HOME
Lv028

「Lv028」の記事一覧

「リスクの受容」を承認する権限を持つのは誰か。

CISOはアドバイザーであり、実際に「損害が出ても責任を取る」と腹を括れるのは、そのビジネスの責任者（…

2026年3月5日

インシデント対応における「復旧（Recovery）」フェーズの開始判断基準として正しいものはどれか。

根絶（ウイルスの除去や穴埋め）が終わっていないのにシステムを再開すると、またすぐに同じ穴から侵入さ…

2026年3月5日

CISOの報告ラインとして、CIO（最高情報責任者）の直下であることが推奨されないケースが多いのはなぜか。

「納期優先でリリースしたいCIO」と「危険だから止めたいCISO」が対立した時、CISOが部下だと意見が通らな…

2026年3月5日

「シフトレフト」の概念をテスト工程だけでなく、要件定義工程に適用する（脅威モデリング等）意義はどれか。

バグ修正コストは後工程になるほど指数関数的に跳ね上がるため、紙の上の段階で問題を潰すことが経済的に…

2026年3月5日

リスク登録簿（Risk Register）に記載すべきではない情報はどれか。

リスク登録簿自体が攻撃者にとって「宝の地図」になるため、閲覧制限をかけるとともに、過度に詳細な攻撃…

2026年3月5日

「コンプライアンス（法令遵守）」と「セキュリティ（安全確保）」が一致しない例はどれか。

ルール（コンプライアンス）が時代の変化や最新の脅威実態に追いついていない場合があり、形式的な遵守が…

2026年3月5日

大規模インシデント発生時、CEOがメディアに対して「技術的な詳細」を語るべきでない理由はどれか。

トップは「真摯に取り組んでいる姿勢」と「顧客へのケア」を語るべきで、技術的詳細はCISOや広報の管理下…

2026年3月5日

オープンソース（OSS）の脆弱性管理において、CVSSスコア（深刻度）だけで優先順位を決めるべきでない理由はどれか。

CVSSが9.8（緊急）でも、イントラネットの奥深くで、該当機能が無効化されていればリスクは低い。コンテキ…

2026年3月5日

定量リスク分析において「期待値」を使用することの限界はどれか。

期待値（平均）だけで判断すると、滅多に起きないが起きたら即死するような壊滅的リスク（テールリスク）…

2026年3月5日

「情報セキュリティ」と「サイバーセキュリティ」の定義上の主な違いはどれか。

CISMは「情報セキュリティ」マネージャーなので、デジタルデータだけでなく、机の上に放置された重要書類…

2026年3月5日