すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISA試験の成功:模擬試験&学習リソース, 公認情報システム監査人|SPOTO

SPOTOのCISA試験サクセスへようこそ:2024年の模擬試験と学習リソースです!公認情報システム監査人(CISA)資格は、監査、ITシステム評価、リスクベースの監査手法における権威ある業績です。弊社の学習リソースと模擬テストは、CISAプロフェッショナルを目指す方に強力な準備プラットフォームを提供します。模擬試験には、実際の試験状況をシミュレートする、時間管理スキルを強化する、知識のギャップを特定して的を絞って学習する、などの利点があります。SPOTOに参加して、高品質の試験資料、サンプル問題、模擬テストにアクセスし、CISA資格取得への確実で成功的なアプローチを実現しましょう。SPOTOのCISA試験対策で、監査業務にリスクベースのアプローチを適用する専門知識と熟練度を証明しましょう。

他のオンライン試験を受ける
質問 #1
IS監査人は、以下の場合に、判断(非統計)サンプリングではなく、統計的サンプリングを使用すべきである:
A. 誤りの確率を客観的に定量化しなければならない。
B. 監査人はサンプリングリスクを回避したい。C
C. D
回答を見る
正解: D
質問 #2
IS監査人は、定量化できない脅威や潜在的な損失を用いてリスクを計算しようとしているため、______________リスク分析は常に可能とは限らない。この場合、______________リスクアセスメントがより適切である。空欄を埋めなさい。
A. 定量的、定性的
B. 定性的、定量的
C. 残留的;主観的
D. 定量的;主観的
回答を見る
正解: C
質問 #3
ベンチマーキング・プロセスにおいて、ベンチマーキング・パートナーはいつ特定されるのか。
A. 設計段階
B. テスト段階では
C. 研究段階では
D. 開発段階
回答を見る
正解: A
質問 #4
ITガバナンスの究極の目的は、以下の通りである:
A. ITの最適な利用を奨励する。
B. ITコストの削減
C. ITリソースを組織全体に分散させる。
D. ITを集中管理する。
回答を見る
正解: D
質問 #5
IS監査人が監査課題の予備段階で機能ウォークスルーを実施する主な理由は、以下のとおりである:
A. ビジネスプロセスを理解する。
B. 監査基準に準拠する。
C. 管理上の弱点を特定する。
D. 実証テストを計画する。
回答を見る
正解: A
質問 #6
効果的なインシデント管理プロセスを示すものとして、最も適切なものはどれか。A. 根本原因が特定されたインシデントの割合
A. B
B. C
C. D
回答を見る
正解: A
質問 #7
仮想プライベート・ネットワーク導入の最も一般的な目的は何ですか?
A. 仮想プライベート・ネットワーク(VPN)は、インターネットのような安全でないチャネルで通信する際に、企業とそのパートナー間のアクセスを保護するのに役立ちます。
B. 仮想プライベートネットワーク(VPN)は、専用T1接続で通信する際に、企業とそのパートナー間のアクセスを保護するのに役立ちます。
C. 仮想プライベートネットワーク(VPN)は、同一施設内のネットワークセグメント間で専用のT1接続を介して通信する際に、企業内のアクセスを保護するのに役立つ。
D. 仮想プライベートネットワーク(VPN)は、無線接続で通信する際に、企業とそのパートナー間のアクセスを保護するのに役立ちます。
回答を見る
正解: C
質問 #8
リスクベースのIS監査プログラムを策定する際、IS監査人が最も重視すべきはどれか。
A. 事業計画
B. ビジネスプロセス
C. D
D. C
E. D
回答を見る
正解: A
質問 #9
ヒューマンエラーは、次のどのタイプの攻撃に大きく依存しているか?
A. イーブドロッピング
B. DoS
C. DDoS
D. ATP
E. ソーシャル・エンジニアリング
F. どれにも当てはまらない
回答を見る
正解: B
質問 #10
データベースのサイズが大きくなっているため、ユーザーのアクセス時間と毎日のバックアップが増え続けています。この状況に対処する最善の方法は次のうちどれでしょうか?
A. データモデリング
B. データの可視化
C. データマイニング
D. データパージ
回答を見る
正解: A
質問 #11
従業員による違法ソフトウェアパッケージのネットワークへのロードは、以下の方法で最も効果的に検知される:
A. ディスクレスワークステーション。
B. ハードディスクを定期的にスキャンするC
C. D
回答を見る
正解: A
質問 #12
アドホックバッチジョブを開始するには、特権アカウントアクセスが必要です。不正なジョブの実行を最も効果的に検出できるのはどれですか?
A. 権限のあるユーザーによる手動承認の必要性
B. 二要素認証によるジョブの実行
C. ジョブ実行要求手順の紹介
D. ユーザ活動ログと権限の照合
回答を見る
正解: A
質問 #13
仮想プライベート・ネットワーク(VPN)を導入する一番の理由は、VPNにある:
A. データ暗号化の実装を容易にする。
B. プライベート・ネットワークの一般利用を許可している。
C. 既存のハードウェア・プラットフォームの利用を可能にする。
D. 公共ネットワークを私的に利用できる。
回答を見る
正解: A
質問 #14
災害や事業中断のリスクや影響を軽減することは、通常、保険会社などの第三者へのリスク移転よりも優先される。真か偽か?
