すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

最新CISM模擬試験と試験問題集2024, 情報セキュリティ管理者認定試験|SPOTO

弊社の2024年度最新版CISM模擬試験および試験問題集でISACA CISM試験の準備を万全にしましょう。当社の綿密に作成された教材は、情報セキュリティガバナンス、リスク管理、インシデント管理、規制遵守などの主要なトピックをカバーしており、試験の準備を万全にすることができます。試験問題と解答を含む包括的な試験準備リソースにアクセスして、スキルと知識を磨いてください。信頼できない情報源に別れを告げ、SPOTOで信頼できる試験練習を取り入れましょう。SPOTOの試験シミュレーターで、試験環境をシミュレートし、受験戦略を効果的に磨くことができます。サンプル問題や模擬試験が必要な場合でも、SPOTOは成功に必要なツールを提供します。まずは無料体験で模擬試験の質を実感し、試験対策をレベルアップさせましょう。
他のオンライン試験を受ける

質問 #1
ある組織には、ベンダーの使用を伴うプロセスがある。プロセスの開発中にリスクアセスメントが完了した。導入から1年後、別のベンダーの使用を金銭的に決定した。もし何か起こるとすれば、それは何だろうか?
A. 開発中にリスクアセスメントが完了しているので、何もない。
B. 脆弱性評価を実施すべきである。
C. 新たなリスクアセスメントを実施すべきである。
D. 新しいベンダーのSAS70タイプⅡ報告書をレビューすべきである。
回答を見る
正解: C
質問 #2
ビジネスクリティカルなアプリケーションで、少人数による昇格特権への共有アクセスが必要な場合、適切な職務分掌を実施するための最善のアプローチは、以下のとおりである:
A. 個々の機能へのアクセスを、個々のユーザーにのみ許可できるようにする。
B. アプリケーションにロールベースのアクセス制御を実装する。
C. 相反する職務の分離を保証するマニュアル手順を実施する。
D. 許可されたチームメンバーのみが使用できるサービスアカウントを作成する。
回答を見る
正解: B
質問 #3
リスクアセスメントでは、組織資産に対する脅威を特定した後、情報セキュリティ管理者は以下のことを行う:
A. 現在実施されている管理体制を評価する。
B. 目標リスクレベルを達成するための管理策を実施する。
C. 安全保障プログラムへの資金提供を要請する。
D. 上層部に報告すべき脅威を決定する。
回答を見る
正解: A
質問 #4
セキュリティリスク評価は、以下のような情報資産のみを対象とすべきである:
A. は分類され、ラベルが貼られている。
B. 組織内部にいる。
C. ビジネスプロセスをサポートする。
D. 有形の価値がある。
回答を見る
正解: A
質問 #5
バーチャル・プライベート・ネットワーク(VPN)トンネリングの利点は、リモート・ユーザーにある:
A. 通信の安全性を確保するのに役立つ。
B. 多階層システム間のセキュリティを高める。
C. パスワードの変更頻度を減らすことができる。
D. 二次認証が不要になる。
回答を見る
正解: A
質問 #6
セキュリティ意識向上トレーニングは、次のうちどれにつながる可能性が最も高いか?
A. 侵入インシデントの減少
B. 報告件数の増加
C. セキュリティ・ポリシー変更の減少
D. アクセスルール違反の増加
回答を見る
正解: B
質問 #7
ある情報セキュリティマネジャーが、開発フェーズに入ったセキュリ ティプロジェクトのビジネスケースを見直している。ある情報セキュリ ティマネージャが、開発フェーズに入ったセキュリティプロジェクトのビジネ スケースをレビューしている。情報セキュリティマネジャーは、次のことを推奨する:
A. プロジェクトスコープからコントロールの一部を除外する。
B. 他の取り組みのために資金を放出するため、プロジェクトを中止する。
C. 便益がコストをカバーするまでプロジェクトを推進する。
D. プロジェクトのペースを落とし、コストを長期に分散させる。
回答を見る
正解: C
質問 #8
最高情報セキュリティ責任者(CISO)は情報セキュリティ戦略を策定したが、その戦略を実施するための資金を上層部から得ることに苦慮している。その理由として最も考えられるのは、次のうちどれでしょうか。
A. 戦略には費用便益分析が含まれていない。
B. CISOはCIOの直属です。
C. 開発中、ビジネスとの関わりが不足していた。
D. その戦略はセキュリティ基準に準拠していない。
回答を見る
正解: C
質問 #9
ある組織が、従業員が組織のネットワーク上で自分のデバイスを使用できるようにすることを計画している。情報セキュリティマネジャーが取るべき行動として、最も適切なものはどれか。
A. 自動化ソフトウェアの導入
B. 関連リスクの評価
C. 意識向上トレーニングの実施
D. セキュリティポリシーを更新する
回答を見る
正解: B
質問 #10
企業の情報セキュリティ意識向上プログラムを立ち上げる上で、最も重要な成功要因は何ですか?
A. 十分な予算支援
B. プログラムの集中管理
C. トップダウン・アプローチ
D. アウェアネス・トレーナーの経験
回答を見る
正解: C
質問 #11
個人所有デバイスの持ち込み(BYOD)プログラムにおいて、紛失時に会社のデータを保護するために最も重要な考慮事項は次のうちどれでしょうか。
A. 遠隔操作で機器の位置を特定する機能
B. デバイスを一元管理する機能
C. 承認されていないアプリケーションを制限する機能 デバイスの種類を分類する機能 B
A. サプライチェーンにおけるリスク削減能力
B. 業界のコンプライアンス要件を満たす能力
C. サービス・レベル・アグリーメント(SLA)を定義する能力
D. ベンダーのパフォーマンスを向上させる能力
回答を見る
正解: A
質問 #12
次のうち、組織の資産分類プログラムの使いやすさに最も直接的な影響を与えるものはどれですか?
A. 階層における分類の粒度
B. 組織のリスク登録の更新頻度
C. 組織の事業目的
D. 分類スキームに対する上級管理職の支持
D.
回答を見る
正解: A
質問 #13
電子メールシステムにアクセスするための初期パスワードを新規ユーザーに提供する方法として、最も適切なものはどれか。
A. システムで生成された複雑なパスワード(有効期限30日)。
B. ダミーのパスワードを電話で伝える。
C. パスワードは不要だが、10日以内に自分で設定するよう強制する。
D. 初期パスワードをユーザーIDと同じに設定する。
回答を見る
正解: B
質問 #14
リカバリサイトを選択する際に、最も考慮すべきことは次のうちどれですか?
A. 規制要件
B. 回復時間の目標
C. 地理的位置
D. リカバリーポイント目標
回答を見る
正解: A
質問 #15
情報セキュリティリスクを最小化するための管理策を選択するアプローチとして、最も適切なものはどれか。
A. 費用便益分析
B. 制御効果
C. リスク評価
D. 業界のベストプラクティス
回答を見る
正解: C
質問 #16
次のうち、セキュリティポリシーを確立するためのステップはどれか。
A. プラットフォーム・レベルのセキュリティ・ベースラインの策定
B. RACIマトリックスの作成
C. ポリシーの策定と維持のためのプロセスを導入する。
D. ネットワークの設定パラメータを作成する
回答を見る
正解: A
質問 #17
機密情報に対する内部脅威に対して、最も効果的な対策はどれか。
A. 役割ベースのアクセス制御
B. 監査証跡の監視
C. プライバシーポリシー
D. 深層防衛
回答を見る
正解: A
質問 #18
組織のネットワーク外への漏洩や送信を防ぐために暗号化された機密データを保護する上で、最も効果的なセキュリティメカニズムはどれか。
A. ファイアウォールの設定
B. 暗号化アルゴリズムの強度
C. アプリケーション内の認証
D. 鍵の保護
回答を見る
正解: D
質問 #19
会社所有のモバイルデバイスを業務に導入する組織において、情報セキュリティ管理者の主な責任はどれか。
A. デバイスのリモートワイプ機能を要求する。
B. デバイスにパスワードとデータ暗号化を強制する。
C. セキュリティ意識向上トレーニングを実施する。
D. 既存のセキュリティポリシーを見直し、更新する。
回答を見る
正解: D
質問 #20
主要な IT プロジェクトのライフサイクルにセキュリティリスク評価を組み込 むことを確実にするために、最も適切なものはどれか。
A. リスク評価を内部監査プログラムに組み込む
B. グローバルなセキュリティ基準をITプロジェクトに適用する
C. リスクアセスメントに関するプロジェクトマネージャーのトレーニング
D. プロジェクト設定委員会に情報セキュリティマネジ メントを参加させる
回答を見る
正解: B
質問 #21
統計的異常ベースの侵入検知システム(スラットIDS)がシグネチャベースのIDSよりもあまり一般的に使用されていない最も重要な理由は、スタットIDSにある:
A. シグネチャベースのIDSよりもオーバーヘッドが大きい。
B. システム変数の小さな変更によって誤検出を引き起こす。
C. ユーザーやシステムのさまざまなアクションによって、誤ったアラームが発生する。
D. 新しいタイプの攻撃を検知できない。
回答を見る
正解: C
質問 #22
プログラムの緊急変更に対処するための、最も適切な変更管理手順は何か?
A. 変更前に正式な文書を作成する必要はありません。
B. 変更前に経営陣の承認を得なければならない。
C. 変更後すぐに承認され、文書化が完了する。
D. すべての変更は同じプロセスに従わなければならない
回答を見る
正解: D
質問 #23
ある情報セキュリティマネジャーが、オンラインバンキングのアプリケーションに新たな脆弱性が存在することを知らされた。情報セキュリティマネジャーがとるべき最も重要な行動は、次のとおりである:
A. リスクを評価し、上級管理職に助言する。
B. 軽減策を特定し、実施する。
C. アプリケーションシステムをオフラインモードで実行する。
D. ビジネスインパクト分析(BIA)を実施する。
回答を見る
正解: A
質問 #24
ある組織は、定められた期限までに地域の規制要件に準拠していなければ、厳しい罰金や罰則に直面する。上級管理職は、コンプライアンスを達成するための行動計画を作成するよう、情報セキュリ ティマネージャーに依頼した。計画立案に最も役立つ情報はどれか。
A. ギャップ分析の結果
B. ビジネスインパクト分析の結果
C. 期限と違反に対する罰則
D. 現在実施されているセキュリティ管理の目録
回答を見る
正解: D
質問 #25
経営陣が新会社の買収を発表した。親会社の情報セキュリティマネジャーは、両社の統合中に、アクセス権の競合によって重要な情報が漏洩することを懸念している。この懸念に対処するために、情報セキュリティマネジャーは次のことを行うべきである:
A. 相反するアクセス権に関する懸念を経営陣に報告する。
B. 一貫したアクセス管理基準を導入する。
C. 買収の統合に伴い、アクセス権を見直す。
D. アクセス権のリスク評価を行う。
回答を見る
正解: A
質問 #26
IT資産管理における最も重大なセキュリティリスクはどれか。
A. IT資産を職員が私的に使用することができる。
B. 未登録のIT資産はサポートされない場合がある。
C. 未登録のIT資産は、セキュリティ文書に含めることはできない。
D. 未登録のIT資産が適切に設定されていない可能性がある。
回答を見る
正解: A
質問 #27
リスクランキングで最も重要なステップはどれか?
A. 影響評価
B. 緩和コスト
C. 脅威の評価
D. 脆弱性分析
回答を見る
正解: A
質問 #28
C.
D. 開発プロジェクトでリスクに確実に対処するために、リスクアセスメントを次のシステム開発フェーズのどれに組み込むべきか。
A. プログラミング
B. 仕様 ユーザーテスト 実現可能性
回答を見る
正解: D
質問 #29
災害復旧計画が策定されたら、次のどの作業を行うべきか?
A. ビジネスインパクトの分析
B. 対応チームの役割を明確にする
C. テスト計画の策定
D. 回復時間の目標を特定する
回答を見る
正解: B
質問 #30
販売時点情報管理(POS)レジで取得した顧客のクレジットカード情報を保護する際に、最も重要な考慮事項は次のうちどれですか?
A. 認証
B. 硬化
C. 暗号化
D. 否認防止
回答を見る
正解: C
質問 #31
ソフトウェア開発をアウトソーシングする際、企業が安全なソフトウェア製品を確実に入手するためのベストなタイミングは、開発期間中である:
A. 企業のセキュリティレビュー
B. 契約履行監査
C. 契約交渉
D. セキュリティポリシーの策定
回答を見る
正解: B
質問 #32
サードパーティプロバイダーとウェブホスティング契約を結ぶ際に、最も重要な項目はどれですか?
A. 終了条件
B. 賠償責任限度額
C. サービスレベル
D. プライバシーの制限
回答を見る
正解: C
質問 #33
情報セキュリティ戦略を策定する際、最も重要な要件は以下の通りである:
A. 規格は経営者の意図を汲み取る。
B. 目標を達成するためにスケジュールを立てる。
C. 望む結果がわかっている。
D. 重要成功要因(CSF)が策定される。
回答を見る
正解: B
質問 #34
電子商取引アプリケーションの安全な顧客利用は、BESTによって達成できる:
A. データの暗号化。
B. デジタル署名。
C. 強力なパスワード
D. 二要素認証。
回答を見る
正解: A
質問 #35
優れた情報セキュリティ手順は、次のようなものでなければならない:
A. 行動の許容限度を定める。
B. セキュリティ・ガバナンスの重要性を強調する。
C. 各プラットフォームのセキュリティベースラインを記述する。
D. 新しいソフトウェアがリリースされると、頻繁に更新される。
回答を見る
正解: B
質問 #36
アクセス制御の仕組みがクリティカルなアプリケーションに適しているかどうかを判断するための資料として、最も適切なものはどれか。
A. ユーザーセキュリティ手順
B. ビジネスプロセスの流れ
C. ITセキュリティ・ポリシー
D. 規制要件
回答を見る
正解: C
質問 #37
ある工場のビジネスパートナーは、将来の購入注文を予測するために、材料在庫への遠隔読 み取り専用アクセス権を持っている。情報セキュリティマネジャーは、以下のことを第一に確認すべきである:
A. 接続性と継続性を効果的に管理する。
B. コードエスクローを含むサービスレベル契約(SLA)。
C. ビジネスインパクト分析(BIA)。
D. 第三者認証。
回答を見る
正解: B
質問 #38
脅威状況の分析を定期的に実施する主な理由はどれか。
A. 警備予算の増額を提案する根拠を決定すること。
B. 既存の事業継続計画が適切かどうかを判断すること。
C. 既存の脆弱性がリスクになるかどうかを判断する。
D. 経営幹部にとって重要な情報を判断する。
回答を見る
正解: C
質問 #39
製薬会社における最も重大なセキュリティリスクはどれか?
A. 漏洩した顧客情報
B. オンライン取引の不可
C. セキュリティー・トークンの盗難
D. 研究開発用ノートパソコンの盗難
回答を見る
正解: B
質問 #40
組織の残存リスクが増大した場合、情報セキュリティ管理者が最初に実施すべきことはどれか。
A. リスクを軽減するためのセキュリティ対策を実施する。
B. 経営幹部に情報を伝える。
C. 第三者にリスクを移転する。
D. ビジネスインパクトを評価する。
回答を見る
正解: D
質問 #41
ユニバーサルシリアルバス(USB)ストレージデバイスへのデータの不正ダウンロードを防止するために、組織が実施できる最も実用的な制御はどれか。
A. 二要素認証
B. ドライブの使用制限
C. 強力な暗号化
D. 懲戒処分
回答を見る
正解: A
質問 #42
情報セキュリティマネジャーが、新しい外部委託サービスの提案依頼書 (RFP)の作成を手伝っている。このため、サードパーティが重要なビジネス情報にアクセスできるようにする必要がある。セキュリティマネジャーは、以下の定義に主眼を置くべきである:
A. セキュリティ・メトリクス
B. サービス・レベル・アグリーメント(SLA)
C. リスク報告方法
D. アウトソーシングされるプロセスのセキュリティ要件
回答を見る
正解: A
質問 #43
厳密な「知る必要性」のある情報アクセスポリシーを持つ組織が、ナレッジマネジメントのイントラネットを立ち上げようとしている。既存のセキュリティポリシーの遵守を確実にするために、最も重要な活動はどれか。
A. 公開前に内容をチェックするための管理手順を策定する。
B. 新しいウェブサイトをより広く利用できるように、組織の方針を変更する。
C. ウェブサイトへのアクセスを上級管理職と取締役会に限定する。機密情報を含む文書をパスワードで保護する。D きちんと定義された情報セキュリティ戦略を策定することの最も重要な利点はどれか。
A. 組織の従業員による賛同のサポート
B. 最優先事項への資源配分
C. リスク許容閾値からの逸脱の防止
D. インシデント対応プロセスの成熟度の向上
回答を見る
正解: C
質問 #44
事業継続計画(BCP)のトリガーを定義しているのは、次のうちどれですか?
A. 災害復旧計画
B. 組織のニーズ
C. ギャップ分析
D. 情報セキュリティポリシー
回答を見る
正解: D
質問 #45
ある組織のマーケティング部門が、情報セキュリティポリシーに準拠していないオンラインコラボレーションサービスを利用したいと考えている。リスクアセスメントが実施され、リスク受容が追求されている。リスク受容の承認は、以下の者が行う:
A. 情報セキュリティ管理者
B. ビジネスの上級管理職
C. 最高リスク責任者
D. コンプライアンス・オフィサー
回答を見る
正解: D
質問 #46
セキュリティアーキテクチャを実装するときは、情報セキュリティマネジャーはセキュリ ティ管理を確実に行わなければならない(MUST):
A. 脅威に対して複数のバリアを形成する。
B. 透明である。
C. 最も安価である。
D. セキュリティ・ポリシーを通じて伝達される。
回答を見る
正解: C
質問 #47
事業部の情報システムでクレジットカード・データを取り扱うためのセキュリティ・プロセスを策定する場合、情報セキュリティ・マネージャーは、FIRST:
A. クレジットカード情報に関する企業ポリシーを確認する。
B. クレジットカード会社のセキュリティ要件を実施する。
C. クレジットカードデータを扱うシステムがセグメント化されていることを確認する。
D. 安全な支払いを処理するための業界のベストプラクティスを検討する。
回答を見る
正解: A
質問 #48
情報セキュリティプログラムを成功させるために最も重要なものはどれか。新しいセキュリティ技術に関する十分なトレーニング
B. 主要なプロセスオーナーとのオープンなコミュニケーション
C. 適切な方針、基準、手続き
D. 経営幹部のコミットメント
回答を見る
正解: D
質問 #49
ある情報セキュリティマネジャーが、組織が個人を特定できる情報(PII) を保護する法的義務を果たしている証拠を提出するよう求められている。この目的に最も役立つのは、次のうちどれでしょうか?
A. プログラムの有効性に関する指標
B. 文書化された方針と基準
C. プライバシー意識向上トレーニング
D. プライバシー関連アプリケーションのリスク評価
回答を見る
正解: S
質問 #50
侵入検知システム(IDS)が特定したアラートを誤って処理するリスクは、次のような場合に最も大きくなる:
A. 標準業務手順が正式化されていない
B. ITインフラが多様である。
C. IDSセンサーの設定ミス
D. オペレーションとモニタリングは別のチームが担当する。
回答を見る
正解: A
質問 #51
組織の現在のリスクがリスクアペタイトの範囲内にあるかどうかを判断する最も良い方法はどれか?
A. ビジネスインパクト分析(BIA)の実施
B. 主要業績評価指標(KPI)の導入
C. 主要リスク指標(KRI)の導入
D. 追加の緩和策の開発
回答を見る
正解: A
質問 #52
ユーザーのセキュリティ意識向上資料を作成する際に、最も重要な要素は何ですか?
A. ソーシャルエンジニアリングに関する情報
B. 詳細なセキュリティポリシー
C. 上級管理職の承認
D. 読みやすく説得力のある情報
回答を見る
正解: C
質問 #53
戦略的な情報セキュリティの意思決定を行うためのアプローチとして、最も適切なものはどれか。
A. 情報セキュリティ運営委員会を設置する。
B. 定期的な上級管理職会議を設置する。
C. 定期的な情報セキュリティ状況報告を確立する。事業単位のセキュリティワーキンググループを設置する。D
A. コンプライアンス・リスク評価
B. 重要な監査結果
C. 業界比較分析
D. セキュリティ・インシデントの報告件数
回答を見る
正解: B
質問 #54
セキュリティ管理者が、通常処理の復旧目標を決定するために設定するものはどれか。
A. 回復時間目標(RTO)
C. D
B. 最大許容停止時間(MTO) 回復ポイント目標(RPO) サービス提供目標(SDO)
回答を見る
正解: A
質問 #55
ある組織で、最近、ネットワークへの不正なデバイスアクセスが発生した。この問題をプロアクティブに管理し、このリスクを軽減するために、最善の予防対策は以下のとおりである:
A. ネットワークに接続されているすべてのシステムのネットワークアドレスとハードウェアアドレスのインベントリーを管理する。
B. 不正なネットワークトラフィックを防ぐために、ステートフルインスペクションファイアウォールを設置する。
C. ネットワーク・レベルの認証とログインを実装し、ネットワークへのデバイスのアクセスを規制する。
D. ネットワークにアクセスするデバイスを特定するために、自動資産インベントリ発見ツールを導入する。
回答を見る
正解: C
質問 #56
停電に備えて適切なサービス継続を可能にするために、ITサービスプロバイダとその顧客との間で確立する必要があるものはどれか。
A. データ保持ポリシー
B. サーバーメンテナンスプラン
C. 回復時間の目標
D. 相互サイト契約
回答を見る
正解: B
質問 #57
情報リスク分析を実施する場合、情報セキュリティ管理者は、まず、資産の 所有権を確立する。
B. 資産に対するリスクを評価する。
C. 資産目録を作成する。
D. 資産を分類する。
回答を見る
正解: C
質問 #58
A.システムのセキュリティを強化するためのオペレーティングシステム(OS)の非重要パッチが、重要なアプリケーションがその変更に対応していないため、適用できません。最善の解決策はどれか。アップグレードされたオペレーティングシステムに適合するようにアプリケーションを書き直す。
B. パッチをインストールしなかったことを緩和策で補う。
C. アプリケーションを特権状態で実行できるようにパッチを変更する。
D. テストプラットフォーム上でアプリケーションを実行する。
回答を見る
正解: B
質問 #59
ある情報セキュリティマネジャーが、最近、サードパーティのサービスプロバイ ダーに関連する潜在的なセキュリティリスクを通知された。この懸念に対処するために、次に何をすべきか。
A. リスク分析の実施
B. 最高リスク責任者に報告する
C. 脆弱性分析の実施
D. 補正制御の決定
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: