HOME
CRISC (ISACA) リスク管理専門家

「CRISC (ISACA) リスク管理専門家」の記事一覧

「リスクの所有権（Risk Ownership）」をIT部門ではなくビジネス部門に持たせるべき根本的な理由は何か。

システムはあくまでビジネスの道具であり、その道具が使えなくなった時の損失判断や投資判断は、業務オー…

2026年3月5日

ソフトウェアの「EOL（End of Life）」製品を使用し続けることの最大のリスクは何か。

サポート終了製品は無防備な状態であり、攻撃者にとっては既知の脆弱性を突く格好の標的となる（ゼロデイ…

2026年3月5日

リスク評価において、コントロールの「予防的（Preventive）」効果と「発見的（Detective）」効果を区別して評価する理由は何か。

単一のコントロールに頼らず、侵入を防ぐ壁と、侵入したことに気づくセンサーの両方が機能しているかを確…

2026年3月5日

BCP（事業継続計画）において、RPO（目標復旧時点）を「0秒」に設定することの意味と課題は何か。

RPOゼロは、メインとバックアップの常時同期（同期レプリケーション）を意味し、専用回線や高性能ストレー…

2026年3月5日

ITコンプライアンスにおいて、規範的（Prescriptive）な規制と原則ベース（Principle-based）の規制の違いは何か。

原則ベース（GDPR等）は柔軟性が高い反面、自社で「十分な対策とは何か」を解釈・立証する責任が重くなる。

2026年3月5日

ダークデータ（非構造化データ等）に含まれるリスクを識別するための第一歩は何か。

存在すら把握していないデータのリスクは評価できないため、まずはネットワーク全体をスキャンして「見え…

2026年3月5日

リスクシナリオにおいて「脅威アクター（Threat Actor）」の動機（Motivation）を分析する意義は何か。

愉快犯、金銭目的、国家支援ハッカーなど、動機によって攻撃手法やリソースが異なるため、対策の強度を決…

2026年3月5日

KRI（重要リスク指標）の閾値を設定する際、トリガーポイント（警告点）をどこに置くのが最適か。

許容限度を超えてから警告が出ても手遅れであるため、限界に達する前にアクションを起こせるタイミング（…

2026年3月5日

組織の「リスク文化」が健全でないことを示す兆候はどれか。

処罰を恐れて不都合な真実を隠す文化は、リスクを潜在化させ、対応不能なほど問題が大きくなるまで放置さ…

2026年3月5日

IDaaS（Identity as a Service）を利用する際の主要なセキュリティ上の懸念事項はどれか。

認証を一箇所に集約することは便利だが、そのIDプロバイダーが単一障害点となり、障害時に全業務が停止す…

2026年3月5日