HOME
Lv032

「Lv032」の記事一覧

「ブラック・スワン（予測不能）」と「グレー・リノ（予測可能だが無視）」の違いを踏まえたリスク対応の違いはどれか。

見えている巨大リスク（サイ）には正面から対策を打ち、見えないリスク（白鳥）には何が起きても耐えられ…

2026年3月5日

インシデントの「深刻度（Severity）」判定マトリクスを事前に定義しておく最大の利点はどれか。

担当者の主観で「これは大したことない」と判断して報告が遅れるのを防ぎ、基準に合致したら自動的に緊急…

2026年3月5日

ROSI（セキュリティ投資対効果）を計算する際、「回避できた損失額」をどのように見積もるか。

対策を入れなかった場合の予想損失（ALE）から、対策を入れた後の予想損失（mALE）を引いた差額が、その対…

2026年3月5日

CSA（Control Self-Assessment：統制自己評価）を導入する主なメリットはどれか。

監査人に指摘されるのではなく、現場が自ら「ここが危ない」と気づき報告するプロセスを作ることで、リス…

2026年3月5日

マイクロサービス間の認証に「mTLS（相互TLS）」を採用する理由はどれか。

「誰でも接続できる」状態を排除し、許可されたサービス同士しか通信できない強力なゼロトラストネットワ…

2026年3月5日

根本原因分析（RCA）において「石川特性要因図（フィッシュボーンダイアグラム）」を使用する目的はどれか。

「サーバーが落ちた」という結果に対し、ハード故障、手順ミス、空調異常など、多角的な視点で要因を整理…

2026年3月5日

組織のセキュリティ文化を評価する際、アンケート調査だけでなく「行動観察」や「フィッシングテスト」を組み合わせる理由はどれか。

「ルールを知っているか」と「ルールを守っているか」は別。知識だけでなく行動・習慣として定着している…

2026年3月5日

リスク選好（Risk Appetite）声明文が、現場の意思決定に役立つための条件はどれか。

「リスクを適切に管理せよ」だけでは現場は迷う。「何をしても良くて、何をしてはいけないか」の具体的な…

2026年3月5日

CI/CDパイプラインにおける「シークレット管理（Secret Management）」のベストプラクティスはどれか。

コード内にハードコードされたパスワードは、リポジトリへのアクセス権を持つ全員（および攻撃者）に見え…

2026年3月5日

複数のコンプライアンス要件（GDPR、PCI DSS、ISO等）がある場合、「統合コントロールフレームワーク（Unified Control Framework）」を作成するメリットはどれか。

バラバラに対応すると現場は同じような監査を何度も受けて疲弊する。共通項をまとめて「一度の対応で全部…

2026年3月5日