すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

エースCISA認定試験問題集&学習資料、公認情報システム監査人|SPOTO

SPOTOの総合的な学習資料でCISA認定試験を突破しましょう!弊社の模擬試験、試験問題集および模擬試験は実際のCISA試験を反映したもので、あなたの準備を十分にします。サンプル問題、試験の解答と無料試験問題集を含む膨大な試験資料ライブラリにアクセスできます。弊社の試験シミュレーターは実際の試験環境を再現しますので、試験の形式やタイミングに慣れることができます。定期的にアップデートされる弊社の試験問題および解答で、常に一歩先を行くことができます。SPOTOの専門的な試験準備ツールでCISAの潜在能力を引き出して、あなたの監査能力をアピールしましょう。キーワード:試験問題、サンプル問題、試験資料、模擬試験、試験解答、試験ダンプ、試験シミュレーター。
他のオンライン試験を受ける

質問 #1
組織は、従業員からの電子メールの受信者が、以下の方法で送信者の身元を認証できるようにすることができる:
A. すべての電子メールメッセージに電子署名する。
B. すべての電子メールメッセージを暗号化する。
C. すべての電子メールメッセージを圧縮する。
D. すべての電子メールメッセージをパスワードで保護する。
回答を見る
正解: B
質問 #2
あるIS監査人が、ある企業がシステムにリモートアクセスするために使用しているリモートアクセス方法をレビューしている。セキュリティと管理の観点から、最も好ましくないリモートアクセス方法はどれか。
A. RADIUS
B. TACACS
C. ダイヤルアップ
D. 直径
回答を見る
正解: D
質問 #3
次のうち、分散型ITガバナンス・モデルを導入する理由はどれですか?
A. 標準化された管理と規模の経済
B. 事業部門間のITシナジー
C. 事業部間の一貫性の向上
D. ビジネスニーズへの対応力の向上
回答を見る
正解: B
質問 #4
ベンダーに一時的なアクセスを許可する場合、最も効果的な管理はどれか。
A. ベンダーのアクセスはサービスレベル合意(SLA)に対応する。
B. ユーザーアカウントは有効期限付きで作成され、提供されたサービスに基づいている。
C. 管理者アクセスは期間限定で提供される。
D. 作業が完了するとユーザーIDは削除されます。
回答を見る
正解: C
質問 #5
共通鍵暗号方式に対する非対称暗号方式の利点はどれか。
A. パフォーマンスとスピード
B. 鍵管理は内蔵されている
C. 一括暗号化に最適
D. キーの数が急速に増える
回答を見る
正解: A
質問 #6
変更管理手順は、IS経営陣によって次のように確立される:
A. テスト環境から本番環境へのアプリケーションの移動を制御する。
B. 未解決の問題に注意を払わないことによる事業運営の中断を抑制する。
C. 災害時に事業の中断がないようにする。
D. システムの変更が適切に文書化されていることを確認する。
回答を見る
正解: B
質問 #7
BCPとDRPは、中間管理職やエンドユーザーによって実施され、テストされることが多いが、計画の最終的な責任と説明責任は、○○○○のような経営幹部にある。 空欄を埋める
A. セキュリティ管理者
B. システム監査人
C. 取締役会
D. 会計監査人
回答を見る
正解: A
質問 #8
ネットワークの脆弱性の原因としてよく挙げられるものはどれか?
A. ソフトウェア・モノカルチャー
B. ソフトウェアの多様化
C. シングルライン・オブ・ディフェンス
D. 複数のDMZ
E. 選択肢のどれでもない。
回答を見る
正解: E
質問 #9
口実作りとは、次のような行為である:
A. DoS
B. ソーシャル・エンジニアリング
C. イーブドロッピング
D. ソフトコーディング
E. ハードコーディング
F. どれにも当てはまらない
回答を見る
正解: E
質問 #10
分散DoS攻撃に対する最善の防御策は?
A. システムにパッチを当てる。
B. ウイルスチェッカーを実行する。
C. スパイ防止ソフトを実行する。
D. DoSプログラムを見つけて殺す。
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #11
現在テープ・バックアップを使用しているある組織では、毎週1回フル・バックアップを取り、毎日増分バックアップを取っている。最近、テープバックアップをディスクバックアップに変更した。これは以下の理由で適切である:
A. オフサイト・ストレージ用の高速合成バックアップがサポートされています。
B. ディスクへのバックアップは、テープへのバックアップよりも常に大幅に高速です。
C. テープライブラリはもう必要ない。
D. ディスク上のデータ保存はテープよりも信頼性が高い。
回答を見る
正解: A
質問 #12
ITガバナンスのレビューを計画している間、IS監査人は以下のことを行う可能性が最も高い:
A. 監査委員会の議事録について、IS関連事項およびその管理状況を調査する。
B. 経営陣が採用した統制の枠組みに関する情報を入手する。
C. ビジネスプロセスオーナーの責任が組織全体で一貫しているかどうかを評価する。
D. 取締役会が発行した方針および手順の遵守状況を確認する。
回答を見る
正解: D
質問 #13
インターネット・サイトに対する分散型サービス拒否(DDOS)攻撃は、通常、ハッカーによって次のどれを使って引き起こされるか?
