HOMELv020 セキュリティプログラムの「成熟度」を評価する際、CMMIなどのモデルを使用する限界はどれか。 2026年3月5日 「手順書がある(形式知)」ことと「実戦で使える(暗黙知・能力)」ことは別であり、形式的な成熟度が高いだけで安心するのは危険である。 インシデント対応計画において、外部機関(警察や規制当局)への通報タイミングを事前に定めておく理由はどれか。 リスク転嫁(保険など)を行った後でも、組織に残るリスクは何か。
