ユーザー アカウントのプロビジョニングにかかる​​平均時間は、プロセスが適切なユーザーにアクセスをどれだけ迅速かつスムーズに付与できるかを反映するため、アイデンティティおよびアクセス管理 (IAM) プロセスの効率性を測定するのに最も役立つ指標です。ユーザー アカウントのプロビジョニングにかかる​​平均時間は、ユーザー アカウントのプロビジョニングに費やされた合計時間を、特定の期間にプロビジョニングされたユーザー アカウントの数で割ることで計算できます。平均時間が短いほど、IAM プロセスが効率的であることを示します。つまり、ユーザーは不要な遅延やエラーなく必要なリソースにアクセスできます。平均時間が長い場合は、手動の手順、複雑なワークフロー、自動化の欠如、リソースの不足など、IAM プロセスに問題やボトルネックがある可能性があります。ユーザー アカウントのプロビジョニングにかかる​​平均時間は、さまざまなアプリケーション、システム、またはビジネス ユニット間で比較して、改善の余地やベスト プラクティスを特定することもできます。その他のオプションは、IAM プロセスの効率性を測定するのにあまり役立ちません。新しいアカウントのプロビジョニングのチケット数は、IAM プロセスの需要を示しますが、プロセスが需要をどの程度満たしているかは示しません。月ごとのパスワード リセット量は、パスワード関連の問題の頻度を示しますが、IAM プロセスがそれらの問題をどれだけ効率的に処理しているかは示しません。アカウント ロックアウトの平均時間は、アカウント ロックアウトがユーザーの生産性に与える影響を示しますが、IAM プロセスがそれらの問題をどれだけ効率的に防止または解決しているかは示しません。参考資料 = 主要な ID およびアクセス管理メトリック

は不正解です。ほとんどの主要リスク指標 (KRI) メトリックは感度に関して最適化する必要がありますが、KRI メンテナンスの最も重要な目的は、KRI が時間の経過とともに脅威と脆弱性の変化を効果的に捕捉し続けるようにすることです。したがって、最も重要な理由は、時間の経過とともに脅威と脆弱性が変化するためです。回答: C は不正解です。リスク報告の適時性はビジネス要件ですが、KRI メンテナンスの理由にはなりません。回答: A は不正解です。リスク回避は、考えられるリスク対応の 1 つです。リスク対応は KRI 報告に基づいていますが、KRI メンテナンスの理由にはなりません。

* リスク対応とは、特定、分析、評価された特定のリスクに対処するために実行されるアクションまたは計画です。リスク対応には、軽減、移転、回避、受け入れのいずれかのタイプがあります。
* リスク対応策を策定する際の最優先事項は、組織のリスク許容度、つまり組織が目標を達成するために受け入れるリスクの量と種類と一致するようにすることです。リスク許容度は通常、範囲またはしきい値として表現され、組織の戦略と文化と一致します。
* リスク対応を組織のリスク許容度と一致させることで、リスク対応が一貫性があり、適切で、リスクのレベルと性質に比例し、組織の目標と価値をサポートすることが保証されます。また、リスクとリターンのバランスを最適化し、組織とその利害関係者にとっての価値を創造し、保護するのにも役立ちます。
* その他のオプションは、リスク対応が組織にとって適切かつ許容できるものであるかどうかという基本的な疑問に対処していないため、リスク対応を開発する際には最優先事項ではありません。
* リスク対応が総合的な視点でリスクに対処するということは、リスク対応が、リスク源、イベント、影響、対応間の相互関係と依存関係、およびリスク対応の潜在的な二次的影響と残留影響を考慮することを意味します。これは、リスク対応が包括的かつ効果的であり、新しいリスクや意図しないリスクを生み出さないことを保証するために重要ですが、リスク対応が組織のリスク許容度と一致しているかどうかを示すものではないため、リスク対応を開発する際の最優先事項ではありません。
* The risk response is based on a cost-benefit analysis means that the risk response compares the expected costs and benefits of implementing the risk response, and selects the risk response that provides the most favorable net outcome. This is important to ensure that the risk response is efficient and economical, and that it maximizes the return on investment, but it is not the highest priority when developing a risk response, because it does not indicate whether the risk response is aligned with the organization's risk appetite.
* The risk response is accounted for in the budget means that the risk response is included in the financial plan and allocation of resources for the organization or the project. This is important to ensure that the risk response is feasible and realistic, and that it has the necessary funding and support, but it is not the highest priority when developing a risk response, because it does not indicate whether the risk response is aligned with the organization's risk appetite. References
* ISACA, CRISC Review Manual, 7th Edition, 2022, pp. 29-30, 34-35, 38-39, 44-45, 50-51, 54-55
* ISACA, CRISC Review Questions, Answers & Explanations Database, 2022, QID 147