HOME
Lv038

「Lv038」の記事一覧

「シナリオベース」のリスク評価において、シナリオを作成する際に最も参照すべき情報はどれか。

「現実に起きていること（敵の手口）」と「自社の大事なもの」を掛け合わせることで、空想ではないリアリ…

2026年3月5日

ランサムウェア対応において、経営層が「身代金を支払う」という決断を下す際の、最大の法的リスクはどれか。

お金の問題だけでなく、「テロリストに資金提供した企業」として法的制裁と社会的信用の失墜を招くリスク…

2026年3月5日

CISOが「セキュリティ人材の不足」を解決するために、外部リソース（MSSP等）を活用する際の戦略的な判断基準はどれか。

「監視の目」は外注できても、「リスクの判断」は外注できない。社内人材を疲弊させる単純作業を外に出し…

2026年3月5日

リスクの「集約（Aggregation）」を行う際、異なる種類のリスク（例：サイバーリスクと地政学リスク）を統合的に評価する手法はどれか。

「サイバーで1億損する」のと「戦争で1億損する」のは、財務的には同じ「1億の損失」。共通言語（お金）に…

2026年3月5日

APIのエンドポイントにおいて、認証済みのユーザーでも他人のリソースにアクセスできてしまう脆弱性（BOLA/IDOR）を防ぐ根本対策はどれか。

「鍵を持っているか（認証）」だけでなく、「その鍵でこの部屋に入っていいか（認可）」を毎回チェックす…

2026年3月5日

「セキュリティバイデザイン」を組織文化として定着させるための、最も強力なドライバー（推進力）はどれか。

精神論ではなく、プロセスに組み込む。「セキュリティをやらないと仕事が終わらない」環境を作るのが一番…

2026年3月5日

サプライチェーンセキュリティにおける「SBOM（ソフトウェア部品表）」の導入が、脆弱性対応プロセス（MTTR）を短縮する理由はどれか。

「どこに使ってるかわからないから全調査」という時間をゼロにする。地図（SBOM）があれば、患部をピンポ…

2026年3月5日

インシデント対応の「教訓（Lessons Learned）」フェーズで、最も重視すべきアウトプットはどれか。

「反省しました」ではなく、「来週までにファイアウォールの設定をこう変えます」という具体的なコミット…

2026年3月5日

「KRI（重要リスク指標）」が有効に機能していない（形骸化している）兆候はどれか。

アラートが鳴っているのに無視されるなら、それはアラートではない（または指標の設定が間違っている）。K…

2026年3月5日

CISOが「ビジネス部門との信頼関係」を築くために、着任後最初に行うべき最も効果的なアクションはどれか。

「自分の話（セキュリティ）」をする前に「相手の話（ビジネス）」を聞く。相手のゴールを理解して初めて…

2026年3月5日