HOME
CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)

「CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)」の記事一覧

DevSecOpsにおける「SCA（Software Composition Analysis）」ツールの主な役割はどれか。

自分たちが書いたコード（SAST）だけでなく、外部から持ってきた部品（OSS）に穴がないかを調べるのがSCA…

2026年3月5日

「三線モデル」において、第二線（リスク管理部門）が第一線（現場）の業務を代行してはいけない本質的な理由はどれか。

「選手」と「審判」を兼任してはいけない。自分でやって自分でチェックすると、不都合な真実は隠される。

2026年3月5日

リスクアセスメントにおいて「脅威」と「脆弱性」のどちらを重視すべきか、という議論に対するCISOの適切な見解はどれか。

天気（脅威）は変えられないが、家の屋根（脆弱性）は修理できる。コントロール可能な部分にリソースを割…

2026年3月5日

CISOが「セキュリティ予算のROI」を問われた時、財務的なリターン以外で強調すべき「価値」はどれか。

セキュリティは「守り」だけでなく、デジタルトランスフォーメーションや新規事業への参入を可能にする「…

2026年3月5日

インシデント対応の「事後分析（Post-Mortem）」において、再発防止策として「担当者の再教育」だけで終わらせてはいけない理由はどれか。

「注意不足」で片付けるのは思考停止。なぜ注意しなくても間違えない仕組みにしなかったのか、という仕組…

2026年3月5日

Infrastructure as Code (IaC) を採用することで実現できる「セキュリティ・バイ・デザイン」の具体例はどれか。

人間が手動で設定すると忘れるセキュリティ項目を、テンプレート（設計図）の時点で標準装備にしておくこ…

2026年3月5日

定量的リスク分析における「モンテカルロ法」が、単一のシナリオ分析よりも優れている点はどれか。

「最悪の場合」と「通常の場合」の間のあらゆる可能性をシミュレーションし、「95%の確率で損失はX円以下…

2026年3月5日

セキュリティポリシーの「例外」を認める際、必ず設定すべき条件はどれか。

「ルールを守らなくていい」のではなく、「別の方法でリスクを抑える（代替策）」ことを条件とし、かつ「…

2026年3月5日

デジタルフォレンジックにおいて、調査対象のPCをネットワークから切断する際、LANケーブルを抜くのとWi-Fiをオフにするのではどちらが先か、またその理由は。

有線を抜いても無線が繋がっていれば攻撃者は侵入を継続できる。無線は遠隔操作のリスクが高いため、即座…

2026年3月5日

APIセキュリティにおける「マスパラメータ割り当て（Mass Assignment）」脆弱性とは何か。

ユーザーが送ってきた `{"isAdmin": true}` というデータをそのまま保存してしまい、一般ユーザーが管理者…

2026年3月5日