すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISA試験対策問題&模擬試験, 公認情報システム監査人|SPOTO

SPOTOの包括的な練習問題と模擬試験で、あなたのCISA認定準備能力を高めましょう。綿密に作成された教材は、サンプル問題、オンライン試験問題、本番の模擬試験など、幅広いトピックをカバーしており、本番の試験に万全の態勢で臨むことができます。詳細な解説とパフォーマンス分析を通じて、知識のギャップを特定し、重要なコンセプトを強化します。定期的に更新される無料試験問題集や試験問題と解答を含む試験資料にアクセスし、最新の目標に対応することができます。時間制限のある模擬試験を含む、リアルな試験シミュレータで実際の試験環境をシミュレートします。SPOTOの証明されたCISAの練習リソースで、あなたの監査の潜在能力を引き出し、認定を成功させましょう。
他のオンライン試験を受ける

質問 #1
ローカル・エリア・ネットワーク(LAN)の管理者は、通常、以下のことを制限される:
A. エンドユーザーの責任
B. エンドユーザー・マネージャーへの報告
C. プログラミングを担当する。
D. LANセキュリティ管理の責任者
回答を見る
正解: B
質問 #2
適切なファイアウォール・ポリシーを作成するための最初のステップは何ですか?
A. 最小特権の原則に従ってユーザーにアクセスを割り当てる。
B. 適切なファイアウォールのハードウェアとソフトウェアの決定
C. メールサーバー、ウェブサーバー、FTPサーバーなどのネットワークアプリケーションを特定する。
D. ファイアウォールのアクセスルールを設定する
回答を見る
正解: B
質問 #3
IS 監査人は、本番データおよびシステムへのアクセス権を認可する責任が、監査人に委ね られることを期待すべきである:
A. プロセス・オーナー
B. システム管理者
C. セキュリティ管理者
D. データ所有者
回答を見る
正解: B
質問 #4
組織のISセキュリティポリシーに含めるべきものはどれか。
A. 確保すべき主要なITリソースのリスト
B. アクセス認可の根拠
C. 機密セキュリティ機能の識別
D. 関連するソフトウェアのセキュリティ機能
回答を見る
正解: A
質問 #5
IS監査人はコンソールログに何を期待するのだろうか?
A. パスワード詐称の証拠
B. システムエラー
C. データコピー活動の証拠
D. パスワード共有の証拠
回答を見る
正解: A
質問 #6
情報プライバシーの原則に準拠しているかどうか、新しいアプリケーションをレビューするIS監査人は、最も関心を持つべきである:
A. 否認されないこと
B. 回収制限
C. 可用性
D. 意識
回答を見る
正解: B
質問 #7
プログラムの変更管理を評価する過程で、IS監査人はソースコード比較ソフトを使って次のことを行うだろう:
A. IS担当者からの情報なしに、ソースプログラムの変更を調べる。
B. ソースのコピーを取得してから比較を実行するまでの間に行われたソースプログラムの変更を検出する。
C. コントロールコピーが本番プログラムの最新バージョンであることを確認する。
D. 現在のソースコピーで行われたすべての変更が検出されるようにする。
回答を見る
正解: A
質問 #8
ユーザーをその職務を遂行するために必要な機能に制限するもので、最も適切なものはどれか。
A. アプリケーションレベルのアクセス制御
B. データの暗号化
C. フロッピーディスクドライブを無効にする
D. ネットワーク監視装置
回答を見る
正解: D
質問 #9
ある会社では、毎週の給与計算を銀行で行っている。タイムシートと給与調整フォーム(時給の変更、解雇など)が記入され、銀行に提出される。給与データの正確性を確保するため
A. 給与支払報告書は、入力フォームと比較されるべきである。
B. 給与総額は手動で再計算すべきである。
C. チェック(小切手)は入力フォームと比較されるべきである。
D. 小切手(チェック)は、出力レポートと照合すべきである。
回答を見る
正解: C
質問 #10
ソーシャル・エンジニアリング攻撃の潜在的影響を軽減するのはどれか?
