すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

2024 最新CISA試験問題&模擬テスト, 公認情報システム監査人|SPOTO

ISACAの認定情報システム監査人(CISA®)資格は、新興技術を含むITおよびビジネスシステムの監査、監視、評価の専門知識を証明する世界的に認められた資格です。CISA認定資格を取得すると、監査業務にリスクベースのアプローチを適用し、業界のトレンドを先取りする能力を証明することができます。SPOTOは、最新の試験目標と内容であり続けることの重要性を理解しています。弊社の2024年更新のCISA試験問題集はあなたがCISA試験で成功するために必要な最新の知識と技能を身につけることを保証いたします。弊社の模擬試験、サンプル問題、試験問題集およびオンライン試験問題集を含む試験資料は専門家によって定期的に見直され、最新の試験への変更を反映するために更新されます。弊社の試験シミュレーターを利用して模擬試験環境を体験することによって、あなたは効果的な時間管理戦略を開発し、さらに注意が必要な部分を識別することができます。弊社の試験問題集や模擬試験と無料模擬テストは貴重な練習の機会を提供し、CISA試験の内容に対する理解を強化し、自信を向上させます。
他のオンライン試験を受ける
質問 #1
監査人として、情報システムにおいて機密性、完全性、真正性、可用性が適切に実装されていることを確認することは非常に重要です。これらのパラメータについて、次の定義のうち誤っているものはどれか。 1.真正性 - 第三者は、メッセージの内容が特定のエンティティによって送信されたものであり、他の誰でもないことを検証できなければならない。 2.否認防止 - 特定のメッセージの送信元または受信が第三者によって検証可能でなければならない。を送信したことを否定することはできない。
A. 提示されたすべての選択肢
B. 提示された選択肢のどれでもない
C. オプション1と2
D. オプション番号 3
回答を見る
正解: B
質問 #2
データ保護の最も重要な目的はどれか。
A. 情報へのアクセスを必要とする人の特定
B. 情報の完全性の確保
C. IS システムへのアクセスの拒否または許可
D. 論理アクセスの監視
回答を見る
正解: A
質問 #3
次のうち、何千人もの社内外のユーザーと処理能力や設備を共有するために作られた大型の汎用コンピュータはどれか?
A. シンクライアントコンピュータ
B. ミッドレンジ・サーバー
C. パソコン
D. メインフレームコンピューター
回答を見る
正解: A
質問 #4
第4世代言語(4GL)は、アプリケーションのグラフィカル・ユーザー・インターフェース(GUI)の設計に最も適している。集中的なデータ計算手順の設計には不適切です。真か偽か?
A. その通り
B. 偽
回答を見る
正解: A
質問 #5
COBIT 5では、情報目標を品質の3つの下位次元に分類しています。COBIT 5の次の下位次元のうち、データ値が実際の真の値に適合している程度を表すものはどれか。
A. 本質的品質
B. 文脈と表現の質
C. セキュリティ品質
D. アクセシビリティの質
回答を見る
正解: D
質問 #6
IS監査人が、開発プロジェクトのテストにおいて、システムの個々のモジュールが正しく動作することを観察した場合、監査人は、肯定的な結果を経営陣に報告し、さらに推奨すべきである:
A. 文書作成
B. 包括的な統合テスト
C. 完全な単体テスト
D. 完全回帰テスト
回答を見る
正解: D
質問 #7
送信者が対称鍵暗号方式を使用してデータの大部分を暗号化し、受信者にセッション鍵のコピーを安全に通信するハイブリッド暗号方式は、次のうちどれか。
A. デジタル封筒
B. デジタル署名
C. 共通鍵暗号化
D. 非対称
回答を見る
正解: C
質問 #8
コンピュータネットワークに対する攻撃で、ターゲットに送信されるICMPパケットの断片化や無効化を伴うものはどれか。
A. 核攻撃
B. ブルートフォース攻撃
C. バッファオーバーフロー
D. 脈打つゾンビ
回答を見る
正解: C
質問 #9
以下に示す説明から、使用されているWANメッセージスイッチング技術を特定しなさい:「データは送信元ノードから宛先ノードへ、一度に1つの希望ずつ、全体がルーティングされる。メッセージ・ルーティングの間、ネットワーク内のすべての中間スイッチはメッセージ全体を保存する。ネットワーク全体のリソースが使用されているか、ネットワークがブロックされている場合、このWANスイッチング技術は、メッセージの効果的な伝送に十分なリソースが利用可能になるまで、メッセージを保存し、遅延させる。"
A. メッセージ交換
B. パケット交換
C. 回路の切り替え
D. 仮想回路
回答を見る
正解: B
質問 #10
無限ループを作り、それ自身のコピーをたくさん作り、たくさんのファイルを開き続けるプログラムを含む攻撃は、次のうちどれか?
A. ローカルDoS攻撃
B. リモートDoS攻撃
C. 分散DoS攻撃
D. ローカルウイルス攻撃
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #11
データの紛失、破損、複製を検出するためのコントロールとして何が使用されるか?
A. 冗長性チェック
B. 合理性チェック
C. ハッシュ合計
D. 精度チェック
回答を見る
正解: A
質問 #12
次のうち、ライン取り技術によって引き起こされる可能性のある露光はどれか?
A. 不正なデータアクセス
B. CPUサイクルの過剰使用
C. 端末ポーリングのロックアウト
D. マルチプレクサーの制御機能障害
回答を見る
正解: B
質問 #13
IS監査人は、暗号化システムを評価する間、多くの要因を考慮する必要がある。次のうち、暗号化システムを評価する際に考慮すべき最も重要でない要因はどれか。
A. 暗号化アルゴリズム
B. 暗号鍵
C. 鍵の長さ
D. 実装言語
回答を見る
正解: D
質問 #14
マスターレコードの重要なフィールドが適切に更新されたことを確認する方法として、最も適切なものはどれか。
A. フィールドチェック
B. コントロール合計
C. 合理性チェック
D. メンテナンス前後のレポート
回答を見る
正解: C
質問 #15
ある組織が、レガシーシステムから統合基幹業務システム(ERP)に移行している。データ移行活動をレビューする間、IS監査人の最も重要な関心事は、以下のことがあるかどうかを判断することである:
A. 2つのシステム間で移行されるデータのセマンティック特性の相関関係。
B. 2つのシステム間で移行されたデータの演算特性の相関関係。
C. 2つのシステム間のプロセスの機能的特徴の相関関係。
D. 2つのシステム間のプロセスの相対的効率性。
回答を見る
正解: A
質問 #16
次のうち、計画および管理プロジェクトのさまざまなシナリオを考慮するプログラム評価レビュー技法はどれか?
A. ファンクションポイント分析(FPA)
B. ガント
C. ラピッドアプリケーション開発(RAD)
D. PERT
回答を見る
正解: A
質問 #17
メッセージがすべてのネットワークを通過できるように、電子メールのフォーマットをあるネットワークから別のネットワークに変換するものはどれか。
A. ゲートウェイ
B. プロトコルコンバータ
C. フロントエンド通信プロセッサ
D. コンセントレータ/マルチプレクサ
回答を見る
正解: C
質問 #18
攻撃用アンプは、次のうちどのタイプの攻撃に大いに利用されているか?
A. パケット廃棄
B. ToS
C. DDoS
D. ATP
E. 盗聴
F. どれにも当てはまらない
回答を見る
正解: D
質問 #19
次のタイプのIDSのうち、自己学習機能を持ち、一定期間内にシステムの期待される動作を学習するものはどれか。
A. 署名ベースのIDS
B. ホストベースIDS
C. ニューラルネットワークベースのIDS
D. 統計に基づくIDS
回答を見る
正解: A
質問 #20
アプリケーション開発プロジェクトを能力成熟度モデル(CMM)に照らして評価することによって、IS監査人はそれを検証することができるはずである:
A. 信頼できる製品が保証されている。
B. プログラマーの効率が向上する。
C. セキュリティ要件は設計されている。
D. 予測可能なソフトウェア・プロセスに従っている。
回答を見る
正解: D
質問 #21
次のコントロールのうち、データベースの完全性が最も保証されるのはどれですか?
