HOME
CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)

「CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)」の記事一覧

「ダークデータ（利用されず放置されたデータ）」がセキュリティリスクとなる理由はどれか。

管理対象外のデータは、分類も暗号化もされずに放置されやすく、攻撃者にとっては宝の山（しかも盗んでも…

2026年3月5日

定量分析において、不確実な未来の損失額を現在価値に割り引いて評価する理由はどれか。

「今投資する1億円」と「5年後の損失1億円」は価値が異なるため、NPV（正味現在価値）などを用いて時間軸…

2026年3月5日

セキュリティメトリクスにおける「先行指標（Leading Indicator）」の例はどれか。

結果（インシデント）が起きてから測る遅行指標に対し、先行指標は「今の対策状況」を測ることで、将来の…

2026年3月5日

インシデント対応演習（ドリル）において「レッドチーム vs ブルーチーム」形式を採用する目的はどれか。

予定調和のテストではなく、予期せぬ攻撃手法に対して防御チームがどう反応できるか、実戦形式で能力を試…

2026年3月5日

グローバル企業で、本社と現地法人のセキュリティレベルに格差がある場合のリスクはどれか。

「サプライチェーン攻撃」の内部版とも言え、対策が手薄な海外拠点が本丸への侵入経路として狙われるケー…

2026年3月5日

リスク転嫁（保険など）を行った後でも、組織に残るリスクは何か。

保険で金銭は補填できても、顧客からの信頼喪失や、経営陣の監督責任（法的責任）までは第三者に転嫁でき…

2026年3月5日

クラウドネイティブ環境における「イミュータブル（不変）インフラストラクチャ」のセキュリティ上の利点はどれか。

サーバーを「使い捨て」にすることで、侵入者がバックドアを仕掛けても次のデプロイで消滅し、常にクリー…

2026年3月5日

セキュリティプログラムの「成熟度」を評価する際、CMMIなどのモデルを使用する限界はどれか。

「手順書がある（形式知）」ことと「実戦で使える（暗黙知・能力）」ことは別であり、形式的な成熟度が高…

2026年3月5日

インシデント対応計画において、外部機関（警察や規制当局）への通報タイミングを事前に定めておく理由はどれか。

法的な義務履行と、捜査協力（証拠保全の必要性など）のバランスを考慮し、どの段階で誰が判断して通報す…

2026年3月5日

ALE（年間予想損失額）の計算において、単一障害点（SPOF）が存在する場合の考慮事項はどれか。

冗長性がない箇所は、一度の障害が全停止に直結するため、統計的な平均値以上にクリティカルなリスクとし…

2026年3月5日