すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

効率的な試験準備のための最新のISACA CISM試験問題集

SPOTO の ISACA CISM 試験問題集のパワーを借りて、CISM (Certified Information Security Manager) 資格取得を推進しましょう。リスクアセスメント、ガバナンスの導入、インシデント対応戦略の理解を深めるためにデザインされた包括的な試験問題と解答に飛び込みましょう。SPOTOの試験問題と試験準備資料で、データ漏洩、ランサムウェア攻撃、その他の進化するセキュリティの脅威に対処する競争力を身につけることができます。合格するために作成された貴重な学習資料と試験リソースにアクセスできます。現実的な模擬試験で試験環境をシミュレートし、自信を高めます。SPOTOで準備を整え、専門知識と自信を持って今日のサイバーセキュリティの課題を乗り切ることができる認定情報セキュリティマネージャーになりましょう。
他のオンライン試験を受ける
質問 #1
効果的なITガバナンスは、以下によって確保される:
A. ボトムアップ・アプローチを活用する。
B. IT部門による管理
C. その問題を組織の法務部門に照会する。
D. トップダウン・アプローチを活用している。
回答を見る
正解: D
質問 #2
組織における情報セキュリティ目標の整合性を高めるために、最高情報セキュリ ティ責任者(CISO)は以下のことを行うべきである:
A. 情報セキュリティプログラムを改訂する。
B. バランス・ビジネス・スコアカードを評価する。
C. 定期的にユーザー意識向上セッションを実施する。
D. ペネトレーションテストを実施する。
回答を見る
正解: B
質問 #3
ある情報セキュリティ管理者が、あるアプリケーションのユーザが、トランザクションを処理するために緊急昇格アクセス権限を頻繁に使用していることを知った。
A. 緊急アクセスについて、利用者の管理者に正当な理由を求める。
B. アプリケーション管理者に、すべての緊急アクセスプロファイルをブロックするよう要求する。
C. ポリシーの緊急アクセスプロファイルの頻度と使用法を更新する。
D. アプリケーションのセキュリティアーキテクチャをレビューし、変更を推奨する。
回答を見る
正解: D
質問 #4
次のうち、事業継続計画の発動が最も必要となりそうなものはどれか。
A. データセンターで発見された無許可の訪問者
B. 電子メールサーバーに対する分散型サービス拒否攻撃
C. スタッフの職務遂行を妨げる伝染病
D. 個人情報を人質に取るハッカー
回答を見る
正解: B
質問 #5
リスクコミュニケーション計画を作成する際、最初に決めるべきことはどれか?
A. 対象読者
B. 通信チャネル
C. 報告内容
D. 報告頻度
回答を見る
正解: A
質問 #6
ある組織が、人気のあるソーシャルネットワークプラットフォームを活用して、自社の製品やサービスを宣伝しようと計画している。この取り組みを支援するために、情報セキュリティマネジャーがとるべき行動として、最も適切なものはどれか。
A. ソーシャルネットワークの使用に関するセキュリティ管理策を策定する。
B. ソーシャルネットワークの使用に関連するセキュリティリスクを評価する。
C. ソーシャルネットワークにコンテンツを公開するプロセスを確立する。
D. ソーシャル・ネットワーク・プラットフォームの脆弱性評価の実施
回答を見る
正解: C
質問 #7
あるIT部門が、アプリケーションのパブリッククラウドへの移行を計画している。この取り組みを支援するために、情報セキュリティマネジャーが最も重要な行動はどれか。
A. セキュリティ実装コストを計算する。
B. サービス・レベル・アグリーメント(SLA)を評価する。
C. クラウドのセキュリティ要件を提供する。
D. クラウドプロバイダの独立評価報告書をレビューする。
回答を見る
正解: B
質問 #8
多国籍組織において、国際支店全体で一貫したセキュリティの展開を可能にするベストはどれか。
A. セキュリティ・プロセスの成熟度
B. 監査指摘事項の是正
C. 安全保障ガバナンスの分権化
D. 安全保障ガバナンスの確立
回答を見る
正解: D
質問 #9
アウトソーシングしたITサービスの情報セキュリティを確保するために、最も重要なデューデリジェンスはどれか。
A. サービスプロバイダーからのサービスレベル報告書のサンプルを確認する。
B. サービスプロバイダのセキュリティ意識のレベルを評価する。
C. サービス提供者に情報セキュリティポリシーの遵守を要求する。
D. サービスプロバイダのセキュリティ状況を確認する。
回答を見る
正解: C
質問 #10
ビジネスインパクト評価を定期的に実施する主な理由は、次のうちどれですか?
A. 前回の事業影響評価の結果を改善する
B. 新たなリスクに基づく復旧目標の更新
C. 回復時間の短縮
D. 事業継続ポリシーのニーズを満たす
回答を見る
正解: B
質問 #11
相反する目的が情報セキュリティプロセスの有効性を損なう可能性が最も高いのは、情報セキュリティマネジメントが行われている場合である:
A. ネットワーク・インフラストラクチャ・マネージャーに報告する。
B. 情報技術以外の分野。
C. 部分的に外部のセキュリティ・コンサルタントが配置されている。
D. 変更管理機能との組み合わせ
回答を見る
正解: D
質問 #12
パスワードの自動同期を導入する主な利点は、以下のとおりである:
A. 管理業務全体の負担を軽減する。
B. 多階層システム間のセキュリティを高める。
C. パスワードの変更頻度を減らすことができる。
D. 二要素認証の必要性を減らす。
回答を見る
正解: A
質問 #13
ネットワーク・ユーザーに、組織のセキュリティ要件を遵守する責任を認識させる最も効果的な方法は、次のとおりである:
A. ログオンごとに表示されるメッセージ。
B. セキュリティ関連の定期的な電子メールメッセージ
C. 情報セキュリティのためのイントラネット・ウェブサイト。
D. 情報セキュリティポリシーを回覧する。
回答を見る
正解: A
質問 #14
ある組織が外部に委託しているファイアウォールの設定が不十分で、不正アクセスを許した結果、48時間のダウンタイムが発生した。情報セキュリティ管理者が次に取るべき行動はどれか。
A. ベストプラクティスに従ってファイアウォールを再構成する。
B. 問題が修正されたことを裏付ける証拠を入手する。
C. 契約を見直し、サービス提供者の説明責任を改善する。
D. サービス提供者に損害賠償を求める。
回答を見る
正解: B
質問 #15
イントラネットを通じて新しいワームが侵入した場合、組織が最も危険にさらされるのは次のような場合である:
A. デスクトップのウイルス定義ファイルが最新でない。
B. システム・ソフトウェアは整合性チェックを受けない。
C. ホストは固定IPアドレスを持つ。
D. 実行可能コードがファイアウォールの内側から実行される。
回答を見る
正解: A
質問 #16
経営陣は新会社の買収を発表した。親会社の情報セキュリティマネジャーは、両社の統合中にアクセス権の衝突によって重要な情報が漏洩することを懸念している:
A. 相反するアクセス権に関する懸念を経営陣に報告する。
B. 一貫したアクセス管理基準を導入する。
C. 買収の統合に伴い、アクセス権を見直す。
D. アクセス権のリスク評価を行う。
回答を見る
正解: B
質問 #17
ウェブベースのアプリケーションシステムの内部レビューにおいて、アカウントにアクセスするために使用されるURL上の従業員のIDを変更することにより、全従業員のアカウントにアクセスできる機能が発見された。発見された脆弱性は
A. 認証が破られた。
B. 検証されていない入力。
C. クロスサイト・スクリプティング。
D. 構造化クエリー言語(SQL)インジェクション。
回答を見る
正解: A
質問 #18
組織がセキュリティリスクを監視する最も良い方法はどれか。
A. 主要業績評価指標(KPI)の分析
B. 外部リスク情報サービスの利用
C. ダッシュボードを使った脆弱性の評価
D. 主要リスク指標(KRI)の分析
回答を見る
正解: D
質問 #19
上級管理職は、情報セキュリティの脆弱性に対処するため、組織の各部門に資金を割り当てている。この資金は、前年度の各部門の技術予算に基づいている。次のうち、情報セキュリティマネジャーが最も懸念すべきものはどれか。
A. 最もリスクの高い地域は、治療の優先順位が適切に設定されていない可能性がある。
B. 部門間で冗長な管理が実施される可能性がある。
C. 情報セキュリティガバナンスは部門ごとに分散化できる
D. 投資収益率が上級管理職に報告されないことがある。
回答を見る
正解: A
質問 #20
レガシー・アプリケーションにパスワード・ポリシーを実装できない場合、次のうち最良の対処法はどれか。
A. アプリケーションセキュリティポリシーを更新する。
B. 補償制御を実施する。
C. レガシー申請に対する権利放棄書を提出すること。
D. アプリケーションセキュリティ評価を実施する。
回答を見る
正解: B
質問 #21
情報セキュリティリスクを企業のリスク管理に統合する主なメリットは、以下のとおりである:
A. 適時にリスクを軽減する。
B. 情報セキュリティ予算を正当化する。
C. 経営幹部のコミットメントを得る。
D. リスクの全体像を把握する。
回答を見る
正解: D
質問 #22
次のうち、組織のセキュリティ体制を改善する取り組みに最も大きな影響を与えるものはどれか。
A. セキュリティーに関する経営トップの支持基調
B. 十分に文書化されたセキュリティ方針と手順
C. 経営幹部への定期的な報告
D. セキュリティ管理の自動化
回答を見る
正解: A
質問 #23
経営陣が情報セキュリティの意思決定プロセスにおいてオーナーシップを持つことを確実にするBESTはどれか。
A. セキュリティ方針と手順
B. 経営陣による年次自己評価
C. 安全保障委員会
D. セキュリティ意識向上キャンペーン
回答を見る
正解: C
質問 #24
組織が情報セキュリティガバナンスの枠組みを導入する際に、経営層が最も期待すべきことはどれか。
A. 情報セキュリティ・リソースの最適化
B. 情報セキュリティ戦略の一貫した実行
C. 株主に対する説明責任の向上
D. セキュリティ管理の影響力の増大
回答を見る
正解: B
質問 #25
送信者の秘密鍵によって暗号化され、受信者の公開鍵によって再び暗号化されたメッセージ*は、次のことを実現する:
A. 認証と承認。
B. 機密性と完全性。
C. 機密保持と否認防止。
D. 認証と否認防止。
回答を見る
正解: C
質問 #26
輸送中のデータの真正性を保護する最も効果的な方法はどれか?
A. ハッシュ値
B. デジタル署名
C. 公開鍵
D. 秘密鍵
回答を見る
正解: B
質問 #27
商用脆弱性評価ツールの資金確保に最も役立つのはどれか?
A. 脆弱性修復のビジネス価値を説明する
B. 適用される法規制要件の特定
C. 現行業務システムの脆弱性スキャン報告書の提示
D. ビジネス目標にリンクしたセキュリティ指標の開発
回答を見る
正解: A
質問 #28
本番システムのセキュリティアセスメントを実施した後、情報セキュ リティマネージャは次のことを行う可能性が最も高い:
A. 残存するリスクをシステム所有者に通知し、リスクを低減するための対策を提案する。
B. 開発チームに残存リスクを報告し、リスク低減策を共に策定する。
C. 残存するリスクをITマネジャーに伝え、リスクを軽減するための対策を提案する。
D. 当該生産システムの残存リスクを最小化する全体的なセキュリティプログラムを確立する。
回答を見る
正解: A
質問 #29
情報セキュリティポリシーの施行は、その責任である:
A. 安全保障運営委員会。
B. 最高情報責任者(CIO)。
C. 最高情報セキュリティ責任者(CISO)。
D. 最高コンプライアンス責任者(CCO)。
回答を見る
正解: C
質問 #30
ある組織が、システム・アクセスの責任に関する確認書に署名することをユーザーに要求する主な理由は、次のとおりである:
A. ユーザーのアクセス権を正確に記録する。
B. セキュリティ意識向上トレーニングの証拠となる。
C. 業界のベストプラクティスへの準拠を維持する。
D. ユーザーのIを使用して行われた取引の説明責任を課す。
回答を見る
正解: A
質問 #31
ある組織の経営幹部が、従業員に販売促進目的でソーシャルメディアを利用するよう奨励している。この戦略をサポートするために、情報セキュリティマネジャーが最初に着手すべきことはどれか。
A. ソーシャルメディアをセキュリティ意識向上プログラムに組み込む。
B. ソーシャルメディアの使用に関するガイドラインを作成する。
C. データ損失防止(DLP)ソリューションのビジネスケースを作成する。
D. ウェブコンテンツフィルタリングソリューションを使用する。
回答を見る
正解: B
質問 #32
ある組織が、潜在的な高度持続的脅威(APT)に関する懸念を抱いている。この脅威に関連するリスクを適切に管理するために、組織が最初にとるべき行動は何か。
A. 経営幹部への報告。
B. インシデント対応プロセスを開始する。
C. 追加の管理を実施する。
D. 影響分析を行う。
回答を見る
正解: D
質問 #33
経営陣がセキュリティポリシーの遵守の保証を得る方法として、最も適切なものはどれか。
A. セキュリティインシデントのログをレビューする。
B. コンプライアンス責任についてスタッフを教育する。
C. 定期的に独立したレビューを実施する。
D. 警備業務に関して職員に質問する。
回答を見る
正解: C
質問 #34
DMZ内に置くべきデバイスはどれか。
A. ルーター
B. ファイアウォール
C. メールリレー
D. 認証サーバー
回答を見る
正解: C
質問 #35
組織のネットワーク外への漏洩や送信を防ぐために暗号化された機密データを保護する上で、最も効果的なセキュリティメカニズムはどれか。
A. ファイアウォールの設定
B. 暗号化アルゴリズムの強度
C. アプリケーション内の認証
D. 鍵の保護
回答を見る
正解: D
質問 #36
要件が異なる複数の政府管轄区域から規制を受けるグローバル組織の情報セキュリティ管理者は、次のことを行う必要がある:
A. すべての場所を、すべての政府管轄区域の総体的要件に適合させる。
B. すべての場所について基本基準を設定し、必要に応じて補足基準を追加する。
C. すべての拠点を、一般に認められた業界のベストプラクティスに適合させる。
D. すべての管轄区域に共通する要件を盛り込んだベースライン基準を確立する。
回答を見る
正解: B
質問 #37
コストに加えて、リスクアセスメント後に対策を選択するための最良の基準は何か?
A. 実施の努力
B. 実施に必要なスキル
C. 各オプションの効果
D. メンテナンス要件
回答を見る
正解: C
質問 #38
シニアマネジメントのコミットメントと支援は、情報セキュリティガバナンスの価値が以下のような形で提示された場合に、最も高い確率で提供される:
A. 脅威の視点
B. コンプライアンスの観点
C. リスクの観点
D. 博士号の政策的視点
回答を見る
正解: D
質問 #39
ある企業が、グローバルな事業展開のためにクラウドサービスプロバイダーの採用を検討している。データ保護に関して、情報セキュリティマネジャーが見直すべき最も重要なものはどれか。
A. 個人情報保護方針
B. セキュリティ方針と基準
C. 組織要件
D. 現地の法律と規制
回答を見る
正解: A
質問 #40
大規模で複雑なITインフラを持つ組織にとって、ディザスタリカバリ・ホットサイト・サービスの次の要素のうち、最も綿密な監視が必要なものはどれでしょうか?
A. 従業員のアクセス
B. 監査権
C. システム構成
D. 加入者数
回答を見る
正解: C
質問 #41
ある情報セキュリティ・マネジャーが、法執行機関の関係者から、ソーシャル・エンジニアリングやネットワーク侵入など、さまざまなテクニックを駆使することで知られる熟練したハッカー集団に、自社が狙われている証拠があるとの助言を受けた。セキュリティ・マネジャーが取るべき最初のステップは、次のとおりである:
A. 組織がハッカーのテクニックにさらされていることを総合的に評価する。
B. ソーシャル・エンジニアリングに対抗するための意識向上トレーニングを開始する。
C. リスクが高まっていることを直ちに経営幹部に報告する。
D. 監視活動を強化し、侵入を早期に発見する。
回答を見る
正解: C
質問 #42
攻撃が成功する可能性は以下の関数である:
A. 侵入者の動機と能力
B. 機会と資産価値
C. 脅威と脆弱性のレベル
D. 侵入者にとっての価値と望ましさ
回答を見る
正解: A
質問 #43
人事管理システムで保管・処理される個人データのセキュリティ対策を確立する場合、最初に行うべきことはどれか。
A. プライバシー影響評価(PIA)を実施する。
B. データ暗号化技術を評価する。
C. システムを別のネットワークに移す。
D. 脆弱性評価を実施する。
回答を見る
正解: A
質問 #44
情報セキュリティを脅かす可能性のある変更管理プロセスの乱用を示す指標として、最も適切なものはどれか。
A. 少数の変更要求
B. 毎月の変更要求の大幅な減少率
C. 承認後の補足的アドオンを含む変更の割合
D. 総コード行数に対する変更コード行数の割合が高い。
回答を見る
正解: B
質問 #45
情報セキュリティ基本方針を策定することは重要である:
A. 保護が必要な重要な情報資源
B. 組織全体のセキュリティポリシー。
C. 導入されるべき、許容できる最低限のセキュリティ。
D. 必要な物理的および論理的アクセス制御
回答を見る
正解: C
質問 #46
組織のセキュリティポリシーがデータセキュリティ規制要件に準拠していることを確認する最も良い方法はどれか。
A. 経営幹部から毎年サインオフを得る。
B. ポリシーを最も厳しいグローバル規制に合わせる。
C. コンプライアンス活動を外部委託する。
D. 関係者に方針を送付し、レビューしてもらう。
回答を見る
正解: C
質問 #47
新規に取得したビジネスアプリケーションのセキュリティ対策を設計するときに、情報セキュリ ティマネージャが最も考慮すべきことはどれか。
A. アプリケーションの既知の脆弱性
B. ITセキュリティ・アーキテクチャのフレームワーク
C. 現行規制の費用便益分析
D. アプリケーションがサポートするビジネスプロセス
回答を見る
正解: C
質問 #48
ある企業が、ゼロデイ脆弱性に関連するリスクを以前から受け入れていた。同じ脆弱性が最近、同じ業界の別の組織に対する攻撃で悪用された。情報セキュリティマネジャーが最初に取るべき行動はどれか?
A. 可能性と影響の観点からリスクを再評価する。
B. ベストケースとワーストケースのシナリオを作成する
C. 相手組織の違反を経営幹部に報告する。
D. 脆弱性を修復するためのコストを評価する。
回答を見る
正解: A
質問 #49
情報セキュリティガバナンスプログラムを策定する際、組織が規制コンプライアンス要件に対応するために最も有効なものはどれか。
A. プロセスと手順のガイドライン
B. セキュリティ管理フレームワーク
C. 承認されたセキュリティ戦略計画
D. セキュリティ運営委員会からの意見
回答を見る
正解: A
質問 #50
ある組織が、その環境において外部からの総当たり攻撃の脅威が増大していることを確認した。組織の重要なシステムに対するこのリスクを軽減する最も効果的な方法はどれか。
A. 侵入検知システムの感度を上げる
B. 多要素認証(MFA)の導入
C. セキュリティ情報・イベント管理システム(SIEM)の導入
D. ログの監視と分析の頻度を増やす
回答を見る
正解: B
質問 #51
内部IPアドレスの小グループがインターネットにアクセスするのを制限するファイアウォールポリシーの適切なインストールを、最も効率的に保証するのは次のうちどれですか?
A. 制限ホストからの接続テスト
B. ファイアウォールに対するサービス拒否攻撃のシミュレーション
C. 外部ソースからのファイアウォールのポートスキャン
D. 現在のファイアウォール設定のレビュー
回答を見る
正解: A
質問 #52
ソフトウェア開発ライフサイクル(SDLC)のどの段階で、アプリケーションのセキュリティ対策に取り組むべきか?
A. ソフトウェアコード開発
B. 構成管理
C. アプリケーション・システム設計
D. 要件収集
回答を見る
正解: D
質問 #53
情報セキュリティに重点を置く社内文化を作るための最初のステップは、次のとおりである:
A. より強力なコントロールを導入する。
B. 定期的な意識向上トレーニングを実施する。
C. 積極的にオペレーションを監視する。
D. 経営幹部のお墨付きを得る。
回答を見る
正解: D
質問 #54
電子メールシステムにアクセスするための初期パスワードを新規ユーザーに提供する方法として、最も適切なものはどれか。
A. システムで生成された複雑なパスワード(有効期限30日)。
B. ダミーのパスワードを電話で伝える。
C. パスワードは不要だが、10日以内に自分で設定するよう強制する。
D. 初期パスワードをユーザーIDと同じに設定する。
回答を見る
正解: B
質問 #55
ITアプリケーションによって処理される情報資産に関連するリスクレベルを判断する最善の方法は何か?
A. 攻撃者にとっての情報の潜在的価値を評価する。
B. 情報資産のビジネス価値を計算する
C. ビジネスにおける情報資産の取得コストの見直し
D. 情報に関連するコンプライアンス要件の調査
回答を見る
正解: B
質問 #56
情報セキュリティガバナンスフレームワークを導入する際、最初に確立すべきはどれか。
A. セキュリティ・インシデント管理チーム
B. セキュリティ意識向上トレーニングプログラム
C. セキュリティ・アーキテクチャ
D. セキュリティポリシー
回答を見る
正解: D
質問 #57
完全な機能継続性テストを実施する前に、情報セキュリティマネジャーが確認することが最も重要なのはどれか。
A. 事業者によるリスク受容が文書化されている。
B. インシデントレスポンスとリカバリプランが簡単な言葉で文書化されている。
C. 復興に責任を持つチームと個人が特定された。
D. 復旧計画およびインシデント対応計画のコピーは、オフサイトに保管する。
回答を見る
正解: C
質問 #58
十分に文書化された情報セキュリティ手順がもたらす最大のメリットは、以下のとおりである:
A. セキュリティポリシーが一貫して適用されるようにする。
B. 臨時スタッフが重要なプロセスに従えるようにする。
C. 新しいスタッフのセキュリティ研修を促進する。
D. セキュリティ対策を監査するための基礎を提供する。
回答を見る
正解: A
質問 #59
情報セキュリティポリシーを確立するための最初のステップはどれか。
A. セキュリティ管理評価
B. 情報セキュリティ監査
C. 現行のグローバル・スタンダードの見直し
D. 事業リスク評価
回答を見る
正解: D
質問 #60
次のメカニズムのうち、セキュアなワイヤレスネットワークを実装する最も安全な方法はどれか?
A. メディアアクセス制御(MAC)アドレスのフィルタリング
B. Wi-Fi Protected Access(WPA2)プロトコルを使用する。
C. WEP(Wired Equivalent Privacy)キーを使用する。
D. ウェブ認証
回答を見る
正解: B
質問 #61
是正処置の目的は以下の通りである:
A. 有害事象を減らす。
B. 妥協を示す。
C. 影響を緩和する。
D. コンプライアンスを確保する。
回答を見る
正解: C
質問 #62
経営幹部が、新しい侵入検知システム(IDS)の購入を承認する前に、情報セキュリテ ィマネージャーに正当性を問う。最善の行動は、次のようなものである:
A. 文書化された業界のベストプラクティス
B. 新しいIDSコントロールに対するギャップ分析。
C. ビジネスケース
D. ビジネスインパクト分析(BIA)。
回答を見る
正解: C
質問 #63
フィッシング攻撃から身を守るために最も有効なものはどれか?
A. アプリケーションのホワイトリスト化
B. ネットワークの暗号化
C. メールフィルタリング
D. セキュリティ戦略トレーニング
回答を見る
正解: C
質問 #64
サイバー犯罪のフォレンジック調査において、デジタル証拠を扱う際に考慮すべき最も重要なものはどれか?
A. 事業戦略
B. 業界のベストプラクティス
C. グローバル・スタンダード
D. 現地規制
回答を見る
正解: D
質問 #65
情報セキュリティ計画を策定する上で、最初に行うべきことはどれか。
A. 技術的脆弱性評価の実施
B. 現在の事業戦略を分析する
C. ビジネスインパクト分析の実施
D. 現在のセキュリティ意識レベルを評価する
回答を見る
正解: B
質問 #66
組織の情報セキュリティリスクポジションの変化を評価するために、経営幹部への報告書として最も有用なものはどれか。
A. リスク登録
B. トレンド分析
C. 業界ベンチマーク
D. 経営行動計画
回答を見る
正解: A
質問 #67
変更管理において、情報セキュリティへの対応を最も確実にするものはどれか。
A. 変更に関するセキュリティ監査の実施
B. 変更諮問委員会に対するセキュリティ・トレーニングの提供
C. 変更管理に関する上級管理職のサインオフの要求
D. セキュリティの観点から変更を見直す
回答を見る
正解: D
質問 #68
事業部門が情報セキュリティガバナンスフレームワークを遵守するための最も効果的な方法はどれか。
A. セキュリティ要件をプロセスに統合する
B. セキュリティ評価とギャップ分析の実施
C. ビジネスインパクト分析(BIA)の実施
D. 情報セキュリティ意識向上トレーニングの実施
回答を見る
正解: B
質問 #69
適切なインシデント対応手順の策定を促進するベストはどれか。
A. シナリオテストの実施
B. 脆弱性評価の実施
C. 主要リスク指標(KRI)の分析
D. 能力成熟度の評価
回答を見る
正解: A
質問 #70
セキュリティの優先順位を決定する最も効果的な方法はどれか。
A. 影響分析
B. 脅威の評価
C. 脆弱性評価
D. ギャップ分析
回答を見る
正解: A
質問 #71
データ分類プログラムを実施する組織では、データベース・サーバー上のデータに対する最終的な責任は、データベース・サーバーの管理者にある:
A. 情報セキュリティ・マネージャー
B. 事業部長
C. データベース管理者(DBA)。
D. 情報技術マネージャー:
回答を見る
正解: A
質問 #72
情報資産を分類する第一の理由は、それを確実にすることである:
A. 適切なアクセス制御。
B. 経営幹部の賛同。
C. 保険の評価は適切である。
D. 適切な所有権が確立されている。
回答を見る
正解: D
質問 #73
ある組織のマーケティング部門が、外部のマーケティング会社とメディアファイルを交換するために、クラウドベースのコラボレーションサイトへのアクセスを要求してきた。その結果、情報セキュリティマネジャーはリスクアセスメントを実施するよう要請された。次のうち、最も重要な検討事項はどれですか?
A. 交換する情報
B. 情報の伝達方法
C. 外部マーケティング会社の評判
D. サードパーティクラウドプロバイダーのセキュリティ
回答を見る
正解: B
質問 #74
次のうち、セキュリティポリシーを確立するためのステップはどれか。
A. プラットフォーム・レベルのセキュリティ・ベースラインの策定
B. RACIマトリックスの作成
C. ポリシーの策定と維持のためのプロセスを導入する。
D. ネットワークの設定パラメータを作成する
回答を見る
正解: C
質問 #75
セキュリティ標準がビジネス上の目的と矛盾する場合は、次の方法で解決する:
A. セキュリティ基準を変更する。
B. 事業目的を変更する。
C. リスク分析を行う。
D. リスクの受け入れを承認する。
回答を見る
正解: C
質問 #76
組織内で情報セキュリティガバナンスを成功させるために、最初に是正しなければならない状況はどれか。
A. 情報セキュリティ部門は欠員を埋めるのが難しい。
B. 最高情報責任者(CIO)がセキュリティポリシーの変更を承認する。
C. 情報セキュリティ監督委員会は四半期に一度しか開催されない。
D. データセンター管理者は、すべてのセキュリティプロジェクトについて最終的な署名を行う。
回答を見る
正解: D
質問 #77
情報セキュリティ・プログラムを確立するための最初のステップは、次のとおりである:
A. 組織のリスクを軽減する方針と基準を定める。
B. 組織のコミットメントとサポートを確保する。
C. 組織の規制要件へのコンプライアンスを評価する。
D. 経営幹部が許容できるリスクレベルを決定する。
回答を見る
正解: B
質問 #78
企業のセキュリティ管理体制の確立に経営幹部が関与する主な理由はどれか。
A. 企業セキュリティの望ましい状態を決定する
B. 最低限必要な管理レベルを確立する
C. 企業のセキュリティに関する監査人の勧告を満たすために
D. 企業のセキュリティに関する業界のベストプラクティスが守られていることを確認する。
回答を見る
正解: A
質問 #79
サーバーに適用されたすべてのセキュリティパッチが適切に文書化されていることを確認するための最良の方法は何ですか。
A. 変更管理要求をオペレーティングシステム(OS)のパッチログにトレースする。
B. OSのパッチ・ログをOSベンダーのアップデート・ドキュメントにトレースする。
C. OSのパッチログから変更管理要求をトレースする
D. 主要サーバーの変更管理文書をレビューする。
回答を見る
正解: C
質問 #80
ミッションクリティカルなサーバーに影響を及ぼす可能性のある新たな脆弱性に対処する有効なパッチがリリースされた。直ちに何をすべきか?