A. その通り
B. 偽
回答を見る
正解: A
質問 #15
新しいアプリケーション・システムの最終的な受け入れテストは、その担当者が責任を負うべきである:
A. IS監査チーム。
B. ユーザーグループ
C. IS管理
D. 品質保証チーム
回答を見る
正解: B
質問 #16
次のうち、システムがその入力について行う、強制もチェックもされていない仮定を利用することで機能する攻撃のタイプはどれか?
A. フォーマット文字列の脆弱性
B. 整数オーバーフロー
C. コード・インジェクション
D. コマンド・インジェクション
E. 選択肢のどれでもない。
回答を見る
正解: D
質問 #17
職務の適切な分離は、通常、LAN管理者がプログラミングの責任も持つことを禁止するものではない。真か偽か?
A. その通り
B. 偽
回答を見る
正解: B
質問 #18
プロセス改善のための次のメカニズムのうち、業界のベストプラクティスを検討するものはどれか?
A. 継続的改善
B. ナレッジ・マネジメント
C. ビジネス・プロセス・リエンジニアリング(BPR)
D. ベンチマーキング
回答を見る
正解: D
質問 #19
メインフレーム監査の目的は、プロセスが必要な通りに実施されていること、メインフレームがあるべき姿で稼働していること、セキュリティが強固であること、所定の手続きが機能しており、必要に応じて更新されていることを保証することである。それに応じて、監査人は改善のための勧告を行うこともあります。次の監査タイプのうち、常に他の監査タイプよりも優先順位の高いものはどれですか?(5つ選びなさい)
A. システム監査
B. 申請監査
C. ソフトウェア監査
D. ライセンス監査
E. セキュリティサーバー監査
F. どれにも当てはまらない
回答を見る
正解: B
質問 #20
IS監査人は、プロジェクト承認手続が存在しないことを観察した場合、何をすべきか?
A. 従業員に対するプロジェクト管理トレーニングに投資するよう、経営幹部に助言する。
B. 将来のプロジェクト実施のために、プロジェクト承認手順を作成する。
C. プロジェクトリーダーを任命する
D. 正式な承認手順を採用し、文書化することを経営陣に推奨する。
回答を見る
正解: D
質問 #21
IS監査人が、IS部門が正式に文書化された方法論、方針、標準を使用していないことを観察した場合、監査人は何をすべきか?
A. IT文書の欠如は、通常、IT監査でテストされる統制にとって重要ではありません。
B. 監査人は、少なくとも非公式な基準や方針を文書化すべきである。さらに、IS監査人は、実施すべき正式な文書化された方針を作成すべきである。
C. 監査人は、少なくとも非公式な基準や方針を文書化し、その遵守状況をテストす べきである。さらに、IS監査人は、正式な文書化された方針を策定し、実施するよう経営者に勧告すべきである。
D. 監査人は、少なくとも非公式な標準と方針を文書化し、その遵守状況をテストす べきである。さらに、IS監査人は、実施すべき正式な文書化された方針を作成すべきである。
回答を見る
正解: D
質問 #22
すべてのコンピュータ・プログラミング言語は、コマンド・インジェクション攻撃に対して脆弱である。A. 本当です。
A. B
回答を見る
正解: C
質問 #23
電子的な証拠収集に伴うリスクは、Eメールによって軽減される可能性が高い:
A. 破棄方針。
B. セキュリティポリシー
C. アーカイブポリシー
D. 監査方針。
回答を見る
正解: A
質問 #24
情報セキュリティ意識向上プログラムの成熟度を判断するのに役立つのはどれか。
A. 年次ペネトレーションテスト結果のレビュー
B. ネットワークの脆弱性評価
C. ソーシャル・エンジニアリングの模擬テスト
D. 確立されたモデルに対するギャップ評価
回答を見る
正解: A
質問 #25
ITサービスのアウトソーシングに関して、IS監査人が最も懸念すべき条件はどれか。A. アウトソーシングされた活動が中核的であり、組織に差別化された優位性を提供する。
A. B
B. C
C. D
回答を見る
正解: C
質問 #26
回帰テストは、新しいアプリケーションの変更が、変更されていない残りのコードにエラーをもたらしたかどうかを判断するために、どのような場合に使用されますか?
A. プログラム開発と変更管理
B. プログラムの実現可能性調査
C. プログラム開発において
D. チェンジ・マネジメント
回答を見る
正解: C
質問 #27
ITプロジェクト・ポートフォリオと組織の戦略的優先事項との整合性を強化するために、IS監査人が推奨すべき最善の方法はどれか。
A. 業績測定のためのバランススコアカード(BSC)を定義する 主要業績評価指標(KPI)にユーザー満足度を考慮する ビジネス上の利益とリスクに応じてプロジェクトを選択する
B. D
回答を見る
正解: A
質問 #28
企業の内部リソースを保護するためにファイアウォールで使用されるものはどれか。A. インターネット・プロトコル(IP)アドレスの制限
A. B
B. C
C. D
回答を見る
正解: C
質問 #29
IS監査人は、単にアクセス制御の適切性、アクセスポリシーの適切性、及び保護措置と手続の有効性をレビューするよりも、資産の有効性と活用をより重視する。真か偽か?
A. その通り
B. 偽
回答を見る
正解: B
質問 #30
データベース管理システムにおいて、参照整合性の欠如に起因する一貫性のないレコードを最も効果的に検出するコントロールはどれか。
A. 同時アクセス制御
B. 増分バックアップ
C. パフォーマンス監視ツール
D. 定期的なテーブルリンクチェック
回答を見る
正解: ABCD
質問 #31
整数のオーバーフローは主に次のような場合に発生する:
A. 文字列のフォーマット B
B. C
C. D
D. F
回答を見る
正解: B
質問 #32
潜在的なセキュリティ脆弱性を特定した後、IS監査人は次に何をすべきか?
