Skip to content

Trainer 24: Practical Simulation Set (D1/D5/D3)

目的

本番に近い思考負荷で、主語 -> 時制 -> 比較理由 を崩さずに解く。

使い方

  1. 各ケースを60〜120秒で解く
  2. 回答後に1文理由を必ず書く
  3. 誤答は E1..E6 で分類してFix Ruleを1行追加

Simulation 01 (D1 / first)

  • 状況: 新規クラウド導入をCIOが急いでおり、監査要件確認前に稼働したいと言っている。
  • 問い: CISOとして最初に実施すべき行動は何か。
  • 勝ち筋: 法令/契約要件の確認と報告ライン確立。
  • 罠: ツール導入や設定変更を先に行う。

Simulation 02 (D5 / best)

  • 状況: 海外拠点含む全社でSSO導入済み。退職者アカウントが数日残る事故が発生。
  • 問い: 再発防止として最適なIAM改善は何か。
  • 勝ち筋: JMLの即時デプロビジョニングと監査証跡の自動化。
  • 罠: パスワード強化だけで済ませる。

Simulation 03 (D3 / best)

  • 状況: 機密設計データを扱うシステムで暗号は導入済みだが、鍵がアプリサーバ上に平文で保存されている。
  • 問い: 最も重要な設計改善は何か。
  • 勝ち筋: 鍵管理基盤(HSM/保護領域)と鍵ライフサイクル統制。
  • 罠: 暗号アルゴリズムだけを変更。

Simulation 04 (D1+D5 / first)

  • 状況: 経営層から特権IDの共有運用を「緊急対応時のみ」認める提案が出ている。
  • 問い: 最初に提示すべき代替案は何か。
  • 勝ち筋: 共有ID禁止の原則維持 + 緊急時のPAM/JIT運用。
  • 罠: 例外運用を正式化して恒常化。

Simulation 05 (D3+D1 / most likely)

  • 状況: 新規セキュリティ製品がEAL高評価を取得。導入を急ぐ声が強い。
  • 問い: 導入失敗の最もあり得る原因は何か。
  • 勝ち筋: 評価ラベル過信、運用要件・適用範囲未確認。
  • 罠: 認証レベルが高いから全要件に適合するとみなす。

Simulation 06 (D5 / best)

  • 状況: RBAC運用で部署横断プロジェクトの権限管理が破綻し、過剰権限が増えている。
  • 問い: 最適なアクセス制御モデル改善は何か。
  • 勝ち筋: RBACにABAC条件を重ねたハイブリッド化。
  • 罠: ロールを増やして複雑化させるだけ。

Simulation 07 (D1 / best)

  • 状況: 委託先ベンダーで情報漏えいが発生。契約上は委託先責任とされている。
  • 問い: 組織側の最適な次アクションは何か。
  • 勝ち筋: 説明責任は委譲不可として、監督統制・報告・是正計画を実施。
  • 罠: ベンダー責任のみを理由に自組織対応を最小化。

Simulation 08 (D3 / first)

  • 状況: 重要システムでセキュアブート検証が不整合。改ざん疑いあり。
  • 問い: 最初に確認すべき技術要素は何か。
  • 勝ち筋: Root of Trust と鍵チェーンの整合確認。
  • 罠: OS再インストールを先に実施。

採点テンプレ

CaseAnswer1文理由Error CodeFix Rule
01
02
03
04
05
06
07
08

目標

  • 8ケース中6ケース以上で「理由の一貫性」が取れること
  • first ケースで順序逆転を0にすること