HOME
CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)

「CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)」の記事一覧

セキュリティメトリクスが「技術的指標」に偏っている場合の主な弊害はどれか。

「パッチ適用率99%」ではなく「重要業務の停止リスクが低減された」というビジネス価値を示さなければ、経…

2026年3月5日

「リスクの再評価（Re-assessment）」を行うべきタイミングとして、定期的実施以外で最も重要なものはどれか。

リスクは静的なものではないため、前提条件が変わるイベント（チェンジイベント）が発生した時点で、即座…

2026年3月5日

CISOの評価指標として「MTTD（平均検知時間）の短縮」を設定することの、ガバナンス上の真の目的はどれか。

侵入されてから気づくまでの時間が長ければ長いほど被害は深刻になる。この時間を短くすることは、レジリ…

2026年3月5日

サプライチェーンリスク管理において、Tier 2以降（再委託先）のリスクを可視化するための現実的な手法はどれか。

直接見ることが難しい深層サプライチェーンについては、直接契約者がしっかりと管理しているかを確認する…

2026年3月5日

「脅威ハンティング（Threat Hunting）」が、従来のアラート監視と根本的に異なる点はどれか。

受け身（リアクティブ）ではなく、防御をすり抜けた高度な脅威を自ら探しに行く（プロアクティブ）活動で…

2026年3月5日

「リスクアペタイト（選好）」を定量的に定義する具体例はどれか。

曖昧な言葉ではなく、数値化された閾値を設定することで、現場が「これ以上は対策が必要」「ここは受容し…

2026年3月5日

コンテナセキュリティにおける「ディストロレス（Distroless）」イメージの利点はどれか。

攻撃者に便利なツール（シェルなど）がそもそも存在しないため、侵入後の活動を困難にし、かつ管理すべき…

2026年3月5日

ランサムウェア攻撃における「身代金支払い」の意思決定プロセスで、最も重要なガバナンス上の要件はどれか。

その場の感情や圧力で決めるのではなく、倫理、法律、ビジネス継続性の観点から、事前に合意されたフレー…

2026年3月5日

「三線モデル」において、第一線（現場）のリスク管理能力を高めるための最も効果的な施策はどれか。

「いちいち確認する」手間を省き、CI/CDパイプラインや業務ツールの中で自動的にチェックがかかる仕組みに…

2026年3月5日

定量分析における「モンテカルロ法」が、単純な「予想損失額（ALE）」よりも優れている点はどこか。

「平均値」では見えなくなる「稀だが壊滅的なリスク」の可能性を、確率分布として提示できるため、経営判…

2026年3月5日