すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

包括的なCISA模擬試験と試験リソース、公認情報システム監査人|SPOTO

模擬試験は CISA 認定試験の準備をするときに、いくつかの重要な役割を果たします。この包括的な模擬試験は実際の試験環境を模擬したもので、受験者は実際の試験問題の形式、タイミング、難易度に慣れることができます。模擬試験で練習することで、受験者は自分の長所と短所を確認し、学習努力をより効果的に集中することができます。また、模擬試験は、各問題に適切な時間を配分することを学ぶため、時間管理能力の向上にも役立ちます。さらに、模擬テストでは、パフォーマンスに関するフィードバックが即座に得られるため、改善が必要な分野が浮き彫りになり、継続的な学習努力の指針となります。SPOTOの総合的なCISA模擬試験と試験リソースを利用することで、受験者は試験への準備態勢を強化し、認定試験で優れた成績を収める自信を高めることができます。
他のオンライン試験を受ける

質問 #1
プロセス内の予防的、検出的、または是正的コントロールの総合的な効果を適切に評価するために、IS監査人は次のどれに注意すべきか?
A. 組織の事業目的
B. 内部統制における職務分掌の効果
C. データがシステム内を流れる際に、統制が行使される時点。
D. 組織管理方針
回答を見る
正解: B
質問 #2
EDIシステム間でデータを送受信するための認証技術は、次のうちどれを防ぐために重要か?
A. 非同期トランザクション
B. 不正取引
C. 不正確な取引
D. 不完全な取引
回答を見る
正解: A
質問 #3
ある組織で、ユーザーがアクセスすることを禁止するWebサイトの種類を定義するポリシーを作成しました。このポリシーを実施するための最も効果的な技術は何ですか?
A. ステートフル・インスペクション・ファイアウォール
B. ウェブコンテンツフィルター
C. ウェブキャッシュサーバー
D. プロキシサーバー
回答を見る
正解: B
質問 #4
外部からの攻撃から最高レベルのプロテクションを提供するためには、どのような対策を講じればよいのだろうか?
A. ファイアウォールを要塞ホストの背後にあるスクリーンされたサブネットのスクリーンされたホストとして構成することにより、境界ネットワークの保護をレイヤー化する。
B. ファイアウォールをルーター背後のスクリーンホストとして設定する
C. ファイアウォールを保護する要塞ホストとして設定する
D. 外部ホストから内部ホストへのVPNアクセスを促進する2つのロードシェアリングファイアウォールを設定する
回答を見る
正解: D
質問 #5
アプリケーション監査を実施する前に、IS監査人は何を理解しなければならないか?
A. アプリケーションリスクの潜在的なビジネスインパクト
B. アプリケーションのリスクは、まず特定されなければならない。
C. 相対的なビジネスプロセス。
D. 関連するアプリケーションのリスク。
回答を見る
正解: A
質問 #6
従業員がポータブルメディア(MP3プレーヤー、フラッシュドライブ)を使用する際、IS監査員が最も懸念すべきことは何でしょうか?
A. 機密データのコピー
B. 曲やビデオのコピー
C. これらの機器のコストを全従業員にかけると、高額になる可能性がある。
D. 企業ネットワークを通じて悪意のあるコードが拡散するのを助長する。
回答を見る
正解: C
質問 #7
インシデントレポートをレビューしているIS監査員が、ある事例で、従業員の机の上に残された重要な文書が、外注の清掃スタッフによって取り除かれ、ゴミ箱に入れられていることを発見した。IS監査人は次のうちどれを経営陣に勧めるべきか?