A. 規制要件の遵守
B. 倫理的理解の促進
C. セキュリティ意識向上プログラム
D. C
E. D
回答を見る
正解: C
質問 #11
IS監査人は、新システムの本番稼働の準備状況を判断するために、導入前レビューを実施している。監査人の主な関心事は、以下の点である:
A. プロジェクトは予算と目標期日を遵守した。
B. ユーザーは品質保証(QA)テストに参加した。
C. 未解決の高リスク項目がある。
D. 利益の実現が証明されている
回答を見る
正解: C
質問 #12
セキュリティ監査の間、IS 監査人は、企業の侵入防御システム(IPS)から取得したログエントリをレビューする使 命を与えられている。監査人が、IPS設定のエラーを示す可能性のある一連のログイベントを見落とす可能性に関連するリスクの種類はどれか。
A. 内在的リスク
B. サンプリングリスク
C. コントロールリスク
D. 検出リスク
回答を見る
正解: D
質問 #13
人事(HR)部門は、従業員が企業イントラネット上のWebサイトを通じて福利厚生に登録できるシステムを開発した。次のうち、データの機密性を保護するものはどれでしょうか?
A. SSL暗号化
B. 二要素認証
C. 暗号化セッションクッキー
D. IPアドレス検証
回答を見る
正解: A
質問 #14
ソーシャル・エンジニアリング攻撃が成功する最も可能性の高い説明は、次のとおりである:
A. コンピューターが論理エラーを起こすこと。
B. 人は判断ミスを犯すということ。
C. 攻撃者のコンピュータ知識。
D. 攻撃手法の技術的洗練度。
回答を見る
正解: A
質問 #15
ソーシャル・エンジニアリングのインシデントを最も効果的に減らすことができるのはどれか?
A. セキュリティ意識向上トレーニング
B. 物理的なセキュリティ対策の強化
C. 電子メール監視ポリシー
D. 侵入検知システム
回答を見る
正解: B
質問 #16
統制を検証するためにオペレーティングシステムの構成を調べるIS監査人は、トランザクションログをレビューすべきである。
A. B
B. C
C. D
回答を見る
正解: C
質問 #17
ある多国籍企業のIS管理者は、既存の仮想プライベートネットワーク(VPN)をアップグレードして、トンネリングによるVoIP通信をサポートすることを検討している。次の検討事項のうち、最優先で対処すべきものはどれですか?
A. 信頼性とサービス品質(QoS)
B. 認証手段
C. 音声通信のプライバシー
D. データ伝送の機密性
回答を見る
正解: B
質問 #18
データベース管理者が、非正規化によって解決できるテーブルのパフォーマンス問題を検出しました。このような状況では、次のようなリスクが高まります:
A. 同時アクセス。
B. デッドロック。
C. データへの不正アクセス。
D. データの整合性が失われる。
回答を見る
正解: B
質問 #19
IS監査人が、境界ネットワークゲートウェイにおけるファイアウォール保護機能の欠如を指摘する監査報告書を発行し、この脆弱性に対処するベンダー製品を推奨した。IS監査人は行使に失敗した:
A. プロとしての独立性
B. 組織の独立性。
C. 技術的能力
D. プロとしての能力
回答を見る
正解: B
質問 #20
バッチアップロードが正常に完了したことを示す証拠として、最も適切なものはどれか。
A. バッチジャーナルへのサインオフ
B. シーケンス制御の使用
C. バッチ切断時間の強制
D. プロセスログのレビュー
回答を見る
正解: B
質問 #21
あるIS監査人が、ショッピングモールの無線顧客向けにインターネット接続サービスを提供している通信会社のネットワーク・セキュリティ・レビューを行っている。同社は、顧客の支払い情報を保護するために、ワイヤレス・トランスポート・レイヤー・セキュリティ(WTLS)とセキュア・ソケット・レイヤー(SSL)技術を使用している。IS監査人が最も懸念すべきは、ハッカーが次のようなことを行った場合である:
A. ワイヤレス・アプリケーション・プロトコル(WAP)ゲートウェイを侵害する。
B. サーバーの前にスニッフィング・プログラムをインストールする。
C. 顧客のPDAを盗む。
D. 無線通信を聞く。
回答を見る
正解: D
質問 #22
従業員が解雇された場合、最も重要な措置は以下の通りである:
A. 指定された別の従業員に、従業員のファイルをすべて引き渡す。
B. 従業員の仕事のバックアップを完了する。
C. 他の従業員に解雇を通知する。
D. その従業員の論理アクセスを無効にする。
回答を見る
正解: A
質問 #23
ある組織の承認済みソフトウェア製品リストを確認する際、最も重要な確認事項はどれか。
A. 製品の使用に関連するリスクを定期的に評価する。
B. ソフトウェアの最新バージョンは、製品ごとに記載されています。
C. ライセンスの問題があるため、リストにはオープンソース・ソフトウェアは含まれていません。
D. 営業時間外のサポート
回答を見る
正解: A
質問 #24
公開鍵基盤(PKI)におけるディレクトリサーバの役割を最もよく表しているのはどれか。
A. ネットワーク上で送信される情報を暗号化する。
B. 他のユーザの証明書をアプリケーションで利用可能にする
C. パスワードポリシーの実施を容易にする
D. 証明書失効リスト(CRL)の保存
回答を見る
正解: C
質問 #25
ある会社は、すべてのプログラム変更要求(PCR)を承認し、すべての変更を自動的に記録することを要求している。次のIS監査手順のうち、本番プログラムに未承認の変更が行われたかどうかを判断するのに最適なものはどれか。
A. プログラム変更プロセス全体を通じて、PCRのサンプルが適切に承認されているかを確認する。
B. ログから完成したPCRフォームにプログラム変更のサンプルをトレースする。
C. C
D. 完全なPCRフォームのサンプルをすべてのプログラム変更のログにトレースする。
回答を見る
正解: C
質問 #26
データベースアプリケーションの要件定義段階で、パフォーマンスが最優先事項として挙げられています。DBMSファイルにアクセスするために、最適なI/Oパフォーマンスを実現するために推奨すべき技術は次のうちどれですか?
A. ストレージ・エリア・ネットワーク(SAN)
B. ネットワーク・アタッチド・ストレージ(NAS)
C. ネットワークファイルシステム(NFS v2)
D. 共通インターネットファイルシステム(CIFS)
回答を見る
正解: C
質問 #27
次のうち、明確な予防策がない固有のリスクはどれか?
A. ピギーバック
B. ウイルス
C. データ・ディドゥリング
D. アプリケーションの不正シャットダウン
回答を見る
正解: A
質問 #28
プログラムの緊急変更の手順をレビューする場合、IS 監査員は、その手順が適切であ ることを検証しなければならない:
A. 変更を認め、事後フォローで完了する。
B. ドキュメント化されていない変更を本番ライブラリに直接許可する。
C. 緊急変更は認めない。
D. プログラマに、本番プログラムへの永続的なアクセスを許可する。
回答を見る
正解: D
質問 #29
パスワードが文字と数字の組み合わせであることを要求するセキュリティポリシーの遵守を保証するために、IS監査人は次のことを推奨すべきである:
A. 会社の方針を変更する。
B. パスワードは定期的に変更される。
C. 自動パスワード管理ツールを使用する。
D. セキュリティ意識向上トレーニングを実施する。
回答を見る
正解: C
質問 #30
あるIS監査人が、2年前に導入されたシステムの導入後レビューを行っている。次の発見事項のうち、監査人が最も懸念すべきものはどれか?
A. メンテナンス費用は、プロジェクトのライフサイクル費用には含まれていない。
B. ビジネスケースに記載されたメリットが実現されていない。
C. 欠陥の残存による回避策は、予想以上に長く使用されなければならなかった。
D. このシステムは、さらなる機能拡張のために何度か変更要求を受けている。
回答を見る
正解: B
質問 #31
企業資源管理システムの導入後レビューにおいて、IS監査人は最も可能性が高いと思われる:
A. アクセス制御の設定を見直す
B. インターフェーステストの評価
C. 詳細設計文書のレビュー
D. システムテストの評価
回答を見る
正解: C
質問 #32
D.
A. D
回答を見る
正解: D
質問 #33
サムは金融機関のセキュリティマネジャーである。上級管理職から、IS 監査人から報告されたすべての重要な脆弱性についてリスク分析を行うよう要請された。リスク分析を終えた後、サムはいくつかのリスクについて、費用便益分析によると、リスク軽減のための費用(対策、コントロール、セーフガード)が、発生する可能性のある損失よりも大きいことを確認しました。これらのリスクを処理するために、サムはどのような戦略を上級管理職に推奨すべきか?
A. リスクの軽減
B. リスクの受容
C. リスク回避
D. リスク移転
回答を見る
正解: B
質問 #34
パスワードの表示はマスクまたは抑制しなければならない」とする情報セキュリティポリシーは、次のうちどの攻撃手法に対処しているか。
A. ピギーバック
B. ダンプスター・ダイビング
C. ショルダーサーフィン
D. なりすまし
回答を見る
正解: D
質問 #35
IS監査人が組織のインシデント対応プロセスの有効性を評価する際に、最も重要なものはどれか。
A. 過去のインシデント対応
B. 事故対応スタッフの経験と資格
C. インシデント対応手順のマネジメントテストの結果
D. インシデント対応の役割と責任
回答を見る
正解: C
質問 #36
仮想プライベート・ネットワーク(VPN)は、VPNを使用することでデータの機密性を提供する:
A. セキュア・ソケット・レイヤー(SSL)
B. トンネリング
C. デジタル署名
D. フィッシング
回答を見る
正解: B
質問 #37
ユニバーサル・ストレージ・バス(USB)ストレージ・デバイスの使用を最も効果的に制御できるのはどれか?
