Appearance
Domain 7 Playbook
Scope
- Domain: Security Operations
- Dataset:
data/cissp/domains/domain-7.json - Items: 186
出題の型
| Type | Typical Prompt | Winning Pattern |
|---|---|---|
| インシデント対応 | 最初に何をするか | 安全確保 -> 証拠保全 -> 封じ込め |
| 監視運用 | 何を優先監視するか | リスクベースでユースケース設計 |
| バックアップ/復旧 | どの復旧戦略を選ぶか | RTO/RPOと事業影響の整合 |
| フォレンジック | 何を守るべきか | Chain of Custody を維持 |
| SOC運用 | どの運用改善が有効か | 標準手順とエスカレーション明確化 |
High-Signal Keywords (from 186 items)
| Term | Presence |
|---|---|
| バックアップ | 220 |
| 復旧 | 204 |
| インシデント | 200 |
| DR | 156 |
| 運用 | 121 |
| 監視 | 71 |
| 証拠 | 32 |
Mindset
NG: Fix-first
- 先に再起動・削除・修復を行う
- 証跡や報告を後回しにする
OK: Operation-first
- まず安全と証拠を守る
- 次に封じ込めと影響評価
- 復旧はRTO/RPOと承認に沿って実施
正解に寄せるルール
| Rule ID | Rule |
|---|---|
| D7-R1 | first は証拠保全とエスカレーションを優先 |
| D7-R2 | 封じ込めは事業影響と安全性を同時評価 |
| D7-R3 | 復旧方式はRTO/RPOと整合するものを選ぶ |
| D7-R4 | 運用判断はRunbook準拠で標準化 |
| D7-R5 | 事後レビューで再発防止まで閉じる |
誤答トラップ
- 「証拠を取る前にシステム初期化」
- 「通知なしで単独対応」
- 「復旧速度だけで戦略選定」
- 「監視アラートを都度手作業で処理」
30秒解法フロー
- 人命/安全・証拠・業務影響の順で確認
- 初動(保全・報告・封じ込め)を満たす選択肢を残す
- 復旧はRTO/RPO適合で比較
- 標準運用に戻せない案を除外
典型ミス
| Mistake | Fix |
|---|---|
| 復旧を急いで証拠破壊 | Chain of Custody を先に確保 |
| IRとDRの混同 | 目的(被害抑止/業務復旧)で分離 |
| SOC運用が属人化 | Runbook と閾値を定義 |