すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CISM模擬試験であなたのISACA試験の準備を強化する

認定情報セキュリティ管理者(CISM)資格を取得することは、セキュリティの脅威やデータ侵害が絶えず進化する今日の状況において極めて重要です。しかし、CISM試験の準備をするのは難しいことです。そこで、SPOTOのCISM試験問題集とリソースが活躍します。SPOTOはCISM試験の目標に合わせたCISM試験問題集、試験問題集、模擬試験及び学習教材を提供します。弊社のCISM試験対策問題集は精確に実際試験の範囲を絞ります。SPOTOのCISM試験問題集を利用すれば、さらなる学習と練習が必要な分野を特定し、リスク評価、効果的なガバナンスの導入、セキュリティインシデントへの積極的な対応に必要な知識とスキルを確実に身につけることができます。弊社の CISM 認定試験問題集を利用して模擬試験の準備をすれば、CISM 認定試験に合格する確率を高めることができます。 データ漏洩、ランサムウェア攻撃など、絶えず進化するセキュリティの脅威は、今日のITプロフェッショナルにとって最重要課題です。Certified Information Security Manager® (CISM®) 認定を取得すれば、リスクの評価、効果的なガバナンスの導入、インシデントへの積極的な対応方法を学ぶことができます。
他のオンライン試験を受ける
質問 #1
最高情報セキュリティ責任者(CISO)が果たすべき最も重要な任務はどれか。
A. プラットフォームレベルのセキュリティ設定を更新する
B. 災害復旧テスト演習の実施
C. 重要な財務システムへのアクセスを承認する。
D. 情報セキュリティ戦略書の作成
回答を見る
正解: D
質問 #2
サイバーセキュリティに関する新たな規制要件に組織がどこまで準拠するかは、誰が決めるべきか。
A. 上級管理職
B. ITステアリング委員会
C. 法律顧問
D. 情報セキュリティ管理者
回答を見る
正解: A
質問 #3
情報資産の分類プロセスにおける情報セキュリティ管理者の主な役割はどれか。
A. 資産の所有権の割り当て
B. 資産分類レベルの割り当て
C. 分類に従った資産の確保
D. 資産分類モデルの開発
回答を見る
正解: D
質問 #4
事業活動に内在するリスクが許容リスクレベルよりも高い場合、情報セキュリティマネジャーはFIRSTを実施すべきである:
A. リスクを許容レベルまで軽減するための管理策を実施する。
B. 経営陣に対し、その事業活動を避けるよう勧告する。
C. 現状と許容できるリスクレベルとのギャップを評価する。
D. 第三者にリスクを移転し、影響コストを回避する。
回答を見る
正解: C
質問 #5
リスクシナリオは、以下のようにリスク評価プロセスを簡素化する:
A. その後のリスク評価の必要性を減らす。
B. 重要かつ関連性のあるリスクに焦点を当てる。
C. ビジネスリスクを確実に軽減する。
D. 起こりうるリスクの全範囲をカバーする。
回答を見る
正解: B
質問 #6
ある会社がライバル会社を買収し、セキュリティ戦略の統合を検討している。検討すべき最も大きな問題はどれか。
A. 組織のリスク許容度は異なる。
B. 異なるセキュリティ技術
C. 組織内のセキュリティスキルの違い
D. 機密情報が漏れる可能性がある
回答を見る
正解: A
質問 #7
個人所有デバイスの持ち込み(BYOD)プログラムにおいて、紛失時に会社のデータを保護するために最も重要な考慮事項は次のうちどれでしょうか。
A. 遠隔操作で機器の位置を特定する機能
B. デバイスを一元管理する機能
C. 未承認申請を制限する能力
D. 機器の種類を分類する能力
回答を見る
正解: B
質問 #8
ある組織がデジタルトランスフォーメーションのプロセスを進めており、IT組織は不慣れなリスク環境に置かれている。情報セキュリティマネジャーは、ITリスクマネジメントプロセスを指揮する使命を与えられている。次のうち、最も優先順位の高いものはどれですか?
A. リスクの特定
B. 主要リスク指標(KRI)の設計
C. コントロール・ギャップの分析
D. リスク治療法の選択
回答を見る
正解: A
質問 #9
インターネットからダウンロードした商用ソフトウェアのユーザーにとって、真正性を保証する最も効果的な手段はどれか。
A. デジタル署名
B. デジタル証明書
C. デジタルコード署名
D. ステガノグラフィ
回答を見る
正解: C
質問 #10
情報セキュリティガバナンスプログラムの最も重要な目標はどれか。
A. 内部統制メカニズムの見直し
B. ビジネス上の意思決定への効果的な関与
C. 危険因子の完全除去
D. データに対する信頼の確保
回答を見る
正解: D
質問 #11
優れたセキュリティ対策を奨励する最善の方法は、次のとおりである:
A. 定期的なコンプライアンス監査を予定する。
B. セキュリティポリシーに従わない者を懲戒する。
C. 個人による適切なセキュリティ行動を認識する。
D. 情報セキュリティポリシーを公表する。
回答を見る
正解: C
質問 #12
アプリケーションの基礎となるコードに重大な変更を加えた後は、情報セ キュリティマネージャにとって、次のことが最も重要である:
A. 経営幹部に報告する
B. リスクアセスメントを更新する
C. ユーザー受け入れテスト(UAT)の検証
D. 主要リスク指標(KRI)の修正
回答を見る
正解: A
質問 #13
リスクアセスメントの結果、リスクマネジメントの意思決定に最も役立つのはどれか。
A. コントロールリスク
B. 内在的リスク
C. リスク・エクスポージャー
D. 残存リスク
回答を見る
正解: D
質問 #14
セキュリティ管理策を実施する場合、情報セキュリティ管理者は、第一に、以下の点に重点を置かなければならない:
A. 運航上の影響を最小限に抑える。
B. すべての脆弱性を排除する。
C. 類似の組織による利用
D. 第三者による認証
回答を見る
正解: A
質問 #15
企業全体のセキュリティを監視する製品を評価する際に考慮すべき最も重要な項目はどれか。
A. 設置の容易さ
B. 製品ドキュメント
C. 利用可能なサポート
D. システムオーバーヘッド
回答を見る
正解: D
質問 #16
組織のセキュリティ態勢を理解するためには、組織の上級幹部が以下のことを行うことが最も重要である:
A. 確立されたセキュリティ指標を確実に報告する。
B. 報告されたセキュリティインシデントの件数を確認する。
C. リスク軽減の取り組みの進捗状況を評価する。
D. 直近のインシデント対応テストの結果を評価する。
回答を見る
正解: A
質問 #17
大規模な多国籍企業において、情報セキュリティ管理者が最もセキュリティ保護レベルが低いと予想する情報の種類はどれか。
A. 戦略的事業計画
B. 今後の決算
C. お客様の個人情報
D. 過去の決算
回答を見る
正解: D
質問 #18
ある情報セキュリティマネジャーが、継続的なセキュリティ上の懸念に対処するためのいくつかの選択肢を調査し、これらの解決策をビジネスマネジャーに提示する予定である。ビジネスマネジャーが十分な情報を得た上で意思決定できるようにするためには、次のうちどれが最適でしょうか。
A. ビジネスインパクト分析(BIA)
B. 費用便益分析
C. リスク分析
D. ギャップ分析
回答を見る
正解: A
質問 #19
ある情報セキュリティマネジャーが、ある事業部門が新しいアプリケー ションの実装を計画しているが、情報セキュリティ部門の誰も関与し ていないことを発見した。次のうち、最も適切な対策はどれか。
A. チェンジマネージャーとの関わりを勧める。
B. アプリケーションの本番稼動をブロックする。
C. 上級幹部と問題を話し合う。
D. 変更管理プロセスを見直し、更新する。
回答を見る
正解: A
質問 #20
情報セキュリティリスクを最小化するための管理策を選択するアプローチとして、最も適切なものはどれか。
A. 費用便益分析
B. 制御効果
C. リスク評価
D. 業界のベストプラクティス
回答を見る
正解: C
質問 #21
情報セキュリティ・マネジャーがビジネスとITにおける業界レベルの変化を監視する最大の理由は、以下のとおりである:
A. 変更が残留リスクレベルに及ぼす影響を評価する。
B. リスク環境の変化を特定する。
C. 変更に伴い、情報セキュリティポリシーを更新する。
D. 潜在的な影響に基づいてビジネス目標を変更する。
回答を見る
正解: B
質問 #22
情報保護に対するリスク管理アプローチとは
A. 目標と目的に見合った、許容可能なレベルにリスクを管理する。
B. 市販のセキュリティ製品が提供するセキュリティ体制を受け入れる。
C. 情報保護とリスクについて個人を教育するための研修プログラムを実施する。
D. すべての情報保護の脆弱性を評価するよう、リスクツールを管理する。
回答を見る
正解: A
質問 #23
定量的なリスク分析を行う際、潜在的な損失を見積もるために最も重要なのはどれか?
A. 生産性損失の評価
B. 機密データ開示の影響を評価する
C. 情報または資産の価値を計算する
D. 各脅威の発生確率を測定する
回答を見る
正解: C
質問 #24
セキュリティリスク評価は、以下のような情報資産のみを対象とすべきである:
A. は分類され、ラベルが貼られている。
B. 組織内部にいる。
C. ビジネスプロセスをサポートする。
D. 有形の価値がある。
回答を見る
正解: A
質問 #25
非武装地帯(DMZ)に置かれた場合、最も重大な被ばくとみなされる機器はどれか?
A. プロキシサーバー
B. メール中継サーバー
C. アプリケーションサーバー
D. データベースサーバー
回答を見る
正解: D
質問 #26
集中型の情報セキュリティ管理の特徴はどれか。
A. 投与コストが高い
B. ポリシーの遵守
C. 事業部門のニーズとの整合性
D. リクエストの迅速な処理
回答を見る
正解: B
質問 #27
新たな規制要件が組織の情報セキュリティ管理に与える影響を明確に理解するために、情報セキュリティマネジャーはFIRSTを実施すべきである:
A. 費用便益分析を行う。
B. リスクアセスメントを実施する。
C. 上級管理職にインタビューする。
D. ギャップ分析を行う。
回答を見る
正解: D
質問 #28
効果的なITリスクマネジメントを行う組織において、主要リスク指標(KRI)を設定する主な理由は以下のとおりである:
A. リスク事象を改善するための情報を提供する。
B. リスクマネジメントの取り組みの整合性を示す。
C. 潜在的なリスクを組織の主要な戦略的イニシアチブにマッピングする。
D. リスクしきい値を超える ID トリガー。
回答を見る
正解: C
質問 #29
ある金融機関のメイン・メール・サーバーがスーパーユーザーレベルで侵害された:
A. システムのルートパスワードを変更する。
B. 多要素認証を実装する。
C. オリジナルのインストール媒体からシステムを再構築する。
D. メールサーバーをネットワークから切り離す。
回答を見る
正解: C
質問 #30
情報セキュリティ戦略に含めるのに最も適切なものはどれか。
A. 重要な統制として指定された業務統制
B. セキュリティ・プロセス、方法、ツール、技術
C. ファイアウォールルールセット、ネットワークデフォルト、侵入検知システム(IDS)設定
D. 特定のセキュリティ・ツールを取得するための予算の見積もり
回答を見る
正解: B
質問 #31
情報セキュリティが違反ログをどの程度監視しているかを測定する上で、最も有用な指標はどれか。
A. 調査された侵入の試み
B. 違反ログ報告書の作成
C. 違反ログエントリー
D. 是正措置の実施頻度
回答を見る
正解: A
質問 #32
変更によってもたらされる重要な脆弱性を特定するために、変更管理プロセスで実施すべきセキュリティ活動はどれか。
A. ビジネスインパクト分析(BIA)
B. 侵入テスト
C. 監査とレビュー
D. 脅威分析
回答を見る
正解: B
質問 #33
IT資産管理における最も重大なセキュリティリスクはどれか。
A. IT資産を職員が私的に使用することができる。
B. 未登録のIT資産はサポートされない場合がある。
C. 未登録のIT資産は、セキュリティ文書に含めることはできない。
D. 未登録のIT資産が適切に設定されていない可能性がある。
回答を見る
正解: A
質問 #34
セキュリティ管理を継続的に監視する主な目的は、以下を確実にすることである:
A. システムの可用性。
B. コントロール・ギャップは最小化される。
C. コントロールの有効性
D. コンプライアンス要件との整合性
回答を見る
正解: C
質問 #35
フィッシングとして知られる攻撃手法から身を守るのに最も効果的なのはどれか。
A. ファイアウォールのブロックルール
B. 最新の署名ファイル
C. セキュリティ意識向上トレーニング
D. 侵入検知モニタリング
回答を見る
正解: C
質問 #36
ソーシャル・エンジニアリング攻撃の成功は、以下の方法で防ぐことができる:
A. 雇用前スクリーニング。
B. ユーザーのアクセスパターンを綿密に監視する。
C. 定期的な意識向上トレーニング
D. 効率的な解雇手続き
回答を見る
正解: C
質問 #37
法的責任と規制責任を負うのはどれか?
A. 最高セキュリティ責任者(CSO)
B. 最高顧問弁護士(CLC)
C. 取締役会および上級管理職
D. 情報セキュリティ・ステアリング・グループ
回答を見る
正解: C
質問 #38
情報セキュリティマネジャーが、より制限的な予防管理策を実施するよう命じられた。そうすることで、正味の効果として、情報セキュリ ティマネージャが実施する予防的管理策を大幅に削減することができる:
A. 脅威。
B. 損失。
C. 脆弱性。
D. 確率。
回答を見る
正解: C
質問 #39
情報セキュリティガバナンスをコーポレートガバナンスと統合する上で、最も有用なものはどれか。
A. 情報セキュリティガバナンスの実施を運営委員会に割り当てる。
B. 運用・管理プロセスに情報セキュリティプロセスを含める。
C. 情報セキュリティの効率性と有効性に関する独立した報告書を取締役会に提出する。
D. 情報セキュリティガバナンスをグローバルに通用するフレームワークに合わせる。
回答を見る
正解: B
質問 #40
組織の現在のリスクがリスクアペタイトの範囲内にあるかどうかを判断する最も良い方法はどれか?
A. ビジネスインパクト分析(BIA)の実施
B. 主要業績評価指標(KPI)の導入
C. 主要リスク指標(KRI)の導入
D. 追加の緩和策の開発
回答を見る
正解: C
質問 #41
技術インフラを保護するための最低限の基準は、セキュリティの中で定義されるべきである:
A. 戦略。
B. ガイドライン
C. モデル
D. 建築学博士。
回答を見る
正解: D
質問 #42
重大なセキュリティ侵害が発生した場合、上級管理職にまず何を報告すべきか。
A. 一連の事象を示すセキュリティログの要約
B. インシデントと取られた是正措置
C. 他の組織における同様の攻撃の影響の分析
D. より強力な論理アクセス制御を実装するためのビジネスケース
回答を見る
正解: B
質問 #43
制限付きパスワードポリシーの導入に最も効果的なのはどれか。
A. 定期的なパスワード監査
B. シングルサインオンシステム
C. セキュリティ意識向上プログラム
D. 違反に対する罰則
回答を見る
正解: C
質問 #44
情報セキュリティマネジャーがセキュリティとビジネスの目標を一致させるためにとるべき行動として、最も適切なものはどれか。
A. 主要業績評価指標(KPI)の定義
B. ステークホルダーとの積極的な関わり
C. 事業戦略の見直し
D. ビジネスインパクト分析(BIA)の実施
回答を見る
正解: D
質問 #45
厳密なneed-to-knowの情報アクセスポリシーを持つ組織が、ナレッジマネジメントのイントラネットを立ち上げようとしている。既存のセキュリティポリシーへのコンプライアンスを確保するために、最も重要な活動はどれか。
A. 公開前に内容をチェックするための管理手順を策定する。
B. 新しいウェブサイトをより広く利用できるように、組織の方針を変更する。
C. ウェブサイトへのアクセスが上級管理職と取締役会に限定されるようにする。
D. 機密情報を含む文書をパスワードで保護する。
回答を見る
正解: A
質問 #46
ある大組織が、複数の複雑な組織機能との連携を伴う情報セキュリ ティプログラムを策定している最中である。このプログラムの実施を成功させるために、最も効果的なものはどれか。
A. セキュリティ・ガバナンス
B. セキュリティ・ポリシー
C. セキュリティ・メトリクス
D. セキュリティガイドライン
回答を見る
正解: A
質問 #47
情報セキュリティ技術への投資は、それに基づいて行われるべきである:
A. 脆弱性評価。
B. 価値分析。
C. ビジネス環境
D. 監査勧告。
回答を見る
正解: B
質問 #48
ある組織が、規制要件を満たすためにいくつかの情報セキュリティ方針を制定した。これらの要求事項に対するコンプライアンス違反の可能性が最も高くなるのは、次のどの状況でしょうか?
A. 方針を支持するシステム所有者の賛同が不十分
B. 公開ウェブサイトでのセキュリティポリシー文書の利用可能性
C. エンドユーザーに対するセキュリティポリシーのトレーニング不足
D. 情報セキュリティガバナンスの枠組みの欠如
回答を見る
正解: A
質問 #49
ある組織は、ビジネスユニット間のコミュニケーションを促進するために、標準化された企業チャットメッセージング技術を採用しています。このイニシアティブに関連する必須タスクは次のうちどれですか?
A. 技術をサポートするためのセキュリティと運営スタッフの増員
B. 機密情報を扱う部署でのテクノロジーの使用を制限する。
C. 新技術に関する既存の組織方針の見直し
D. チャット通信の暗号化の強制
回答を見る
正解: C
質問 #50
情報セキュリティプログラムの成功にとって最も重要なものはどれか。
A. セキュリティ」意識向上トレーニング
B. 達成可能な目標と目的
C. 上級管理職のスポンサーシップ
D. 十分な立ち上げ予算と人員配置
回答を見る
正解: C
質問 #51
新しく採用された情報セキュリティマネジャーが、解雇された従業員のアカウントのクリーンアップが年に1回しか行われないことを発見した。情報セキュリティマネジャーが最初に取るべき行動はどれか。
A. 新しいプロセスを設計し、文書化する。
B. セキュリティポリシーを更新する。
C. リスクアセスメントを行う。
D. 上級管理職に問題を報告する。
回答を見る
正解: C
質問 #52
情報セキュリティマネジャーが変更要求を評価する際に最も重要なことはどれか。
A. リクエストはプロセスオーナーによって承認される。
B. リクエストはビジネスに付加価値を与える。
C. 残存リスクはリスク許容範囲内である。
D. コンティンジェンシープランを作成した。
回答を見る
正解: D
質問 #53
社内ユーザーによる機密情報の改ざんを防止するための最も効果的なソリューションはどれですか?
A. ベースライン・セキュリティ基準
B. システムアクセス違反ログ
C. 役割ベースのアクセス制御
D. 終了ルーチン
回答を見る
正解: C
質問 #54
与えられた情報資産の情報分類レベルを決定する主な責任は、次のどの役割にありますか?
A. マネージャー
B. カストディアン
C. ユーザー
D. オーナー
回答を見る
正解: D
質問 #55
情報セキュリティ管理グループは、次のことを行う:
A. 全般的な監督と指導を行う。
B. 情報セキュリティポリシーを策定する。
C. 情報セキュリティのベースラインを確立する。
D. セキュリティ・プログラムの日常業務を監督する。
回答を見る
正解: A
質問 #56
組織のセキュリティ対策が業界標準に準拠していることを経営幹部に示す最も良い方法はどれか。
A. 第三者評価結果
B. 最新の方針および手順の文書化
C. 統制の成熟度に関する報告書
D. 業界で認められた枠組みの存在
回答を見る
正解: A
質問 #57
新しい電子メールシステムを導入する過程で、情報セキュリティ管理者は、転送中のメッセージの機密性を確保したいと考えている。新しい電子メールシステムの導入において、データの機密性を確保する最も適切な方法はどれか。
A. 暗号化
B. デジタル証明書
C. デジタル署名
D. Iラッシング・アルゴリズム
回答を見る
正解: A
質問 #58
情報セキュリティガバナンスフレームワークの有効性は、以下のような場合に高まる:
A. IS監査人はガバナンス活動を評価する権限を与えられている
B. リスクマネジメントは、業務および戦略的活動に組み込まれている。
C. 法規制遵守の文化が経営陣によって推進されている。
D. コンサルタントによる情報セキュリティガバナンスフレームワークのレビュー
回答を見る
正解: D
質問 #59
データ所有者は、取引の機密性、完全性、可用性を保証するために、安全でセキュアな環境を提供しなければならない。これは情報セキュリティの一例である:
A. ベースライン。
B. 戦略。
C. 手続き
D. 博士号取得の方針
回答を見る
正解: D
質問 #60
ある組織が、従業員が会社の情報を共有できるようにするために、文書コラボレーションソリューションの導入を計画している。新しいソリューションに関連するリスクを軽減するための最も重要なコントロールはどれですか?
A. データ所有者に書き込み権限を割り当てる。
B. ソリューションへの最小限のユーザアクセスを許可する。
C. データ所有者に定期的なユーザーアクセスレビューを実施させる。
D. ソリューション上の機密情報以外を許可する。
回答を見る
正解: C
質問 #61
ファイアウォールのセキュリティを強化するのに最適なものはどれか?
A. スクリーンされたサブネットにファイアウォールを置く
B. セキュリティイベントのログ
C. 変更管理の実施
D. 動的アドレス割り当ての提供
回答を見る
正解: B
質問 #62
残留リスクが最小化される場合
A. 受け入れ可能なリスクがある。
B. 譲渡されたリスクは受け入れられる。
C. コントロール・リスクは減少する。
D. リスクは移転可能である。
回答を見る
正解: A
質問 #63
複数のシステムやプラットフォーム間でパスワードを同期させるために新しくインストールされたシステムが、警告なしに異常終了した場合、自動的に最初に発生する必要があるのはどれか。
A. ファイアウォールは、停止中にすべての受信トラフィックをブロックする必要があります。
B. 問題が修正されるまで、すべてのシステムは新規ログインをブロックすべきである。
C. アクセス制御は同期なしモードにフォールバックすべきである。
D. システムログは、後で分析するために、すべてのユーザーアクティビティを記録する必要があります。
回答を見る
正解: C
質問 #64
リスク受容は次のうちどれを構成するか?
A. 評価
B. 緩和
C. 評価
D. モニタリング
回答を見る
正解: B
質問 #65
組織の情報の最終的な責任者は誰か?
A. データ管理者
B. 最高情報セキュリティ責任者(CISO)
C. 取締役会
D. 最高情報責任者(CIO)
回答を見る
正解: C
質問 #66
組織の情報セキュリティプロファイルを決定する際に、最初に行う作業はどれか。
A. 資産目録の作成
B. 管理者権限の一覧
C. セキュリティ基準の確立
D. 脅威評価を完了する
回答を見る
正解: C
質問 #67
情報セキュリティプログラムが組織のビジネス目標を満たしているかどうかを判断する方法として、最も適切なものはどれか。
A. パフォーマンス測定を実施する。
B. 国際的なセキュリティ基準に照らして検証する。
C. ビジネスインパクト分析(BIA)を実施する。
D. 全社的なセキュリティ評価を毎年実施する。
回答を見る
正解: A
質問 #68
次のリスクのうち、定量的リスク評価手法を使って評価するのが最も適切なものはどれか。
A. 盗まれた顧客データ
B. 停電
C. ハッカーによって改ざんされたウェブサイト
D. ソフトウェア開発チームの損失
回答を見る
正解: B
質問 #69
情報セキュリティマネジャーが経営幹部に定期的に報告することのうち、最も重要なものはどれか。
A. 侵入テストの結果
B. 監査報告書
C. 未解決リスクの影響
D. 脅威分析レポート
回答を見る
正解: C
質問 #70
リスク対応戦略の第一の目的は次のとおりである:
A. 脅威の軽減。
B. 規制遵守。
C. シニアマネジメントの賛同
D. 適切なコントロールの選択
回答を見る
正解: A
質問 #71
情報セキュリティガバナンスの枠組みを確立する主な目的は、以下のとおりである:
A. 情報セキュリティ戦略と投資を整合させ、組織の活動を支援する
B. コーポレートガバナンス、活動、投資を情報セキュリ ティ目標に整合させる
C. 情報セキュリティを組織の取り組みに戦略的に統合するためのビジネ スケースを確立する
D. 情報セキュリティプログラムが組織内でどのように機能するかを文書化し、伝達する
回答を見る
正解: A
質問 #72
生体認証デバイスで管理された無人サーバールームへの物理的アクセス遵守の合理的な保証を提供する上で、最も効果的な管理策はどれか。
A. アクセス制御リストの定期的な見直し
B. 警備員による訪問者のエスコート
C. 入場の際の来場者登録
D. 生体認証と暗証番号の組み合わせ
回答を見る
正解: A
質問 #73
災害復旧計画を策定する際に考慮すべき最も重要なものはどれか。
A. 事業継続計画(BCP)
B. ビジネスインパクト分析(BIA)
C. 費用便益分析
D. 実現可能性評価
回答を見る
正解: B
質問 #74
ファイアウォールの有効性を評価するための最良の指標は、次のとおりである:
A. ブロックされた攻撃の数
B. ドロップしたパケット数
C. 平均スループット・レート。
D. ファイアウォールルールの数
回答を見る
正解: A
質問 #75
次のうち、組織全体のリスクの監視を最も容易にするものはどれか?
A. 侵入テスト
B. 主要リスク指標(KRI)
C. 脅威の評価
D. リスク選好傾向
回答を見る
正解: B
質問 #76
資産を分類する際の基準として、最も適切なものはどれか。
A. 資産の市場価値
B. 年間損失見込み(ALE)
C. 組織に対する資産の価値
D. 回復時間目標(RTO)
回答を見る
正解: C
質問 #77
アプリケーション開発にセキュリティを統合するための最も効果的なアプローチはどれか。
A. セキュリティ要件の定義
B. 脆弱性スキャンの実行
C. ユーザー受入テストのサインオフにセキュリティを含める
D. セキュリティモデルの並行開発
回答を見る
正解: A
質問 #78
組織の情報セキュリティリスクプロファイルをよりよく理解するために、上級管理職に最も適した情報はどれか。
A. 事業運営に影響を与えるシナリオ
B. 顧客サービスを混乱させるシナリオ
C. ビジネス目標に影響を与えるシナリオ
D. 金銭的影響のあるシナリオ
回答を見る
正解: C
質問 #79
情報セキュリティがコーポレート・ガバナンスに組み込まれていることを示すものとして、最も適切なものはどれか。
A. 新しい脆弱性は、セキュリティ管理者に直接報告される。
B. 重大なインシデントは、経営幹部にエスカレーションされる。
C. セキュリティポリシー文書は定期的に見直される。
D. 管理スタッフは、最新の情報セキュリティトピックについてトレーニングを受けている。
回答を見る
正解: D
質問 #80
アプリケーション・システムの大幅な変更につながる可能性のある新規制要件への準拠の影響に関する主な指示は、以下のところから得るべきである:
A. 内部監査人。
B. システム開発者/アナリスト
C. 主要なビジネス・プロセス・オーナー
D. 企業法務顧問。
回答を見る
正解: C
質問 #81
ある組織がインターネットと同じDMZに直接接続された2つのファイアウォールを持つ最良の理由は、次のようなものだろう:
A. 徹底した守備を提供する。
B. テストと生産を分ける。
C. トラフィックの負荷分散を許可する。
D. サービス拒否攻撃を防ぐ。
回答を見る
正解: C
質問 #82
特定された技術的脆弱性を修復するために使用できるプロセスは、次のうちどれですか?
A. ベースライン構成の実行
B. リスクアセスメントの実施
C. ビジネスインパクト分析(BIA)の実施
D. 自動スキャナーの実行
回答を見る
正解: B
質問 #83
情報セキュリティチームは、組織のセキュリティ体制を強化するために、追加のセキュリティソリューションが必要であると判断した。この取り組みを進めるために、情報セキュリティマネジャーは次に何をすべきか。
A. 利用可能な製品の評価
B. ビジネスケースを作成する
C. 業者選定を進める
D. ベンダーのデューディリジェンスを開始する
回答を見る
正解: B
質問 #84
ある組織は、最近公表された業界規制要件に準拠しなければならない。情報セキュリティ管理者は、まず何をすべきだろうか。
A. セキュリティ委員会を設置する。
B. ギャップ分析を行う。
C. 代償措置を実施する。
D. 即時遵守を要求する。
回答を見る
正解: B
質問 #85
情報セキュリティ運営委員会にユーザー管理者の代表がいない場合のMAINリスクとは?
A. 機能要件が十分に考慮されていない。
B. ユーザートレーニングプログラムが不十分である可能性がある。
C. 事業部門に割り当てられた予算が適切でない。
D. 情報セキュリティ計画がビジネス要件と整合していない
回答を見る
正解: D
質問 #86
セキュリティポリシーが組織の商習慣に関連していることを確認する最も効果的な方法はどれか。
A. 業界のベストプラクティスの統合
B. 上級管理職の署名を得る
C. 組織全体のセキュリティ監査を実施する
D. セキュリティ運営委員会の貢献を活用する
回答を見る
正解: D
質問 #87
完全なITリスクアセスメントが完了した後、誰が、どの緩和策を実施すべきかを決定することができますか?
A. 上級管理職
B. ビジネス・マネージャー
C. IT監査マネージャー
D. 情報セキュリティ責任者(ISO)
回答を見る
正解: B
質問 #88
ある最高経営責任者(CEO)が、組織のポリシーに準拠していないモバイルデバイ スから会社の文書にアクセスするよう要求してきた。情報セキュリティマネジャーは、次のことを行う必要があります:
A. サードパーティのソリューションを評価する。
B. 追加のセキュリティ管理を導入する。
C. ビジネスリスクを評価する。
D. 例外承認プロセスを開始する。
回答を見る
正解: C
質問 #89
情報セキュリティ管理者にとって最も重要なことは、セキュリティリスク評価を確実に実施することである:
A. 企業全体で一貫して
B. 根本原因分析中
C. セキュリティ・ビジネス・ケースの一環として
D. 脅威の状況に対応するため
回答を見る
正解: A
質問 #90
継続計画にエンドユーザーを参加させることの第一の利点は、エンドユーザーが継続計画に参加できることである:
A. 情報セキュリティ管理よりも客観的である。
B. テクニカルリスクとビジネスリスクのバランスを取ることができる。
C. 特定のビジネス・ニーズをよりよく理解している。
D. ビジネスへの全体的な影響を見ることができる。
回答を見る
正解: B
質問 #91
情報セキュリティ戦略が上級管理職に承認された後、情報セキュリティマネジャーが次に行うべきことはどれか。
A. セキュリティポリシーを策定する。
B. 予算を立てる。
C. ギャップ分析を行う。
D. 運営委員会を設置する。
回答を見る
正解: A
質問 #92
情報セキュリティ対策のビジネスケースに対する支持を得るのに最も役立つのは、 次のうちどれか。
A. 組織としての整合性を示す
B. 組織に対する脅威の強調
C. 管理上の欠陥の参照
D. ソリューション比較マトリックスの提示
回答を見る
正解: A
質問 #93
機密性の高いデータを保管する重要なシステムの開発において、情報セキュリティマネジャーが最も重視すべきことはどれか。
A. 残留リスクの許容量を確保すること
B. 検出される脆弱性の数を減らす
C. 特定されたシステム脅威の回避
D. 規制要件の遵守
回答を見る
正解: D
質問 #94
セキュリティガバナンスの効果的な実施を最も阻害する状況はどれか。
A. 技術の複雑さ
B. 予算の制約
C. 相反するビジネスの優先順位
D. ハイレベルのスポンサーシップ
回答を見る
正解: D
質問 #95
情報セキュリティをコーポレート・ガバナンスに組み込む方法として、最も適切なものはどれか。
A. セキュリティ対策に外部のセキュリティコンサルタントを関与させる。
B. 主要な利害関係者に対して、包括的な情報セキュリティ管理トレーニングを実施する。
C. 情報セキュリティプロセスが既存のマネジメントプロセスの一部であることを確認する。
D. 定期的なセキュリティリスク評価の実施を要求する。
回答を見る
正解: C
質問 #96
リスクマネジメントがビジネスライフサイクルのプロセスに組み込まれていることを最も確実にするアプローチはどれか。
A. 定期的なリスク評価の実施
B. セキュリティリスクを企業のリスク管理に組み込む
C. リスクマネジメントをソフトウェア開発ライフサイクルに組み込む
D. 企業経営者のリスク許容度を理解する
回答を見る
正解: B
質問 #97
リスクマネジメント・プログラムの全体的な有効性を確保する方法として、最も適切なものはどれか。
A. ユーザーによる変更点の評価
B. プログラム結果と業界標準との比較
C. 組織内でのリスクの割り当て
D. 組織の全メンバーの参加
回答を見る
正解: D
質問 #98
情報セキュリティガバナンスを効果的に実施するために、次のうちどれを優先すべきか。
A. コンサルテーション
B. 交渉
C. ファシリテーション
D. プランニング
回答を見る
正解: D
質問 #99
組織が新たなプライバシー法制の影響を受ける可能性の程度を評価する上で、情報セキュリティ管理者はFIRSTを行うべきである:
A. 法令遵守を達成するための運営計画を策定する。
B. プライバシーの構成要素を含むシステムとプロセスを特定する。
C. 準拠するまで個人情報の収集を制限する。
D. 類似の要件を含む可能性のある他国の個人情報保護法を特定する。
回答を見る
正解: B
質問 #100
従業員がソーシャルメディアを利用する場合、組織にとって最も関連性の高いリスク要因はどれか。
A. ソーシャルメディアは複数の場所からアクセスできる。
B. ソーシャルメディアはサイバー攻撃を受け入れるプラットフォームを提供する。
C. ソーシャルメディアは攻撃のための情報収集に利用できる。
D. ソーシャルメディアはリスクの速度を上げ、脅威の能力を高める。
回答を見る
正解: C
質問 #101
情報セキュリティ管理者がゼロデイ攻撃から身を守るための最善の方法はどれか。
A. ビジネスインパクト分析(BIA)を実施する。
B. 日常的に脆弱性スキャンを実施する。
C. ウイルス対策ソフトウェアを毎日実行するように設定する。
D. ヒューリスティック・ベースの監視ツールを導入する。
回答を見る
正解: D
質問 #102
経営陣は、情報セキュリティ予算案のいくつかの項目の必要性に疑問を抱いている。予算提出前に、次のうちどれが最も役に立ちましたか。
A. 競合他社の情報セキュリティへの取り組みをベンチマーキングする。
B. 情報セキュリティサービスベンダーからより良い価格を引き出す
C. 組織に対する現在の脅威について報告する。
D. 情報セキュリティのベストプラクティスに関する経営陣の教育
回答を見る
正解: C
質問 #103
リスクアセスメントプロセスにおいて、脅威の優先順位を決定する際に考慮すべき最も重要なものはどれか。
A. 脅かされるシステムの重要性
B. 悪用された脆弱性の深刻度
C. 事業への潜在的影響
D. 脅威行為者の能力
回答を見る
正解: A
質問 #104
情報セキュリティガバナンスプログラムの有効性を判断する際に考慮すべき最も重要なものはどれか。
A. 主要業績評価指標(KPI)
B. 主要リスク指標(KRI)
C. 成熟度モデル
D. リスク許容度
回答を見る
正解: A
質問 #105
資産の分類と管理において、最初に実施すべきプログラム要素はどれか。
A. リスク評価
B. 分類
C. 評価
D. リスクの軽減
回答を見る
正解: C
質問 #106
否認防止は、BESTを使用することで確保できる:
A. 強力なパスワード。
B. デジタルハッシュ。
C. 対称暗号化。
D. デジタル署名。
回答を見る
正解: D
質問 #107
組織内のセキュリティの望ましい状態を定義する際に、第一にインプットすべきものはどれか。
A. 許容リスクレベル
B. 年間損失予想
C. 外部監査結果
D. ビジネスへの影響度
回答を見る
正解: D
質問 #108
情報セキュリティマネジメントプロセスが、一般に認められたグッドプラクティスの基準から逸脱していることを特定できるのはどれか。
A. リスク評価
B. ビジネスインパクト分析(BIA)
C. 侵入テスト
D. ギャップ分析
回答を見る
正解: D
質問 #109
情報セキュリティ運営委員会の主な責任はどれか。
A. 企業戦略およびIT戦略に沿ったセキュリティポリシーの策定
B. メリットが実現されていないビジネスケースの見直し
C. 新たなセキュリティ対策に関連するリスクの特定
D. セキュリティ対策のビジネスケースを作成し、提示する
回答を見る
正解: A
質問 #110
あるオンラインバンキング機関は、顧客の個人情報の漏洩が、個人情報が漏洩した可能性のある顧客への通知と補償の必要性から、財務に大きな影響を与えることを懸念している。同機関は、残存リスクが常に高すぎると判断し、以下を決定する:
A. 保険に加入することで影響を軽減する。
B. 回路レベルのファイアウォールを導入し、ネットワークを保護する。
C. セキュリティ対策の回復力を高める。
D. リアルタイムの侵入検知システムを実装する。
回答を見る
正解: A
質問 #111
ある情報セキュリティマネジャーは、情報セキュリティフレームワークを採用した後、上級管理職と協力して、情報セキュリティは情報セキュリティ部門だけの責任であるという組織全体の認識を改めようとしている。この目的を達成するために、情報セキュリティマネジャーが最初に取り組むべきことは何か。
A. 情報セキュリティプロジェクトのベストプラクティスを提供する運用計画を策定する。
B. 上級管理職の支援を受けて、情報セキュリティ意識向上キャンペーンを展開する。
C. 情報セキュリティ部門の責任を文書化し、公表する。
D. 定期的なコンプライアンスレビューを実施するための正式なプロセスを導入する。
回答を見る
正解: B
質問 #112
あるWebベースのビジネスアプリケーションをテスト版から本番版に移行しようとしています。この移行で最も重要な管理者のサインオフはどれですか?
A. ユーザー
B. ネットワーク
C. オペレーション
D. データベース
回答を見る
正解: A
質問 #113
情報セキュリティ管理者は、情報セキュリティに対する上級管理職のコミットメントと支持を、次のことを強調することによって得ることができる:
A. 組織的リスク。
B. 組織全体の測定基準
C. セキュリティの必要性
D. 組織単位の責任
回答を見る
正解: A
質問 #114
情報セキュリティ・マネジャーは、セキュリティ評価指標を使用して評価する:
A. 情報セキュリティ・プログラムの実施。
B. セキュリティ・ベースラインのパフォーマンス
C. セキュリティリスク分析の有効性
D. インシデント対応チームの有効性
回答を見る
正解: A
質問 #115
ソーシャル・エンジニアリングのシナリオにおいて、権限のない個人がコンピューティング・リソースにアクセスする可能性を最も低くするのはどれか?
A. パスワードのオンスクリーンマスキングの実装
B. 定期的なセキュリティ意識向上プログラムの実施
C. パスワードの変更頻度を増やす
D. パスワードの極秘保持の義務付け
回答を見る
正解: B
質問 #116
情報漏えいのリスクに対処するのに最も適しているのはどれか?
A. ファイルのバックアップ手順
B. データベースの整合性チェック
C. 利用規定
D. インシデント対応手順
回答を見る
正解: C
質問 #117
ある組織で提案された大規模な購入案と新プロセスについて、リスクアセスメントとビジネス影響分析(BIA)が完了した。その結果と割り当てられたリスクに関して、情報セキュリティマネジャーとプロセスを担当するビジネス部門のマネジャーとの間に意見の相違がある。情報セキュリティマネジャーの最善のアプローチはどれか。
A. 企業のリスクに関する事業部長の判断の受け入れ
B. 企業のリスクに関する情報セキュリティ管理者の判断の受け入れ
C. 最終的なインプットのための経営幹部による評価のレビュー
D. 意見の相違を解決するには、新たなリスクアセスメントとBIAが必要である。
回答を見る
正解: C
質問 #118
リスクアクションプラン終了後の評価で最も重要なものはどれか?
A. 脅威のプロファイル
B. 内在的リスク
C. 残留リスク
D. 脆弱性のランドスケープ
回答を見る
正解: A
質問 #119
定量的リスク分析は、評価データがある場合に最も適している:
A. 顧客の認識を含む。
B. 見積もりパーセンテージが含まれている。
C. 具体的な詳細が書かれていない。
D. 主観的な情報が含まれている。
回答を見る
正解: B
質問 #120
次のうち、元従業員による悪意ある行為から保護できるものはどれですか?
A. 雇用前審査
B. 利用者の厳重な監視
C. 定期的な意識向上トレーニング
D. 効果的な解雇手続き
回答を見る
正解: D
質問 #121
ある情報セキュリティ管理者が、従業員が会社の電子メールにアクセスするために使用する個人用デバイスを管理するために、モバイルデバイス管理(MDM)システムの購入を計画しています。次のうち、ビジネスケースに含めることが最も重要なものはどれですか。
A. 費用便益分析
B. 特定されたリスクと緩和策
C. 業界のベストプラクティス・ベンチマーキング結果
D. 情報セキュリティ関連メトリクス
回答を見る
正解: A
質問 #122
組織が新興技術を採用する際に、確立された情報セキュリティガバナンスフレームワークを持つことの主な利点はどれか。
A. 新興技術戦略がある
B. 効果的なセキュリティリスク管理プロセスが確立されている
C. エンドユーザーによる新技術の受容の確立
D. 費用便益分析プロセスは実行しやすい。
回答を見る
正解: B
質問 #123
企業のセキュリティポリシーに含まれる可能性が最も高いものはどれか。
A. 責任の定義
B. 保管スケジュール
C. システムアクセス仕様
D. 組織リスク
回答を見る
正解: A
質問 #124
新しいアプリケーションを開発するとき、セキュリティ要件へのコンプライアンスを確保するための最も適切なアプローチはどれか。
A. 開発者にセキュリティトレーニングを提供する。
B. 詳細な受入基準を作成する。
C. 変更管理プロセスを遵守する。
D. セキュリティギャップ分析を実施する。
回答を見る
正解: B
質問 #125
アウトソーシングされたテクノロジー・サービス・プロバイダーの利用に関連するリスクに対処する方法として、最も適切なものはどれか。
A. サイバー賠償責任保険の見直し
B. ベンダー管理プログラムを導入する。
C. ベンダーの選定に経営陣の承認を求める。
D. 契約時にプロバイダーに対するデューデリジェンスを行う。
回答を見る
正解: B
質問 #126
セキュリティ戦略とビジネス戦略を連携させる最も良い方法はどれか。
A. 企業のリスクマネジメントの一環としてセキュリティリスクを含める。
B. セキュリティのバランススコアカードを作成する。
C. C
D. 情報セキュリティガバナンスをコーポレートガバナンスに統合する。
回答を見る
正解: C
質問 #127
情報セキュリティマネジャーがセキュリティプログラムに関して上級管理職に伝えるべき内容として、最も重要なものはどれか。
A. 潜在的リスクとエクスポージャー
B. 影響分析結果
C. セキュリティ・アーキテクチャの変更
D. ユーザーの役割と責任
回答を見る
正解: B
質問 #128
セキュリティ情報・イベント管理(SIEM)ソリューションと、IDS、マルウェア対策、電子メールスクリーニングソリューションなどの従来のセキュリティツールを統合する最大のメリットはどれか。
A. 誤検出の排除
B. 運営コストの削減
C. 潜在的脅威のパターンに対する可視性の向上
D. ツールの単一コンソールへの統合
回答を見る
正解: D
質問 #129
即座に検出されない悪意のあるコードを完全に根絶することの難易度を最も高める可能性が高い活動は、次のうちどれか?
A. パッチの適用
B. アクセスルールの変更
C. ハードウェアのアップグレード
D. ファイルのバックアップ
回答を見る
正解: D
質問 #130
ある情報セキュリティマネジャーが、開発フェーズに入ったセキュリ ティプロジェクトのビジネスケースを見直している。情報セキュリティマネジャーが推奨する最善の方法は、以下のとおりである:
A. プロジェクトスコープからコントロールの一部を除外する。
B. 他の取り組みのために資金を放出するため、プロジェクトを中止する。
C. 便益がコストをカバーするまでプロジェクトを推進する。
D. プロジェクトのペースを落とし、コストを長期に分散させる。
回答を見る
正解: A
質問 #131
優れたセキュリティ管理の実践を成功裏に推進するために最も重要なものはどれか。
A. セキュリティ・メトリクス
B. セキュリティ・ベースライン
C. 経営支援
D. 定期的なトレーニング
回答を見る
正解: C
質問 #132
スニッフィングに対する最も効果的な防御策はどれか?
A. ファイルをパスワードで保護する
B. 動的IPアドレススキームの実装
C. 送信データの暗号化
D. 静的強制アクセス制御(MAC)アドレスの設定
回答を見る
正解: C
質問 #133
個人情報保護規制の主な焦点はどれか?
A. 無制限データマイニング
B. 個人情報の盗難
C. 人権保護
D. 識別可能な個人データ
回答を見る
正解: D
質問 #134
ISO 27001のフレームワークで重要な分野はどれか。
A. オペレーショナル・リスク評価
B. 金融犯罪指標
C. キャパシティ・マネジメント
D. 事業継続マネジメント
回答を見る
正解: D
質問 #135
情報セキュリティ戦略で最も重要な要素はどれか。
A. 定義された目的
B. 納品までの期間
C. 管理フレームワークの採用
D. 完全なポリシー
回答を見る
正解: A
質問 #136
情報リスクを継続的に監視する最も重要な理由はどれか。
A. リスクプロファイルは時間とともに変化する可能性がある。
B. 管理の有効性を検証することができる。
C. コントロールのコストを最小限に抑えることができる。
D. リスクアセスメントの誤りを特定することができる。
回答を見る
正解: A
質問 #137
顧客データが漏洩した場合、組織は法執行当局に連絡すべきである:
A. 攻撃が国際的なものである場合。
B. 情報セキュリティマネージャーの指示がある場合。
C. 組織に潜在的な影響がある場合。
D. コーポレート・コミュニケーション・ポリシーに従い、D
回答を見る
正解: D
質問 #138
情報セキュリティマネジャーが、組織が個人を特定できる情報(PII)を保護する法的義務を果たしている証拠を提出するよう求められている。
A. プログラムの有効性に関する指標
B. 文書化された方針と基準
C. プライバシー意識向上トレーニング
D. プライバシー関連アプリケーションのリスク評価
回答を見る
正解: A
質問 #139
組織のサイバーセキュリティプログラムがビジネスのニーズを満たすために、最も重要なものはどれか。
A. 情報セキュリティ意識向上トレーニング
B. 情報セキュリティ測定基準
C. リスク評価プログラム
D. 情報セキュリティガバナンス
回答を見る
正解: D
質問 #140
リスクアセスメントでは、組織資産に対する脅威を特定した後、情報セキュリティ管理者は以下のことを行う:
A. 現在実施されている管理体制を評価する。
B. 目標リスクレベルを達成するための管理策を実施する。
C. 安全保障プログラムへの資金提供を要請する。
D. 上層部に報告すべき脅威を決定する。
回答を見る
正解: A
質問 #141
個人データの国際的な流通に関する要件を満たすセキュリティ管理者は、以下のことを保証する必要がある:
A. データ処理契約。
B. データ保護登録
C. データ主体の同意。
D. 対象者へのアクセス手続き
回答を見る
正解: C
質問 #142
復旧時間の目標(RTO)が非常に短い場合、次のサイトのうちどれが最も適切か?
A. 暖かい
B. 冗長
C. 共有
D. モバイル
回答を見る
正解: A
質問 #143
組織内で情報セキュリティ管理を確立するための最も重要な前提条件はどれか。
A. 経営幹部のコミットメント
B. 情報セキュリティフレームワーク
C. 情報セキュリティ組織体制
D. 情報セキュリティポリシー
回答を見る
正解: A
質問 #144
一連の復旧時間目標(RTO)を策定する上で、最も有用なものはどれか。
A. ギャップ分析
B. 回帰分析
C. リスク分析
D. ビジネスインパクト分析
回答を見る
正解: D
質問 #145
電子取引の否認防止ポリシー要件への準拠を可能にするものはどれか。
A. 電子証明書
B. デジタル署名
C. 暗号化されたパスワード
D. ワンタイムパスワード
回答を見る
正解: B
質問 #146
電子取引の否認防止を実現するものはどれか。
A. 二要素認証
B. 定期的な再認定
C. 第三者証明書
D. 受領確認
回答を見る
正解: C
質問 #147
定期的なリスク評価を実施する最も重要な理由は、以下のとおりである:
A. リスク評価は必ずしも正確ではない。
B. セキュリティリスクは頻繁に変更される。
C. レビュアーは、コントロールの最適化とコスト削減ができる。
D. セキュリティ機能が付加価値を提供できることを経営幹部に示すことができる。
回答を見る
正解: B
質問 #148
情報リスク分析を行う場合、情報セキュリティ管理者は、まず、次のことを行うべきである:
A. 資産の所有権を確立する。
B. 資産に対するリスクを評価する。
C. 資産目録を作成する。
D. 資産を分類する。
回答を見る
正解: C
質問 #149
攻撃者にコンピュータ・システムを侵害する機会を与えるような欠陥を特定するために、どのようなメカニズムが使われているか?
A. ビジネスインパクト分析
B. セキュリティ・ギャップ分析
C. システム・パフォーマンス・メトリクス
D. インシデント対応プロセス
回答を見る
正解: B
質問 #150
情報セキュリティ・プログラムは、以下のようなスポンサーがつくべきである:
A. インフラ管理。
B. 監査部門
C. 主要なビジネス・プロセス・オーナー
D. 情報セキュリティ管理
回答を見る
正解: C
質問 #151
次のうち、最もセキュリティ上の弱点が導入されやすい分野はどれか?
A. データベース管理
B. テープバックアップ管理
C. 構成管理
D. インシデント対応管理
回答を見る
正解: C
質問 #152
誰が、情報セキュリティ・プログラムの策定を提唱し、その成 功を確保することができるだろうか。
A. 内部監査人
B. 最高執行責任者(COO)
C. 運営委員会
D. ITマネジメント
回答を見る
正解: C
質問 #153
情報セキュリティガバナンスの実施において、情報セキュリティ管理者は、主として以下の責任を負う:
A. セキュリティ戦略の策定。
B. セキュリティ戦略の見直し
C. セキュリティ戦略を伝える。
D. セキュリティ戦略の承認
回答を見る
正解: A
質問 #154
モバイル・ユーザーによる機密性の高いイントラネット・アプリケーションへのアクセス制御は、BESTを通じて実施することができる:
A. データの暗号化。
B. デジタル署名。
C. 強力なパスワード
D. 二要素認証。
回答を見る
正解: D
質問 #155
予算の制約のため、社内のITアプリケーションに、顧客のサービスレベル合意(SLA)を満たすために必要な管理が含まれていない。情報セキュリティマネジャーが取るべき行動として、最も適切なものはどれか。
A. 法務部門に不備を知らせる。
B. 問題を分析し、経営幹部に報告する。
C. アプリケーションの所有者に、コントロールを実装することを要求する。
D. リスクを評価し、アプリケーション所有者に提示する。
回答を見る
正解: D
質問 #156
ブルートフォースアタックに対する防御として最も有効なものはどれか。
A. 裁量的アクセス制御
B. 侵入者検知ロックアウト
C. 時間帯制限
D. 強制アクセス制御
回答を見る
正解: C
質問 #157
企業対顧客(B2C)金融ウェブ・アプリケーションにおける伝送の機密性を確保するための最良のプロトコルは、次のとおりである:
A. セキュア・ソケット・レイヤー(SSL)。
B. Secure Shell (SSH)。
C. IPセキュリティ(IPSec)。
D. Secure/Multipurpose Internet Mail Extensions (S/MIME )。
回答を見る
正解: A
質問 #158
情報の価値を評価する際に最も留意すべきことはどれか。
A. 潜在的な経済的損失
B. 情報を再作成するコスト
C. 保険料
D. 規制要件
回答を見る
正解: A
質問 #159
ある組織が新しい情報セキュリティマネジャーを採用した場合、このマネジャーが最初に追求すべき目標はどれか。
A. セキュリティアーキテクチャの開発
B. 運営委員との良好なコミュニケーションの確立
C. 経験豊富なスタッフを集める
D. ベンチマークとなる同業組織
回答を見る
正解: B
質問 #160
変更検知に基づくウイルス対策ソフトの利点は、変更検知ができることである:
A. 現在および将来のウイルス株を検出できる可能性がある。
B. より柔軟なウイルスシグネチャのディレクトリ。
C. アクティビティ・モニターよりも更新頻度が低い。
D. 誤報を避ける確率が最も高い。
回答を見る
正解: A
質問 #161
ビジネスプロセスオーナー向けのセキュリティ研修プログラムに、最も優先的に含めるべきものはどれか。
A. セキュリティ・リスクの影響
B. アプリケーションの脆弱性
C. アプリケーションの回復時間
D. 報告されたセキュリティ・インシデントのリスト
回答を見る
正解: A
質問 #162
法律、規制、および契約要件に対するコンプライアンス違反の問題を特定するためのアプローチとして、最も適切なものはどれか。
A. リスク評価
B. ビジネスインパクト分析(BIA)
C. 脆弱性評価
D. ギャップ分析
回答を見る
正解: D
質問 #163
侵入テスト計画を承認するためのレビューにおいて、情報セキュリティマネジャーが最も懸念すべきことはどれか。
A. 侵入テストチームのスコープからの逸脱
B. 管理ユーティリティへの不正アクセス
C. オペレーションスタッフへの誤検知アラーム
D. 生産システムへの影響
回答を見る
正解: D
質問 #164
高度に規制された業界における情報セキュリティプロジェクトのビジネスケースに含めるべき情報で、最も重要なものはどれか。
A. コンプライアンス・リスク評価
B. 重要な監査結果
C. 業界比較分析
D. セキュリティ・インシデントの報告件数
回答を見る
正解: A
質問 #165
侵入検知メカニズムの有効性を評価するための指標として、最も適切なものはどれか。
A. 検出された攻撃の数
B. 成功した攻撃回数
C. 偽陽性と偽陰性の比率
D. 成功した攻撃と失敗した攻撃の比率
回答を見る
正解: C
質問 #166
ある組織が、複数のアプリケーションをホストするデータセンターの災害復旧計画を策定している。アプリケーションの復旧順序は、以下の分析を通じて決定される:
A. 主要業績評価指標(KPI)
B. 復旧時間目標(RTO)
C. 回復時点目標(RPO)
D. データ分類スキーム
回答を見る
正解: B
質問 #167
事業継続計画(BCP)策定の最初のステップはどれか。
A. 最短の復旧時間目標(RTO)を持つアプリケーションを特定する。
B. 事業復旧戦略の決定
C. 重要なビジネスプロセスを特定する
D. 利用可能なリソースの決定
回答を見る
正解: C
質問 #168
従業員が所有するデバイスが企業の電子メールシステムにアクセスすることで発生するデータ損失のリスクを低減する方法として、最も適切なものはどれか。
A. BYOD(Bring-your-own-Device)ポリシーを既存の職員懲戒ポリシーとリンクさせる。
B. 企業メールサービスへのアクセスを許可する前に、従業員にトレーニングを受けることを義務付ける。
C. 従業員に対し、評判の高いモバイルアンチウイルスソリューションを個人用デバイスにインストールすることを義務付ける。
D. モバイルデバイス管理(MDM)ソリューションを使用して、ローカルの企業電子メールストレージを分離する。
回答を見る
正解: D
質問 #169
セキュリティー・テクノロジーは、第一に、その技術に基づいて選択されるべきである:
A. ビジネスリスクを軽減する能力。
B. 業界誌での評価
C. 新技術の活用
D. コストと比較したメリット
回答を見る
正解: A
質問 #170
組織のセキュリティプログラムがビジネス目標と整合していることを確認する上で、最も効果的なのはどれか。
A. セキュリティ方針は、最高情報責任者によって検討され、承認される。
B. セキュリティ戦略は、組織の執行委員会がレビューし、承認する。
C. 組織の取締役会に、専任の情報セキュリティ専門家がいる。
D. プロジェクトマネージャは、毎年情報セキュリティ意識向上トレーニングを受ける。
回答を見る
正解: B
質問 #171
コンピュータシステムへの外部からの侵入が成功した場合の最も適切な指標はどれか。
A. DMZ内での予期せぬプロトコルの使用。
B. 不正なURLの予期せぬ増加。
C. ログイン失敗回数の減少。
D. ログイン失敗件数の急増。
回答を見る
正解: A
質問 #172
情報セキュリティ管理者が、セキュリティ関連活動を適切に監視するために、FIRST を確立すべきものはどれか。
A. 内部報告ルート
B. セキュリティ機能の説明責任
C. 定期的なセキュリティ評価
D. コンピュータシステムのログの定期的なレビュー
回答を見る
正解: A
質問 #173
リスクマネジメント・プログラムの最も重要な機能は、以下のとおりである:
A. リスク全体を定量化する。
B. 残留リスクを最小限に抑える。
C. 固有のリスクを排除する。
D. すべての年率損失予想(ALE)の合計を最大化する。
回答を見る
正解: B
質問 #174
許容可能なリスクレベルを決定する際、最も重要な考慮事項はどれか?
A. システムの重要性
B. 脆弱性スコア
C. リスクマトリックス
D. 脅威プロファイル
回答を見る
正解: A
質問 #175
ビジネス・アプリケーションの回復時点目標(RPO)を決定する最良の立場にあるのは誰か?
A. 事業継続コーディネーター
B. 最高業務責任者(COO)
C. 情報セキュリティ管理者
D. 内部監査
回答を見る
正解: B
質問 #176
全社的な事業継続計画を構築しているとき、同じ脅威によって影響を受ける可能性のある2つの独立した業務システムがあることが判明した。災害発生時にシステム復旧の優先順位を決定する方法として、最も適切なものはどれか。
A. 各システムの停止に関連するコストの評価
B. 各部門の事業計画の見直し
C. 回復時点目標(RPO)の比較
D. 各システムの主要業績評価指標(KPI)の見直し
回答を見る
正解: A
質問 #177
契約プログラマーに組織のセキュリティ・ポリシーを遵守させる最善の方法は何か。
A. セキュリティ基準において、請負業者について明示的に言及する。
B. 請負業者に、セキュリティ方針を書面で認めさせる。
C. 契約書に違反に対する罰則を設ける。
D. 請負業者のセキュリティレビューを定期的に実施する。
回答を見る
正解: D
質問 #178
リスクを認識する文化を構築する最も良い方法はどれか?
A. リスク啓発メッセージを定期的に変更する。
B. 脅威が組織全体にタイムリーに伝達されるようにする。
C. セキュリティ管理策の遵守状況を定期的にテストし、結果を掲示する。
D. スタッフがリスクを報告するためのインセンティブとチャネルを確立する。
回答を見る
正解: C
質問 #179
情報セキュリティマネジャーが、新しい情報セキュリティ戦略を策定している。この戦略をレビューし、ビジネスとの整合性を図るための指針を提供するリソースとして、最も適しているのはどれか。
A. 内部監査
B. 運営委員会
C. 法務部門
D. 取締役会
回答を見る
正解: B
質問 #180
インシデント対応テストのための卓上テスト計画を策定する場合、シナリオの主な目的は次のとおりである:
A. 組織全体の準備態勢を測る指標をビジネスに与える。
B. 参加者に状況を提供し、それぞれの役割を理解させる。
C. インシデント対応チームの一員として、経営陣の関与を測定する。
D. インシデント対応チームに、プレッシャーの中で問題を解決するよう求める。
回答を見る
正解: C
質問 #181
情報セキュリティー・プログラムは、第一義的には、以下に基づき策定されるべきである:
A. 承認された情報セキュリティ戦略。
B. 承認されたリスクマネジメントアプローチ
C. データセキュリティ規制要件
D. 経営幹部の意見
回答を見る
正解: A
質問 #182
リスクアセスメントの実施において、最初に実施すべきステップはどれか?
A. アイデンティティ事業資産
B. ビジネスリスクの特定
C. 脆弱性の評価
D. 主要な統制の評価
回答を見る
正解: A
質問 #183
内部監査から、規制要件に準拠していない情報セキュリティ上の問題が多数報告されている。情報セキュリティ・マネジャーは、まず何をすべきか?
A. セキュリティ例外の作成
B. 脆弱性評価の実施
C. ギャップ分析を行い、必要なリソースを決定する。
D. 事業運営に対するリスクの評価
回答を見る
正解: C
質問 #184
受容可能なリスクは、以下の場合に達成される:
A. 残留リスクは最小限に抑えられる。
B. 移転リスクは最小限に抑えられる。
C. コントロール・リスクは最小化される。
D. 固有のリスクは最小限に抑えられる。
回答を見る
正解: A
質問 #185
情報セキュリティプログラムがコーポレートガバナンスに適合しているかどうかを判断する最も適切な方法はどれか。
A. 安全保障のための資金を評価する
B. コーポレート・ガバナンスに関するエンドユーザーへの調査
C. 情報セキュリティポリシーの見直し
D. バランススコアカードを見直す
回答を見る
正解: C
質問 #186
機密データ処理のベンダーを評価する際、適切なレベルの情報セキュリティが提供されていることを確認するために、最初に行うべきことは次のうちどれでしょうか?
A. ベンダーとの契約に情報セキュリティ条項を盛り込む。
B. 業者候補の第三者報告書を確認する。
C. ベンダー選定の一環として、情報セキュリティ基準を含める。
D. ベンダーのパフォーマンスに関する指標を開発する。
回答を見る
正解: C
質問 #187
組織における情報セキュリティガバナンスの成功を確実なものにするベストはどれか。
A. 運営委員会が安全保障プロジェクトを承認
B. 全管理職を対象としたセキュリティポリシー研修
C. 全従業員がイントラネットで受講できるセキュリティ研修
D. 運営委員会は法令遵守を徹底する。
回答を見る
正解: A
質問 #188
情報セキュリティに影響を与える法的・規制的問題を特定する場合、情報セキュリ ティ方針を策定するアプローチとして最も適切なものはどれか。
A. 各規制に対応する個別のポリシーを作成する。
B. 義務化されたすべての要件を満たす方針を策定する。
C. 規制当局から提供されたポリシー・ステートメントを取り入れる。
D. コンプライアンス・リスク評価の策定
回答を見る
正解: B
質問 #189
ITシステムで処理される情報の適切な管理を保証するため、セキュリティ保護措置は、主に以下 に基づくべきである:
A. 定められたガイドライン
B. 分類レベルに合致した基準
C. 効率的な技術的処理
D. 全体的なITキャパシティと運用上の制約
回答を見る
正解: A
質問 #190
ある組織では、BYOD(Bring Your Own Device)プログラムが承認されています。個人用デバイスのアプリケーション制御を実施する最も効果的な方法は、次のうちどれですか。
A. モバイルデバイスの使用に関するポリシーを定める。
B. モバイルデバイス管理ソリューションを導入する。
C. 承認されたアプリケーションの使用に関してユーザーを教育する。
D. Webアプリケーションファイアウォールを実装する。
回答を見る
正解: B
質問 #191
電子商取引の注文処理用ウェブサーバーは、一般的に次のうちどれに置くべきか?
A. 内部ネットワーク
B. 非武装地帯(DMZ)
C. データベースサーバー
D. ドメインコントローラ
回答を見る
正解: B
質問 #192
予算の制約のためにセキュリティ管理策の導入が遅れていることを知らされたとき、情報セキュリティマネジャーはどのような行動をとるのがベストか。
A. リスクに基づいてセキュリティ対策に優先順位を付ける。
B. セキュリティ管理に関する例外予算を要求する。
C. リスク受容プロセスを開始する。
D. より安価な代替セキュリティ対策を提案する。
回答を見る
正解: A
質問 #193
ある情報セキュリティマネジャーが、取締役会に対して、組織の現在のITリスク状況について短いプレゼンを行うよう依頼された。このプレゼンテーションに盛り込むと最も効果的なものはどれか。
A. リスクヒートマップ
B. ギャップ分析結果
C. 脅威評価結果
D. リスク登録
回答を見る
正解: A
質問 #194
定性的なリスク分析を行う場合、信頼できる結果が得られるのは次のうちどれがBESTか?
A. 推定生産性損失
B. 脅威と影響を伴う想定シナリオ
C. 情報資産の価値
D. 脆弱性評価
回答を見る
正解: B
質問 #195
情報セキュリティ管理者が、組織内の情報セキュリティポリシーの遵守状況を確認する最も適切な方法はどれか。
A. システムログを分析する。
B. セキュリティ意識テストを実施する。
C. 脆弱性評価を実施する。
D. 定期的な監査を実施する。
回答を見る
正解: D
質問 #196
組織の人事部門に情報セキュリティについて話す場合、情報セキュリティ・マネージャーはその必要性に焦点を当てるべきである:
A. 安全保障プログラムのための十分な予算。
B. IT技術者の採用
C. 定期的なリスク評価
D. 従業員に対するセキュリティ意識向上トレーニング
回答を見る
正解: D
質問 #197
ペネトレーション・テストを実施する際の主要な関心領域はどれか。
A. データマイニング
B. ネットワークマッピング
C. 侵入検知システム(IDS)
D. 顧客データ
回答を見る
正解: B
質問 #198
組織において、情報システム・セキュリティは以下の責任を負う:
A. すべての職員。
B. 情報システム担当者
C. 情報システム・セキュリティ担当者
D. 機能担当者。
回答を見る
正解: A
質問 #199
高額オンライン金融取引システムにおいて、銀行にとって最も重要な特性はどれか。
A. 識別
B. 守秘義務
C. 認証
D. 監査モニタリング
回答を見る
正解: B
質問 #200
ある情報セキュリティマネジャーが、情報セキュリティに関連する新 しい国際規格を知った。次のうち、最も適切な行動はどれか。
A. 新基準に対する同業他社の対応を検討する。
B. 基準の規制への適用可能性について法律顧問に相談する。
C. 組織が新規格を採用することで利益を得られるかどうかを判断する。
D. 新規格と既存の慣行とのギャップ分析を行う。
回答を見る
正解: C
質問 #201
取引相手との間でやり取りされる文書を保護するために、メッセージが暗号化され、デジタル署名されている場合、最も懸念されるのは以下の点である:
A. 取引相手はメッセージの送信を否認できる。
B. ハッカーはメッセージを盗聴できる。
C. 取引相手はメッセージの受信を否認できる。
D. ハッカーは偽造メッセージを持ち込むことができる。
回答を見る
正解: D
質問 #202
情報セキュリティ管理に対する上級管理職のコミットメントを得るために最も効果的なメッセージはどれか。
A. 効果的なセキュリティは、ビジネスへのリスクを排除する。
B. メトリックスで認知されたフレームワークの採用
C. セキュリティはビジネス製品であり、プロセスではない
D. セキュリティはビジネスをサポートし、保護する
回答を見る
正解: A
質問 #203
アウトソーシングされたIT機能のサービス・レベル・アグリーメント(SLA)に、適切な保護レベルが反映されていない。このような場合、情報セキュリティマネジャーは次のことを行う必要がある:
A. プロバイダーが損害賠償責任を負うようにする。
B. 契約満了時に更新しないことを推奨する。
C. 契約の即時解除を勧告する。
D. 現在のセキュリティレベルを判断する。
回答を見る
正解: D
質問 #204
リスクを評価する上で、最も重要なのは以下のことである:
A. すべての資産タイプに対して均等なカバレッジを提供する。
B. 類似組織のベンチマークデータを使用する。
C. 金銭的価値と損失の可能性の両方を考慮する。
D. 主に脅威と最近のビジネス上の損失に焦点を当てる。
回答を見る
正解: C
質問 #205
情報セキュリティ管理プログラムを策定する最初のステップは、次のとおりである:
A. 組織に影響を及ぼすビジネスリスクを特定する。
B. プログラムを作成する組織的な目的を明確にする。
C. プログラムの責任を割り当てる。
D. ビジネスリスクを軽減するための統制の適切性を評価する。
回答を見る
正解: B
質問 #206
効果的な情報セキュリティ戦略へのコミットメントを示すために、シニアリー ダーシップがとるべき最も適切な方法はどれか。
A. 最高経営責任者(CEO)直属の情報セキュリティトップの任命
B. 組織のリスク選好度と許容度を伝える
C. 包括的リスク管理プログラムの承認
D. 情報セキュリティのための適切なリソースの割り当て
回答を見る
正解: D
質問 #207
特定の種類の取引で処理される情報を保護するための新しい規則が、情報セキュリティ担当者の目に留まるようになった。その担当者は、FIRSTを行うべきである:
A. 利害関係者と会談し、遵守方法を決定する。
B. コンプライアンス・プロセスにおける主要なリスクを分析する。
C. 既存の管理方法が規制を満たしているかどうかを評価する。
D. 既存のセキュリティ/プライバシーポリシーを更新する。
回答を見る
正解: C
質問 #208
情報セキュリティの観点からは、もはやビジネスの主要な目的をサポートしない情報は、削除されるべきである:
A. リテンションポリシーに基づいて分析される。
B. 情報分類ポリシーの下で保護されている。
C. バックアップポリシーの下で分析。
D. ビジネスインパクト分析(BIA)の下で保護されるD
回答を見る
正解: A
質問 #209
情報セキュリティにおいて、最も優先度の低い要件はどれか。
A. テクニカル
B. 規制
C. プライバシー
D. ビジネス
回答を見る
正解: A
質問 #210
システム管理者が読み取り専用アクセスに制限されることが最も重要なのはどれか。
A. 管理者ユーザープロファイル
B. システムログオプション
C. ユーザーアクセスログファイル
D. 管理者ログファイル
回答を見る
正解: D
質問 #211
プライバシー・ポリシーの最も重要な要素は、次のとおりである:
A. 通知。
B. 保証
C. 負債
D. 地理的範囲。
回答を見る
正解: A
質問 #212
機密情報に対する内部脅威に対して、最も効果的な対策はどれか。
A. 役割ベースのアクセス制御
B. 監査証跡の監視
C. プライバシーポリシー
D. 深層防衛
回答を見る
正解: A
質問 #213
情報セキュリティ運営委員会の主な責務はどれか。
A. 情報セキュリティ戦略の見直し
B. 情報セキュリティ意識向上トレーニング戦略の承認
C. 情報セキュリティポリシー・コンプライアンスレビューの分析
D. 情報セキュリティ技術の購入を承認する
回答を見る
正解: A
質問 #214
サードパーティとの既存の契約に、組織の重要なデータを保護するための要件が明確に示されていないことを知った場合、情報セキュリティマネジャーは何を推奨するのがベストだろうか?
A. 既存の契約に補遺を作成する。
B. 業務委託契約を解除する。
C. リスクをプロバイダーに移す。
D. プロバイダーのデータセンターの外部監査を開始する。
回答を見る
正解: A
質問 #215
第三者に組織に対する攻撃と侵入テストを実施させる前に、最も重要な行動は以下のことを確認することである:
A. 第三者がテストシステム上でデモンストレーションを行う。
B. 目標と目的が明確に定義されている。
C. テクニカルスタッフは、期待されることについて説明を受けている。
D. 本番サーバーの特別なバックアップが取られます。
回答を見る
正解: B
質問 #216
事業継続計画(BCP)を机上チェックする主な利点はどれか。
A. バックアップハードウェアの可用性と互換性を評価する。
B. 経営陣とIT部門がより多く参加できるようにする。
C. 指摘された問題について、適切なフォローアップ作業が行われるようにする。
D. BCPの完全性を低コストで評価する方法を提供する。
回答を見る
正解: C
質問 #217
セキュリティ意識向上トレーニングは、次のうちどれにつながる可能性が最も高いか?
A. 侵入インシデントの減少
B. 報告件数の増加
C. セキュリティ・ポリシー変更の減少
D. アクセスルール違反の増加
回答を見る
正解: B
質問 #218
効果的な情報セキュリティ・ポリシーは、第一に、以下に基づき策定されるべきである:
A. 業界のベストプラクティス
B. 導入コスト
C. 組織のリスクプロファイル
D. 施行のしやすさ
回答を見る
正解: C
質問 #219
契約の情報セキュリティレビューを行う最も重要な理由は、次のうちどれですか。以下を確実にするため:
A. 契約当事者は履行できる。
B. 機密データは契約に含まれない。
C. 適切なコントロールが含まれている。
D. 監査権は必要条件である。
回答を見る
正解: C
質問 #220
情報セキュリティプログラムを効果的に実施するための方法・手法として、最も適切なものはどれか。
A. 取締役会の支持を得る。
B. 情報セキュリティ意識向上プログラムの内容を改善する。
C. 従業員のセキュリティポリシーに関する知識を向上させる。
D. 情報システムへの論理アクセス制御を導入する。
回答を見る
正解: A
質問 #221
情報セキュリティリスク分析の成果物として最も有用なものはどれか。
A. ビジネスインパクト分析(BIA)報告書
B. リスクを軽減するための行動項目のリスト
C. プロセス・オーナーへのリスクの割り当て
D. 組織リスクの定量化
回答を見る
正解: B
質問 #222
経営層に対する情報セキュリティ四半期報告書を作成する場合、最も重要な要素は、以下のとおりである:
A. 情報セキュリティの指標
B. 各問題の分析に必要な知識
C. ビジネスエリアの目標との関連性
D. メトリクスの評価基準となるベースライン。
回答を見る
正解: C
質問 #223
セキュリティ意識向上プログラムの有効性を評価する最も効果的な方法はどれか。
A. 事故後のレビュー
B. ソーシャル・エンジニアリング・テスト
C. 脆弱性スキャン
D. 卓上テスト
回答を見る
正解: B
質問 #224
ある会社が最近、画期的な技術を開発した。この技術はこの会社に大きな競争力を与える可能性があるため、この情報をどのように保護すべきか、次のうちどれがFIRSTに該当するか?
A. アクセス制御ポリシー
B. データ分類ポリシー
C. 暗号化標準
D. 利用規定
回答を見る
正解: B
質問 #225
情報セキュリティガバナンス委員会の主な責務はどれか。
A. 情報セキュリティポリシー・コンプライアンスレビューの分析
B. 情報セキュリティ技術の購入を承認する
C. 情報セキュリティ戦略の見直し
D. 情報セキュリティ意識向上トレーニング戦略の承認
回答を見る
正解: C
質問 #226
企業ネットワークへの侵入口として、ワイヤレスネットワークを保護するのに最も効果的なのはどれか。
A. バウンダリルーター
B. 強力な暗号化
C. インターネットに面したファイアウォール
D. 侵入検知システム(IDS)
回答を見る
正解: B
質問 #227
重要なビジネスアプリケーションで規制遵守の問題が特定されましたが、その問題を是正することは業務に大きな影響を及ぼします。経営幹部が十分な情報に基づいた意思決定を行うために、どのような情報がベストでしょうか?
A. 影響分析と治療オプション
B. 補償コントロールに関連するコスト
C. 業界ベンチマークとベストプラクティス
D. リスク評価の結果と提言
回答を見る
正解: A
質問 #228
情報セキュリティガバナンスフレームワークの目的が達成されていることを示すものとして、最も適切なものはどれか。
A. リスクダッシュボード
B. 主要業績評価指標(KPI)
C. 侵入テストの結果
D. バランススコアカード
回答を見る
正解: D
質問 #229
情報セキュリティプログラムへの投資を経営陣に納得させるための正当な理由として、最も適切なものはどれか。
A. コスト削減
B. 会社方針の遵守
C. 事業資産の保護
D. ビジネス価値の向上
回答を見る
正解: D
質問 #230
複数のサーバーの復旧中に、外部顧客にサービスを提供する重要なプロセスの復旧が障害により遅れ、その結果、収益が失われた。このような事態を防ぐのに最も効果的だったのは、次のうちどれでしょう?
A. 経営幹部のリスク許容度の検証
B. ビジネスインパクト分析(BIA)の更新
C. より効果的な災害復旧計画(DRP)テスト
D. インシデント識別方法の改善
回答を見る
正解: D
質問 #231
経営陣が企業のビジネス戦略を変更する場合、既存の情報セキュリティ管理策の評価と新しい情報セキュリティ管理策の選定に使用すべきプロセスはどれか。
A. リスク管理
B. 変更管理
C. アクセス制御管理
D. 構成管理
回答を見る
正解: A
質問 #232
災害復旧における復旧時点目標(RPO)の貢献は以下の通りである:
A. バックアップ戦略を定義する。
B. 単一障害点を排除する。
C. MTBF(平均故障間隔)を短縮する。
D. 停止期間を最小限にする。
回答を見る
正解: D
質問 #233
新しい技術の導入を決定した後、情報セキュリティマネジャーが最初に取るべき行動はどれか。
A. 新技術をサポートするために必要なセキュリティ管理を決定する。
B. 新技術のビジネスインパクト分析(BIA)を実施する。
C. 新技術の投資対効果(ROI)分析を行う。
D. 新技術が規制要件に適合するかどうかを判断する。
回答を見る
正解: B
質問 #234
経営陣が企業のビジネス戦略を変更する場合、既存の情報セキュリティ対策を評価し、新たな情報セキュリティ対策を選択するために使用すべきプロセスはどれか。
A. アクセス・コントロール管理
B. 変更管理
C. コンフィギュレーション管理
D. リスク管理
回答を見る
正解: D
質問 #235
サードパーティのサービスプロバイダが情報セキュリティ要件と期待事項を理解していることを組織が確認するための最も効果的な方法はどれか。
A. 第三者プロバイダーのサービス提供の監査
B. 情報セキュリティ条項の契約への盛り込み
C. 第三者要員への情報セキュリティトレーニングの提供
D. 第三者への守秘義務契約の義務付け
回答を見る
正解: B
質問 #236
情報セキュリティ・ポリシーに盛り込むべき最も重要な項目は何か?
A. 役割と責任の定義
B. セキュリティプログラムの範囲
C. セキュリティプログラムの主要目的
D. セキュリティプログラムの手順と基準への言及
回答を見る
正解: C
質問 #237
最近の買収後、情報セキュリティマネジャーは、買収プロセスの早い段階で報告された未解決のリスクに対処するよう要請された。このマネジャーがとるべき行動として、最も適切なものはどれか。
A. 未解決のリスクを買収組織のリスク登録簿に追加する。
B. 被買収企業の未解決リスクを再評価する。
C. 未解決のリスクに対するリスク治療計画を再評価する。
D. 買収した企業のインフラの脆弱性評価を実施する。
回答を見る
正解: B
質問 #238
組織におけるデータ管理者のセキュリティ責任には以下が含まれる:
A. 情報資産の保護全般を担う。
B. データ分類レベルの決定
C. 導入する製品にセキュリティ管理策を導入する。
D. セキュリティ対策がポリシーに合致していることを確認する。
回答を見る
正解: D
質問 #239
組織がサードパーティのITサービスプロバイダーとの関係を構築する際、セキュリティの観点から契約に盛り込むべき最も重要な項目はどれか。
A. 国際的なセキュリティ基準への準拠。
B. 二要素認証システムの使用。
C. 事業が中断した場合の代替ホットサイトの存在。
D. 組織の情報セキュリティ要件への準拠。
回答を見る
正解: D
質問 #240
特定のシステムが満たすべき最低限のセキュリティ要件を定義したものはどれか。
A. セキュリティ・ポリシー
B. セキュリティガイドライン
C. セキュリティ手順
D. セキュリティ・ベースライン
回答を見る
正解: A
質問 #241
新入社員へのアクセス許可プロセスを標準化し、組織のセキュリティ要件を満たすようにするための最も効果的な方法はどれか。
A. 情報セキュリティ管理者の承認を得て、必要に応じて個々のシステムに権限を付与する。
B. 新入社員のオリエンテーションにおいて、新入社員の管理者にアカウントの設定とアクセスに責任を持つことを義務付ける。
C. アカウントの承認と作成を、人事のオンボーディング手続きに組み込む。
D. 全従業員に対し、雇用時に制定されるアクセスレベルの標準テンプレートを採用する。
回答を見る
正解: C
質問 #242
情報セキュリティ戦略の効果的な実施に最も貢献するのはどれか。
A. セキュリティメトリクスの報告
B. 定期的なセキュリティ意識向上トレーニング
C. 経営幹部による承認
D. セキュリティ基準の実施
回答を見る
正解: C
質問 #243
情報セキュリティ・プログラムが新規制の要件を満たすようにするための最初のステップは、次のうちどれでしょうか。
A. 資産分類スキーマを検証する。
B. コンプライアンスをリスク管理プロセスに組み込む。
C. 組織のセキュリティ管理を評価する。
D. ギャップ分析を行い、必要な変更を決定する。
回答を見る
正解: B
質問 #244
大規模なワイヤレスネットワークを既存の有線ネットワークインフラに接続する場合、機密データを保護するのに最適なものはどれか?
A. 強制アクセス制御(MAC)アドレスフィルタリング
B. 強力なパスワード
C. 仮想プライベート・ネットワーク(VPN)
D. ファイアウォール
回答を見る
正解: A
質問 #245
コーポレートガバナンスと情報セキュリティガバナンスの効果的な連携を示す最も強力な指標はどれか。
A. 上級管理職が情報セキュリティ対策のスポンサーとなる。
B. 経営幹部が、定期的な情報セキュリティ更新を要求する。
C. コントロールの主要業績評価指標(KPI)はプラス傾向にある。
D. 情報セキュリティイニシアチブは、範囲、スケジュール、予算を満たす。
回答を見る
正解: C
質問 #246
あるグローバル組織が大量の個人データを処理し、保存しています。データアクセスポリシーを作成する上で、最も重要な属性は次のうちどれでしょうか?
A. 可用性
B. 完全性
C. 信頼性
D. 守秘義務
回答を見る
正解: D
質問 #247
情報セキュリティガバナンスフレームワークを策定する際、上級管理職の関与がない場合の主な影響はどれか。
A. リスク処理に関する説明責任が明確に定義されていない。
B. 情報セキュリティの責任が効果的に伝達されていない。
C. リソース要件が十分に考慮されていない。
D. 情報セキュリティ計画がビジネス要件をサポートしていない。
回答を見る
正解: C
質問 #248
情報セキュリティマネジャーが、新しい外部委託サービスの提案依頼書 (RFP)の作成を手伝っている。このため、サードパーティが重要なビジネス情報にアクセスできるようにする必要がある。セキュリティマネジャーは、以下の定義に主眼を置くべきである:
A. セキュリティ・メトリクス
B. サービス・レベル・アグリーメント(SLA)
C. リスク報告方法
D. アウトソーシングされるプロセスのセキュリティ要件
回答を見る
正解: A
質問 #249
ウェブアプリケーションのリスクを評価し、軽減した後、誰が残存するアプリケーションリスクの受け入れを決定すべきか?
A. 情報セキュリティ責任者
B. 最高情報責任者(CIO)
C. 事業主
D. 最高経営責任者(CFO)
回答を見る
正解: C
質問 #250
事業継続計画(BCP)のトリガーを定義しているのは、次のうちどれですか?
A. 災害復旧計画
B. 組織のニーズ
C. ギャップ分析
D. 情報セキュリティポリシー
回答を見る
正解: A
質問 #251
二要素認証システムの費用便益分析に含めるべき最も適切なものはどれか。
A. 事故の年間損失予想(ALE)
B. インシデントの頻度
C. 総所有コスト(TCO)
D. 承認されたプロジェクトの予算
回答を見る
正解: C
質問 #252
組織のリスクアペタイトに含まれるリスクはどれか。
A. コントロール
B. 固有
C. 残留
D. 監査
回答を見る
正解: C
質問 #253
コンピュータ・インシデント対応チーム(CIRT)が、ハッカーが企業ネットワークに侵入し、顧客情報を改ざんしたという明確な証拠を発見した場合、情報セキュリティ・マネジャーはまず、そのことを通知すべきである:
A. 情報セキュリティ運営委員会。
B. 影響を受ける可能性のある顧客
C. 影響を受ける可能性のあるデータ所有者
D. 規制-プライバシーを監督する機関
回答を見る
正解: C
質問 #254
リスクマネジメントプログラムの第一の目標はどれか。
A. 脅威に対する予防策を実施する。
B. 内在するリスクのビジネスへの影響を管理する。
C. 組織の方針の遵守を管理する。
D. 組織のリスク選好度を下げる。
回答を見る
正解: B
質問 #255
リスク管理プログラムが最も効果的なのは、次のような場合である:
A. リスク選好度が長期間持続する。
B. リスクアセスメントは定期的に繰り返される
C. リスク評価は第三者によって実施される。
D. 事業部門はリスク評価に関与する。
回答を見る
正解: D
質問 #256
リスク治療計画を作成する際、リスクを軽減するための選択肢を検討する際に最も重要な考慮事項はどれか。
A. 費用便益分析
B. ユーザーの受け入れ
C. ビジネスインパクト分析(BIA)
D. 制御識別
回答を見る
正解: A
質問 #257
外部委託されたベンダーが、ある組織のビジネスクリティカルなデータを扱っている。顧客組織がベンダーのセキュリティ対策について保証を得るための最も効果的な方法はどれか。
A. ベンダーのセキュリティ認証の確認
B. ベンダーのセキュリティ監査報告書のレビュー
C. 独立した第三者による定期的なレビューの義務付け
D. ベンダーへの事業継続計画(BCP)の要求
回答を見る
正解: C
質問 #258
IT資産の評価は、以下の方法で行うべきである:
A. ITセキュリティマネージャー。
B. 独立系のセキュリティ・コンサルタント。
C. 最高財務責任者(CFO)。
D. 情報所有者
回答を見る
正解: D
質問 #259
公開鍵暗号を使用して、メッセージの認証、機密性、否認防止を保証するものはどれか。
A. 最初に受信者の秘密鍵で暗号化し、次に送信者の公開鍵で暗号化する。
B. 送信者の秘密鍵で暗号化し、受信者の公開鍵で暗号化する。
C. 送信者の秘密鍵で暗号化し、送信者の公開鍵で復号化する。
D. 送信者の公開鍵で暗号化し、受信者の秘密鍵で暗号化する。
回答を見る
正解: B
質問 #260
内部統制監査により、レガシーシステムに関連する統制の不備が発見され、その代償統制はもはや有効ではないと思われる。情報セキュリティマネジャーが統制の不備を解決するためのセキュリティ要件を決定する上で、最も役立つのはどれか。
A. リスク評価
B. ギャップ分析
C. 費用便益分析
D. ビジネスケース
回答を見る
正解: B
質問 #261
ある組織はすでに国際的なセキュリティ規格の認証を受けている。新たなビジネスニーズに応じて、組織を他のデータセキュリティ規制要件に適合させるのに最も役立つ仕組みはどれでしょうか。
A. 主要業績評価指標(KPI)
B. ビジネスインパクト分析(BIA)
C. ギャップ分析
D. 技術的脆弱性評価
回答を見る
正解: C
質問 #262
リスクが組織の許容範囲内にあるかどうかを判断する上で、経営陣にとって最も役に立つのはどれか。
A. 監査結果
B. ヒートマップ
C. 侵入テストの結果
D. 成熟度
回答を見る
正解: B
質問 #263
非武装地帯(DMZ)内に置くべきデバイスはどれか。
A. ネットワーク・スイッチ
B. ウェブサーバー
C. データベースサーバー
D. ファイル/プリントサーバー
回答を見る
正解: B
質問 #264
組織内でデータ分類を実施するための主な前提条件は、次のうちどれですか?
A. 職務上の役割の定義
B. リスクアセスメントの実施
C. データ所有者の特定
D. データ保持ポリシーの確立
回答を見る
正解: C
質問 #265
以下のうち、派遣社員に過剰なアクセス権を与えないようにするための最善の方法は、次のとおりである:
A. 強制的なアクセス制御。
B. 裁量的アクセス制御。
C. 格子ベースのアクセス制御。
D. 役割ベースのアクセス制御
回答を見る
正解: D
質問 #266
情報セキュリティリスクの許容レベルは、以下によって決定されるべきである:
A. 法律顧問。
B. セキュリティ管理
C. 外部監査人
D. ダイ・ステアリング・コミッティー
回答を見る
正解: D
質問 #267
コンソールまたはオペレーションエリアからの偶発的なシステムシャットダウンを防止するためのコントロールは、次のうちどれがBESTでしょうか?
A. 冗長電源
B. 保護スイッチカバー
C. シャットダウンアラーム
D. バイオメトリックリーダー
回答を見る
正解: B
質問 #268
あるISマネージャーが、インターネットへのアクセスを監視し、多数のサイトへのアクセスを防止するセキュリティシステムの導入を決定した。導入後すぐに、従業員からITヘルプデスクに、インターネットサイトで業務が行えないという苦情が殺到した。これはその一例である:
A. セキュリティ管理と組織のニーズが相反している。
B. 情報資源の強力な保護
C. リスクを軽減するために適切な管理策を実施する。
D. 情報セキュリティの保護能力を証明する。
回答を見る
正解: A
質問 #269
セキュリティ意識の第一の目的は、以下のとおりである:
A. セキュリティポリシーを確実に理解する。
B. 従業員の行動に影響を与える。
C. 法的規制の遵守
D. 不適合に対する措置を通知する。
回答を見る
正解: B
質問 #270
リスク登録簿の最も効果的な使い方は、以下のとおりである:
A. リスクを特定し、軽減のための役割と責任を割り当てる。
B. 脅威と確率を特定する。
C. 定期的に、すべてのIT関連リスクの徹底的な見直しを促進する。
D. リスクによる予想損失の年換算額を計上する。
回答を見る
正解: C
質問 #271
ある組織の侵入検知システム(IDS)のパフォーマンスを見直す際に、最も懸念される傾向はどれか。
A. 偽陰性の減少
B. 偽陽性の増加
C. 偽陽性の減少
D. 偽陰性の増加
回答を見る
正解: D
質問 #272
情報が不正な開示から保護されることを保証するセキュリティ目標は、次のうちどれに該当しますか?
A. 真正性
B. 守秘義務
C. 否認防止
D. 完全性
回答を見る
正解: B
質問 #273
情報セキュリティ戦略の策定において、復旧時間目標(RTO)は以下の指標となる:
A. 経営陣によるサポート
B. オープンな脆弱性
C. リスク許容度
D. 成熟度
回答を見る
正解: C
質問 #274
地理的に分散した組織全体で分散化された情報セキュリティ管理の特徴はどれか。
A. サービス品質の均一化
B. ポリシーの遵守
C. 事業部門のニーズとの整合性向上
D. 総営業コストの削減
回答を見る
正解: C
質問 #275
情報セキュリティプログラムの付加価値を示すものとして、最も適切なものはどれか。
A. セキュリティ・ベースライン
B. SWOT分析
C. ギャップ分析
D. バランススコアカード
回答を見る
正解: B
質問 #276
ある多国籍企業が、個人所有のデバイスにモバイルデバイス管理(MDM)ソフトウェアのインストールを義務付けるBYOD(Bring Your Own Device)ポリシーを策定しました。次のうち、警察を実施する上で最も大きな課題はどれですか。
A. 従業員のデータプライバシー権の変化
B. 方針の翻訳と伝達
C. モバイルOSプラットフォームの違い
D. 企業文化の違い
回答を見る
正解: C
質問 #277
大規模なグローバル企業において、新しいセキュリティインフラの設計と実装のスポンサーとして最も適切な役職はどれか。
A. 最高セキュリティ責任者(CSO)
B. 最高執行責任者(COO)
C. チーフ・プライバシー・オフィサー(CPO)
D. 最高法務責任者(CLC)
回答を見る
正解: B
質問 #278
企業全体の情報セキュリティ・プログラムの導入を成功させるために最も重要な要因は何ですか?
A. 現実的な予算の見積もり
B. セキュリティ意識
C. 上級管理職のサポート
D. 作業係数の再計算
回答を見る
正解: C
質問 #279
データ損失防止(DLP)システムを導入する前に、必ず確立しなければならないのはどれか。
A. プライバシー影響評価
B. データバックアップポリシー
C. データの分類
D. データ復旧ポリシー
回答を見る
正解: C
質問 #280
統制目的を定義する際に考慮すべき最も重要なものはどれか。
A. 現在の残存リスクレベル
B. 組織の戦略目標
C. 最近の監査による管理勧告
D. 組織のリスク選好度
回答を見る
正解: B
質問 #281
最高情報セキュリティ責任者(CISO)は情報セキュリティ戦略を策定したが、戦略を実施するための資金について、経営幹部のコミットメントを得るのに苦労している。
A. 戦略には費用便益分析が含まれていない。
B. CISOはCIOの直属です。
C. 開発中、ビジネスとの関わりが不足していた。
D. その戦略はセキュリティ基準に準拠していない。
回答を見る
正解: A
質問 #282
システムのセキュリティを強化するためのオペレーティングシステム(OS)の非重要パッチが、重要なアプリケーションがその変更に対応していないため、適用できません。最善の解決策はどれか。
A. アップグレードしたオペレーティング・システムに適合するようにアプリケーションを書き直す。
B. パッチをインストールしなかったことを緩和策で補う。
C. アプリケーションを特権状態で実行できるようにパッチを変更する。
D. テストプラットフォーム上でアプリケーションを実行する。
回答を見る
正解: B
質問 #283
緊急セキュリティパッチを電子メールで受信した場合、そのパッチはFIRSTでなければならない:
A. 隔離されたテストマシンにロードされる。
B. デコンパイルして悪意のあるコードがないかチェックする。
C. 真正性を保証するために検証される。
D. 改ざんを防ぐため、ライトワンスメディアにコピーした。
回答を見る
正解: C
質問 #284
リスクを評価した後、そのリスクを治療するかどうかの決定は、第一に以下の点に基づくべきである:
A. 財源の有無。
B. リスクのレベルがリスク選好度を上回っているかどうか。
C. リスクのレベルが内在するリスクを上回っているかどうか。
D. リスクの重大性
回答を見る
正解: B
質問 #285
ある情報セキュリティマネジャーが、オンラインバンキングのアプリケーションに新たな脆弱性が存在することを知らされた。情報セキュリティマネジャーがとるべき最も重要な行動は、次のとおりである:
A. リスクを評価し、上級管理職に助言する。
B. 軽減策を特定し、実施する。
C. アプリケーションシステムをオフラインモードで実行する。
D. ビジネスインパクト分析(BIA)を実施する。
回答を見る
正解: A
質問 #286
提供された情報に基づき、複数の、しかし小規模な国内処理拠点を持つ組織にとって、最も大きな情報セキュリティリスクとなる状況はどれか。
A. システム運用手順が実施されていない
B. 変更管理手順が不十分
C. システム開発のアウトソーシング
D. システムの容量管理が行われていない
回答を見る
正解: B
質問 #287
特定のビジネス・アプリケーションに必要な情報セキュリティのレベルを決定する最も適切な人物は、そのアプリケーションの担当者である:
A. システム開発者。
B. 情報セキュリティマネージャー
C. ステアリング委員会
D. システムデータの所有者
回答を見る
正解: D
質問 #288
経験の浅い情報セキュリティマネジャーが、内部監査部門に主要なセキュ リティ管理の設計と実装を任せている。最も大きなリスクはどれか。
A. 不適切な統制の実施
B. 利益相反
C. 監査憲章違反
D. 不十分な監査スキル
回答を見る
正解: B
質問 #289
情報セキュリティマネージャーは、組織がランサムウェア攻撃を受けたのではないかと疑っています。まず何をすべきでしょうか?
A. 上級管理職に通知する。
B. 従業員に攻撃を警告する。
C. 感染を確認する。
D. 影響を受けるシステムを隔離する。
回答を見る
正解: C
質問 #290
侵入検知システム(IDS)を導入する際、最も重要な考慮事項はどれか。
A. チューニング
B. パッチ
C. 暗号化
D. パケットフィルタリング
回答を見る
正解: A
質問 #291
情報セキュリティとビジネス機能の整合性を確保する上で、最も効果的なのはどれか。
A. 情報セキュリティポリシーの策定
B. 情報セキュリティガバナンス委員会の設置
C. セキュリティ意識向上プログラムの確立
D. 情報セキュリティ対策のための資金提供
回答を見る
正解: B
質問 #292
情報セキュリティ・ガバナンスを実施する際、組織は、まず最初に、「情報セキュリティ・ガバナンスの実施に関する基本的な考え方」を確認する必要がある:
A. セキュリティ基準を採用する。
B. セキュリティのベースラインを決定する。
C. セキュリティ戦略を定義する。
D. セキュリティポリシーを確立する。
回答を見る
正解: C
質問 #293
次のうち、情報セキュリティ戦略の更新を促す可能性が最も高いのはどれか。
A. 最近のペネトレーションテストにより、管理上の弱点が発見されました。
B. 主要なビジネスアプリケーションがアップグレードされた。
C. 経営陣は、新たなテクノロジーを導入することを決定した。
D. 新しい最高技術責任者が採用されました。
回答を見る
正解: C
質問 #294
データ分類スキームを確立する第一の理由は、識別することである:
A. データの所有権
B. データ保持戦略
C. 適切なコントロール
D. 復興の優先順位
回答を見る
正解: C
質問 #295
組織の情報セキュリティリソースの結束力を維持するために最も役立つのはどれか。
A. 情報セキュリティ・アーキテクチャ
B. セキュリティ・ギャップ分析
C. ビジネスインパクト分析
D. 情報セキュリティ運営委員会
回答を見る
正解: A
質問 #296
パスワードの再設定が必要な正規の個人を装って、不正な個人がコンピューティング・リソースにアクセスする可能性を最も減らすことができるのは、次のうちどれでしょう?
A. パスワードリセットのレビューの実施
B. セキュリティ意識向上プログラムの実施
C. パスワードの変更頻度を増やす
D. 自動パスワード構文チェックの実装
回答を見る
正解: B
質問 #297
個人所有のモバイルデバイスを企業の電子メールシステムに接続する場合、最も効果的なデータ損失対策はどれか。
A. 電子メールは、モバイルデバイス上に暗号化された形式で保存する必要があります。
B. 公共のWi-Fiホットスポットに接続しているときは、電子メールの同期を防止する必要があります。
C. 各接続はシニアマネージャーが承認しなければならない。
D. ユーザーは、モバイルデバイスを紛失した場合、そのデバイスが消去されることに同意する必要があります。
回答を見る
正解: D
質問 #298
経営陣の承認を得るために提出する年間情報セキュリティ予算に含めるべきものはどれか。
A. 予算資源の費用便益分析
B. ビジネスが推奨するすべてのリソース
C. 総所有コスト(TCO)
D. ベースライン比較
回答を見る
正解: A
質問 #299
新しいシステムのセキュリティ設定を実装する際に考慮すべき最も重要なものはどれか。
A. 内部監査および外部監査の結果
B. 政府規制と関連罰則
C. 事業目標と関連するITリスク
D. 事業に適用される業界のベストプラクティス
回答を見る
正解: C
質問 #300
セキュリティー監視の仕組みは、第一義的にそうあるべきである:
A. ビジネスクリティカルな情報に焦点を当てる。
B. オーナーが管理リスクを管理するのを支援する。
C. ネットワーク侵入の検出に重点を置く。
D. すべてのセキュリティ違反を記録する。
回答を見る
正解: A
質問 #301
フォレンジック調査を行う際に最も重要なのはどれか?
A. 分析ステップの文書化
B. フルシステムイメージのキャプチャ
C. チェーン・オブ・カストディの維持
D. システムメモリの分析
回答を見る
正解: C
質問 #302
災害復旧計画が策定されたら、次のどの作業を行うべきか?
A. ビジネスインパクトの分析
B. 対応チームの役割を明確にする
C. テスト計画の策定
D. 復旧時間目標(RTO)の特定
回答を見る
正解: B
質問 #303
リスクを適切に軽減するための予防策が実行不可能な場合、情報セキュリティマネジャーが行うべき最も重要な行動はどれか。
A. 脆弱性を評価する。
B. 影響を管理する。
C. 潜在的な脅威を評価する。
D. 許容できないリスクレベルを特定する。
回答を見る
正解: D
質問 #304
災害復旧計画を策定する際、システムを復旧させる順番に優先順位をつけるのに最も役立つのはどれか。
A. ビジネスインパクト分析(BIA)の実施
B. 各システムのデータ量の測定
C. 情報セキュリティポリシーの見直し
D. 事業戦略の見直し
回答を見る
正解: A
質問 #305
情報セキュリティ・ガバナンスの導入を成功させるためには、FIRSTが必要である:
A. セキュリティ意識向上トレーニング
B. セキュリティポリシーを更新した。
C. コンピュータ事故管理チーム
D. セキュリティアーキテクチャ
回答を見る
正解: B
質問 #306
自国を拠点とする電子商取引に携わる企業が、セキュリティ法の厳しい他国に新オフィスを開設した。このようなシナリオでは、全体的なセキュリティ戦略は以下のようなものでなければならない:
A. リスクアセスメントの結果。
B. 国際的なセキュリティ基準
C. 最も厳しい要件
D. セキュリティ組織の構造
回答を見る
正解: D
質問 #307
セキュリティリスク評価の実施は、定期的に繰り返すべきである:
A. ビジネスの脅威は常に変化している。
B. 以前の評価における漏れに対処することができる。
C. 繰り返し評価することで、さまざまな方法論が可能になる。
D. ビジネスにおけるセキュリティー意識の向上に貢献している。
回答を見る
正解: A
質問 #308
次のうち、外部委託したクラウドプロバイダーとの契約に関連するセキュリティリスクを評価する第一義的な責任を負うべき者は誰か。
A. 情報セキュリティ管理者
B. コンプライアンス・マネージャー
C. 最高情報責任者
D. サービス・デリバリー・マネージャー
回答を見る
正解: D
質問 #309
情報セキュリティプログラムリソースの配分に悪影響を及ぼす規制に対処するための最 善の選択肢はどれか。
A. 蓋然性に基づき、コンプライアンスへの取り組みに優先順位をつける。
B. 同業組織のコンプライアンスレベルを判断する。
C. コンプライアンス活動の実施を遅らせる。
D. 経営判断のための評価の実施
回答を見る
正解: D
質問 #310
情報セキュリティプログラムの成熟度レベルを決定するためのアプローチとして、最も適切なものはどれか。
A. 主要業績評価指標(KPI)の評価
B. 第三者によるレビュー
C. 内部監査結果のレビュー
D. 自己評価を行う
回答を見る
正解: A
質問 #311
経営陣にネットワーク・セキュリティの重要性を強調するために、セキュリティ・マネジャーはFIRSTを行うべきである:
A. セキュリティアーキテクチャを開発する。
B. ネットワーク侵入検知システム(NIDS)を導入し、攻撃リストを作成する。
C. ネットワークセキュリティポリシーを策定する。
D. リスクアセスメントを実施する。
回答を見る
正解: D
質問 #312
情報セキュリティ管理者が組織の情報セキュリティ戦略の包括性を判断するために最も有効なものはどれか。
A. ビジネスインパクト分析
B. 組織のリスク選好度
C. 独立セキュリティ監査
D. セキュリティリスク評価
回答を見る
正解: A
質問 #313
統計的異常ベースの侵入検知システム(スラットIDS)がシグネチャベースのIDSよりもあまり一般的に使用されていない最も重要な理由は、スタットIDSにある:
A. シグネチャベースのIDSよりもオーバーヘッドが大きい。
B. システム変数の小さな変更によって誤検出を引き起こす。
C. ユーザーやシステムのさまざまなアクションによって、誤ったアラームが発生する。
D. 新しいタイプの攻撃を検知できない。
回答を見る
正解: C
質問 #314
契約要員が機密情報に不正にアクセスすることがないようにするため、情報セキュリ ティマネージャーは、まず第一に以下のことを行うべきである:
A. アカウントの有効期限を6ヶ月以内に設定する。
B. システム管理ロールの付与を避ける。
C. 身辺調査に合格したことを確認する。
D. アクセスがデータ所有者によって承認されていることを確認する。
回答を見る
正解: B
質問 #315
新たに導入されたセキュリティ情報・イベント管理(SIEM)基盤を使用する場合、最初に考慮すべきことはどれか。
A. 保持
B. チューニング
C. 暗号化
D. 報告書の配布
回答を見る
正解: D
質問 #316
ある組織が、その業界の新しい規制への不遵守から生じる潜在的なリスクを発見した。この状況を上級管理職に報告する最も重要な理由は、次のうちどれですか?
A. リスクプロファイルを更新する必要がある。
B. リスクの外部評価を実施する必要がある。
C. 具体的なモニタリング管理を実施する必要がある。
D. ベンチマーク分析を行う必要がある。
回答を見る
正解: A
質問 #317
サードパーティとの契約交渉において、組織のセキュリティ上の懸念に対処する最も効果的な方法はどれか。
A. 組織の法務部門と第三者契約を見直す。
B. サードパーティベンダーとセキュリティポリシーを共有する。
C. 調達プロセスにセキュリティが関与していることを確認する。
D. サードパーティベンダーの情報セキュリティ監査を実施する。
回答を見る
正解: B
質問 #318
セキュリティガバナンスフレームワークの実装によってもたらされる可能性が最も高い結果は、 次のうちどれか。
A. 情報システムの可用性の向上
B. 国際基準の遵守
C. 情報セキュリティ対策から得られるビジネス価値の実現
D. 情報セキュリティ対策のコスト削減
回答を見る
正解: C
質問 #319
サードパーティとの既存の契約に、組織の重要なデータを保護するための要件が明確に示されていないことを知った場合、情報セキュリティマネジャーは何を推奨するのがベストだろうか?
A. 業務委託契約を解除する。
B. リスクをプロバイダーに移転する。
C. 既存の契約の補遺を作成する。
D. プロバイダーのデータセンターの外部監査を開始する。
回答を見る
正解: C
質問 #320
セキュリティ管理業務をアウトソーサーと契約する場合、最も重要な契約要素は、その契約内容である:
A. 解雇権条項。
B. 責任の制限。
C. サービスレベル合意(SLA)。
D. 財務上の罰則条項
回答を見る
正解: C
質問 #321
ある企業が、データキャプチャにワイヤレスデバイスの導入を必要とする新しい自動化システムを検討している。無線は承認された技術ではないが、上級管理職はリスクを受け入れ、技術と提案されたソリューションを評価するための概念実証(POC)を承認した。情報セキュリティマネジャーがとるべき行動として、最も適切なものはどれか。
A. 提案ソリューションのサンドボックス化
B. 要員にワイヤレス・セキュリティ・トレーニングを提供する。
C. 無線侵入検知システム(IDS)の導入
D. 企業ワイヤレス標準の開発
回答を見る
正解: A
質問 #322
あるミッションクリティカルなシステムが、権限と名前のロックと変更を防止する属性を持つ管理システムアカウントを持っていることが確認された。このアカウントのブルートフォース(総当たり)攻撃を防ぐための最善の方法はどれか。
A. システムがリモートアクセスされないようにする。
B. 強力なランダムパスワードを作成する
C. ベンダーのパッチを求める
D. 監査証跡によるアカウントの使用状況の追跡
回答を見る
正解: B
質問 #323
組織の誰が情報を分類する責任を持つのか?
A. データ管理者
B. データベース管理者
C. 情報セキュリティ責任者
D. データ所有者
回答を見る
正解: D
質問 #324
情報セキュリティ・マネジャーは、情報セキュリティとビジネス・オペレーションの関係を理解しなければならない:
A. 組織の目標をサポートする。
B. 不適合の可能性が高い分野を特定する。
C. 妥協がもたらす可能性のある影響を評価する。
D. 事業に対する脅威を理解する。
回答を見る
正解: A
質問 #325
エクストラネット・サーバーを設置すべきである:
A. ファイアウォールの外側。
B. ファイアウォール・サーバー上
C. スクリーニングされたサブネット上
D. 外部ルーター
回答を見る
正解: C
質問 #326
あるプロジェクトマネージャが開発者向けポータルを開発しており、セキュリティマネージャに、社内のスタッフや社外のコンサルタントが組織のローカルエリアネットワーク(LAN)外にアクセスできるように、パブリックIPアドレスを割り当てるよう依頼している。セキュリティマネジャーはまず何をすべきでしょうか?
A. 開発者ポータルのビジネス要件を理解する
B. 開発者ポータルの脆弱性評価を実施する
C. 侵入検知システム(IDS)の導入
D. サーバーへの外部アクセスを許可する前に、外部のコンサルタントから署名入りの秘密保持契約書(NDA)を入手する。
回答を見る
正解: A
質問 #327
事業部の情報システムでクレジットカード・データを取り扱うためのセキュリティ・プロセスを策定する場合、情報セキュリティ・マネージャーは、FIRST:
A. クレジットカード情報に関する企業ポリシーを確認する。
B. クレジットカード会社のセキュリティ要件を実施する。
C. クレジットカードデータを扱うシステムがセグメント化されていることを確認する。
D. 安全な支払いを処理するための業界のベストプラクティスを検討する。
回答を見る
正解: A
質問 #328
情報セキュリティマネジャーが、規制要件を満たすための改善活動に優先順位をつけるのに最も役立つのはどれか。
A. 能力成熟度モデル・マトリックス
B. コンプライアンス違反の年間損失予想(ALE)
C. 関連コントロールのコスト
D. IT戦略との整合性
回答を見る
正解: D
質問 #329
次のうち、一般的に組織に最も大きな悪影響を与えるのはどれか?
A. コンピュータ・ソフトウェアの窃盗
B. 公共サービスの中断
C. 顧客の信頼喪失
D. 金銭的損失をもたらす内部不正
回答を見る
正解: C
質問 #330
あるグローバルな金融機関が、リスクアセスメントチームによって発見されたサービス拒否(DoS)リスクについて、これ以上の対策を講じないことを決定した。彼らがこの決定を下した最も可能性の高い理由は、以下の通りである:
A. このようなリスクが発生しないよう、十分な保護措置が講じられている。
B. 必要な対策が複雑すぎて展開できない。
C. 対策費用が資産の価値と潜在的損失を上回る。
D. リスクが発生する可能性は不明である。
回答を見る
正解: C
質問 #331
優れたセキュリティ・ポリシーの最も重要な特徴は、以下のとおりである:
A. ITマネジメントへの期待
B. 一般的な安全保障の義務付けを1つだけ述べる。
C. 組織の目標と一致している。
D. 手続きやガイドラインの作成を管理する。
回答を見る
正解: C
質問 #332
ビジネスプロセスオーナーによって管理されているアプリケーションレベルのセキュリティ管理が不十分であることが判明した場合、現在の実務を改善できるベストはどれか。
A. セキュリティ管理の一元化
B. コンプライアンス違反に対する制裁の実施
C. IT管理者によるポリシーの実施
D. 定期的なコンプライアンスレビュー
回答を見る
正解: A
質問 #333
セキュリティ意識向上プログラムは、次のようなものでなければならない:
A. トップマネジメントの視点を提示する。
B. 特定のエクスプロイトの詳細を扱う。
C. 特定のグループや役割に対処する。
D. 警備部門の手続きを推進する。
回答を見る
正解: C
質問 #334
組織がデータ分類プロセスを開始するとき、情報セキュリティ管理者の主な役割はどれか。
A. 資産が適切に分類されていることを検証する。
B. 特定の分類に従ってセキュリティを適用する。
C. 実施する分類構造を定義する。
D. 資産分類レベルを割り当てる。
回答を見る
正解: C
質問 #335
情報セキュリティ月次報告書に記載する内容として、最も重要なものはどれか。
A. セキュリティメトリクスの傾向分析
B. 脅威インテリジェンス
C. セキュリティ・インシデントの根本原因分析
D. リスク評価結果
回答を見る
正解: A
質問 #336
情報セキュリティ・ガバナンスの主な目的は以下の通りである:
A. 技術の制約。
B. 規制要件
C. 訴訟の可能性
D. ビジネス戦略。
回答を見る
正解: D
質問 #337
ユニバーサルシリアルバス(USB)ストレージデバイスへのデータの不正ダウンロードを防止するために、組織が実施できる最も実用的な制御はどれか。
A. 二要素認証
B. ドライブの使用制限
C. 強力な暗号化
D. 懲戒処分
回答を見る
正解: B
質問 #338
ある企業が、重要なビジネス・アプリケーションの1つをクラウド・ホスティング・サービスに移行することを検討している。クラウドプロバイダーは、このアプリケーションに対して、組織と同レベルのセキュリティを提供しない可能性がある。次のうち、セキュリティ体制を維持するために最も有効な情報はどれでしょうか。
A. リスク評価
B. クラウドセキュリティ戦略
C. 脆弱性評価
D. リスク・ガバナンスの枠組み
回答を見る
正解: A
質問 #339
ある情報セキュリティマネジャーが、ある組織の情報セキュリティプログラムの主要リスク指標(KRI)を評価している。次のうち、情報セキュリティマネジャーが最も懸念するのはどれでしょうか?
A. アラートのトリガーとなるしきい値の未定義
B. 単一の管理プロセスに対する複数のKRI
C. 質的尺度の使用
D. ITマネジメントからの正式なKRI承認の欠如
回答を見る
正解: A
質問 #340
強力なパスワードポリシーの導入は、ある組織の今年の情報セキュリティ戦略の一部である。ある事業部門は、この戦略が最近開発されたモバイルアプリケーションの顧客の導入に悪影響を及ぼす可能性があると考え、ポリシーを導入しないことを決定した。情報セキュリティマネジャーが取るべき行動として最も適切なものはどれか。
A. 方針を実施しない場合のリスクと影響を分析する。
B. モバイルアプリケーションのパスワードポリシーを策定し、実施する。
C. 方針の不実施を上級管理職に報告する。
D. 類似のモバイルアプリケーションとベンチマークを行い、ギャップを特定する。
回答を見る
正解: C
質問 #341
データ保持ポリシーを定義する際、最も重要な基準はどれか。
A. 容量要件
B. 監査結果
C. 規制要件
D. 業界のベストプラクティス
回答を見る
正解: C
質問 #342
情報セキュリティ管理者が、情報セキュリティ管理への投資に関するビジネスケースを作成する。最初のステップは以下のとおりである:
A. ベンダーの価格設定を調査し、コスト効率を示す。
B. 組織への潜在的な影響を評価する。
C. 警備スタッフの生産性向上を実証する
D. セキュリティ対策に対する監査の賛同を得る
回答を見る
正解: B
質問 #343
新しい情報セキュリティポリシーを策定する際の情報セキュリティ管理者のアプローチとして、最も適切なものはどれか。
A. ステークホルダー・マップを作成する。
B. 業界標準を参照する。
C. 情報セキュリティガバナンス委員会を設置する。
D. ポリシーのテンプレートをダウンロードする。
回答を見る
正解: C
質問 #344
クリティカルなビジネスアプリケーションの復旧時間目標(RTO)を設定する際、何を第一に考えるべきか?
A. ビジネスインパクト分析(BIA)の結果
B. 関連ビジネスベンチマーク
C. リスク評価結果
D. 法的規制要件
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.