A. 監査記録の手順
B. テーブルリンク/参照チェック
C. クエリ/テーブルアクセス時間のチェック
D. データベースのロールバックとロールフォワード機能
回答を見る
正解: A
質問 #22
侵入テストには、テストの範囲、目的、性質によっていくつかの種類があります。次のうち、外部(通常はインターネット)から対象となるネットワークの制御を攻撃し、回避しようとする侵入テストを説明するものはどれですか?
A. 外部テスト
B. 内部テスト
C. ブラインドテスト
D. ターゲットテスト
回答を見る
正解: D
質問 #23
次の選択肢のうち、PBXの機能を説明しているものはどれですか?
A. ボイスメール -メッセージを一元的に保管し、パスワードを使用することにより、内線または外線からメッセージを取り出すことができる。
B. テナント-他のユーザーに重要なメッセージを伝えるために、通話中の回線に割り込むことができる。
C. 自動コール分配 - 着信コールが次に利用可能なエージェントに分配されるか、または利用可能になるまで保留されるようにPBXを設定できます。
D. 診断 -通常の通話制限手順をバイパスすることができます。
回答を見る
正解: A
質問 #24
ウイルスの中で、ウイルスが被害者のファイルに対して行うことを担当するコンポーネントはどれか?
A. ペイロード
B. 署名
C. 引き金
D. 保険料
E. 選択肢のどれでもない。
回答を見る
正解: C
質問 #25
次のうち、ユーザーに実行を促すが、有害または悪意のあるペイロードを隠しているプログラムはどれか?
A. ウイルス
B. ワーム
C. トロイの木馬
D. スパイウェア
E. ルートキット
F. どれにも当てはまらない
回答を見る
正解: B
質問 #26
次のうち、データベースのバックアップの整合性に最も影響を与えそうなものはどれですか?
A. レコードのフィールドにNULL情報が含まれている
B. バックアップ中にデータベースファイルを開く
C. 使用するリレーショナル・データベース・モデル
D. データベースを光ディスクにバックアップする
回答を見る
正解: C
質問 #27
共有リソースマトリックスは、一般的に場所を特定するために使用される手法である:
A. 悪意のあるコード
B. セキュリティ上の欠陥
C. トラップドア
D. コバート・チャンネル
回答を見る
正解: D
質問 #28
データ・ユーザーのアクセス・レベルを認可する責任は誰にあるのか?
A. データ所有者
B. データ利用者
C. データ管理者
D. セキュリティ管理者
回答を見る
正解: A
質問 #29
クライアント・サーバー型セキュリティ・システムの長所はどれか。
A. 変更管理と変更管理手続きは、本質的に強力である。
B. ユーザーは、メインフレーム上のリソースを制御することなくデータを操作できる。
C. ネットワーク・コンポーネントが古くなることはめったにない。
D. 機密データへのアクセスやデータ操作は厳重に管理されている。
回答を見る
正解: C
質問 #30
ビジネス・プロセス・リエンジニアリング・プロジェクトの最初のステップとは?
A. 現在のビジネスプロセスの特定
B. BPR運営委員会の結成
C. 審査対象範囲の定義
D. 組織戦略計画の見直し
回答を見る
正解: C
質問 #31
事業継続および災害復旧計画の第一の目的は、以下のとおりである:
A. 重要なIS資産を保護する。
B. 事業の継続性を確保する。
C. 組織の損失を最小限に抑える。
D. 人命を守る。
回答を見る
正解: A
質問 #32
IS監査人が経営幹部と終了会議を行う場合、適切なのはどれか。
A. 監査と経営陣がリスクの受容について合意している場合、重要な発見を除外する。
B. 監査報告書のリスク評定について経営幹部と合意する。
C. 経営陣からの回答を実施計画とともに文書化する。
D. 議論のある推奨事項を監査委員会に上申する。
回答を見る
正解: C
質問 #33
プロトコルの脆弱性を悪用するネットワークワームの拡散に対処するための最も効果的な方法はどれか。
A. 脆弱性に対するベンダーのセキュリティ修正プログラムをインストールする。
B. 境界ファイアウォールでプロトコルトラフィックをブロックする。
C. 内部ネットワークセグメント間のプロトコルトラフィックをブロックする。
D. 適切なセキュリティ修正プログラムがインストールされるまで、サービスを停止してください。
回答を見る
正解: C
質問 #34
SDLC フェーズにおける生産性の重要成功要因の測定において、最も重要でない要因はどれか?
A. 1回あたりの使用金額
B. 月間取引件数
C. ユーザーあたりのトランザクション数
D. 不正/誤用の検出件数
回答を見る
正解: D
質問 #35
2者間のメッセージの完全性、機密性、否認防止を保証するために、最も効果的な方法は、暗号ハッシュアルゴリズムを適用してメッセージダイジェストを作成することである:
A. メッセージ全体、送信者の秘密鍵を使ったメッセージ・ダイジェストの暗号化、対称鍵を使ったメッセージの暗号化、受信者の公開鍵を使った鍵の暗号化。
B. メッセージの任意の部分、送信者の秘密鍵を使ったメッセージ・ダイジェストの暗号化、対称鍵を使ったメッセージの暗号化、受信者の公開鍵を使った鍵の暗号化。
C. メッセージ全体を暗号化し、送信者の秘密鍵を使ってメッセージ・ダイジェストを暗号化し、対称鍵を使ってメッセージを暗号化し、受信者の公開鍵を使って暗号化されたメッセージとダイジェストの両方を暗号化する。
D. メッセージ全体を暗号化し、送信者の秘密鍵を使ってメッセージ・ダイジェストを暗号化し、受信者の公開鍵を使ってメッセージを暗号化する。
回答を見る
正解: C
質問 #36
電力会社が許容範囲内で電力を供給できないことを表す用語はどれか。
A. サグ
B. ブラックアウト
C. ブラウンアウト
D. EMI
回答を見る
正解: B
質問 #37
自動化されたシステムを監査する場合、責任と報告系統は必ずしも確立できない:
A. 多角的な経営により、所有権は関係ない。
B. スタッフは伝統的に転職の頻度が高い。
C. リソースが共有されている場合、所有権を確立するのは難しい。
D. テクノロジーの急速な発展の中で、職務は頻繁に変化する。
回答を見る
正解: D
質問 #38
フレームリレーWAN技術において、フレームリレー・クラウド内で実際のデータ伝送とスイッチングを行うサービスプロバイダ・デバイスはどれか。
A. DTE
B. DCE
C. DME
D. DLE
回答を見る
正解: A
質問 #39
災害復旧計画(DRP)は、次のような問題に対処する:
A. 事業継続計画の技術的側面。
B. 事業継続計画の運用の一部。
C. 事業継続計画の機能的側面。
D. 事業継続計画の全体的な調整。
回答を見る
正解: A
質問 #40
ほとんどのアクセス違反は
A. 偶然
B. 内部ハッカーによるもの
C. 外部ハッカーによるもの
D. インターネット関連
回答を見る
正解: A
質問 #41
IS監査人が、セキュリティ管理者に業務機能を行わせるなど、適切な職務分離を実施しないことに伴うリスクの証拠を発見した場合、監査人の主な責任は何か。
A. 経営幹部への助言
B. 不正の可能性を排除するために、職務を再割り当てすること。
C. コンペンセータ制御を実施する。
D. 職務の分離は、IS監査人が考慮しない管理統制である。
回答を見る
正解: D
質問 #42
次のうち、比較的短い一定期間内に、あらかじめ決められた特定のリソースを用いてソフトウェアの成果物を定義し、展開するためのプロジェクト管理手法はどれか。
A. 機能点分析
B. ガントチャート
C. クリティカルパス方法論
D. タイムボックス管理
回答を見る
正解: C
質問 #43
IS監査人がネットワーク管理を明確に理解するために必要なことは何ですか?