A. そのような機器が発見された場合、即座に解雇しなければならないポリシー
B. USBストレージ・デバイスを追跡・管理するソフトウェア
C. 管理者がUSBポートを無効にする
D. 施設入口でのUSBストレージデバイスの人探し
回答を見る
正解: A
質問 #38
サービスレベル管理(SLM)の主な目的は以下の通りである:
A. 必要なサービスレベルを定義し、合意し、記録し、管理する。
B. 達成可能な最高レベルの可用性を実現するためにサービスが管理されていることを確認する。
C. あらゆるサービスに関連するコストを最小限に抑える。
D. 法的なコンプライアンス違反を監視し、経営陣に報告する。
回答を見る
正解: A
質問 #39
違法なソフトウェアパッケージのネットワークへのロードを最も効果的に検出する手順はどれか。
A. ディスクレス・ワークステーションの使用
B. ハードディスクの定期点検
C. 最新のウイルス対策ソフトウェアの使用
D. 違反すれば即解雇となる方針
回答を見る
正解: B
質問 #40
セキュリティ・インシデント管理のレビューを実施した際、IS監査人が、定義されたエスカレーション・プロセスが存在しないことを発見した。すべてのインシデントはサービスデスクが管理している。監査人の主な関心事はどれか。
A. サービスデスクのリソースの非効率的利用
B. 経営陣によるインパクトの大きいインシデントの欠如
C. 優先度の低いトラブル・チケットの解決の遅れ
D. インシデント解決のフォローアップができない経営陣
回答を見る
正解: B
質問 #41
ネットワーク伝送におけるエラーのバーストの存在を最も効果的に検出する制御はどれか。
A. パリティチェック
B. エコー検査
C. ブロックサムチェック
D. 巡回冗長検査
回答を見る
正解: D
質問 #42
ある組織が、レガシーシステムを置き換えるために新しいシステムを導入しようとしている。次の変換手法のうち、最も大きなリスクを生むのはどれですか?
A. パイロット
B. パラレル
C. ダイレクト・カットオーバー
D. 段階的
回答を見る
正解: D
質問 #43
サーバーのログに保存された情報の不正な変更を防ぐには、次のうちどれが有効ですか?
A. システムログを含むディレクトリの書き込み保護
B. 別のサーバーに重複したログを書き込む
C. システムログの毎日の印刷
D. システムログをライトワンスメディアに保存する
回答を見る
正解: B
質問 #44
論理アクセス制御のレビューの主な目的は、以下のとおりである:
A. ソフトウェアを通じて提供されるアクセス制御を見直す。
B. 組織の権限に従ってアクセスが許可されていることを確認する。
C. IT環境で提供されるアクセスをウォークスルーして評価する。
D. コンピュータハードウェアが不正使用から適切に保護されていることを保証する。
回答を見る
正解: A
質問 #45
継続監査に最も適しているのはどれか。
A. 手動取引
B. 不規則な取引
C. 低額取引
D. リアルタイム取引
回答を見る
正解: D
質問 #46
二要素ユーザー認証を満たす最も良い方法はどれか。
A. 利用者の暗証番号を必要とするICカード
B. ユーザーIDとパスワード
C. 虹彩スキャン+指紋スキャン
D. 利用者の暗証番号を必要とする磁気カード
回答を見る
正解: A
質問 #47
ある組織のインシデント管理プロセスの監査中に、IS監査人は、セキュリティ運用チームが最近の攻撃に関する詳細な報告を従業員とのコミュニケーションに含めていることを知った。この状況で最も懸念されるのはどれか。
A. 従業員は脅威の重大性を理解できない可能性がある。
B. 技術者でない読者には、レポートが複雑すぎるかもしれない。
C. 従業員は報告書の情報を悪用する可能性がある。
D. 報告書を伝達するための文書化された手順がない。
回答を見る
正解: C
質問 #48
メッセージの認証、機密性、完全性を保証するために、送信者はメッセージのハッシュを送信者のもので暗号化すべきである:
A. 公開鍵を使い、受信者の秘密鍵でメッセージを暗号化する。
B. 秘密鍵でメッセージを暗号化し、受信者の公開鍵で暗号化する。
C. 公開鍵でメッセージを暗号化し、受信者の公開鍵で暗号化する。
D. 秘密鍵を使い、受信者の秘密鍵でメッセージを暗号化する。
回答を見る
正解: A
質問 #49
ある組織の内部ネットワークに対する侵入テストを実施する場合、テストの実施者がネットワーク上で検出されないようにできるアプローチは、次のうちどれがBESTか。
A. 既存のファイルサーバーまたはドメインコントローラーのIPアドレスを使用する。
B. しきい値がリセットされるように、数分ごとにスキャンを一時停止する。
C. 誰もログインしていない夜の時間帯にスキャンを実施する。
D. 各ツールには異なる特性があるため、複数のスキャンツールを使用する。
回答を見る
正解: B
質問 #50
サーバーのオペレーティング・システムの完全性を保証するBESTはどれですか?
