Appearance
Trainer 15: D2 Case Pack (Asset Security)
目的
Domain 2を「暗号化するか否か」だけで解かず、データライフサイクル全体で判断する練習を行う。
ケース演習の使い方
- 各ケースで
firstとbestを分けて答える - 回答時に必ず
Owner / Retention / Disposalを口頭で言う - 最後に「監査証跡として何を残すか」を1行で書く
Case 1: 共有データレイクの分類崩れ
- 状況: 部門ごとに独自分類でラベルが不統一。アクセス制御が不安定。
- 問い (
first): 最初に行うべきことは何か。 - 勝ち筋: 組織共通の分類基準とOwner責任を先に確定。
- 誤答トラップ: 先にDLPツールだけ導入する。
Case 2: 保持期間が曖昧なログ保管
- 状況: 監査ログを無期限保存しており、コストとプライバシー懸念が増大。
- 問い (
best): 最適な改善は何か。 - 勝ち筋: 法令/契約要件に基づく保持ポリシーを定義し、自動削除統制を入れる。
- 誤答トラップ: 容量追加で運用継続。
Case 3: 廃棄端末のデータ残留
- 状況: リース返却前にOS初期化のみ実施。復旧リスクが残る。
- 問い (
best): 最も適切な廃棄方法は何か。 - 勝ち筋: 媒体種別に応じたサニタイゼーション(例: degauss/物理破壊)を選ぶ。
- 誤答トラップ: ファイル削除や通常フォーマットで十分と判断。
Case 4: 委託先とのデータ共有
- 状況: 分析委託先へ顧客データを提供予定。契約はあるが最小化が未定義。
- 問い (
first): 最初に追加すべき統制は何か。 - 勝ち筋: 共有目的に合わせた最小化(Masking/Tokenization)と再識別リスク評価。
- 誤答トラップ: NDA締結のみで共有を開始。
30秒判定テンプレ
- データ種別と機密度
- Owner と Custodian の責任分界
- 保持/削除/廃棄要件
- 証跡(分類根拠・承認記録・廃棄記録)の有無
誤答修正ルール(D2)
| Error | Fix Rule |
|---|---|
| 暗号化のみで満足 | 分類/保持/廃棄を同時確認 |
| Owner未定義で運用開始 | No owner, no processing を固定 |
| 廃棄手法の不適合 | 媒体別サニタイゼーション表で再判定 |