すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

専門家設計のCISM模擬試験2024, 情報セキュリティ管理者認定試験|SPOTO

SPOTOの高品質の模擬試験で、ISACA CISM試験の準備を効率的に進めましょう。弊社の包括的なリソースは、情報セキュリティガバナンス、リスク管理、インシデント管理、規制遵守、セキュリティプログラム開発、情報セキュリティ管理などの主要なトピックをカバーしています。試験用ダンプ、サンプル問題、模擬試験など、さまざまな試験資料にアクセスして、これらの重要な分野の理解を強化してください。SPOTOの試験シミュレータを利用して、試験環境をシミュレートし、時間管理スキルを向上させながら、現実的な試験練習を行いましょう。SPOTOを利用すれば、CISM試験の準備を成功させるために必要なすべてのツールを手に入れることができます。さあ、今すぐ試験合格への第一歩を踏み出し、情報セキュリティのプロフェッショナルとしての潜在能力を開花させましょう。
他のオンライン試験を受ける

質問 #1
フィッシング攻撃から身を守るために、最も推奨されるのはどれだろう?
A. スパム対策システムの導入
B. 顧客向けのセキュリティガイダンスを公表する。
C. 組織のスタッフにセキュリティ意識を提供する。
D. D
回答を見る
正解: C
質問 #2
重大なセキュリティ侵害が発生した場合、上級管理職にまず何を報告すべきか。
A. 一連の事象を示すセキュリティログの要約
B. インシデントと取られた是正措置についての説明
C. 他の組織における同様の攻撃の影響の分析
D. より強力な論理アクセス制御を実装するためのビジネスケース
回答を見る
正解: C
質問 #3
組織が仮想プライベートネットワーク(VPN)へのリモートアクセスを許可する場合、最も大きなセキュリティ上の脅威はどれか。
A. クライアントのログインがリプレイ攻撃の対象になる
B. 侵害されたVPNクライアントがネットワークに影響を及ぼす可能性
C. 攻撃者がVPNゲートウェイを侵害する可能性
D. VPNトラフィックを盗聴され、キャプチャされる可能性がある。
回答を見る
正解: A
質問 #4
新システムのセキュリティ管理策を検証するためのテスト計画は、プロジェクトのどのフェー ズで策定されるべきであるか?
A. テスト
B. イニシエーション
C. デザイン
D. 開発
回答を見る
正解: D
質問 #5
効果的なセキュリティ管理が組織に組み込まれていることを示す指標として、最も適切なものはどれか。
A. 毎月のサービスレベル統計によると、セキュリティ問題による影響は最小限である。
B. セキュリティ管理策を導入するコストは、資産の価値よりも低い。
C. セキュリティ標準に準拠しているシステムの割合。
D. 監査報告書には、セキュリティに関する重大な指摘事項は反映されていない。
回答を見る
正解: A
質問 #6
レガシー・アプリケーションにパスワード・ポリシーを実装できない場合、次のうち最良の対処法はどれか。
A. アプリケーションセキュリティポリシーを更新する。
B. 補償制御を実施する。
C. レガシー申請に対する権利放棄書を提出すること。
D. アプリケーションセキュリティ評価を実施する。
回答を見る
正解: B
質問 #7
回復時点目標(RPO)には、次のどれが必要ですか?
A. 災害宣言
B. 画像修復前
C. システムの復旧
D. 残像処理
回答を見る
正解: C
質問 #8
復旧時間の目標(RTO)が非常に短い場合、次のサイトのうちどれが最も適切か?
A. 暖かい
B. 冗長
C. 共有
D. モバイル
回答を見る
正解: C
質問 #9
ネットワーク・ユーザーに、組織のセキュリティ要件を遵守する責任を認識させる最も効果的な方法は、次のとおりである:
A. ログオンごとに表示されるメッセージ。
B. セキュリティ関連の定期的な電子メールメッセージ
C. 情報セキュリティのためのイントラネット・ウェブサイト。
D. 情報セキュリティポリシーを回覧する。
回答を見る
正解: A
質問 #10
ノートパソコンに保存されている組織の機密データを不正アクセスから保護するBESTはどれか。
A. パスワードによる強力な認証
B. 暗号化ハードドライブ
C. 多要素認証手続き
D. ネットワークベースのデータバックアップ
回答を見る
正解: B
質問 #11
ある組織では、すべての犯罪行為を起訴する方針をとっている。従業員が会社のコンピュータを使用して不正行為を行った疑いがある場合、情報セキュリ ティマネージャーが最も重要視すべきことは何ですか?
A. フォレンジック・プロセスは直ちに開始される
B. インシデント対応計画の開始
C. 従業員のログファイルのバックアップ
D. 上級管理職に状況を報告
回答を見る
正解: D
質問 #12
すべての情報セキュリティ手順が機能的で正確であることを確実にするために、情報セ キュリティ手順は、以下の者の関与の下に設計されるべきである:
A. エンドユーザー。
B. 法律顧問。
C. オペレーション・ユニット
D. 監査管理。
回答を見る
正解: D
質問 #13
リスク管理プログラムは、リスクを軽減するために設計されている:
A. 測定するには小さすぎるレベル。
B. 利益が費用を上回る時点。
C. 組織が喜んで受け入れるレベル。
D. 現在の資本コストに等しい収益率。
回答を見る
正解: B
質問 #14
アウトソーシング・プロバイダーに依頼する前に、情報セキュリティ管理者は、組織のデータ分類要件を確認する必要がある:
A. 提供者自身の分類に適合していること。
B. はプロバイダーに伝えられる。
C. アウトソーサーのそれを上回る。
D. は契約書に記載されている。
回答を見る
正解: A
質問 #15
組織の技術基盤の変更によってもたらされる脆弱性を特定するために、最も役立つのはどれか。
A. 侵入検知システム
B. 確立されたセキュリティ・ベースライン
C. 侵入テスト
D. ログ集計と相関
回答を見る
正解: A
質問 #16
戦略的な情報セキュリティの意思決定を行うためのアプローチとして、最も適切なものはどれか。
A. 情報セキュリティ運営委員会を設置する。
B. 定期的な上級管理職会議を設置する。
C. 定期的な情報セキュリティ状況の報告を確立する。
D. 事業単位のセキュリティワーキンググループを設置する。
回答を見る
正解: D
質問 #17
次の変更管理活動のうち、通常の業務手順を検討する必要があることを示す明確な指標はどれか。の割合が高い:
A. 同様の変更要求。
B. 変更要求の延期
C. 変更要求の取り消し
D. 緊急変更の要請
回答を見る
正解: B
質問 #18
組織全体でセキュリティ意識向上プログラムを実施する最も重要な理由は何ですか。
A. 人的リスクの軽減
B. コンプライアンスを確保するためのトレーニング記録の証拠の保持
C. 事業部門にセキュリティ戦略を伝える
D. セキュリティインシデント対応に関する要員の訓練
回答を見る
正解: D
質問 #19
情報セキュリティ管理者が、情報セキュリティ管理への投資に関するビジネスケースを作成する。最初のステップは以下のとおりである:
A. ベンダーの価格設定を調査し、コスト効率を示す。
B. 組織への潜在的な影響を評価する。
C. 警備スタッフの生産性向上を実証する
D. セキュリティ対策に対する監査の賛同を得る
回答を見る
正解: D
質問 #20
モバイルのユニバーサル・シリアル・バス(USB)ドライブ上のデータを保護するための最善の方針とは?
A. 認証
B. 暗号化
C. 従業員によるUSBデバイスへのデータコピーの禁止
D. USBデバイスの使用を制限する
回答を見る
正解: B
質問 #21
ある多国籍企業の情報セキュリティマネジャーは、契約している地域データセンターがある都市が内乱に見舞われていることを知らされた。情報セキュリティマネジャーは、次のことを行うべきである:
A. プロバイダーの所在地にある組織の機密データを削除する。
B. より安全な場所で別のサービス・プロバイダーと契約する。
C. プロバイダーが組織のデータを保護する能力を検証する。
D. データセンターがアクセス不能になった場合の復旧オプションを評価する。
回答を見る
正解: A
質問 #22
スニッフィングに対する最善の防御策はどれか?ファイルをパスワードで保護する ダイナミックIPアドレス方式を導入する
A. C
B. D
回答を見る
正解: A
質問 #23
ある会社には、ローカルファイル/プリントサーバーとメールサーバーを持つ支店のネットワークがあり、各支店は個別にホットサイトを契約している。次のうち、リカバリ能力において最も大きな弱点はどれでしょうか?
A. ホットサイトの独占使用は6週間に制限されています。
B. ホットサイトを他の顧客と共有しなければならない場合がある。
C. 申告の時期により、サイトへのアクセス優先順位が決定される。
D. プロバイダーは、その地域のすべての大手企業にサービスを提供しています。
回答を見る
正解: B
質問 #24
特定のビジネス・アプリケーションに必要な情報セキュリティのレベルを決定する最も適切な人物は、そのアプリケーションの担当者である:
A. システム開発者。
B. 情報セキュリティマネージャー
C. ステアリング委員会
D. システムデータの所有者
回答を見る
正解: A
質問 #25
アノマリーベースの侵入検知システム(IDS)が適切に設置されているかどうかを判断する最善の方法は、次のとおりである:
A. 攻撃をシミュレートし、IDSのパフォーマンスを確認する。
B. ハニーポットを使用して、異常なアクティビティをチェックする。
C. IDSの設定を監査する。
D. ピアサイトに対して IDS をベンチマークする。
回答を見る
正解: C
質問 #26
情報セキュリティ戦略計画の主な目標は以下の通りである:
A. リスク評価計画を立てる。
B. データ保護計画を策定する。
C. 情報資産とリソースを保護する。
D. セキュリティ・ガバナンスを確立する。
回答を見る
正解: D
質問 #27
侵入検知システム(IDS)はこうあるべきだ:
A. 走り続ける
B. 異常を無視する
C. 安定した、ほとんど変化のない環境を必要とする
D. ネットワーク上にある
回答を見る
正解: C
質問 #28
攻撃者にコンピュータ・システムを侵害する機会を与えるような欠陥を特定するために、どのようなメカニズムが使われているか?
A. ビジネスインパクト分析
B. セキュリティ・ギャップ分析
C. システム・パフォーマンス・メトリクス
D. インシデント対応プロセス
回答を見る
正解: B
質問 #29
高度な持続的脅威(APT)を検知した後、情報セキュリティ管理者が最初に取るべき行動はどれか。
A. 管理者への通知
B. 脅威を封じ込める
C. 脅威を取り除く
D. 根本原因分析の実施
回答を見る
正解: A
質問 #30
次のアウトソーシングサービスのうち、セキュリティ監視の必要性が最も高いのはどれか。
A. 企業インフラ
B. アプリケーション開発
C. 仮想プライベート・ネットワーク(VPN)サービス
D. ウェブサイトのホスティング
回答を見る
正解: D
質問 #31
ある組織が、情報セキュリティを人事管理プロセスに統合しようとしています。最初に着手すべきステップはどれか。
A. 情報セキュリティ統合のコストを評価する
B. プロセスのビジネス目標を評価する
C. プロセスに関連する情報セキュリティリスクを特定する
D. プロセスをベストプラクティスと比較し、ギャップを特定する。
回答を見る
正解: A
質問 #32
A. D
回答を見る
正解: D
質問 #33
あるWebベースのビジネスアプリケーションをテスト版から本番版に移行しようとしています。この移行で最も重要な管理者のサインオフはどれですか?
A. ユーザー
B. ネットワーク
C. オペレーション
D. データベース
回答を見る
正解: A
質問 #34
A. B
回答を見る
正解: B
質問 #35
情報セキュリティが違反ログをどの程度監視しているかを測定する上で、最も有用な指標はどれか。
A. 調査された侵入の試み
B. 違反ログ報告書の作成
C. 違反ログエントリー
D. 是正措置の実施頻度
回答を見る
正解: B
質問 #36
ネットワークの脆弱性評価とは、何を明らかにすることを意図しているのか?
A. 0日脆弱性
B. 悪意のあるソフトウェアとスパイウェア
C. セキュリティ設計の欠陥
D. 設定ミスと更新漏れ
回答を見る
正解: B
質問 #37
災害復旧/事業継続計画が常に最新の状態に保たれるようにするための変更管理手続きは、次のうちどれがBESTでしょうか?
A. 年間システムインベントリと災害復旧、事業継続計画の照合
B. 災害復旧/事業継続計画の定期監査
C. 総合的なウォークスルーテスト
D. システムライフサイクルプロセスの必須ステップとしての包含
回答を見る
正解: D
質問 #38
セキュリティ管理者が、通常処理の復旧目標を決定するために設定するものはどれか。
A. 回復時間目標(RTO)
B. 最大許容停止時間(MTO)
C. 回復時点目標(RPO)
D. サービス提供目標(SDOs)
回答を見る
正解: B
質問 #39
情報セキュリティマネジャーが、より制限的な予防管理策を実施するよう命じられた。そうすることで、正味の効果として、情報セキュリ ティマネージャが実施する予防的管理策を大幅に削減することができる:
A. 脅威。
B. 損失。
C. 脆弱性。
D. 確率。
回答を見る
正解: B
質問 #40
定量的なリスク分析を行う際、潜在的な損失を見積もるために最も重要なのはどれか?
A. 生産性損失の評価
B. 機密データ開示の影響を評価する
C. 情報または資産の価値を計算する
D. 各脅威の発生確率を測定する
回答を見る
正解: C
質問 #41
第三者に組織に対する攻撃と侵入テストを実施させる前に、最も重要な行動は以下のことを確認することである:
A. 第三者がテストシステム上でデモンストレーションを行う。
B. 目標と目的が明確に定義されている。
C. テクニカルスタッフは、期待されることについて説明を受けている。
D. 本番サーバーの特別なバックアップが取られます。
回答を見る
正解: D
質問 #42
セキュリティ標準を策定する場合、次のうちどれを含めるのが最も適切か。
A. ライセンスに関する説明責任
B. IT資産の許容される使用
C. オペレーティング・システム要件
D. 在庫管理
回答を見る
正解: A
質問 #43
リスクアセスメントの結果、リスクマネジメントの意思決定に最も役立つのはどれか。
A. コントロールリスク
B. 内在的リスク
C. リスク・エクスポージャー
D. 残存リスク
回答を見る
正解: D
質問 #44
事業継続/災害復旧計画の目的が達成されたことをBKSTが確認できるのは、次のうちどれですか?
A. 回復時間目標(RTO)は、試験中に超過しなかった。
B. 事業継続/災害復旧計画の客観的テストが一貫して実施されている。
C. 復旧時点目標(RPO)は、災害復旧計画のテストによって不十分であることが証明された。
D. 情報資産は、事業継続計画、災害復旧計画に従って評価され、所有者に割り当てられている。
回答を見る
正解: A
質問 #45
ソーシャル・エンジニアリングのシナリオにおいて、権限のない個人がコンピューティング・リソースにアクセスする可能性を最も低くするのはどれか?
A. パスワードのオンスクリーンマスキングの実装
B. 定期的なセキュリティ意識向上プログラムの実施
C. パスワードの変更頻度を増やす
D. パスワードの極秘保持の義務付け
回答を見る
正解: D
質問 #46
オペレーティング・システム・ソフトウェアの脆弱性の悪用を未然に防ぐのに最も役立つのはどれか。
A. パッチ管理
B. 脅威管理
C. 侵入検知システム
D. アンチウイルスソフト
回答を見る
正解: B
質問 #47
高額オンライン金融取引システムにおいて、銀行にとって最も重要な特性はどれか。
A. 識別
B. 守秘義務
C. 認証
D. 監査モニタリング
回答を見る
正解: A
質問 #48
災害復旧における復旧時点目標(RPO)の貢献は以下の通りである:
A. バックアップ戦略を定義する。
B. 単一障害点を排除する。
C. MTBF(平均故障間隔)を短縮する。
D. 停止期間を最小限にする。
回答を見る
正解: C
質問 #49
クラウド・コンピューティング・ベンダーとの責任を定義する際、ユーザーとプロバイダーの間で共有される責任とみなされるべきものはどれか。
A. データの所有権
B. アクセスログのレビュー
C. アプリケーションのロギング
D. インシデント対応
回答を見る
正解: C
質問 #50
次のうち、情報セキュリティ戦略の策定において最も重要なのは誰の意見か。
A. エンドユーザー
B. 監査役
C. プロセス・オーナー
D. セキュリティ・アーキテクト
回答を見る
正解: D
質問 #51
データベースのアクセス制御リスト(ACL)の更新権限を持っているのは、次のうちどの人か?
A. データ所有者
B. データ管理者
C. システム・プログラマー
D. セキュリティ管理者
回答を見る
正解: A
質問 #52
外部からのセキュリティ攻撃を防ぐBESTはどれか?
A. 静的IPアドレス指定
B. ネットワークアドレス変換
C. 派遣社員の身元調査
D. システムアクセスログの保護と分析
回答を見る
正解: C
質問 #53
セキュリティの観点から、文書化されたガイドラインや業務手順の最大の利点は何か?
A. さまざまなタイプのタスクの実行方法について、詳細な指示を提供する。
B. 活動の一貫性を確保し、より安定した環境を提供する。
C. セキュリティ基準および規制要件への確実な準拠
D. 品質要件を満たすための再利用性の確保
回答を見る
正解: A
質問 #54
コストと現実的な復旧時間枠のバランスをとる復旧時間目標(RTO)を設定する最善の方法は、次のとおりである:
A. ビジネスインパクト分析を行う。
B. 1日のダウンタイムコストを決定する。
C. コスト指標を分析する。
D. リスクアセスメントを実施する。
回答を見る
正解: C
質問 #55
特定のビジネスアプリケーションに必要な情報セキュリティレベルを実装し、維持するために最も適切な人材はどれか。
A. システムアナリスト
B. 品質管理マネージャー
C. プロセス・オーナー
D. 情報セキュリティ管理者
回答を見る
正解: B
質問 #56
A.
A. B
B. C
C. D
回答を見る
正解: B
質問 #57
次のうち、セキュリティの有効性をテストするのに最も適した技術はどれか。
A. 外部侵入テストの実施
B. セキュリティポリシーと基準の見直し
C. セキュリティログの確認
D. 技術的セキュリティ慣行の分析
回答を見る
正解: A
質問 #58
ビジネスのリスク分析を行うのに最も適した立場にあるグループは次のうちどれでしょう?
A. 社外監査役
B. 類似ビジネス内のピアグループC
C. D
回答を見る
正解: A
質問 #59
ある会社が最近、画期的な技術を開発した。この技術はこの会社に大きな競争力を与える可能性があるため、この情報をどのように保護すべきか、次のうちどれがFIRSTに該当するか?
A. アクセス制御ポリシー
B. データ分類ポリシー
C. 暗号化標準
D. 利用規定
回答を見る
正解: C
質問 #60
内部セキュリティ・インシデントの処理を第三者サポート・プロバイダーに移管する権限は、第一義的には、以下のものによって定義される:
A. 情報セキュリティ・マネージャー
B. エスカレーション手順
C. 災害復旧計画
D. チェーン・オブ・カストディ
回答を見る
正解: D
質問 #61
アウトソーシングしたITサービスの情報セキュリティを確保するために、最も重要なデューデリジェンスはどれか。
A. サービスプロバイダーからのサービスレベル報告書のサンプルを確認する。
B. サービスプロバイダのセキュリティ意識のレベルを評価する。
C. サービス提供者に情報セキュリティポリシーの遵守を要求する。
D. サービスプロバイダのセキュリティ状況を確認する。
回答を見る
正解: B

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: