HOME
CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)

「CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)」の記事一覧

CISOが「セキュリティ・チャンピオン」プログラムを立ち上げる戦略的な目的はどれか。

中央集権的なチェックだけではスピードについてもいけない。現場に「セキュリティの代理人」を埋め込むこ…

2026年3月5日

「リスク許容度」を超えるリスクが見つかったが、ビジネス上の理由でどうしてもそのシステムを使わなければならない場合、CISOが取るべき手続きはどれか。

「使わざるを得ない」なら、その危険性を理解した上で、権限者が責任を持ってサイン（受容）するという正…

2026年3月5日

リスク評価における「集約リスク（Aggregated Risk）」の評価が不十分な場合に起こりうる事態はどれか。

「部門ごとの最適化」が「全社の脆弱性」を生む典型例。個別のリスク評価を足し合わせるだけでなく、相互…

2026年3月5日

ランサムウェア対応のプレイブックにおいて、「攻撃者の意図的な撹乱（Diversion）」を警戒すべき理由はどれか。

「騒ぎ」に対応している間に「本丸」が落とされるケースがあるため、目に見える事象だけでなく、裏で起き…

2026年3月5日

「バグバウンティ（脆弱性報奨金）プログラム」を導入する際の、最大の法的・ガバナンス上の懸念事項はどれか。

「善意のハッカー」と「攻撃者」の境界線は紙一重。テスト範囲や禁止事項（DoS禁止、データ閲覧の制限等）…

2026年3月5日

ビジネスインパクト分析（BIA）の結果と、リスク評価の結果が矛盾した場合（例：BIAでは重要度高だが、リスク評価では発生確率低）、優先順位はどう決定すべきか。

「滅多に起きない」からといって「起きたら会社が潰れる」リスクを放置してはいけない。予防コストはかけ…

2026年3月5日

クラウドネイティブ開発における「サービスメッシュ」のセキュリティ上の役割として、アプリケーションコードから切り離せる機能はどれか。

開発者はセキュリティロジック（証明書管理など）をコードに書く必要がなくなり、インフラ層（サイドカー…

2026年3月5日

インシデント対応における「脅威インテリジェンス」の戦術的（Tactical）な利用方法はどれか。

戦略的な動向分析とは異なり、戦術レベルでは「今ここにある攻撃」を止めるための具体的な識別情報としてI…

2026年3月5日

グローバル規制（GDPR等）への対応において「拘束的企業準則（BCR）」を採用する主なメリットはどれか。

グループ会社間でのデータ移転を適法化するための強力な手段であり、都度の契約締結（SCC）の手間を省きつ…

2026年3月5日

SASE（Secure Access Service Edge）の導入が、従来のリモートアクセスVPNと異なる最大の利点はどれか。

VPNのような「一度入れば全通」ではなく、クラウドエッジで認証・認可・検査を毎回行い、ゼロトラストなア…

2026年3月5日