HOME
Lv034

「Lv034」の記事一覧

「職務分離（SoD）」が物理的に不可能な小さな組織において、最も推奨される「代償コントロール」はどれか。

一人で完結する作業を事後的にチェックする仕組みを作ることで、抑止と検知を図る。

2026年3月13日

リスクオーナーがリスクを「受容」した際、情報セキュリティマネージャーが行うべき活動はどれか。

受容は永続的なものではなく、条件が変われば再評価が必要となるため、正式な記録が不可欠である。

2026年3月13日

フォレンジック調査の「証拠保全」フェーズで、元のメディアを直接操作してはならない理由はどれか。

完全なクローン（イメージ）を作成し、そちらを解析することで元の証拠の同一性を保つ必要がある。

2026年3月13日

セキュリティポリシー、スタンダード、プロシージャのうち、組織の「全体的な目標と方向性」を示すのはどれか。

ポリシーは経営陣の意思を示す高レベルな文書であり、他のすべての下位基準の根拠となる。

2026年3月13日

リスク評価において「シナリオベースの評価」を採用するメリットはどれか。

単なるスコアだけでなく、実際のビジネス現場での「最悪の事態」を可視化し、対策の議論を深められる。

2026年3月13日

「継続的な脆弱性管理」プログラムにおいて、スキャン後の修復（パッチ適用）の優先順位を決める基準はどれか。

影響が大きく、かつ実際に攻撃されるリスクが高いものから優先的に対処するのが効率的である。

2026年3月13日

情報セキュリティ戦略が「アジャイル（機敏）」であるべき主な理由はどれか。

固定的な戦略はすぐに陳腐化するため、状況に合わせて柔軟に修正・実行できる能力が求められる。

2026年3月13日

「最小権限の原則」をアイデンティティ管理において実装するための最良の方法はどれか。

役割（ロール）ごとに必要最小限の権限をパッケージ化し、適切に割り当てることで管理負荷とリスクを両立…

2026年3月13日

インシデント対応後の「事後報告書」に含めるべき、経営陣にとって最も重要な情報はどれか。

事象の概要、実害、そして二度と同じことが起きないための対策の有効性を伝える必要がある。

2026年3月13日

「サプライチェーン・リスク管理」において、SBOM（ソフトウェア部品表）が果たす役割はどれか。

自社開発以外の部品（OSS等）に脆弱性が見つかった際の、影響範囲の特定を迅速化する。

2026年3月13日