SC-900セキュリティ、コンプライアンス、および ID の概念MEDIUM単一選択

ある企業がITガバナンスを強化するため、経営リスク管理の枠組みを整備しようとしている。具体的には、組織として守るべきルールや方針の策定(G)、事業継続を脅かす潜在的な損失の特定と対処(R)、法令や規制への適合確認(B)を組み合わせた包括的な管理体系を構築したい。この管理体系を表すIT分野の略語として最も適切なものはどれか。

  1. A. SSO:Single Sign-On(一度の認証で複数サービスを利用できる仕組み)
  2. B. GRC:ガバナンス(Governance)・リスク管理(Risk management)・コンプライアンス(Compliance)の統合管理体系
  3. C. CIA:機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)の3要素
  4. D. IAM:Identity and Access Management(IDとアクセスの統合管理)
解答と解説を見る

正解: B

GRC(Governance, Risk management, Compliance)は、組織のITガバナンス・リスク管理・コンプライアンスを統合的に管理する枠組みである。ガバナンスはポリシーと意思決定構造、リスク管理は脅威の特定・評価・対処、コンプライアンスは法令・規制・内部規定への準拠を指す。SC-900の出題範囲における重要概念の一つである。選択肢CのCIAはセキュリティの3大要素(機密性・完全性・可用性)であり、組織管理体系の名称ではない。選択肢DのIAMはIDとアクセス権の管理システムであり、組織ガバナンス全体を包含するGRCとは異なる。選択肢AのSSOは認証の利便性向上手段であり、組織の管理体系ではない。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題