Skip to content

Domain 1 Playbook

Scope

  • Domain: Security and Risk Management
  • Dataset: data/cissp/domains/domain-1.json
  • Items: 366

出題の型

TypeTypical PromptWinning Pattern
法令順守規制要件を満たす最初の行動要件確認→ギャップ特定→統制化
契約/SLA契約違反リスクの低減条項確認→責任分界→エスカレーション
経営報告上級管理職へ何を報告すべきか影響/リスク/意思決定事項を優先
倫理倫理規定に沿うべき行動公正性・説明責任・利益相反回避
統制設計不正防止/検知を高める方法SoD/ローテーション/監査証跡

Manager Brain Switch(最重要)

NG: Engineer-first

  • まず技術対策を選ぶ
  • まず封じ込めだけを優先する
  • 局所システム最適を狙う

OK: Manager-first

  • まず責任主体と意思決定権限を確認
  • まず順守義務(法令/契約)を確認
  • まず再現可能な統制フローを選ぶ

まず見る判断軸

  1. 法令・規制・契約に直結するか
  2. 監査証跡を残せるか
  3. リスク評価を経ているか
  4. 組織として運用可能か

正解に寄せるルール

Rule IDRule
D1-R1first は評価・確認・報告ライン確立を優先
D1-R2ルール未確認での即時変更は避ける
D1-R3技術策単体より、ポリシー/プロセス一体の選択肢を優先
D1-R4利益相反は独立性確保(役割分離)で処理
D1-R5経営報告は技術詳細より事業影響と意思決定事項
D1-R6第三者利用はデューデリジェンスを先に行う

誤答トラップ

  • 早く見えるがガバナンス不在の選択肢
  • 正論だが「順序」が間違っている選択肢
  • 技術的に正しいが法令/契約を無視する選択肢

30秒解法フロー

  1. キーワードで論点を固定(法/契約/倫理/リスク)
  2. first なら「確認→評価→報告」を最優先
  3. 責任主体が曖昧な選択肢を除外
  4. 最後に技術案を比較

典型ミス

MistakeFix
技術的に強い選択肢を即採用まず順守・責任・証跡を確認
事後対応を許容初動で評価と統制化を実施
個人判断で完結承認・報告・記録をセット化

Coach Focus(D1重点)

  1. 主語の宣言(Board/CISO/Manager)
  2. first の順序固定(確認 -> 評価 -> 報告)
  3. Defensible(監査可能・説明可能)で最終比較
  4. 技術案は最後に評価

KPI(D1運用)

KPITarget
D1 first 問題 正答率75%以上
主語誤認率10%未満
手順逆転率10%未満
1問理由説明成功率85%以上

Next

  • Domain 1 の366問からルール適合率を測定
  • 例外パターンを 02-global-traps.md へ昇格
  • D1専用演習は trainer-07-d1-manager-brain-lab.md を使用