HOME
CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)

「CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)」の記事一覧

定量リスク分析において「期待値」を使用することの限界はどれか。

期待値（平均）だけで判断すると、滅多に起きないが起きたら即死するような壊滅的リスク（テールリスク）…

2026年3月5日

「情報セキュリティ」と「サイバーセキュリティ」の定義上の主な違いはどれか。

CISMは「情報セキュリティ」マネージャーなので、デジタルデータだけでなく、机の上に放置された重要書類…

2026年3月5日

「コントロールの有効性評価」において、設計の評価（Design Effectiveness）と運用の評価（Operating Effectiveness）の違いはどれか。

素晴らしいマニュアル（設計）があっても、誰も読んでいなければ（運用）、リスクは低減されない。両方の…

2026年3月5日

セキュリティ人材の不足（スキルギャップ）に対処するための、最も持続可能な戦略はどれか。

外部採用は競争が激しく困難。業務を知っている社内人材を育てる方が、ビジネス理解もあり定着率も高く、…

2026年3月5日

インシデント対応計画（IRP）において「エスカレーション・マトリクス」が必要な理由はどれか。

「このレベルなら部長」「これ以上なら社長」という基準が明確でないと、深夜に誰を起こすべきか迷い、初…

2026年3月5日

APIセキュリティにおける「レート制限（Rate Limiting）」がDoS攻撃対策以外に役立つ効果はどれか。

「1分間に100回まで」等の制限をかけることで、攻撃者が何千通りものパスワードを試したり、全データを抜…

2026年3月5日

「リスク回避（Risk Avoidance）」と「リスク低減（Risk Mitigation）」の決定的な違いはどれか。

「危険な国への出張を禁止する（回避）」と「ボディガードをつけて出張する（低減）」の違い。回避は最も…

2026年3月5日

ランサムウェアの「身代金要求画面」を見た際の初動対応として、絶対に行ってはいけないことはどれか。

パニックになって電源を切ると、メモリにある鍵情報が消えたり、ファイルシステムが破損して復旧不可能に…

2026年3月5日

セキュリティプログラムの有効性を評価するために「第三者評価」を入れる理由はどれか。

「自分たちはできているつもり」というバイアス（自己正当化）を排除し、外部の目で冷徹に弱点を洗い出し…

2026年3月5日

リスク評価において「定性分析」を行う際、評価者による「主観のばらつき」を抑えるための工夫はどれか。

「高・中・低」という言葉の解釈は人によって違うため、その裏付けとなる具体的な金額や頻度の目安を定義…

2026年3月5日