A. 可能性のある対策と代償措置を評価する。
B. 効果的な対策と代償措置を実施する。
C. 脆弱性を悪用する脅威のビジネスインパクト分析を実施する。
D. 調査結果を直ちに経営幹部に報告すること。
回答を見る
正解: C
質問 #33
各ネットワークフレームやパケットを分離して扱うファイアウォールは、次のうちどれですか?
A. ステートフルファイアウォール
B. ハードウェア・ファイアウォール
C. コンビネーション・ファイアウォール
D. パケットフィルタリングファイアウォール
E. ステートレスファイアウォール
F. どれにも当てはまらない
回答を見る
正解: C
質問 #34
転置エラーや転記エラーの検出に有効なデータ検証編集はどれか。
A. レンジチェック
B. チェックデジット
C. 有効性チェック D
回答を見る
正解: B
質問 #35
監査を計画する際、サービスレベル管理に関する第三者プロバイダの外部監査報告書に依拠することは、IS監査人として許容される:
A. 過去12ヶ月以内に発表されたレポート。
B. 範囲と方法論は監査要件を満たしている。
C. サービスプロバイダーは、独自に認定・認証されている。
D. レポートでは、サービスレベルに違反していないことを確認している。
回答を見る
正解: C
質問 #36
情報セキュリティ戦略を策定する際に、事業部門の管理者にインタビューを実施する主な目的は何か。
A. 部門の目標に関する情報を入手する。
B. 情報資産を分類する。
C. データとシステムの所有者を特定する。
D. 情報の種類を決定する
回答を見る
正解: A
質問 #37
あるIS監査人がコンサルティング業務を行っており、不正アクセスを防止するためにデータセンターへのすべてのドアを保護するための推奨を行う必要がある。次のアクセス制御技術のうち、侵入者が侵害するのが最も困難なものはどれか。
A. デッドマン・ドアとスワイプ・カード
B. スマートカードとテンキーパッド
C. USBトークンとパスワード
D. バイオメトリクスと暗証番号
回答を見る
正解: D
質問 #38
データベースのスナップショットは、IS監査人に優れた監査証跡を提供できる。真か偽か?
A. その通り
B. 偽
回答を見る
正解: B
質問 #39
実施後レビュー(PIR)を実施する時期として、最も適切なものはどれか。
A. 完全な処理サイクルの後
B. 配備直後
C. 年間PIRサイクルに合わせる
D. 派遣から6週間後
回答を見る
正解: A
質問 #40
次のうち、TOC(Time of Check)/TOU(Time of Use)とも呼ばれる攻撃はどれか?
A. 盗聴
B. トラフィック分析
C. マスカレード
D. レースコンディション
回答を見る
正解: C
質問 #41
新しいデータ保護法が組織に影響を及ぼす可能性があることを知ったとき、IS監査人が最初に行うことを推奨すべきはどれか。
A. データ保護のベストプラクティスを実施する
B. コンプライアンス達成のための新たなセキュリティ基本方針の導入
C. 非準拠のビジネスプロセスに対するシステムアクセスを制限する。
D. データ保護プラクティスのギャップ分析の実施
回答を見る
正解: A
質問 #42
ホストベース ILD&P は主に以下の問題に対処する:A. 情報の完全性
A. B
B. C
C. D
D. E
回答を見る
正解: A
質問 #43
コンピュータ・フォレンジックにおいて、複数の分析が行われる可能性がある場合に、元のデータや情報の損傷を避けるために、データをビット単位でコピーできるようにするプロセスは、次のうちどれか?
A. イメージング
B. 抽出
C. データ保護
D. データ収集
回答を見る
正解: C
質問 #44
IS 短期計画(戦術計画)のレビューにおいて、IS 監査員は、以下の点を判断する必要がある:
A. プロジェクト内でISスタッフとビジネススタッフが統合されている。
B. ISのミッションとビジョンが明確に定義されている。
C. 戦略的な情報技術計画手法が確立されている。
D. 計画は、ビジネス目標とISの目標と目的を関連付ける。
回答を見る
正解: D
質問 #45
IS監査人が、請求書マスターファイル内の請求書レコードの重複を検出するために使用すべきものはどれか。
A. 属性サンプリング
B. 一般化監査ソフトウェア(GAS)
C. テストデータ
D. 統合試験施設(ITF)
回答を見る
正解: B
質問 #46
ある組織では、重要なビジネスアプリケーションを搭載したサーバーが、頻繁だが短時間の停電に見舞われる地域で稼動している。この組織の管理者が、無停電電源装置(UPS)の継続的な適切性を監視できるようにする知識は、次のうちどれでしょうか?
A. 停電の期間と間隔
B. サーバーのダウンタイムがビジネスに与える影響
C. UPSD がサポートするサーバー数。障害発生後のサーバー復旧までの平均時間
回答を見る
正解: A
質問 #47
情報セキュリティプログラムの有効性を実証するツール BEST はどれか。
A. セキュリティバランススコアカード
B. 経営満足度調査
C. リスクヒートマップ
D. 主要リスク指標(KRI)
回答を見る
正解: C
質問 #48
ISセキュリティポリシーの策定は、最終的にはIS部門の責任である:A. IS部門。
A. B
B. C
C. D
回答を見る
正解: C
質問 #49
正確なバイオメトリクス・システムは、通常(2つ選べ:)
A. EERが低い
B. 低CER
C. 高いEER D
D. E
回答を見る
正解: C
質問 #50
情報資産の機密性を保護する場合、最も効果的な管理方法は以下の通りである:
A. 規制要件に関する職員の意識向上トレーニング。
B. 知る必要のあるアクセス制御哲学の実施。
C. 二要素認証メカニズムの利用。
D. すべてのユーザーに読み取り専用アクセスを設定する。
回答を見る
正解: C
質問 #51
低コストな監視・早期警戒ツールとしてネットワークに導入できるものはどれか?
