すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM試験問題&模擬試験, 情報セキュリティ管理士|SPOTO

CISM認定資格は、企業の情報セキュリティプログラムを開発および管理する専門知識を証明します。弊社の模擬試験は、試験問題、サンプル問題、模擬試験など幅広いトピックをカバーしており、本番の試験に万全の準備をすることができます。試験ダンプ、試験資料、オンライン試験問題にアクセスし、重要な概念の理解を深めることができます。弊社の詳細な試験解答と試験問題と解答のセクションは、あなたの知識ベースをさらに強化します。弊社の試験練習問題と模擬試験で、あなたは自信を持ってCISM試験に臨むことができます。さあ、今すぐ無料体験版をダウンロードして、CISM試験の準備を始めましょう。
他のオンライン試験を受ける

質問 #1
リスクアセスメントを実施する際、最も重要な検討事項は以下の通りである:
A. 経営陣はリスク軽減の取り組みをサポートする。
B. 年間損失予想額(ALE)が重要資産に対して算出されている。
C. 資産が特定され、適切に評価されている。
D. 攻撃の動機、手段、機会を理解する。
回答を見る
正解: A
質問 #2
セキュリティ・ソリューションの導入を提案する際、セキュリティ・マネジャーはまず何を活用するだろうか。
A. リスク評価報告書
B. 技術評価報告書
C. ビジネスケース
D. 予算要件
回答を見る
正解: D
質問 #3
大規模な組織でパスワードの強度を確保する方法として、最も適切なものはどれか。
A. 複数のパスワードを弱い値にリセットする。
B. 定期監査用にパスワードを取得するコードをインストールする。
C. C
D. 各プラットフォームの一般的なセキュリティ設定を確認する
回答を見る
正解: B
質問 #4
情報セキュリティガバナンスの目的が達成されているかどうかを評価するために最も適切なツールはどれか。
A. SWOT分析
B. ウォーターフォール・チャート
C. ギャップ分析
D. バランススコアカード
回答を見る
正解: C
質問 #5
リスクアセスメントは、実施することが最も効果的である:
A. セキュリティ・プログラム開発の初期段階。
B. 継続的に。
C. セキュリティプログラムのビジネスケースを策定する。
D. ビジネス変革のプロセスにおいて。
回答を見る
正解: B
質問 #6
コントロールの有効性を判断する一つの方法は、決定することである:
A. それが予防的なものであれ、刑事的なものであれ、補償的なものであれ。
B. 故障の通知を行う機能。
C. 目的のテスト結果。
D. 信頼性の評価と分析
回答を見る
正解: C
質問 #7
事業継続/災害復旧計画の目的が達成されたことを確認するために、最も適切なものはどれか。
A. 回復時間目標(RTO)は、試験中に超過しなかった。
B. 事業継続/災害復旧計画の客観的テストが一貫して実施されている。
C. 復旧時点目標(RPO)は、災害復旧計画のテストによって不十分であることが証明された。
D. 情報資産が評価され、事業継続計画/災害復旧計画に従って所有者に割り当てられている。
回答を見る
正解: D
質問 #8
知的財産の保護を望む組織にとって、最も適切なアプローチはどれか。
A. 知的財産ポリシーに関する説明会の実施
B. 全従業員に秘密保持契約書への署名を義務付ける。
C. 従業員が組織を去るときは、速やかにすべてのアクセスを削除する。
D. 知る必要のあるアクセスに制限する。
回答を見る
正解: C
質問 #9
セキュリティリスク評価の実施は、定期的に繰り返すべきである:
A. ビジネスの脅威は常に変化している。
B. 以前の評価における漏れに対処することができる。
C. 繰り返し評価することで、さまざまな方法論が可能になる。
D. ビジネスにおけるセキュリティー意識の向上に貢献している。
回答を見る
正解: B
質問 #10
ウォーム・サイト設立への上層部の支持を得るには、次のような方法がある:
A. 定期的なリスク評価の確立。
B. 規制要件の推進
C. ビジネスケースの開発
D. 効果的なメトリクスの開発
回答を見る
正解: A
質問 #11
あるプロジェクトマネジャーが開発者向けポータルを開発中で、セキュリティマネジャーに、社内のスタッフだけでなく、社外のコンサルタントもアクセスできるようにパブリックIPアドレスを割り当てるよう要求している。セキュリティマネジャーは、まず何をすべきでしょうか?