A. 緩和策を追加する。
B. サーバーをオフラインにし、パッチをインストールする。
C. サーバーのセキュリティをチェックし、パッチをインストールする。
D. 影響分析を行う。
回答を見る
正解: D
質問 #81
ある最高経営責任者(CEO)は、中央リスク登録簿を通じて、情報セキュリティリスク管理を組織レベルで実践することを求めている。このリスク登録の概要を取締役会に報告する最も重要な理由は、次のうちどれですか。
A. リスクマネジメントと組織目標の整合性を促進する。
B. リスク管理と軽減のために十分な資金を確保する。
C. 組織の規制および法的要件を遵守する。
D. 業界標準やトレンドとの整合性を確保する。
回答を見る
正解: A
質問 #82
ビジネスの観点からは、情報セキュリティの最も重要な機能はサポートすることである:
A. 予測可能なオペレーション。
B. 国際基準。
C. セキュリティ意識
D. 企業方針。
回答を見る
正解: D
質問 #83
次のリスクのうち、定性的リスク評価手法を使って評価するのが最も適切なものはどれか。
A. 購入したソフトウェアの盗難
B. 24時間続く停電
C. 顧客信頼度の永続的低下
D. ウイルス攻撃による電子メールの一時的な消失
回答を見る
正解: C
質問 #84
ある規制組織が、差し迫ったサイバー攻撃を警告する電子メールを情報セキュリティマネジャーに送信した。情報セキュリティ管理者は、まず最初に
A. アラートの信憑性を検証する。
B. 攻撃が進行中かどうかを判断する
C. ネットワーク・オペレーション・センターへの警告
D. 詳細を尋ねる返信
回答を見る
正解: A
質問 #85
ベンダーのリスク管理プロセスについて報告するパフォーマンス指標を選択する際、最初に行うべきことはどれか。
A. 守秘義務を確認する。
B. データ所有者を特定する。
C. データソースを選択します。
D. 意図する読者を特定する。
回答を見る
正解: B
質問 #86
ある教育部門が、事前の承認なしに、無料のクラウドベースのコラボレーションサイトに登録し、従業員にそのサイトを使用するよう呼びかけました。情報セキュリティ管理者の対応として最も適切なものはどれか。
A. リスクアセスメントを実施し、影響度分析を行う。
B. リスク登録簿を更新し、情報セキュリティ戦略を見直す。
C. 上級管理職に活動を報告する。
D. サイトの一時使用を許可し、データ漏洩を監視する。
回答を見る
正解: C
質問 #87
ネットワーク侵入検知システム(IDS)によって検知される可能性があるのはどれか?
A. 文書化されていないオープンポート
B. ファイルの不正変更
C. 内部生成攻撃
D. 電子メールに添付されたウイルス
回答を見る
正解: A
質問 #88
情報セキュリティ対策の投資収益率(ROI)の算出が困難な場合に、ビジネスケースに含めるべき BEST はどれか。
A. リスク削減の推定値
B. 推定効率増加
C. 長期的なコスト予測
D. 成熟度の上昇予想
回答を見る
正解: A
質問 #89
新たな情報セキュリティ投資を正当化する根拠として、最も適切なものはどれか。
A. 包括的な脅威分析の結果
B. 予想されるリスクの低減。
C. プロジェクトの優先順位付けにおける上級管理職の関与。
D. 主要業績評価指標(KPI)の定義
回答を見る
正解: A
質問 #90
リスクアセスメントでリスクが特定された。ビジネスプロセスオーナーは、修復コストが最悪のシナリオの予測コストよりも大きいため、そのリスクを受け入れることを選択した。情報セキュリティマネジャーは次にどのような行動をとるべきか。
A. より低コストの修復方法を決定する。
B. 文書化し、問題を再検討する日程を決める。
C. ビジネスアプリケーションをシャットダウンする。
D. 文書化し、上級管理職に報告する。
回答を見る
正解: D
質問 #91
情報セキュリティ管理者が情報セキュリティの戦略的計画を策定する場合、計画のタイムラインは次のようにすべきである:
A. IT戦略プランに沿ったものであること。
B. 現在の技術変化の速度に基づいている。
C. ハードウェア、ソフトウェアともに3年から5年。
D. 事業戦略との整合性
回答を見る
正解: D
質問 #92
構造化クエリー言語(SQL)インジェクション攻撃を阻止できる可能性のあるデバイスはどれか。
A. 侵入防御システム(IPS)
B. 侵入検知システム(IDS)
C. ホスト・ベースの侵入検知システム(HIDS)
D. ホストベースのファイアウォール
回答を見る
正解: A
質問 #93
情報セキュリティ戦略を策定する際に、事業部門の管理者にインタビューを実施する主な目的は何か。
A. 情報の種類の決定
B. 部門目標に関する情報の入手
C. データとシステムの所有者を特定する
D. 情報資産の分類
回答を見る
正解: B
質問 #94
ある組織が、別の国に新しいオフィスを開設する予定である。機密データは2つのオフィス間で日常的に送信される。情報セキュリティマネジャーが最初に取るべき行動は何か?
A. セキュリティポリシーを確立するために適用される規制要件を特定する。
B. 相手国の法規制を含むようにプライバシーポリシーを更新する。
C. 現行の企業セキュリティポリシーを新オフィスに適用する。
D. セキュリティ管理者の承認に基づき、本社に転送するデータを暗号化する。
回答を見る
正解: A
質問 #95
情報セキュリティマネジャーが、外部のサービスプロバイダーが組織の重要なデータを保護するための適切な管理策を導入していないことに気付いた場合、どのような行動を取るのがベストでしょうか?
A. コントロールギャップの影響を評価する。
B. 契約の再交渉を開始する。
C. 追加保険に加入する。
D. プロバイダの管理監査を実施する。
回答を見る
正解: A
質問 #96
アウトソーシング・プロバイダーが実施する活動が情報セキュリティ・ポリシーに準拠していることを確認するためには、以下の方法を使用するのが最も効果的である:
A. サービスレベル契約。
B. 独立監査。
C. 明示的な契約文言。
D. 現地の規制
回答を見る
正解: B
質問 #97
ある組織は、不正のリスクを最小限に抑え、相互研修を奨励するために、定期的なスタッフのローテーションを採用している。この慣行に最も適した権限付与方針はどれか。
A. マルチレベル
B. 役割ベース
C. 裁量
D. 属性ベース
回答を見る
正解: B
質問 #98
情報セキュリティマネジャーが、最近のビジネス変化に起因する新たな情報セ キュリティリスクに対処するための戦略を策定した。この戦略を経営幹部に提示する際に、最も重要な内容はどれでしょうか。
A. ビジネス・プロセスの変更に伴うコスト
B. 同業他社とのベンチマーク結果
C. 組織の変化がセキュリティリスクプロファイルに与える影響
D. リスク軽減に必要なセキュリティ管理
回答を見る
正解: C
質問 #99
リスク分析の範囲を最もよく表しているのはどれか。
A. 主要金融システム
B. 組織活動
C. 主要システムとインフラ
D. 規制遵守の対象となるシステム
回答を見る
正解: B
質問 #100
IDSを使って新たな脅威を検知する際、最も注意すべき方法はどれか。
A. 統計的パターン認識
B. 攻撃シグネチャ
C. 発見的分析
D. トラフィック分析
回答を見る
正解: B
質問 #101
組織の情報セキュリティ意識向上戦略の更新が効果的であることを示す指標として、最も適切なものはどれか。
A. スタッフからの報告件数の減少
B. 検出されたメールウイルスの数の減少
C. 検出される電子メールウイルスの数の増加
D. スタッフからの報告件数の増加
回答を見る
正解: A
質問 #102
ある基幹業務部門が、現在のセキュリティ基準を満たしておらず、企業ネットワークを脅かしている効果的なレガシーシステムに依存している。このような状況に対処するための最善策はどれか。
A. リスク登録簿に不備を文書化する。
B. レガシーシステムを他のネットワークから切り離す。
C. 基準を満たす新しいシステムの導入を義務付ける。
D. 欠陥を補うプロセスを開発する。
回答を見る
正解: A
質問 #103
公開鍵基盤(PKI)を使用したデジタル署名は、以下のようになる:
A. メッセージの完全性が保証されない。
B. 認証局(CA)がどの程度信頼されているかに依存する。
C. メッセージ交換には2つの当事者が必要である。
D. 高い機密性を提供する。
回答を見る
正解: B
質問 #104
ある組織が、仮想化された開発サーバーを展開するためのセルフサービスソリューションを検討している。情報セキュリティ管理者が最も懸念すべきことはどれか。
A. サーバーセキュリティベースラインを維持する能力
B. 最新のパッチを適用する能力
C. 過剰なセキュリティ・イベント・ログの生成
D. 本番環境からのサーバーの分離
回答を見る
正解: D
質問 #105
機密情報の不用意な開示の可能性を最も効果的に最小化できるのはどれか。
A. 最小特権の原則に従う
B. リムーバブルメディアの使用制限
C. データ分類ルールの適用
D. セキュリティポリシー違反に対する罰則の実施
回答を見る
正解: C
質問 #106
情報セキュリティガバナンスフレームワークを策定する際、FIRSTactivityとすべきはどれか。
A. システムの開発ライフサイクルプロセスにセキュリティを組み込む。
B. 情報セキュリティプログラムを、組織の他のリスク及び統制活動と整合させる。
C. フレームワークをサポートするための方針と手順を策定する。
D. セキュリティ侵害を検知し、確実に終結させるための対応策を策定する。
回答を見る
正解: B
質問 #107
アプリケーション・セキュリティの標準が整っていることを最も確実にするのはどれか。
A. 機能テスト
B. コード・レビューの実行
C. ソフトウェアコーディング標準の公開
D. 侵入テスト
回答を見る
正解: D
質問 #108
情報セキュリティの最も重要な機能はどれか。
A. 組織のリスク管理
B. セキュリティ侵害による財務的影響の軽減
C. システムの脆弱性の特定
D. セキュリティ・インシデントの防止
回答を見る
正解: A
質問 #109
組織における情報セキュリティガバナンスの第一の目標は、以下のとおりである:
A. ビジネスプロセスとの整合性
B. ビジネス目標との整合性
C. セキュリティ戦略の確立
D. セキュリティ・コストの管理
回答を見る
正解: B
質問 #110
情報セキュリティガバナンスの枠組みを構築する際、情報セキュリティ管理者が理解することが最も重要である:
A. 規制環境。
B. 情報セキュリティのベストプラクティス
C. 企業文化。
D. リスク管理手法
回答を見る
正解: A
質問 #111
組織の残存リスクが増大した場合、情報セキュリティ管理者が最初に実施すべきことはどれか。
A. リスクを軽減するためのセキュリティ対策を実施する。
B. 経営幹部に情報を伝える。
C. 第三者にリスクを移転する。
D. ビジネスインパクトを評価する。
回答を見る
正解: D
質問 #112
ある組織が最近、セキュリティ要件が含まれていない新しい調達プログラ ムを導入した。情報セキュリティマネジャーが最初に行うべきことはどれか。
A. 各ベンダーとの年間取引額に基づき、ベンダーのセキュリティ評価を実施する。
B. 調達責任者と面談し、セキュリティと組織の業務目標との整合性について話し合う。
C. C
D. コンプライアンス違反の問題が発生した場合、調達プログラムのギャップをコンプライアンス部門にエスカレーションする。
回答を見る
正解: B
質問 #113
情報セキュリティガバナンス機能の主要な責任はどれか。
A. 組織のプログラムをサポートするセキュリティ戦略の定義
B. 新技術を用いたソリューションに対する十分なサポートの確保
C. 情報セキュリティプログラムを強化するためのリスクを認識する文化の醸成
D. リスク選好度とリスク許容度の最適レベルについて上級経営陣に助言する。
回答を見る
正解: A
質問 #114
アウトソーシング先が情報セキュリティ・プロセスの有効性を低下させる:
A. 情報セキュリティガバナンス活動の責任者
B. セキュリティ・サービス・レベルが満たされた場合、追加収入を得る。
C. セキュリティ・サービスレベル契約を満たさなかった場合、違約金が発生する。
D. 単一のアクセス制御ソフトウェア製品を標準化する。
回答を見る
正解: A
質問 #115
情報セキュリティガバナンスの目的が達成されているかどうかを評価するために最も適切なツールはどれか。
A. SWOT分析
B. ウォーターフォール・チャート
C. ギャップ分析
D. バランススコアカード
回答を見る
正解: D
質問 #116
経営幹部が包括的な情報セキュリティ方針を承認した。次のうち、組織がNEXTに行うべきことはどれか。
A. 従業員に本方針の認識を促す。
B. ビジネス利害関係者に政策の賛同を求める。
C. 認証・認可システムを導入する。
D. 採用すべき情報セキュリティフレームワークを特定する。
回答を見る
正解: B
質問 #117
コールドサイト復旧施設を利用する主な欠点は、それがそうであるということだ:
A. 通常の営業時間内はテストを受けることができない。
B. 主要テナントが使用していない場合のみ利用可能。
C. 試験日を事前に予約することはできない。
D. サイトで重要なアプリケーションをテストするには、コスト効率が悪い。
回答を見る
正解: A
質問 #118
ある部門のシステムが、情報セキュリティポリシーのパスワード強度要件に準拠していない状態が続いている場合、実施すべき最善の措置は次のとおりである:
A. 運営委員会に問題を提出する。
B. 影響分析を行い、リスクを定量化する。
C. 残りのネットワークからシステムを隔離する。
D. 経営幹部にリスクの受け入れを要請する。
回答を見る
正解: B
質問 #119
ある組織がBYOD(Bring Your Own Device)プログラムを導入しました。次のうち、組織にとって最も大きなリスクはどれですか。
A. 否認防止機能の欠如
B. デバイスの非互換性
C. デバイスの盗難
D. データ漏洩
回答を見る
正解: D
質問 #120
情報セキュリティガバナンスフレームワークを組織全体で成功裏に実装するために最も重要なものはどれか。
A. 規制に沿った組織的なセキュリティ管理の展開
B. セキュリティ目的に沿ったセキュリティ管理プロセス
C. 既存の組織のセキュリティ文化
D. 業界のベストプラクティスに準拠したセキュリティポリシー
回答を見る
正解: B
質問 #121
ある情報セキュリティマネジャーが、間もなく配備されるオンラインアプリケーションが、許容レベルを超えてリスクを増大させ、必要な管理が含まれていないことに気づいた。情報セキュリティマネジャーが取るべき行動として、最も適切なものはどれか。
A. 上級管理職に対して、追加管理のビジネスケースを提示する。
B. 緊急のビジネスニーズに基づいてコントロールを展開するようIT部門に指示する。
C. 補償制御製品の入札を求める。
D. 別のアプリケーションを勧める。
回答を見る
正解: A
質問 #122
セキュリティリスクを特定する能力が向上していることを示す指標はどれか。
A. セキュリティ・インシデントの報告件数の増加。
B. 情報セキュリティトレーニングを必要とするスタッフの数が減少した。
C. 情報セキュリティリスク評価の回数が減少した。
D. セキュリティ監査上の問題解決件数が増加した
回答を見る
正解: D
質問 #123
ログの記録は、システム侵害に対するどのタイプの防御策の一例か?
