Skip to content

Trainer 15: D2 Case Pack (Asset Security)

目的

Domain 2を「暗号化するか否か」だけで解かず、データライフサイクル全体で判断する練習を行う。

ケース演習の使い方

  1. 各ケースで firstbest を分けて答える
  2. 回答時に必ず Owner / Retention / Disposal を口頭で言う
  3. 最後に「監査証跡として何を残すか」を1行で書く

Case 1: 共有データレイクの分類崩れ

  • 状況: 部門ごとに独自分類でラベルが不統一。アクセス制御が不安定。
  • 問い (first): 最初に行うべきことは何か。
  • 勝ち筋: 組織共通の分類基準とOwner責任を先に確定。
  • 誤答トラップ: 先にDLPツールだけ導入する。

Case 2: 保持期間が曖昧なログ保管

  • 状況: 監査ログを無期限保存しており、コストとプライバシー懸念が増大。
  • 問い (best): 最適な改善は何か。
  • 勝ち筋: 法令/契約要件に基づく保持ポリシーを定義し、自動削除統制を入れる。
  • 誤答トラップ: 容量追加で運用継続。

Case 3: 廃棄端末のデータ残留

  • 状況: リース返却前にOS初期化のみ実施。復旧リスクが残る。
  • 問い (best): 最も適切な廃棄方法は何か。
  • 勝ち筋: 媒体種別に応じたサニタイゼーション(例: degauss/物理破壊)を選ぶ。
  • 誤答トラップ: ファイル削除や通常フォーマットで十分と判断。

Case 4: 委託先とのデータ共有

  • 状況: 分析委託先へ顧客データを提供予定。契約はあるが最小化が未定義。
  • 問い (first): 最初に追加すべき統制は何か。
  • 勝ち筋: 共有目的に合わせた最小化(Masking/Tokenization)と再識別リスク評価。
  • 誤答トラップ: NDA締結のみで共有を開始。

30秒判定テンプレ

  1. データ種別と機密度
  2. Owner と Custodian の責任分界
  3. 保持/削除/廃棄要件
  4. 証跡(分類根拠・承認記録・廃棄記録)の有無

誤答修正ルール(D2)

ErrorFix Rule
暗号化のみで満足分類/保持/廃棄を同時確認
Owner未定義で運用開始No owner, no processing を固定
廃棄手法の不適合媒体別サニタイゼーション表で再判定