HOME
CRISC (ISACA) リスク管理専門家

「CRISC (ISACA) リスク管理専門家」の記事一覧

「コントロールの費用対効果」を評価する際、導入コスト以外に考慮すべき「隠れたコスト」はどれか。

ツールを買う費用だけでなく、それを維持するための手間や、セキュリティ強化によって業務が面倒になるこ…

2026年3月5日

ゼロデイ攻撃への対応として、パッチがない期間（Vulnerability Window）に行う「緩和策」の例はどれか。

根本治療（パッチ）がない間は、攻撃コードが届かないようにする、あるいは攻撃が成功しても影響が出ない…

2026年3月5日

ウェブアプリケーションにおける「XSS（クロスサイトスクリプティング）」のリスクとは何か。

脆弱なサイトを閲覧したユーザーのブラウザ内で攻撃者のコードが動き、ユーザーになりすまして操作された…

2026年3月5日

シャドーITを公式に認める（サンクションIT化する）プロセスにおいて必要なアクションはどれか。

有用なツールであれば、単に禁止するのではなく、企業として安全に使える状態（SSO連携、ログ取得等）に整…

2026年3月5日

リスクマトリックスの「ヒートマップ」を作成する際、リスクの分布が「高」に偏りすぎている場合に疑うべきことは何か。

全てが「重大」と評価されると優先順位が付けられなくなるため、基準を見直し（カリブレーション）、相対…

2026年3月5日

ランサムウェア対策として、バックアップネットワークを本番ネットワークから「論理的に切り離す」理由とは。

近年のランサムウェアはバックアップシステムを最初に攻撃するため、異なる認証基盤やVLAN、あるいはオフ…

2026年3月5日

CSIRT（Computer Security Incident Response Team）の権限として、事前に明確化しておくべき最も重要な事項はどれか。

サイバー攻撃は秒単位で進行するため、被害拡大を防ぐための緊急措置（キルスイッチ）を、現場判断で即座…

2026年3月5日

クラウド設定における「デフォルト設定」のまま運用することのリスク（Misconfiguration）はどれか。

多くの製品・サービスの初期設定は利便性優先でセキュリティが甘く設定されていることが多く、そのまま使…

2026年3月5日

APIセキュリティにおいて「レート制限（Rate Limiting）」を実装する主な目的はどれか。

一定時間内のアクセス回数を制限することで、サーバーリソースの枯渇を防ぎ、機械的な連続試行による攻撃…

2026年3月5日

ログ分析において「相関分析（Correlation Analysis）」が重要な理由は何か。

「ログイン失敗」と「管理者権限変更」など、関連する複数の事象を時系列で繋ぎ合わせることで初めて、攻…

2026年3月5日