HOME
Lv029

「Lv029」の記事一覧

定性的リスク評価において、リスクランキングを作成する主な目的はどれか。

予算も人も有限であるため、「どれから手を付けるべきか」を決めるために、相対的な順位付け（ランキング…

2026年3月5日

内部監査部門の独立性を確保するために、CISOが避けるべき関係性はどれか。

被監査側であるCISOが監査人の人事権や財布を握っていると、監査人が手心を加えてしまい、公正な評価がで…

2026年3月5日

インシデント対応中に収集した証拠データのハッシュ値（MD5/SHA256）を取得する目的はどれか。

ハッシュ値が変わっていなければデータが変更されていない証明になり、裁判等での証拠能力が維持される。

2026年3月5日

「コントロールリスク」とは何か。

対策を導入しても、それが正しく運用されていなかったり、迂回可能だったりする場合に残る「対策自体の失…

2026年3月5日

Webアプリケーションファイアウォール（WAF）を「ブロッキングモード」で運用する際の最大のリスクと、その緩和策はどれか。

いきなり遮断モードにすると、通常のビジネス取引を攻撃と誤認して止めてしまう（可用性の侵害）恐れがあ…

2026年3月5日

インシデント対応において、SIEM（Security Information and Event Management）が提供する主要な価値はどれか。

ファイアウォールやサーバーなど個別のログだけでは気づかない攻撃（ログイン失敗＋DBアクセスなど）を、…

2026年3月5日

グローバル企業におけるデータプライバシーコンプライアンスで、データローカライゼーション規制への対応策はどれか。

特定の国（中国、ロシア、EUの一部等）では、国民のデータを国内サーバーに保存することを義務付けており…

2026年3月5日

アイデンティティガバナンス（IGA）において「再棚卸し（Recertification）」プロセスが必要な主な理由はどれか。

「一度与えた権限がずっと残る」ことが内部不正や侵害拡大の主因となるため、定期的にマネージャーが権限…

2026年3月5日

KRI（重要リスク指標）の効果的な運用において、トリガー（閾値）設定が果たす役割はどれか。

インシデントが起きてから動くのではなく、危険水域に近づいた時点でアラートを出し、許容範囲内にとどめ…

2026年3月5日

情報セキュリティガバナンスにおける「バリューデリバリー（価値提供）」を最適化するために、最も重視すべき活動はどれか。

セキュリティはコストセンターではなく、ビジネス価値を生み出す（または価値毀損を防ぐ）機能であること…

2026年3月5日