Appearance
Trainer 11: D6 Drill Pack (Assessment & Testing)
目的
Domain 6の順序問題(承認・範囲・証跡)を崩さない実戦型の解法を定着させる。
D6で鍛える3軸
| Axis | 失点しやすい点 | 修正方針 |
|---|---|---|
| 事前統制 | 無承認でテスト実行を選ぶ | 目的・承認・範囲を先に固定 |
| 独立性 | 被評価者が自己採点 | 監査/評価の独立性を担保 |
| 改善連動 | 結果報告で終了 | 改善計画と再評価まで閉じる |
問題タイプ別ドリル
Type A: 監査計画
- 問い: 最初に定義すべきことは何か
- 勝ち筋: 目的 -> 範囲 -> 成功基準
- NG選択肢: ツール選定を先に行う
Type B: テスト方式
- 問い: どのテストが最適か
- 勝ち筋: リスクと本番影響で方式を決定
- NG選択肢: 高負荷テストを無条件で本番実施
Type C: 指標管理
- 問い: 何を報告すべきか
- 勝ち筋: KPI/KRIを目的に紐づける
- NG選択肢: 件数のみ羅列
Type D: 脆弱性評価運用
- 問い: 優先対応の判断
- 勝ち筋: 影響度 + 露出面 + 悪用可能性
- NG選択肢: CVSS数値だけで一律処理
30秒判定テンプレ
- 目的・承認・範囲があるか
- 独立性と証跡があるか
- 結果が改善につながるか
- 単発で終わる選択肢を除外
誤答修正ルール(D6)
| Error | Fix Rule |
|---|---|
| 無承認実施を選ぶ | Authorize before test を固定 |
| 監査と運用を混同 | 独立性を先に確認 |
| 報告止まり | 改善アクションまで必須化 |
反復メニュー(20分)
- 8分: Type A/B 5問
- 8分: Type C/D 5問
- 4分: 再発防止ルール更新