HOME
Lv032

「Lv032」の記事一覧

「リスクレジスタ」の維持管理における最も重要な原則はどれか。

リスクは動的であるため、常に現状を反映していなければ管理の道具として機能しない。

2026年3月13日

クラウド環境（IaaS）において、仮想マシンのOSにパッチを適用する責任は誰にあるか。

IaaSではインフラのみが提供され、その上のOS、アプリ、データは顧客の責任範囲となる。

2026年3月13日

CISOの報告ラインが「最高財務責任者（CFO）」のみである場合の潜在的なリスクはどれか。

セキュリティを戦略的投資ではなく「単なるコスト」と見なされるのを防ぐため、CEO等への報告が望ましい。

2026年3月13日

物理セキュリティにおいて、一人の認証で複数が同時に入室する「ピギーバッキング」を防ぐ最も効果的な対策はどれか。

物理的な障壁により、一人ずつしか通過できない仕組みを導入することが最も確実である。

2026年3月13日

ビジネス継続計画（BCP）のテストのうち、実際の業務環境を代替サイトに切り替える「フル中断テスト」の最大の欠点はどれか。

非常に現実的だがリスクが高いため、十分な準備とバックアッププランが必須となる。

2026年3月13日

セキュリティ・メトリクスの「有効性」を判断する最も重要な基準はどれか。

単なる数字の羅列ではなく、次の行動（改善や投資）を導き出せる指標でなければならない。

2026年3月13日

固有リスク（Inherent Risk）が高いが、法的義務により業務を中止できない場合、どのリスク戦略を取るべきか。

業務をやめられない以上、可能な限り対策を講じてリスクを許容範囲内に抑え込む必要がある。

2026年3月13日

デジタルフォレンジックにおいて、データの「完全性（Integrity）」を保証するために算出されるものはどれか。

取得時と解析時でハッシュ値が一致すれば、証拠が一切改ざんされていないことを証明できる。

2026年3月13日

「第3パーティリスク」の管理において、契約に「監査権（Right to Audit）」を含める主な理由はどれか。

委託先の主張を鵜呑みにせず、事実を確認する手段を確保しておくことがガバナンス上重要である。

2026年3月13日

アイデンティティ管理において「ジャストインタイム（JIT）アクセス」が推奨される理由はどれか。

必要な時だけ権限を有効にすることで、特権IDの侵害リスクを大幅に低減できる。

2026年3月13日