A. 開発者ポータルのビジネス要件を理解する
B. 開発者ポータルの脆弱性評価を実施する
C. 侵入検知システム(IDS)の導入
D. サーバーへの外部アクセスを許可する前に、外部のコンサルタントから署名入りの秘密保持契約書(NDA)を入手する。
回答を見る
正解: D
質問 #12
ウェブベースのアプリケーションシステムの内部レビューにおいて、アカウントにアクセスするために使用されるURL上の従業員のIDを変更することにより、全従業員のアカウントにアクセスできる機能が発見された。発見された脆弱性は
A. 認証が破られた。
B. 検証されていない入力。
C. クロスサイト・スクリプティング。
D. 構造化問い合わせ言語(SQL)インジェクション。
回答を見る
正解: D
質問 #13
経営陣にネットワーク・セキュリティの重要性を強調するために、セキュリティ・マネジャーはFIRSTを行うべきである:
A. セキュリティアーキテクチャを開発する。
B. ネットワーク侵入検知システム(NIDS)を導入し、攻撃リストを作成する。
C. ネットワークセキュリティポリシーを策定する。
D. リスクアセスメントを実施する。
回答を見る
正解: A
質問 #14
社内で能力を維持しながら、セキュリティ・チームの人員不足を解消する最善の方法とは?
A. 正社員数に含まれない契約社員を雇用する。
B. 社内で管理しながら、セキュリティ・サービス・プロバイダーに委託する。
C. 社内の有能な従業員からなる仮想セキュリティチームを設立する。
D. 既存のリソースギャップを最小化するために、クロストレーニングを提供する。
回答を見る
正解: C
質問 #15
ソーシャル・エンジニアリング攻撃の成功は、以下の方法で防ぐことができる:
A. 再雇用審査
B. ユーザーのアクセスパターンを綿密に監視する。
C. 定期的な意識向上トレーニング
D. 効率的な解雇手続き
回答を見る
正解: A
質問 #16
セキュリティ脆弱性が最初に公表されてからパッチが提供されるまでの間にはタイムラグがある。この期間のリスクを軽減するために、最初に実施すべきことはどれか。
A. 脆弱なシステムを特定し、それを補う対策を施す。
B. 脆弱なシステムの使用を最小限に抑える
C. システム利用者に脆弱性を伝える
D. 侵入検知システム(IDS)のシグネチャデータベースを更新する。
回答を見る
正解: D
質問 #17
リスクアセスメントを実施すべきである:
A. 各ビジネスプロセスとサブプロセスについて、年に1回。
B. 重要なビジネスプロセスについては、3~6カ月に1度。
C. 客観性を維持するために、外部の関係者によって行われる。
D. 毎年、または重要な変更がある都度。
回答を見る
正解: C
質問 #18
リスクアセスメントを継続的に実施する主な理由はどれか。
A. 安全保障予算の正当化は、継続的に行われなければならない。
B. 新しい脆弱性は毎日発見されている。
C. リスク環境は常に変化している。
D. 経営陣は、新たなリスクについて継続的に情報を得る必要がある。
回答を見る
正解: B
質問 #19
セキュリティ管理業務をアウトソーサーと契約する場合、最も重要な契約要素は、その契約内容である:
A. 解雇権条項。
B. 責任の制限。
C. サービスレベル合意(SLA)。
D. 財務上の罰則条項
回答を見る
正解: A
質問 #20
攻撃および侵入テストを実施するために第三者のコンサルタントを雇う場合、取るべき行動として最も重要なものはどれか。
A. 使用するソフトウェアのリストを要求する
B. ITスタッフに明確な指示を与える
C. 侵入検知システム(IDS)とファイアウォールのログを注意深く監視する。
D. 明確な交戦規定を設ける
回答を見る
正解: C
質問 #21
インシデント対応中に証拠となり得るものを収集・保全する際に、最も重要な考慮事項はどれか。
A. システムのプラグを抜く
B. チェーン・オブ・カストディ
C. 職務の分離
D. クロック同期
回答を見る
正解: C
質問 #22
フィッシング攻撃から身を守るために、最も推奨されるのはどれだろう?