A. 封じ込め
B. 検出
C. 反応
D. 回復
回答を見る
正解: B
質問 #124
情報セキュリティガバナンスプログラムに対する経営幹部のコミットメントを達成するために最も重要な要素は、次のとおりである:
A. 定義されたセキュリティの枠組み
B. 特定されたビジネスドライバー
C. 確立されたセキュリティ戦略
D. プロセス改善モデル
回答を見る
正解: B
質問 #125
特定のビジネスアプリケーションに必要な情報セキュリティレベルを実装し、維持するために最も適切な人材はどれか。
A. システムアナリスト
B. 品質管理マネージャー
C. プロセス・オーナー
D. 情報セキュリティ管理者
回答を見る
正解: C
質問 #126
Webベースのクロスドメイン攻撃から保護する最善のものはどれか。
A. データベースの堅牢化
B. アプリケーションコントロール
C. ネットワークアドレス指定スキーム
D. 暗号化制御
回答を見る
正解: B
質問 #127
既存の生産システムに弱点が持ち込まれるのを防ぐのに、最も効果的なのはどれか。
A. パッチ管理
B. 変更管理
C. セキュリティ・ベースライン
D. ウイルス検出
回答を見る
正解: B
質問 #128
Eコマース・アプリケーション向けのIaaS(Infrastructure as a Service)クラウド・コンピューティング・モデルを評価する際、企業が最も重視すべきことは何だろうか。
A. プロバイダーのサービスの利用可能性
B. 内部監査要件
C. アプリケーションが存在する場所
D. アプリケーションの所有権
回答を見る
正解: A
質問 #129
組織が情報セキュリティガバナンスをコーポレートガバナンスと連携させる上で、最も効果的なのはどれか。
A. ビジネス目標を達成するためのイネーブラーとしてのセキュリティの推進
B. IT 戦略に基づくセキュリティ施策の優先順位付け
C. ビジネス目標を達成するためのグローバルセキュリティ標準の採用
D. セキュリティ・パフォーマンス・メトリクスの開発
回答を見る
正解: A
質問 #130
シングルサインオン(SSO)製品の導入を正当化する最善の方法は、使用することである:
A. 投資利益率(ROD。
B. 脆弱性評価。
C. 年間損失見込み(ALE)。
D. ビジネスケース
回答を見る
正解: D
質問 #131
開発プロジェクトでリスクに確実に対処するために、リスクアセスメントを次のシステム開発フェーズのどれに組み込むべきか。
A. プログラミング
B. 仕様
C. ユーザーテスト
D. 実現可能性
回答を見る
正解: D
質問 #132
情報セキュリティマネジャーが規制当局の審査に備えるのに最も適しているのはどれか。
A. 規制当局との連絡役として情報セキュリティ管理者を任命する。
B. 規制ガイドラインと報告書を用いて自己評価を行う。
C. プロセス・オーナーの意見を取り入れた過去の規制報告書の評価
D. すべての規制に関する問い合わせが法務部門によって承認されていることを確認する。
回答を見る
正解: B
質問 #133
情報セキュリティマネジャーがリスクアセスメントを完了し、残存リスクを決定した。次のステップに進むべきはどれか。
A. 統制の評価の実施
B. リスクがリスクアペタイトの範囲内かどうかを判断する。
C. リスクを軽減するための対策を実施する。
D. 特定されたすべてのリスクを分類する
回答を見る
正解: B
質問 #134
ボーダールーターは次のうちどれに設置するべきか?
A. ウェブサーバー
B. IDSサーバー
C. スクリーニングされたサブネット
D. ドメイン境界
回答を見る
正解: D
質問 #135
組織が情報セキュリティガバナンスプログラムを策定する最も重要な理由はどれか。
A. 説明責任の確立
B. 監査要件の遵守
C. セキュリティ・インシデントの監視
D. 戦術的ソリューションの創造
回答を見る
正解: B
質問 #136
リスクマネジメント・プログラムが効果的であるために最も必要なものはどれか。
A. 柔軟なセキュリティ予算
B. 健全なリスクベースライン
C. 新たなリスクの発見
D. 正確なリスク報告
回答を見る
正解: C
質問 #137
クロスサイト・スクリプティングの脆弱性を悪用する攻撃者は、次のような手口を使う:
A. 適切な入力検証コントロールの欠如。
B. ウェブ・アプリケーション・レイヤーの認証制御が弱い。
C. SSL(セキュア・ソケット・レイヤー)の実装に欠陥があり、鍵の長さが短い。
D. 暗黙のウェブアプリケーションの信頼関係
回答を見る
正解: A
質問 #138
組織の契約管理プロセスにおいて、最も効果的なセキュリティ成果をもたらすのはどれか。
A. ランダム侵入テストを含むセキュリティ評価の拡大
B. 契約解除に伴う資産処分への担保評価の拡大
C. 提案依頼(RFP)段階でのベンダーのセキュリティベンチマーク分析の実施
D. 提案依頼書(RFP)の段階でセキュリティ要件が確実に定義されていること
回答を見る
正解: C
質問 #139
組織の技術基盤の変更によってもたらされる脆弱性を特定するために、最も役立つのはどれか。
A. 侵入検知システム
B. 確立されたセキュリティ・ベースライン
C. 侵入テスト
D. ログ集計と相関
回答を見る
正解: C
質問 #140
小売店の顧客が在庫を閲覧し、商品を注文できるようにする新しいウェブアプリケーションの開発をサポートするために、情報セキュリティマネジャーは何を推奨すべきか?
A. アクセス制御マトリックスの構築
B. 顧客に対し、基本的なセキュリティ基準を順守するよう要請する。
C. 仮想プライベートネットワーク(VPN)を介したアクセス
D. 安全な伝送プロトコルの実装
回答を見る
正解: D
質問 #141
セキュリティ・ソリューションの導入を提案する際、セキュリティ・マネジャーはまず何を活用するだろうか。
A. リスク評価報告書
B. 技術評価報告書
C. ビジネスケース
D. 予算要件
回答を見る
正解: C
質問 #142
ビジネスインパクト分析は、主に以下の目的で定期的に実施されるべきである:
A. 環境の変化に対する脆弱性を検証する。
B. 資産の重要性を分析する。
C. コントロールの有効性を検証する。
D. 規定遵守のチェック
回答を見る
正解: A
質問 #143
情報セキュリティリスク評価を実施するための最も重要な前提条件はどれか。
A. 資産の分類
B. リスク許容度の決定
C. ビジネスインパクト分析のレビュー
D. 脅威と脆弱性の評価
回答を見る
正解: D
質問 #144
大企業の取締役会をサポートしてガバナンスを構築する場合、情報セキュリティマネジャーの主な役割はどれか。
A. 経営幹部のコミットメントを得る
B. 安全保障予算の準備
C. 助言と指導の提供
D. バランススコアカードの開発
回答を見る
正解: C
質問 #145
情報が分類され、具体的な保護措置が取られることを保証する責任は誰にあるのか?
A. 警備員
B. 上級管理職
C. エンドユーザー
D. 管理人
回答を見る
正解: B
質問 #146
上級管理職が情報セキュリティガバナンスをコーポレートガバナンスに統合するための最も効果的な方法はどれか。
A. 企業戦略に基づいて情報セキュリティ戦略を策定する。
B. 事業部長を情報セキュリティ担当として任命する。
C. 組織全体の情報セキュリティ意識向上キャンペーンを推進する。
D. 組織全体から代表者を集めた運営委員会を設置する。
回答を見る
正解: A
質問 #147
セキュリティ技術間の関係は、次のうちどれによって定義するのが最も適切か。
A. セキュリティ・メトリクス
B. ネットワーク・トポロジー
C. セキュリティ・アーキテクチャ
D. プロセス改善モデル
回答を見る
正解: C
質問 #148
セキュリティガバナンスの導入を成功させるために最も重要な要件はどれか。
A. セキュリティバランススコアカードの導入
B. 全社的なリスク評価の実施
C. 組織戦略へのマッピング
D. 国際的な安全保障の枠組み
回答を見る
正解: C
質問 #149
国際的な事業拡大計画の一環として、ある組織が他の地域にある会社を買収した。効果的な情報セキュリティ・プログラムを維持するための最善の方法はどれか。
A. 変更管理の取り組みに情報セキュリティが含まれていることを確認する。
B. 継続性を確立するために2つの情報セキュリティプログラムを統合する。
C. 情報セキュリティ戦略に影響を及ぼし得る新たな要因を特定する。
D. 被買収企業に現行の情報セキュリティプログラムを導入する。
回答を見る
正解: C
質問 #150
ある情報セキュリティマネジャーが、最近公表された脅威に対処するために、新しいセキュリ ティ対策への投資を推奨している。次のうち、ビジネスケースに含めることが最も重要なものはどれでしょうか。
A. 脅威が顕在化した場合のビジネスへの影響
B. 安全保障予算における未使用資金の利用可能性
C. 信頼できる情報源からの脅威情報
D. 新しいイニシアティブと承認された事業戦略との整合性
回答を見る
正解: A
質問 #151
情報セキュリティ運営委員会のメンバーを選定する際に、最も重要な考慮事項はどれか。
A. 部門横断的な構成
B. 情報セキュリティの専門知識
C. 組織での在職期間
D. ビジネスの専門知識
回答を見る
正解: A
質問 #152
セキュリティアーキテクチャを実装するときは、情報セキュリティマネジャーはセキュリ ティ管理を確実に行わなければならない(MUST):
A. 脅威に対して複数のバリアを形成する。
B. 透明である。
C. 最も安価である。
D. セキュリティ・ポリシーを通じて伝達される。
回答を見る
正解: A
質問 #153
リスクプロファイルの構成要素で最も重要なものはどれか?
A. リスク管理の枠組み
B. データ分類結果
C. 侵入テストの結果
D. リスク評価方法
回答を見る
正解: A
質問 #154
情報セキュリティガバナンスのフレームワークを確立する上で、最も重要なものはどれか。
A. 情報セキュリティ運営委員会メンバーの選出
B. 情報セキュリティ戦略の策定
C. 情報セキュリティのバランススコアカード指標の決定
D. 情報セキュリティリスクシナリオの特定
回答を見る
正解: B
質問 #155
組織全体でセキュリティ意識向上プログラムを実施する最も重要な理由は何ですか。
A. 人的リスクの軽減
B. コンプライアンスを確保するためのトレーニング記録の証拠の保持
C. 事業部門にセキュリティ戦略を伝える
D. セキュリティインシデント対応に関する要員の訓練
回答を見る
正解: A
質問 #156
電子メールの添付ファイルからマルウェアが起動するのを防ぐのに、最も効果的なのはどれか。
A. 最新のセキュリティ・ポリシー
B. 電子メールサーバーを遮蔽されたサブネットに置く
C. セキュリティ意識向上トレーニング
D. ネットワーク侵入検知システム(NIDS)
回答を見る
正解: C
質問 #157
次のうち、裁量である可能性が最も高いのはどれか?
A. 方針
B. 手続き
C. ガイドライン
D. 規格
回答を見る
正解: C
質問 #158
情報セキュリティ・ビジネス・ケースが上級管理職によって承認された後は、そのビジネス・ケースを実行すべきである:
A. ソリューションの機能要件を設計するために使用される。
B. リスクアセスメントの基礎として使用される。
C. ソリューションの設計図を作るために参照した。
D. 意図した成果を確実にするため、重要な間隔で見直しを行う。
回答を見る
正解: D
質問 #159
十分に管理された環境において、セキュリティ・ソフトウエアの弱点の導入につながる可能性が最も高い活動はどれか。
A. パッチの適用
B. アクセスルールの変更
C. ハードウェアのアップグレード
D. ファイルのバックアップ
回答を見る
正解: B
質問 #160
従業員ポータルでSQLインジェクションを防ぐ最も効果的な方法はどれか。
A. データベーススキーマを再構成する
B. データベースの参照整合性を強制する
C. コードレビューの実施
D. ネットワーク侵入テストの実施
回答を見る
正解: B
質問 #161
組織が情報セキュリティガバナンスをサポートしていることを示すものとして、最も適切なものはどれか。
A. 従業員は毎年、組織全体のセキュリティ研修に参加する。
B. 情報セキュリティ方針は、従業員が容易に入手できる。
C. インシデント対応計画は文書化され、定期的にテストされる。
D. 情報セキュリティ運営委員会を定期的に開催している。
回答を見る
正解: D
質問 #162
技術的な管理がない場合、会社支給の携帯端末での不正なテキストメッセージを減らす最善の方法は何でしょうか?
A. ビジネスインパクト分析(BIA)を実施し、経営陣に報告書を提出する。
B. 企業のモバイル使用ポリシーを更新し、テキストを禁止する。
C. 組織が管理を実施できるようになるまで、モバイルデバイスの提供を停止する。
D. セキュリティ意識向上トレーニングに、禁止され ているテキスト送信のトピックを含める。
回答を見る
正解: D
質問 #163
グローバルな組織の情報セキュリティ管理者は、現地の情報セキュリティ・プログラムが、当初は、情報セキュリティ・プログラムに準拠していることを保証しなければならない:
A. 企業のデータ・プライバシー・ポリシー。
B. データが収集される場所でのデータ・プライバシー・ポリシー。
C. 本社の国のデータプライバシー方針。
D. 世界的に適用されるデータプライバシー指令
回答を見る
正解: B
質問 #164
監査、リスク、セキュリティの各機能が連携することで、経営幹部にとって主にどのようなメリットがあるのか。
A. 保証報告書の削減
B. より効果的な意思決定
C. よりタイムリーなリスク報告
D. より効率的な事故処理
回答を見る
正解: B
質問 #165
特定されたリスクを軽減するための改善努力の継続的な追跡は、次のうちどれを使用するのが最も効果的か。
A. ツリーダイアグラム
B. ベン図
C. ヒートチャート
D. 棒グラフ
回答を見る
正解: C
質問 #166
本番サーバー上のウイルス対策ソフトウェアのウイルス対策シグネチャファイルの更新頻度として、最も適切なものはどれか。
A. 毎日
B. 週間
C. O/Sパッチ・アップデートと同時に
D. 定期的な変更管理の更新
回答を見る
正解: A
質問 #167
内部セキュリティ攻撃から組織を守るのに最適なものはどれか。
A. 静的IPアドレス指定
B. 内部アドレス変換
C. 従業員の身元調査
D. 従業員意識認証プログラム
回答を見る
正解: C
質問 #168
ビジネスインパクト分析(B1A)に不可欠な要素は次のうちどれですか?
A. ダウンタイムの許容範囲、リソース、重要度
B. セキュリティ予算に占める1年間の業務停止コスト
C. 展開されている事業継続テスト手法
D. 危機管理チームの構成
回答を見る
正解: A
質問 #169
暗号鍵管理は、アプリケーション開発プロセスのどの段階で最初に取り組まれるのでしょうか?
A. 要件開発
B. 配備
C. システムテスト
D. コードレビュー
回答を見る
正解: A
質問 #170
個人所有デバイスの持ち込み(BYOD)を採用するかどうかを検討する場合、情報セキュリティ管理者にとって最も重要なことは、以下のことを確認することです:
A. ビジネスリーダーはセキュリティリスクを理解している。
B. 利用者は利用規約を読み、署名している。
C. セキュリティ・コントロールは、ネットワークに参加する際に各デバイスに適用される。
D. アプリケーションは実装前にテストされる。
回答を見る
正解: A
質問 #171
組織の営業部門のみが使用する、中央データベースに保存された顧客データの最も適切な所有者は、次のようになる:
A. 営業部門。
B. データベース管理者
C. 最高情報責任者(CIO)。
D. 営業部長。
回答を見る
正解: D
質問 #172
セキュリティマネジャーが残留リスクを受け入れるかどうかを判断する上で、最も重要なのはどれか。
A. 資産の取得原価
B. 潜在的な事業影響の許容レベル
C. 追加的な緩和策の費用対効果
D. 年率損失予想(ALE)
回答を見る
正解: C
質問 #173
セキュリティ意識向上トレーニングの効果を評価するための指標として、最も適切なものは次のうちどれですか?の数である:
A. パスワードのリセット
B. 報告された事件
C. 事件は解決した。
D. アクセスルール違反
回答を見る
正解: B
質問 #174
情報セキュリティ戦略における目的を説明する最も有用な方法は、次のようなものである:
A. 「望む状態」の属性と特徴。
B. セキュリティプログラムの全体的な管理目的
C. ITシステムを主要なビジネスプロセスにマッピングする。
D. 年間予想損失額の算出
回答を見る
正解: A
質問 #175
ギャップ分析の使い方として最も適切なものはどれか。
A. ビジネスインパクト分析(BIA)の評価
B. バランス・ビジネス・スコアカードの開発
C. コントロールの関係を示す
D. 現在の状態と将来の望ましい状態の比較測定
回答を見る
正解: D
質問 #176
セキュリティフレームワークを実施するために、情報セキュリティマネジャーはまず、セキュリティフレームワークを開発しなければならない:
A. セキュリティ基準。
B. セキュリティの手順
C. セキュリティポリシー
D. セキュリティガイドライン
回答を見る
正解: D
質問 #177
ある組織が、定められた期限までに現地の規制要件に準拠していなければ、厳しい罰金や罰則に直面する。上級管理職は、情報セキュリティマネジャーに、コンプライアンスを達成するための行動計画を作成するよう依頼した。計画立案に最も役立つ情報はどれか。
A. ギャップ分析の結果
B. ビジネスインパクト分析の結果
C. 期限と違反に対する罰則
D. 現在実施されているセキュリティ管理の目録
回答を見る
正解: D
質問 #178
利害関係者にセキュリティ指標を報告する主な目的はどれか。
A. 組織内の主要な統制を特定する。
B. セキュリティ監査活動の支援
C. セキュリティプログラムの有効性を伝える
D. 事業戦略との整合性を示す
回答を見る
正解: D
質問 #179
効果的な情報資産分類プロセスを実現するのに最適なものはどれか。
A. 資産の復旧時間目標(RTO)要件の見直し
B. 監査結果の分析
C. 分類プロセスにセキュリティ要件を含める
D. 所有権の譲渡
回答を見る
正解: C
質問 #180
次のうち、強力なパスワードを利用することで最も軽減できる攻撃はどれか。
A. 中間者攻撃
B. ブルートフォース攻撃
C. リモート・バッファ・オーバーフロー
D. ルートキット
回答を見る
正解: B
質問 #181
次のうち、情報セキュリティとビジネス機能との連携を最も支援するものはどれか。
A. セキュリティ運営委員会の設置
B. ITマネジメントによるセキュリティ評価の支援
C. セキュリティ侵入テストへの経営陣の参加
D. ビジネスプロセスにおけるテクノロジーセキュリティリスクの重視
回答を見る
正解: A
質問 #182
競争が激しく、進化し続けるオンライン市場で事業を展開する企業にとって、セキュリティ・ポリシーは最も重要なものである:
A. 新しいテクノロジーに対するポリシーを定義する。
B. 新技術の採用を可能にする。
C. 新技術の認定を義務付ける。
D. 新技術のリスク管理
回答を見る
正解: D
質問 #183
ウェブ・ブラウザでセキュア・ソケット・レイヤー(SSL)を使用する際に、通常欠けている機能はどれか。
A. 証明書ベースのウェブクライアント認証
B. 証明書に基づくウェブ・サーバの認証
C. クライアントとウェブサーバー間のデータ機密性
D. 複数の暗号化アルゴリズム
回答を見る
正解: A
質問 #184
フィッシングは次のうちどれが最も効果的か?
A. セキュリティ監視ソフトウェア
B. 暗号化
C. 二要素認証
D. ユーザーの意識
回答を見る
正解: D
質問 #185
効果的なセキュリティ・ガバナンスの成果
A. 事業依存度評価
B. 戦略的アライメント
C. リスク評価
D. プランニング。
回答を見る
正解: B
質問 #186
ソフトウエア開発をアウトソーシングする際、企業が安全なソフトウエア製品を確実に入手するためのベストなタイミングは、開発期間中である:
A. 企業のセキュリティレビュー
B. 契約履行監査
C. 契約交渉
D. セキュリティポリシーの策定
回答を見る
正解: C
質問 #187
ユーザーがセキュア・ソケット・レイヤー(SSL)を通じてウェブ・サーバーに認証するためにクライアント側のデジタル証明書を使用する場合、機密性は次のうちどれに対して最も脆弱か?
A. IPスプーフィング
B. 中間者攻撃
C. 否認
D. トロイの木馬
回答を見る
正解: D
質問 #188
情報セキュリティアーキテクチャを設計する際に最も重要な考慮事項はどれか。
A. 組織のリスク管理パラメータを定義する。
B. 情報セキュリティ・アーキテクチャが業界標準と整合している。
C. サポートされるセキュリティのレベルは、ビジネス上の決定に基づいている。
D. 既存の脅威の状況を監視する。
回答を見る
正解: C
質問 #189
効果的な情報セキュリティガバナンスを実現するために最も有効なものはどれか。
A. 定期的な脆弱性評価
B. 確立された情報セキュリティ測定基準
C. 高度なセキュリティ技術
D. セキュリティを意識した企業文化
回答を見る
正解: D
質問 #190
情報セキュリティ規制の新バージョンが発表され、組織のコンプライアンスが求められるようになった。情報セキュリティ管理者は、FIRSTを行う必要がある:
A. 新しいバージョンの規定に基づいて監査を行う。
B. リスクアセスメントを実施し、コンプライアンス違反のリスクを判断する。
C. 類似組織とのベンチマーキングを実施する。
D. 新規則に対するギャップ分析を行う。
回答を見る
正解: D
質問 #191
セキュリティ技術とプロセスへの投資は、それに基づいて行われるべきである:
A. 組織の目標および目的との明確な整合性。
B. 過去のプロジェクトで経験した成功事例。
C. ベスト・ビジネス・プラクティス
D. 既存の技術に内在するセーフガード。
回答を見る
正解: A
質問 #192
情報資源に機密性と重要性のクラスを割り当てる第一の理由は、その根拠を提供することである:
A. 情報セキュリティプログラムに含める範囲を決定する。
B. アクセス制御のレベルを定義する。
C. 情報資源のコストを正当化する
D. 情報セキュリティプログラム全体の予算を決定する。
回答を見る
正解: B
質問 #193
成熟度モデルの概念をサポートするセキュリティガバナンスフレームワークの開発に最も貢献す るのはどれか。
A. 継続的な分析、モニタリング、フィードバック
B. セキュリティ投資収益率(ROSD)の継続的モニタリング
C. 継続的なリスク削減
D. セキュリティ管理プロセスへの主要リスク指標(KRD)の設定
回答を見る
正解: A
質問 #194
ある情報セキュリティマネジャーが、外部FTPサーバーのルートパスワードがブルートフォース攻撃の対象になる可能性があることを知った。攻撃が成功する可能性を減らす最も適切な方法はどれか。
A. 攻撃者の送信元IPアドレスをブロックする。
B. リモートログオンが複数回失敗した場合にロックする。
C. 外部に面したサーバへのアクセスを無効にする。
D. 侵入検知システム(IDS)を導入する。
回答を見る
正解: B
質問 #195
内部脅威から機密情報を保護するための最も効果的な緩和策はどれか。
A. 資格審査プロセスの実行
B. 認証メカニズムの実装
C. 職務分離の定義
D. 権限管理の確立
回答を見る
正解: D
質問 #196
ネットワークへの侵入に成功した侵入者を、大きな被害が出る前に確実に検知する最善の方法は何か?
A. 定期的な侵入テストの実施
B. 最低限のセキュリティ・ベースラインを確立する
C. ベンダーのデフォルト設定を導入する
D. ネットワーク上にハニーポットを設置する
回答を見る
正解: D
質問 #197
新しいビジネスプロセスにセキュリティ管理が実装されていることを検証するのに最も適切なものはどれか。
A. 情報セキュリティポリシーに従ってプロセスを評価する。
B. 業界慣行と比較してプロセスをベンチマークする。
C. 認知された管理フレームワークの使用を検証する。
D. 情報セキュリティのベストプラクティスに適合しているか、プロセスをレビューする。
回答を見る
正解: A
質問 #198
機密性、完全性、可用性(CIA)の三位一体の中で、完全性の概念を最もよくサポートする活動はどれか。
A. サービスレベル契約の実施
B. データ分類スキーマの実装
C. 転送中のデータの暗号化の確保
D. 正式な変更管理プロセスの活用
回答を見る
正解: D
質問 #199
情報セキュリティの一元的な組織体制の利点として、最も優れているものはどれか。
A. 企業全体で共通レベルの保証が可能になります。
B. 事業部門のセキュリティチームを管理・統制しやすくなる。
C. 事業部門のニーズにより迅速に対応できる。
D. セキュリティー免除のリクエストに迅速に対応できる。
回答を見る
正解: B
質問 #200
情報セキュリティ標準に含めるべき最も重要な情報はどれか。
A. 作成日
B. 著者名
C. 初稿承認日
D. 最終審査日
回答を見る
正解: D
質問 #201
誰が、情報セキュリティガバナンスフレームワークの実施計画を BEST に承認できるか。
A. 内部監査人
B. 情報セキュリティ管理
C. 運営委員会
D. インフラ管理
回答を見る
正解: C
質問 #202
情報分類スキームはこうあるべきだ:
A. セキュリティ侵害の影響を考慮する。
B. 電子形式の個人情報を分類する。
C. 情報セキュリティマネージャーが行う。
D. 処理するデータによってシステムを分類する。
回答を見る
正解: A
質問 #203
情報セキュリティリスクを経営幹部に伝える最も効果的な方法はどれか。
A. ビジネスインパクト分析
B. バランススコアカード
C. 主要業績評価指標(KPI)
D. ヒートマップ
回答を見る
正解: A
質問 #204
情報セキュリティプログラムの有効性を示すために、上級管理職への定期的な報告書に含めるべき内容として、最も有用なものはどれか。
A. 主要リスク指標(KRI)
B. 能力成熟度モデル
C. 重要成功要因(CSF)
D. 主要業績評価指標(KPI)
回答を見る
正解: A
質問 #205
ソーシャルメディアの使用を通じてもたらされる感染症のリスクを軽減するために、啓発プログラムが実施される。啓発プログラムの有効性を判断するのに最適なものはどれか?
A. プログラム終了後のアンケート調査
B. 啓発プログラム資料に基づくクイズ
C. ソーシャル・エンジニアリング攻撃のシミュレーション
D. 啓発プログラムへの従業員の出席率
回答を見る
正解: C
質問 #206
情報セキュリティマネジャーが、組織のプロジェクト開発プロセスにセキュリ ティを確実に組み込むための最も効果的な方法はどれか。
A. 設計、テスト、実施時にセキュリティレビューを実施する。
B. 組織のセキュリティ要件をプロジェクト管 理に組み込む
C. プロジェクト管理室と良好なコミュニケーションを図る。
D. プロジェクトの開始、承認、資金調達に参加する。
回答を見る
正解: A
質問 #207
組織内で情報セキュリティの実装を成功させるために最も重要なものはどれか。
A. 情報セキュリティ管理者は、情報セキュリティ方針を設定する責任を負う。
B. 情報セキュリティグループ内に強力なリスク管理スキルがある。
C. 情報セキュリティツールに予算が割り当てられている
D. セキュリティは、すべての管理職と従業員に対して効果的にマーケティングされている。
回答を見る
正解: D
質問 #208
リカバリサイトを選択する際に、最も考慮すべきことは次のうちどれですか?
A. 規制要件
B. 回復時間の目標
C. 地理的位置
D. リカバリーポイント目標
回答を見る
正解: B
質問 #209
企業のeコマース・ウェブサイトでは、データ・プライバシーに関する優れた法的声明が含まれるべきである:
A. 会社が収集した情報をどう扱うかに関する声明。
B. ウェブサイト上の情報の正確性に関する免責事項。
C. 情報の保護方法に関する技術情報。
D. 情報のホスティング先に関する記述。
回答を見る
正解: A
質問 #210
優れたプライバシー・ステートメントには、次のような内容が含まれるべきである:
A. 情報の正確性に関する責任の通知。
B. 情報が暗号化されることを通知する。
C. 会社が収集した情報をどう扱うか。
D. 情報分類プロセスの説明。
回答を見る
正解: C
質問 #211
2つのホスト間の中間者(MitM)攻撃を完全に防ぐ方法はどれか。
A. 認証にセキュリティー・トークンを使う
B. IPSec VPNで接続する
C. サーバー側の証明書を使用して https を使用する。
D. 静的メディアアクセス制御(MAC)アドレスの強制
回答を見る
正解: B
質問 #212
大規模な組織では、復旧時間目標(RTO)を定義することは、第一義的には以下の責任である:
A. ITマネージャー。
B. 情報セキュリティマネージャー
C. 事業部長
D. シニアマネージャー
回答を見る
正解: D
質問 #213
アプリケーション・データの整合性リスクは、以下を含む設計によって最も直接的に対処できる:
A. ロールベースのエンタイトルメントなどのアクセス制御技術。
B. 承認されたデータ辞書の厳格な適用。
C. フィールドレベルの監査証跡やユーザーアクティビティログなどのアプリケーションログ要件。
D. チェックサム、ハッシュ合計、レコードカウントなどの照合ルーチン。
回答を見る
正解: D
質問 #214
情報の機密性を確保する責任は誰にあるのか?
A. 上級管理職
B. セキュリティ・マネージャー
C. データ所有者
D. カストディアン
回答を見る
正解: C
質問 #215
組織において、従業員の情報意識への関心を持続させる最も良い方法はどれか。
A. 全スタッフに対する共通のセキュリティ意識向上プログラムの確保
B. セキュリティ意識向上プログラムとセキュリティポリシーの関係
C. 全スタッフの参加を確保する
D. 多様なデリバリー方法の使用
回答を見る
正解: D
質問 #216
監視プロセスを一時的に停止することは、たとえ運用上のリスクを容認していたとしても、次のような場合、情報セキュリティマネジャーにとって容認できない可能性がある:
A. それはコンプライアンス上のリスクを意味する。
B. 短期的な影響は判断できない。
C. 業界のセキュリティ慣行に違反している。
D. 役割マトリックスの変化は検出できない。
回答を見る
正解: A
質問 #217
リスクマネジメントの目的は、リスクを最小限のレベルまで低減することである:
A. セキュリティ・ポリシーに準拠している
B. 業界や規制環境を考慮した実践的なものであること。
C. 技術的および財政的な観点から達成可能である。
D. 組織の好みを考慮すれば、受け入れられる。
回答を見る
正解: A
質問 #218
情報セキュリティマネジャーが上級管理者のコミットメントを求める場合、次のうちどれを知ることが最も重要か。
A. セキュリティコスト
B. 技術的脆弱性
C. セキュリティ技術要件
D. 実施タスク
回答を見る
正解: C
質問 #219
リスクマネジメントを既存の生産システムに組み込む最も効果的な方法は、以下のようなものである:
A. 政策立案。
B. 変更管理
C. 意識のトレーニング
D. 定期的なモニタリング
回答を見る
正解: B
質問 #220
技術的リスクを許容可能なレベルまで軽減することは、第一に考慮されなければならない:
A. ビジネス・プロセス・リエンジニアリング。
B. ビジネスプロセス要件
C. 法的および規制上の要件
D. 情報セキュリティ予算
回答を見る
正解: B
質問 #221
ビジネスにとってのシステムの重要性を特定する最良の方法は、次のようなものである:
A. 脅威の評価。
B. 資産分類。
C. 脆弱性評価。
D. 影響評価。
回答を見る
正解: B
質問 #222
リスク管理は最も費用対効果が高い:
A. 継続的に行われる場合。
B. セキュリティプログラムのビジネスケースを策定する。
C. セキュリティプログラム開発の初期段階。
D. 他の企業保証機能に統合された場合。
回答を見る
正解: D
質問 #223
セキュリティ情報・イベント管理(SIEM)システム導入のビジネスケースを作成する場合、フィージビリティ調査の主要な推進要因はどれか。
A. ソフトウェアのコスト
B. 費用便益分析
C. 実施時期
D. 業界ベンチマーク
回答を見る
正解: B
質問 #224
意図的な内部セキュリティ侵害を防ぐ最も効果的な方法はどれか。
A. 従業員の選考
B. よく設計されたファイアウォール・システム
C. よく設計された侵入検知システム(IDS)
D. バイオメトリクス・セキュリティ・アクセス制御
回答を見る
正解: B
質問 #225
システム管理者が、悪意ある攻撃についてセキュリティ管理者に直ちに通知しなかった。情報セキュリティ管理者は、次のような方法でこの状況を防ぐことができる:
A. インシデント対応計画を定期的にテストする。
B. 侵入検知システム(IDS)を定期的にテストする。
C. 全職員に対する義務的な研修を設ける。
D. インシデント対応手順を定期的に見直す。
回答を見る
正解: A
質問 #226
スピアフィッシング攻撃に対する最も効果的な防御策はどれか?
A. 統合脅威管理
B. ウェブフィルタリング
C. スパム対策
D. ユーザー意識向上トレーニング
回答を見る
正解: D
質問 #227
会社所有のモバイルデバイスを業務に導入する組織において、情報セキュリティ管理者の主な責任はどれか。
A. デバイスのリモートワイプ機能を要求する。
B. デバイスにパスワードとデータ暗号化を強制する。
C. セキュリティ意識向上トレーニングを実施する。
D. 既存のセキュリティポリシーを見直し、更新する。
回答を見る
正解: D
質問 #228
個人情報がネットワークを介して送信される場合、適切な管理が行われなければならない:
A. 変更管理。
B. プライバシーの保護
C. データ移転への同意
D. 暗号化装置
回答を見る
正解: B
質問 #229
請負業者やその他の一時的なユーザーのシステムアクセスが不要になった場合、そのアクセスを削除するためのBESTな方法はどれですか?
A. アカウントの使用状況をすべて記録し、マネージャーに送る。
B. 所定の自動有効期限を設定する。
C. ユーザーが退社する際、管理者がセキュリティ担当者に電子メールを送ることを義務付ける。
D. 各個人がセキュリティ確認書に署名していることを確認する。
回答を見る
正解: B
質問 #230
セキュリティ評価中に、情報セキュリティマネジャーが、重要なビジネスアプリケーションをホストしているサーバに、多くのセキュリティパッチがインストールされていないことを発見した。アプリケーションの所有者は、アプリケーションの中断を避けるために、パッチのインストールを承認しませんでした。情報セキュリティマネージャが最初にとるべき行動は、次のうちどれですか。
A. 上級管理職にリスクを報告する。
B. アプリケーション所有者に潜在的な影響を伝える。
C. リスクを情報セキュリティ運営委員会に報告する。
D. IT 管理者と緩和策を決定する。
回答を見る
正解: D
質問 #231
多数のユーザーを抱えるある組織では、アクセス制御アプリケーションを改善する必要がある。ネットワークやアプリケーションへの不正なユーザーアクセスを防ぐのに最も役立つのはどれか。
A. シングルサインオン
B. 生体認証システム
C. 複雑なユーザーパスワード
D. アクセス制御リスト
回答を見る
正解: D
質問 #232
脆弱性評価の主な目的は以下のとおりである:
A. 潜在的な脅威の影響を判断する。
B. 侵入検知システム(IDS)と対応手順をテストする。
C. システムが十分に安全であるという明確な証拠を提示する。
D. システムの危険につながる可能性のある欠陥を検出する。
回答を見る
正解: D
質問 #233
情報セキュリティプログラムを策定する際、利用可能なリソースを決定するために最も有用な情報源は何か。
A. 技能試験
B. 職務内容
C. 組織図
D. 技能の棚卸し
回答を見る
正解: D
質問 #234
世界各地で事業を展開する組織にとって、セキュリティ・ポリシーが現地の法律や規制に抵触しないようにするための最善のアプローチは、以下のとおりである:
A. 地域間の対立を避けるため、外部のグローバルスタンダードを参照する。
B. グローバルに適用できるよう、十分に高いレベルでポリシーを策定する。
C. ユニフォーム・ポリシーを採用する
D. グローバル・ポリシーとローカル・ポリシーの階層構造を確立する。
回答を見る
正解: D
質問 #235
組織の事業部門に一連のセキュリティ管理策を導入して成功したら、情報セキュリティマネジャーにとって最も重要なことは次のことである:
A. コントロールの有効性を定期的にテストする。
B. 関連する事業主に管理を引き継ぐ。
C. 将来のシステムアップグレードに対応できるよう、制御装置を準備する。
D. コントロールのパフォーマンスを業界水準と比較するテストを実施する。
回答を見る
正解: A
質問 #236
パブリック・クラウドではなくプライベート・クラウドを選ぶ最大のメリットは、次のようなものだろう:
A. サーバーの保護。
B. データ・フォレンジックの収集
C. オンラインサービスの可用性
D. 顧客データの封じ込め
回答を見る
正解: A
質問 #237
セキュリティプログラム内でリスク分析を使用する主な目的は、次のとおりである:
A. 警備費を正当化する。
B. 企業が保護すべき資産に優先順位をつけるのを支援する。
C. 残存リスク価値を経営陣に知らせる。
D. 暴露を評価し、修復を計画する。
回答を見る
正解: D
質問 #238
一元化されたリスク登録簿が作成され、優先順位が付けられた結果、いくつかの重大なリスクが特定された。情報セキュリティ管理者の最も重要な行動は次のとおりである:
A. リスク処理の選択肢を経営幹部に提供する。
B. リスクを低減するためのコントロールを設計し、実施する。
C. リスクの扱い方について外部の第三者に相談する。
D. 従業員にリスクを認識させる。
回答を見る
正解: A
質問 #239
情報セキュリティリソースのビジネスケースを作成する際、最も重要なものはどれか。
A. 上級管理職の意見
B. ギャップ分析
C. 費用便益分析
D. リスク評価
回答を見る
正解: C
質問 #240
リスクマネジメント戦略を定義する際に決定すべきことはどれか。
A. リスク評価基準
B. 組織目標とリスク選好度
C. ITアーキテクチャの複雑さ
D. 企業の災害復旧計画
回答を見る
正解: B
質問 #241
ビジネスリスクを特定し、優先順位をつけることで、プロジェクトマネージャーは以下のことが可能になる:
A. 実施のマイルストーンを設定する。
B. 全体のスラックタイムを減らす。
C. 最も重要な分野に取り組む。
D. クリティカルパスの完了を早める。
回答を見る
正解: C
質問 #242
組織Aはeコマースサービスを提供しており、インターネット通信を保護するためにセキュアトランスポートプロトコルを使用している。組織Aとの通信を確認するために、クライアントが確認すべき最善のものはどれか。
A. 電子商取引サーバーの証明書
B. ブラウザのSSL使用表示
C. 電子商取引サーバーのIPアドレス
D. eコマースサーバーのURL
回答を見る
正解: A
質問 #243
組織の事業活動との具体的な関連付けを含む情報セキュリティ戦略文書は、第一義的には以下の指標となる:
A. パフォーマンス測定。
B. 統合。
C. アライメント
D. 価値の提供
回答を見る
正解: C
質問 #244
特定されたいくつかのリスクは、適切な管理策により許容レベルまで緩和されている。許容可能なリスクレベルを維持するために、最も効果的な活動はどれか。
A. 内在するリスクの頻繁な評価
B. 環境変化の定期的なレビュー
C. 実施された管理策の定期的な費用便益分析
D. リスクアクションプランの頻繁な評価
回答を見る
正解: A
質問 #245
リソースに制限のあるセキュリティプログラムにおいて、限られたリソースを最も有効に活用できるのは、次のどのアプローチか。
A. クロストレーニング
B. リスク回避
C. リスクの優先順位付け
D. 脅威管理
回答を見る
正解: C
質問 #246
情報セキュリティリスク分析BESTは、組織が以下のことを確実に実行できるように支援する:
A. インフラには適切なレベルのアクセス制御がある。
B. 保護が必要な資産に関して費用対効果の高い決定がなされる。
C. 適切なレベルの資金をセキュリティプロセスに適用する。
D. 組織が適切なセキュリティ技術を導入する
回答を見る
正解: B
質問 #247
認可は、確立することによってBESTを達成することができる:
A. データの所有権。
B. ユーザーがシステムアクセス権を与えられたときにできること。
C. ユーザーが本人であるかどうか。
D. 情報システムに対するユーザーの識別方法。
回答を見る
正解: B
質問 #248
エンドユーザーから、新しいセキュリティ管理は制限が多すぎると言われたとき、情報セキュリティマネジャーはまず何をすべきか?
A. ビジネスインパクト分析(BIA)の実施
B. プロセスオーナーから、コントロールを解除することへの賛同を得る。
C. 統制環境の変更に関するリスクアセスメントの実施
D. 統制環境の変更に関する費用便益分析を実施する。
回答を見る
正解: C
質問 #249
情報分類ポリシーを定義する際に、最も関連性の高い要素はどれか。
A. 情報量
B. 利用可能なITインフラ
C. ベンチマーキング
D. データ所有者の要件
回答を見る
正解: D
質問 #250
組織の目的に対する情報セキュリティリスクの影響度を伝える最も効果的な方法は、提示することである:
A. ビジネスインパクト分析(BIA)の結果。
B. 詳細な脅威分析結果
C. リスク治療の選択肢
D. リスクヒートマップ。
回答を見る
正解: D
質問 #251
外部監査報告書の勧告に基づき、ディザスタリカバリ(DR)サイトの導入を承認する第一の正当な理由はどれか。
A. 費用便益分析
B. 復旧時間目標(RTO)
C. DRサイトのセキュリティ管理
D. 規制要件
回答を見る
正解: A
質問 #252
サードパーティプロバイダーとウェブホスティング契約を結ぶ際に、最も重要な項目はどれですか?
A. 終了条件
B. 賠償責任限度額
C. サービスレベル
D. プライバシーの制限
回答を見る
正解: C
質問 #253
情報セキュリティ・プログラムを成功させるために資産の分類が重要である最大の理由は、分類によって決まるからである:
A. リスク軽減努力の優先順位と程度。
B. 損失に備えて必要な保険金額。
C. 資産に対する適切な保護レベル。
D. 保護レベルが同業組織と比較してどうか。
回答を見る
正解: C
質問 #254
ある組織が、情報セキュリティを人事管理プロセスに統合したいと考えています。最初に着手すべきステップはどれか。
A. 情報セキュリティ統合のコストを評価する
B. プロセスのビジネス目標を評価する
C. プロセスに関連する情報セキュリティリスクを特定する
D. プロセスをベストプラクティスと比較し、ギャップを特定する。
回答を見る
正解: B
質問 #255
リスクアセスメントプロセスにおいて、最初に実施すべきステップはどれか。
A. スタッフインタビュー
B. 脅威の特定
C. 資産の識別と評価
D. 特定されたリスクの可能性の判断
回答を見る
正解: C
質問 #256
組織が標準化されたコンフィギュレーションの実装を効果的に監視するために、最も有効なものはどれか。
A. 設定の変更を記録するために、別の変更追跡システムを導入する。
B. 定期的な監査を実施し、非準拠の構成を検出する。
C. 確立されたベンチマークの使用を義務付ける方針を策定する。
D. 確立されたベンチマークに対して自動スキャンを実施する。
回答を見る
正解: D
質問 #257
情報セキュリティ管理者は、リスクアセスメントの手法を使用して、次のことを行う:
A. リスク軽減戦略の選択を正当化する。
B. 投資収益率(ROD)を最大化する。
C. 監査人や規制当局のために文書を提供する。
D. そうでなければ主観的になってしまうリスクを定量化する。
回答を見る
正解: A
質問 #258
回復時点目標(RPO)には、次のどれが必要ですか?
A. 災害宣言
B. 画像修復前
C. システムの復旧
D. 残像処理
回答を見る
正解: B
質問 #259
あるセキュリティマネジャーが、セキュリティプログラムに対する経営幹部のコミットメントを得るための報告書を作成している。次のうち、どれを含めることが最も価値があるか。
A. 類似組織で実際に起こった事例
B. 一般に認められたベストプラクティスの声明
C. 現実的な脅威を企業目標に関連付ける
D. 現在の技術的エクスポージャーの分析
回答を見る
正解: C
質問 #260
情報セキュリティはそうあるべきだ:
A. あらゆるリスクを排除することに重点を置いている。
B. 技術要件とビジネス要件のバランス。
C. 規制要件によって動かされる。
D. 取締役会によって定義される。
回答を見る
正解: B
質問 #261
セキュリティ機能を持つシステム管理者のアカウンタビリティを向上させるための最良の選択肢はどれか。
A. 職務記述書にセキュリティ責任を含める
B. 管理者にセキュリティ認証の取得を義務付ける
C. 侵入テストと脆弱性評価に関するシステム管理者のトレーニング
D. リスクアセスメントについてシステム管理者をトレーニングする
回答を見る
正解: A
質問 #262
新たなリスクが定期報告かイベントドリブン報告のどちらに該当するかの判断は、次のどれに基づくべきか?
A. 緩和策
B. 衝撃の可視性
C. 発生の可能性
D. 発生頻度
回答を見る
正解: B
質問 #263
情報セキュリティ戦略の主要な基礎となるべきものはどれか。
A. 組織のビジョンと使命
B. 情報セキュリティポリシー
C. 包括的なギャップ分析の結果。
D. 監査および規制要件
回答を見る
正解: A
質問 #264
ビジネスアライメントとセキュリティオーナーシップに加えて、情報セキュリ ティガバナンスにとって最も重要なものはどれか。
A. システムの監査可能性
B. ポリシーの遵守
C. セキュリティメトリクスの報告
D. エグゼクティブ・スポンサーシップ
回答を見る
正解: A
質問 #265
情報セキュリティプログラムにおける各自の役割と責任を事業部門に担わせるためのアプローチとして、最も適切なものはどれか。
A. リスクアセスメントを行う。
B. 意識向上プログラムを実施する。
C. セキュリティ監査を実施する。
D. コントロールと対策を開発する。
回答を見る
正解: B
質問 #266
リスク分析を行う最も重要な理由はどれか?
A. 適切な保護レベルの割り当て
B. 重要な情報資産の特定
C. 脅威の特定と排除
D. 組織内のセキュリティ意識の向上を促進する
回答を見る
正解: A
質問 #267
インターネットソフトウェアのセキュリティパッチをベンダーから受け取った場合、最初に行うべき活動はどれか。
A. パッチはハッシュアルゴリズムを使って検証されるべきである。
B. パッチは重要なシステムに適用すべきである。
C. パッチを脆弱性のあるシステムに迅速に導入する必要がある。
D. パッチはテスト環境で評価されるべきである。
回答を見る
正解: A
質問 #268
メッセージを安全に転送する方法として最も適しているのはどれか?
A. パスワードで保護されたリムーバブルメディア
B. セキュリティで保護された部屋でのファクシミリ送信
C. 公開鍵基盤(PKI)暗号化の使用
D. ステガノグラフィ
回答を見る
正解: C
質問 #269
リスク管理プログラムは、リスクを軽減するために設計されている:
A. 測定するには小さすぎるレベル。
B. 利益が費用を上回る時点。
C. 組織が喜んで受け入れるレベル。
D. 現在の資本コストに等しい収益率。
回答を見る
正解: C
質問 #270
販売時点情報管理(POS)レジで取得した顧客のクレジットカード情報を保護する際に、最も重要な考慮事項は次のうちどれですか?
A. 認証
B. 硬化
C. 暗号化
D. 否認防止
回答を見る
正解: C
質問 #271
情報セキュリティガバナンスとコーポレートガバナンスの整合性を示すものとして、最も適切なものはどれか。
A. 事業部門全体の平均セキュリティインシデント件数
B. セキュリティ・プロジェクトの正当性をビジネス価値という観点で示す。
C. 高リスク情報資産について特定された脆弱性の数
D. 全社的なセキュリティインシデントの平均解決時間
回答を見る
正解: B
質問 #272
最も効果的なアクセス制御はどれか。
A. 集中型
B. 役割ベース
C. 分散型
D. 裁量
回答を見る
正解: B
質問 #273
戦略的な情報セキュリティの意思決定を行うためのアプローチとして、最も適切なものはどれか。
A. 情報セキュリティ運営委員会を設置する。
B. 定期的な上級管理職会議を設置する。
C. 定期的な情報セキュリティ状況の報告を確立する。
D. 事業単位のセキュリティワーキンググループを設置する。
回答を見る
正解: D
質問 #274
フォレンジック分析ツールに投資する必要性を正当化するために、情報セキュリティ管理者はFIRSTを行うべきである:
A. ソリューションの機能性と実装要件を確認する。
B. 同業他社におけるツール導入の比較レポートをレビューする。
C. そのようなツールが役に立つ状況の例を示す。
D. 組織のニーズを満たすための投資を立証する。
回答を見る
正解: D
質問 #275
多国籍組織では、グローバル・セキュリティ・ポリシーよりもローカル・セキュリティ・ポリシーを実施すべきである:
A. グローバルな政策よりも、現地の規制を意識した展開の方が現実的である。
B. グローバルセキュリティポリシーには、ローカルビジネスにとって不必要なコントロールが含まれている。
C. 事業目標は、現地の事業部門マネジャーによって定義される。
D. 現地規則の要求事項が優先される。
回答を見る
正解: D
質問 #276
情報セキュリティ管理者が、クラウドベースのソリューションに関連するリスクを特定するのに最適なものはどれか。
A. 組織のセキュリティ・ポリシーに照らしたソリューションの評価
B. サービス・レベル・アグリーメント(SLA)に対するベンダーの遵守状況のレビュー
C. クラウドサービスプロバイダーの第三者監査のレビュー
D. クラウド・ソリューションを使用している同業他社とのベンチマーキング
回答を見る
正解: C
質問 #277
データ所有者は、次のどの分野に対処するためのリスク軽減方法を確立する第一義的な責任を負うか?
A. プラットフォームのセキュリティ
B. 資格の変更
C. 侵入検知
D. ウイルス対策
回答を見る
正解: B
質問 #278
次のうち、最も一般的に情報セキュリティガバナンス運営委員会の範囲に入るものはどれか。
A. 情報セキュリティスペシャリスト候補者との面接
B. セキュリティ意識向上プログラムのコンテンツの開発
C. 情報セキュリティ対策の優先順位付け
D. 重要な金融システムへのアクセスの承認
回答を見る
正解: C
質問 #279
情報セキュリティ戦略計画の主な目標は以下の通りである:
A. リスク評価計画を立てる。
B. データ保護計画を策定する。
C. 情報資産とリソースを保護する。
D. セキュリティ・ガバナンスを確立する。
回答を見る
正解: C
質問 #280
コストと現実的な復旧時間枠のバランスをとる復旧時間目標(RTO)を設定する最善の方法は、次のとおりである:
A. ビジネスインパクト分析(BIA)を実施する。
B. 1日のダウンタイムコストを決定する。
C. コスト指標を分析する。
D. リスクアセスメントを実施する。
回答を見る
正解: A
質問 #281
情報セキュリティガバナンスプログラムの最も基本的な要件は、次のとおりである:
A. 企業の経営戦略に沿ったものであること。
B. 健全なリスク管理手法に基づいていること。
C. 十分な規制遵守を提供する。
D. セキュリティ対策のベストプラクティスを提供する。
回答を見る
正解: A
質問 #282
リスクの特定、分析、緩和活動をビジネス・ライフサイクル・プロセスにリンクさせることで、BESTに統合することができる:
A. コンプライアンス・テスト
B. 構成管理
C. 継続計画
D. 変更管理
回答を見る
正解: B
質問 #283
情報セキュリティプログラムへの投資を支援するビジネスケースを作成する際に、最も重要な検討事項はどれか。
A. 上級管理職のサポート
B. 費用便益分析の結果
C. リスクアセスメントの結果
D. リスクプロファイルへの影響
回答を見る
正解: D
質問 #284
社外の個人が企業データベース上の機密情報を変更できないようにするための、最も効果的なソリューションはどれか。
A. 選別されたサブネット
B. 情報分類の方針と手順
C. 役割ベースのアクセス制御
D. 侵入検知システム(IDS)
回答を見る
正解: A
質問 #285
ミッションクリティカルなサーバーに影響を及ぼす可能性のある新たな脆弱性に対処するための有効なパッチがリリースされた。
A. 緩和策を追加する。
B. サーバーのセキュリティをチェックし、パッチをインストールする。
C. 影響分析を行う。
D. サーバーをオフラインにし、パッチをインストールする。
回答を見る
正解: C
質問 #286
ビジネスインパクト分析(BIA)を実施する理由として、最も適切なものはどれか。
A. リスクの現状を把握するために
B. 必要な統制のために適切な予算を組むこと。
C. 規制要件を満たすため
D. 事業への影響を分析する
回答を見る
正解: A
質問 #287
データ・プライバシー規制に関連した適切な管理をユーザーが適用できるようにするために、ユーザーに伝えるべき最も重要なことは何か?
A. データ保護製品の特徴
B. データ保存手順
C. 侵入テストの結果
D. データ分類ポリシー
回答を見る
正解: B
質問 #288
組織が情報セキュリティガバナンスプログラムを実施する場合、取締役会は以下の責任を負うべきである:
A. 情報セキュリティポリシーを作成する。
B. トレーニングおよび意識向上プログラムの見直し
C. プログラムの戦略的方向性を設定する。
D. コンプライアンスの監査
回答を見る
正解: C
質問 #289
リスク発生率は低いが影響が大きい場合、最も適切な対策はどれか。
A. リスク移転
B. リスクの受容
C. リスクの軽減
D. リスク回避
回答を見る
正解: A
質問 #290
資産価値を考慮する場合、情報セキュリティ管理者が情報セキュリティガバナンスにおける価値提供の測定に最も客観的な根拠を与えるのはどれか。
A. コントロールの数
B. 管理目標を達成するためのコスト
C. 統制の有効性
D. コントロールの試験結果
回答を見る
正解: B
質問 #291
15カ国で事業を展開する多国籍企業が、情報セキュリティプログラムの導入を検討している。情報セキュリティプログラムの設計に最も影響を与える要因はどれか。
A. 地域のビジネスリーダーによる代表
B. 取締役会の構成
C. 各国の文化
D. ITセキュリティスキル
回答を見る
正解: C
質問 #292
ある組織がセキュリティ情報・イベント管理(SIEM)ツールを購入しました。実装前に考慮すべき最も重要なものは次のうちどれですか。
A. モニターされるコントロール
B. レポート機能
C. SIEMベンダーとの契約
D. 利用可能な技術サポート
回答を見る
正解: A
質問 #293
停電に備えて適切なサービス継続を可能にするために、ITサービスプロバイダとその顧客との間で確立する必要があるものはどれか。
A. データ保持ポリシー
B. サーバーメンテナンスプラン
C. 回復時間の目標
D. 相互サイト契約
回答を見る
正解: C
質問 #294
アノマリーベースの侵入検知システム(IDS)が適切に設置されているかどうかを判断する最善の方法は、次のとおりである:
A. 攻撃をシミュレートし、IDSのパフォーマンスを確認する。
B. ハニーポットを使用して、異常なアクティビティをチェックする。
C. IDSの設定を監査する。
D. ピアサイトに対して IDS をベンチマークする。
回答を見る
正解: A
質問 #295
次の要因のうち、情報セキュリティガバナンスの主要な推進要因であり、さらなる正当化を必要としないものはどれか。
A. 業界のベストプラクティスとの整合
B. 事業継続投資
C. ビジネス上のメリット
D. 規制遵守
回答を見る
正解: D
質問 #296
オペレーショナルリスクに関する新たな規制要件に対応する学際的チームにおける情報セキュリティマネジャーの役割について、最も適切なものはどれか。
A. すべてのITリスクを確実に特定する
B. 情報セキュリティリスクの影響を評価する
C. IT 軽減策が実施されていることを証明する。
D. オペレーショナル・リスクを軽減するための新たなIT統制の提案
回答を見る
正解: B
質問 #297
セキュリティガバナンスの枠組みの中で、情報セキュリティ委員会 の最も重要な特徴はどれか。委員会
A. セキュリティ・ポリシーを頻繁に見直す。
B. 社外の専門家との関係を築いている
C. 明確に定義された憲章と会議手順がある。
D. あらゆるレベルの経営陣が含まれる。
回答を見る
正解: D
質問 #298
アウトソーシングアプリケーションの保護戦略を策定する場合、情報セキュリ ティマネージャは以下を確実にしなければならない:
A. エスクロー契約がある。
B. セキュリティ要件は、サービス・レベル・アグリーメント(SLA)に含まれている。
C. セキュリティに関する責任は、サービス・レベル・アグリーメント(SLA)で移譲される。
D. 契約書に守秘義務条項がある。
回答を見る
正解: B
質問 #299
情報セキュリティ戦略委員会に報告するための指標を設定する際、最も重要な検討事項は何ですか。
A. メトリクスの基準値の合意
B. 指標を伝えるためのダッシュボードの開発
C. 組織のセキュリティ状況をリアルタイムで把握する
D. メトリクスの期待値を業界標準に照らしてベンチマークする。
回答を見る
正解: A
質問 #300
ある組織が、規制当局の監視下にある財務アプリケーションの監視とサポートを、サードパーティベンダーに依頼している。このアプリケーションの厳密なデータ完全性と機密性を維持することは、ビジネスにとって非常に重要である。
A. システムとデータ間の職務分離の実施
B. アクセスとデータロギングの有効化
C. ベンダーのアクセスを無効にし、アクセスが必要なときだけ再度有効にする。
D. ベンダー従業員の定期的なアクセスレビューの実施
回答を見る
正解: B
質問 #301
リスクマネジメント・プログラムの第一の目的は以下の通りである:
A. 固有のリスクを最小限に抑える。
B. ビジネスリスクを排除する。
C. 効果的なコントロールを実施する。
D. 残留リスクを最小限に抑える。
回答を見る
正解: D
質問 #302
リスクアセスメントの結果、リスクを軽減するために必要なコストが、 得られる利益よりもはるかに大きいと判断される。情報セキュリティマネージ ャーは、ビジネスマネジメントに対して、リスクを軽減するよう勧告する:
A. 移籍した。
B. 治療を受けた。
C. は受け入れた。
D. 終了。
回答を見る
正解: C
質問 #303
レガシーアプリケーションが規制要件に準拠していないが、ビジネスユニットには修復のための予算がない場合、情報セキュリティマネジャーが最初に行うべきことはどれか。
A. 改善努力に資金を提供するためのビジネスケースを作成する。
B. 上級管理職に対し、コンプライアンス違反のリスクを受け入れるよう助言する。
C. 不適合なレガシーアプリケーションについて、法務および内部監査に通知する。
D. コンプライアンス違反の結果を、是正費用と照らし合わせて評価する。
回答を見る
正解: D
質問 #304
支店の業務に必要な主要システムは本社にある。支店Aは、災害復旧施設を提供するために第三者と交渉しています。次の契約条件のうち、最も重大な懸念事項はどれでしょうか?
A. 支店のホットサイトを共有する必要があるかもしれない。
B. ホットサイトから本社への接続は提供されない。
C. 不履行に対する違約金条項は契約に含まれていない。
D. ホットサイトを監査する権利は契約に定められていない。
回答を見る
正解: B
質問 #305
暗号化されていないデータを持つモバイル機器の紛失において、最も考慮すべき重要な要因はどれか。
A. 個人情報の開示
B. 偶発的な損害に対する保険契約の十分な補償範囲
C. 機器に保存されたデータの本質的価値
D. 機器の交換費用
回答を見る
正解: C
質問 #306
情報セキュリティガバナンスの利点はどれか。
A. 民事または法的責任の可能性の低減
B. ベンダーとの信頼関係を疑う
C. 不完全な経営情報に基づく意思決定のリスク増大
D. 管理プロセスの開発における上級管理職の直接的関与
回答を見る
正解: A
質問 #307
リスクランキングで最も重要なステップはどれか?
A. 影響評価
B. 緩和コスト
C. 脅威の評価
D. 脆弱性分析
回答を見る
正解: A
質問 #308
ある事業部門が、既存の情報セキュリティ基準に違反する方法で新技術を導入しようとしている。情報セキュリティ管理者は、直ちにどのような行動を取るべきか?
A. 既存のセキュリティ基準を実施する。
B. 配備を許可するように規格を変更する
C. リスク分析を行い、リスクを定量化する。
D. より良い技術の使用を提案するための研究を行う。
回答を見る
正解: C
質問 #309
アウトソーシングを決定する際、組織内に保持することが最も重要な機能はどれか?
A. セキュリティ管理
B. インシデント対応
C. リスク評価
D. セキュリティ・ガバナンス
回答を見る
正解: D
質問 #310
情報セキュリティ・プログラムに関連するリスクを監視するための指標を選択するとき、情報セキュリティ管理者にとって最も重要なことは、以下のことである:
A. 業界ベンチマークを活用する。
B. 組織の事業戦略を検討する。
C. プログラムのリスクとそれを補う管理策を特定する。
D. プログラムの戦略的目標を検討する。
回答を見る
正解: B
質問 #311
重要なビジネスアプリケーションの可用性を妨げる可能性のある脆弱性の侵入を防ぐために、最も効果的なのはどれか。
A. パッチ管理プロセス
B. 変更管理統制
C. 論理アクセス制御
D. バージョン管理
回答を見る
正解: B
質問 #312
組織の個人情報保護責任者を支援する場合、プライマシー要件に関する情報セキュリティマネジャーの主な役割はどれか。
A. 個人データの転送を監視する
B. プライバシー啓発プログラムの実施
C. 適切な管理体制の確保
D. データ分類の決定
回答を見る
正解: C
質問 #313
ある組織のマーケティング部門が、情報セキュリティポリシーに準拠していないオンラインコラボレーションサービスを利用したいと考えている。リスクアセスメントが実施され、リスク受容が追求されている。リスク受容の承認は、以下の者が行う:
A. 情報セキュリティ管理者
B. ビジネスの上級管理職
C. 最高リスク責任者
D. コンプライアンス・オフィサー
回答を見る
正解: B
質問 #314
情報セキュリティの再評価頻度を決定する際に、最も重要な要素はどれか。
A. リスクの優先順位
B. リスク測定基準
C. 監査結果
D. 緩和策
回答を見る
正解: B
質問 #315
情報セキュリティガバナンスに関する取締役会レベルの活動として、最も適切なものはどれか。
A. セキュリティと継続性のオーナーシップを確立する
B. インシデントに関する "what-if "シナリオの作成
C. セキュリティ・ベースライン対策の確立
D. 職能評価に安全保障を含める
回答を見る
正解: A
質問 #316
ある組織が最近実施したリスクアセスメントによって、多くのセキュリティリスク領域が特定された。情報セキュリティマネジャーがこの情報を説明するための最良の選択肢はどれか。
A. リスク登録
B. リスクヒートマップ
C. スパイダー・ダイアグラム
D. バランススコアカード
回答を見る
正解: B
質問 #317
組織の情報セキュリティガバナンスフレームワークが有効であることを示す証拠として、最も適切なものはどれか。
A. 組織に対する脅威が減少した。
B. リスク登録は毎年見直される。
C. このフレームワークは、主に技術的統制に焦点を当てている。
D. フレームワークは組織の変化に対応できる。
回答を見る
正解: A
質問 #318
ITインフラ担当者の十分な災害への備えを確保するためには、以下のことが最も重要である:
A. 復旧テストには、最も経験豊富な人員を参加させる。
B. 各回復テストにエンドユーザー要員を含める。
C. 復旧計画において、人員固有の職務を割り当てる。
D. リカバリーテスト参加者を定期的に交代させる。
回答を見る
正解: D
質問 #319
リスク評価調査の結果、グローバルに事業を展開するある銀行が、個人情報の盗難が多発している世界の特定の地域で事業を継続することを決定した。情報セキュリティマネジャーは、この企業に次のことを促すべきである:
A. それらの地域での顧客啓蒙活動を強化する。
B. 潜在的な不正行為を検知し、対応するための監視技術を導入する。
C. クレジットカード処理を第三者に委託する。
D. 銀行のアドバイスに従わなかった場合、顧客に損失責任を負わせる。
回答を見る
正解: B
質問 #320
情報セキュリティプログラムに対する上級管理者の支持を示すものとして、最 も適切なものはどれか。
A. 詳細な情報セキュリティ方針を定め、定期的に見直す。
B. 情報セキュリティ管理者は、事業部門と定期的に会合を持つ。
C. C
D. リスクアセスメントは、情報セキュリティチームによって頻繁に実施されている。
回答を見る
正解: C
質問 #321
シグネチャベースの侵入検知システム(IDS)の有効性を低下させる可能性が最も高いのはどれか?
A. 監視の対象となる活動は、通常と考えられるものから逸脱している。
B. 監視活動に関する情報が古くなる。
C. 普段の行動パターンが素早く劇的に変化する。
D. 環境は複雑だ。
回答を見る
正解: D
質問 #322
SQLインジェクション攻撃に対する最善の防御策は?
A. 定期的に更新される署名ファイル
B. 適切に設定されたファイアウォール
C. 侵入検知システム
D. 入力フィールドの厳格な管理
回答を見る
正解: D
質問 #323
効果的な運用セキュリティ体制を導入するための戦略として、最も適切なものはどれか。
A. 脅威管理
B. 深層防衛
C. セキュリティ意識の向上
D. 脆弱性管理
回答を見る
正解: B
質問 #324
ある組織がサードパーティのeコマースプロバイダと契約した。その後のコンプライアンスレビュー期間中に、情報セキュリティマネジャーが調査することが最も重要なものはどれか。
A. プロバイダーの管理とインフラの変更
B. 財務準備金と維持費
C. サービスレベル契約の遵守
D. 契約における監査権条項
回答を見る
正解: A
質問 #325
情報セキュリティ運営委員会が新たなセキュリティ管理策の実施計画をレビューする主な理由は、以下のことを確認するためである:
A. その計画は、組織の事業計画と整合している。
B. 各部門の予算が適切に配分され、プランに充当される。
C. 規制監督要件が満たされている。
D. 計画が事業部門に与える影響は軽減される。
回答を見る
正解: A
質問 #326
継続的なセキュリティ予算を正当化するために、情報セキュリティ部門にとって最も有益なものはどれか。
A. セキュリティ侵害の頻度
B. 年率損失予想(ALE)
C. 費用便益分析
D. ピアグループ比較
回答を見る
正解: C
質問 #327
キャパシティ・プランを実施することで、それを防ぐことができる:
A. 分散型サービス拒否攻撃によるファイルシステムの過負荷
B. 定期的なセキュリティメンテナンスのためのシステム停止時間
C. バッファ容量の脆弱性を悪用したソフトウェア障害
D. ハードウェアリソースの不足に起因するアプリケーションの障害
回答を見る
正解: D
質問 #328
新たな規制要件が組織の情報セキュリティ管理に与える影響を明確に理解するために、情報セキュリティマネジャーはFIRSTを実施すべきである:
A. 経営陣へのインタビュー
B. リスクアセスメントの実施
C. 費用対効果の分析を行う
D. ギャップ分析を行う
回答を見る
正解: D
質問 #329
組織の情報セキュリティ・プロセスは、現在、場当たり的なものと定義されている。そのパフォーマンスレベルを向上させるために、組織がとるべき次のステップは以下のとおりである:
A. セキュリティプロセスが組織全体で一貫していることを確認する。
B. セキュリティの基本水準を組織全体に徹底する。
C. セキュリティプロセスが完全に文書化されていることを確認する。
D. セキュリティプロセスの主要業績評価指標の監視を実施する。
回答を見る
正解: A
質問 #330
上級管理者は、セキュリティ改善計画の中で重大なリスクを受け入れることを決定した。情報セキュリティマネジャーが取るべき行動として、最も適切なものはどれか。
A. リスクを是正し、その根拠を文書化する。
B. リスク登録簿を更新し、リスクを受け入れる。
C. 改善計画を取締役会に伝える。
D. 規制当局にリスク受容を報告する。
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.