A. 安全な場所でサーバーを保護する
B. ブートパスワードの設定
C. サーバー構成の強化
D. アクティビティロギングの実装
回答を見る
正解: A
質問 #51
IS監査人が、アップタイムに関するサービスレベルアグリーメント(SLA)要件の遵守をチェックするために使用すべきレポートはどれか。
A. 利用報告
B. ハードウェアエラー報告
C. システムログ
D. 可用性レポート
回答を見る
正解: D
質問 #52
正式な企業セキュリティプログラムを策定する場合、最も重要な成功要因(CSF)は、次のようなものである:
A. 審査会の設置
B. セキュリティー・ユニットの創設
C. エグゼクティブ・スポンサーの効果的なサポート。
D. セキュリティプロセスオーナーを選定する。
回答を見る
正解: D
質問 #53
どのようなトポロジーが、経路の最大の冗長性と最大のネットワーク・フォールト・トレランスを提供するか?
A. スター型ネットワーク・トポロジー
B. 各ホストでパケット転送が有効なメッシュ・ネットワーク・トポロジー
C. バス・ネットワークのトポロジー
D. リングネットワークトポロジー
回答を見る
正解: B
質問 #54
IS監査人が、医療記録の取り扱いに関する医療機関のITポリシーのレビューを行っている。検証するために最も重要なものはどれですか?
A. 文書化された方針承認プロセスがある。
B. 方針作成基準は一貫している
C. ポリシーは規制要件に準拠している。
D. IT担当者は、継続的なポリシー・トレーニングを受ける。
回答を見る
正解: C
質問 #55
統合試験設備(ITF)を使用する場合、IS 審査員は以下を確認すること:
A. テストには生産データが使用される。
B. テストデータは本番データから分離されている。
C. テストデータジェネレーターを使用する。
D. マスターファイルはテストデータで更新される。
回答を見る
正解: D
質問 #56
QoS(Quality of Service)の利点は、そのサービス品質にある:
A. ネットワーク全体の可用性とパフォーマンスが大幅に向上する。
B. 通信事業者は、正確なサービスレベル・コンプライアンス・レポートを会社に提供する。
C. 参加アプリケーションはサービスレベルが保証される。
D. 通信リンクは、安全なオンライン取引を行うためのセキュリティ管理によってサポートされる。
回答を見る
正解: B
質問 #57
ITサポートスタッフとエンドユーザーとの間に職務分離の懸念がある場合、適切な代償コントロールは何だろうか? C.
A. コンピューティング機器への物理的アクセスの制限
B. トランザクションログとアプリケーションログのレビュー ITスタッフの雇用前のバックグラウンドチェックの実施
C. D
回答を見る
正解: D
質問 #58
あるIS監査人が、毎週同期化されている独立した部門別データベースから受信した顧客要求が、複数回処理されていることを発見した。どのようなことを推奨すればよいでしょうか。
A. タイムリーな更新を保証するために、異なる部門システム間のデータレプリケーションの頻度を増やす。
B. 同じリクエストの並行処理を避けるため、すべてのリクエスト処理を1つの部署に集中させる。
C. アプリケーション・アーキテクチャを変更し、全部門の共通データを1つの共有データベースに保存する。
D. 注文がシステムで処理される前に、重複を検出するための照合管理を実施する。
回答を見る
正解: A
質問 #59
新しい会計システムの取得をサポートするために必要な追加ハードウェアを評価する際、IS監査人が最初に判断すべきことはどれか。
A. 新しい会計システムをサポートするための研修プログラムが作成された。
B. サプライヤーは会計システムをサポートした経験がある。
C. 指定されたハードウェアは、現行のIT戦略に準拠する。
D. ハードウェアは、安全かつ環境的に管理された場所に設置される。
回答を見る
正解: C
質問 #60
監査指摘事項に関するフォローアップ活動の適切な期限を設定する際、最も重要な決定要因はどれか。
A. 事業活動のピーク時
B. 経営陣の回答に含まれる改善時期
C. IS 監査リソースの利用可能性
D. 監査で特定されたビジネスプロセスの複雑さ
回答を見る
正解: D
質問 #61
ある企業が、公開鍵基盤に基づく電子署名スキームの導入を決定した。ユーザーの秘密鍵はコンピュータのハードディスクに保存され、パスワードで保護される。この手法の最も重大なリスクは次のとおりである:
A. パスワードが漏洩した場合、利用者の電子署名を他人が使用すること。
B. 他ユーザの秘密鍵を使ってメッセージに電子署名することによる偽造。
C. ユーザーの公開鍵を他人の公開鍵とすり替えることによる、ユーザーのなりすまし。
D. コンピュータ上で他人の秘密鍵をすり替えることによる偽造。
回答を見る
正解: B
質問 #62
コード署名の目的は、以下を保証することである:
A. そのソフトウェアはその後変更されていない。
B. アプリケーションは、別の署名付きアプリケーションと安全にインターフェースできる。
C. アプリケーションの署名者が信頼されている。
D. 署名者の秘密鍵は漏洩していない。
回答を見る
正解: D
質問 #63
給与システムの分析レビュー手順は、次のうちどれですか?