A. アンチスパムシステムの導入
B. 顧客向けのセキュリティガイダンスを公表する。
C. 組織のスタッフにセキュリティ意識を提供する。
D. アプリケーションレベルのファイアウォールをインストールする
回答を見る
正解: A
質問 #23
セキュリティ・ソリューションの最も完全なビジネスケースとは、以下のようなものである:
A. 適切な正当性を含む。
B. 現在のリスクプロファイルを説明する。
C. 規制要件の詳細
D. インシデントと損失を特定する。
回答を見る
正解: C
質問 #24
ある組織が、同様の技術を使用している他社でセキュリティ侵害が発生したことを知った。情報セキュリティ管理者が最初にすべきことは、次のとおりである:
A. 報告された原因による事故の可能性を評価する。
B. 脆弱な技術の使用を中止する。
C. 組織には影響がないことを経営幹部に報告する。
D. 同様のセキュリティ侵害が起きていないことをスタッフに思い出させる。
回答を見る
正解: C
質問 #25
ある組織の情報セキュリティ・マネジャーが、組織の情報セキュリティ管理の成熟度を評価するコンサルタントを雇うよう依頼された。提案依頼書(RFP)の最も重要な要素は、次のとおりである:
A. 他団体からの推薦。
B. エンゲージメント・チームの過去の経験
C. 納品物のサンプル
D. 評価に使用された方法論。
回答を見る
正解: A
質問 #26
情報セキュリティ戦略における目的を説明する最も有用な方法は、次のようなものである:
A. 「望ましい状態」の属性と特徴。
B. セキュリティプログラムの全体的な管理目的
C. ITシステムを主要なビジネスプロセスにマッピングする。
D. 年間予想損失額の算出
回答を見る
正解: B
質問 #27
事業継続/災害復旧計画の目的が達成されたことを確認するために、最も適切なものはどれか。
A. 回復時間目標(RTO)は、試験中に超過しなかった。
B. 事業継続/災害復旧計画の客観的テストが一貫して実施されている。
C. 復旧時点目標(RPO)は、災害復旧計画のテストによって不十分であることが証明された。
D. 情報資産が評価され、事業継続計画/災害復旧計画に従って所有者に割り当てられている。
回答を見る
正解: A
質問 #28
ネットワークサービス拒否(DoS)攻撃を軽減する最善の方法は?
A. すべてのサーバーのOSパッチが最新であることを確認する。
B. パケットフィルタリングで疑わしいパケットをドロップする
C. 内部アドレスをルーティング不能にするために、ネットワークアドレス変換を実装する。
D. インターネットに面したデバイスのロードバランシングを実装する
回答を見る
正解: A
質問 #29
セキュリティー・テクノロジーは、第一に、その技術に基づいて選択されるべきである:
A. ビジネスリスクを軽減する能力。
B. 業界誌での評価
C. 新技術の活用
D. コストと比較したメリット
回答を見る
正解: C
質問 #30
複数のセキュリティー・パッチが導入された後、いくつかの事業部門からシステムに関する問題が報告された。この問題に対処するための最初のステップは以下の通りである:
A. 問題を評価し、必要であればロールバック手順を導入する。
B. 問題が解決するまで、システムをネットワークから切り離す。
C. これらのシステムからパッチを直ちにアンインストールする。
D. 発生した問題について、直ちにベンダーに連絡する。
回答を見る
正解: A
質問 #31
新しいベンダーの脆弱性を特定する最も費用対効果の高い方法は何か?
