HOME
CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)

「CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)」の記事一覧

サプライチェーン攻撃対策としての「ベンダーアクセス管理」で、最も推奨される技術的統制はどれか。

ベンダーに常時接続の特権を与えっぱなしにするのが一番危険。作業時間中だけ扉を開け、操作内容を録画・…

2026年3月5日

KRI（重要リスク指標）とKPI（重要業績評価指標）の決定的な違いはどれか。

KRIは「炭鉱のカナリア」であり、事故が起きる前に「危険水位に近づいている」ことを知らせる早期警戒アラ…

2026年3月5日

「シャドーIT」の発見後にCISOが取るべき建設的なアプローチはどれか。

シャドーITは「今のIT環境への不満」の表れ。頭ごなしに禁止すると地下に潜るだけなので、ニーズを汲み取…

2026年3月5日

情報セキュリティガバナンスの枠組みとして「ISO/IEC 27001」を採用するメリットはどれか。

独自のルールではなく世界標準に準拠することで、顧客やパートナーからの監査要求を効率化し、網羅的な管…

2026年3月5日

Webアプリケーションにおける「CSRF（クロスサイトリクエストフォージェリ）」対策として最も有効なものはどれか。

認証済みのユーザーのブラウザに、攻撃者が用意した罠サイトから勝手にリクエストを送らせる攻撃を防ぐた…

2026年3月5日

インシデント対応の事後レビューで「根本原因はヒューマンエラー（担当者のミス）」と結論付けることが不適切な理由はどれか。

「人が悪い」で終わらせると、人が入れ替わればまた同じミスが起きる。ミスを誘発した環境要因を直さなけ…

2026年3月5日

CISOが「ビジネス部門の会議（戦略会議など）」に定期的に出席する主な目的はどれか。

「決まってから相談される」のでは手遅れ。ビジネスが動き出す源流の段階で情報をキャッチし、伴走するこ…

2026年3月5日

「リスクの所有権（Ownership）」をIT部門ではなくビジネス部門に持たせるべき本質的な理由はどれか。

「自分のデータだ」という当事者意識がなければ、ビジネス部門はセキュリティ対策を「IT部門からの邪魔な…

2026年3月5日

CI/CDパイプラインにおける「イミュータブル（不変）なサーバー」の概念が、パッチ管理プロセスに与える影響はどれか。

「修理」するのではなく「交換」することで、パッチ適用漏れや環境ごとの差異（ドリフト）を根絶する現代…

2026年3月5日

インシデント対応における「指揮命令系統（Chain of Command）」の明確化が不可欠な理由はどれか。

有事の際は平時の組織図とは異なる緊急対応体制（ICS等）が必要であり、誰の指示に従うべきかが一元化され…

2026年3月5日