A. セキュリティ管理者のシステムへのアクセス
B. アプリケーションサービスを提供する全てのホストのシステムログ
C. ネットワーク・トポロジーのグラフィカル・マップ
D. システムへの管理者アクセス
回答を見る
正解: A
質問 #44
電気通信アクセス制御のレビューを実施する IS 監査人は、第一義的に以下のことに関心を持つべ きである:
A. さまざまなシステムリソースの使用状況に関するアクセスログの保守。
B. システムリソースへのアクセスを許可する前に、ユーザーの承認と認証を行う。
C. 暗号化またはその他の手段により、サーバー上の保存データを適切に保護すること。
D. アカウンタビリティ・システムと、システム・リソースにアクセスする端末を識別する能力。
回答を見る
正解: A
質問 #45
ファイアウォールが各ネットワークフレームやパケットを個別に扱うことが好ましくないのはなぜですか?
A. そのようなファイアウォールは、あるパケットが既存のコネクションの一部なのか、新しいコネクションを確立しようとしているのか、それとも単なる不正なパケットなのかを知る方法がありません。
B. このようなファイアウォールはセットアップにコストがかかる。
C. このようなファイアウォールはメンテナンスが複雑すぎる。
D. このようなファイアウォールはCPUを消費します。
E. このようなファイアウォールは互換性が低い。
F. どれにも当てはまらない
回答を見る
正解: D
質問 #46
オフサイト処理施設の3つの主要なタイプのうち、少なくとも電気とHVACを供給することを特徴とするタイプは?
A. コールドサイト
B. 代替サイト
C. ホットサイト
D. 暖かいサイト
回答を見る
正解: B
質問 #47
手続き設計の制御構造に焦点を当てた一連のテストケースを使用するテストのタイプは、次のうちどれですか?
A. インターフェーステスト
B. 単体テスト
C. システムテスト
D. 最終受入試験
回答を見る
正解: B
質問 #48
サービス停止事故の重大度レベルを決定する主な基準は以下の通りである:
A. 回収コスト。
B. 否定的な世論。
C. 地理的な位置。
D. ダウンタイム
回答を見る
正解: C
質問 #49
コンピュータの廃棄手続きを検討する際、IS監査人が最も懸念すべきことはどれか。
A. ハードディスクはセクタレベルで数回上書きされるが、組織を離れる前に再フォーマットされることはない。
B. ハードディスク上のすべてのファイルとフォルダは個別に削除され、ハードディスクは組織を離れる前にフォーマットされる。
C. ハードディスクは、組織を離れる前に、特定の位置でプラッターに穴あけパンチをすることで、読めなくなる。
D. ハードディスクの輸送は、社内のセキュリティスタッフによって近くの金属リサイクル会社まで護衛され、そこでハードディスクは登録された後、シュレッダーにかけられる。
回答を見る
正解: B
質問 #50
情報処理施設(IPF)への物理的アクセスを外部機関に提供する前に、組織は何をすべきか?
A. 外部機関のプロセスは、独立機関によるIS監査を受けるべきである。
B. 外部機関の従業員は、組織のセキュリティ手順について訓練を受けるべきである。
C. 外部機関によるアクセスは、非武装地帯(DMZ)に限定すべきである。
D. 組織は、リスクアセスメントを実施し、適切な統制を設計し、実施すべきである。
回答を見る
正解: C
質問 #51
電気配線、空調設備、床はあるが、コンピュータや通信機器はないオフサイトの情報処理施設:
A. コールドサイト。
B. 暖かい場所。
C. ダイヤルアップサイト
D. 複製処理施設。
回答を見る
正解: A
質問 #52
ホスト・ベースのILD&Pは、主に以下の問題に取り組んでいる:
A. 情報の完全性
B. 情報の正確さ
C. 情報の妥当性
D. 情報漏洩
E. 選択肢のどれでもない。
回答を見る
正解: C
質問 #53
次の監査リスクのうち、経営者が実施した統制を考慮せずに、プロセスや企業が監査対象にさらされることに関連するものはどれか。
A. 内在的リスク
B. コントロール・リスク
C. 検出リスク
D. 全体的な監査リスク
回答を見る
正解: A
質問 #54
オープンソースソフトウェアを使用している組織のアプリケーションシステムには、パッチを作成している開発者が一人もいません。オープンソースソフトウェアを更新する最も安全な方法はどれか。
A. パッチを書き換えて適用する
B. コードレビューと利用可能なパッチの適用
C. 社内パッチの開発
D. パッチを適用する前に、適切なパッチを特定し、テストする。
回答を見る
正解: B
質問 #55
は、可能な限り早い時点でデータの完全性をサポートするために、データ準備の早い段階で実施されるべきである。
A. コントロール合計
B. 認証制御
C. パリティ・ビット
D. 認証管理
回答を見る
正解: D
質問 #56
次の暗号化方式のうち、正しく使用すればほとんど破られないことが証明されているものはどれか?
A. キー・ペア
B. オークリー
C. 証明書
D. 3-DES
E. ワンタイムパッド
F. どれにも当てはまらない
回答を見る
正解: A
質問 #57
プロセス内の予防的、検出的又は是正的なコントロールの総合的な効果を評価する場合、IS監査人は注意しなければならない:
A. データがシステム内を流れる際に、コントロールが行使されるポイントのこと。
B. 予防的および検出的な管理のみが適切である。
C. 是正処置は代償処置としか考えられない。
D. その分類により、IS監査人はどの統制が欠けているかを判断できる。
回答を見る
正解: A
質問 #58
次のクラウド・コンピューティング・サービス・モデルのうち、アプリケーションはサービス・プロバイダーによってホストされ、ネットワーク経由で顧客に提供されるものはどれか?
A. サービスとしてのソフトウェア
B. サービスとしてのデータ
C. サービスとしてのプラットフォーム
D. サービスとしてのインフラ
回答を見る
正解: A
質問 #59
エンタープライズ製品リエンジニアリング(EPR)ソフトウェアのインストールに必要な文書について、次のうち最も適切なものはどれですか?
A. 特定の開発のみ
B. ビジネス要件のみ
C. 設置の全段階を文書化すること。
D. 顧客固有の文書を作成する必要はない
回答を見る
正解: D
質問 #60
監査証跡の主な目的は何か?
A. 監査努力を文書化する
B. データ整合性エラーを修正する
C. 処理された取引に対する説明責任と責任を確立する。
D. データへの不正アクセスを防ぐ
回答を見る
正解: A
質問 #61
変更後のシステムと代替システムの2つのシステムにテストデータを投入し、結果を比較するプロセスは次のうちどれか。
A. パラレルテスト
B. ブラックボックステスト
C. 回帰テスト
D. パイロットテスト
回答を見る
正解: A
質問 #62
ハッシュ化と暗号化の最も重要な違いは、ハッシュ化である:
A. は不可逆的である。
B. 出力は元のメッセージと同じ長さである。
C. は完全性と安全性に関心がある。
D. 送信側と受信側で同じである。
回答を見る
正解: D
質問 #63
ローカル通信ループにアクセスするために、ローカルキャリアのT-1回線、マイクロ波、同軸ケーブルの冗長な組み合わせを提供することにより、電気通信の継続性を促進する:
A. ラストマイル回線保護。
B. 長距離ネットワークの多様性
C. 多様なルーティング
D. 代替ルーティング
回答を見る
正解: A
質問 #64
次のファイアウォールの種類のうち、どれを再設定すると、ファイル転送プロトコル(FTP)を介したファイルのダウンロードを防ぐことができますか?
A. サーキットゲートウェイ
B. アプリケーションゲートウェイ
C. パケットフィルター
D. スクリーニング・ルーター
回答を見る
正解: D
質問 #65
コンピューティングにおけるセキュリティーへのさまざまなアプローチについて言えば、コンピューター・システムそのものを主として信頼されないシステムとみなすという原則が強調される:
A. ほとんどの特権
B. 完全な特権
C. 最低限の特権
D. 無効特権
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #66
パスワードを変更するのに適した期間は、次のうちどれですか?