A. 論理爆弾
B. フィッシング
C. スパイウェア
D. トロイの木馬
回答を見る
正解: C
質問 #14
セキュリティ・コントロールの選択は、第一に、以下のことに関連している:
A. 組織のリスク選好度
B. 規制要件
C. ビジネスインパクト評価
D. 類似組織のベストプラクティス
回答を見る
正解: A
質問 #15
オフサイトの情報処理施設:
A. は、プライマリ処理サイトと同程度の物理的アクセス制限を持つべきである。
B. は、緊急時に容易に発見できるよう、外部から容易に識別できるものでなければならない。
C. は、すぐに稼働できるように、発祥地の近くに設置されるべきである。
D. 発地と同レベルの環境モニタリングは必要ない。
回答を見る
正解: B
質問 #16
JavaアプレットとActiveXコントロールは、ウェブブラウザクライアントのバックグラウンドで実行される分散実行可能プログラムです。この慣行は、次のような場合に合理的とみなされます:
A. ファイアウォールが存在する。
B. 安全なウェブ接続が使用される。
C. 実行ファイルのソースは確かである。
D. ホストのウェブサイトは組織の一部である。
回答を見る
正解: B
質問 #17
悪意のあるプログラムにおける隠蔽ルーチンを表す用語として、より一般的に使われているのは次のうちどれか。
A. ウイルス
B. ワーム
C. トロイの木馬
D. スパイウェア
E. ルートキット
F. バックドア
G. 選択肢のどれにも当てはまらない。
回答を見る
正解: C
質問 #18
次のうち、標準的な安全な電子メール保護プロトコルはどれですか?
A. S/MIME
B. SSH
C. SET
D. S/HTTP
回答を見る
正解: D
質問 #19
IS監査プログラムの洗練度と形式は、次のどの要因によって大きく異なるか?
A. ターゲットの経営陣がハンズオンで関与していること。
B. ターゲットの位置
C. ターゲットのサイズと複雑さ。
D. ターゲットの予算
E. ターゲットの人数
F. どれにも当てはまらない
回答を見る
正解: A
質問 #20
堅牢なデータ・セキュリティ・プログラムを開発するために、まず最初に取るべき行動は以下の通りである:
A. モニタリングの実施
B. データ損失防止対策の実施
C. 資産目録を作成する。
D. IT上級管理職へのインタビュー
回答を見る
正解: C
質問 #21
クライアントサーバーアーキテクチャでは、ドメインネームサービス(DNS)が最も重要である:
A. ドメインサーバーのアドレス。
B. 名前/住所の解決サービス。
C. インターネットのIPアドレス。
D. ドメインネームシステム
回答を見る
正解: B
質問 #22
不正侵入防御システム(IPS)の不適切な実装がもたらす最大のリスクは、以下の通りである:
A. システム管理者が確認するにはアラートが多すぎる。
B. IPSトラフィックによるネットワークパフォーマンスの低下。
C. 誤ったトリガーによる重要なシステムやサービスのブロック。
D. IT組織内の専門知識への依存。
回答を見る
正解: A
質問 #23
LAN管理者は通常、以下のことができない:
A. エンドユーザーの責任
B. エンドユーザー・マネージャーに報告する。
C. プログラミングを担当する。
D. LANセキュリティ管理の責任者
回答を見る
正解: A
質問 #24
IS監査人は、IPアドレスとメディアアクセス制御(MAC)アドレスの間の不正なマッピングを検出するために、次のどのプロトコルの構成をレビューすべきか?
A. 単純オブジェクトアクセスプロトコル(SOAP)
B. アドレス解決プロトコル(ARP)
C. ルーティング情報プロトコル(RIP)
D. 伝送制御プロトコル(TCP)
回答を見る
正解: A
質問 #25
IS監査人が、電子情報の交換に関するビジネス・パートナー契約について最も関心を持つべきことは、それが存在するかどうかを判断することである:
A. 共有システムの監査に関する条項。
B. 各パートナーの法務部門によるレビューと承認の証拠。
C. 情報分類のフレームワーク
D. 各パートナーの適切な管理と責任の明確化。
回答を見る
正解: D
質問 #26
IS監査人がアプリケーションシステムの変更管理に関する文書をレビューしているときに、本番稼動前にテストされていないパッチをいくつか発見した。この状況から生じる最も重大なリスクはどれか。
A. 開発者のプロダクションへのアクセス
B. システムの完全性の欠如
C. 古いシステム文書
D. アプリケーションサポートの喪失
回答を見る
正解: B
質問 #27
この図が内部施設を表しており、組織がファイアウォール保護プログラムを導入していると仮定した場合、ファイアウォールはどこに設置すべきか?
