HOME
ISACA CISM (公認情報セキュリティマネージャー)

「ISACA CISM (公認情報セキュリティマネージャー)」の記事一覧

ビジネスインパクト分析（BIA）において特定される「MTPD（最大許容中断時間）」とは何か。

MTPDは、その時間内に復旧できなければ組織が破綻しかねない「デッドライン」を指す。

2026年3月13日

セキュリティプログラムの評価指標として「偽陽性（False Positive）率」を監視する主な理由はどれか。

誤検知が多いと、本物の攻撃を見逃すリスクや運用チームの疲弊を招くため、改善が必要である。

2026年3月13日

「特権アクセス管理（PAM）」における「チェックアウト方式」の利点はどれか。

必要な時だけ権限を貸し出すことで、特権IDの常時開放によるリスクを最小化できる。

2026年3月13日

情報セキュリティポリシーの例外（Exception）管理において最も重要なことはどれか。

例外を認める場合は、リスクを評価した上で正式に承認し、定期的に見直す必要がある。

2026年3月13日

定性的リスク評価の結果として、リスクが「高」と判定された場合の標準的な対応はどれか。

許容できないリスクに対しては、優先的に低減策を講じるのがリスクマネジメントの基本である。

2026年3月13日

職務分離（SoD）の導入が困難な小規模組織において、リスクを軽減するための補完的なコントロールはどれか。

分離ができない場合は、事後的な監視を強化することで不正や誤謬を検知する体制を整える。

2026年3月13日

インシデント対応計画（IRP）における「エスカレーション」の主な目的はどれか。

事態の深刻度に応じて、必要な意思決定ができる層に情報を吸い上げることが重要である。

2026年3月13日

情報セキュリティ戦略の成功を確実にするために、最も重要な前提条件はどれか。

経営陣のコミットメントがなければ、必要なリソースの確保や組織的な変革は達成できない。

2026年3月13日

リスク評価において、脅威の発生可能性（Likelihood）を決定する際に考慮すべき要素はどれか。

発生可能性は、攻撃しようとする主体の能力と、それを許してしまう弱点の有無に依存する。

2026年3月13日

「リスクベースの監査」とは何を優先的に監査する手法か。

限られた監査リソースを、最も大きな脅威や脆弱性が潜む箇所に集中させる。

2026年3月13日