HOME
CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)

「CISM (公認情報セキュリティマネージャー) 試験 (ドメイン全般)」の記事一覧

Webアプリケーションのセッション管理において、セッションIDの予測可能性を防ぐ対策はどれか。

連番や単純な法則で生成されるIDは攻撃者に推測され、なりすまし（セッションハイジャック）の原因となる…

2026年3月5日

「セキュリティバイデザイン」を組織標準として定着させるために、CISOが連携すべき最も重要な部門はどれか。

開発プロセスのゲートキーパーであるPMOと連携し、プロジェクト承認の条件にセキュリティ要件を組み込むこ…

2026年3月5日

戦略的な情報セキュリティロードマップを作成する際、短期的な戦術（Quick Wins）を含める理由はどれか。

3年がかりの計画でも、最初の数ヶ月で「効果が出た」と実績を作ることで、経営層からの信頼を得て、その後…

2026年3月5日

サプライチェーンリスク管理において、第4者（委託先の再委託先）のリスクを管理する最良の方法はどれか。

直接の契約関係がない再委託先を直接管理するのは現実的に困難なため、直接の契約相手に管理監督責任を負…

2026年3月5日

コンテナオーケストレーション（Kubernetesなど）のセキュリティ設定で、最も重要な「最小権限」の適用箇所はどれか。

コンテナが侵害された際、ホストOSや他のコンテナ、クラウドAPIへ攻撃が拡大しないよう、コンテナ自体の実…

2026年3月5日

インシデント対応チームが「燃え尽き症候群（Burnout）」になるのを防ぐための管理策はどれか。

インシデント対応は極度のストレスがかかるため、特定の個人に依存せず、シフト制やメンタルケアを導入し…

2026年3月5日

セキュリティ指標（メトリクス）が「有効」であると判断されるための条件はどれか。

単なる「数字の羅列」ではなく、その数値を見て意思決定（予算増額、戦略変更など）ができるかどうかが、…

2026年3月5日

リスク対応計画において「リスク回避（Avoidance）」を選択する具体例はどれか。

リスクの原因となる活動自体をやめる（例：個人情報を取り扱うサービスを終了する）ことで、リスク発生の…

2026年3月5日

ランサムウェア攻撃における「二重脅迫（Double Extortion）」への対策として、バックアップ以外に必要なものはどれか。

二重脅迫は「データを暗号化する」だけでなく「盗んだデータを公開するぞ」と脅すため、復元用のバックア…

2026年3月5日

コントロールの「費用対効果」を評価する際、コストがメリットを上回っても対策を実施すべき例外的なケースはどれか。

コンプライアンス違反による事業停止命令や、人命損失のリスクは、単純な金銭的ROIの計算を超えて必須の対…

2026年3月5日