HOMELv035 CISOが取締役会に報告する際、「技術的な脆弱性の数」ではなく「ビジネスリスクのヒートマップ」を使うべき理由はどれか。 2026年3月5日 経営層の関心事は「どのリスクが会社を潰すか」であり、パッチの未適用数ではなく、それが招くビジネスインパクトの大きさを知りたい。 サードパーティリスク管理において、ベンダーの「集中リスク(Concentration Risk)」を評価すべき理由はどれか。 リスク対応計画において、コントロールの実装コストが予想損失額を上回る場合に正当化される理由はどれか。