A. ハニーポット
B. ハードウェアIPS
C. ハードウェア IDS
D. ボットネット
E. ステートフル・インスペクション・ファイアウォール
F. ステートフルロギング機能
G. 選択肢のどれにも当てはまらない。
回答を見る
正解: B
質問 #52
IS監査人は、パスワードファイルを監査する際、常に何をチェックすべきでしょうか?
A. パスワードファイルの削除が保護されていること
B. パスワードファイルが暗号化されていること
C. パスワードファイルはネットワーク経由でアクセスできない D
回答を見る
正解: B
質問 #53
ある航空会社のオンライン予約システムでは、ウェブサイトに運賃が表示される前に、運賃が定義された妥当性の閾値内にあるかどうかをチェックする自動スクリプトが使用されています。どのような管理が行われていますか?
A. 補償制御
B. 予防的管理
C. 探偵コントロール
D. 是正管理
回答を見る
正解: A
質問 #54
システムの個々のモジュールが開発プロジェクトのテストにおいて正しく動作することを IS 監査員が観察した場合、監査員は肯定的な結果を経営陣に報告し、さらに推奨すべきである:A. 文書の作成
A. B
B. C
C. D
回答を見る
正解: A
質問 #55
ソフトウェア開発ライフサイクルのどの段階で、組織はプライバシーに配慮したアイデンティティを持つべきか?
A. デザイン
B. テスト
C. 開発
D. 必要条件
回答を見る
正解: C
質問 #56
次のファイアウォール技術のうち、インターネットと企業ネットワークの間を移動するデータの各パケットのヘッダーを、前のパケットを調べることなく検査するものはどれか。
A. プロキシサーバー
B. バスティオンホスト
C. ステートフル・フィルタリング
D. ステートレスフィルタリング
回答を見る
正解: B
質問 #57
クラッカーの成功確率を下げる可能性がある:(該当するものをすべて選んでください)
A. セキュリティ・スキャナーを使ってシステムを常に最新の状態に保つこと。
B. セキュリティを担当する有能な人材を雇い、システムのスキャンとアップデートをさせる。C
C. D
D. E
回答を見る
正解: B
質問 #58
プロジェクト終了の目的は、プロジェクトの終了を決定することである:
A. 成果物の品質に影響を及ぼす潜在的なリスク。B
B. C
回答を見る
正解: B
質問 #59
ウイルス攻撃を防ぐための最も基本的なステップはどれか。
A. 包括的なウイルス対策ポリシーの採用と周知
B. ユーザーのデスクトップコンピュータにウイルス対策ソフトウェアを導入する。
C. すべてのネットワーク-インターネットゲートウェイにアンチウイルスコンテンツチェックを導入する。
D. システムにウイルス対策コードを植え付ける
回答を見る
正解: B
質問 #60
悪意のあるプログラムにおける隠蔽ルーチンについて、より一般的に使われる用語はどれか。A. ウイルス
A. B
B. C
C. D
D. E
E. F
F. G
回答を見る
正解: A
質問 #61
企業のスマートフォン上のデータの機密性を保護する方法として、最も適切なものはどれか。
A. 公衆ワイヤレス接続を無効にする
B. リモートデータ消去機能の使用
C. 暗号化の使用
D. Bluetooth接続のデフォルトPINを変更する
回答を見る
正解: D
質問 #62
ある株式ブローカーがインターネットで注文を受け付けている。注文の機密性を確保するための管理として、最も適切なものはどれか。
A. 仮想プライベートネットワーク
B. 公開鍵暗号化
C. データ暗号化標準(DES)
D. デジタル署名
回答を見る
正解: A
質問 #63
IS監査人は、あるサーバー管理チームが、重要なデータ処理サービスの度重なる障害に対処するために、定期的に回避策を適用していることを知る。組織がこの問題を解決するために最も効果的なのはどれか。
A. サービスレベル管理
B. 変更管理
C. 問題管理
D. インシデント管理
回答を見る
正解: B
質問 #64
ある組織が、現在の顧客や潜在的な顧客とコミュニケーショ ンをとるためにソーシャルメディアを使い始めた。監査人が最も関心を持つべきものはどれか。
A. サードパーティプロバイダーによるコンテンツのホスティングと管理
B. ソーシャルメディアの適切な使用と監視に関するガイダンスの欠如
C. 組織のイメージに影響を与える顧客によるネガティブな書き込み
D. C
E. D
回答を見る
正解: A
質問 #65
データ伝送を伴うジョブスケジューリングプロセスの検出制御として、最も適切なものはどれか。
A. 毎月の仕事の失敗の量を示す指標は、経営幹部によって報告され、見直される。
B. ジョブ障害アラートが自動的に生成され、サポート担当者に送られる。
C. ジョブはスケジュールされ、この活動のログはその後のレビューのために保持される。
D. ジョブは毎日完了するようにスケジュールされ、データは安全なファイル転送プロトコル(FTP)を使用して送信されます。
回答を見る
正解: A
質問 #66
エンドユーザーコンピューティング(EUC)アプリケーションと従来のアプリケーションの最も重要な違いはどれですか?
