HOME
Lv013

「Lv013」の記事一覧

「継続的モニタリング（Continuous Monitoring）」戦略が、従来の「3年に1度の監査」より優れている点はどれか。

リスク環境は日々変化するため、静的な定点観測ではなく、常時監視によって異常やコンプライアンス違反を…

2026年3月5日

ROSI（Return on Security Investment）の算出が本質的に難しい理由はどれか。

「攻撃を防いだことでいくら得をしたか」という仮定の損失回避額を証明するのが難しいため、定性的な価値…

2026年3月5日

APIの脆弱性「BOLA（Broken Object Level Authorization）」とはどのようなものか。

APIエンドポイントが、リクエストされたリソースIDへのアクセス権限をユーザーごとに正しく検証していない…

2026年3月5日

ISAC（Information Sharing and Analysis Center）に参加し、インシデント情報を共有する主な利点はどれか。

同業他社への攻撃は自社への攻撃の前兆である可能性が高く、情報を共有することで「明日は我が身」として…

2026年3月5日

限られたセキュリティ予算を配分する際、最も論理的かつ効果的な手法はどれか。

すべてのリスクには対応できないため、ビジネスへのインパクトと脅威の蓋然性を分析し、投資対効果が最大…

2026年3月5日

リスク評価における「正常性バイアス」の影響はどれか。

災害やインシデントの初期段階で逃げ遅れや対応の遅れを招く心理的要因であり、客観的なデータや訓練によ…

2026年3月5日

ソフトウェアサプライチェーンセキュリティにおけるSLSA（Salsa）フレームワークの目的はどれか。

Source Levels for Software Artifacts (SLSA) は、ソースからビルド、パッケージまでの各工程がどれだけ…

2026年3月5日

インシデント対応中に法務部門から「リティゲーションホールド（訴訟保全通知）」が出された場合の意味はどれか。

将来の訴訟に備えて証拠隠滅とみなされないよう、通常のデータ廃棄サイクルを停止し、現状を凍結保存する…

2026年3月5日

リスクオーナー（Risk Owner）がリスク対応を適切に実行しない場合の、ガバナンス上の解決策はどれか。

リスク受容や対応の判断権限を持つ者が、その結果責任も負う構造にしなければ、真剣なリスク管理は行われ…

2026年3月5日

エンタープライズアーキテクチャ（EA）とセキュリティアーキテクチャを統合する最大のメリットはどれか。

ビジネス、データ、アプリ、技術の各層でセキュリティが標準化されることで、後付けの継ぎ接ぎ対策を排除…

2026年3月5日