A. 180日から365日ごと
B. 30~45日ごと
C. 10~20日ごと
D. 90~120日ごと
E. 選択肢のどれでもない。
回答を見る
正解: D
質問 #67
次のうち、システム・バイナリを置き換えたり、オペレーティング・システムのファンクション・コールにフックして、他のプログラムの存在を隠したりするものはどれか(最も正確な答えを選びなさい)。
A. ルートキット
B. ウイルス
C. トロイの木馬
D. トリップワイヤー
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #68
次のデータベース・モデルのうち、データがチュールで表現され、リレーションにグループ化されているものはどれか。
A. 階層型データベースモデル
B. ネットワークデータベース・モデル
C. リレーショナル・データベース・モデル
D. オブジェクトリレーショナルデータベースモデル
回答を見る
正解: B
質問 #69
情報資産に対する適切なセキュリティ対策を維持するための説明責任は、情報資産管理者にある:
A. セキュリティ管理者。
B. システム管理者
C. データとシステムの所有者
D. システム・オペレーション・グループ
回答を見る
正解: C
質問 #70
モデムを制御することで、感染したPCの所有者から金銭を盗むためによく使用されるソフトウェアツールはどれか?
A. システムパッチャー
B. ポルノダイヤラー
C. ウォーダイヤラー
D. T1ダイヤラー
E. T3ダイヤラー
F. どれにも当てはまらない
回答を見る
正解: E
質問 #71
組織が個人所有のデバイスをネットワークに接続させる場合、最も懸念されるのは次のうちどれですか?
A. 個人所有のデバイスにセキュリティポリシーを適用するのは難しい。
B. ヘルプデスクの従業員は、デバイスをサポートするための追加トレーニングが必要になる。
C. ITインフラコストが増加する。
D. 従業員のプライバシーを守るのが難しい。
回答を見る
正解: D
質問 #72
実際の結果を調査し、期待される結果と比較するPDCAのステップはどれか。
A. プラン
B. やる
C. チェック
D. 行為
回答を見る
正解: C
質問 #73
ロバスト性のためにネットワークに不均一性を導入することは、次のうちどの欠点があるか?
A. パフォーマンスが落ちる。
B. 拡張性が低い。
C. インフラが弱い。
D. トレーニングやメンテナンスの面でコストが高い。
E. 選択肢のどれでもない。
回答を見る
正解: B
質問 #74
通常、ネットワークILD&Pが設置される:
A. 組織内部のネットワーク接続。
B. 組織のインターネット・ネットワーク接続上。
C. 各エンドユーザー・ステーション
D. ファイアウォール上
E. 選択肢のどれでもない。
回答を見る
正解: E
質問 #75
時間的制約のあるシステムやトランザクション処理に対して、ほぼ即時のリカバリ可能性を提供するものはどれか。
A. 電子ジャーナルの自動化と並列処理
B. データミラーリングと並列処理
C. データミラーリング
D. 並列処理
回答を見る
正解: A
質問 #76
オフサイト情報処理施設に関する次の記述のうち、正しいものはどれか。
A. プライマリ処理サイトと同程度の物理的アクセス制限を持つべきである。
B. すぐに稼働できるように、出発地の近くに設置する。
C. 緊急時に簡単に見つけられるように、外から簡単に識別できるようにする。
D. コスト高になるため、発地と同レベルの環境モニタリングを行う必要はない。
回答を見る
正解: D
質問 #77
アプリケーション・コントロールの意図は、不正確なデータがシステムに入力された場合、そのデータが確実に削除されるようにすることである:
A. 受け入れられ、処理される。
B. 受け入れられたが、処理されなかった。
C. 受け入れられず、処理されない。
D. 受け入れられず、処理されなかった。
回答を見る
正解: C
質問 #78
資産の重要性に関する意思決定に影響を与えるものは何か?
A. 保護すべきデータのビジネス上の重要性
B. 企業内政治
C. C
D. ビジネスインパクト分析
回答を見る
正解: D
質問 #79
コールバックシステムでは、IDとパスワードを持つユーザーがダイヤルアップ回線を通じてリモートサーバーに電話をかけ、サーバーが切断する:
A. データベースの電話番号を使用して、ユーザーIDとパスワードに基づいてユーザーマシンにダイヤルバックする。
B. この接続中にユーザーによって提供された電話番号を使用して、ユーザーIDとパスワードに基づいてユーザーマシンにダイヤルバックする。
C. 再確認のためにユーザーマシンからのリダイヤルを待ち、データベースを使用してユーザーIDとパスワードを検証する。
D. 再確認のためにユーザーマシンからのリダイヤルを待ち、送信者のデータベースを使用してユーザーIDとパスワードを検証する。
回答を見る
正解: B
質問 #80
IS監査人は、以下を合理的に保証するために、ライブラリ管理ソフトウェアの使用を推奨すべきである:
A. プログラムの変更が承認された。
B. 徹底的にテストされたプログラムだけがリリースされる。
C. 修正されたプログラムは自動的に本番環境に移行される。
D. ソースコードと実行コードの整合性が保たれている。
回答を見る
正解: D
質問 #81
エンタープライズデータフローアーキテクチャにおいて、業務データ、外部データ、非業務データから企業情報を導き出す層はどれか。
A. データ準備層
B. データソースレイヤー
C. データマート層
D. データアクセス層
回答を見る
正解: C
質問 #82
戦略上重要なシステムをより速く開発し、開発コストを削減し、なおかつ高い品質を維持するために何が使われているのか。
A. 迅速なアプリケーション開発(RAD)
B. ガント
C. PERT
D. 決定木
回答を見る
正解: B
質問 #83
ソフトウェア開発プロジェクトの要件定義フェーズでは、ソフトウェアテストの取り組むべき側面が開発される:
A. 重要なアプリケーションをカバーするテストデータ。
B. 詳細なテスト計画
C. 品質保証試験仕様書。
D. ユーザー受け入れテスト仕様書
回答を見る
正解: D
質問 #84
ビフォア・イメージ・ダンプを使用してデータベースをリストアする場合、中断後のプロセスはどこから開始すべきでしょうか?
A. 最後の取引の前
B. 最後の取引後
C. 最新のチェックポイント後の最初のトランザクションとして
D. 最新のチェックポイント前の最後のトランザクション
回答を見る
正解: D
質問 #85
ロケ地3a、1d、3dについて、図によると、線が開通し、活動しているように見えるハブがある。これが事実であると仮定して、この弱点を軽減するためにどのような管理が推奨されるでしょうか?
A. インテリジェント・ハブ
B. ハブの物理的セキュリティ
C. 物理的セキュリティとインテリジェント・ハブ
D. これは弱点ではないので、管理は必要ない。
回答を見る
正解: C
質問 #86
適切なネットワーク容量管理とサービスの可用性を測定し、確保するために何を使用していますか?
A. ネットワーク・パフォーマンス・モニタリング・ツール
B. ネットワーク・コンポーネントの冗長性
C. シスログレポート
D. IT戦略計画
回答を見る
正解: A
質問 #87
次のどの機能が組み合わされた場合、組織にとって最も大きなリスクとなるか?
