

データアナリティクスを監査に導入する際、最初に行うべきステップはどれか。

ツールやデータありきではなく、「何を検証したいのか（シナリオ）」が明確でないと、無意味な分析結果し…

2026年3月5日

マイクロサービス間の通信において「相互TLS（mTLS）」を導入する目的はどれか。

ゼロトラスト環境では内部ネットワークも信頼しないため、サービス間通信においても双方向の厳格な認証と…

2026年3月5日

RPO（目標復旧時点）が「0分（データ損失ゼロ）」を要求されるシステムに不可欠な技術はどれか。

データ損失をゼロにするには、プライマリへの書き込みと同時にバックアップサイトへの書き込みも完了させ…

2026年3月5日

IT戦略委員会が考慮すべき「ITの戦略的整合性」が欠如している場合に起こりうる最大のリスクはどれか。

ITはビジネスの成功要因であるため、ビジネス戦略と乖離したIT投資は、単なるコスト増か、機会損失（機会…

2026年3月5日

「サプライチェーン攻撃」において、攻撃者がターゲットとするのはどこか。

大企業への直接侵入が難しい場合、攻撃者は管理が甘い関連会社や委託先を踏み台にして、信頼関係（ネット…

2026年3月5日

インシデント対応後の「事後レビュー（Post-Incident Review）」で議論すべき内容はどれか。

「Lessons Learned（教訓）」を得ることが目的であり、責任追及ではなく、プロセスや技術の改善点を見つけ…

2026年3月5日