A. 給与システムに対する侵入の試行
B. ベンチマークソフトを使用した給与システムの性能評価
C. C
D. タイムシートに記載された試験時間
回答を見る
正解: C
質問 #64
次のうち、予防的管理の例でないものはどれか?
A. 鍵やドアなどの物理的アクセス管理
B. 承認されたユーザーのみがウェブサイトにアクセスできるユーザーログイン画面
C. データを暗号化し、許可されたユーザーだけが同じデータを閲覧できるようにする。
D. 計算の重複チェック
回答を見る
正解: C
質問 #65
ある組織が、3年間の包括的なIT戦略計画を策定した。計画の半ばで、組織に影響を与える大きな法改正が施行された。経営陣が次に取るべき行動はどれか?
A. 変更された法律に関連する具体的な手続き文書を作成する。
B. 法令を評価し、戦略的IT計画に必要かどうかを判断する。説明/参照
C. 法改正のリスク管理を行う。
D. 新しい法律を包含する新しいIT戦略計画を策定する。
回答を見る
正解: A
質問 #66
対称鍵暗号の次の側面のうち、非対称暗号の発展に影響を与えたものはどれか?
A. 処理能力
B. データ量
C. 鍵の配布
D. アルゴリズムの複雑さ
回答を見る
正解: A
質問 #67
サービス拒否(DoS)攻撃の増幅器として使われないようにネットワークを保護するための最善のフィルタールールは、すべてを拒否することである:
A. ネットワーク外のIPソースアドレスを持つ発信トラフィック。
B. 識別可能なスプーフィングされたIPソース・アドレスを持つトラフィックの着信。
C. IPオプションが設定された受信トラフィック。
D. 重要なホストへの受信トラフィック
回答を見る
正解: A
質問 #68
ある IS 監査マネジャーが、同じマネジャーが監督している監査について品質レビューを行うよう求められました。この状況に対するマネジャーの最も適切な対応はどれか。
A. 監査委員会に状況を通知する。
B. 状況を上級監査リーダーにエスカレーションする。
C. 監査証拠が監査結論を裏付けているかどうかを判断する。
D. 結論がどのようにして出されたかを理解するために、監査チームと話し合う。
回答を見る
正解: A
質問 #69
ある組織がヘルプデスクをアウトソーシングした。次の指標のうち、SLAに含めるのに最適なものはどれか。
A. 全体のサポートユーザー数
B. 最初の通報で解決したインシデントの割合
C. ヘルプデスクに報告されたインシデントの数
D. 電話に対応するエージェントの数
回答を見る
正解: A
質問 #70
最小のパスワードの長さとパスワードの複雑さの検証は、その一例である:
A. 検出コントロール。
B. 管理目標
C. 監査の目的
D. 管理手順
回答を見る
正解: A
質問 #71
本番システムの変更管理監査中に、IS監査人は変更管理プロセスが正式に文書化されておらず、一部の移行手順が失敗していることを発見した。IS監査人は次に何をすべきでしょうか?
A. 変更管理プロセスの再設計を推奨する。
B. 根本原因分析を通じて、調査結果をより確実なものにする。
C. 変更プロセスが文書化されるまで、プログラムの移行を停止するよう勧告する。
D. 発見事項を文書化し、経営陣に提示する。
回答を見る
正解: A
質問 #72
EDIアプリケーションの統制を評価する場合、IS監査人は主に以下のリスクに関心を持つべきである:
A. トランザクションの所要時間が長すぎる。
B. アプリケーションインターフェースの障害
C. 不適切な取引の承認
D. 有効なバッチ合計がない。
回答を見る
正解: A
質問 #73
侵入者がサーバーのシステムログに加えた変更を検出するのに役立つのはどれか。
A. 他のサーバーのシステムログをミラーリングする
B. ライトワンスディスクにシステムログを同時に複製する。
C. システムログを含むディレクトリの書き込み保護
D. システムログのバックアップをオフサイトに保存する
回答を見る
正解: A
質問 #74
潜在的なソフトウェアの脆弱性について仮想サーバーファームの監査を実施する場合、IS監査人が最も大きなリスクと考える観察結果はどれか。
A. ハイパーバイザーは四半期ごとに更新されます。
B. ゲストオペレーティングシステムは毎月更新されます。
C. アンチウイルスソフトがゲストOSにのみ実装されている。
D. さまざまなゲストオペレーティングシステムが1つの仮想サーバー上で動作する。
回答を見る
正解: C
質問 #75
IS監査人は、組織の物理的セキュリティ対策をレビューしている。入退室カードシステムに関して、IS監査人が最も懸念すべきことは、以下の点である:
A. 非個人化されたアクセスカードが清掃スタッフに渡され、清掃スタッフはサインインシートを使用するが、身分証明書を提示しない。
B. 紛失したカードを容易に返却できるよう、アクセスカードに組織名と住所が記 載されていない。
C. カードの発行と権利管理が別々の部署で行われているため、新規カードの発行に不必要なリードタイムが発生している。
D. カードのプログラミングに使用されるコンピューターシステムは、システム障害が発生した場合、3週間後にしか交換できない。
回答を見る
正解: A
質問 #76
ファイアウォールが新しい場所に配備されます。配備を成功させるために最も重要な要素は次のうちどれですか?
A. ログを頻繁に見直す
B. ルールのテストと検証
C. 新拠点でローカル管理者をトレーニングする
D. ファイアウォール管理業務の共有
回答を見る
正解: A
質問 #77
バイオメトリクス・ユーザー認証システムを調査しているIS監査人は、バイオメトリクス・テンプレートを保存するために使用されるサーバー上の集中型データベースを、権限のない個人が更新することを可能にする管理上の弱点が存在することを立証する。次のうち、このリスクに対する最善の管理策はどれか。
A. ケルベロス
B. 活力検出
C. マルチモーダル生体認証
D. 画像前/画像後のロギング
回答を見る
正解: C
質問 #78
監査マネジメントは、次年度の年間監査計画を完了したところである。しかし、この計画を実行するにはリソースが不足していると判断されました。次に何をすべきか?
A. 年間計画から監査を削除し、利用可能なリソースの数により合致させる。
B. 利用可能なリソースの数に合わせて、監査の範囲を縮小する。
C. 年間計画を監査委員会に提示し、より多くのリソースを求める。
D. 監査計画を見直し、一部の監査を翌年に延期する。
回答を見る
正解: C
質問 #79
監査、リスク、セキュリティの各機能が連携することで、経営幹部にとって主にどのようなメリットがあるのか。
A. より効率的な事故処理
B. 保証報告書の削減
C. より効果的な意思決定
D. よりタイムリーなリスク報告
回答を見る
正解: D
質問 #80
サインオン手順には、一意のユーザーIDとパスワードの作成が含まれる。しかし、IS監査人は、多くの場合ユーザー名とパスワードが同じであることを発見する。このリスクを軽減する最善のコントロールは、以下のとおりである:
A. 会社のセキュリティポリシーを変更する。
B. 弱いパスワードのリスクについてユーザーを教育する。
C. ユーザー作成時とパスワード変更時に、これを防ぐためのバリデーションを組み込む。
D. ユーザーIDとパスワードの一致を検知し、修正するために、定期的なレビューを要求する。
回答を見る
正解: C
質問 #81
ある組織が、エクストラネットインフラストラクチャを通じて、サプライチェーンパートナーと顧客に情報を提供している。ファイアウォールセキュリティアーキテクチャをレビューするIS監査人が最も懸念すべきはどれか。
A. SSL(Secure Sockets Layer)は、ユーザー認証とファイアウォールのリモート管理のために実装されています。
B. ファイアウォールのポリシーは、変化する要件に基づいて更新されます。
C. トラフィックの種類と接続が特別に許可されていない限り、インバウンドトラフィックはブロックされる。
D. ファイアウォールは、すべてのインストールオプションを備えた商用オペレーティングシステムの上に配置されます。
回答を見る
正解: A
質問 #82
一般的なオペレーティングシステムのアクセス制御機能はどれか。
A. データベースプロファイルの作成
B. フィールドレベルでのユーザ認証の検証
C. 個人の説明責任を果たす
D. アクセス違反を監視するためのデータベースアクセス活動のログ
回答を見る
正解: B
質問 #83
リスクの再評価が最も重要なのは、リスクが存在する場合である:
A. 緩和策の実施に対する抵抗
B. セキュリティポリシーの変更 説明/参照
C. セキュリティ報告書の更新を求める経営陣の要請。
回答を見る
正解: A
質問 #84
品質保証計画を監査する際、IS監査人は、以下の点に最も注意を払うべきである:
A. 品質保証機能は、プログラミング機能とは別のものである。
B. SDLCは品質保証計画と連動している。
C. 品質保証機能は、内部監査によって定期的に見直される。
D. 品質保証活動の範囲が定義されていない。
回答を見る
正解: D
質問 #85
組織のIT投資計画を支援するために、IS監査人は以下の利用を推奨すべきである:
A. プロジェクト管理ツール
B. オブジェクト指向アーキテクチャ
C. 戦術的プランニング
D. エンタープライズ・アーキテクチャ(EA)。
回答を見る
正解: B
質問 #86
人事(HR)監査中に、IS監査人はIT部門と人事部門の間で、期待されるITサービスのレベルについて口頭で合意していることを知らされた。このような場合、IS監査人はまず何をすべきでしょうか?
A. 合意が文書化されるまで監査を延期する。
B. 文書化されていない合意の存在を経営幹部に報告する。
C. 両部門との合意内容の確認
D. 両部門のサービスレベル合意書(SLA)を作成する。
回答を見る
正解: B
質問 #87
小規模な組織では、開発者が緊急の変更を本番環境に直接リリースすることがあります。このような状況でリスクをコントロールできるのは、次のうちどれでしょうか?
A. 翌営業日に変更を承認し、文書化する。
B. 開発者のプロダクションへのアクセスを特定の時間枠に制限する。
C. 本番稼動前に二次承認を得る
D. 本番マシンのコンパイラオプションを無効にする
回答を見る
正解: B
質問 #88
次のうち、コンポーネントの通信障害/エラーを制御するものはどれか。
A. オペレータのアクセス制限と監査証跡の維持
B. システムエンジニアリング活動のモニタリングとレビュー
C. ネットワークの冗長性
D. ネットワーク経由で送信されるデータに対する物理的なバリアを確立する。
回答を見る
正解: A
質問 #89
IS監査人がプロジェクトに関与しており、ITプロジェクトの利害関係者が、プロジェクトのスコープとスケジュールの両方に影響を与える可能性のある変更を望んでいることを発見した。この変更要求に関して、プロジェクトマネジャーが取るべき行動として最も適切なものはどれか。
A. 変更を承認するかどうかをプロジェクト・スポンサーに勧告する。
B. 変更に伴うプロジェクト計画の修正
C. 変更の影響を評価する
D. スコープ外のリクエストを無視する
回答を見る
正解: C
質問 #90
IS監査人が、ポートスキャンに関連するIDSログエントリが分析されていないことに気づいた。この分析の欠如は、次のどの攻撃の成功リスクを最も高める可能性が高いか?
A. サービス拒否
B. リプレイ
C. ソーシャル・エンジニアリング
D. バッファオーバーフロー
回答を見る
正解: C
質問 #91
ある大手保険会社が、主要な財務アプリケーションをリプレースしようとしている。導入前レビューを実施する際、IS監査人が最も重視するのはどれですか?
A. 手順の更新 説明/参照
B. データの移行C.システムマニュアル 単体テスト セクション情報システムの監査プロセス 説明/参照内部監査で、重要なパッチが正当な理由なく、ポリシーで定められた期限内に実施されていないことが判明しました。次のうち、監査結果に対処するための最善策はどれですか?
C.
A. 重要なパッチを監視し、IT スタッフに通知する。
D. B
E. C
F. D
回答を見る
正解: C
質問 #92
プロジェクトの期待される利益が達成されたかどうかを評価する場合、IS監査人がレビューすることが最も重要である:
A. 実施後の問題。
B. 品質保証の結果
C. プロジェクトのスケジュール
D. ビジネスケース
回答を見る
正解: D
質問 #93
コンピュータの予防保守プログラムの有効性と妥当性を評価する際に、IS監査人が最も役立つと考えるのはどれか。
A. システムのダウンタイムログ
B. ベンダーの信頼性数値
C. 定期メンテナンス記録
D. 書面による予防保守スケジュール
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: