HOME
CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)

「CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)」の記事一覧

「固有リスク（Inherent Risk）」が高い業務プロセスに対し、コントロールを適用しても「残留リスク」が高いままの場合、経営層が取るべき判断はどれか。

通常の対策でリスクが落ちないなら、その業務を続けること自体の是非を問うか、抜本的な改革（プロセス変…

2026年3月5日

リスクアセスメントにおける「資産ベース」と「シナリオベース」のアプローチの違いはどれか。

資産の羅列だけでは「どう攻撃されるか」が見えにくいため、現代では「誰が・どうやって・何をする」とい…

2026年3月5日

セキュリティポリシーに「違反時の罰則」を明記することのガバナンス上の意義はどれか。

「守らなくても怒られない」ルールは誰も守らない。違反時の結果（懲戒等）を明確にすることで、コンプラ…

2026年3月5日

ランサムウェア感染時、身代金を支払ってもデータが復旧しない（復号キーが機能しない）リスクがあることを踏まえ、CISOが提案すべき方針はどれか。

「金を払えば助かる」保証はどこにもないため、支払いはあくまで最終手段の一つとし、自力復旧の努力を放…

2026年3月5日

組織の合併・買収（M&A）において、買収対象企業のセキュリティレベルが自社より著しく低い場合、統合プロセスで最初に行うべきことはどれか。

安易につなぐと、相手側の脆弱性を経由して自社（親会社）が汚染されるため、検疫期間を設けて安全確認が…

2026年3月5日

リスクマップ上で「発生確率は低いが、影響度が壊滅的（High Impact, Low Probability）」な象限にあるリスクへの対応はどれか。

滅多に起きないことに巨額の予防コストをかけるのは非効率だが、起きたら会社が潰れるため、保険やBCPで「…

2026年3月5日

動的アプリケーションセキュリティテスト（DAST）を実行する最適な環境とタイミングはどれか。

本番に近い環境で実際にアプリを動かし、外部からの攻撃をシミュレートすることで、設定ミスや実行時の挙…

2026年3月5日

インシデント対応において「チェーン・オブ・カストディ（証拠の保管連鎖）」が一度でも途切れた場合の結果はどれか。

「誰がいつ持ち出し、誰に渡したか」の記録に空白期間があると、その間に証拠がすり替えられた可能性を否…

2026年3月5日

CISOが「セキュリティ予算の削減」を要求された際、反論するための最も強力な根拠データはどれか。

「お金を減らせば、このリスクがこれだけ増え、会社のこの目標が達成できなくなるかもしれません」という…

2026年3月5日

クラウド移行に伴うリスク評価で、オンプレミス時代と最も大きく変わる「ガバナンス上の課題」はどれか。

「自分たちで直接管理・監査できない」というブラックボックス化に対し、契約や第三者認証を通じてどう統…

2026年3月5日