Skip to content

Domain 7 Playbook

Scope

  • Domain: Security Operations
  • Dataset: data/cissp/domains/domain-7.json
  • Items: 186

出題の型

TypeTypical PromptWinning Pattern
インシデント対応最初に何をするか安全確保 -> 証拠保全 -> 封じ込め
監視運用何を優先監視するかリスクベースでユースケース設計
バックアップ/復旧どの復旧戦略を選ぶかRTO/RPOと事業影響の整合
フォレンジック何を守るべきかChain of Custody を維持
SOC運用どの運用改善が有効か標準手順とエスカレーション明確化

High-Signal Keywords (from 186 items)

TermPresence
バックアップ220
復旧204
インシデント200
DR156
運用121
監視71
証拠32

Mindset

NG: Fix-first

  • 先に再起動・削除・修復を行う
  • 証跡や報告を後回しにする

OK: Operation-first

  • まず安全と証拠を守る
  • 次に封じ込めと影響評価
  • 復旧はRTO/RPOと承認に沿って実施

正解に寄せるルール

Rule IDRule
D7-R1first は証拠保全とエスカレーションを優先
D7-R2封じ込めは事業影響と安全性を同時評価
D7-R3復旧方式はRTO/RPOと整合するものを選ぶ
D7-R4運用判断はRunbook準拠で標準化
D7-R5事後レビューで再発防止まで閉じる

誤答トラップ

  • 「証拠を取る前にシステム初期化」
  • 「通知なしで単独対応」
  • 「復旧速度だけで戦略選定」
  • 「監視アラートを都度手作業で処理」

30秒解法フロー

  1. 人命/安全・証拠・業務影響の順で確認
  2. 初動(保全・報告・封じ込め)を満たす選択肢を残す
  3. 復旧はRTO/RPO適合で比較
  4. 標準運用に戻せない案を除外

典型ミス

MistakeFix
復旧を急いで証拠破壊Chain of Custody を先に確保
IRとDRの混同目的(被害抑止/業務復旧)で分離
SOC運用が属人化Runbook と閾値を定義