HOME
CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)

「CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)」の記事一覧

リスク対応計画において、コントロールの実装コストが予想損失額を上回る場合に正当化される理由はどれか。

経済合理性（ROI）だけで判断してはいけない領域があり、法律違反や人命事故は「金銭に代えられない」絶対…

2026年3月5日

CISOが取締役会に報告する際、「技術的な脆弱性の数」ではなく「ビジネスリスクのヒートマップ」を使うべき理由はどれか。

経営層の関心事は「どのリスクが会社を潰すか」であり、パッチの未適用数ではなく、それが招くビジネスイ…

2026年3月5日

「セキュリティガバナンス」と「セキュリティマネジメント」の関係を正しく表現しているのはどれか。

取締役会などが戦略的方向性を示して監督するのがガバナンス、その指示を受けてCISOや現場が具体的に対策…

2026年3月5日

サードパーティリスク管理において、ベンダーの「集中リスク（Concentration Risk）」を評価すべき理由はどれか。

「みんなが使っているから安心」ではなく、「みんなが使っているからこそ、そこがコケたら全員共倒れにな…

2026年3月5日

ランサムウェア攻撃を受けた際、攻撃者との交渉を専門業者に委託する主なメリットはどれか。

素人が交渉すると相手を刺激してデータを消されたり、相場より高い金額をふっかけられたりするため、プロ…

2026年3月5日

リスク分析において、資産価値を「再調達コスト（Replacement Cost）」だけで評価することの問題点はどれか。

サーバーは買い直せば100万円だが、その中の顧客データが漏れたら100億円の損害になる。ハードウェア価格…

2026年3月5日

コンテナイメージの脆弱性スキャンで「偽陽性（False Positive）」が多い場合の弊害はどれか。

「オオカミ少年」状態は、開発者とセキュリティチームの信頼関係を壊し、DevSecOpsのプロセスを停滞させる…

2026年3月5日

セキュリティ意識向上プログラムの効果を「行動変容」レベルで測定する指標はどれか。

単に「リンクをクリックしない」だけでなく、「不審なメールを能動的に報告する」というポジティブな行動…

2026年3月5日

インシデント対応計画（IRP）のテストにおいて、「ウォークスルー」と「シミュレーション」の主な違いはどれか。

机上で「手順に間違いがないか」を確認するのがウォークスルー、実際に「その手順で動けるか」を身体で覚…

2026年3月5日

「リスク許容度（Risk Tolerance）」の定義として、リスク選好（Appetite）との関係性において正しいものはどれか。

選好が「目指すべき中心線」だとすれば、許容度は「ここまではズレても怒られない（許容される）」という…

2026年3月5日