HOME
Lv035

「Lv035」の記事一覧

リスクアセスメントにおいて「脅威」と「脆弱性」のどちらを重視すべきか、という議論に対するCISOの適切な見解はどれか。

天気（脅威）は変えられないが、家の屋根（脆弱性）は修理できる。コントロール可能な部分にリソースを割…

2026年3月5日

CISOが「セキュリティ予算のROI」を問われた時、財務的なリターン以外で強調すべき「価値」はどれか。

セキュリティは「守り」だけでなく、デジタルトランスフォーメーションや新規事業への参入を可能にする「…

2026年3月5日

インシデント対応の「事後分析（Post-Mortem）」において、再発防止策として「担当者の再教育」だけで終わらせてはいけない理由はどれか。

「注意不足」で片付けるのは思考停止。なぜ注意しなくても間違えない仕組みにしなかったのか、という仕組…

2026年3月5日

Infrastructure as Code (IaC) を採用することで実現できる「セキュリティ・バイ・デザイン」の具体例はどれか。

人間が手動で設定すると忘れるセキュリティ項目を、テンプレート（設計図）の時点で標準装備にしておくこ…

2026年3月5日

定量的リスク分析における「モンテカルロ法」が、単一のシナリオ分析よりも優れている点はどれか。

「最悪の場合」と「通常の場合」の間のあらゆる可能性をシミュレーションし、「95%の確率で損失はX円以下…

2026年3月5日

セキュリティポリシーの「例外」を認める際、必ず設定すべき条件はどれか。

「ルールを守らなくていい」のではなく、「別の方法でリスクを抑える（代替策）」ことを条件とし、かつ「…

2026年3月5日

デジタルフォレンジックにおいて、調査対象のPCをネットワークから切断する際、LANケーブルを抜くのとWi-Fiをオフにするのではどちらが先か、またその理由は。

有線を抜いても無線が繋がっていれば攻撃者は侵入を継続できる。無線は遠隔操作のリスクが高いため、即座…

2026年3月5日

APIセキュリティにおける「マスパラメータ割り当て（Mass Assignment）」脆弱性とは何か。

ユーザーが送ってきた `{"isAdmin": true}` というデータをそのまま保存してしまい、一般ユーザーが管理者…

2026年3月5日

リスク対応計画において、コントロールの実装コストが予想損失額を上回る場合に正当化される理由はどれか。

経済合理性（ROI）だけで判断してはいけない領域があり、法律違反や人命事故は「金銭に代えられない」絶対…

2026年3月5日

CISOが取締役会に報告する際、「技術的な脆弱性の数」ではなく「ビジネスリスクのヒートマップ」を使うべき理由はどれか。

経営層の関心事は「どのリスクが会社を潰すか」であり、パッチの未適用数ではなく、それが招くビジネスイ…

2026年3月5日