A. 従来のアプリケーション・ドキュメントは、一般的にEUCアプリケーション・ドキュメントよりも包括的ではありません。
B. 従来のアプリケーションはロールバック手順を必要とするが、EUCアプリケーションはそうではない。
C. 従来のアプリケーションは定期的なパッチ適用を必要とするが、EUCアプリケーションはそうではない。
D. 従来のアプリケーション入力制御は、一般的にEUCアプリケーション入力制御よりも堅牢です。
回答を見る
正解: A
質問 #67
ペネトレーションテストの実施を外部に委託する場合、最も重要なのはどれか。
A. ITマネジメントの承認を得る。
B. プロジェクトの範囲を定義する。
C. ログ見直しの頻度を増やす。
D. ネットワークのドキュメントを提供する。
回答を見る
正解: B
質問 #68
継続的な監査アプローチの利点は、多数のトランザクションを処理する時間共有環境で使用する場合、システムのセキュリティを向上できることである。真か偽か?
A. その通り
B. 偽
回答を見る
正解: B
質問 #69
ウェブベースのコミュニケーション技術の普及による組織のリスクを軽減する最も効果的な方法はどれか。
A. ウェブベースのコミュニケーション技術の使用を容認する全社的な方針を発表する。
B. ウェブベースの通信に関するリスク認識トレーニングを IT セキュリティプログラムに組み込む。
C. C
D. ユーザーデバイスから、ウェブベースの通信を許可していないページへのアクセスをブロックする。
回答を見る
正解: B
質問 #70
アプリケーションが個々のエンドユーザーアカウントを使用して基礎となるデータベースにアクセスする場合、最も重大なリスクはどれですか?
A. ユーザーアカウントは解約後も有効なままである。
B. データベースへの複数の接続が使用され、処理が遅くなる。
C. アプリケーションは完全な監査証跡を取得しない可能性がある。
D. ユーザがアプリケーションの制御を回避できる可能性がある。
回答を見る
正解: A
質問 #71
将来、同じようなインシデントが発生するのを防ぐために、組織のインシデント対応計画に盛り込むことが最も重要なのはどれか。
A. 事故の詳細の文書化
B. 事故処理手順
C. 封じ込めと無力化行動
D. 事故後のレビュー
回答を見る
正解: D
質問 #72
情報セキュリティリスクの再評価頻度を決定する際に、最も重要な要因はどれか。
A. 監査結果
B. リスクの優先順位
C. 緩和策
D. リスク測定基準
回答を見る
正解: C
質問 #73
顧客がオンライン・インターネット・ベンダを認証できるようにするのはどれか。
A. ベンダーは、ハッシュ関数と顧客の公開鍵を使って返答に署名する。
B. 顧客がベンダーの公開鍵を使用して注文を暗号化する。
C. 顧客がベンダーの証明書を認証局(CA)で検証する。
D. ベンダは、自身の秘密鍵を使用して受信オーダーを復号化する。
回答を見る
正解: B
質問 #74
ある組織では、IT セキュリティに対する責任が明確に割り当てられ、実施され、IT セキュリティリスクと影響の分析が一貫して行われている。これは、情報セキュリティガバナンス成熟度モデルのどのレベルに相当するか。
A. 最適化
B. マネージド
C. 定義
D. 繰り返し可能
回答を見る
正解: A
質問 #75
侵入テストには、テストの範囲、目的、性質によっていくつかの種類があります。次のうち、外部(通常はインターネット)から対象となるネットワークの制御を攻撃し、回避しようとする侵入テストを説明するものはどれですか?
A. 外部テスト
B. 内部テスト
C. ブラインドテスト
D. ターゲットテスト
回答を見る
正解: B
質問 #76
非武装地帯(DMZ)とは、配置されたサーバーがあるネットワークの一部である:
A. 部門内のアプリケーションを実行する。
B. ミッションクリティカルな、ウェブ以外のアプリケーションの実行。
C. 公共のインターネットと交流する。
D. 組織の外部。
回答を見る
正解: A
質問 #77
脆弱性スキャンと比較して、アプリケーション侵入テストの最も大きな利点はどれか。
A. ペネトレーションテストは、実施に特別なスキルセットを必要としない。B
B. C
C. D
回答を見る
正解: B
質問 #78
IT戦略がビジネス目標をサポートすることを組織の取締役会に保証する最善の方法は、以下の通りである:
A. 新興技術の定期的な評価を行う
B. 重要成功要因(CSF)の特定と達成状況の報告
C. IT戦略が完全に文書化され、普及していることを確認する。
D. シニア・ビジネス・マネジャーがIT予算を見直すようにする。
回答を見る
正解: C
質問 #79
開発ライフサイクルを通じて、プロジェクト計画とステータスレポートをレビューする:
A. リスクアセスメントを実施する必要がなくなる。
B. プロジェクトの進捗状況を文書化するのを最終段階まで延期する。
C. プロジェクトが意図した成果物を達成することを保証する。
D. プロジェクト期間中、資源の最適な利用を促進する。
回答を見る
正解: C
質問 #80
次のうち、開発されたソフトウェアの品質に対するリスクが最も大きいものはどれか?
