HOME
Lv023

「Lv023」の記事一覧

BCPにおいて、代替サイトへの切り替え判断（宣言）が遅れることによる最大のリスクは何か。

「誤報だったらどうしよう」と迷っている間に時間は過ぎ、復旧リミットに間に合わなくなる。判断基準（ト…

2026年3月5日

リスク評価結果を「受容」「回避」「転嫁」「低減」に分類した後、最終的に残るリスクを何と呼ぶか。

あらゆる対策を講じた後に、それでもゼロにならずに残っているリスクのことであり、これを経営層が受容で…

2026年3月5日

外部委託先（サプライヤー）が再委託（Subcontracting）を行う際に、発注元として課すべき条件はどれか。

知らない間にセキュリティレベルの低い業者にデータが渡るのを防ぐため、再委託を管理下（承認制または契…

2026年3月5日

IoT環境において「ファームウェアの改ざん」リスクを識別するために有効な機能はどれか。

デバイス起動時に、ファームウェアのデジタル署名をハードウェア（Root of Trust）が検証し、改ざんされて…

2026年3月5日

データベースの暗号化において、「TDE（透過的データ暗号化）」が防御できる脅威と防御できない脅威はどれか。

TDEはストレージ上のファイルを暗号化するものであり、データベースエンジン経由で正規にアクセスされた場…

2026年3月5日

「カオスエンジニアリング」を導入するのに適した組織の成熟度レベルはどれか。

基礎体力がない組織でわざと障害を起こすと、単にシステムが壊れて復旧できなくなるだけなので、ある程度…

2026年3月5日

「コントロールの費用対効果」を評価する際、導入コスト以外に考慮すべき「隠れたコスト」はどれか。

ツールを買う費用だけでなく、それを維持するための手間や、セキュリティ強化によって業務が面倒になるこ…

2026年3月5日

ゼロデイ攻撃への対応として、パッチがない期間（Vulnerability Window）に行う「緩和策」の例はどれか。

根本治療（パッチ）がない間は、攻撃コードが届かないようにする、あるいは攻撃が成功しても影響が出ない…

2026年3月5日

シャドーITを公式に認める（サンクションIT化する）プロセスにおいて必要なアクションはどれか。

有用なツールであれば、単に禁止するのではなく、企業として安全に使える状態（SSO連携、ログ取得等）に整…

2026年3月5日

ウェブアプリケーションにおける「XSS（クロスサイトスクリプティング）」のリスクとは何か。

脆弱なサイトを閲覧したユーザーのブラウザ内で攻撃者のコードが動き、ユーザーになりすまして操作された…

2026年3月5日