HOME
Lv023

「Lv023」の記事一覧

CISOの評価指標として「MTTD（平均検知時間）の短縮」を設定することの、ガバナンス上の真の目的はどれか。

侵入されてから気づくまでの時間が長ければ長いほど被害は深刻になる。この時間を短くすることは、レジリ…

2026年3月5日

サプライチェーンリスク管理において、Tier 2以降（再委託先）のリスクを可視化するための現実的な手法はどれか。

直接見ることが難しい深層サプライチェーンについては、直接契約者がしっかりと管理しているかを確認する…

2026年3月5日

「脅威ハンティング（Threat Hunting）」が、従来のアラート監視と根本的に異なる点はどれか。

受け身（リアクティブ）ではなく、防御をすり抜けた高度な脅威を自ら探しに行く（プロアクティブ）活動で…

2026年3月5日

「リスクアペタイト（選好）」を定量的に定義する具体例はどれか。

曖昧な言葉ではなく、数値化された閾値を設定することで、現場が「これ以上は対策が必要」「ここは受容し…

2026年3月5日

コンテナセキュリティにおける「ディストロレス（Distroless）」イメージの利点はどれか。

攻撃者に便利なツール（シェルなど）がそもそも存在しないため、侵入後の活動を困難にし、かつ管理すべき…

2026年3月5日

ランサムウェア攻撃における「身代金支払い」の意思決定プロセスで、最も重要なガバナンス上の要件はどれか。

その場の感情や圧力で決めるのではなく、倫理、法律、ビジネス継続性の観点から、事前に合意されたフレー…

2026年3月5日

「三線モデル」において、第一線（現場）のリスク管理能力を高めるための最も効果的な施策はどれか。

「いちいち確認する」手間を省き、CI/CDパイプラインや業務ツールの中で自動的にチェックがかかる仕組みに…

2026年3月5日

定量分析における「モンテカルロ法」が、単純な「予想損失額（ALE）」よりも優れている点はどこか。

「平均値」では見えなくなる「稀だが壊滅的なリスク」の可能性を、確率分布として提示できるため、経営判…

2026年3月5日

SBOM（ソフトウェア部品表）の運用において、VEX（Vulnerability Exploitability eXchange）情報の役割はどれか。

「ライブラリに脆弱性がある」ことと「その製品でその脆弱性が露出している」ことは別。VEXにより「この製…

2026年3月5日

セキュリティ戦略を「ビジネス主導」にするために、CISOが最初に行うべきヒアリング事項はどれか。

技術の話から入るのではなく、ビジネスのゴールを理解し、「そのゴールを達成するためにセキュリティはど…

2026年3月5日