すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

現実的な模擬試験でISACA CISM試験の成績を上げる

SPOTO の ISACA CISM 試験問題集のパワーを借りて、CISM (Certified Information Security Manager) 資格取得を推進しましょう。リスクアセスメント、ガバナンスの導入、インシデント対応戦略の理解を深めるためにデザインされた包括的な試験問題と解答に飛び込みましょう。SPOTOの試験問題と試験準備資料で、データ漏洩、ランサムウェア攻撃、その他の進化するセキュリティの脅威に対処する競争力を身につけることができます。合格するために作成された貴重な学習資料と試験リソースにアクセスできます。現実的な模擬試験で試験環境をシミュレートし、自信を高めます。SPOTOで準備を整え、専門知識と自信を持って今日のサイバーセキュリティの課題を乗り切ることができる認定情報セキュリティマネージャーになりましょう。
他のオンライン試験を受ける
質問 #1
定量的な手法ではなく定性的なセキュリティリスク評価を用いる最も可能性の高い理由は、以下のような場合である:
A. 組織は、ハード財の代わりにサービスを提供する。
B. セキュリティ・プログラムには、リスクの独立した表現が必要である。
C. 入手可能なデータは主観的すぎる。
D. 成熟したセキュリティプログラムが導入されている。
回答を見る
正解: A
質問 #2
メッセージの完全性、送信者の身元認証、および否認防止を提供するBESTはどれか。
A. 対称暗号
B. 公開鍵基盤(PKI)
C. メッセージハッシュ
D. メッセージ認証コード
回答を見る
正解: B
質問 #3
情報セキュリティ方針は、第一に反映されるべきである:
A. 準拠要件。
B. 業界のベストプラクティス
C. データセキュリティ基準
D. 上級管理職の意向。
回答を見る
正解: D
質問 #4
構築/購入の意思決定に情報セキュリティ要件を盛り込まなかった場合、ほとんどの場合、以下のことが必要になる:
A. 運用環境における補償コントロール。
B. 製品が企業基準に適合していること。
C. より厳格なソースプログラム基準。
D. 運用プラットフォームのセキュリティスキャン
回答を見る
正解: A
質問 #5
バーチャル・プライベート・ネットワーク(VPN)トンネリングの利点は、リモート・ユーザーにある:
A. 通信の安全性を確保するのに役立つ。
B. 多階層システム間のセキュリティを高める。
C. パスワードの変更頻度を減らすことができる。
D. 二次認証が不要になる。
回答を見る
正解: A
質問 #6
情報セキュリティアーキテクチャを設計する際に最も重要な要素はどれか。
A. 技術プラットフォームのインターフェース
B. ネットワークのスケーラビリティ
C. 開発方法論
D. ステークホルダーの要求
回答を見る
正解: D
質問 #7
次のうち、ソーシャルメディアが人気の攻撃対象になっている主な理由はどれか?
A. 強力な周囲の普及。
B. アクセス制御の有効性の低下。
C. ソーシャルメディアが生み出す信頼の要素。
D. 複数の場所からソーシャルメディアにアクセスできること。
回答を見る
正解: D
質問 #8
残留リスクが許容リスクレベルを超えている場合の情報セキュリティマネジャーの行動として、最も適切なものはどれか。
A. 費用便益分析の実施
B. 追加のコントロールを推奨する
C. リスクアセスメントの実施
D. 経営に委ねる
回答を見る
正解: B
質問 #9
リスクマネジメントが成功していることを示すものとして、最も適切なものはどれか。
A. 総合的なリスクの定量化
B. 内在するリスクは排除される
C. 残留リスクの最小化
D. コントロール・リスクは事業部門と結びついている
回答を見る
正解: C
質問 #10
企業の情報セキュリティポリシーに含まれる可能性が最も高いものはどれか。
A. セキュリティ監視戦略
B. 監査証跡レビュー要件
C. パスワード構成要件
D. コンプライアンス違反の結果
回答を見る
正解: D
質問 #11
脆弱性スキャンによって、ある重要なビジネスアプリケーションに重大なリスクが検出された。情報セキュリティマネジャーが最初にすべきことはどれか。
A. 経営幹部にビジネスリスクを報告する。
B. 事業主にリスクを確認する。
C. リスク登録簿を更新する。
D. 緊急変更リクエストを作成する。
回答を見る
正解: B
質問 #12
侵入検知システムを設置すべきである:
A. ファイアウォールの外側。
B. ファイアウォール・サーバー上
C. スクリーニングされたサブネット上
D. 外部ルーター
回答を見る
正解: C
質問 #13
ある組織が、ビッグデータプラットフォームの確立とモバイルアプリの開発という新たな取り組みを発表しました。新たな人材要件を定義する場合、最初に何をすべきでしょうか?
A. 採用と研修のための追加資金を要求する。
B. 新しい取り組みをサポートするために必要なスキルを分析する。
C. 同業他社とのベンチマーク。
D. 構想に必要なセキュリティ技術要件を決定する。
回答を見る
正解: B
質問 #14
最高情報セキュリティー責任者(CISO)は、理想的にはCISOと直接の報告関係を持つべきである:
A. 内部監査の責任者。
B. 最高業務責任者(COO)。
C. 最高技術責任者(CTO)。
D. 法律顧問。
回答を見る
正解: B
質問 #15
経営陣は、組織に関連する主要な情報セキュリティリスクについて、十分な情報が提供されていないことに懸念を表明している。この懸念に対処するために、最初に実施すべきことはどれか。
A. 経営層向けに情報セキュリティの取り組みに関するプレゼンテーションを準備する。
B. 情報セキュリティ業界の動向とベンチマークに関する報告書の提供
C. 望ましい測定基準を決定し、報告スケジュールを作成する。
D. 経営層に対する継続的なリスク及びセキュリ ティ意識に関する研修プログラムを策定する
回答を見る
正解: C
質問 #16
セキュリティ運用を IT ガバナンスフレームワークに整合させるために最も役立つのはどれか。
A. 情報セキュリティ方針
B. セキュリティリスク評価
C. セキュリティ・オペレーション・プログラム
D. ビジネスインパクト分析(BIA)
回答を見る
正解: A
質問 #17
ある組織の取締役会は、業界内の組織に対し、顧客機密情報を保護するための特定の保護措置を制定するよう求める最近の法律を知りました。取締役会は次にどのような行動を取るべきか?
A. 情報セキュリティーに何をすべきかを指示する。
B. 適切な解決策を決定するための調査
C. 経営陣にコンプライアンスに関する報告を求める
D. 何もない。情報セキュリティは理事会に報告しない
回答を見る
正解: C
質問 #18
情報セキュリティ管理者が、職務内容とデータアクセスの種類を対応付ける場合、次の情報セキュリティ原則のうち、どれを遵守する可能性が最も高いか。
A. 倫理
B. 比例性
C. 統合
D. 説明責任
回答を見る
正解: B
質問 #19
企業ネットワーク内のセキュリティ侵害をスキャンするソフトウェアを使用する場合、最も重要なガイドラインはどれか。
A. オープンソースのツールを使わない
B. 本番サーバーだけに絞る
C. 直線的な攻撃プロセスに従う
D. 生産工程を中断しない
回答を見る
正解: D
質問 #20
提案されたシステム変更が既存のセキュリティ標準に違反する場合、その抵触は次の方法で解決されるのが最良であろう:
A. 残留リスクを計算する。
B. セキュリティ基準を実施する。
C. システム変更の再設計
D. 軽減策の実施
回答を見る
正解: D
質問 #21
情報セキュリティ・ポリシーは、次のようなものでなければならない:
A. 企業ネットワークの脆弱性に対処する。
B. 違反を伝えるプロセスを取り上げる。
C. ストレートで理解しやすい。
D. 特定のグループや役割に合わせてカスタマイズできる。
回答を見る
正解: C
質問 #22
セキュリティ脆弱性が最初に公表されてからパッチが提供されるまでの間にはタイムラグがある。この期間のリスクを軽減するために、最初に実施すべきことはどれか。
A. 脆弱なシステムを特定し、それを補う対策を施す。
B. 脆弱なシステムの使用を最小限に抑える
C. システム利用者に脆弱性を伝える
D. 侵入検知システム(IDS)のシグネチャデータベースを更新する。
回答を見る
正解: A
質問 #23
あるグローバル企業が、2カ国のオフィス間で顧客情報データベースを共有する戦略を立てた。このような状況では、次のことを確実にすることが最も重要である:
A. データの共有は、両拠点における現地の法律および規制に準拠している。
B. データは転送中および静止時に暗号化される。
C. 守秘義務契約を締結する。
D. データを共有する2つの拠点でリスク補償が分割される。
回答を見る
正解: A
質問 #24
リスク管理の最良の戦略は次のとおりである:
A. リスクと組織目標のバランスを取る。
B. リスクを許容レベルまで低減する。
C. 政策立案が組織リスクを適切に考慮するようにする。
D. すべての未然リスクを経営陣が受け入れるようにする。
回答を見る
正解: B
質問 #25
技術的統制への投資の承認を得るために、情報セキュリティマネジャーが取るべき行動として最も適切なものはどれか。
A. 費用便益分析を行う。
B. リスクアセスメントを実施する。
C. 被ばく係数を計算する。
D. ビジネスインパクト分析(BIA)を実施する。
回答を見る
正解: D
質問 #26
セキュリティ・ポリシーは、最も密接に連携すべきである:
A. 業界のベストプラクティス。
B. 組織のニーズ
C. 一般に認められた基準
D. 現地の法律と規制
回答を見る
正解: B
質問 #27
情報セキュリティマネジャーの観点から、役割と責任を明確に定義することの直接的なメリットは何か。
A. ポリシーコンプライアンスの強化
B. 手順フローの改善
C. 職務の分離
D. より良い説明責任
回答を見る
正解: D
質問 #28
情報セキュリティプログラムを実行するために外部リソースを獲得する第一の原動力は、外部リソースが以下のことを可能にすることである:
A. 社内にない費用対効果の高い専門知識を提供する。
B. セキュリティプログラムの要件を満たす責任を負う。
C. 内部リソースへの依存を置き換える。
D. 知識がある分、より効果的に成果を出すことができる。
回答を見る
正解: A
質問 #29
情報セキュリティマネジャーにとって最も重要な行動はどれか。
A. リスク許容度を更新する。
B. 上級管理職と取締役会に通知する。
C. 環境の変化を監視する。
D. 組織のリスク選好度を再評価する。
回答を見る
正解: D
質問 #30
組織のセキュリティ文化を変えるのに役立つのはどれか。
A. 情報セキュリティポリシーを実施するための手順を策定する。
B. 強力な経営支援を得る
C. 厳格な技術的セキュリティ管理を実施する。
D. 情報セキュリティポリシーの遵守状況を定期的に監査する。
回答を見る
正解: B
質問 #31
業務記録の保存は、第一義的に以下に基づくべきである:
A. 事業戦略と方向性。
B. 規制および法的要件
C. 貯蔵容量と寿命。
D. ビジネス・イージーと価値分析。
回答を見る
正解: B
質問 #32
情報セキュリティプロジェクトは、以下に基づいて優先順位をつける:
A. 実施に要する時間。
B. 組織への影響
C. 導入にかかる総費用。
D. 必要なリソースの組み合わせ
回答を見る
正解: B
質問 #33
次の変更管理活動のうち、通常の業務手順を検討する必要があることを示す明確な指標はどれか。の割合が高い:
A. 同様の変更要求。
B. 変更要求の延期
C. 変更要求の取り消し
D. 緊急変更の要請
回答を見る
正解: D
質問 #34
情報セキュリティリスク管理における利害関係者の説明責任を促進するもので、最も適切なものはどれか。
A. 対象となるセキュリティ手順
B. 情報所有権の確立
C. セキュリティ・ベースラインの確立
D. コンプライアンス違反の定期的な見直し
回答を見る
正解: B
質問 #35
ある情報セキュリティマネジャーが、組織の情報をさまざまな脅威のベクトルから守るための戦略を立てるよう求められている。次のうち、最初に行うべきことはどれか?
A. 脅威モデル演習の実施
B. リスクプロファイルの作成
C. リスク管理プロセスの設計
D. ガバナンスのフレームワークを選択する
回答を見る
正解: B
質問 #36
企業のセキュリティガバナンスフレームワークを策定する際に、最も考慮すべきことはどれか。
A. 現在の事業戦略の理解
B. 現在のセキュリティ・アーキテクチャの評価
C. ビジネスインパクト分析(BIA)の結果
D. 業界のベストプラクティスに対するベンチマーキング
回答を見る
正解: A
質問 #37
情報セキュリティ投資に対する経営幹部のコミットメントを得るために、ビジネスケースに盛り込むべき内容として最も重要なものはどれか。
A. 独立監査の結果
B. 業界のベストプラクティス
C. 事業価値の予測
D. 事業方針への言及
回答を見る
正解: C
質問 #38
情報セキュリティ戦略計画に含めるべき最も重要な情報はどれか。
A. 情報セキュリティ要員の要件
B. 現状と将来のあるべき姿
C. IT資本投資要件
D. 情報セキュリティ・ミッション・ステートメント
回答を見る
正解: B
質問 #39
リスク選好度を決定するための主要な根拠となるべきものはどれか。
A. 組織目標
B. 上級管理職の意見
C. 業界ベンチマーク
D. 第三者監査結果
回答を見る
正解: A
質問 #40
ソーシャル・エンジニアリング評価の一環として、組織が従業員にフィッシング攻撃のシミュレーショ ンを実施する主な理由は何でしょうか?
A. セキュリティ意識向上トレーニングの効果を測定する。
B. セキュリティ対策を緩和する必要性を特定する。
C. スパム対策の効果を測定する。
D. インシデント対応計画の有効性をテストする。
回答を見る
正解: A
質問 #41
主要リスク指標(KRI)を維持する最も重要な理由は、次のとおりである:
A. 脅威と脆弱性は絶えず進化している。
B. 法令遵守を確認するために必要である。
C. セキュリティ・プログラムのパフォーマンスを評価するのに役立つ。
D. 経営陣は、十分な情報に基づいたビジネス上の意思決定を行うためにそれらを使用する。
回答を見る
正解: A
質問 #42
企業のリスク管理プログラムの第一の目標は、組織のリスク管理を確実にすることである:
A. 主要なビジネス機能のIT資産が保護されている。
B. ビジネスリスクは予防的管理によって対処される。
C. 掲げた目標は達成可能である。
D. IT設備やシステムはいつでも利用できる。
回答を見る
正解: C
質問 #43
ある情報セキュリティマネジャーは、セキュリティ意識向上トレーニングプ ログラムの実施を命じられた。次のうち、このプログラムの効果に最も影響するものはどれですか。
A. 経営幹部からの賛同を得る
B. 組織の環境に合わせたトレーニング
C. エンドユーザーからの賛同を得る
D. 業界のベストプラクティスに基づいたトレーニングプログラム
回答を見る
正解: C
質問 #44
ビジネスにとって重要であるため、組織は会社の方針から逸脱した技術的解決策を迅速に導入したがる。情報セキュリティマネジャーは、次のことを行うべきである:
A. リスクアセスメントを実施し、その結果に基づいて許可または不許可を決定する。
B. リスクアセスメントを推奨し、残存リスクが許容される場合にのみ実施する。
C. 会社のポリシーに反するため、導入に反対する。
D. 現行ポリシーの改定を推奨する。
回答を見る
正解: B
質問 #45
多国籍組織では、グローバル・セキュリティ・ポリシーよりもローカル・セキュリティ・ポリシーを実施すべきである:
A. 事業目標は、各地域の事業部長によって定義される。
B. 世界的な政策よりも、現地の規制を意識することの方がより実践的である。
C. グローバルセキュリティポリシーには、ローカルビジネスにとって不必要なコントロールが含まれている。
D. 現地規制の要件が優先される。
回答を見る
正解: D
質問 #46
包括的な情報セキュリティポリシーを策定する最も適切な理由はどれか。
A. 業界および政府の外部規制を遵守する
B. 効果的なリスク指標の開発を支援する
C. 情報セキュリティプログラムを組織戦略に整合させる
D. 情報セキュリティプログラムに対する経営幹部の支持を得る。
回答を見る
正解: C
質問 #47
次の環境のうち、組織のセキュリティにとって最も大きなリスクはどれか。
A. ローカル管理ファイルサーバー
B. エンタープライズデータウェアハウス
C. 負荷分散されたウェブサーバクラスタ
D. 集中管理されたデータ・スイッチ
回答を見る
正解: A
質問 #48
上級管理職は、組織の侵入防御システムが繰り返し業務を妨害するのではないかという懸念を表明している。情報セキュリティマネジャーがこの懸念に対処するためにシステムを調整したことを示すベストはどれか。
A. 偽陽性の減少
B. 偽陰性を減らす
C. 偽陽性の増加
D. 偽陰性の増加
回答を見る
正解: A
質問 #49
リスクが許容可能なレベルまで低減されたかどうかの判断は、以下によってなされるべきである:
A. 組織の要件
B. 情報システムの要件
C. 情報セキュリティ要件
D. 国際基準。
回答を見る
正解: A
質問 #50
情報セキュリティ・プログラムを実施する際に公開鍵基盤(PKI)を導入する主な理由は、以下のとおりである:
A. 機密資料の機密性を確保する。
B. 高い身元保証を提供する。
C. アクティブディレクトリの展開を許可する。
D. SSL(セキュア・ソケット・レイヤー)暗号化を実装する。
回答を見る
正解: B
質問 #51
情報セキュリティ戦略策定における第一の目標は、次のとおりである:
A. セキュリティ指標とパフォーマンス監視を確立する
B. ビジネス・プロセス・オーナーの職務に関する教育を行う。
C. 法的および規制上の要件が満たされていることを確認する。
D. 組織の事業目標をサポートする。
回答を見る
正解: D
質問 #52
次のうち、情報セキュリティ戦略の策定において最も重要なのは誰の意見か。
A. エンドユーザー
B. 監査役
C. プロセス・オーナー
D. セキュリティ・アーキテクト
回答を見る
正解: D
質問 #53
次のセキュリティ目標のうち、不正な改ざんから情報を保護することを確実にするものはどれか。
A. 真正性
B. 可用性
C. 守秘義務
D. 完全性
回答を見る
正解: D
質問 #54
セキュリティ戦略を策定する上で最も重要なのはどれか。
A. 積極的なビジネス・セキュリティ環境の構築
B. 主要なビジネス目標を理解する
C. 上級管理職への報告ラインを持つ
D. 情報セキュリティに十分なリソースを割り当てる
回答を見る
正解: B
質問 #55
リスクアセスメントを行う際には、資産を以下のように分類する必要がある:
A. 可能性と影響
B. センシティビティとクリティカリティ。
C. 脅威と機会
D. 冗長性と回復可能性
回答を見る
正解: B
質問 #56
次の脆弱性のうち、外部ハッカーが企業ネットワークにアクセスするリスクが最も高いものはどれですか?
A. 不要なサービスを実行している内部ホスト
B. 不十分なロギング
C. 内部データベースに対する過度の管理者権限
D. ワークステーションにパッチが適用されていない
回答を見る
正解: C
質問 #57
正式な情報セキュリティ・プログラムを持たない組織が、情報セキュリティのベスト・プラクティスを実施することを決定した場合、FIRSTを実施すべきである:
A. セキュリティ戦略を策定するために外部のコンサルタントを招く。
B. ベストプラクティスに基づいて予算を配分する。
C. 類似の組織をベンチマークする。
D. 高水準のビジネスセキュリティ要件を定義する。
回答を見る
正解: D
質問 #58
情報セキュリティが組織の目的に適合していることを確認するために、最も重要な要素はどれか。
A. セキュリティ・プロセスにおける内部監査の関与
B. 統制自己評価プロセスの実施
C. 許容可能なリスク閾値の設定
D. セキュリティ意識向上プログラムの実施
回答を見る
正解: C
質問 #59
新システムのセキュリティ管理策を検証するためのテスト計画は、プロジェクトのどのフェー ズで策定されるべきであるか?
A. テスト
B. イニシエーション
C. デザイン
D. 開発
回答を見る
正解: C
質問 #60
利害関係者に機密性の高いリスク関連情報を報告する際に、最も考慮すべきことはどれか。
A. 通信の否認防止
B. 広報部長との協議
C. 内部通信を安全に送信する
D. 聴衆に合わせたコミュニケーションのカスタマイズ
回答を見る
正解: C
質問 #61
情報セキュリティプログラム要件をベンダ管理に統合する最も大きなメリットはどれか。
A. サプライチェーンにおけるリスク削減能力
B. 業界のコンプライアンス要件を満たす能力
C. サービス・レベル・アグリーメント(SLA)を定義する能力
D. ベンダーのパフォーマンスを向上させる能力
回答を見る
正解: A
質問 #62
ネットワークの脆弱性評価とは、何を明らかにすることを意図しているのか?
A. 0日脆弱性
B. 悪意のあるソフトウェアとスパイウェア
C. セキュリティ設計の欠陥
D. 設定ミスと更新漏れ
回答を見る
正解: D
質問 #63
企業ネットワークへの仮想プライベートネットワーク(VPN)アクセスについて、情報セキュリティ管理者は強力な認証を要求している。ネットワークへのログオンが安全であることを保証する最も強力な方法はどれか。
A. バイオメトリクス
B. 対称暗号鍵
C. セキュア・ソケット・レイヤー(SSL)ベースの認証
D. 二要素認証
回答を見る
正解: D
質問 #64
次のうち、セキュリティの有効性をテストするのに最も適した技術はどれか。
A. 外部侵入テストの実施
B. セキュリティポリシーと基準の見直し
C. セキュリティログの確認
D. 技術的セキュリティ慣行の分析
回答を見る
正解: B
質問 #65
ファイアウォールは次のうちどれに設置すべきか?
A. ウェブサーバー
B. 侵入検知システム(IDS)サーバー
C. スクリーニングされたサブネット
D. ドメイン境界
回答を見る
正解: D
質問 #66
セキュリティ・ポリシーを作成する主な目的は、以下のとおりである:
A. 経営陣のガバナンス戦略を実行する。
B. セキュリティタスクの実行方法を確立する。
C. 経営陣のセキュリティに対する期待を伝える。
D. 許容されるセキュリティ境界を定義する。
回答を見る
正解: B
質問 #67
復旧時間目標(RTO)は、次のどのマイルストーンで達成されるか?
A. 災害宣言
B. バックアップのリカバリ
C. システムの復旧
D. 通常処理に戻る
回答を見る
正解: C
質問 #68
アプリケーション開発プロセスのどの段階で、セキュリティ部門が最初に関与すべきでしょうか?
A. 要求された場合
B. テスト時
C. プログラミング
D. 詳細要件
回答を見る
正解: D
質問 #69
情報セキュリティに関連する重要リスク指標(KRI)をモニタリングする最も重要な目的は、以下の通りである:
A. セキュリティエクスポージャの変化を特定する。
B. リスク管理コストの削減
C. 規制遵守要件を満たす。
D. セキュリティ事故による損失を最小限に抑える。
回答を見る
正解: A
質問 #70
パスワード標準への準拠を保証する最も良い方法はどれか。
A. パスワード同期ソフトウェアの導入
B. ユーザー認識プログラム
C. パスワード構文ルールの自動化
D. パスワードクラッキングソフトウェアの使用
回答を見る
正解: C
質問 #71
新たなセキュリティ戦略を導入する際にITマネジメント、ビジネスユニット、セキュリティマネジメントの間で生じる問題に対処するための最も効果的なアプローチは、情報セキュリティマネジャーが次のことを行うことである:
A. 問題を解決するために外部の第三者にエスカレーションする。
B. 上級管理職が、問題に対処するためのセキュリティ権限を提供するようにする。
C. セキュリティ・ソリューションに同意していない管理職や部門に、リ スクを受け入れるよう主張する。
D. セキュリティに関する推奨事項とともに、問題を上級管理職に報告する。
回答を見る
正解: D
質問 #72
上層部のコミットメントを得た後、情報セキュリティプログラムを確立する場合、次のうちどれをNEXTに完了させるべきか。
A. セキュリティ・メトリクスを定義する
B. リスクアセスメントの実施
C. ギャップ分析の実施
D. セキュリティツールを調達する
回答を見る
正解: B
質問 #73
最近導入した情報セキュリティガバナンスフレームワークの状況を上級管理職に説明する場合、最も有用なのはどれか。
A. リスク評価
B. 脅威の評価
C. 成熟度モデル
D. 定期検査結果
回答を見る
正解: C
質問 #74
組織全体のスタッフの情報セキュリティ上の役割と責任を定義する主な理由は、以 下のとおりである:
A. トレーニングの必要性を強化する
B. 企業の説明責任を高める
C. セキュリティ・ポリシーを遵守する
D. 個人に説明責任を課す
回答を見る
正解: C
質問 #75
次の活動のうち、セキュリティをソフトウェア開発ライフサイクル(SDLC)に組み込むのに最も適しているものはどれか?
A. オープンソースソフトウェアの使用を最小限に抑える。
B. 開発チームに対するセキュリティトレーニングを含める。
C. オペレーティングシステムの脆弱性をスキャンする。
D. 稼働前にアプリケーションをテストする。
回答を見る
正解: D
質問 #76
情報セキュリティ・プログラムの主要な役割は何か?
A. ビジネスに沿ったセキュリティポリシーを策定し、実施する
B. 情報セキュリティ要件に関する利害関係者の教育
C. 定期的なリスクアセスメントとビジネスインパクト分析(BIA)の実施
D. 組織のセキュリティリスクを管理するための指針を提供する。
回答を見る
正解: A
質問 #77
社内で開発されたビジネスアプリケーションに変更を加えても、新たなセキュリ ティエクスポージャが生じないようにするための最善の策はどれか。
A. ストレステスト
B. パッチ管理
C. 変更管理
D. セキュリティ・ベースライン
回答を見る
正解: C
質問 #78
次のうち、脆弱性の例はどれか?
A. 自然災害
B. 欠陥ソフトウェア
C. ランサムウェア
D. 不正ユーザー
回答を見る
正解: B
質問 #79
ある情報セキュリティ管理者が、BYOD(Bring Your Own Device)プログラムを実施しようとしています。ユーザがセキュリティ標準を遵守することを最も確実にするのは、次のうちどれでしょうか。
A. ネットワーク上のユーザーの行動を監視する
B. イントラネットのランディングページで基準を公開する。
C. 受諾可能な使用ポリシーの確立
D. デバイス管理ソリューションを導入する
回答を見る
正解: D
質問 #80
リスク管理の目的上、資産の価値は以下のものに基づくべきである:
A. 原価。
B. 純キャッシュフロー
C. 正味現在価値
D. 買い替えコスト
回答を見る
正解: D
質問 #81
自然災害のように確率が低く、影響レベルが高いリスクを扱うのに最も効果的な方法はどれか。
A. 対策を実施する。
B. リスクを排除する。
C. リスクを移転する。
D. リスクを受け入れる。
回答を見る
正解: C
質問 #82
新システムの情報セキュリティ基盤を構築する上で、最も重要な要件はどれか。
A. ビジネスインパクト分析(BIA)の実施
B. 個人情報機器をセキュリティポリシーの一部として考える
C. ITセキュリティ・トレーニングの開始と周知
D. リスクアセスメントに基づく情報セキュリティ基盤
回答を見る
正解: D
質問 #83
次のうち、技術革新に対応して変更されることはほとんどないものはどれか?
A. 規格
B. 手続き
C. 方針
D. ガイドライン
回答を見る
正解: C
質問 #84
経営陣が組織に対するリスクを軽減するために必要なリソースを決定する際に役立つのは、次のうちどれでしょうか?
A. リスク分析プロセス
B. ビジネスインパクト分析(BIA)
C. リスク管理バランススコアカード
D. リスクベースの監査プログラム
回答を見る
正解: B
質問 #85
コントロールの有効性を判断する一つの方法は、決定することである:
A. それが予防的なものであれ、刑事的なものであれ、補償的なものであれ。
B. 故障の通知を行う機能。
C. 目的のテスト結果。
D. 信頼性の評価と分析
回答を見る
正解: C
質問 #86
内部監査により、IT処理に関する重大な弱点が指摘された。情報セキュリティマネジャーが経営陣に危機感を伝えるために使用すべきベストはどれか。
A. セキュリティ・メトリクス・レポート
B. リスク評価報告書
C. ビジネスインパクト分析(BIA)
D. 証券投資収益報告書
回答を見る
正解: B
質問 #87
成功する情報セキュリティマネジメントプログラムは、次のうちどれを使用して、エクスポージャの軽減に割くリソースの量を決定すべきか。
A. リスク分析結果
B. 監査報告書の指摘事項
C. 侵入テストの結果
D. 利用可能なIT予算額
回答を見る
正解: A
質問 #88
主要な IT プロジェクトのライフサイクルにセキュリティリスク評価を組み込 むことを確実にするために、最も適切なものはどれか。
A. リスク評価を内部監査プログラムに組み込む
B. グローバルなセキュリティ基準をITプロジェクトに適用する
C. リスクアセスメントに関するプロジェクトマネージャーのトレーニング
D. プロジェクト設定委員会に情報セキュリティマネジ メントを参加させる
回答を見る
正解: B
質問 #89
あるCIOが、組織の情報セキュリティマネジャーに、情報セキュリティプログラムの1年計画と5年計画の両方を提出するよう要請した。長期計画の主な目的は何ですか。
A. 将来予測されるセキュリティニーズに対応するための正式な要件を作成する。
B. セキュリティ能力の一貫した進歩を作成し、文書化する。
C. 1年計画よりも長いスケールでリスクに優先順位をつける。
D. IT組織の継続的改善を促進する
回答を見る
正解: D
質問 #90
受注処理システムをテスト環境から本番環境に移行する際、最も重要な管理者のサインオフはどれか。
A. ユーザー
B. セキュリティ
C. オペレーション
D. データベース
回答を見る
正解: A
質問 #91
新しく採用された情報セキュリティ管理者が既存のセキュリティ投資計画を見直す場合、その計画に懸念を抱く可能性が最も高い:
A. 既存のITシステムにおけるセキュリティ上の脅威と脆弱性のレビューのみに基づいている。
B. 導入がビジネスプロセスに及ぼす潜在的な影響を特定する。
C. 国際的な共通セキュリティ基準への準拠を重視する。
D. 導入にかかるITコストの詳細を説明するのではなく、要約している。
回答を見る
正解: A
質問 #92
組織が新たな規制要件の対象となった場合、情報セキュリティマネジャーはまずどのような行動を取るべきか。
A. ギャップ分析の実施
B. コントロールアセスメントの完了
C. コンプライアンスをサポートするビジネスケースを提出する。
D. リスク登録の更新
回答を見る
正解: A
質問 #93
組織の情報セキュリティ戦略は、以下に基づくべきである:
A. 事業目的に照らしてリスクを管理する。
B. リスクをゼロレベルに管理し、保険料を最小限に抑える。
C. 保険が不要となるよう、リスクの発生を回避する。
D. ほとんどのリスクを保険会社に移管し、管理コストを節約する。
回答を見る
正解: A
質問 #94
次のうち、セキュリティ管理が有効であることを確認するのに最適なものはどれか。
A. リスク評価方針
B. セキュリティ投資に対するリターン
C. セキュリティ・メトリクス
D. ユーザーのアクセス権
回答を見る
正解: C
質問 #95
特定の資産に与えるべき保護レベルの決定 BESTによって決定される:
A. 脅威の評価。
B. 脆弱性評価。
C. リスク分析。
D. 企業のリスク選好度。
回答を見る
正解: C
質問 #96
リスクマネジメント・プログラムを実施する主な理由はどれか。
A. 組織はリスクを排除できる
B. 経営陣によるデューデリジェンスの必要な部分である。
C. 監査および規制上の要件を満たす
D. 投資収益率(ROD)の向上を支援する。
回答を見る
正解: B
質問 #97
情報セキュリティ戦略を策定する際、最も重要な要件は以下の通りである:
A. 規格は経営者の意図を汲み取る。
B. 目標を達成するためにスケジュールを立てる。
C. 望む結果がわかっている。
D. 重要成功要因(CSF)が策定される。
回答を見る
正解: A
質問 #98
あるレガシー業務アプリケーションのセキュリティレビュー中に、機密性の高いクライアントデータが暗号化されて保存されていないことが発見された。情報セキュリティマネジャーが取るべき行動として、最も適切なものはどれか。
A. クライアントデータに暗号化を実装する。
B. 上級管理職にコンプライアンス違反を報告する。
C. 代償措置を分析し、関連するリスクを評価する。
D. 暗号化のコストを決定し、アプリケーションの所有者と話し合う。
回答を見る
正解: C
質問 #99
組織全体で情報セキュリティを統合しようとする場合、管理組織にとって最も重要な目標は、確実にすることである:
A. 情報セキュリティプロジェクトに使用するリソースは最小限に抑える。
B. 情報セキュリティはビジネスクリティカルな問題として扱われる。
C. 要請された情報セキュリティ・プロジェクトへの資金提供が承認される。
D. 定期的に情報セキュリティ監査を実施している。
回答を見る
正解: B
質問 #100
リスクが軽減された後、残存リスクが組織の設定したリスク許容範囲内に収まるようにするための最も効果的な方法はどれか。
A. プログラムの有効性をテストするために新しいリスクシナリオを導入する。
B. リスクの変化についてセキュリティ環境を監視する。
C. 利用者のリスク認識を促進するプログラムを実施する。
D. ビジネスインパクト分析(BIA)を行う。
回答を見る
正解: A
質問 #101
特定された脆弱性をタイムリーに緩和する最善の方法はどれか。
A. 継続的脆弱性監視ツール
B. システムの重要性に基づく脆弱性の分類
C. 主要リスク指標(KRI)のモニタリング
D. 責任と期限を定めた行動計画
回答を見る
正解: C
質問 #102
情報セキュリティガバナンスの最も重要な成果とは何か:
A. ビジネスリスクの回避。
B. 情報に基づいた意思決定
C. ビジネス目標との整合性
D. コンプライアンス要件との整合性
回答を見る
正解: C
質問 #103
明確な情報セキュリティ戦略を策定することの最も重要な利点はどれか。
A. 組織の従業員による賛同のサポート
B. 最優先事項への資源配分
C. リスク許容閾値からの逸脱の防止
D. インシデント対応プロセスの成熟度の向上
回答を見る
正解: C
質問 #104
情報セキュリティリスクを監視するための効果的な主要リスク指標(KRI)を策定するための重要な基準はどれか。
A. 特定のリスクと高い相関を持ち、定期的に測定される指標であること。
B. 指標はITに焦点を当て、リスク変動を正確に表すべきである。
C. この指標は、主要業績評価指標と整合し、プロセス・パフォーマンス問題の根本原因を測定するものでなければならない。
D. この指標は、リスク影響の回顧的な見方を提供し、毎年測定されるべきである。
回答を見る
正解: A
質問 #105
リスクを管理するためにリスク対応策を選択する場合、情報セキュリティ管理者は、リスクを低減することに主眼を置くべきである:
A. リスク許容度を満たすためのエクスポージャー。
B. 脅威の可能性
C. リスクの移転による金銭的損失
D. セキュリティの脆弱性の数
回答を見る
正解: A
質問 #106
コントロールが適用される前に、特定の脅威と脆弱性のペアに対するリスクを決定することは、次のように表すことができる:
A. ある脅威が脆弱性を悪用しようとする可能性。
B. 脅威が脆弱性を悪用した場合の可能性と影響の関数。
C. 脅威が脆弱性を悪用した場合の影響の大きさ
D. 脆弱性に対する管理のコストと有効性の関数
回答を見る
正解: B
質問 #107
情報セキュリティに対する上級管理職のコミットメントと支援は、次のような方法で強化することができる:
A. 最高経営責任者(CEO)主催の正式なセキュリティポリシー。
B. 従業員に対する定期的なセキュリティ意識向上トレーニング
C. 経営目標との整合性を定期的に見直す。
D. 上級管理職が情報セキュリティ戦略に署名する。
回答を見る
正解: C
質問 #108
災害時のIT資産の復旧の優先順位付けに最も役立つのはどれか。
A. ビジネスインパクト分析(BIA)
B. リスク評価
C. 脆弱性評価
D. 費用便益分析
回答を見る
正解: A
質問 #109
新しい情報セキュリティプログラムを策定する際に、最も重要な目的はどれか。
A. セキュリティ戦略の実行
B. リソースの最適化
C. オペレーション・セキュリティの促進
D. 規制遵守の達成
回答を見る
正解: A
質問 #110
ある組織が実施したリスクアセスメント調査で、ローカルエリアネットワーク(LAN)のセグメンテーションが行われていないことが指摘された。ネットワークのセグメンテーションは、次のうちどれによる潜在的な影響を減らすことができるか?
A. サービス拒否(DoS)攻撃
B. トラフィックのスニッフィング
C. ウイルス感染
D. IPアドレス・スプーフィング
回答を見る
正解: B
質問 #111
リスク軽減報告書には、以下のような提言が含まれる:
A. 評価。
B. 受け入れる。
C. 評価
D. 定量化。
回答を見る
正解: B
質問 #112
情報セキュリティを支援する上で、上級管理職に最もふさわしい役割は、次のようなものである:
A. セキュリティ製品を提供するベンダーの評価
B. 組織に対するリスクの評価
C. 方針声明と資金調達の承認
D. 規制要件の遵守を監視する。
回答を見る
正解: C
質問 #113
権限のない利害関係者への機密データ漏洩リスクを軽減する最も効果的な方法はどれか。
A. ロールベースのアクセス制御を導入する。
B. データ分類ポリシーを作成する。
C. ログイン認証情報とパスワードの使用を要求する。
D. 情報セキュリティ意識向上トレーニングを実施する。
回答を見る
正解: A
質問 #114
ある情報セキュリティマネジャーが、組織の新しい情報セキュリ ティポリシーが全部門で守られていないことを発見した。情報セキュリティマネジャーが最も懸念すべきことはどれか。
A. 事業部ごとに異なるコミュニケーション方法が必要な場合がある。
B. 事業部経営陣は新方針の重要性を強調していない。
C. C
D. ポリシーの文言が聴衆に合わせていない。
回答を見る
正解: C
質問 #115
組織におけるソーシャル・ネットワーキング・サイトの利用ガイドラインを策定する際、最も重要なステップはどれか。
A. コンプライアンス違反に対する懲戒処分を定める。
B. 掲示に許容される情報を定義する。
C. 安全なソーシャルネットワーキングサイトを特定する。
D. 脆弱性評価を実施する。
回答を見る
正解: D
質問 #116
ある組織が、エンドユーザーが悪意のあるリンクをクリックしたと判断しました。同じような状況の再発を最も効果的に防止できるのは、次のうちどれでしょうか。
A. エンドユーザー・トレーニング
B. ウイルス対策
C. エンドユーザーのアクセス制御
D. セキュリティポリシーの更新
回答を見る
正解: A
質問 #117
ゼロデイ脆弱性を悪用したランサムウェアによる情報損失に関するリスクを最小化するためのコントロールとして、最も適切なものはどれか。
A. セキュリティ・オペレーション・センター
B. パッチ管理プロセス
C. 公開鍵基盤
D. データ復旧プロセス
回答を見る
正解: D
質問 #118
新しいアプリケーションシステムのリスク評価を始めるのに最も適切なのは、開発のどの段階ですか?
A. 実現可能性
B. デザイン
C. 開発
D. テスト
回答を見る
正解: A
質問 #119
ウェブベースのビジネス・アプリケーションを内部認証する最大の理由は、それを確実にすることである:
A. 業界標準への準拠。
B. 組織方針の枠組みの変更を確認する。
C. 最新のウェブ技術が使われている。
D. 組織の方針に従うこと。
回答を見る
正解: D
質問 #120
IT 部門は、新しいアプリケーションを本番稼動させる場合、ビジネスプロセ スに変更が生じないため、ビジネス影響度分析(BIA)を更新する必要はない と宣言した。情報セキュリティマネジャーは次のことを行うべきである:
A. 事業部門との決定を検証する。
B. システムのリスク分析をチェックする。
C. 実施後のレビュー後に更新することを推奨する。
D. 監査レビューを要求する。
回答を見る
正解: A
質問 #121
セキュリティプログラムの結果を効果的に評価するために、情報セキュリティマネジ メントが採用できる指標として、最も適切なものはどれか。
A. 実施されたコントロールの数
B. 管理目標の達成率
C. セキュリティポリシーの遵守率
D. セキュリティ・インシデントの報告件数の減少
回答を見る
正解: B
質問 #122
効果的な情報セキュリティガバナンスフレームワークを設計するために最も重要な考慮事項はどれか。
A. 定義されたセキュリティ・メトリクス
B. 継続的な監査サイクル
C. セキュリティポリシー規定
D. セキュリティ制御の自動化
回答を見る
正解: A
質問 #123
ビジネス目標を達成するために必要な管理策の選択を決定するために、情報セキュリティマネジャーは以下のことを行う:
A. ロールベースのアクセス制御の使用を優先する。
B. 主要なコントロールに焦点を当てる。
C. コントロールを重要なアプリケーションのみに制限する。
D. 自動制御に重点を置く。
回答を見る
正解: B
質問 #124
リスク管理プログラムには次のようなことが期待される:
A. 固有のリスクをすべて取り除く。
B. 残留リスクを許容可能なレベルに維持する。
C. あらゆる脅威に対して予防策を講じる。
D. コントロールリスクをゼロにする。
回答を見る
正解: B
質問 #125
インターネット上で送信される情報が本物であり、指定された送信者によって実際に送信されたものであることを保証するために一般的に使用されるのはどれか。
A. バイオメトリクス認証
B. 埋め込みステガノグラフィ
C. 二要素認証
D. 埋め込みデジタル署名
回答を見る
正解: D
質問 #126
残留リスクを最終的に受容する前に、許容リスクレベルより低いと判断されたリスク要因に対 処する情報セキュリティマネジャーの最良の方法は何か。
A. 過剰な管理レベルが適用されていないかどうかを評価する。
B. 上級管理職に許容リスクレベルの引き上げを要請する。
C. より厳しい対策を実施する。
D. 上級管理職に許容リスクレベルを引き下げるよう求める。
回答を見る
正解: A
質問 #127
情報セキュリティ・マネジャーは、国際的な組織のセキュリティ基準と現地の規制という、相反する可能性のある要件のバランスをどのようにとるのだろうか。
A. 地域の規制よりも組織の基準を優先する
B. 現地の規則のみに従うこと。
C. 現地の規制が抵触するような基準について、組織に認識させる。
D. ローカル版の組織基準について交渉する。
回答を見る
正解: D
質問 #128
ポリシーの例外処理を開始する主な理由は、次のような場合である:
A. 業務が忙しすぎて応じられない。
B. リスクは利益によって正当化される。
C. ポリシーの遵守を強制するのは難しい。
D. ユーザーは当初、不便を感じるかもしれない。
回答を見る
正解: B
質問 #129
ある会社のメールサーバーが、悪用される可能性のある匿名ファイル転送プロトコル(FTP)アクセスを許可している。情報セキュリティマネジャーは、是正措置の必要性を判断するために、どのようなプロセスを導入すべきか?
A. 侵入テスト
B. セキュリティ・ベースラインのレビュー
C. リスク評価
D. ビジネスインパクト分析(BIA)
回答を見る
正解: C
質問 #130
回復時点目標(RPO)が必要なのは、次のうちどれですか?
A. 情報セキュリティ計画
B. インシデント対応計画
C. 事業継続計画
D. 災害復旧計画
回答を見る
正解: C
質問 #131
組織のミッションクリティカルなアプリケーションに対する攻撃が成功した場合の潜在的な影響を特定する方法として、最も適切なものはどれか。
A. 侵入テストの実施。
B. 定期的な脆弱性スキャンを実施する。
C. 独立したコードレビューを行う。
D. アプリケーションの脆弱性レビューを実施する。
回答を見る
正解: A
質問 #132
あるソフトウェアベンダーが、組織の重要な業務システムを危険にさらすゼロデイ脆弱性を発表した。
A. ダウンタイムに対するビジネスの許容範囲
B. インシデント対応計画の妥当性
C. コントロールを実施するためのリソースの有無
D. 配備前にパッチをテストする能力
回答を見る
正解: C
質問 #133
エージェントレス・エンドポイント・セキュリティ・ソリューションを使用する主な利点は、次のうちどれですか?
A. ネットワーク帯域幅使用量の減少
B. 投与量の減少
C. 回復力の向上
D. より包括的な情報結果
回答を見る
正解: B
質問 #134
情報セキュリティ・ソフトウェア製品を購入するためのビジネスケースを成功させるには、次のような方法がある:
A. 事件の頻度を評価する。
B. コントロールの失敗のコストを定量化する。
C. 投資収益率(ROI)予測を計算する。
D. 類似組織との支出比較
回答を見る
正解: C
質問 #135
電子メールによる個人情報漏洩の可能性を最も低くするものはどれか。
A. 電子メールの暗号化
B. ユーザー意識向上トレーニング
C. 強力なユーザ認証プロトコル
D. 電子メールの私的利用の禁止
回答を見る
正解: D
質問 #136
メッセージはハッシュとともに送信される。攻撃者がメッセージを変更して真正のハッシュ値を生成するリスクは、以下の方法で軽減できる:
A. 秘密鍵とハッシュアルゴリズムを併用する。
B. 受信者に別のハッシュ・アルゴリズムの使用を要求する。
C. 送信者の公開鍵を使ってメッセージを暗号化する。
D. 元のメッセージと同じサイズのハッシュ出力を生成する。
回答を見る
正解: A
質問 #137
情報セキュリティマネジャーがIT運用部門に伝えるべき内容として、最も適切なものはどれか。
A. 内在するリスクのレベル
B. 脆弱性評価
C. 脅威の評価
D. 被曝の程度
回答を見る
正解: B
質問 #138
セキュリティ分類に従って情報にラベルを付ける:
A. 人々が情報を安全に扱う可能性を高める。
B. 必要な対策の数と種類を減らす。
C. 分類ごとにベースライン管理を特定する必要性を減らす。
D. 情報が安全に扱われなかった場合の結果に影響する。
回答を見る
正解: D
質問 #139
アウトソーシングサービスを依頼する大組織において、情報セキュリティマネジャーにとって最も重要な契約条項はどれか。
A. セキュリティ要件の遵守
B. 状況報告の頻度
C. 秘密保持条項
D. 知的財産(IP)
回答を見る
正解: A
質問 #140
新システムのリスク分析が行われている。次のうち、ITの知識よりもビジネスの知識の方が重要なものはどれか?
A. 脆弱性分析
B. バランススコアカード
C. 費用便益分析
D. 影響分析
回答を見る
正解: B
質問 #141
サービスプロバイダとの契約交渉の最終決定における情報セキュリティマネジャーの役割は何か。
A. 外部委託プロセスのセキュリティ基準を更新する。
B. 定期監査に関する条項が含まれていることを確認すること。
C. プロバイダからセキュリティ標準の認証を取得する場合
D. アウトソーシングプロセスのリスク分析を行う。
回答を見る
正解: A
質問 #142
包括的な情報セキュリティプログラムの策定と管理の指針として、最も重要なものはどれか。
A. 情報セキュリティプログラム管理のベストプラクティスの採用
B. 情報セキュリティ戦略に対応するためのポリシーと手順の導入
C. 情報セキュリティガバナンス体制の確立と維持
D. 組織のビジネス目標とIT目標の整合性
回答を見る
正解: C
質問 #143
重要なアプリケーションをホストするサーバーを含むインシデント対応手順を策定する場合、次のうちどれを最初に通知すべきでしょうか?
A. 経営管理
B. オペレーション・マネージャー
C. 情報セキュリティ管理者
D. システムユーザー
回答を見る
正解: C
質問 #144
情報セキュリティをコーポレート・ガバナンスの目的に合致させる主な目的は、以下のとおりである:
A. セキュリティプロセスを改善する能力を構築する。
B. 重要なリスク領域を一貫して管理する。
C. リスクに対する組織の許容範囲を特定する。
D. 役割と責任を再調整する。
回答を見る
正解: A
質問 #145
国際的な大組織で使用する情報セキュリティガイドラインを文書化する主な目的は、以下のとおりである:
A. すべての事業部門が同じ戦略的セキュリティ目標を持つようにする。
B. 監査人に、セキュリティ対策が適切であることの証拠を提供する。
C. セキュリティに関する組織の望ましい慣行を説明する。
D. すべての事業部門が同一のセキュリティ手順を実施するようにする。
回答を見る
正解: A
質問 #146
組織の現在のリスク軽減能力を判断する上で、最も役に立つのはどれか。
A. 能力成熟度モデル
B. ビジネスインパクト分析
C. ITセキュリティ・リスクと暴露
D. 脆弱性評価
回答を見る
正解: A
質問 #147
限られた予算の中でどのセキュリティ対策を実施すべきかを判断するための最良の手法は何か。
A. リスク分析
B. 年率損失見込み(ALE)の計算
C. 費用便益分析
D. 影響分析
回答を見る
正解: C
質問 #148
イントラネット・サーバーは一般に、以下の場所に設置する:
A. 内部ネットワーク。
B. ファイアウォール・サーバー
C. 外部ルーター
D. プライマリドメインコントローラ
回答を見る
正解: A
質問 #149
情報セキュリティ方針は、第一義的には、以下の点に基づき策定されるべきである:
A. ビジネス上の要求。
B. 固有のリスク
C. 国際基準。
D. ビジネスリスク
回答を見る
正解: D
質問 #150
情報セキュリティマネジャーが取締役会に主要リスクを提示する主な目的は、以下のとおりである:
A. 情報セキュリティのコンプライアンス要件を満たす。
B. 適切な情報セキュリティガバナンスを確保する。
C. 風評リスク
D. リスク選好度を再評価する。
回答を見る
正解: B
質問 #151
組織内の情報分類プロセスにおける情報セキュリティ管理者の主な役割は何か。
A. 情報資産の分類構造の定義と批准
B. 組織の情報資産に適用する分類レベルの決定
C. 分類に従った情報資産の保護
D. 情報資産が適切に分類されているかの確認
回答を見る
正解: A
質問 #152
効果的な情報セキュリティ戦略を策定する上で、最も重要な推進要因はどれか。
A. 情報セキュリティ基準
B. 遵守事項
C. ベンチマーク・レポート
D. セキュリティ監査報告書
回答を見る
正解: A
質問 #153
ウイルス検出ソフトウェアの有効性は、次のうちどれに最も依存するか?
A. パケットフィルタリング
B. 侵入検知
C. ソフトウェアのアップグレード
D. 定義表
回答を見る
正解: D
質問 #154
ある組織が給与計算業務をアウトソーシングしている。サービスプロバイダの情報セキュリティを監視するための主要なリスク指標として、最も適切なものはどれか。
A. 重大度別のセキュリティ・インシデント数
B. 重要なセキュリティパッチの数
C. アプリケーションの稼働率
D. 手作業による給与計算の調整回数
回答を見る
正解: A
質問 #155
セキュリティ・ソリューションの最も完全なビジネスケースとは、以下のようなものである。
A. 適切な正当性を含む。
B. 現在のリスクプロファイルを説明する。
C. 規制要件の詳細
D. インシデントと損失を特定する。
回答を見る
正解: A
質問 #156
効果的なITセキュリティ意識向上プログラムを設計するための最も重要な成功要因は、以下のとおりである:
A. コンテンツをターゲットオーディエンスに合わせてカスタマイズする。
B. 経営陣の代表を確保する。
C. 全スタッフのトレーニングを徹底する。
D. 専門的な内容は避け、具体的な例を挙げる。
回答を見る
正解: A
質問 #157
クライアント・サーバー環境のミドルウェアに関連するリスクとして、最も重要なものはどれか。
A. サーバーのパッチ適用を妨げる可能性
B. システムのバックアップが不完全である可能性がある
C. システムの完全性が影響を受ける可能性がある
D. エンドユーザーセッションがハイジャックされる可能性
回答を見る
正解: C
質問 #158
情報セキュリティ戦略がビジネスと整合していることを示す最も適切なものはどれか。
A. 情報セキュリティの取り組みによって直接支援されるビジネス目標の数
B. 企業予算のうち、情報セキュリティ対策に割り当てられる割合
C. 情報セキュリティに関する意識向上セッションに参加した経営幹部数
D. 定義されたサービスレベル合意内で解決された情報セキュリティインシデントの割合
回答を見る
正解: A
質問 #159
リスクマネジメント・プログラムは、以下のようなリスクを軽減するものでなければならない:
A. ゼロ。
B. 許容できるレベル。
C. 収入の許容可能なパーセンテージ。
D. 許容できる発生確率。
回答を見る
正解: B
質問 #160
セキュリティー部門が行うこととして、最も優れているのはどれか。
A. オペレーティングシステムへのアクセス基準の承認
B. オペレーティングシステムへの不正アクセスをログする
C. オペレーティングシステムにアクセスするためのユーザープロファイルの管理
D. オペレーティングシステムにアクセスするユーザーをプロビジョニングする
回答を見る
正解: B
質問 #161
脆弱性が認識されているWebアプリケーションを使用する際に、最も重要なアクションは次のうちどれですか?
A. アプリケーションファイアウォールを導入する。
B. ホストベースの侵入検知を導入する。
C. スパイウェア対策ソフトをインストールする。
D. アプリケーションレベルのログを監視する。
回答を見る
正解: A
質問 #162
サードパーティサービスプロバイダが、ある組織の顧客向けにモバイルアプリを開発している。情報セキュリティマネジャーが最も懸念すべき問題はどれか?
A. ソフトウェアのエスクローは契約書に記載されていません。
B. 契約には、安全な開発手法に関する要件はない。
C. モバイルアプリのプログラマーはすべてオフショアの請負業者だ。
D. 配備後のSLAが明確に定義されていない。
回答を見る
正解: B
質問 #163
正式なデータ保持ポリシーを文書化する情報セキュリティ管理者の主な関心事は以下の通りである:
A. 一般に認められた業界のベストプラクティス。
B. ビジネス要件
C. 法規制上の要件
D. ストレージの可用性
回答を見る
正解: B
質問 #164
オンライン上の一般向けウェブサイトで消費者の個人情報を保護する方法として、最も適切なものはどれか。
A. 消費者のデータを転送中および静止状態で暗号化する。
B. 消費者データにマスキングポリシーを適用する。
C. 安全な暗号化トランスポート層を使用する。
D. オンラインアカウントに強力な認証を適用する。
回答を見る
正解: A
質問 #165
情報セキュリティプログラムを確立するための最初のステップはどれか。
A. セキュリティポリシーを策定する。
B. セキュリティ運用手順を策定する。
C. セキュリティ計画を策定する。
D. セキュリティ管理策の調査を実施する。
回答を見る
正解: C
質問 #166
情報資産の価値は、BESTによって決定される:
A. 個々の経営者。
B. ビジネス・システム・アナリスト
C. 情報セキュリティ管理
D. 業界平均のベンチマーク
回答を見る
正解: A
質問 #167
電子的に保存されたビジネス記録の長期保存を計画する上で最も重要な要素は、潜在的な変化を考慮に入れることである:
A. 保存容量と保存期間。
B. 規制および法的要件
C. 事業戦略と方向性
D. アプリケーションシステムとメディア。
回答を見る
正解: D
質問 #168
インターネット上で送信される情報の機密性が最も保証されるのはどれか。
A. 仮想プライベート・ネットワーク(VPN)
B. ファイアウォールとルーター
C. バイオメトリクス認証
D. 二要素認証
回答を見る
正解: A
質問 #169
組織とITホスティング・サービス・プロバイダーが互いに契約を結ぶ場合、契約書に以下の内容が含まれていることが最も重要である:
A. 期待されるセキュリティ指標の詳細。
B. 各当事者のセキュリティ責任
C. セキュリティポリシーの不遵守に対する罰則。
D. 回復時間目標(RTO)。
回答を見る
正解: B
質問 #170
事業継続計画(BCP)におけるアクションの優先順位付けに最も重要なものはどれか。
A. ビジネスインパクト分析(BIA)
B. リスク評価
C. 資産の分類
D. ビジネスプロセスマッピング
回答を見る
正解: A
質問 #171
アウトソーシング・サービス・プロバイダーが組織の情報セキュリティ・ポリシーに準拠していることを確認する最も効果的な方法は、次のとおりである:
A. サービスレベル監視
B. ペネトレーションテスト
C. 定期的な監査
D. セキュリティ意識向上トレーニング
回答を見る
正解: C
質問 #172
従業員所有のモバイル・デバイスに保存されている企業データを分離する最善の方法は、導入することだろう:
A. サンドボックス環境。
B. デバイスの暗号化
C. 二要素認証。
D. 強力なパスワードポリシー
回答を見る
正解: A
質問 #173
リスク評価は継続的に実施されるべきである:
A. コントロールは継続的に変化する。
B. ハッキング事件が増加している。
C. リスクの変化について経営陣は最新情報を入手すべきである。
D. 情報セキュリティの変化に影響を与える要因
回答を見る
正解: A
質問 #174
情報資産の分類を決定するBESTはどれですか?
A. データ所有者からの指示
B. ビジネスプロセスにおける重要性
C. 情報資産の生産コスト
D. 競合他社にとっての情報資産の価値
回答を見る
正解: B
質問 #175
サーバーを失った場合の影響に関するリスクアセスメントを実施する場合、サーバーの価値は以下の方法で計算する:
A. 当初の獲得コスト。
B. 保管されているソフトウェアのコスト
C. 年率換算損失見込み(ALE)。
D. 代替品の入手にかかる費用。
回答を見る
正解: D
質問 #176
カスタム・アプリケーションを開発する際に、セキュリティへの対応を確実にするために最も役立つのはどれか。
A. 開発スタッフに対するセキュリティ研修の実施
B. セキュリティ要件を開発プロセスに組み込む
C. 実施前のセキュリティ評価の要求
D. 開発プロセス全体にセキュリティ監査を組み込む
回答を見る
正解: B
質問 #177
セキュリティインシデントをタイムリーに特定するために、次のうちどれが最も役立つだろうか。
A. ヘルプデスクに発券システムを導入する
B. 警備スタッフに研修の受講を義務付ける。
C. ユーザー意識向上プログラムの開発
D. 定期的な侵入テストの実施
回答を見る
正解: C
質問 #178
次のうち、情報セキュリティ管理グループの設立を支援する最も適任と思われる人物は誰か。
A. 情報セキュリティ管理者
B. 最高執行責任者(COO)
C. 内部監査人
D. 法律顧問
回答を見る
正解: B
質問 #179
情報セキュリティ戦略を組織全体に展開すべき主な理由はどれか。
A. 事業がセキュリティ規制を遵守していることを確認する。
B. 経営者の意図がセキュリティ活動に反映されるようにする。
C. 従業員にセキュリティ基準を遵守させる
D. セキュリティ関連の業界のベストプラクティスを確実に採用する。
回答を見る
正解: A
質問 #180
情報セキュリティプログラムを成功させるために最も重要なものはどれか。
A. 新たなセキュリティ技術に関する十分なトレーニング
B. 主要なプロセスオーナーとのオープンなコミュニケーション
C. 適切な方針、基準、手続き
D. 経営幹部のコミットメント
回答を見る
正解: D
質問 #181
オペレーティング・システムのセキュリティ上の弱点を防ぐのに最も効果的なのはどれか。
A. パッチ管理
B. 変更管理
C. セキュリティ・ベースライン
D. 構成管理
回答を見る
正解: A
質問 #182
ある組織は、ハイブリッド・データ・インフラを採用し、すべての非中核アプリケーションをクラウド・サービス・プロバイダーに移行し、すべての中核ビジネス機能を社内に維持しようとしている。情報セキュリティマネジャーは、深層防御戦略を使用する必要があると判断しました。この戦略を最もよく表しているのは次のうちどれですか?
A. クラウドサービス・アプリケーションの多要素ログイン要件、タイムアウト、複雑なパスワード
B. インフラ内のネスト化されたファイアウォールの展開
C. C
D. 役割ベースのアクセス制御(RBAC)の厳格な実施
回答を見る
正解: C
質問 #183
情報セキュリティの投資対効果(ROI)は、次のうちどれによって評価するのがBESTか。
A. 事業目的のサポート
B. セキュリティ・メトリクス
C. セキュリティ成果物
D. プロセス改善モデル
回答を見る
正解: A
質問 #184
代償コントロールのための支出を正当化するのに最も適切なものはどれか?
A. 脅威分析
B. リスク分析
C. ピアベンチマーク
D. 脆弱性分析
回答を見る
正解: B
質問 #185
ビジネスニーズに基づいて情報分類のフレームワークを開発する主な責任は、次のうちどれですか?
A. 上級管理職
B. 情報セキュリティ運営委員会
C. 情報所有者
D. 情報セキュリティ管理者
回答を見る
正解: C
質問 #186
リスク分析が必要である:
A. 類似企業のベンチマークをその範囲に含める。
B. すべての資産に対して同程度の保護を想定する。
C. 潜在的な損失の大きさと可能性に対処する。
D. 損失の大きさよりも可能性を重視する。
回答を見る
正解: C
質問 #187
情報セキュリティマネジャーにとって、利害の対立を意味する役割はどれか。
A. 接続を要請する第三者の評価
B. 災害復旧計画の妥当性の評価
C. 情報セキュリティポリシーの最終承認
D. 物理的セキュリティ管理の遵守の監視
回答を見る
正解: C
質問 #188
特定のリスク低減策を実施すべきかどうかを最も明確に示す手法はどれか。
A. 対策費用便益分析
B. 侵入テスト
C. 頻繁なリスク評価プログラム
D. 年間損失見込み(ALE)の計算
回答を見る
正解: A
質問 #189
事業継続計画(BCP)を策定する際に考慮すべき最も重要なものはどれか。
A. 災害復旧計画(DRP)
B. ビジネスインパクト分析(BIA)
C. インシデント管理要件
D. ビジネスコミュニケーション計画
回答を見る
正解: B
質問 #190
インターネット経由で企業の内部ネットワークに接続する個人が、正規ユーザーを装った侵入者でないことを確認するために利用する技術は、次のうちどれですか?
A. 侵入検知システム(IDS)
B. IPアドレスパケットフィルタリング
C. 二要素認証
D. 埋め込みデジタル署名
回答を見る
正解: C
質問 #191
次のうち、最も頻繁に更新されそうなものはどれですか?
A. データベースサーバーの堅牢化手順
B. パスワードの長さと複雑さの基準
C. 情報セキュリティガバナンスに関する方針
D. 文書の保存と破棄の基準
回答を見る
正解: A
質問 #192
情報セキュリティ・ガバナンスをコーポレート・ガバナンスに統合することを可能にするBESTはどれか。
A. 情報セキュリティ運営委員会における適切なビジネス代表の確保
B. バランススコアカードを使用して情報セキュリティ戦略のパフォーマンスを測定する
C. ITガバナンス、リスク、コンプライアンス(IT GRC)ダッシュボードの導入
D. CIOを情報セキュリティ運営委員会の委員長に任命する。
回答を見る
正解: C
質問 #193
情報セキュリティガバナンスにおいて、取締役会の主要な役割は、以下のことを確実にすることである:
A. 関連する方針および基準の承認。
B. セキュリティ体制を利害関係者に伝達する。
C. 規定とベストプラクティスの遵守。
D. 組織の戦略目標との整合性。
回答を見る
正解: D
質問 #194
情報セキュリティマネジャーが、ある規制が組織の人事システムに及ぼす影響を検討している。次に取るべき行動は以下のとおりである:
A. コンプライアンス要件のギャップ分析を行う。
B. 不履行に対する罰則を課す。
C. 組織の直近の監査報告書を確認する。
D. コンプライアンスのコストを決定する。
回答を見る
正解: A
質問 #195
レガシー・アプリケーションが、機密データを暗号化する新規制要件に準拠していない。情報セキュリティ管理者は、まず何をすべきでしょうか?
A. コンプライアンス違反を是正するための代替案を検討する。
B. 組織へのビジネスインパクトを評価する。
C. 上級管理職にコンプライアンス違反のリスクを提示する。
D. コンプライアンス違反を是正するための費用を決定する。
回答を見る
正解: B
質問 #196
有意義な情報セキュリティ戦略を策定する際に、最も理解すべき重要事項はどれか。
A. 規制環境
B. 国際セキュリティ基準
C. 組織的リスク
D. 組織目標
回答を見る
正解: D
質問 #197
情報セキュリティのリソース要件を特定する際に、情報セキュリティマネジャーが考慮すべき最も重要なものはどれか。
A. 情報セキュリティインシデント
B. 情報セキュリティ戦略
C. 現在の人員レベル
D. 潜在的資源の利用可能性
回答を見る
正解: B
質問 #198
組織の情報セキュリティリスクを効果的に管理するためには、以下のことが最も重要である:
A. 新しいシステムの脆弱性を定期的に特定し、修正する。
B. リスク管理責任をエンドユーザーに課す
C. 同業組織に対するリスクシナリオのベンチマーク
D. リスク許容度の設定と伝達
回答を見る
正解: A
質問 #199
次のうち、組織の文化をよりセキュリティ意識の高いものに変える可能性が最も高いのはどれか。
A. 適切なセキュリティ方針と手順
B. 定期的なコンプライアンスレビュー
C. セキュリティ運営委員会
D. セキュリティ意識向上キャンペーン
回答を見る
正解: D
質問 #200
事業継続マネジメントの主な目標はどれか。
A. インシデント対応手順を確立する。
B. ビジネスプロセスへの影響を評価する。
C. 組織の生存能力を高める。
D. 災害を防ぐための対策を実施する。
回答を見る
正解: C
質問 #201
セキュリティ管理策を実施するための費用は、その費用を超えてはならない:
A. 年率換算した損失予想。
B. 事件にかかった費用
C. 資産価値
D. 実施機会費用。
回答を見る
正解: C
質問 #202
新入社員には、セキュリティ意識向上トレーニングを実施すべきである:
A. 必要に応じて。
B. システムユーザーのトレーニング中
C. データにアクセスする前に
D. また、同部門のスタッフとともに博士号を取得した。
回答を見る
正解: C
質問 #203
会社のセキュリティ戦略の要件の範囲内で効果的なセキュリティガバナンスを実施する場合、考慮すべき最も重要な要因はどれか。
A. 機密データの機密性の保持
B. データ共有のための国際的なセキュリティ基準の確立
C. 企業のプライバシー基準の遵守
D. 情報セキュリティに関するシステム管理者の責任の確立
回答を見る
正解: A
質問 #204
組織内の残存リスクを最もよく表しているのはどれか?
A. リスク管理の枠組み
B. リスク登録
C. ビジネスインパクト分析
D. ヒートマップ
回答を見る
正解: A
質問 #205
ITリスクマネジメントプロセスの指標として最も適切なものはどれか。
A. リスク管理行動計画の数
B. 重要な資産のうち、予算措置が講じられている資産の割合。
C. 未解決のリスク・エクスポージャーの割合
D. 特定されたセキュリティインシデントの数
回答を見る
正解: B
質問 #206
インターネット利用ポリシーの第一の目的は、インターネット利用を防止することである:
A. 不適切なサイトへのアクセス。
B. 悪意のあるコードをダウンロードする。
C. 著作権法違反。
D. インターネット・アクセスの中断
回答を見る
正解: D
質問 #207
ビジネスインパクト分析(BIA)の主な目的はどれか。
A. 脆弱性の分析
B. 復旧の優先順位の決定
C. コントロールの有効性を確認する
D. 回復時点目標(RPO)の定義
回答を見る
正解: D
質問 #208
インシデント対応計画を策定する際、情報セキュリティ管理者は次のことを行う:
A. ビジネスマネジメントによって事前に承認された対応シナリオを含む。
B. 回復時間目標(RTO)を決定する。
C. IT部門がインフラから削除するシステムを決定できるようにする。
D. IT部門に事業継続計画の発動を要求する。
回答を見る
正解: B
質問 #209
情報セキュリティ投資に対する資金調達のためにビジネスケースを使用する場合、ビジネスケースが最も効果的である:
A. 情報セキュリティポリシーと基準をビジネス要件に変換する
B. 投資を組織の戦略計画と関連付ける。
C. 情報セキュリティ目標を組織戦略に適合させる。
D. 経営者の意図と情報セキュリティ指令を明確な言葉で表現する。
回答を見る
正解: B
質問 #210
外部サービス・プロバイダーが組織のセキュリティ・ポリシーに準拠していることを確認する最善の方法は、以下のとおりである:
A. サービスプロバイダをセキュリティポリシーに明示的に含める。
B. 提供者がすべての方針を読んだことを示す確認書を書面で受け取る。
C. C
D. サービス提供者の定期的なレビューを実施する。
回答を見る
正解: D
質問 #211
ある組織が、新しいプロセスのリスクに対処するために、追加のセキュリティ管理策を導入することを決定した。これがその例である:
A. リスクを排除する。
B. リスクの移転
C. リスクを軽減する
D. リスクを受け入れる
回答を見る
正解: C
質問 #212
ある組織の事業部門が、情報セキュリティプログラムの変更案に抵抗している。この問題に対処する最善の方法はどれか。
A. 追加のセキュリティ意識向上トレーニングの実施
B. 重要なリスク評価結果の事業部門管理者への伝達
C. C
D. 更新された情報セキュリティポリシーの公開
回答を見る
正解: B
質問 #213
組織の情報セキュリティプログラムとビジネス目標の整合性を促進する最も良い方法はどれか。
A. 情報セキュリティは、すべてのITプロジェクトの実現可能性の段階で考慮される。
B. 情報セキュリティガバナンス委員会には、主要な事業領域からの代表が含まれる。
C. 最高経営責任者は、情報セキュリティプログラムをレビューし、承認する。
D. 情報セキュリティプログラムは、内部監査部門によって監査される。
回答を見る
正解: B
質問 #214
標準的な情報セキュリティガバナンスモデルに最も大きな影響を与えるものは何か?
A. 従業員数
B. 物理的拠点間の距離
C. 組織構造の複雑さ
D. 組織予算
回答を見る
正解: C
質問 #215
セキュリティ環境における投資収益率(ROI)の算出において、最も大きな課題はどれか。
A. インシデントの発生件数は事前に決定できない
B. プロジェクト費用の超過が予測できない
C. セキュリティ・ツールのコストは見積もるのが難しい
D. セキュリティ事故のコストは見積もることができない
回答を見る
正解: A
質問 #216
情報セキュリティプログラムメトリクスを策定する前に決定することが最も重要なのはどれか。
A. データの収集方法
B. 誰がメトリクスを使うのか
C. 業績の報告方法
D. 誰がメトリクスを所有するのか
回答を見る
正解: D
質問 #217
ノートパソコンが盗難にあった場合、データ損失のリスクを軽減するために最も効果的なのはどれか?
A. ノートパソコンでの移動に焦点を当てたエンドユーザー意識向上トレーニングの実施
B. ノートパソコンにエンドポイントデータ損失防止ソフトウェアを導入する。
C. ハードディスクの暗号化
D. 強力なパスワードの使用
回答を見る
正解: C
質問 #218
ある組織には、ベンダーの使用を伴うプロセスがある。プロセスの開発中にリスクアセスメントが完了した。導入から1年後、別のベンダーの使用を金銭的に決定した。もし何か起こるとすれば、それは何だろうか?
A. 開発中にリスクアセスメントが完了しているので、何もない。
B. 脆弱性評価を実施すべきである。
C. 新たなリスクアセスメントを実施すべきである。
D. 新しいベンダーのSAS70タイプⅡ報告書をレビューすべきである。
回答を見る
正解: C
質問 #219
オペレーティング・システムで新たに特定されたセキュリティ上の弱点が適時に緩和されるようにするのはどれか。
A. パッチ管理
B. 変更管理
C. セキュリティ・ベースライン
D. 買収管理
回答を見る
正解: A
質問 #220
セキュリティーポリシーの例外は、第一義的に以下に基づいて承認されるべきである:
A. リスク選好。
B. 外部からの脅威の確率
C. ビジネスインパクト分析(BIA)の結果。
D. セキュリティインシデントの発生件数
回答を見る
正解: C
質問 #221
高セキュリティのデータセンターを保護するバイオメトリック・アクセス・コントロール・システムを構成する場合、システムの感度レベルを設定する必要がある:
A. 誤判定率(FRR)が高くなる。
B. より低いクロスオーバーエラー率に。
C. より高い偽受入率(FAR)へ。
D. 正確にはクロスオーバーのエラー率。
回答を見る
正解: A
質問 #222
ある組織は、ミッションクリティカルなプロセスをアウトソーシングする予定です。サービスレベル契約(SLA)に署名する前に確認することが最も重要なのはどれですか?
A. プロバイダーは最新のテクノロジーを導入している。
B. プロバイダーの技術スタッフは毎年評価される。
C. プロバイダーは、その組織の業界内で広く知られている。
D. プロバイダは、公認監査法人による監査を受けている。
回答を見る
正解: D
質問 #223
ソーシャル・エンジニアリング攻撃に対する防御方法として、最も適切なものはどれか。
A. 定期的にウイルス対策スキャンを実施し、マルウェアを特定する。
B. 公開サイトに掲載する情報を制限するためのガイドラインを伝える。
C. ウェブコンテンツフィルタリングソリューションを使用する。
D. 不正アクセスの試行とログインの失敗を監視する。
回答を見る
正解: C
質問 #224
人事(HR)記録をデジタル化する際に、最も重要な管理は次のうちどれでしょうか?
A. アクセス管理
B. プロジェクト管理統制
C. ソフトウェア開発管理
D. 変更管理コントロール
回答を見る
正解: A
質問 #225
ある組織が、新しい市場で優位に立つために外国の企業を買収した。情報セキュリティ管理者が取るべき最初のステップはどれか。
A. 既存の2つの情報セキュリティプログラムを統合する。
B. どの国の情報セキュリティ規則を使用するかを決定する。
C. 既存の情報セキュリティプログラムを被買収企業に適用する。
D. 被買収企業に適用される情報セキュリティ法を評価する。
回答を見る
正解: D
質問 #226
情報セキュリティと組織の目的を一致させるために、最も役立つのはどれか。
A. キーコントロール監視
B. 強固なセキュリティ意識向上プログラム
C. 事業活動を可能にするセキュリティ・プログラム
D. 効果的なセキュリティ・アーキテクチャ
回答を見る
正解: C
質問 #227
企業ネットワーク上のコンピュータが分散型サービス拒否攻撃の一部として利用されるのを防ぐために、情報セキュリティ・マネージャーは次のような対策を講じる必要がある:
A. 受信トラフィックのフィルタリング
B. 送信トラフィックのフィルタリング
C. ITセキュリティ・ポリシーの普及
D. 速度制限
回答を見る
正解: B
質問 #228
デバイスの紛失や盗難に関して、個人所有デバイスの持ち込み(BYOD)ポリシーに盛り込むことが最も重要なのは次のうちどれでしょうか?従業員に対する必要性:
A. 会社の事故報告プロセスを開始する。
B. モバイルサービスプロバイダにアドバイスを求める。
C. 地元警察に通報する。
D. デバイスのリモートワイプを要求する。
回答を見る
正解: D
質問 #229
ウォーム・サイト設立への上層部の支持を得るには、次のような方法がある:
A. 定期的なリスク評価の確立。
B. 規制要件の推進
C. ビジネスケースの開発
D. 効果的なメトリクスの開発
回答を見る
正解: C
質問 #230
すべてのリスク管理活動は、第一義的には、以下のような影響を軽減することを目的としている:
A. セキュリティマネージャーによって定義されたレベル。
B. 組織のリスク許容度に基づく許容レベル。
C. 規制要件に合致した最低レベル。
D. 可能な最低限のレベル。
回答を見る
正解: B
質問 #231
脅威状況の分析を定期的に実施する主な理由はどれか。
A. 警備予算の増額を提案する根拠を決定すること。
B. 既存の事業継続計画が適切かどうかを判断すること。
C. 既存の脆弱性がリスクになるかどうかを判断する。
D. 経営幹部にとって重要な情報を判断する。
回答を見る
正解: C
質問 #232
情報セキュリティ環境の変化を特定する最も効果的な方法はどれか。
A. 連続モニタリング
B. セキュリティ・ベースライン
C. 年間リスクアセスメント
D. ビジネスインパクト分析
回答を見る
正解: A
質問 #233
リスク管理プログラムを成功させるためには、次のようなことが必要である:
A. コストに対するリスク削減努力の最適化。
B. 年間予算額に損失を抑制すること。
C. あらゆる人為的脅威の特定と除去。
D. すべての組織的リスクの排除または移転。
回答を見る
正解: A
質問 #234
外部委託先の選定や契約交渉の過程で明らかになったギャップに対処する方法として、最も適切なものはどれか。
A. プロバイダーにセキュリティとコンプライアンスに関する説明責任を負わせる。
B. 継続的なギャップ評価の実施
C. サービス・レベル契約(SLA)に監査権を含める。
D. 代償措置を実施する。
回答を見る
正解: D
質問 #235
インストール後まもなく、侵入検知システム(IDS)が違反を報告した。最も可能性が高いのはどれですか?
A. 違反は偽陽性です。
B. 定期的な IDS ログファイルのアップロードが発生しました。
C. ルーチンのIDSシグネチャファイルのダウンロードが発生した。
D. 侵入があった。
回答を見る
正解: A
質問 #236
情報セキュリティに対する上級管理職のコミットメントと支援は、以下のようなプレゼンテー ションを通じて得ることができる:
A. 成功した攻撃の例を使って説明する。
B. 組織にとっての技術的リスクを説明する。
C. セキュリティのベストプラクティスに照らして組織を評価する。
D. セキュリティリスクを主要なビジネス目標に関連付ける。
回答を見る
正解: D
質問 #237
リスクプロファイルが効果的なセキュリティ上の意思決定をサポートするのは、第一にそのためである:
A. 将来のリスクを軽減する最善の方法を定義する。
B. リスク低減の優先順位を特定する。
C. 業界のベストプラクティスとの比較が可能。
D. セキュリティ上の脅威について説明する。
回答を見る
正解: B
質問 #238
ある事業活動に内在するリスクが許容リスク・レベルより低い場合、最善の行動方針は以下の通りである:
A. ビジネスの変化を監視する
B. 残留リスクレベルの見直し
C. コンプライアンスを経営陣に報告する
D. リスクを軽減するための管理策を実施する
回答を見る
正解: B
質問 #239
あるビジネスマネジャーが、ミッションクリティカルなビジネスアプリ ケーションのリスクアセスメントに基づいて、パフォーマンスへの影 響を理由に、ある対策を実施しないことを決定した。情報セキュリティマネジャーはどのような行動をとるのがベストか?
A. ビジネスマネジャーに緩和策の実施を指示する。
B. 組織のリスクプロファイルを更新する。
C. 可能な補正制御を提案する。
D. 最終決定のため、問題を上級管理職にエスカレーションする。
回答を見る
正解: C
質問 #240
各プラットフォームのセキュリティ設定が、情報セキュリティポリシーと手順に準拠していることを確認する最善の方法は、次のとおりである:
A. ペネトレーションテストを実施する。
B. セキュリティベースラインを確立する。
C. ベンダーのデフォルト設定を実装する。
D. ポリシーを独立した標準にリンクする。
回答を見る
正解: B
質問 #241
組織の情報資源の正式なリスクアセスメントを実施する前に、情報セキュリティマネジャーはFIRSTを実施すべきである:
A. 事業目標に対する主な脅威をマッピングする。
B. 利用可能なリスク情報源を検討する。
C. 重要資産の価値を特定する。
D. 脅威が現実化した場合の財務的影響を判断する。
回答を見る
正解: A
質問 #242
セキュリティ対策の効果的な戦略的連携を達成するためには、以下のことが重要である:
A. 運営委員会のリーダーは交代制で選出する。
B. 主要な組織単位間で意見を聴取し、コンセンサスを得る。
C. 事業戦略は定期的に更新する。
D. 手順と基準は、すべての部門長の承認を得る。
回答を見る
正解: B
質問 #243
情報セキュリティマネジャーが、最近、第三者サービスプロバイダに関連する潜在的なセ キュリティリスクについて通知を受けた。この懸念に対処するために、次に何をすべきか。
A. リスク分析の実施
B. 最高リスク責任者に報告する
C. 脆弱性分析の実施
D. 補正制御の決定
回答を見る
正解: A
質問 #244
顧客がeコマース・ベンダーを認証する最善の方法は何か?
A. 接続には安全な通信プロトコルを使用する。
B. ベンダーの証明書を認証局で確認する。
C. 注文の電子メール確認を要求する。
D. ベンダーの秘密鍵を使用して注文を暗号化する。
回答を見る
正解: B
質問 #245
セキュリティ目標を見直し、事業部門全体のセキュリティの統合を確実にすることが、主にこの職務の焦点となる:
A. 経営陣
B. 最高情報セキュリティ責任者(CISO)
C. 取締役会
D. ステアリング委員会
回答を見る
正解: B
質問 #246
組織がリスクを適切に管理していることを示す指標として、最も適切なものはどれか。
A. スタッフから報告されるセキュリティ事故の件数が増加した。
B. リスクアセスメントの結果は許容範囲内
C. 侵入テストでは、リスクの高いシステムの脆弱性は特定されない。
D. 侵入検知システムから報告されるイベント数が減少している。
回答を見る
正解: B
質問 #247
復旧時間目標(RTO)は、次のうちどの出力ですか?
A. 事業継続計画
B. 災害復旧計画
C. サービスレベル合意(SLA)
D. ビジネスインパクト分析(BIA)
回答を見る
正解: B
質問 #248
セキュリティプロジェクトの実施期間を決定するためのツールとして、最も適切なものはどれか。
A. ガントチャート
B. ウォーターフォール・チャート
C. クリティカルパス
D. ラピッドアプリケーション開発(RAD)
回答を見る
正解: C
質問 #249
セキュリティ・ガバナンスは、次のITインフラストラクチャ・コンポーネントのどれと最も関連しているか?
A. ネットワーク
B. アプリケーション
C. プラットフォーム
D. プロセス
回答を見る
正解: D
質問 #250
フレームリレーネットワークの接続が18~24時間失われた場合の影響は、次のように計算する:
A. キャリアが請求する1時間当たりの請求料金。
B. ネットワーク経由で送信されるデータの値。
C. 影響を受ける全ビジネスユーザーの補償総額。
D. 影響を受ける事業部門が被る財務上の損失。
回答を見る
正解: D
質問 #251
ある大企業が、従業員が自分のスマートフォンを組織環境に持ち込むことを認める方針を検討している。情報セキュリティ管理者にとって最も重要な懸念は、以下の点である:
A. エンドユーザーをサポートするためのコスト増
B. ネットワーク容量への影響
C. エンドユーザーの生産性の低下
D. デバイス管理ソリューションの欠如
回答を見る
正解: D
質問 #252
否認防止は、BESTを使うことで保証できる:
A. 配送経路のトレース。
B. 逆引き翻訳
C. 手に負えないチャンネル
D. デジタル署名。
回答を見る
正解: D
質問 #253
セキュリティの手順とガイドラインを周知し、理解させるための最も良い方法はどれか。
A. 定期的なフォーカス・グループ・ミーティング
B. 定期的なコンプライアンスレビュー
C. コンピュータベースの認定トレーニング(CBT)
D. 従業員の署名入り確認書
回答を見る
正解: C
質問 #254
情報セキュリティガバナンスをコーポレートガバナンスに統合する最も効果的な方法はどれか。
A. 情報セキュリティ予算の要求を組織の目標に合わせる
B. 情報セキュリティの取り組みがビジネス目標を確実にサポートする
C. ITバランススコアカードを定期的に経営陣に提供する。
D. 情報セキュリティがIT戦略と整合していることを確認する
回答を見る
正解: A
質問 #255
リスクアセスメントプロセスにおいて、システムとデータの重要度を分類する最も効果的な方法はどれか。
A. 経営幹部と面談する。
B. データ管理者にインタビューする。
C. 取締役会のメンバーと面談する。
D. 資産所有者にインタビューする。
回答を見る
正解: D
質問 #256
侵入検知システム(IDS)によって特定されたアラートを誤って処理するリスクは、次のような場合に最も大きくなる:
A. 標準作業手順が正式化されていない。
B. ITインフラは多様である。
C. IDSセンサーの設定ミス
D. オペレーションとモニタリングは別のチームが担当する。
回答を見る
正解: A
質問 #257
重要リスク指標(KRI)を設定する際、情報セキュリティマネジャーが最も留意すべきことはどれか。
A. セキュリティリスクが組織の目的に与える影響は、よく理解されていない。
B. リスク許容度はまだ確立されていない。
C. いくつかの業務機能が第三者ベンダーにアウトソーシングされている。
D. 組織には、過去のセキュリティイベントに関する履歴データがない。
回答を見る
正解: B
質問 #258
情報セキュリティアーキテクチャは、次のうちどれと整合させることが最も重要か。
A. 業界のベストプラクティス
B. 情報技術計画
C. 情報セキュリティのベストプラクティス
D. 事業目的と目標
回答を見る
正解: D
質問 #259
シングルサインオンのリスクとして最も大きいものはどれか?
A. 企業のアクセス制御プロセスの単一障害点である。
B. 一人のユーザーによるパスワードの不注意は、インフラ全体を脆弱にする可能性がある。
C. シングルサインオンと他のインフラとの統合は複雑である。
D. 一人の管理者が、職務分掌なしにシングルサインオン・ソリューションを維持する。
回答を見る
正解: A
質問 #260
本番サーバーのオペレーティング・システム(OS)パッチを更新する適切な頻度は?
A. 新しいアプリケーションの予定されたロールアウト中
B. 固定のセキュリティパッチ管理スケジュールに従う
C. 四半期ごとのハードウェア保守と同時実施
D. 重要なセキュリティパッチがリリースされたとき
回答を見る
正解: D
質問 #261
コンプライアンス活動の不必要な重複を減らすためのアプローチとして、最も適切なものはどれか。
A. 制御の自動化
B. 管理手順の文書化
C. 保証努力の統合
D. コンプライアンス要件の標準化
回答を見る
正解: D
質問 #262
情報セキュリティポリシーを設計する際に、情報セキュリティマネジャーが最も重視すべき目標はどれか。
A. 組織のセキュリティリスクの低減
B. 情報保護の改善
C. セキュリティ管理コストの最小化
D. 組織目標の達成
回答を見る
正解: D
質問 #263
レガシーアプリケーションに新たなリスクが存在するかどうかを判断する方法として、最も適切なものはどれか。
A. 定期的なリスク評価
B. 自動脆弱性スキャン
C. 第三者侵入テスト
D. リスク登録の頻繁な更新
回答を見る
正解: A
質問 #264
情報セキュリティ・プログラムの有効性を取締役会に報告する最善の方法は、提示することである:
A. 主要なパフォーマンス指標を示すダッシュボード。
B. 同業他社のベンチマーク。
C. 直近の監査結果の概要。
D. プロセス改善によるコスト削減の報告書。
回答を見る
正解: A
質問 #265
セキュリティガバナンスプログラムを確立するための最初のステップは、次のとおりである:
A. リスクアセスメントを実施する。
B. エンドユーザー全員を対象としたワークショップを実施する。
C. セキュリティ予算を作成する。
D. ハイレベルのスポンサーを得る。
回答を見る
正解: D
質問 #266
ファイル内のデータが変更されていないことを保証するものはどれか。
A. ファイルの更新日を調べる
B. 対称暗号化によるファイルの暗号化
C. 不正アクセスを防止するために厳格なアクセス制御を行う。
D. ファイルのハッシュを作成し、ファイルのハッシュを比較する。
回答を見る
正解: D
質問 #267
アプリケーション開発における情報セキュリティマネジャーの主な役割はどれか。確保する:
A. 企業のセキュリティ管理が実施されている。
B. 業界のベストプラクティスへの準拠。
C. 管理手続きはビジネスリスクに対処する。
D. セキュリティはシステム開発ライフサイクル(SDLC)に組み込まれている。
回答を見る
正解: A
質問 #268
セキュリティ意識向上プログラムの進捗状況について、経営陣に最も有用な情報を提供する指標はどれか。
A. 組織のセキュリティ・ポリシーのダウンロード数の増加
B. セキュリティ・インシデントの報告の増加
C. 各事業部門におけるユーザー意識向上トレーニングの修了率
D. セキュリティインシデントの減少
回答を見る
正解: D
質問 #269
情報資産に分類を割り当てる主な目的は何ですか?
A. 適切な保護レベルを特定する。
B. 事業主と情報管理者を特定する。
C. 規制要件への準拠を実証すること。
D. 正確なIT資産目録を維持する。
回答を見る
正解: A
質問 #270
システム開発プロジェクトに情報セキュリティを導入する場合、リソースが限られている情報セキュリティ管理者にとって最も効果的なアプローチはどれか。
A. ビジネスプロジェクトに代表を組み込む
B. ビジネスインパクトに基づくリソースの割り当て
C. プロジェクト計画時にセキュリティ要件を提示する
D. 開発前のセキュリティ要件のレビュー
回答を見る
正解: B
質問 #271
上級管理職が情報セキュリティコンプライアンスの状況を理解する上で、最も有用なものはどれか。
A. 業界ベンチマーク
B. リスク評価結果
C. ビジネスインパクト分析(BIA)の結果
D. 主要業績評価指標(KPI)
回答を見る
正解: D
質問 #272
効果的な情報セキュリティガバナンスフレームワークにとって最も重要なものはどれか。
A. 取締役会のメンバーは、情報セキュリティプログラムにコミットする。
B. 情報セキュリティ方針は定期的に見直される。
C. 情報セキュリティプログラムを継続的に監視する。
D. CIOは、情報セキュリティプログラムに対して責任を負う。
回答を見る
正解: A
質問 #273
従業員が不正行為に関与しているかどうかを判断するためにノートパソコンのフォレンジック検査を実施する場合、最も重要なのはどれか。
A. 当該従業員のネットワークアクセスを停止する。
B. ノートパソコンを会社の敷地内から持ち出してはならない。
C. ノートパソコンの検査には、人事担当者が立ち会うこと。
D. 元のディスクドライブのイメージで調査を行うべきである。
回答を見る
正解: D
質問 #274
セキュリティ意識向上トレーニングが効果的であったことを示す指標として、最も適切なものはどれか。
A. 従業員はセキュリティポリシーを承認するために署名する。
B. より多くの事件が報告されている
C. 従業員の過半数が研修を修了している。
D. この3ヶ月間、事故は報告されていない
回答を見る
正解: B
質問 #275
ITセキュリティポリシーを策定する際、情報セキュリティマネジャーが最も影響を受けるべきものはどれか。
A. 過去と現在の脅威
B. ITセキュリティフレームワーク
C. 規則の遵守
D. 事業戦略
回答を見る
正解: D
質問 #276
ある情報セキュリティマネジャーが、業界のベストプラクティスに従って緩和策を特定し、実施した。このアプローチに関連するリスクで最も大きいものはどれか。
A. コントロールの導入コストが高すぎる可能性がある。
B. セキュリティプログラムが組織の目的と整合していない可能性がある。
C. 緩和策が適時に更新されない可能性がある。
D. 上級管理者の意見がないと、重要なセキュリティ管理が見落とされる可能性がある。
回答を見る
正解: B
質問 #277
インシデント対応計画を策定する際、セキュリティインシデントの定義を明確にすることの第一のメリットは、次のようなことである:
A. インシデント対応プロセスを利害関係者に伝える
B. 効果的なエスカレーションおよび対応手順を策定する。
C. 卓上テストをより効果的にする
D. 事故対応チームの適切な人員配置と訓練
回答を見る
正解: B
質問 #278
リスクアセスメントを継続的に実施する主な理由はどれか。
A. 安全保障予算の正当化は、継続的に行われなければならない。
B. 新しい脆弱性は毎日発見されている。
C. リスク環境は常に変化している。
D. 経営陣は、新たなリスクについて継続的に情報を得る必要がある。
回答を見る
正解: C
質問 #279
内部脅威から発生する悪意ある被害を検知するBESTはどれか?
A. アクセス制御リスト
B. 暗号化
C. 不正認識トレーニング
D. ジョブ・ローテーション
回答を見る
正解: D
質問 #280
効果的な情報セキュリティプログラムを構築する上で、最も重要なものはどれか。
A. 監視活動を強化するための情報セキュリティ・アーキテクチャ
B. 情報セキュリティに対する経営支援
C. 啓発プログラムに含まれる、適切かつタイムリーな内容
D. 情報システムの論理アクセス制御
回答を見る
正解: B
質問 #281
情報セキュリティ・ポリシーが確実に守られるようにする最善の方法は、次のとおりである:
A. 印刷物を全従業員に配布する。
B. コンプライアンスを定期的に見直す。
C. コンプライアンス違反に対するエスカレートする罰則を含む。
D. 政策の乱用を報告するための匿名ホットラインを設置する。
回答を見る
正解: B
質問 #282
アプリケーション・データへのアクセス権を強制する責任は誰が負うべきか?
A. データ所有者
B. ビジネス・プロセス・オーナー
C. 安全保障運営委員会
D. セキュリティ管理者
回答を見る
正解: D
質問 #283
認証のやり直しを防ぐ認証方式はどれか。
A. パスワードハッシュの実装
B. チャレンジ/レスポンス・メカニズム
C. WEP(Wired Equivalent Privacy)暗号化の使用法
D. HTTP ベーシック認証
回答を見る
正解: B
質問 #284
ある小さな組織が、多国籍のクラウドコンピューティングベンダーと契約を結んでいる。契約から漏れた場合、情報セキュリティマネジャーが最も懸念するのはどれか。
A. データへのアクセスを承認する加入者の権限
B. 加入者がベンダーに対して実地監査を実施する権利。
C. コード解放の条件付きソフトウェアコードのエスクロー
D. 同一物理サーバー上の加入者データの混在
回答を見る
正解: D
質問 #285
お粗末なウェブ・アプリケーションの一般的な懸念は、攻撃者にそれを許してしまうことである:
A. バッファオーバーフローによって制御を得る。
B. 分散型サービス拒否(DoS)攻撃を行う。
C. レースコンディションを悪用する。
D. 構造化クエリー言語(SQL)ステートメントを注入する。
回答を見る
正解: D
質問 #286
情報セキュリティ投資に関する経営判断は、それらに基づいて行われることが最も効果的である:
A. セキュリティ・イベントの履歴から決定される年間損失予想(ALE)。
B. リスク分析を経営陣が正式に受け入れること。
C. 一貫した定期的なリスク評価の報告。
D. 脅威と脆弱性を特定し、分析するプロセス。
回答を見る
正解: C
質問 #287
リスクの再評価が最も重要なのは、リスクが存在する場合である:
A. セキュリティポリシーの変更。
B. 軽減策の実施に対する抵抗。
C. 脅威の状況の変化。
D. セキュリティ報告書の更新を求める経営陣の要請。
回答を見る
正解: C
質問 #288
ビジネスインパクト分析(BIA)は、それを算出するための最良のツールである:
A. 総所有コスト。
B. 復旧の優先順位
C. 年率換算損失見込み(ALE)。
D. 残留リスク
回答を見る
正解: B
質問 #289
最高情報セキュリティ責任者(CISO)の候補者を検討する際、最も重要な特性はどれか。
A. 情報技術プラットフォーム、ネットワーク、開発手法に関する知識
B. 組織のニーズを理解し、セキュリティ技術にマッピングする能力
C. 規制環境とプロジェクト管理手法に関する知識
D. 組織全体の多様な個人やリソースを管理する能力
回答を見る
正解: B
質問 #290
情報セキュリティガバナンスフレームワークを導入した後、情報セキュリ ティプロジェクト計画を策定するための最も適切な情報はどれか。
A. リスクヒートマップ
B. 最近の監査結果
C. バランススコアカード
D. ギャップ分析
回答を見る
正解: C
質問 #291
リスクアセスメントを実施する際、最も重要な検討事項は以下の通りである:
A. 経営陣はリスク軽減の取り組みをサポートする。
B. 年間損失予想額(ALE)が重要資産に対して算出されている。
C. 資産が特定され、適切に評価されている。
D. 攻撃の動機、手段、機会を理解する。
回答を見る
正解: C
質問 #292
現在のリスクの再評価を開始する最も適切な理由はどれか?
A. 監査報告書のフォローアップ
B. 最近のセキュリティ事件
C. 認証要件
D. セキュリティ担当者の変更
回答を見る
正解: B
質問 #293
次のうち、組織の資産分類プログラムの使いやすさに最も直接的な影響を与えるものはどれですか?
A. 階層における分類の粒度
B. 組織のリスク登録の更新頻度
C. 組織の事業目的
D. 分類スキームに対する上級管理職の支持
回答を見る
正解: A
質問 #294
ノートパソコンに保存されている組織の機密データを不正アクセスから保護するBESTはどれか。
A. パスワードによる強力な認証
B. 暗号化ハードドライブ
C. 多要素認証手続き
D. ネットワークベースのデータバックアップ
回答を見る
正解: B
質問 #295
脆弱性スキャンの成果として最も重要なものはどれか。
A. リスクの優先順位付け
B. システムをハッキングするために必要な手順に関する情報
C. バックドアの識別
D. システムが適切に設定されていることの検証
回答を見る
正解: D
質問 #296
ある組織が、従業員が組織のネットワーク上で自分のデバイスを使用できるようにすることを計画している。情報セキュリティマネジャーが取るべき行動として、最も適切なものはどれか。
A. 自動化ソフトウェアの導入
B. 関連リスクの評価
C. 意識向上トレーニングの実施
D. セキュリティポリシーを更新する
回答を見る
正解: B
質問 #297
ワイヤレス・ローカル・エリア・ネットワーク(LAN)技術を使用する場合、最も重大なセキュリティ・リスクは何でしょうか?
A. 中間者攻撃
B. データパケットのスプーフィング
C. 不正アクセスポイント
D. セッションハイジャック
回答を見る
正解: C
質問 #298
電子商取引アプリケーションの安全な顧客利用は、BESTによって達成できる:
A. データの暗号化。
B. デジタル署名。
C. 強力なパスワード
D. 二要素認証。
回答を見る
正解: A
質問 #299
バッファオーバーフローを説明するのに最も適切なものはどれか。
A. プログラムには、セキュリティ上のリスクをもたらす、隠された意図しない機能が含まれています。
B. データをキャプチャする秘密チャネルの一種。
C. 通常業務を妨害するように設計された悪意のあるコード。
D. 関数は、その関数が扱える以上のデータで実行される。
回答を見る
正解: D
質問 #300
企業資源計画(ERP)システムのセキュリティにとって、最も大きな脅威となるのはどれか。
A. ユーザーのアドホック・レポートが記録されない
B. ネットワークトラフィックは単一のスイッチ経由
C. オペレーティングシステム(OS)のセキュリティパッチが適用されていない。
D. データベースのセキュリティのデフォルトはERPの設定
回答を見る
正解: C
質問 #301
情報セキュリティ要件をソフトウエア開発に組み込む場合、開発ライフサイクルの中で最 初に実施すべきことはどれか。
A. 侵入テスト
B. 動的コード解析
C. 脅威モデリング
D. ソースコードレビュー
回答を見る
正解: C
質問 #302
情報セキュリティ目標を定義すべき最も重要な理由はどれか。
A. 効果測定ツール
B. 目標の一般的理解
C. 適用基準との整合性
D. 経営陣の承認と支援イニシアティブ
回答を見る
正解: A
質問 #303
ある組織の次年度の情報セキュリティ戦略は、ランサムウェアのリスク軽減に重点を置いている。この戦略をサポートするために最も役立つのはどれか。
A. 全スタッフに適切なトレーニングを提供する。
B. 侵入テスト計画を作成する。
C. 管理のギャップ分析を行う。
D. IT環境のセキュリティ管理を強化する。
回答を見る
正解: A
質問 #304
クラウド・サービス・プロバイダーとのサービス・レベル契約(SLA)の確立において、情報セキュリティ管理者にとって最も重要なことは、以下のことである:
A. プロバイダーの利用規約を反映させるために、セキュリティポリシーを更新する。
B. セキュリティ要件が契約上強制可能であることを確認する。
C. プロバイダーとの適切な通信経路を設定する。
D. 使用されているクラウドストレージアーキテクチャを理解し、セキュリティリスクを判断する。
回答を見る
正解: B
質問 #305
外部からのセキュリティ攻撃を防ぐBESTはどれか?
A. 静的IPアドレス指定
B. ネットワークアドレス変換
C. 派遣社員の身元調査
D. システムアクセスログの保護と分析
回答を見る
正解: B
質問 #306
ある情報セキュリティマネジャーが、あるセキュリティイニシアチ ブへの支持を得るためのプレゼンを準備している。この取り組みに対する経営陣のコミットメントを得るための最も良い方法は、次のうちどれでしょうか。
A. 報告された事故の履歴データを含む
B. 投資収益率の見積もり
C. 現在のリスク・エクスポージャーの分析
D. 業界ベンチマーク比較を含む
回答を見る
正解: C
質問 #307
情報セキュリティプログラムの実施計画は、次のような場合に最も効果的である:
A. 意思決定ツリーを使用して、セキュリティ・プロジェクトの優先順位付けを行う。
B. ギャップ分析を現在および将来の事業計画に適用する。
C. セキュリティプロジェクトにリスクベース分析を使用する
D. 特定されたニーズに対して、テクノロジー主導のソリューションを適用する。
回答を見る
正解: C
質問 #308
情報セキュリティ組織は、第一に次のことを行うべきである:
A. セキュリティ関連のサポートサービスを提供することで、会社の事業目標をサポートする。
B. 情報セキュリティチームメンバーの情報セキュリティ責任を設定し、文書化する責任を負う。
C. 会社の情報セキュリティ方針が、グローバルなベストプラクティスと基準に沿ったものであることを確認する。
D. 情報セキュリティに関する期待事項を従業員に確実に伝える。
回答を見る
正解: A
質問 #309
ハリケーンがデータセンターを直撃した場合でも、給与計算システムを確実に継続させるために、情報セキュリティ管理者が事業継続計画を確実にするために取るべきFIRS Tの重要なステップは何でしょうか?
A. 定性的・定量的リスク分析の実施。
B. 資産に価値を割り当てる。
C. 計画を実行するためのコストと経済的損失を比較検討すること。
D. ビジネスインパクト分析(BIA)の実施。
回答を見る
正解: D
質問 #310
この組織は、IT部門の大部分を、外国でサーバーをホスティングしているベンダーにアウトソーシングすることを決定した。次のうち、最も重要なセキュリティ上の考慮事項はどれですか?
A. 原産国の法令が外国で執行できない場合がある。
B. セキュリティ侵害の通知は、時差のために遅れるかもしれない。
C. ネットワーク侵入検知センサーを追加設置する必要があり、追加費用が発生する。
D. 会社はサーバーに対する物理的なコントロールを失い、サーバーの物理的なセキュリティ態勢を監視できなくなる可能性がある。
回答を見る
正解: A
質問 #311
効果的なリスク分析において、第一に評価されなければならない2つの要素はどれか?
A. 視認性と持続時間
B. 可能性と影響
C. 確率と頻度
D. 財務的影響と期間
回答を見る
正解: B
質問 #312
以前から受け入れられていたリスクであるべきだ:
A. 状況の変化によってリスクが許容できないレベルにまで高まる可能性があるため、定期的に再評価を行う。
B. リスクレベルが許容できると結論づけるために、経営陣はすでに資源(時間と労力)を費やしているので、永久に受け入れられる。
C. リスク回避は会社にとって最善の保護となるため、次回は回避する。
D. 受理された時点でリスクログから削除される。
回答を見る
正解: A
質問 #313
組織が大幅な予算削減に直面しているときに、情報セキュリティマネジャーが情報セキュリティプログラムへの継続的な投資を正当化するための最も適切な方法はどれか。
A. プログラムが事業活動を可能にすることを実証すること。
B. 同業他社を標的としたランサムウェア攻撃の増加を示す。
C. 実施されたプログラム管理が効果的であることを実証する。
D. 事業継続計画の準備態勢の実証
回答を見る
正解: A
質問 #314
適用されるデータプライバシー規制に準拠しなければならないデータ保護プログラムを新たに確立する場合、最初に行うべきことはどれか。
A. 個人データが保存されているシステムのインベントリを作成する。
B. システムやネットワークに保存されているすべての個人データを暗号化する。
C. データ保護に必要なプライバシー技術を評価する。
D. プライバシー侵害に対処するために懲戒プロセスを更新する。
回答を見る
正解: C
質問 #315
リスクアセスメントは、実施することが最も効果的である:
A. セキュリティ・プログラム開発の初期段階。
B. 継続的に。
C. セキュリティプログラムのビジネスケースを策定する。
D. ビジネス変革のプロセスにおいて。
回答を見る
正解: B
質問 #316
情報セキュリティリスクの評価と管理に経営陣が関与することの最大の利点は、経営陣が情報セキュリティリスクの評価と管理に関与できることである:
A. 組織のリスクをよりよく理解する。
B. テクニカルリスクとビジネスリスクのバランスを取ることができる。
C. セキュリティ管理よりも客観的である。
D. セキュリティ・アーキテクチャをよりよく理解する。
回答を見る
正解: B
質問 #317
情報セキュリティ意識向上プログラムが最も効果的なのは、以下のような場合である:
A. ターゲットごとにカスタマイズされている。
B. 経営陣がスポンサーとなっている。
C. コンピュータベースのトレーニングによって強化される。
D. 従業員オリエンテーションで実施
回答を見る
正解: A
質問 #318
災害復旧計画(DRP)を策定する最初のステップはどれですか?
A. ビジネスインパクト分析(BIA)を実施する。
B. 潜在的な第三者サービスプロバイダーを特定する。
C. 復旧時間目標(RTO)を設定する。
D. 回復時点目標(RPO)を設定する。
回答を見る
正解: A
質問 #319
ある組織で、最近、ネットワークへの不正なデバイスアクセスが発生した。この問題をプロアクティブに管理し、このリスクを軽減するために、最善の予防対策は以下のとおりである:
A. ネットワークに接続されているすべてのシステムのネットワークアドレスとハードウェアアドレスのインベントリーを管理する。
B. 不正なネットワークトラフィックを防ぐために、ステートフルインスペクションファイアウォールを設置する。
C. ネットワーク・レベルの認証とログインを実装し、ネットワークへのデバイスのアクセスを規制する。
D. ネットワークにアクセスするデバイスを特定するために、自動資産インベントリ発見ツールを導入する。
回答を見る
正解: C
質問 #320
モバイルのユニバーサル・シリアル・バス(USB)ドライブ上のデータを保護するための最善の方針とは?
A. 認証
B. 暗号化
C. 従業員によるUSBデバイスへのデータコピーの禁止
D. USBデバイスの使用を制限する
回答を見る
正解: B
質問 #321
セキュリティ管理者が、通常処理の復旧目標を決定するために設定するものはどれか。
A. 回復時間目標(RTO)
B. 最大許容停止時間(MTO)
C. 回復時点目標(RPO)
D. サービス提供目標(SDOs)
回答を見る
正解: A
質問 #322
情報セキュリティフレームワークを導入する際に、最も重要な考慮事項はどれか。
A. 遵守事項
B. 監査結果
C. リスク選好度
D. 技術力
回答を見る
正解: A
質問 #323
データリポジトリをクラウドベースのソリューションにアウトソースする準備をする際に、最も重要な見直しはどれですか?
A. 災害復旧計画
B. アイデンティティとアクセス管理
C. ベンダーの情報セキュリティ方針
D. リスク評価
回答を見る
正解: C
質問 #324
資産を分類し、相対的な感度を決定することは、以下を確実にするために重要である:
A. 保護コストは感度に比例する。
B. 機密性の高い資産は保護されている。
C. コントロールのコストは最小限に抑えられる。
D. 対策はリスクに比例する。
回答を見る
正解: D
質問 #325
ある組織が、ビジネスクリティカルなアプリケーションのデジタルフォレンジックを可能にしたいと考えています。この目的をサポートするのに最も役立つのは、次のうちどれですか?
A. バイオメトリック・アクセス・コントロールを設置すること。
B. インシデント対応計画を策定する。
C. データ保持基準を定義する。
D. アクティビティロギングを有効にする。
回答を見る
正解: D
質問 #326
誰が組織のリスク分析を推進すべきか?
A. 上級管理職
B. セキュリティ・マネージャー
C. 品質管理者
D. 法務部
回答を見る
正解: B
質問 #327
強化されたパスワード標準の実施を任務とする情報セキュリティマネジャーにとって、最も役立つのはどれか。
A. パスワード強度テストの実施
B. 強力で複雑なパスワードの作成に関するエンドユーザーの再教育
C. 集中型 ID 管理システムの導入
D. 強力な複雑性を含む技術的パスワード管理の実施
回答を見る
正解: C
質問 #328
資産を分類する第一の理由は、次のとおりである:
A. 資産価値と保護措置のバランス。
B. 管理が不十分な低価値資産を特定する。
C. 資産の権限と所有権の明確なラインを確立する。
D. 組織のリスク態勢を経営幹部に報告する。
回答を見る
正解: A
質問 #329
情報セキュリティマネジャーが第三者のリスクを効果的に管理するためのアプローチとして、最も適切なものはどれか。
A. リスクの変化に対応するための管理策を確実に実施する。
B. 上級管理職がベンダーとの関係を承認していることを確認する。
C. リスク管理努力がリスク・エクスポージャーに見合ったものであることを確認する。
D. ベンダーのガバナンス管理を確実に行う。
回答を見る
正解: D
質問 #330
アプリケーション開発をサードパーティに外注する場合、組織のセキュリティ要件が満たされていることを保証する最も良い方法はどれか。
A. システム開発ライフサイクルを監査する権利を契約に含める。
B. 第三者スタッフに安全なアプリケーションコーディングのトレーニングを提供する。
C. 開発したアプリケーションの独立したセキュリティテストを実施する。
D. 第三者プロバイダに対し、そのセキュリティ手法を文書化することを要求する。
回答を見る
正解: C
質問 #331
セキュリティ管理グループの主な目的は以下のとおりである:
A. 情報セキュリティがすべてのビジネス機能をカバーするようにする。
B. 情報セキュリティとビジネス目標との整合性を確保する。
C. 組織全体の情報セキュリティ意識を高める。
D. セキュリティ管理に関するすべての決定を組織全体で実施する。
回答を見る
正解: B
質問 #332
公開ウェブサイトの企業プライバシーステートメントを作成する場合、次のうちどれを含まなければなりませんか?
A. アクセス制御の要件
B. 有限責任条項
C. 情報暗号化の要件
D. 情報利用
回答を見る
正解: C
質問 #333
情報セキュリティガバナンスの指標を導入する主な目的は、以下のとおりである:
A. ベストプラクティスとの整合性を測る。
B. オペレーションとプログラムの指標を評価する。
C. コントロール操作を洗練させる、
D. セキュリティを望ましい状態に導く。
回答を見る
正解: D
質問 #334
ビジネスインパクト分析では、情報システムの価値は、全体的なコストに基づくべきである:
A. 回復の
A.
B. 再構築する。
C. 利用できない場合
D. また、緊急作戦の博士号も取得している。
回答を見る
正解: C
質問 #335
ある多国籍企業は、その個人情報保護プログラムが業務全体の個人情報保護リスクに適切に対処していることを確認したいと考えている。
A. 組織は分散型のプライバシー・ガバナンス構造を採用している。
B. 個人情報保護方針は年1回のみ見直される。
C. 組織には専任の個人情報保護責任者がいない。
D. 個人情報保護プログラムには、正式な研修要素は含まれていません。
回答を見る
正解: D
質問 #336
情報セキュリティマネジャーが、新しいセキュリティシステムのビジネスケースに確実に盛り込むことが最も重要なのはどれか。
A. 管理の有効性
B. システムに伴うリスク低減
C. 監査ログ機能
D. ベンチマーク結果
回答を見る
正解: B
質問 #337
非武装地帯(DMZ)に置かれた場合、次のデバイスのうちどれが重大な露出と考えられるか?
A. 認証サーバー
B. ウェブサーバー
C. プロキシサーバー
D. 侵入検知サーバー
回答を見る
正解: A
質問 #338
情報資産の分類を行う主な利点は、次のとおりである:
A. セキュリティ要件をビジネス目標に関連付ける。
B. リスクに見合ったコントロールを特定する。
C. アクセス権を定義する。
D. 所有権を確立する。
回答を見る
正解: B
質問 #339
企業システムへの不正な外部接続からネットワークを保護するために、情報セキュリティ管理者はBESTを実施すべきである:
A. 強い認証。
B. IPなりすましフィルタリング。
C. ネットワーク暗号化プロトコル。
D. 信頼できるデバイスのアクセスリスト
回答を見る
正解: A
質問 #340
効果的な情報セキュリティ戦略を策定する上で、最も重要なものはどれか。
A. 担保となる事業用資産
B. セキュリティ・ガバナンスによる潜在的節約
C. 遵守事項
D. 是正が必要なコントロール・ギャップ
回答を見る
正解: A
質問 #341
組織に影響を及ぼす新しい規制について知った後、情報セキュリティマネジャーが最初に行うべきことはどれか。
A. 法律顧問とともに変更を評価する。
B. 影響を受ける事業部門に通知する。
C. コンプライアンス違反のリスクを評価する。
D. 新しい規制について経営幹部に知らせる。
回答を見る
正解: A
質問 #342
リスクアセスメントを実施すべきである:
A. 各ビジネスプロセスおよびサブプロセスについて、年に1回。
B. 重要なビジネスプロセスについては、3~6カ月に1度。
C. 客観性を維持するために、外部の関係者によって行われる。
D. 毎年、または重要な変更がある都度。
回答を見る
正解: D
質問 #343
オンライン取引システムにおいて、顧客データを保護するために最も重要なセキュリティ特性はどれか。
A. 可用性
B. データの分離
C. 監査モニタリング
D. 認証
回答を見る
正解: D
質問 #344
アウトソーシング・サービス・プロバイダーは、顧客の機密情報を取り扱わなければなりません。情報セキュリティ管理者にとって最も重要な知識はどれですか。
A. 機密データの保存と送信におけるセキュリティ
B. プロバイダーの業界標準遵守レベル
C. 施設で実施されているセキュリティ技術
D. 最新の独立したセキュリティ・レビューの結果
回答を見る
正解: A
質問 #345
職務の分離を確実にするために、システム管理者以外の者が行う次の活動のうち、BESTはどれですか?
A. システムログの削除
B. システムユーティリティの使用
C. システム利用率の監視
D. システム復旧手順の定義
回答を見る
正解: A
質問 #346
サードパーティセキュリティオペレーションセンタを選定する際に最も重要なのはどれか。
A. 免責条項
B. 独立統制評価
C. インシデント対応計画
D. 事業継続計画
回答を見る
正解: B
質問 #347
情報セキュリティをビジネスプロセスに組み込むことの重要性を経営陣に強調するために、新しく採用された情報セキュリティ担当者は、FIRSTを行うべきである:
A. セキュリティ予算を作成する。
B. リスクアセスメントを実施する。
C. 情報セキュリティポリシーを策定する。
D. ベンチマーク情報を得る。
回答を見る
正解: B
質問 #348
DMZ内に置くべきデバイスはどれか。
A. プロキシサーバー
B. アプリケーションサーバー
C. 部門サーバー
D. データウェアハウスサーバー
回答を見る
正解: B
質問 #349
インシデント対応プログラムが成熟している組織では、すべての主要な情報セキュリ ティインシデントについてインシデント後のレビューを実施する。これらのレビューの第一の目標は、次のとおりである:
A. インシデントの根本原因を文書化し、経営幹部に報告する。
B. 修正が必要なセキュリティプログラムギャップやシステマティックな弱点を特定する。
C. インシデントに関する適切な吟味を経た通知を外部関係者に準備する。
D. セキュリティインシデントの責任を誰が負うべきかを特定する。
回答を見る
正解: A
質問 #350
ペネトレーション・テストを実施するベストなタイミングは、その後である:
A. 侵入未遂が発生した。
B. 監査により、セキュリティ管理の弱点が報告された。
C. さまざまなインフラの変更が行われる。
D. システム・スタッフの入れ替わりが激しい。
回答を見る
正解: C
質問 #351
組織のデータ分類プログラムをレビューする情報セキュリティ管理者が最も関心を持つべきものはどれか。
A. このプログラムでは、例外を認めることができます。
B. ラベリングが組織全体で一貫していない。
C. データ保持要件が定義されていない。
D. クラス分けが業界のベストプラクティスに従っていない。
回答を見る
正解: B
質問 #352
ビジネスのリスク分析を行うのに最も適した立場にあるグループは次のうちどれでしょう?
A. 社外監査役
B. 同業他社グループ
C. プロセス・オーナー
D. 専門の経営コンサルタント
回答を見る
正解: C
質問 #353
アプリケーションのデータ・アクセス要件は、アプリケーションによって決定されるべきである:
A. 法務部。
B. コンプライアンス・オフィサー
C. 情報セキュリティマネージャー
D. 経営者。
回答を見る
正解: D
質問 #354
災害への適切な対応を決定するための情報をステークホルダーに提供するものとして、最も適切なものはどれか。
A. リスク評価
B. 脆弱性評価
C. ビジネスインパクト分析
D. SWOT分析
回答を見る
正解: C
質問 #355
情報資産の重要性と機密性は、以下に基づいて決定される:
A. 脅威の評価
B. 脆弱性評価
C. リソース依存性の評価
D. 影響評価
回答を見る
正解: D
質問 #356
情報セキュリティ・プログラムを成功させるために最も重要な要素は、効果的であることである:
A. 情報セキュリティ要件を組織内の全ユーザーに伝える。
B. 情報セキュリティに関する方針と手順を策定する。
C. 組織の目標や目的との整合性。
D. 情報セキュリティポリシーと手順の遵守を監視する。
回答を見る
正解: C
質問 #357
組織文化の中で情報セキュリティの可視性を高める最も良い方法はどれか。
A. 部門横断的な情報セキュリティ研修の義務付け
B. 全社的なユーザー意識向上キャンペーンの実施
C. 利用ポリシーの公開
D. 業界標準に基づくセキュリティポリシーの確立
回答を見る
正解: A
質問 #358
ある組織では、従業員が個人所有のスマートデバイスを不正に使用することによる情報漏えいのリスクを懸念しています。情報セキュリティ管理者が関連するリスクを軽減するための最善の方法は何か。
A. 従業員に秘密保持契約書(NDA)への署名を義務付ける。
B. モバイルデバイス管理(MDM)ソリューションを導入する。
C. BYOD(Bring-your-Own Device)ポリシーを文書化する。D
回答を見る
正解: B
質問 #359
脅威と脆弱性の評価が重要なのは、それが第一義的な理由である:
A. リスクの推定に必要
B. 管理目標設定の基礎
C. 組織のセキュリティ態勢の要素
D. 安全投資の確立に使用される
回答を見る
正解: A
質問 #360
経営会議への情報セキュリティ四半期報告書に記載する指標として、最も適切なものはどれか。
A. セキュリティ準拠サーバー動向報告
B. セキュリティ準拠サーバーの割合
C. セキュリティパッチ適用数
D. セキュリティパッチ適用傾向レポート
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.