A. システムアナリスト、データベース管理者
B. 品質保証およびコンピューター・オペレーター
C. テープライブラリアンおよびデータ入力事務員
D. アプリケーション・プログラマー、テープ・ライブラリアン
回答を見る
正解: C
質問 #88
分散DoS攻撃を仕掛けるためのツールの例はどれか:
A. 最恵国待遇
B. TFN2K
C. Trin00
D. シュタッヘルドラハト
E. トリップワイヤ
回答を見る
正解: E
質問 #89
フォローアップ監査の優先順位を決定するための主要な基準はどれか。
A. 経営陣の行動計画の複雑さ
B. 経営陣からの推薦
C. 監査計画に定められた監査サイクル
D. 過去の監査結果からの残存リスク
回答を見る
正解: C
質問 #90
イカはその一例だ:
A. IDS
B. キャッシング・プロキシ
C. セキュリティ・プロキシ
D. 接続プロキシ
E. ダイアラー
F. どれにも当てはまらない
回答を見る
正解: A
質問 #91
主要なBCPテストのうち、各業務分野の代表者が集まって計画を見直す必要があるのはどのタイプか。
A. パラレル
B. 心構え
C. ウォークスルー
D. 紙
回答を見る
正解: C
質問 #92
ある会社が動的ホスト構成プロトコル(DHCP)を導入しようとしている。次の条件があるとして、最も懸念されるのはどれか。
A. ほとんどの従業員がノートパソコンを使っています。
B. パケットフィルタリングファイアウォールを使用。
C. IPアドレス空間はPCの数より小さい。
D. ネットワークポートへのアクセスは制限されていません。
回答を見る
正解: C
質問 #93
ラン・トゥ・ランの合計は、アプリケーション処理のどの段階を通してデータを検証できるか?
A. 初期
B. 様々な
C. 最終
D. 出力
回答を見る
正解: C
質問 #94
侵入検知システム(IDS)には多くの既知の弱点がある。次のうち、IDSの制限でないものはどれですか?
A. 識別と認証スキームの弱点。
B. アプリケーションレベルの脆弱性。
C. アプリケーションへのバックドア
D. ゼロデイ攻撃を検出する。
回答を見る
正解: C
質問 #95
機密データのセキュリティを義務付ける要件への準拠を促進する最良のものはどれか。
A. データの分類
B. セキュリティ意識向上トレーニング
C. 外部データ伝送の暗号化
D. 違反に対する標準化されたエスカレーションプロトコル
回答を見る
正解: A
質問 #96
クライアントサーバ環境のセキュリティをレビューするとき、IS監査人が懸念すべきことはどれか。
A. 暗号化技術によるデータ保護
B. ディスクレスワークステーションによる不正アクセスの防止
C. ユーザーが直接データベースにアクセスし、変更できること。
D. ユーザーのマシンのフロッピードライブを無効にする。
回答を見る
正解: D
質問 #97
システム開発ライフサイクル(SDLC)モデルの設計フェーズで実行されるプロセスは、次のうちどれですか?
A. テスト計画を作成する。
B. スコープクリープを防ぐためのベースライン手順。
C. 解決を必要とするニーズを定義し、ソリューションの主要要件にマッピングする。
D. 新システムをプログラムし、テストする。テストでは、開発されたものを検証し、妥当性を確認する。
回答を見る
正解: A
質問 #98
DBMSにおける次のACID特性のうち、トランザクションの同時実行が、トランザクションがシリアルに、つまり次々に実行された場合に得られるであろうシステム状態になることを保証するものはどれか。
A. 原子性
B. 一貫性
C. 隔離
D. 耐久性
回答を見る
正解: A
質問 #99
論理アクセス制御のレビュー中に、IS監査人はユーザーアカウントが共有されているこ とを観察した。この状況から生じる最も大きなリスクは以下の通りである:
A. 権限のないユーザーがIDを使ってアクセスする可能性がある。
B. ユーザーアクセス管理に時間がかかる。
C. パスワードは簡単に推測される。
D. ユーザーのアカウンタビリティが確立されていない可能性がある。
回答を見る
正解: C
質問 #100
リスク要因を分類するためのリスクアセスメントツールの使用は、IT監査の取り組みにおいて、正式な形で実施されるべきである:
A. リスクコントロールの使用。
B. コンピューター支援機能の使用。
C. コンピュータ支援監査技術ツールを使用する。
D. ガイドラインの作成
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #101
比較的、7層OSIモデルのアプリケーション・レベルで運用されるファイアウォールは、以下のようなものである:
A. ほとんどの場合、効率が悪い。
B. ほとんどの場合、効果は低い。
C. ほとんどの場合、安全性は低い。
D. ほとんどの場合、セットアップにかかるコストは低い。
E. 選択肢のどれでもない。
回答を見る
正解: F
質問 #102
住所フィールドの重複検索に最も適しているのはどれですか?
A. テキスト検索フォレンジック・ユーティリティ・ソフトウェア
B. 汎用監査ソフト
C. 生産性監査ソフトウェア
D. マニュアルレビュー
回答を見る
正解: A
質問 #103
組織のセキュリティポリシーにおいて、セキュリティ侵害を発見した従業員が取るべき行動はどれか。
A. 直ちにマネージャーに報告すること。
B. 直ちにIS監査マネジメントに知らせる。
C. 侵入が可能であることを確認する。
D. 適切な対策を講じる。
回答を見る
正解: C
質問 #104
最も効果的なアンチウイルスソフトはどれか?
A. スキャナー
B. アクティブモニター
C. 完全性チェッカー
D. ワクチン
回答を見る
正解: B
質問 #105
本番コードに不正な変更が加えられていないかどうかを調べるには、次のような監査手順がベストである:
A. 変更管理システムの記録を調べ、オブジェクト・コード・ファイルまでたどる。
B. 本番プログラム・ライブラリ内で操作されているアクセス制御の許可を確認する。
C. オブジェクトコードを調査して変更のインスタンスを見つけ、変更管理記録までさかのぼる。
D. 変更管理システム内で確立された変更承認指定をレビューする。
回答を見る
正解: C
質問 #106
バックアップ処理設備のレビューを行うIS監査人は、以下の点に最も注意を払うべきである:
A. 十分な火災保険がある。
B. ハードウェアの定期的なメンテナンスが行われている。
C. トランザクションファイルとマスターファイルのオフサイトストレージが存在する。
D. バックアップ処理設備は完全にテストされている。
回答を見る
正解: A
質問 #107
フロッピーディスクからファイルをコピーしているときに、あるユーザーがネットワークにウイルスを持ち込んだ。ウイルスの存在を最も効果的に検出できるのはどれか。A:
A. 使用前にすべてのフロッピーディスクをスキャンする。
B. ネットワークファイルサーバーのウイルスモニター
C. すべてのネットワークドライブを毎日定期スキャン
D. ユーザーのパソコンのウイルスモニター
回答を見る
正解: A
質問 #108
次のうち、ハッカーに対して使ってはいけない戦術はどれか?
A. 誘引
B. 囮捜査
回答を見る
正解: C
質問 #109
アクティブなインターネット攻撃を検知するためのおとりとして機能するのはどれか?
A. ハニーポット
B. ファイアウォール
C. トラップドア
D. トラフィック分析
回答を見る
正解: B
質問 #110
デジタル署名の特徴は、送信者がメッセージの生成と送信を後で否定できないようにすることである:
A. データの完全性。
B. 認証。
C. 否認されないこと。
D. リプレイ保護。
回答を見る
正解: D
質問 #111
ネットワーク管理に関するISOの基本タスクとして定義されていないものはどれか。
A. 障害管理
B. 会計資源
C. セキュリティ管理
D. 通信管理
回答を見る
正解: D
質問 #112
コンピュータの予防保守プログラムの有効性と妥当性を評価する際に、IS監査人が最も役立つと考えるのはどれか。
A. システムのダウンタイムログ
B. ベンダーの信頼性数値
C. 定期メンテナンス記録
D. 書面による予防保守スケジュール
回答を見る
正解: B
質問 #113
最終監査報告書が発行されるはずです:
A. 観測に関する合意に達した後。
B. 観測に関する合意に達する前に。
C. 観測に関する合意が得られない場合。
D. 観察に言及することなく。
E. 選択肢のどれでもない。
回答を見る
正解: ABCD
質問 #114
スプリットケーブル設備や二重化ケーブル設備によるデータ伝送をサポートするものは?
A. 多様なルーティング
B. デュアルルーティング
C. 代替ルーティング
D. 冗長ルーティング
回答を見る
正解: B
質問 #115
IS監査人が脅威と潜在的影響を特定した後、監査人は次のことを行うべきである:
A. 既存のコントロールの特定と評価
B. ビジネスインパクト分析(BIA)の実施
C. 既存のコントロールに関する報告
D. 新しいコントロールを提案する
回答を見る
正解: D
質問 #116
監査中に、IS監査人は、組織の事業継続計画(BCP)が復旧プロセス中の情報の機密性に適切に対処していないことを指摘した。IS監査人は、計画を以下のように修正することを推奨すべきである:
A. 事業復旧手順が発動される際に要求される情報セキュリティのレベル。
B. 危機管理体制における情報セキュリティの役割と責任
C. 情報セキュリティリソースの要件
D. 事業継続の取り決めに影響を及ぼす可能性のある、情報セキュリティに関する変更管理手順。
回答を見る
正解: C
質問 #117
クロストークや干渉の影響を受けない伝送メディアはどれか?
A. 銅ケーブル
B. 無線システム
C. 衛星ラジオリンク
D. 光ファイバーケーブル
回答を見る
正解: D
質問 #118
論理アクセス制御を評価する間、IS監査人は以下のステップのうち、1つを除いたすべてのステップに従うべきであるか? 1.関連文書のレビュー、照会、観察などを通じて、情報処理が直面しているセキュリテ ィリスクについて一般的な理解を得る 2.システムへの潜在的なアクセス経路に関する統制を文書化し、評価し、その適切性、効率性、有効性を評価する 3.アクセス経路に関する管理策をテストし、適切な方法を適用することにより、機能し ているか、有効であるかを判断する。
A. 2
B. 3
C. 1
D. 6
回答を見る
正解: A
質問 #119
ファイルに保存期限を適用することで、以下のことが保証されます:
A. 日付が設定されるまで、データを読み取ることはできません。
B. データはそれ以前に削除されることはない。
C. バックアップコピーはその日以降保持されない。
D. 同じ名前のデータセットは区別される。
回答を見る
正解: B
質問 #120
バック・オリフィスはその一例である:
A. ウイルス。
B. 正規のリモートコントロールソフト。
C. インストールされたプログラムの形をとるバックドア。
D. 盗聴者。
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #121
データをデジタル形式からアナログ形式に変換し、再びデジタル形式に戻す電気通信機器は次のうちどれか?
A. マルチプレクサ
B. モデム
C. プロトコルコンバータ
D. コンセントレーター
回答を見る
正解: A
質問 #122
次のうち、主に特定のプロセスや領域における内部統制構造を評価するための監査はどれか。
A. コンプライアンス監査
B. 会計監査
C. 業務監査
D. フォレンジック監査
回答を見る
正解: C
質問 #123
誰がネットワーク・セキュリティ運用の責任を負うべきか?
A. 事業部長
B. セキュリティ管理者
C. ネットワーク管理者
D. IS監査人
回答を見る
正解: B
質問 #124
デジタル・エンベロープはどのように機能するのか?正しい手順は?
A. セッション鍵を使ってデータを暗号化し、送信者の秘密鍵を使ってセッション鍵を暗号化する。
B. セッション・キーでデータを暗号化し、送信者の公開鍵でセッション・キーを暗号化する。
C. セッション鍵を使ってデータを暗号化し、受信者の公開鍵を使ってセッション鍵を暗号化する。
D. セッション鍵を使ってデータを暗号化し、受信者の秘密鍵を使ってセッション鍵を暗号化する。
回答を見る
正解: A
質問 #125
メッセージの送信者が、送信されるメッセージのデジタル署名を作成するために使用する鍵はどれか。
A. 送信者の公開鍵
B. 送信者の秘密鍵
C. 受信者の公開鍵
D. 受信者の秘密鍵
回答を見る
正解: B
質問 #126
バックアップ処理設備のレビューを行うIS監査人は、以下の点に最も注意を払うべきである:
A. 十分な火災保険がある。
B. ハードウェアの定期的なメンテナンスが行われている。
C. トランザクションファイルとマスターファイルのオフサイトストレージが存在する。
D. バックアップ処理設備は完全にテストされている。
回答を見る
正解: A
質問 #127
IS 監査を実施する社内要員は、以下の知識および/またはスキルのうち、どれを有するべきであるか(2 つ選択。):
A. 当該IT環境の範囲に見合った情報システムの知識
B. 問題となる欠陥の根本原因を特定する十分な分析能力
C. 安全なシステム・コーディングに関する十分な知識
D. 安全なプラットフォーム開発に関する十分な知識
E. 当該IT環境の範囲外に相応する情報システム知識
回答を見る
正解: A
質問 #128
パケット交換広域ネットワーク通信のITU-T標準プロトコルスイートはどれか。
A. ポイントツーポイントプロトコル
B. X
C. フレーム・リレー
D. ISDN
回答を見る
正解: C
質問 #129
要求されたシステムの開発、インストール、運用を通じて、ハードウェアとソフトウェア環境の技術サポートを提供する責任は誰にあるのか?
A. システム開発管理
B. 品質保証
C. ユーザー管理
D. 上級管理職
回答を見る
正解: A
質問 #130
次のうち、古くなった磁気テープを廃棄する前に行う最も良い方法はどれか?
A. テープの上書き
B. テープラベルの初期化
C. テープのデガウス
D. テープの消去
回答を見る
正解: D
質問 #131
アクセス・ルールは通常、次のどの文書カテゴリーに含まれますか?
A. 技術参考資料
B. ユーザーマニュアル
C. 機能設計仕様
D. システム開発方法論文書
回答を見る
正解: B
質問 #132
エキスパート・システムの次のコンポーネントのうち、エキスパートが従来のソフトウェア・エンジニアの仲介なしに知識をシステムに入力できるものはどれか?
A. 決定木
B. ルール
C. 意味ネット
D. ナレッジ・インターフェイス
回答を見る
正解: D
質問 #133
統計的なサンプリング手順を使用することで、最小限に抑えることができる:
A. 検出リスク
B. 事業リスク
C. コントロール・リスク
D. コンプライアンス・リスク
回答を見る
正解: C
質問 #134
ソースコード・リポジトリは、以下のように設計されるべきである:
A. 修正されたコードの自動組み込みと配布を提供する。
B. 既存のコードに変更が組み込まれるのを防ぐ。
C. 既存コードの安全なバージョン管理とバックアップ機能を提供する。
D. 開発者が安全なソースコードにアクセスできないようにする。
回答を見る
正解: A
質問 #135
デジタル署名は、送信者が送信者の公開鍵でデータを暗号化し、受信者が受信者の秘密鍵を使って復号化することでデータに「署名」する必要がある。真か偽か?
A. 偽
B. その通り
回答を見る
正解: B
質問 #136
電子送金(EFT)インターフェイスで、資金が利用可能であることを確認するためのアプリケーションレベルの編集チェックは、いつ完了すべきですか?
A. 取引完了前
B. EFTが開始された直後
C. ラン・トゥ・ランの総合テスト中
D. EFT開始前
回答を見る
正解: A
質問 #137
小規模な組織では、開発者が緊急の変更を本番環境に直接リリースすることがあります。このような状況でリスクをコントロールできるのは、次のうちどれでしょうか?
A. 翌営業日に変更を承認し、文書化する。
B. 開発者のプロダクションへのアクセスを特定の時間枠に制限する。
C. 本番稼動前に二次承認を得る
D. 本番マシンのコンパイラオプションを無効にする
回答を見る
正解: A
質問 #138
あるシステムから別のシステムへ一連のデータが転送され、テスト対象のアプリケーションが他のシステムで機能することを検証するテストは、次のうちどれでしょうか?
A. インターフェーステスト
B. 単体テスト
C. システムテスト
D. 最終受入試験
回答を見る
正解: A
質問 #139
あなたは収益性の高い銀行のセキュリティ・スタッフの一員であり、毎日、ネットワーク上のすべてのトラフィックがログに記録され、後で確認できるようになっている。毎週金曜日に大きな入金が行われるとき、あなたはTCPパケットの「Urgent Pointer」フィールドに置かれた一連のビットを目にする。これはわずか16ビットであり、たいしたことではないが、あなたには気になる:
A. これは銀行ネットワーク通信における秘密のチャネリングの兆候である可能性があり、調査が必要である。
B. ネットワークケーブルが損傷している可能性があります。
C. ネットワークカードやドライバの不具合の症状である可能性があります。
D. 前のフィールドの16ビットのチェックサム値が、緊急ポインタの16ビットフィールドにオーバーランしてこの状態を引き起こすことがあるので、これは正常なトラフィックである。
回答を見る
正解: A
質問 #140
悪用プログラムのコードは頻繁に再利用される:
A. トロイの木馬のみ。
B. コンピュータ・ウィルスのみ。
C. OSのパッチャー。
D. イーブドロッパーズ
E. トロイの木馬やコンピュータウイルス。
F. どれにも当てはまらない
回答を見る
正解: A
質問 #141
IPSecプロトコルとSSHプロトコルの違いを正しく表しているのは、次の記述のうちどれですか?
A. IPSecはトランスポート層で動作し、SSHはOSIモデルのネットワーク層で動作する。
B. IPSecはネットワーク層で動作し、SSHはOSIモデルのアプリケーション層で動作する。
C. IPSecはネットワーク層で機能し、SSHはOSIモデルのトランスポート層で機能する。
D. IPSecはトランスポート層で、SSHはOSIモデルのネットワーク層で動作します。
回答を見る
正解: C
質問 #142
次のうち、IPSecのコンポーネントでないものはどれか?
A. 認証ヘッダー
B. セキュリティペイロードのカプセル化
C. キー・ディストリビューション・センター
D. インターネット鍵交換
回答を見る
正解: B
質問 #143
ルーターのようなネットワークデバイスを説明する次の記述のうち、不正確なものはどれか。
A. ルーターはパケットごとに新しいヘッダーを作成する。
B. ルーターはMACアドレスに基づいてルーティングテーブルを構築する。
C. ルーターはブロードキャストパケットを転送しない
D. ルーターはポートごとに異なるネットワークアドレスを割り当てる
回答を見る
正解: B
質問 #144
セキュリティと統制のポリシーがビジネスとITの目標を確実にサポートすることが、その主な目的である:
A. ITセキュリティ・ポリシー監査
B. 加工監査
C. ソフトウェア監査
D. 脆弱性評価
回答を見る
正解: B
質問 #145
インシデントが発生した後にコンポーネントやシステムを修正するコントロールはどれか。
A. 抑止力
B. 予防
C. 是正措置
D. 回復
回答を見る
正解: C
質問 #146
電子商取引に関連する電子署名アプリケーションにおいて、適切なセキュリティと管理が存在することを保証するために、電子証明書のライフサイクルを管理するものはどれか。
A. 登録権限
B. 認証局(CA)
C. 認証移転リスト
D. 認証実務声明
回答を見る
正解: B
質問 #147
データベースに関する次の特徴のうち、正しくないものはどれか。
A. データモデルが存在し、すべてのエンティティが重要な名前を持つべきである。
B. 正規化されたデータには正当な理由がなければならない。
C. プライマリ・キーに NULL を使用すべきではありません。
D. すべての関係は特定のカーディナリティを持たなければならない。
回答を見る
正解: B
質問 #148
すべてのコンピュータルームを適度な温度に保つ必要があります:
A. 華氏60~75度
B. 摂氏10~25度
C. 華氏30~45度
D. 摂氏1~15度
E. 華氏20~35度
F. 摂氏0~5度
回答を見る
正解: ABCD
質問 #149
次のうち、不正や犯罪の発見と開示に主眼を置く監査はどれか。
A. コンプライアンス監査
B. 会計監査
C. 統合監査
D. フォレンジック監査
回答を見る
正解: D
質問 #150
認証局(CA)は、以下のプロセスを委任することができる:
A. 加入者証明書の失効および一時停止。
B. CA 公開鍵の生成と配布。
C. リクエスト・エンティティとその公開鍵との間のリンクを確立する。
D. 加入者証明書を発行し、配布する、
回答を見る
正解: A
質問 #151
監査を計画する上で、最も重要なステップはどれか。
A. COBITのような所定の監査フレームワークの導入
B. 現在のコントロールの特定
C. リスクの高い監査対象の特定
D. テストコントロール
回答を見る
正解: A
質問 #152
統制自己評価(CSA)の最も重要な利点はどれか。
A. CSA は政策/ルール主導である。
B. CSA アプローチでは、リスクはより早く特定される。
C. CSAは従業員の参加を制限している。
D. CSAでは、資源は効果的に使用されている。
回答を見る
正解: B
質問 #153
電気通信の継続性を提供する次の方法のうち、代替メディアを使用するものはどれか?
A. 代替ルーティング
B. 多様なルーティング
C. 長距離ネットワークの多様性
D. ラストマイル回路保護
回答を見る
正解: A
質問 #154
次の監査ツールのうち、監査証跡が必要な場合にIS監査人に最も役立つものはどれか。
A. 統合試験施設(ITF)
B. 連続・断続シミュレーション(CIS)
C. 監査フック
D. スナップショット
回答を見る
正解: A
質問 #155
データ・センターのセキュリティを監査する際、IS監査人は電圧レギュレータの存在を確認する必要がある:
A. ハードウェアは電力サージから保護されている。
B. 主電源が遮断されても完全性は維持される。
C. 主電源が失われた場合、即座に電力が供給される。
D. ハードウェアは長期の電力変動から保護されている。
回答を見る
正解: A
質問 #156
次のうち、企業と政府機関の間の取引をすべてカバーする電子商取引モデルはどれか?
A. BtoCの関係
B. BtoBの関係
C. BtoE関係
D. BtoGの関係
回答を見る
正解: B
質問 #157
新規または変更されたアプリケーション・システムのロジックをテストするためのデータを作成する場合、最も重要なのは次のうちどれですか?
A. 各テストケースに十分な量のデータ
B. 実際の処理で予想される状態を表すデータ
C. スケジュール通りにテストを完了する
D. 実際のデータの無作為サンプル
回答を見る
正解: B
質問 #158
ライブラリー・コントロール・ソフトウェアの目的のひとつは、それを可能にすることだ:
A. プログラマーは、プロダクション・ソースやオブジェクト・ライブラリにアクセスできます。
B. プログラムの一括更新
C. テストが完了する前に、オペレーターがコントロールライブラリを本番バージョンに更新する。
D. ソースコードへの読み取り専用アクセス。
回答を見る
正解: D
質問 #159
インターネットからの攻撃からネットワークを保護するファイアウォールは、次のうちどれがBESTか?
A. スクリーン付きサブネット・ファイアウォール
B. アプリケーション・フィルタリング・ゲートウェイ
C. パケット・フィルタリング・ルーター
D. 回路レベルのゲートウェイ
回答を見る
正解: B
質問 #160
IS監査人がシステム開発プロジェクトに関与する最も重要な理由はどれか。
A. 資源の利用効率を評価する。
B. その後のシステム監査のための監査プログラムを作成する。
C. システムで使用するハードウェアの選択を評価する。
D. 開発中に適切な管理がシステムに組み込まれるようにする。
回答を見る
正解: A
質問 #161
フィールドにゼロや空白ではなくデータが含まれているかどうかを判断するために使用されるデータ検証編集チェックのタイプは、次のうちどれですか?
A. チェックデジット
B. 存在チェック
C. 完全性チェック
D. 合理性チェック
回答を見る
正解: D
質問 #162
アプリケーションの統制のレビューを行うIS監査人は、以下を評価する:
A. ビジネスプロセスを満たすアプリケーションの効率性。
B. 発見された暴露の影響。
C. アプリケーションが提供するビジネスプロセス
D. アプリケーションの最適化
回答を見る
正解: A
質問 #163
オンライン・バンキング取引は、処理が突然停止したときにデータベースに計上される。トランザクション処理の完全性は、BESTによって確保される:
A. データベースの整合性チェック
B. バリデーションチェック
C. 入力コントロール
D. データベースのコミットとロールバック
回答を見る
正解: A
質問 #164
ある組織で、ユーザーがアクセスすることを禁止するWebサイトの種類を定義するポリシーを作成しました。このポリシーを実施するための最も効果的な技術は何ですか?