A. 組織とクリーニング業者の両方が、より厳格な管理を実施すべきである。
B. 過去にこのような事故は発生していないため、対策の必要はない。
C. 明確なデスクポリシーを導入し、組織内で厳格に実施すべきである。
D. すべての重要なオフィス文書のための健全なバックアップポリシーを実行する必要があります。
回答を見る
正解: C
質問 #8
あるプロジェクトのマネージャが、目標期日までにすべての監査推奨事項を実施できなかった。IS監査人は次のことを行うべきである:
A. 問題が解決するまでプロジェクトの中止を勧告する。
B. 補償的コントロールを実施するよう勧告する。
C. 未解決の問題に関連するリスクを評価する。
D. プロジェクトマネジャーに、問題を解決するためにテストリソースを再配分するよう勧める。
回答を見る
正解: C
質問 #9
RSA暗号化に対する楕円曲線暗号化の最も大きな利点はどれか。
A. 計算速度
B. デジタル署名をサポートする能力
C. よりシンプルな鍵配布
D. 与えられた鍵長に対してより大きな強度
回答を見る
正解: A
質問 #10
オフサイト処理施設は、簡単に識別できることがスムーズな復旧に役立つため、外部から簡単に識別できる必要があります。真か偽か?
A. その通り
B. 偽
回答を見る
正解: A
質問 #11
オフサイトのデータストレージは、次のうちどれに起因するような時間的制約のあるデータのリカバリに備える場合、同期しておく必要がある?
A. 財務報告
B. 売上報告
C. 在庫報告
D. トランザクション処理
回答を見る
正解: B
質問 #12
非シールドツイストペア(UTP)ネットワークに敷設されたイーサネットケーブルの長さが100mを超えています。ケーブルの長さが原因である可能性があるのは、次のうちどれですか?
A. 電磁干渉(EMI)
B. クロストーク
C. 分散
D. 減衰
回答を見る
正解: B
質問 #13
統合システム環境では、どのアプリケーションに対して入出力制御を実施すべきか?
A. 受信アプリケーション
B. 送信アプリケーション
C. 送信側と受信側の両方のアプリケーション
D. 送信側アプリケーションで出力、受信側アプリケーションで入力
回答を見る
正解: D
質問 #14
ITバランススコアカードを導入する前に、組織は以下を行う必要がある:
A. 効果的かつ効率的なサービスを提供する。
B. 主要業績評価指標を定義する。
C. ITプロジェクトにビジネス価値を提供する。
D. IT経費を管理する。
回答を見る
正解: A
質問 #15
深層防衛」の概念を最もよく表しているのはどれか?
A. システムとそれが保持する情報のセキュリティを危険にさらすには、複数のサブシステムが危険にさらされる必要がある。
B. 複数のファイアウォールが実装されている。
C. 複数のファイアウォールと複数のネットワークOSが導入されている。
D. 侵入検知とファイアウォール・フィルタリングが必要です。
E. 選択肢のどれでもない。
回答を見る
正解: D
質問 #16
病院では、医療関係者が患者の健康データを含むハンドヘルド・コンピュータを携帯している。これらのハンドヘルドコンピュータは、病院のデータベースからデータを転送するPCと同期している。次のうち、最も重要なものはどれでしょうか?
A. ハンドヘルドコンピュータは、盗難や紛失の際にデータの機密性が失われないよう適切に保護されている。
B. 使用後、ローカルPCから一時ファイルを削除する従業員は、PCを管理する権限を有する。
C. タイムリーな同期は、ポリシーと手順によって確保される。
D. ハンドヘルドコンピュータの使用は、病院の方針により許可されています。
回答を見る
正解: B
質問 #17
情報システムがユーザーのニーズを満たせない最も一般的な理由は何か?
A. 資金不足
B. システム要件定義時の不十分なユーザー参加
C. システム要件定義における上級管理職の不十分な参加
D. 不十分なIT戦略計画
回答を見る
正解: A
質問 #18
ウェブサーバーのリバースプロキシ技術は、以下の場合に導入すべきである:
A. httpサーバーのアドレスは隠さなければならない。
B. 公開された全ページへの高速アクセスが必要。
C. キャッシングはフォールトトレランスのために必要である。
D. ユーザーへの帯域幅が制限されている。
回答を見る
正解: B
質問 #19
ITガバナンス導入の優先分野を決定する際に、最も考慮すべきはどれか。
A. プロセスの成熟度
B. パフォーマンス指標
C. 事業リスク
D. 保証報告書
回答を見る
正解: C
質問 #20
組織のリスクアセスメントプロセスをレビューするIS監査人は、FIRSTを行うべきである:
A. 情報資産に対する合理的な脅威を特定する。
B. 技術的および組織的な脆弱性を分析する。
C. 情報資産を特定し、ランク付けする。
D. 潜在的なセキュリティ侵害の影響を評価する。
回答を見る
正解: B
質問 #21
運用スタッフが日次バックアップを実行しないリスクに対処するため、経営陣は、システム管理者が日次バックアップに署名することを義務付けている。これはリスクの一例である:
A. 回避
B. 転移
C. 緩和
D. 受け入れ
回答を見る
正解: A
質問 #22
次のネットワーク・コンポーネントのうち、ネットワークの異なるセグメント間の不正なトラフィックを防止することで、セキュリティ対策として機能するように設定されているものはどれか。
A. ファイアウォール
B. ルーター
C. レイヤー2スイッチ
D. VLAN
回答を見る
正解: C
質問 #23
統合された試験設備は、独立に計算されたデータと処理出力を比較することができないため、有用な監査ツールとはみなされない。真か偽か?
A. その通り
B. 偽
回答を見る
正解: B
質問 #24
バイオメトリクス・システム運用のレビューにおいて、IS 監査人は、まず、以下の段階をレビューす べきである:
A. 登録。
B. 識別。
C. 検証
D. 倉庫
回答を見る
正解: A
質問 #25
適切なリカバリ/リスタート手順が存在するかどうかを判断するのに最適な手順はどれか。
A. プログラムコードの見直し
B. オペレーション文書のレビュー
C. UPS をオフにし、次に電源をオフにする
D. プログラム文書のレビュー
回答を見る
正解: A
質問 #26
組織の災害復旧準備態勢を示す証拠として、最も適切なものはどれか。
A. 災害復旧計画
B. 代替サイトプロバイダの顧客リファレンス
C. 災害復旧計画を維持するためのプロセス
D. テストと訓練の結果
回答を見る
正解: D
質問 #27
包括的で効果的な電子メールポリシーは、電子メールの構造、ポリシーの実施、監視、および問題に対処する必要があります:
A. 回復。
B. 保持。
C. 再建。
D. 再利用。
回答を見る
正解: A
質問 #28
新システムの設計に停止点または凍結点を設ける理由は、以下の通りである:
A. 進行中のプロジェクトのさらなる変更を防ぐ。
B. 設計が完了する時点を示す。
C. その時点以降の変更については、費用対効果を評価することを義務付ける。
D. プロジェクト管理チームがプロジェクト設計をよりコントロールできるようにする。
回答を見る
正解: A
質問 #29
プロジェクト期間に時間的制約を課すタスクに人員を追加する計画を立てる場合、最初に再検証すべきはどれか。
A. プロジェクト予算
B. プロジェクトのクリティカルパス
C. 残りのタスクの長さ
D. 他の業務に割り当てられた人員
回答を見る
正解: A
質問 #30
経営陣がITとビジネスの整合性を達成するのを支援するために、IS監査人は以下の使用を推奨すべきである:
A. 自己評価をコントロールする。
B. ビジネスインパクト分析
C. ITバランススコアカード
D. ビジネス・プロセス・リエンジニアリング
回答を見る
正解: B
質問 #31
IT災害復旧テストをレビューする際、IS監査人が最も懸念すべき問題はどれか。
A. テスト期間が限られていたため、最も重要なシステムのみがテストされた。その他のシステムは、残りの期間に個別にテストした。
B. テスト中、バックアップシステムの一部に欠陥があったり、機能していなかったりすることが判明し、これらのシステムのテストが失敗する原因となった。
C. バックアップサイトを開始する前に、元の本番サイトをシャットダウンして安全を確保する手順に、予定よりもはるかに多くの時間を要した。
D. 毎年、同じ従業員がテストを実施している。D
回答を見る
正解: A
質問 #32
ネットワーク・セキュリティの観点から見て、最も一般的な防止システムはどれか。
A. ファイアウォール
B. IDS
C. IPS
D. 硬化OS
E. トリップワイヤ
F. どれにも当てはまらない
回答を見る
正解: A
質問 #33
誰が特定のシステムリソースの使用許可を与えられているかを判断するために、IS監査人はレビューすべきである:
A. アクティビティリスト
B. アクセス制御リスト
C. ログオンIDリスト
D. パスワードリスト
回答を見る
正解: A
質問 #34
BCPをレビューするIS監査人が最も関心を持つべきものはどれか。
A. 災害レベルは、被災した機能の範囲に基づいているが、期間には基づいていない。
B. 低レベルの災害とソフトウェア・インシデントの違いは明確ではない。
C. 全体的なBCPは文書化されているが、詳細な復旧手順は明記されていない。
D. 災害宣言の責任は特定されていない。
回答を見る
正解: D
質問 #35
非武装地帯(DMZ)内のサーバーでファイル転送プロトコル(FTP)サービスを実行すると、どのような重大なリスクが生じるか。
A. 社内のユーザーが不正な人物にファイルを送信する可能性がある。
B. FTP サービスは、ユーザーが不正なソースからファイルをダウンロードすることを可能にする可能性があります。
C. ハッカーは、ファイアウォールをバイパスするためにFTPサービスを使用することができます。
D. FTPはDMZサーバーのパフォーマンスを著しく低下させる可能性があります。
回答を見る
正解: C
質問 #36
ビジネス・アプリケーション・システムへのアクセスを承認する責任は、そのシステムに属する:
A. データ所有者。
B. セキュリティ管理者
C. ITセキュリティマネージャー。
D. 要請者の直属の上司。
回答を見る
正解: A
質問 #37
ビジネス・プロセス・リエンジニアリング・プロジェクトの最初のステップとは?
A. 現在のビジネスプロセスの特定
B. BPR運営委員会の結成
C. 見直すべき分野の範囲の定義D
回答を見る
正解: A
質問 #38
事業継続監査を実施する際、IS監査人が検証すべき最も重要なものはどれか。
A. データのバックアップは適時に行う。
B. 復旧サイトを契約し、必要に応じて利用できるようにする。
C. 人的安全手順が整備されている
D. 保険が適切であり、保険料が最新であること。
回答を見る
正解: C
質問 #39
セキュリティと統制のポリシーがビジネスとITの目標を確実にサポートすることが、その主な目的である:
A. ITセキュリティ・ポリシー監査
B. 加工監査
C. ソフトウェア監査
D. 脆弱性評価
回答を見る
正解: B
質問 #40
タイムボックスマネジメントの特徴はどれか。
A. プロトタイピングやラピッドアプリケーション開発(RAD)には適さない。
B. 品質プロセスが不要になる
C. コスト超過と納期遅延の防止
D. システムテストとユーザー受入テストの分離
回答を見る
正解: D
質問 #41
アナログ伝送がデジタルネットワークに入りやすくするためのモデム(変調/復調)の機能とは?
A. モデムはアナログ伝送をデジタルに、デジタル伝送をアナログに変換する。
B. モデムはアナログ伝送をデジタルに、デジタル伝送をアナログにカプセル化する。
C. モデムはデジタル伝送をアナログに、アナログ伝送をデジタルに変換する。
D. モデムはデジタル伝送をアナログに、アナログ伝送をデジタルにカプセル化する。
回答を見る
正解: A
質問 #42
アクセス制御手順として最も適切なものはどれか。
A. データ所有者が正式にアクセスを認可し、管理者がユーザ認可テーブルを実装する。
B. 権限を与えられたスタッフがユーザー権限テーブルを実装し、データ所有者がそれを承認する。
C. データ所有者と IS マネージャが共同でユーザ権限テーブルを作成し、更新する。
D. データ所有者がユーザ権限テーブルを作成し、更新する。
回答を見る
正解: A
質問 #43
以下の選択肢のうち、災害復旧戦略を策定するためのFIRSTのアプローチは、以下の点を評価することである:
A. すべての脅威を完全に取り除くことができる。
B. 費用対効果の高い、内蔵の回復力を実装することができる。
C. 回復時間の目標を最適化できる。
D. 回収コストを最小限に抑えることができる。
回答を見る
正解: D
質問 #44
戦略上重要なシステムをより速く開発し、開発コストを削減し、なおかつ高い品質を維持するために何が使われているのか。
A. 迅速なアプリケーション開発(RAD)
B. ガント
C. PERT
D. 決定木
回答を見る
正解: D
質問 #45
ITサポートスタッフとエンドユーザーとの間に職務分離の懸念が存在する場合、適切な代償コントロールは何か?
A. コンピューティング機器への物理的アクセスの制限
B. トランザクションログとアプリケーションログのレビュー
C. ITスタッフの雇用に先立つ身元調査の実施
D. 一定時間操作がないとユーザーセッションをロックする
回答を見る
正解: B
質問 #46
組織のIT投資計画を支援するために、IS監査人は以下の利用を推奨すべきである:
A. プロジェクト管理ツール
B. オブジェクト指向アーキテクチャ
C. 戦術的プランニング
D. エンタープライズ・アーキテクチャ(EA)。
回答を見る
正解: D
質問 #47
ITガバナンスの推進力として、ITのコスト、価値、リスクの透明性は、主に以下を通じて達成される:
A. パフォーマンス測定。
B. 戦略的アライメント
C. 価値の提供
D. リソース・マネジメント
回答を見る
正解: C
質問 #48
コンピュータ・プログラムによって数学の定理を証明することを指すのはどれか?
A. 解析的定理証明
B. 自動化技術の証明
C. 定理処理の自動化
D. 定理証明の自動化
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #49
事業継続計画の完全なシミュレーションを観察しているとき、IS監査人は、組織施設内の通知システムが、構造的な損傷によって深刻な影響を受ける可能性があることに気づいた。IS監査人が組織に提供できる最善の勧告は、以下のことを確実にすることである:
A. 救助チームは、通知システムを使用するよう訓練されている。
B. 通知システムはバックアップのリカバリーを提供する。
C. 通知システムには冗長性が組み込まれている。
D. 通知システムは保管庫に保管されている。
回答を見る
正解: A
質問 #50
アクティブなインターネット攻撃を検知するためのおとりとして機能するのはどれか?
A. ハニーポット
B. ファイアウォール
C. トラップドア
D. トラフィック分析
回答を見る
正解: A
質問 #51
クロストレーニングを実施している組織を審査するIS監査人は、以下のリスクを評価すべきである:
A. 一人への依存。
B. 後継者育成が不十分
C. 一人の人間がシステムのすべての部分を知っている。
D. 作戦の中断。
回答を見る
正解: A
質問 #52
IS監査人は、パスワードファイルを監査する際、常に何をチェックすべきでしょうか?
A. パスワードファイルの削除が保護されていること
B. パスワードファイルが暗号化されていること
C. パスワードファイルはネットワーク経由でアクセスできない
D. パスワードファイルはアーカイブされる
回答を見る
正解: A
質問 #53
次のどの種類の関数が、フォーマット文字列攻撃に対して特に脆弱か?
A. 出力フォーマットを行うC関数
B. 整数計算を行うC関数
C. 実数の引き算を行うC関数
D. 整数変換を行うVB関数
E. 文字列変換を行うSQL関数
F. テキスト変換を行うSQL関数
回答を見る
正解: A
質問 #54
ワールド・ワイド・ウェブに関連する次の懸念事項のうち、ファイアウォールで対処できるものはどれか?
A. 組織外からの不正アクセス
B. 組織内部からの不正アクセス
C. インターネット接続の遅延
D. ファイル転送プロトコル(FTP)を使用したダウンロードの遅延
回答を見る
正解: D
質問 #55
OSI参照モデルを使って、データを暗号化するために使われるレイヤーは?
A. トランスポート層
B. セッション層
C. セッション層とトランスポート層
D. データリンク層
回答を見る
正解: B
質問 #56
災害や事業中断のリスクや影響を軽減することは、通常、保険会社などの第三者へのリスク移転よりも優先される。真か偽か?
A. その通り
B. 偽
回答を見る
正解: D
質問 #57
進行中のネットワーク攻撃を検出し、攻撃後のフォレンジックを支援するために設計されたものはどれか。
A. 侵入検知システム
B. 監査証跡
C. システムログ
D. トリップワイヤ
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #58
不正の可能性が高まる状況は次のうちどれでしょう?
A. アプリケーション・プログラマーは、プロダクション・プログラムの変更を実施している。
B. アプリケーションプログラマがテストプログラムの変更を実施している。
C. 業務サポートスタッフはバッチスケジュールの変更を実施している。
D. データベース管理者はデータ構造の変更を実施している。
回答を見る
正解: B
質問 #59
ある組織では、統合開発環境(IDE)を導入しており、プログラム・ライブラリはサーバー上にあるが、修正・開発・テストはPCのワークステーションから行っている。次のうち、IDEの長所はどれでしょうか?
A. 複数バージョンのプログラムの拡散を抑制する。
B. 利用可能なプログラム資源と補助を拡大する。
C. プログラムと処理の完全性を高める
D. 有効な変更が他の変更によって上書きされるのを防ぎます。
回答を見る
正解: A
質問 #60
C言語のprint()関数のフォーマット文字列パラメータとして、フィルタリングされていないユーザー入力を利用する攻撃のタイプはどれか。
A. バッファ・オーバーフロー
B. フォーマット文字列の脆弱性
C. 整数オーバーフロー
D. コード・インジェクション
E. コマンド・インジェクション
F. どれにも当てはまらない
回答を見る
正解: D
質問 #61
意図的または非意図的なパスワードの漏洩は、管理ログに記録される可能性が高い。真か偽か?
A. その通り
B. 偽
回答を見る
正解: A
質問 #62
組織の論理アクセスセキュリティをレビューするとき、IS監査人が最も関心を持つべきものはどれか?
A. パスワードは共有されません。
B. パスワードファイルは暗号化されません。
C. 冗長なログオンIDは削除されます。
D. ログオンIDの割り当てを制御します。
回答を見る
正解: A
質問 #63
サーバーのログに保存された情報の不正な変更を防ぐには、次のうちどれが有効ですか?
A. システムログを含むディレクトリの書き込み保護
B. 別のサーバーに重複したログを書き込む
C. システムログの毎日の印刷
D. システムログをライトワンスメディアに保存する
回答を見る
正解: D
質問 #64
2つの組織が合併した後、両社が独自に開発した複数のレガシー・アプリケーションを、新しい共通プラットフォームに置き換える予定である。次のうち、最も大きなリスクはどれでしょうか?
A. プロジェクト管理と進捗報告は、外部コンサルタントが主導するプロジェクト管理事務所で行われる。
B. リプレース作業は、ポートフォリオ管理アプローチで資源配分を統合することなく、いくつかの独立したプロジェクトから構成される。
C. 各組織のリソースは、相手企業のレガシー・システムに慣れている間、非効率的に配分される。
D. 新しいプラットフォームによって、両組織のビジネスエリアは業務プロセスを変更せざるを得なくなり、その結果、大規模なトレーニングが必要になる。
回答を見る
正解: A
質問 #65
デジタル署名を使用する第一の理由は、データを保証することである:
A. 守秘義務。
B. 完全性。
C. 利用可能性
D. 適時性。
回答を見る
正解: B
質問 #66
各個人は、管理されているドアごとにバッジの読み取りを受けなければならない」という情報セキュリティポリシーは、次のどの攻撃手法に対処しているか?
A. ピギーバック
B. ショルダーサーフィン
C. ダンプスター・ダイビング
D. なりすまし
回答を見る
正解: B
質問 #67
ある組織が災害復旧計画を実施しました。次に実施すべき手順はどれか。
A. 上級管理職のスポンサーシップを得る。
B. ビジネスニーズを特定する。
C. ペーパーテストの実施
D. システムのリストアテストを実行してください。
回答を見る
正解: B
質問 #68
システム管理者は、アプリケーションやシステムのパッチの影響をいつ最初に評価すべきでしょうか?
A. 設置後5営業日以内
B. 設置前
C. 設置後5営業日以内
D. 設置直後
回答を見る
正解: A
質問 #69
職務が適切に分離できない環境において、IS監査人が注目する統制はどれか。
A. 重複コントロール
B. 境界コントロール
C. アクセス制御
D. 補償コントロール
回答を見る
正解: D
質問 #70
裁量的アクセス制御が効果的であるためには、それが必要である:
A. 強制的なアクセス制御の中で運用される。
B. 強制的なアクセス制御とは無関係に動作する。
C. 必要に応じて、ユーザーが強制的なアクセス制御を無効にできるようにする。
D. セキュリティポリシーで特に許可されている。
回答を見る
正解: D
質問 #71
システムファイルとデータをそれぞれ保護できる対策はどれか。
A. ユーザーアカウントのアクセス制御と暗号化
B. ユーザーアカウントのアクセス制御とファイアウォール
C. ユーザーアカウントのアクセス制御とIPS
D. IDSと暗号
E. ファイアウォールと暗号
F. どれにも当てはまらない
回答を見る
正解: D
質問 #72
次のうち、新人スタッフの誠実さを保証するのに最適なものはどれか?
A. 経歴審査
B. 参考文献
C. ボンディング
D. 履歴書に記載された資格
回答を見る
正解: A
質問 #73
プロセスが固定長バッファの境界を超えてデータを保存しようとする異常な状態を指すのはどれか。
A. バッファオーバフロー
B. フォーマット文字列の脆弱性
C. 整数の横領
D. コード・インジェクション
E. 選択肢のどれでもない。
回答を見る
正解: D
質問 #74
一般的なオペレーティングシステムのアクセス制御機能はどれか。
A. データベースプロファイルの作成
B. フィールドレベルでのユーザ認証の検証
C. 個人の説明責任を果たす
D. アクセス違反を監視するためのデータベースアクセス活動のログ
回答を見る
正解: B
質問 #75
電子商取引に特化した企業の監査において、ISマネジャーは、顧客からの通信を受信する際にデジタル署名が使用されていると述べた。これを立証するために、IS監査人は次のどれが使用されていることを証明しなければなりませんか?
A. バイオメトリクスをデジタル化し、顧客の公開鍵で暗号化したパラメータ。
B. 顧客の秘密鍵で暗号化されて送信されるデータのハッシュ。
C. 顧客の公開鍵で暗号化されて送信されるデータのハッシュ。
D. 顧客の公開鍵で暗号化された顧客のスキャン署名
回答を見る
正解: A
質問 #76
クロストレーニングのリスクはどれか?
A. 一人の従業員への依存度が高まる
B. 後継者育成に役立たない
C. 一人の従業員がシステムのすべての部分を知っている可能性がある
D. 事業の継続性の達成には役立たない
回答を見る
正解: C
質問 #77
統制の観点から、情報資産を分類する第一の目的は以下の通りである:
A. 割り当てるべきアクセス制御レベルのガイドラインを確立する。
B. すべての情報資産にアクセス制御が割り当てられていることを確認する。
C. リスク評価において経営陣と監査人を支援する。
D. どの資産に損失保険をかける必要があるかを特定する。
回答を見る
正解: A
質問 #78
仮想プライベート・ネットワーク(VPN)でセキュリティを確保するために使われる技術は、次のようなものだ:
A. カプセル化。
B. ラッピング
C. 変形する。
D. 暗号化
回答を見る
正解: A
質問 #79
データおよびシステムの所有権に関するポリシーの定義が不適切である場合のリスクとして、最も大きいものはどれか。
A. ユーザー管理の調整が存在しない。
B. 特定のユーザーのアカウンタビリティを確立できない。
C. 権限のないユーザーは、データの発信、変更、削除にアクセスすることができる。
D. 監査勧告が実施されない可能性がある。
回答を見る
正解: A
質問 #80
ハッカーは、コンピュータツールやプログラムを使わずに、次のような手法でパスワードを入手することができる:
A. ソーシャルエンジニアリング。
B. スニッファー
C. バックドア
D. トロイの木馬。
回答を見る
正解: B
質問 #81
監査中に、あるIS監査人が、中規模組織のIT部門には独立したリスク管理機能がなく、組織のオペレーショナル・リスク文書には大まかに記述されたいくつかのITリスクしか含まれていないことに気づいた。このような状況で、最も適切な勧告は何でしょうか?