A. コードレビュー
B. 定期的な内部監査
C. 負荷試験
D. エンタープライズ・アーキテクチャ
回答を見る
正解: C
質問 #81
ITシステムで処理される情報の適切な管理を保証するために、セキュリティ保護措置は、第一義的に以下に基づくべきである:
A. 確立されたガイドライン。
B. 全体的な IT キャパシティと運用上の制約。
C. 効率的な技術的処理を考慮する。
D. 分類レベルに合致した基準
回答を見る
正解: C
質問 #82
ID と特権を確立するために 2 つの独立した方法を必要とする認証プロトコルを指すのはどれか。
A. 強固な要素認証
B. 二要素認証
C. 二重パスワード認証
D. ツーパスフレーズ認証
E. デュアルキー認証
F. リッチファクター認証
回答を見る
正解: A
質問 #83
ある銀行が、複数のクライアントにデータセンターのホスティングサービスを提供しているベンダーにサーバーを移転する。次の管理策のうち、銀行のサーバへの他のクライアントの物理的アクセスを制限するものはどれか。
A. 閉回路テレビカメラ
B. サーバーケージのロック
C. すべてのデータセンター入口での生体認証アクセス
D. 24時間警備員
回答を見る
正解: C
質問 #84
あるISプロジェクトのビジネスケースが、新たな要件の追加により、プロジェクトの途中で変更された。次に何をすべきか?A. プロジェクトは、正式な再承認プロセスを経るべきである。
A. B
B. C
C. D
回答を見る
正解: D
質問 #85
C.D. 最近の監査で、ソフトウェアライセンスと技術の重複が確認されました。今後、このような重複を防ぐために最も役立つのはどれですか?
A. IT調達と承認の一元化
B. IT調達方針と手順の更新 定期的なインベントリ・レビューの実施 プロジェクト・マネジメント・オフィスの設置
回答を見る
正解: A
質問 #86
業務アプリケーションシステムに保存されている機密情報の不正な取得を防止するために、最も適切なものはどれか。
A. アクセス制御にシングルサインオンを適用する。
B. 内部データアクセスポリシーを実施する。
C. デジタル署名の使用を強制する。
D. 職務の分離を実施する。
回答を見る
正解: A
質問 #87
セキュリティアーキテクチャを策定するときは、次のどの手順を最初に実行すべきか。セキュリティ手順を策定する セキュリティ方針を定義する
A. C
B. D
回答を見る
正解: B
質問 #88
ネットワーク運用のアウトソーシング後、情報セキュリティの実効性を確保するために最も役立つのはどれか。
A. セキュリティ管理を定期的にテストする。
B. セキュリティの主要業績評価指標(KPI)を見直す。
C. セキュリティサービスレベルアグリーメント(SLA)を確立する。
D. セキュリティサービス提供監視マネージャを任命する。
回答を見る
正解: B
質問 #89
最近の内部データ漏洩の後、IS監査人は組織内の情報セキュリティ慣行を評価するよう依頼された。次の発見事項のうち、経営幹部に報告することが最も重要なものはどれか。
A. 従業員は競業避止義務契約に署名する必要はありません。
B. セキュリティ教育と意識向上ワークショップが完了していない。
C. セキュリティやデータ保護に関する技術的知識が不足している。
D. デスクトップのパスワードには特殊文字は必要ありません。
回答を見る
正解: C
質問 #90
あるテレフォンバンキングシステムの利用者が、個人識別番号(PIN)を忘れてしまった。利用者が認証された後、新しい暗証番号を発行する最善の方法がある:
A. ユーザーは新しい暗証番号を2回入力する。
B. 銀行職員が口頭で新しい暗証番号を割り当てる。
C. 銀行職員がランダムに生成した暗証番号。
D. 銀行担当者が電子メールでユーザーに新しい暗証番号を割り当てる。
回答を見る
正解: A
質問 #91
次のうち、適切に設定されたネットワーク・ファイアウォールによって低減できるセキュリティリスクはどれか。
A. インサイダー攻撃
B. SQLインジェクション攻撃
C. サービス拒否(DoS)攻撃 D
回答を見る
正解: A
質問 #92
ApacheとSSLの組み合わせとして有効な選択肢はどれか(3つ選べ):A. Apache-SSLプロジェクト
A. B
B. C
C. D
D. E
回答を見る
正解: D
質問 #93
情報セキュリティアセスメントを実施するための最も重要な前提条件はどれか。
A. ビジネスインパクト分析(BIA)のレビュー
B. 脅威と脆弱性の評価 C
C. D
回答を見る
正解: B
質問 #94
ローカル・エリア・ネットワーク(LAN)サーバーとメインフレームの間でデータをやり取りするソフトウェア製品(ミドルウェア)を導入する場合、最も重要な管理事項は以下の通りである:
A. クロスプラットフォーム認証。
B. データベースの時刻同期。
C. プラットフォーム間のネットワークトラフィックレベル
D. 回復を容易にするためにトランザクションにタイムスタンプを押す。
回答を見る
正解: D
質問 #95
次のうち、対象者にある行動を実行させるために、創作したシナリオを作成し、それを利用する行為を指すのはどれか?
A. 口実
B. 背景説明
C. チェック
D. バウンスチェック
E. 選択肢のどれでもない。
回答を見る
正解: C
質問 #96
組織Aは、組織とSaaS契約(Software as a Service Agreement)を締結している。
A. B
B.
A. 次のうち、災害時にアプリケーションを復旧できる保証が最も大きいのはどれですか?
A. 組織Bが災害復旧の責任を負い、サービス中断の責任を負う。
C. B
D. C
E.
A.
F. D
回答を見る
正解: A
質問 #97
新規ITプロジェクトの優先順位付けに最も適しているのはどれですか?