A. ファイアウォールは不要
B. Op-3の場所のみ
C. MIS(グローバル)とNAT2
D. SMTP ゲートウェイと op-3
回答を見る
正解: A
質問 #28
インシデント対応計画をテストすることの最も有益な結果はどれか。
A. 検査結果を反映したプランの充実。
B. テスト計画の結果が文書化されている。
C. インシデントのレスポンスタイムが改善された。
D. 対応には上級管理職へのエスカレーションが含まれる。
回答を見る
正解: B
質問 #29
企業の事業継続計画の発動は、以下の項目に対応する所定の基準に基づくべきである:
A. 停止期間。
B. 故障の種類
C. 故障の確率
D. 故障の原因
回答を見る
正解: B
質問 #30
統制の観点から、情報資産を分類する第一の目的は以下の通りである:
A. 割り当てるべきアクセス制御レベルのガイドラインを確立する。
B. すべての情報資産にアクセス制御が割り当てられていることを確認する。
C. リスク評価において経営陣と監査人を支援する。
D. どの資産に損失保険をかける必要があるかを特定する。
回答を見る
正解: A
質問 #31
組織にとって何が災害となるかを判断するために必要なものはどれか。
A. バックアップ戦略分析
B. 脅威の確率分析
C. リスク分析
D. 復興戦略分析
回答を見る
正解: C
質問 #32
フィッシング攻撃は主に以下のような方法で行われる:
A. 電子メールとハイパーリンク
B. SMS
C. チャット
D. 電子メールの添付ファイル
E. ニュース
F. ファイルのダウンロード
G. 選択肢のどれにも当てはまらない。
回答を見る
正解: D
質問 #33
情報所有者の主なセキュリティ責任はどれか。
A. 情報分類に関連する管理の決定
B. 情報分類管理のテスト
C. 情報システムにおけるデータの完全性の維持
D. 情報の分類レベルを決定する
回答を見る
正解: C
質問 #34
データセンターへの脅威が特定された後、IS監査人は経営陣にFIRSTを期待する:
A. 経営陣に必要な措置を勧告する。
B. 近隣企業とリスク管理の実践について話し合う。
C. 特定されたすべての脅威に対処するための手順を実施する。
D. 各脅威が発生した場合の潜在的影響を設定し、定量化する。
回答を見る
正解: D
質問 #35
LAN上で動作し、電子送金(EFT)や注文を処理するeコマース・アプリケーションの場合、データの完全性や機密性の損失を防ぐための最善の対策は何か。
A. データ転送のための仮想プライベートネットワーク(VPN)トンネルの使用
B. アプリケーション内でのデータ暗号化の有効化
C. ネットワークへのアクセス制御の監査
D. アクセスリストのすべての変更をログに記録する
回答を見る
正解: D
質問 #36
すべてのコンピュータ・プログラミング言語は、コマンド・インジェクション攻撃に対して脆弱である。
A. その通り
B. 偽
回答を見る
正解: C
質問 #37
Iptablesは、次のどのフレームワークに基づいているか?
A. ネットフィルター
B. ネットドゥーム
C. ネットチェック
D. ネットセキュア
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #38
相対的に言えば、7 層 OSI モデルのアプリケーション・レベルで運用されるファイアウォールは次のとおりである:D.
A. ほとんどの場合、効率が悪い。
B. ほとんどの場合、効果は低い。
C. ほとんどの場合、安全性は低い。
D. E
回答を見る
正解: B
質問 #39
ユーザーアカウントの無効化に関する情報セキュリティ手順のレビュー中に、IS監査人は、IT部門が解雇された従業員に対してのみネットワークアクセスを無効化していることを発見した。IT管理者は、解雇されたユーザーがネットワークにアクセスできなければ、どのアプリケーションにもアクセスできないと主張している。アプリケーションアクセスに関連する最も大きなリスクは次のうちどれですか?
A. データへの不正アクセス
B. データにアクセスできない
C. 職務分離の欠如
D. 否認防止機能の喪失
回答を見る
正解: A
質問 #40
スタッフローテーションのポリシーを持つ組織において、最も適切なアクセス制御モデルは次のとおりである:
A. 役割ベース。
B. 裁量。
C. 必須。
D. 格子ベース。
回答を見る
正解: A
質問 #41
1999年9月に批准されたIEEE 802.11規格の一部として、WEPはCRC-32チェックサムを使用している:
A. 完全性。
B. 有効性。
C. 正確さ。
D. 守秘義務
E. 選択肢のどれでもない。
回答を見る
正解: S
質問 #42
PCに保存されている機密データを保護するためのコントロールとして、適切なものはどれか。
A. パーソナルファイアウォール
B. ファイルのカプセル化
C. ファイルの暗号化
D. ホストベースの侵入検知
回答を見る
正解: A
質問 #43
ある組織が、データ漏洩の監視をインターネットサービスプロバイダ(ISP)に委託している。IS監査人がこのサービスの有効性を判断する最も良い方法はどれか。
A. ISPにデータ漏洩に対応するスタッフがいることを確認する。
B. ISPの外部監査報告書をレビューする。
C. SLAのデータ漏洩条項の見直し
D. 情報漏えい事故のシミュレーション
回答を見る
正解: B
質問 #44
すべてのシステムに対するバックアップの考慮事項に加えて、オンライン・システムのバックアップを提供する上で重要な考慮事項は次のうちどれですか?
A. システムソフトウェアパラメータの維持
B. トランザクションログの定期的なダンプの確保
C. 祖父・父・息子のファイルバックアップの確保
D. 重要なデータをオフサイトに保管する。
回答を見る
正解: D
質問 #45
ルーターと相互接続機器監視システムの実装に関わるプロトコルは、次のうちどれでしょう?
A. 簡易ネットワーク管理プロトコル
B. ファイル転送プロトコル
C. 簡易メール転送プロトコル
D. テルネット
回答を見る
正解: D
質問 #46
IT災害復旧対策が実施され、何年も定期的にテストされてきたある中規模組織は、正式な事業継続計画(BCP)を策定したばかりである。基本的なBCPの卓上訓練が成功裏に実施された。新しいBCPの妥当性を検証するために、IS監査人が次に実施することを推奨すべきテストはどれですか?
A. IT部門を含む全部門をコンティンジェンシー・サイトに移転し、本格的なテストを行う。
B. 事前に定義された一連のシナリオのウォークスルーテスト。
C. 重要なアプリケーションのテストに関与するビジネス部門とIT災害復旧テスト
D. ITの関与が限定されたシナリオの機能テスト
回答を見る
正解: B
質問 #47
リスクベースのIS監査プログラムを策定する際、IS監査人が最も重視すべきはどれか。
A. 事業計画
B. ビジネスプロセス
C. IT戦略計画
D. ポートフォリオ管理
回答を見る
正解: D
質問 #48
トロイの木馬Trojan.Linux.JBellzは、どのような形式の不正なファイルとして実行されますか?
A. Eメール。
B. MP3。
C. MS Office。
D. ワードテンプレート。
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #49
クロスサイト・スクリプティング(XSS)のリスクを最小化するための最も効果的な対策はどれか。
A. 定期的な脆弱性評価
B. 安全なコーディングの実践
C. ネットワーク侵入防御システム
D. ウェブファイアウォールポリシー
回答を見る
正解: D
質問 #50
ホスティング・サーバーには1つの秘密鍵があり、公開鍵は顧客に広く配布されるような非対称暗号化をインターネットの電子商取引サイトで使用することは、顧客に快適さを提供する可能性が最も高い:
A. ホスティング組織の真正性についての顧客。
B. 顧客の真偽をめぐるホスティング組織。
C. ホスティング組織からのメッセージの機密性に対する顧客。
D. 顧客に渡されるメッセージの機密性に関するホスティング組織。
回答を見る
正解: B
質問 #51
効果的な取引管理は、多くの場合、次のどのような利点を提供することができる(4つ選べ):
A. 管理費と材料費の削減
B. 契約サイクルタイムの短縮
C. 強化された調達決定
D. 法的リスクの軽減
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #52
次の記述のうち、全体浸水と局所適用消火剤の違いを正しく表しているものはどれか。
A. ローカルアプリケーションの設計には、火災空間を囲む物理的な障壁が含まれている。
B. 全体浸水設計には、火災空間を囲む物理的バリアが含まれているのに対し、局所適用設計の消火器には物理的バリアが存在しない。
C. 全浸水および局所適用消火剤では、火災空間を囲む物理的障壁が存在しない。
D. 全浸水および局所適用消火剤において、火災空間を囲む物理的障壁が存在する。
回答を見る
正解: D
質問 #53
デジタル署名の使用:
A. ワンタイム・パスワード・ジェネレーターの使用が必要です。
B. メッセージに暗号化を提供する。
C. メッセージの送信元を検証する。
D. メッセージの機密性を確保する。
回答を見る
正解: C
質問 #54
クラウド・プロバイダーが提供する情報セキュリティ・サービスについて、組織が継続的な保証を得られるのは次のうちどれか。
A. 情報セキュリティリスクプロファイルの継続的モニタリング
B. プロバイダーのセキュリティ・インシデント対応計画の評価
C. 事業者による定期的な自己評価の義務付け
D. 提供者の役割と責任の明確化
回答を見る
正解: D
質問 #55
バイオメトリクス・アクセス制御の評価に使用されるのはどれか。
A. ファー
B. EER
C. ERR
D. FRR
回答を見る
正解: C
質問 #56
次のIS機能のうち、適切な職務分掌を実現しつつ、同じグループまたは個人が実行できるものはどれか。
A. コンピューター操作とアプリケーション・プログラミング
B. データベース管理およびコンピュータ操作
C. セキュリティ管理とアプリケーション・プログラミング
D. アプリケーション・プログラミングとシステム分析
回答を見る
正解: D
質問 #57
IPスプーフィング攻撃を防ぐために、ファイアウォールは以下の場合にパケットをドロップするように設定すべきである:
A. ソースルーティングフィールドが有効になっている。
B. 宛先フィールドにブロードキャストアドレスを持っている。
C. TCPコネクションのリセットフラグ(RST)がオンになっている。
D. 静的ルーティングの代わりに動的ルーティングが使用されます。
回答を見る
正解: B
質問 #58
IS管理者は、通信コストを削減するためにVoIP(Voice-over Internet Protocol)ネットワークを検討している。次のセキュリティ対策のうち、最も適切なものはどれか。
A. ファイアウォールの機能を見直し、必要に応じてアップグレードする。
B. リモートメンテナンスサポートが利用できるようにモデムを設置する。
C. VoIPトラフィックを処理するために、物理的に独立したネットワークを構築する。
D. すべてのVoIPトラフィックをリダイレクトし、認証情報のクリアテキストロギングを許可する。
回答を見る
正解: B
質問 #59
次のうち、ApacheとSSLの組み合わせとして有効なものはどれか(3つ選べ):
A. Apache-SSL プロジェクト
B. サードパーティのSSLパッチ
C. mod_ssl モジュール
D. mod_css モジュール
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #60
システム侵入に対して最も効果的なのはどれか?