A. ステートフル・インスペクション・ファイアウォール
B. ウェブコンテンツフィルター
C. ウェブキャッシュサーバー
D. セクション情報資産の保護 プロキシサーバー
回答を見る
正解: A
質問 #165
コンピュータ・システムは、その運用を担当する人間のシステム以上に安全ではありません。悪意のある人物は、信頼できる人物の不注意につけ込んだり、故意に欺いたりすることによって、よく設計された安全なコンピュータ・システムに侵入することが常態化している。 ゾンビ・コンピュータは、次のどのタイプの攻撃から大いに信頼されているか?
A. イーブドロッピング
B. DoS
C. DDoS
D. ATP
E. ソーシャル・エンジニアリング
F. どれにも当てはまらない
回答を見る
正解: B
質問 #166
ギムはよく通用する:
A. SMS
B. IRCチャット
C. 電子メールの添付ファイル
D. ニュースファイルのダウンロード
E. F
回答を見る
正解: ABC
質問 #167
IS監査人として、ソフトウェアのリリース管理プロセスを理解することは非常に重要です。次のソフトウェアのリリースには、通常、小規模な機能強化や修正が含まれているのはどれですか?
A. 主要ソフトウェアリリース
B. マイナーソフトウェアリリース
C. 緊急ソフトウェアリリース
D. 一般ソフトウェアリリース
回答を見る
正解: A
質問 #168
ネットワークデータ管理プロトコル(NDMP)技術は、以下の場合にバックアップに使用されるべきである:
A. ネットワーク・アタッチド・ストレージ(NAS)アプライアンスが必要です。
B. TCP/I Pの使用は避けなければならない。
C. レガシーバックアップシステムで処理できないファイルパーミッションをバックアップする必要があります。
D. 関連する複数のデータボリュームにわたるバックアップの一貫性を確保する必要があります。
回答を見る
正解: C
質問 #169
次の記述のうち、従来の監査アプローチとコントロールの自己評価アプローチとを比較して、正しく説明しているものはどれか。
A. 伝統的なアプローチでは、あらゆるレベルの、あらゆる機能のスタッフが、主要な管理分析者である。
B. 従来のアプローチでは、職務を割り当て/スタッフを監督する。
C. 従来のアプローチは政策主導のアプローチ
D. 従来のアプローチでは、従業員の参加は限られていた。
回答を見る
正解: A
質問 #170
従業員による不正行為に起因する損害に備える保険は、次のうちどれか?
A. 事業の中断
B. 忠実性の補償
C. 誤りと脱落
D. 追加費用
回答を見る
正解: C
質問 #171
ブラックボックス型の侵入検知システムの何が問題なのか?
A. パッチを当てることはできない。
B. テストできない
C. 外部から内部構造を調べることはできない。
D. チューニングできない
E. 選択肢のどれでもない。
回答を見る
正解: B
質問 #172
潜在的な攻撃者を阻止するためのコントロールはどれか。
A. 抑止力
B. 予防
C. 是正措置
D. 回復
回答を見る
正解: A
質問 #173
アプリケーションやシステムに変更を加えた後、プログラマーはどのようなテストを行うべきか?
A. 単体テスト、モジュールテスト、完全回帰テスト
B. モジュールテスト
C. 単体テスト
D. 回帰テスト
回答を見る
正解: C
質問 #174
ある小さな新興企業には、職務分掌を実施するためのリソースがない。次のうち、最も効果的な代替コントロールはどれでしょうか?
A. ログの監視と分析の責任のローテーション
B. 追加のマネジメントレビューと照合
C. 第三者評価
D. 強制休暇
回答を見る
正解: C
質問 #175
IS監査のためのリスクアセスメントのガイドラインは、少なくとも次のどの要素を明記する必要があります。
A. 監査サイクルの最大長。
B. リスク評価のタイミング
C. 文書化の要件。
D. 特別なケースに対処するためのガイドライン
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #176
次の物理的アクセス制御のうち、不正アクセスに対するセキュリティの程度が最も高いものはどれか。
A. ボルト式ドアロック
B. 暗号ロック
C. 電子ドアロック
D. 指紋スキャナー
回答を見る
正解: A
質問 #177
転置エラーや転記エラーの検出に有効なデータ検証編集はどれか。
A. レンジチェック
B. チェックデジット
C. 妥当性チェック
D. 重複チェック
回答を見る
正解: A
質問 #178
ISO 9126は、製品の品質評価を支援するための規格である。次のうち、機能の集合とその指定された特性の存在に関係する属性の集合として定義されるものはどれか。
A. 信頼性
B. ユーザビリティ
C. 機能性
D. 保守性
回答を見る
正解: B
質問 #179
ルーターのアクセス制御リストは、どのようなプロセスで見直すべきか?
A. 環境レビュー
B. ネットワーク・セキュリティ・レビュー
C. 事業継続性レビュー
D. データ完全性レビュー
回答を見る
正解: C
質問 #180
IS管理者は、第4世代言語(4GL)を使用してレガシー顧客対応システムを書き直すことを決定した。4GLを使用したシステム開発に最もよく関連するリスクはどれですか?
A. 不十分なスクリーン/報告書デザイン設備
B. 複雑なプログラミング言語の部分集合
C. OS間の移植性の欠如
D. データ集約的な操作ができない
回答を見る
正解: D
質問 #181
従来のEDIにおいて、標準フォーマットと取引先の独自フォーマットとの間でデータを変換する機能はどれか。
A. 通信ハンドラ
B. アプリケーション・インターフェース
C. 申請システム
D. EDIトランスレータ
回答を見る
正解: B
質問 #182
機密データの入ったハードディスクが修復不可能なほど損傷しています。ハードディスクに保存されているデータへのアクセスを防ぐために、ハードディスクに何をすべきか。
A. ランダムなOとIでハードディスクを書き換える。
B. ハードディスクをローレベルフォーマットする。
C. ハードディスクを消磁する。
D. ハードディスクを物理的に破壊する。
回答を見る
正解: C
質問 #183
サムは金融機関のセキュリティマネジャーである。上級管理職から、IS 監査人から報告されたすべての重要な脆弱性についてリスク分析を行うよう要請された。リスク分析を終えた後、サムはいくつかのリスクについて、費用便益分析によると、リスク軽減のための費用(対策、コントロール、セーフガード)が、発生する可能性のある損失よりも大きいことを確認しました。これらのリスクを処理するために、サムはどのような戦略を上級管理職に推奨すべきか?
A. リスクの軽減
B. リスクの受容
C. リスク回避
D. リスク移転
回答を見る
正解: B
質問 #184
否認防止に対処するために必要なことの大部分は、以下のものを使用することで達成される:
A. 認証とデータの有効性を確保するための強力な方法
B. 認証とデータの完全性を確保するための強力な方法。
C. 認証とデータの完全性を確保するための強力な方法。
D. 認証とデータの信頼性を確保するための強力な方法。選択肢はありません。
回答を見る
正解: A
質問 #185
JavaアプレットとActiveXコントロールは、ウェブブラウザクライアントのバックグラウンドで実行される分散実行可能プログラムです。この慣行は、次のような場合に合理的とみなされます:
A. ファイアウォールが存在する。
B. 安全なウェブ接続が使用される。
C. 実行ファイルのソースが確実である。
D. ホストのウェブサイトはあなたの組織の一部です。
回答を見る
正解: A
質問 #186
あるIS監査人は、コンピュータ化された要素と手作業の要素を持つ複雑なシステムの監査を依頼された。最初に特定すべきはどれか?
A. 手動制御
B. システムリスク
C. プログラム制御
D. 入力検証
回答を見る
正解: B

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.