A. 内部統制自己評価(CSA)
B. 情報システム監査投資ポートフォリオ分析
C. D
回答を見る
正解: C
質問 #98
ITプロセス・モニタリングの有効性を評価するための情報源として、最も適切なものはどれか。
A. 参加型経営手法
B. 品質保証(QA)レビュー
C. パフォーマンスデータ
D. リアルタイム監査ソフトウェア
回答を見る
正解: A
質問 #99
ビジネス・アプリケーションは、以下の点を考慮して災害復旧テスト用に選択されるべきである:
A. 偶発的なデスクトップチェックの結果
B. テストされる障害点の数
C. 回復時間目標(RTO)
D. 企業にとっての重要性
回答を見る
正解: C
質問 #100
当事者間に前知識がない場合の公開鍵暗号システムにおいて、ある人物が他の人物になりすますために架空の鍵を使用するのを防ぐのに最も役立つのはどれか。
A. 秘密鍵暗号システムを使って、送信者の公開鍵を含むメッセージを暗号化する。
B. 認証局が公開鍵で検証できる証明書を送信する。
C. 送信者の公開鍵を含むメッセージを、受信者の公開鍵を使って暗号化する。D
回答を見る
正解: D
質問 #101
モバイル機器の使用時にネットワークの整合性を維持する最も効果的な方法はどれですか?
A. ネットワークの見直しを行う。
B. ネットワークアクセス制御を実装する。
C. アウトバウンドファイアウォールルールを実装する。
D. アクセス制御リストを見直す
回答を見る
正解: ABC
質問 #102
セキュリティログに含まれるマシン識別情報の不用意な開示に関連するデータプライバシーに関する潜在的な懸念に対処する最も良い方法はどれか。
A. ビジネスクリティカルに分類されるサーバーからのみログを収集する。
B. ログの使用を、収集された目的のみに限定する。
C. ログ収集は、セキュリティ活動が活発な期間だけに制限する。
D. ホストマシンからオンラインストレージへのログファイルの転送を制限する。
回答を見る
正解: B
質問 #103
復旧したデータベースの完全性を確保するには、次のうちどれが最も有効でしょうか?
A. 取引前後の画像
B. データベースデフラグツール
C. データ辞書のコピー
D. アプリケーション・トランザクション・ログ
回答を見る
正解: B
質問 #104
ある IS 監査員が、解雇された従業員のアクセス権を削除するプロ セスが文書化されていないことを発見した。この観察から最も重大なリスクは何ですか?
A. 手順がベストプラクティスに合致していない可能性がある。
B. 人事記録がシステムアクセスと一致しないことがある。
C. 不正アクセスを特定できない
D. アクセス権は適時に削除されない場合があります。
回答を見る
正解: C
質問 #105
スタッフローテーションのポリシーを持つ組織において、最も適切なアクセス制御モデルは次のとおりである:
A. 役割ベース。
B. 裁量。
C. 必須。
D. 格子ベース。
回答を見る
正解: A
質問 #106
次の活動のうち、組織内に存在する可能性のある一人だけの依存関係について、IS監査人に最も多くの洞察を提供するものはどれか?
A. ユーザーアクティビティログのレビュー
B. ITプロセスと役割のマッピング
C. 休暇パターンの見直し
D. 上級IT管理職へのインタビュー
回答を見る
正解: A
質問 #107
効果的なITリソース管理を可能にする最良のものはどれか?
A. ITリソースに関連するリスクの評価
B. ITプロセスと活動のアウトソーシング
C. 事業の優先順位の確立
D. ビジネスプロセスの自動化
回答を見る
正解: D
質問 #108
組織のリスク管理プログラムの有効性を示すものとして、最も適切なものはどれか。
A. 管理リスクを最小限に抑える。
B. 固有のリスクは排除される。
C. 残留リスクを最小限に抑える。
D. 総合的なリスクを定量化する。
回答を見る
正解: B
質問 #109
輸送中および廃棄中に情報資産が適切に保護されているかどうかを判断する際に、最も懸念されるのはどれか。
A. パスワード保護の欠如
B. 最近の意識向上トレーニングの欠如
C. 適切なデータ分類の欠如 D
回答を見る
正解: C
質問 #110
論理アクセス制御を評価するIS監査人は、まず最初に、次のことを行うべきである:
A. システムへの潜在的なアクセス経路に適用されるコントロールを文書化する。
B. アクセス経路に関する管理策が機能しているかどうかをテストする。C
C. D
回答を見る
正解: C
質問 #111
IS監査計画を実施する際に考慮すべき最も重要な活動はどれか。
A. 過去の監査結果をレビューする。
B. 監査スケジュールは、監査チームのスキルセットに基づいている。
C. リスクの高い分野に資源を配分する。
D. 監査委員会はリスクランキングに同意する。
回答を見る
正解: C
質問 #112
アウトソーサーの管理がサービスレベル合意書(SLA)に従っているかどうかを評価する最も効果的な方法はどれか。
A. アウトソーサーの実地調査を行う。
B. アウトソーサーの月次サービス報告書を確認する。
C. 不履行に対する罰則条項の見直しを行う。
D. アウトソーサーの監査人による内部監査報告書を確認する。
回答を見る
正解: C
質問 #113
ある電子送金(EFT)システムの構造をレビューする際、IS監査人は、技術的インフラストラクチャーが、他国のプロバイダーにアウトソーシングされた集中処理スキームに基づいていることを確認した。この情報に基づき、IS監査人が主に懸念すべき結論はどれか。A. 法的管轄権に関する疑問があるかもしれない。
A. B
B. C
C. D
回答を見る
正解: A
質問 #114
顧客とのコミュニケーションにインスタント・メッセージを使用している組織は、正当な顧客がなりすまされるのを防ぐことができる:
A. 通話モニタリングの使用。
B. ファイアウォールを使用して、ネットワークトラフィックを許可されたポートに制限する。
C. 会話の記録
D. 会話を開始する前にユーザーを認証する。
回答を見る
正解: C
質問 #115
次のPBX機能のうち、重要なメッセージを他のユーザーに伝えるために、通話中の回線に割り込むことができるのはどれですか?
A. アカウントコード
B. アクセスコード
C. オーバーライド
D. テナント
回答を見る
正解: C
質問 #116
受注処理システムのパフォーマンスは、モニタリングによって最も確実に測定することができる:
A. 入力/リクエストキューの長さ。
B. 完了した取引の納期。
C. アプリケーションサーバーとデータベースサーバーのCPU負荷。
D. サーバーシステム間のハートビート
回答を見る
正解: B
質問 #117
従業員がモバイルデバイスを紛失し、企業の機密データが流出しました。データ漏えいを防げたとしたら、次のうちどれがベストでしょうか?
A. モバイル機器利用者への意識向上トレーニング
B. モバイル機器でのデータ暗号化
C. リモートデータ消去機能の発動
D. モバイルデバイス用の複雑なパスワードポリシー
回答を見る
正解: A
質問 #118
品質保証(QA)機能は、以下のことを防ぐべきである:
A. 命名規則の策定。
B. 分析技術の確立
C. 審査手続きの変更
D. ビジネス機能のプログラムを変更する。
回答を見る
正解: D
質問 #119
ビジネスプロセス・リエンジニアリング(BPR)プロジェクトの結果として、最も起こりやすいものはどれか?A. テクノロジーを使用する人の数が増える
A. B
B. C
C. D
回答を見る
正解: D
質問 #120
情報セキュリティリスク分析BESTは、組織が以下のことを確実に実行できるように支援する:
A. 保護が必要な資産に関して、費用対効果の高い決定がなされる。
B. 組織が適切なセキュリティ技術を導入する
C. インフラストラクチャーには、適切なレベルのアクセス制御がある。
D. セキュリティプロセスに適切なレベルの資金が投入される
回答を見る
正解: C
質問 #121
中断のないサービスを提供するために最も適しているのはどれか?
A. スナップショット
B. 差分バックアップ
C. テレボルト
D. ミラーリング
回答を見る
正解: C
質問 #122
ビジネスプロセス・リエンジニアリングは、多くの場合、______________________自動化をもたらし、その結果、______________________人数がテクノロジーを使用することになる。空欄を埋めなさい。A. 増加した。
A. B
B. C
C. D
回答を見る
正解: A
質問 #123
デジタル署名を使用する場合、送信者は暗号化されたメッセージ・ダイジェストを送信する。これにより
A. メッセージが送信中に傍受されることはない。
B. メッセージが送信中に変更されない
C. メッセージ送信者は配信の確認を得る。
D. 送信中もメッセージの機密性は保たれる
回答を見る
正解: C
質問 #124
内部監査の指導に基づき、あるIT運営委員会は、プロジェクト管理プロセスを評価するためにバランススコアカードの使用を検討している。このアプローチを使用する最大の利点は、次のうちどれですか?
A. プロジェクトのスケジュールと予算管理が改善される。
B. パフォーマンスはさまざまな観点から測定される。
C. 情報は一貫してタイムリーに提供される。
D. プロジェクトは価値に基づいて優先される。
回答を見る
正解: C
質問 #125
次のうち、実質的なテストはどれですか?
A. 例外報告リストの確認
B. パラメータ変更の承認の確保 C
C. D
回答を見る
正解: B
質問 #126
ある組織の現在のエンドユーザーコンピューティングの慣行には、財務諸表にスプレッドシートを使用することが含まれている。次のうち、最も懸念されるのはどれですか?
A. 数式は意図しない変更から保護されていません。
B. スプレッドシートには多数のマクロが含まれている。
C. 当年度は、業務手順の見直しは行っていない。
D. スプレッドシートはIT部門が管理していない。
回答を見る
正解: A
質問 #127
フォローアップ監査中に、IS監査人がある勧告が実施されていないことを発見する。しかし、受審者は、推奨された処置よりもはるかに低い効率で、特定されたリスクに対処する手動の回避策を実施している。監査人がとるべき最善の行動はどれか。
A. リスクへの対処が完了したことを経営陣に通知し、それ以上の措置を講じない。
B. さらなる議論と解決のために、残っている問題をエスカレーションする。リスクが対処されたことに留意し、経営陣にその非効率性を通知する。当初の勧告を実施するよう経営陣に主張する。
回答を見る
正解: A
質問 #128
成功するリスクベースのIT監査プログラムは、以下に基づいている必要があります:
A. 効果的な採点システム。
B. 効果的なPERT図
C. 効果的な部門別ブレーンストーミング・セッション。
D. 効果的な組織全体のブレーンストーミング・セッション。
E. 効果的な年間予算。
F. どれにも当てはまらない
回答を見る
正解: C
質問 #129
統制の自己評価(CSA)におけるIS監査人の伝統的な役割は、(n)であるべきである:
A. 実施者
B. ファシリテーター
C. 開発者
D. スポンサー
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.