HOME
CRISC (ISACA) リスク管理専門家

「CRISC (ISACA) リスク管理専門家」の記事一覧

DevSecOps環境において、セキュリティテストを開発パイプラインに統合する「シフトレフト」の目的は何か。

工程の後ろで欠陥が見つかるほど修正コストが高くなるため、設計・コーディング段階（左側）でテストを行…

2026年3月5日

リスク受容（Acceptance）を正式に決定できる権限を持つのは誰か。

リスクを受容するということは損失の可能性を会社として認めることであるため、その資産や業務に責任を持…

2026年3月5日

経営層に対してサイバーセキュリティ投資を正当化するために最も適したリスク評価手法はどれか。

ROI（投資対効果）を判断する経営層には、リスクの影響額と対策コストを数値（金額）で比較できる定量的評…

2026年3月5日

自社独自のITリスク管理フレームワークを構築する際、既存の標準（NIST, ISO等）を参照する利点は何か。

国際標準を参照することで、必要な要素の漏れを防ぎ、監査人や顧客に対して客観的な信頼性を説明しやすく…

2026年3月5日

変更管理プロセスにおいて、事後モニタリングで重点的に確認すべき事項はどれか。

計画・承認された通りの変更が行われたかを確認することで、未承認の変更や作業ミスによるリスクを検知す…

2026年3月5日

DLP（情報漏洩防止）ソリューション導入時の最大の課題は通常何か。

どのデータが保護すべき「機密」なのかが定義・タグ付けされていなければ、DLPツールは適切に遮断や警告を…

2026年3月5日

BCP（事業継続計画）のテストにおいて、実際の業務を中断せず、かつ実効性を確認できる手法はどれか。

シナリオに基づき関係者が対応手順を議論する机上演習は、業務への影響を与えずに計画の不備や役割分担を…

2026年3月5日

サプライチェーンの「第2層（Tier 2）」以降の供給者リスクを識別する難しさは何に起因するか。

直接取引のない下位サプライヤーの情報は入手困難であり、そこでの障害が連鎖的に自社に波及するリスク（…

2026年3月5日

GDPRやCCPAなどのプライバシー規制変更に対応するための最良のアプローチはどれか。

どのような個人情報をどこで処理しているかを常に把握（データマッピング）しておけば、規制要件が変わっ…

2026年3月5日

SIEM（セキュリティ情報イベント管理）導入時に「偽陽性（False Positive）」が多い場合の弊害はどれか。

過剰な誤検知は運用担当者の注意力を削ぎ、本当に対応すべき重大なインシデントを見逃す原因となる。

2026年3月5日