A. 連続モニタリング
B. レイヤープロテクション
C. 侵入テスト
D. 二要素認証
回答を見る
正解: D
質問 #61
ある組織で、ユーザーがアクセスすることを禁止するWebサイトの種類を定義するポリシーを作成しました。このポリシーを実施するための最も効果的な技術は何ですか?
A. ステートフル・インスペクション・ファイアウォール
B. ウェブコンテンツフィルター
C. ウェブキャッシュサーバー
D. プロキシサーバー
回答を見る
正解: C
質問 #62
大規模なシステム開発プロジェクトを計画する際、ファンクションポイント分析が役立つだろう:
A. プロジェクトの経過時間を見積もること。
B. システム開発タスクの規模を見積もる。
C. 業務再設計の一助として、システム利用者が担う機能を分析する。
D. システムまたはプログラムが引き受けるビジネス機能を決定する。
回答を見る
正解: C
質問 #63
情報セキュリティリスク分析BESTは、組織が以下のことを確実に実行できるように支援する:
A. 保護が必要な資産に関して、費用対効果の高い決定がなされる。
B. 組織が適切なセキュリティ技術を導入する
C. インフラストラクチャーには、適切なレベルのアクセス制御がある。
D. セキュリティプロセスに適切なレベルの資金が投入される
回答を見る
正解: B
質問 #64
新たな情報セキュリティ投資を正当化する根拠として、最も適切なものはどれか。
A. 主要業績評価指標(KPI)の定義
B. リスクの減少予測
C. 包括的な脅威分析の結果
D. プロジェクトの優先順位付けにおける上級管理職の関与
回答を見る
正解: D
質問 #65
ソフトウェアリリースのベースラインの記録を支援するために、IS監査人が推奨すべきプロセスはどれか。
A. 変更管理
B. バックアップとリカバリー
C. インシデント管理
D. 構成管理
回答を見る
正解: A
質問 #66
導入後のレビューを実施する際、ITプロジェクトの価値が達成されたかどうかを判断する最も良い方法はどれか。
A. 投資利益率(ROI)を計算した。
B. 利害関係者にインタビューする。
C. アーンドバリュー分析(EVA)を実施する。
D. エンドユーザーを調査する。
回答を見る
正解: A
質問 #67
ファイアウォールが新しい場所に配備されます。配備を成功させるために最も重要な要素は次のうちどれですか?
A. ログを頻繁に見直す
B. ルールのテストと検証
C. 新拠点でローカル管理者をトレーニングする
D. ファイアウォール管理業務の共有
回答を見る
正解: B
質問 #68
組織が統制自己評価(CSA)の手法を採用することによって得られる主な利点は、以下のとおりである:
A. は、後で詳細なレビューが必要になる可能性のあるリスクの高い領域を特定することができる。
B. IS監査人が独立してリスクを評価できるようにする。
C. 従来の監査の代わりとして使用できる。
D. 経営陣が管理責任を放棄することができる。
回答を見る
正解: B
質問 #69
パスワードはこうあるべきだ:
A. 初回ログオン時にセキュリティ管理者によって割り当てられる。
B. ユーザーの判断で30日ごとに変更。
C. ユーザーがパスワードを忘れないように、頻繁に再利用する。
D. ユーザーが正しく入力されたことを確認できるように、画面に表示される。
回答を見る
正解: C
質問 #70
重要なビジネスアプリケーションのフェイルオーバーテストを実施する前に、情報セキュリ ティマネージャは以下のことを行うことが最も重要である:
A. 回復チームから署名入りのリスク承諾書を入手する。
B. 経営幹部の承認を得る
C. テストが行われていることをユーザーに知らせる。
D. 情報資産が適切に分類されていることを確認する。
回答を見る
正解: A
質問 #71
事業継続計画(BCP)を策定する際、最初に実施すべきことはどれか。
A. 事業継続トレーニングの開発
B. オペレーションを分類する
C. ビジネスインパクト分析(BIA)の実施
D. 災害復旧計画(DRP)の策定
回答を見る
正解: A
質問 #72
リスクを適切に軽減するための予防策が実行不可能な場合、情報セキュリティマネジャーが実行すべき最も重要な行動はどれか。
A. 容認できないリスクレベルの特定
B. 影響を管理する
C. 潜在的脅威の評価
D. 脆弱性の評価
回答を見る
正解: B
質問 #73
データセンターにおいて、物理的な鍵を電子入力システムに置き換える主な利点はどれか。
A. 監査証跡の作成
B. データマイニングが可能
C. コンプライアンスの徹底
D. コスト削減
回答を見る
正解: A
質問 #74
次のうち、ワイヤレスネットワークにおけるWi-Fi Protected Access(WPA)の機能はどれですか?
A. セッション鍵は動的である。
B. 対称秘密鍵の使用
C. キーは静的で共有
D. 送信元アドレスは暗号化も認証もされない
回答を見る
正解: D
質問 #75
サイバー攻撃から回復するために最も重要な行動はどれか?
A. インシデント対応チームの創設
B. サイバー・フォレンジック調査官の活用
C. 事業継続計画の実行
D. 保険金請求
回答を見る
正解: C
質問 #76
本番稼動に移行するソフトウェアの変更に対するビジネス・オーナーの承認は、第一義的には以下のために必要である:
A. アプリケーションの機能要件が満たされていることを確認する。
B. データへの不正アクセスを防ぐ。
C. 新機能のデプロイメントを管理者に知らせる。
D. システムの変更を管理するプロセスがあることを確認する。
回答を見る
正解: C
質問 #77
データ分類プログラムを開始する最初のステップはどれですか?
A. リスク選好度評価
B. データ資産のインベントリ
C. データ所有権の譲渡
D. 感度レベルの割り当て
回答を見る
正解: A
質問 #78
ユーザーは、企業の仮想プライベートネットワーク(VPN)にアクセスするために、PINと組み合わせて使用するセキュリティトークンを発行されています。PINに関して、セキュリティポリシーに含めるべき最も重要なルールは何ですか?
A. 利用者は、トークンを盗まれる可能性のある場所に放置してはならない。
B. ユーザーは、トークンをラップトップコンピュータと同じバッグに入れてはなりません。
C. ユーザは、繰り返しのない、完全にランダムな暗証番号を選択する必要があります。
D. 利用者は決して暗証番号を書き留めてはならない。
回答を見る
正解: D
質問 #79
ボットネットでは、メールボットが特定の種類のシステムにログインして、連携して攻撃を試みます。どのような種類のシステムですか?
A. チャットシステム
B. SMSシステム
C. 電子メールシステム
D. ログシステム
E. カーネルシステム
F. どれにも当てはまらない
回答を見る
正解: B
質問 #80
データ漏洩防止(DLP)ソリューションを導入するビジネスケースとして、最も適切なものはどれか。
A. 送信メール量の異常な増加傾向
B. 過去のデータ漏洩インシデントの可視性の欠如
C. DLP投資の業界ベンチマーク
D. データ漏洩の脅威に関するリスク評価
回答を見る
正解: B
質問 #81
セキュリティサーバ監査では、(2つ選べ:)
A. 適切な職務分掌
B. 適切なユーザートレーニング
C. 継続的かつ正確な監査証跡
D. 適切な申請ライセンス
E. システムの安定性
F. システムのパフォーマンスとコントロール
G. 選択肢のどれにも当てはまらない。
回答を見る
正解: A
質問 #82
成功するリスクベースのIT監査プログラムは、以下に基づいている必要があります:
A. 効果的な採点システム。
B. 効果的なPERT図
C. 効果的な部門別ブレーンストーミング・セッション。
D. 効果的な組織全体のブレーンストーミング・セッション。
E. 効果的な年間予算。
F. どれにも当てはまらない
回答を見る
正解: B
質問 #83
デジタル証明書の検証プロセスをレビューする場合、最も重大なリスクは次のうちどれですか。
A. 鍵の危殆化を報告する登録機関(RA)がない。
B. 証明書失効リスト(CRL)が最新でない。
C. デジタル証明書には、メッセージの暗号化とデジタル署名の検証に使用される公開鍵が含まれている。
D. 利用者は、鍵の危殆化を認証局(CA)に報告する。
回答を見る
正解: B
質問 #84
会計監査中に重要なスプレッドシートをレビューするIS監査人が、最も懸念するのはどれか。
A. 定期的なアクセスレビューは手動で行われる。
B. ファイルの変更は必ずしも文書化されていない。
C. アクセス要求は手動で処理される。
D. 現在有効なファイルのコピーはありません。
回答を見る
正解: D
質問 #85
次の暗号化方式のうち、安全に分散されたキーコードのペアを使用し、1つのメッセージのエンコードとデコードに1度だけ使用するものはどれか。
A. フグ
B. トリップワイヤ
C. 証明書
D. DES
E. ワンタイムパッド
F. どれにも当てはまらない
回答を見る
正解: D
質問 #86
組織がデータ漏洩から保護する最も効果的な方法はどれか。
A. 定期的なセキュリティ意識向上トレーニングを実施する。
B. 従業員のインターネットアクセスを制限する。
C. ファイアウォールのログに異常がないか確認する。
D. 包括的なデータ損失防止ポリシーを策定する。
回答を見る
正解: B
質問 #87
次の選択肢のうち、PBXの機能を説明しているものはどれですか?
A. ボイスメール -メッセージを一元的に保管し、パスワードを使用することにより、内線または外線からメッセージを取り出すことができる。
B. テナント-他のユーザーに重要なメッセージを伝えるために、通話中の回線に割り込むことができる。
C. 自動コール分配 - 着信コールが次に利用可能なエージェントに分配されるか、または利用可能になるまで保留されるようにPBXを設定できます。
D. 診断 -通常の通話制限手順をバイパスすることができます。
回答を見る
正解: A
質問 #88
相互接続された企業ネットワークにおいて、最も効果的なウイルス対策ソフトウェアの導入戦略はどれか。
A. サーバーウイルス対策ソフトウェア
B. ウイルス壁
C. ワークステーションのウイルス対策ソフトウェア
D. ウイルスシグネチャの更新
回答を見る
正解: A
質問 #89
組織の施設内にある端末やワークステーションを経由した不正なシステムアクセスの可能性は、以下のような場合に高まる:
A. 施設内には、ノートパソコンをネットワークに接続するためのコネクティングポイントが用意されています。
B. ユーザーは、パスワードの機密性を保つために予防措置を講じる。
C. パスワードで保護されている端末は、安全でない場所に設置されている。
D. 端末は、管理者の監督のもと、施設内に小さなクラスターで配置されている。
回答を見る
正解: C
質問 #90
データ保護の最も重要な目的はどれか。
A. 情報へのアクセスが必要な人を特定する 説明/参照説明
B. 情報の完全性の確保
C. IS システムへのアクセスの拒否または許可
D. 論理アクセスの監視
回答を見る
正解: D
質問 #91
組織Aは、組織とSaaS契約(Software as a Service Agreement)を締結している。
A. B
B.
A. 災害時にアプリケーションを復旧できる保証が最も大きいのはどれですか?
C.
A. 組織Bは災害復旧の責任を負い、サービス中断の責任を負う。
D. B
E. C
F.
A.
G. D
回答を見る
正解: B
質問 #92
強力な認証の一般的な実装は、認証の取り組みにおいて、以下のどの要素を使用するか(3つ選 択):
A. 知っていること
B. あなたが持っているもの
C. あなたがいるもの
D. 過去に同じシステムでやったことがあること」。
E. 同じシステムにインストールしたもの
F. どれにも当てはまらない
回答を見る
正解: ABC
質問 #93
銀行員による電信送金詐欺を防止する方法として、最も適切なものはどれか。
A. 電信送金金額の再入力
B. 独立した和解
C. 二要素認証制御
D. システムによる二重制御
回答を見る
正解: B
質問 #94
IS監査人は、ある組織が新しく開発した情報システムの導入後レビューの結果を評価している。監査人の主な焦点は次のうちどれですか?
A. 調達契約は終了しました。
B. 教訓が明らかにされた。
C. 災害復旧計画が更新された。
D. 便益実現分析が完了した。
回答を見る
正解: C
質問 #95
災害復旧準備の完全性を評価する指標として、最も適切なものはどれか。
A. 復興計画の公表件数
B. 成功したテストと失敗したテストの比率
C. 全申請件数に占める復興計画文書の割合
D. 総使用量に対する試験済み使用量の割合
回答を見る
正解: C
質問 #96
適切に計画されたリスクベースの監査プログラムは、多くの場合、次のどのような利点を提供できるか?
A. 監査の効率性と有効性。
B. 監査効率のみ。
C. 監査の効果のみ。
D. 監査の透明性のみ。
E. 監査の透明性と有効性。
F. どれにも当てはまらない
回答を見る
正解: AC
質問 #97
監査リスクを説明するのに最も適切なものはどれか。
A. 会社は冤罪で訴えられている。
B. 財務報告書には、未検出の重大な誤りが含まれている可能性がある。
C. 主要従業員が2年間休暇を取っていない。
D. 従業員が資金を不正に流用していた。
回答を見る
正解: D
質問 #98
事業継続計画のテストを実施する際、最も重要な考慮事項はどれか。
A. このテストは、実際のゴールデンタイムの処理状況をシミュレートしている。
B. テストは運用への影響を減らすために予定されている。
C. このテストでは、ITメンバーがテストプロセスに参加する。
D. テストは重要な構成要素に対処する。
回答を見る
正解: C
質問 #99
ある組織のソフトウェア開発者は、特定のデータ形式で保存された個人を特定できる情報(PII)にアクセスする必要があります。開発者が開発環境とテスト環境でこの機密情報を使用できるようにしながら、この機密情報を保護する最善の方法はどれか。
A. データのマスキング
B. データの暗号化
C. データのトークン化
D. データの抽象化
回答を見る
正解: C
質問 #100
次のうち、ipfwadmの書き換えはどれですか?
A. ipchains
B. iptables
C. ネットフィルター
D. ipcook
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #101
次のうち、事業継続計画の発動が最も必要となりそうなものはどれか。
A. メールサーバーへの分散型サービス拒否攻撃
B. データセンターで発見された無許可の訪問者
C. スタッフの職務遂行を妨げる伝染病
D. 個人を特定できる情報を人質に取ったハッカー。
回答を見る
正解: A
質問 #102
回復時点目標(RPO)が必要なのは、次のうちどれですか?
A. 情報セキュリティ計画
B. インシデント対応計画
C. 災害復旧計画
D. 事業継続計画
回答を見る
正解: D
質問 #103
年次監査サイクルにおいて、ある組織のIT部門に対する監査で多くの発見があった。次の監査を計画する際に、最も重要な考慮事項はどれでしょうか?
A. 欠陥部分に限定した審査
B. すべての推奨事項が実施されたことを確認する。
C. すべての指摘事項が是正されるまで審査を延期する。
D. すべての推奨事項の状況のフォローアップ
回答を見る
正解: C
質問 #104
ウェブベースのコミュニケーション技術の普及による組織のリスクを軽減する最も効果的な方法はどれか。
A. ウェブベースのコミュニケーション技術の使用を容認する全社的な方針を発表する。
B. ウェブベースの通信に関するリスク認識トレーニングを IT セキュリティプログラムに組み込む。
C. C
D. ユーザーデバイスから、ウェブベースの通信を許可していないページへのアクセスをブロックする。
回答を見る
正解: B
質問 #105
アクティブなRFID(無線周波数ID)タグは、次のどの被曝の影響を受けるか?
A. セッションハイジャック
B. 盗聴
C. 悪意のあるコード
D. フィッシング
回答を見る
正解: C
質問 #106
トークンベースの認証を使用することで防止できる脅威は、次のうちどれですか?
A. ネットワーク上のパスワードスニッフィング攻撃
B. ネットワークのセッション盗聴攻撃
C. クライアントへの中間者攻撃
D. ネットワーク上のサービス拒否攻撃
回答を見る
正解: C
質問 #107
中小規模の組織において、インターネット経由でプライベート・ネットワークを接続する方法として、最も安全で経済的なものはどれか。
A. 仮想プライベートネットワーク
B. 専用線
C. 専用線
D. 統合サービス・デジタル・ネットワーク
回答を見る
正解: B
質問 #108
組織が事業継続計画を策定する理由として、最も適切なものはどれか。
A. 情報システムとプロセスの詳細な説明を作成する。
B. 情報システムとプロセスのユーザーを特定する
C. 主要なシステムやプロセスの障害から生じるコストを回避する。
D. システム、プロジェクト、戦略の事業単位での優先順位付けを確立する。
回答を見る
正解: B
質問 #109
災害復旧計画を策定する際に考慮すべき最も重要なものはどれか。
A. 事業継続計画(BCP)
B. 実現可能性評価
C. ビジネスインパクト分析(BIA)
D. 費用便益分析
回答を見る
正解: A
質問 #110
予算の制約がある組織において、職務分掌の問題に対処する最善の方法はどれか。
A. 独立監査を実施する。
B. 定期的に職務をローテーションする。
C. 代償措置を実施する。
D. 臨時スタッフを雇う。
回答を見る
正解: D
質問 #111
A. F
A. ローカルDoS攻撃B
回答を見る
正解: A
質問 #112
ある組織は、個人情報を含むデータベースが、接続性の問題により不完全なオンライントランザクションで更新されないようにするためのコントロールを導入した。次の情報属性のうち、このコントロールが主に対処するものはどれか。
A. 完全性
B. 守秘義務
C. 可用性
D. コンプライアンス
回答を見る
正解: A
質問 #113
組織がカスタム開発したアプリケーションの長期使用を契約する場合、最も重要なのはどれか?
A. 文書化されたコーディング基準
B. エラー訂正管理
C. 契約更新条項
D. エスクロー条項
回答を見る
正解: A
質問 #114
セキュリティ監査において、データの機密性を確実に管理するために最も重要な見直しはどれか。
A. アクセス制御
B. データの流れ
C. アクセスログの監視
D. ネットワーク構成
回答を見る
正解: A
質問 #115
事業継続計画を更新し、再テストする最も重要な理由はどれか。
A. スタッフの離職率
B. 新技術
C. 事業の大幅な変更
D. 業界のベストプラクティスに合致
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: