HOME
Lv040

「Lv040」の記事一覧

インシデント管理において、インシデントの「優先度（Priority）」を決定する2つの要素はどれか。

優先度は、「ビジネスへのダメージの大きさ（影響度）」と「どれくらい急いで対応しないと悪化するか（緊…

2026年3月5日

IPS（侵入防御システム）を導入する際、誤検知（False Positive）により正常な通信を遮断してしまうリスク（可用性への影響）を軽減する運用方法はどれか。

いきなり遮断モードにすると業務停止のリスクがあるため、まずは監視のみ行い、トラフィックの傾向を学習…

2026年3月5日

入力データ検証における「チェックディジット」の限界はどれか。

チェックディジットはあくまで「入力時のうっかりミス」を見つけるためのものであり、不正なデータの混入…

2026年3月5日

フォローアップ監査において、以前指摘した不備が「部分的にしか改善されていない」と判明した場合の対応はどれか。

改善が不完全な場合、リスクが依然として組織の許容度を超えている可能性があるため、現状を正確に報告し…

2026年3月5日

小規模なIT組織において、開発担当者が本番移行も行わざるを得ない場合（SoDの欠如）の補完的統制はどれか。

物理的な人員不足で予防的統制（分離）ができない場合は、発見的統制（ログ監視）を強化してリスクを軽減…

2026年3月5日

ソースコード管理システム（Git等）における「ブランチ戦略」の監査上の重要ポイントはどれか。

本番コードの品質とセキュリティを保つため、直接変更を禁止し、第三者の目を通したコードレビューと承認…

2026年3月5日

データベースの「正規化（Normalization）」がセキュリティと整合性に寄与する理由はどれか。

正規化は冗長性をなくすため、データ修正時に一箇所直せばすべてに反映されるようになり、データの矛盾が…

2026年3月5日

生体認証システムの導入時、セキュリティを重視して「本人拒否率（FRR）」を高く設定しすぎた場合の弊害はどれか。

FRR（誤って本人を拒否する率）とFAR（誤って他人を受け入れる率）はトレードオフの関係にあり、厳しすぎ…

2026年3月5日

CSA（Control Self-Assessment）において、監査人が「オブザーバー」ではなく「ファシリテーター」として振る舞うことの効果はどれか。

CSAの成功は、現場が自らリスクに気づき改善することにあるため、監査人は指導するのではなく、対話を促進…

2026年3月5日

リスクマネジメントにおける「リスクアペタイト（選好）」の定義はどれか。

リスクアペタイトは「どの程度のリスクなら取ってよいか（攻めの姿勢）」を示し、リスク許容度（守りの限…

2026年3月5日