HOME
CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)

「CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)」の記事一覧

リスク評価における「ボウタイ分析（Bow-tie Analysis）」が、リスクシナリオの理解に役立つ理由はどれか。

「なぜ起きるか（Prevent）」と「起きたらどうするか（Recover）」の両側面を同時に俯瞰できるため、バラ…

2026年3月5日

「ゼロトラストアーキテクチャ」への移行を経営層に提案する際、セキュリティ以外のビジネスメリットとして説明すべき点はどれか。

「どこからでも安全に仕事ができる」環境は、セキュリティ対策であると同時に、優秀な人材確保や働き方改…

2026年3月5日

クラウド利用における「責任共有モデル」の理解不足が引き起こす典型的なリスクはどれか。

SaaSでもIaaSでも、「データ」と「アクセス権」は常にユーザーの責任。ここを放置して「クラウドが漏らし…

2026年3月5日

KPIとして「セキュリティパッチの適用率」を見る際、単なる「平均適用期間」では不十分な理由はどれか。

「どうでもいいパッチ」を早く当てて平均点を稼ぎ、「危険なパッチ」を放置するハックができてしまう。重…

2026年3月5日

サイバー保険の請求において、最も支払い拒否されやすい「免責事項」のパターンはどれか。

「MFAを入れています」と嘘をついて（あるいは誤認して）契約し、MFAがない経路から侵入されたら、告知義…

2026年3月5日

WebAuthn（FIDO2）導入の最大のセキュリティメリットはどれか。

「パスワードレス」の本質は、サーバーに盗まれる価値のある秘密情報（パスワード）を置かないこと。認証…

2026年3月5日

リスク分析において、過去のインシデントデータが少ない「新興リスク（AIなど）」を評価するための最良の手法はどれか。

データがないなら「知恵」を集めるしかない。複数の専門家に匿名でアンケートを繰り返し、合意形成を図る…

2026年3月5日

CISOが「セキュリティ文化」を変えるために、人事部門（HR）と連携して導入すべき施策はどれか。

「やってもやらなくても評価に関係ない」なら定着しない。セキュリティ貢献を評価し、違反にはペナルティ…

2026年3月5日

インシデント発生時の「対外公表」において、法務部門と広報部門の意見が対立しやすいポイントはどこか。

「言わないことのリスク（隠蔽）」と「言うことのリスク（責任追及）」のバランスをどう取るか、経営判断…

2026年3月5日

リスク評価で「固有リスク（Inherent Risk）」を評価せずに、いきなり「残留リスク（Residual Risk）」だけを見るアプローチの欠点はどれか。

「対策前」を知らないと、「このファイアウォールに年間1億円かける価値があるのか？」という問いに答えら…

2026年3月5日