HOME
Lv035

「Lv035」の記事一覧

企業の合併・買収（M&A）において、買収側のCISOが最初に実施すべきセキュリティ活動はどれか。

相手組織が抱える潜在的なリスク（負債）を事前に把握し、統合コストやリスクを評価する必要がある。

2026年3月13日

アイデンティティ管理における「多要素認証（MFA）」で、利便性とセキュリティを両立させる「適応型認証」とは何か。

低リスク時は簡便に、不審なアクセス時は厳格に、状況に応じて認証の強さを変える。

2026年3月13日

インシデント対応後の「証拠保全」において、証拠メディアの有効期限（寿命）を管理すべき理由はどれか。

法的な訴訟は何年も続く場合があるため、その間証拠が物理的に維持される必要がある。

2026年3月13日

「リスクの集約（Risk Aggregation）」を評価する際に考慮すべきことはどれか。

リスクは独立して存在するだけでなく、連鎖したり積み重なったりすることで巨大化する性質を持つ。

2026年3月13日

情報セキュリティプログラムの「価値」を経営陣に証明するために、最も適した報告内容はどれか。

経営陣が関心を持つのは「技術的な数字」ではなく「ビジネス的な価値」である。

2026年3月13日

コンプライアンス・アズ・コード（Compliance as Code）を採用する主な目的はどれか。

手動のチェックを廃止し、コードによってリアルタイムかつ一貫したコンプライアンス遵守を実現する。

2026年3月13日

「脅威ハンティング」と従来の「アラート監視」の最大の違いはどれか。

アラートを待つ受動的な姿勢ではなく、すでに侵入されているという前提で積極的に探し出す活動である。

2026年3月13日

「第4パーティ（委託先の再委託先）リスク」への対応において、顧客組織ができる最も効果的なことはどれか。

直接管理できない相手に対しては、契約関係にある委託先を通じてガバナンスを効かせる必要がある。

2026年3月13日

CISO（最高情報セキュリティ責任者）が、経営層とのコミュニケーションで「恐怖、不確実性、疑念（FUD）」を煽るべきではない理由はどれか。

事実に基づかない過度な脅しは「オオカミ少年」となり、真に重要な局面で聞き入れられなくなる。

2026年3月13日

事業継続計画（BCP）において「代替サイト」への切り替えタイミングを定義する際に最も考慮すべき指標はどれか。

ビジネスが破綻する限界（MTPD）の前に、サービスを復旧（RTO）させる計画でなければならない。

2026年3月13日