A. ITリスク管理部門を設置し、外部のリスク管理専門家の協力を得て、ITリスクフレームワークを確立する。
B. 一般的な業界標準の補助ツールを使用し、既存のリスク文書を扱いやすい個々のリスクに分割する。
C. 現行のアプローチは中規模組織にとって適切であるため、勧告は必要ない。
D. リスクを特定・評価し、組織のリスク管理へのインプットとして緩和策を作成するために、定期的なITリスク管理会議を設置する。
回答を見る
正解: C
質問 #82
リスクマネジメント・プログラムを策定する際、最初に行うべき活動は何か?
A. 脅威の評価
B. データの分類
C. 資産の目録
D. クリティカリティ分析
回答を見る
正解: A
質問 #83
アプリケーションシステムの監査証跡の信頼性は、以下のような場合、疑わしいかもしれない:
A. ユーザーIDは監査証跡に記録される。
B. セキュリティ管理者は監査ファイルの読み取り専用権限を持っている。
C. アクションが発生すると、日付とタイムスタンプが記録される。
D. ユーザーは、システムエラーを修正する際に監査証跡の記録を修正できる。
回答を見る
正解: D
質問 #84
パスワードの表示はマスクまたは抑制しなければならない」とする情報セキュリティポリシーは、次のうちどの攻撃手法に対処しているか。
A. ピギーバック
B. ダンプスター・ダイビング
C. ショルダーサーフィン
D. なりすまし
回答を見る
正解: D
質問 #85
オンライン・バンキング・アプリケーションにおいて、次のうちどれが個人情報の盗難から保護されるでしょうか?
A. 個人パスワードの暗号化
B. ユーザーを特定の端末に制限する
C. 二要素認証
D. アクセスログの定期的なレビュー
回答を見る
正解: C
質問 #86
サインオン手順には、一意のユーザーIDとパスワードの作成が含まれる。しかし、IS監査人は、多くの場合ユーザー名とパスワードが同じであることを発見する。このリスクを軽減する最善のコントロールは、以下のとおりである:
A. 会社のセキュリティポリシーを変更する。
B. 弱いパスワードのリスクについてユーザーを教育する。
C. ユーザー作成時とパスワード変更時に、これを防ぐためのバリデーションを組み込む。
D. ユーザーIDとパスワードの一致を検知し、修正するために、定期的なレビューを要求する。
回答を見る
正解: A
質問 #87
販売時点情報管理(POS)システムをレビューする際に、最も重要な監査指摘事項はどれか。
A. POSシステムに記録された請求書は、会計アプリケーションに手入力される。
B. 光学式スキャナは、売上請求書を作成するためのバーコードの読み取りには使用されません。
C. 頻繁な停電のため、請求書の作成が手作業になる。
D. 顧客のクレジットカード情報は、ローカルの POS システムに暗号化されずに保存されます。
回答を見る
正解: D
質問 #88
適切なセキュリティ管理の欠如は、次のどれを表しているか?
A. 脅威
B. 資産
C. 影響
D. 脆弱性
回答を見る
正解: A
質問 #89
新しいコンピュータ・システムの取得を監査する場合、IS監査人はまず次のことを確認する必要がある:
A. 明確なビジネスケースが経営陣によって承認されている。
B. 企業のセキュリティ基準を満たしている。
C. ユーザーは実施計画に関与する。
D. 新しいシステムは、必要なユーザー機能をすべて満たしている。
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: