すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

包括的な準備のための最新のCSA CCAK試験問題集

SPOTOのCCAK問題集はCertificate of Cloud Auditing Knowledge試験に合格するための究極の鍵です。この総合的な試験問題と解答はすべての重要なトピックをカバーし、現実的な練習問題と模擬試験を提供し、実際の試験環境をシミュレートします。これらの貴重な試験準備学習資料と試験リソースを活用して、知識のギャップを特定し、理解を強化します。SPOTOのCCAK問題集を利用すれば自信を持って試験に臨むことができます。これらの試験リソースは入念に作成された試験問題集を提供し、あなたがこの先のクラウド監査の課題に完全に備えることを保証します。
他のオンライン試験を受ける
質問 #1
組織のSaaSベンダーの変更に起因するリスクを是正するために必要な統制の拡大または縮小に、最も影響する可能性が高いのはどれか。
A. リスク例外方針
B. 契約要件
C. リスク選好度
D. 取締役会の監督
回答を見る
正解: C
質問 #2
CSP は、自社のインフラに対する侵入テストの実施を契約する。監査人は、対象者の防御、資産、またはチャネルについて事前の知識がない状態で、対象者に関与する。CSP のセキュリティ・オペレーション・センターは、監査の範囲とテスト・ベクトルについて事前に知らされていない。CSP はどのモードを選択しますか?
A. 灰色のダブルボックス
B. タンデム
C. 逆転
D. ダブルブラインド
回答を見る
正解: D
質問 #3
クラウド監査チームのリソースの制約により、当初承認された監査計画を完了できない。この状況をクラウド監査報告書で伝えると仮定した場合、最も適切な行動はどれか。
A. 高リスク分野の監査に重点を置く
B. クラウド管理設計の適切性のテスト
C. クラウドコントロールの管理テストに頼る
D. クラウド管理の運用の有効性をテストする
回答を見る
正解: A
質問 #4
組織において、ポリシー違反はどのように発生する可能性が最も高いか?
A. 偶然
B. ISPによる故意
C. 故意に
D. クラウドプロバイダーによる意図的なもの
回答を見る
正解: A
質問 #5
クラウド・セキュリティ・コントロールの監査を実施するためのツールとして、最も優れているものはどれか。
A. 一般データ保護規則(GDPR)
B. ISO 27001
C. 連邦情報処理標準(FIPS)140-2
D. CSA クラウドコントロールマトリクス(CCM)
回答を見る
正解: D
質問 #6
組織のSaaSベンダーの変更に起因するリスクを是正するために必要な統制の拡大または縮小に、最も影響する可能性が高いのはどれか。
A. リスク例外方針
B. 契約要件
C. リスク選好度
D. 取締役会の監督
回答を見る
正解: C
質問 #7
CSP は、自社のインフラに対する侵入テストの実施を契約する。監査人は、標的の防御、資産、またはチャネルについて事前の知識がない状態で、その標的 に関与する。CSP のセキュリティ・オペレーション・センターは、監査の範囲とテスト・ベクトルについて事前に知らされていません。CSP はどのモードを選択しますか?
A. 灰色のダブルボックス
B. タンデム
C. 逆転
D. ダブルブラインド
回答を見る
正解: D
質問 #8
クラウド監査チームのリソースの制約により、当初承認された監査計画を完了できない。この状況をクラウド監査報告書で伝えると仮定した場合、最も適切な行動はどれか。
A. 高リスク分野の監査に重点を置く
B. クラウド管理設計の適切性のテスト
C. クラウドコントロールの管理テストに頼る
D. クラウド管理の運用の有効性をテストする
回答を見る
正解: A
質問 #9
組織において、ポリシー違反はどのように発生する可能性が最も高いか?
A. 偶然
B. ISPによる故意
C. 故意に
D. クラウドプロバイダーによる意図的なもの
回答を見る
正解: A
質問 #10
クラウド・セキュリティ・コントロールの監査を実施するためのツールとして、最も優れているものはどれか。
A. 一般データ保護規則(GDPR)
B. ISO 27001
C. 連邦情報処理標準(FIPS)140-2
D. CSA クラウドコントロールマトリクス(CCM)
回答を見る
正解: D
質問 #11
ネットワーク環境および仮想インスタンスは、信頼される接続と信頼されない接続の間のトラフィッ クを制限および監視するように設計および構成されるものとする。これらの構成は、少なくとも年 1 回見直され、許可されたすべてのサービス、プロトコル、ポートについて、文書化された使用正当化理由によって、また、代償的な管理によってサポートされなければならない。次の管理策のうち、この管理策の説明に最も合致するものはどれか。
A. ネットワーク・セキュリティ
B. 変更の検出
C. 仮想インスタンスとOSのハードニング
D. ネットワーク脆弱性管理
回答を見る
正解: A
質問 #12
ある組織のインターネットに面したサーバの脆弱性を見つけたサイバーセキュリティ犯罪者は、暗号化されたファイルシステムにアクセスすることができ、いくつかのファイルの一部をランダムなデータで上書きすることに成功しました。Top Threats Analysisの手法を参考に、このインシデントの技術的影響をどのように分類しますか?
A. 完全性の侵害として
B. コントロール違反として
C. アベイラビリティ違反として
D. 守秘義務違反として
回答を見る
正解: B
質問 #13
組織は、採用するさまざまな管理フレームワーク間のマッピングを維持する:
A. 共通の評価ステータスを持つコントロールを特定するのに役立つ。
B. コンプライアンスを評価する際の作業の重複を避ける。
C. 異なる評価ステータスのコントロールを識別するのに役立つ。
D. 最新のアセスメントを使用してコンプライアンス・アセスメントを開始する。
回答を見る
正解: C
質問 #14
SASTテストは以下の方法で実施される:
A. アプリケーションのソースコードをスキャンする。
B. アプリケーションインターフェイスをスキャンする。
C. すべてのインフラコンポーネントをスキャンする。
D. アプリケーションを制御するために手動で操作を行う。
回答を見る
正解: A
質問 #15
クライアントのビジネス・プロセスが変更された場合、CSP SLA は変更されるべきです:
A. 見直されるが、SLAは更新できない。
B. 見直しはしないが、クラウド契約は即座に解約すべきだ。
C. SLAは更新できないので見直さない。
D. 必要に応じて見直され、更新される。
回答を見る
正解: D
質問 #16
クラウド監査クライアントとの監査開始ミーティングの主な目的は、以下のとおりである:
A. 監査の方法を選択する。
B. 監査クライアントから提供された要求された証拠をレビューする。
C. クラウド監査の範囲について話し合う。
D. クラウド監査のリソース要件を特定する。
回答を見る
正解: C
質問 #17
業務とサポート要員の継続性と可用性を確保するために、いくつかの項目の保守に関する方針と手順を確立し、サポートするビジネスプロセスと技術的手段を実施しなければならない。次の管理策のうち、この管理策の説明に最も合致するものはどれか。
A. オペレーション・メンテナンス
B. システム開発メンテナンス
C. 機器のメンテナンス
D. システムメンテナンス
回答を見る
正解: A
質問 #18
監査人は、ある CSP が先月中に複数の顧客から問い合わせと RFP を受け取ったことを確認した。CSP の負担を軽減するための推奨事項として、最も適切なものはどれですか。
A. CSPは、すべてのセキュリティ・レポートを顧客と共有し、プロセスを合理化することができる。
B. CSPは各顧客との通話をスケジュールすることができる。
C. CSPは顧客一人一人に答えることができる。
D. CSPは、すべての顧客からの問い合わせをCSA STARレジストリの情報に誘導することができる。
回答を見る
正解: D
質問 #19
スタッフのソーシャル・エンジニアリング、物理的なアクセス制御のバイパス、侵入テストを含むアプローチはどれか。
A. ブルーチーム
B. ホワイトボックス
C. グレーボックス
D. レッドチーム
回答を見る
正解: B
質問 #20
インシデント発生後にトップ脅威分析手法を適用する場合、技術的影響の特定ステップの範囲はどの程度ですか?
A. 識別されたリスクに対応するために組織が選択した管理策への影響を判断する。
B. 情報システムの機密性、完全性、可用性への影響を判断する。
C. 組織の財務、業務、コンプライアンス、評判への影響を判断する。
D. 情報資産を除く、組織の物理的・環境的セキュリティへの影響を判断する。
回答を見る
正解: D
質問 #21
事業継続マネジメントとオペレーショナル・レジリエンス戦略に関連して監査を実施する場合、クラウド・サービス・プロバイダーと共同で策定すべきクラウド顧客の戦略に関連して監査すべき最も重要な点は何でしょうか?
A. 障害による影響を受けたときに、通常通りまたは障害モードで事業を運営するために必要なすべてのコンポーネントの利用不能を、部分的または全体的にカバーするかどうかを検証する。
B. 評価された影響とリスクをインプットとして、事業継続とレジリエンス計画のすべての側面をカバーする戦略であるかどうかを検証し、混乱の前、中、後の活動を検討する。
C. 継続計画や危機管理能力の発動を含め、組織のリスク選好度に沿って、特定された時間枠と合意された能力内で、優先順位の高い活動を継続・回復するために必要なすべての活動を、戦略がカバーしているかどうかを検証する。
D. クラウドサービスプロバイダーとクラウドサービスコンシューマーの双方が、それぞれのリスク選好度の許容範囲内で戦略を策定しているかどうかを検証する。
回答を見る
正解: B
質問 #22
次のうち、未熟なメトリクスはどれですか?
A. IaaS(インフラストラクチャー・アズ・ア・サービス)のストレージとネットワーク環境に関する指標
B. サービスとしてのプラットフォーム(PaaS)開発環境に関する指標
C. IaaS(インフラストラクチャー・アズ・ア・サービス)コンピューティング環境に関する指標
D. 特定のSaaS(Software as a Service)アプリケーションサービスに関する指標
回答を見る
正解: A
質問 #23
クラウドコントロールマトリックス(CCM)とコンセンサス・アセスメント・イニシアチブ・アンケート(CAIQ)の主な違いは、以下の通りである:
A. CCMはコントロールの有無を評価するのに対し、CAIQはサービスの全体的なセキュリティを評価する。
B. CCMには一連のセキュリティ質問があるのに対し、CAIQには一連のセキュリティ・コントロールがある。
C. CCMは14ドメイン、CAIQは16ドメイン。
D. CCMは管理フレームワークを提供するのに対し、CAIQはIaaS、PaaS、SaaSにどのようなセキュリティ管理が存在するかを文書化する、業界で認められた方法を提供する。
回答を見る
正解: D
質問 #24
次のうち、財務上のビジネスインパクトの例はどれですか?
A. 盗まれた管理者IDを使用したハッカーにより、SaaSの販売・マーケティングシステムがダウンし、顧客の注文処理や顧客との関係管理ができなくなる。
B. 情報漏えいはCEOに適時に報告されたが、CFOとCISOは公の場で互いを非難し、その結果、社会的信用を失い、取締役会は3人全員を交代させた。
C. DDoS攻撃により、顧客のクラウドに24時間アクセスできなくなり、数百万ドルの売上損失が発生した。
D. クラウドプロバイダーが、保護されていないサーバーから顧客の個人情報が漏えいしたことを報告せず、GDPRの罰金1000万ユーロを科す。
回答を見る
正解: C
質問 #25
クラウドの導入が進み、セキュリティプログラムが成熟した組織の上級クラウドセキュリティ監査実務者の視点から、DevSecOps の概念を最もよく表している記述はどれか。
A. ソフトウェア開発における自動化を利用したセキュリティ統合のプロセス
B. 統合、テスト、配備の問題に対処するための開発基準
C. 自動化によってソフトウェアの一貫性を促進する運用フレームワーク
D. 自動化を利用して、ソフトウェア開発をよりシンプルに、より速く、より簡単にする
回答を見る
正解: B
質問 #26
顧客組織のアーキテクチャに新しい SaaS サービスを導入する際に、効果的な脅威モデルを策定する際に考慮すべき最も重要なものはどれですか。脅威モデル
A. は、顧客と CSP の間でリスク管理に対する責任を共有することを認識する。
B. 同業他社が開発したSaaS脅威モデルを活用する。
C. は、組織の業種に精通した独立した第三者によって作成される。
D. クラウドへの移行による可視性とコントロールの損失を考慮する。
回答を見る
正解: A
質問 #27
監査の実施中、監査人は、PIIを含むオブジェクト・ストレージ・バケットがインターネット上で誰でもアクセスできる可能性があることを発見した。この発見を踏まえて、監査人が実行すべき最も適切な処置は何か。
A. スポンサーの可能な限り早い時期に、監査スポンサーにギャップを指摘する。
B. 組織のクラウド管理者に、コンフィギュレーション設定を更新し、オブジェクト・ストレージ・バケットをプライベートにしてインターネットからアクセスできないようにすることで、直ちにギャップを埋めるよう依頼する。
C. 監査報告書に所見を文書化し、関連する利害関係者とギャップを共有する。
D. 組織の内部監査責任者に、そのギャップについて直ちに報告する。
回答を見る
正解: C
質問 #28
特定のクラウドシステムについて CSA STAR 認証を受けるためには、SOC 2 報告書は以下をカバーしていなければならない:
A. ISO/I?27001: 2013 の管理
B. 成熟度モデルの基準
C. すべてのクラウドコントロールマトリックス(CCM)コントロールとTSPCセキュリティ原則。
D. クラウド管理マトリックス(CCM)とISO/IEC 27001:2013の管理。
回答を見る
正解: C
質問 #29
組織がクラウド向けのコンプライアンス・プログラムを構築する際に考慮すべき最も重要なものはどれか。
A. 急速に変化するクラウドのサービスポートフォリオとアーキテクチャ。
B. クラウドプロバイダーはコンプライアンスプログラムの一部であってはならない。
C. クラウドのサービスポートフォリオとアーキテクチャがかなり静的であること。
D. コンプライアンスという点では、クラウドもオンプレミス環境と同様である。
回答を見る
正解: A
質問 #30
クラウド・コンプライアンス・プログラムを策定する際、クラウドの顧客がどのクラウドサービスを導入するかを検討する主な理由は何だろうか。
A. それらのサービスが自社の方針と手順の中でどのように適合するかを決定すること。
B. 導入するクラウドサービスの総コストを決定する。
C. セキュリティ要件への適合性に基づいて、どのベンダーが選定されるかを確認する。
D. 実施された補償コントロールがクラウドにとって十分かどうかを確認する。
回答を見る
正解: A
質問 #31
AICPA信託サービス基準の追加基準としてクラウドコントロールマトリックス(CCM)を即時採用でき、技術や市場要件の変化に応じて基準を柔軟に更新できる認証はどれか。
A. PC-IDSS
B. CSA STAR認証
C. MTCS
D. BSI基準カタログC5
回答を見る
正解: B
質問 #32
クラウド監査リソースが組織に最高の価値をもたらすことを確実にするために、主要なステップは以下の通りである:
A. 詳細なリスク評価に基づき、クラウド監査計画を策定する。
B. 監査のスケジュールを立て、各監査に費やされる時間を監視する。
C. 組織で使用されている最新の技術について、クラウド監査スタッフをトレーニングする。
D. 監査の進捗状況を監視し、コスト管理措置を開始する。
回答を見る
正解: A
質問 #33
完全性の技術的影響の例は次のうちどれですか?
A. クラウドプロバイダーが、セキュリティ保護されていないサーバーから顧客の個人情報が流出したことを報告した。
B. 盗まれた管理者IDを使用したハッカーが、商品データベースの割引率を警告する。
C. DDoS攻撃により、顧客のクラウドに24時間アクセスできなくなる。
D. 管理者がうっかりフィッシュの餌をクリックしてしまい、会社をランサムウェアの攻撃にさらしてしまった。
回答を見る
正解: D
質問 #34
コード・リリース・サイクルにシフト・レフトのコンセプトを採用している組織の兆候とは?
A. 開発段階からリリース段階までリソースを移動させるウォーターフォールモデル
B. ソフトウェアコードの問題を早期に特定し、対処するための自動化の導入
C. 反復の多いスタートアップ・エンティティの成熟度とコード・コミット量の少なさ
D. リリースのペースが遅く、システムが地理的に分散している大企業
回答を見る
正解: B
質問 #35
クラウド・コントロール・マトリックス(CCM)コントロールは、クラウドの顧客が以下の目的で使用できる:
A. 業界のための新しいセキュリティ・ベースラインを開発する。
B. クラウドサービスプロバイダーごとに異なる制御フレームワークを定義する。
C. 法務部門とのコミュニケーションを円滑にする。
D. 運用クラウドリスク管理プログラムを構築する。
回答を見る
正解: B
質問 #36
組織内で、クラウド導入アプローチの定義を担当すべき機能は次のうちどれでしょうか?
A. 監査委員会
B. コンプライアンス・マネージャー
C. ITマネージャー
D. 上級管理職
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.