HOME
CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)

「CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)」の記事一覧

KRI（重要リスク指標）の効果的な運用において、トリガー（閾値）設定が果たす役割はどれか。

インシデントが起きてから動くのではなく、危険水域に近づいた時点でアラートを出し、許容範囲内にとどめ…

2026年3月5日

「リスクの受容」を承認する権限を持つのは誰か。

CISOはアドバイザーであり、実際に「損害が出ても責任を取る」と腹を括れるのは、そのビジネスの責任者（…

2026年3月5日

情報セキュリティガバナンスにおける「バリューデリバリー（価値提供）」を最適化するために、最も重視すべき活動はどれか。

セキュリティはコストセンターではなく、ビジネス価値を生み出す（または価値毀損を防ぐ）機能であること…

2026年3月5日

CISOの報告ラインとして、CIO（最高情報責任者）の直下であることが推奨されないケースが多いのはなぜか。

「納期優先でリリースしたいCIO」と「危険だから止めたいCISO」が対立した時、CISOが部下だと意見が通らな…

2026年3月5日

インシデント対応における「復旧（Recovery）」フェーズの開始判断基準として正しいものはどれか。

根絶（ウイルスの除去や穴埋め）が終わっていないのにシステムを再開すると、またすぐに同じ穴から侵入さ…

2026年3月5日

「シフトレフト」の概念をテスト工程だけでなく、要件定義工程に適用する（脅威モデリング等）意義はどれか。

バグ修正コストは後工程になるほど指数関数的に跳ね上がるため、紙の上の段階で問題を潰すことが経済的に…

2026年3月5日

リスク登録簿（Risk Register）に記載すべきではない情報はどれか。

リスク登録簿自体が攻撃者にとって「宝の地図」になるため、閲覧制限をかけるとともに、過度に詳細な攻撃…

2026年3月5日

「コンプライアンス（法令遵守）」と「セキュリティ（安全確保）」が一致しない例はどれか。

ルール（コンプライアンス）が時代の変化や最新の脅威実態に追いついていない場合があり、形式的な遵守が…

2026年3月5日

大規模インシデント発生時、CEOがメディアに対して「技術的な詳細」を語るべきでない理由はどれか。

トップは「真摯に取り組んでいる姿勢」と「顧客へのケア」を語るべきで、技術的詳細はCISOや広報の管理下…

2026年3月5日

オープンソース（OSS）の脆弱性管理において、CVSSスコア（深刻度）だけで優先順位を決めるべきでない理由はどれか。

CVSSが9.8（緊急）でも、イントラネットの奥深くで、該当機能が無効化されていればリスクは低い。コンテキ…

2026年3月5日