Appearance
Domain 1 Playbook
Scope
- Domain: Security and Risk Management
- Dataset:
data/cissp/domains/domain-1.json - Items: 366
出題の型
| Type | Typical Prompt | Winning Pattern |
|---|---|---|
| 法令順守 | 規制要件を満たす最初の行動 | 要件確認→ギャップ特定→統制化 |
| 契約/SLA | 契約違反リスクの低減 | 条項確認→責任分界→エスカレーション |
| 経営報告 | 上級管理職へ何を報告すべきか | 影響/リスク/意思決定事項を優先 |
| 倫理 | 倫理規定に沿うべき行動 | 公正性・説明責任・利益相反回避 |
| 統制設計 | 不正防止/検知を高める方法 | SoD/ローテーション/監査証跡 |
Manager Brain Switch(最重要)
NG: Engineer-first
- まず技術対策を選ぶ
- まず封じ込めだけを優先する
- 局所システム最適を狙う
OK: Manager-first
- まず責任主体と意思決定権限を確認
- まず順守義務(法令/契約)を確認
- まず再現可能な統制フローを選ぶ
まず見る判断軸
- 法令・規制・契約に直結するか
- 監査証跡を残せるか
- リスク評価を経ているか
- 組織として運用可能か
正解に寄せるルール
| Rule ID | Rule |
|---|---|
| D1-R1 | first は評価・確認・報告ライン確立を優先 |
| D1-R2 | ルール未確認での即時変更は避ける |
| D1-R3 | 技術策単体より、ポリシー/プロセス一体の選択肢を優先 |
| D1-R4 | 利益相反は独立性確保(役割分離)で処理 |
| D1-R5 | 経営報告は技術詳細より事業影響と意思決定事項 |
| D1-R6 | 第三者利用はデューデリジェンスを先に行う |
誤答トラップ
- 早く見えるがガバナンス不在の選択肢
- 正論だが「順序」が間違っている選択肢
- 技術的に正しいが法令/契約を無視する選択肢
30秒解法フロー
- キーワードで論点を固定(法/契約/倫理/リスク)
firstなら「確認→評価→報告」を最優先- 責任主体が曖昧な選択肢を除外
- 最後に技術案を比較
典型ミス
| Mistake | Fix |
|---|---|
| 技術的に強い選択肢を即採用 | まず順守・責任・証跡を確認 |
| 事後対応を許容 | 初動で評価と統制化を実施 |
| 個人判断で完結 | 承認・報告・記録をセット化 |
Coach Focus(D1重点)
- 主語の宣言(Board/CISO/Manager)
firstの順序固定(確認 -> 評価 -> 報告)- Defensible(監査可能・説明可能)で最終比較
- 技術案は最後に評価
KPI(D1運用)
| KPI | Target |
|---|---|
D1 first 問題 正答率 | 75%以上 |
| 主語誤認率 | 10%未満 |
| 手順逆転率 | 10%未満 |
| 1問理由説明成功率 | 85%以上 |
Next
- Domain 1 の366問からルール適合率を測定
- 例外パターンを
02-global-traps.mdへ昇格 - D1専用演習は
trainer-07-d1-manager-brain-lab.mdを使用