A. 外部脆弱性報告ソース
B. コンサルタントによる定期的な脆弱性評価
C. 侵入防止ソフトウェア
D. DMZに設置されたハニーポット
回答を見る
正解: A
質問 #32
公開鍵基盤(PKI)を使用したデジタル署名は、以下のようになる:
A. メッセージの完全性を保証しない。
B. 認証局(CA)がどの程度信頼されているかに依存する。
C. メッセージ交換には2つの当事者が必要である。
D. 高い機密性を提供する。
回答を見る
正解: B
質問 #33
システム開発ライフサイクル(SDLC)の各段階で情報セキュリティを関与させる主な理由は、セキュリティへの影響と、そのために必要な潜在的な解決策を特定することである:
A. システムの脆弱性を特定する。
B. 組織のセキュリティ体制を維持する。
C. 影響を受ける既存のシステム
D. 職務分離を遵守する。
回答を見る
正解: B
質問 #34
情報セキュリティマネジャーの観点から、役割と責任を明確に定義することの直接的なメリットは何か。
A. ポリシーコンプライアンスの強化
B. 手順フローの改善
C. 職務の分離
D. より良い説明責任
回答を見る
正解: D
質問 #35
継続的モニタリングの実施は、以下のような場合に最良の選択肢となる:
A. インシデントの影響度と頻度が高い場合
B. 法律は、強力な内部/組織セキュリティ管理を要求している。
C. インシデントのインパクトは大きいが、頻度は低い。
D. 電子商取引はビジネスの主要な原動力である
回答を見る
正解: A
質問 #36
情報セキュリティ・プログラムを実施する際に公開鍵基盤(PKI)を導入する主な理由は、以下のとおりである:
A. 機密資料の機密性を確保する。
B. 高い身元保証を提供する。
C. アクティブディレクトリの展開を許可する。
D. セキュア・ソケット・レイヤー(SSL)暗号化を実装する。
回答を見る
正解: A
質問 #37
ある組織は、最近発表された業界規制要件に準拠しなければならない。情報セキュリティ管理者は、まず何をすべきでしょうか?
A. セキュリティ委員会を設置する。
B. ギャップ分析を行う。
C. 代償措置を実施する。
D. 即時遵守を要求する。
回答を見る
正解: B
質問 #38
セキュリティ対策の効果的な戦略的連携を達成するためには、以下のことが重要である:
A. 運営委員会のリーダーは、持ち回りで選出される。
B. インプットを入手し、主要な組織単位間でコンセンサスを得る。
C. 事業戦略を定期的に更新する。
D. 手順および基準は、すべての部門長の承認を得ること。
回答を見る
正解: C
質問 #39
情報セキュリティ・プログラムを成功させるために最も重要な要素は、効果的であることである:
A. 情報セキュリティ要件を組織内の全ユーザーに伝える。
B. 情報セキュリティに関する方針と手順を策定する。
C. 組織の目標や目的との整合性
D. 情報セキュリティポリシーと手順の遵守を監視する。
回答を見る
正解: C
質問 #40
二要素認証システムの費用便益分析に含めるべき最も適切なものはどれか。
A. 事故の年間損失予想(ALE)
B. 周波数事故
C. 総所有コスト(TCO)
D. 承認されたプロジェクトの予算
回答を見る
正解: D
質問 #41
情報分類ポリシーを定義する際に、最も関連性の高い要素はどれか。
A. 情報量
B. 利用可能なITインフラ
C. ベンチマーキング
D. データ所有者の要件
回答を見る
正解: C
質問 #42
セキュリティ戦略を策定する上で最も重要なのはどれか。
A. 積極的なビジネス・セキュリティ環境の構築
B. 主要なビジネス目標を理解する
C. 上級管理職への報告ラインを持つ
D. 情報セキュリティに十分なリソースを割り当てる
回答を見る
正解: B

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: