すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

成功の秘訣:CISM試験問題&模擬試験, 公認情報セキュリティマネジャー|SPOTO

SPOTO の包括的なリソースで、CISM (Certified Information Security Manager) 試験をマスターする成功の秘訣を解き明かしましょう。当社の入念に作成された試験問題と模擬試験は、情報セキュリティガバナンス、リスク管理、インシデント管理、規制遵守など、重要なトピックをすべて網羅しています。サンプル問題や試験資料を含むさまざまな試験準備ツールにアクセスして、理解を深め、スキルを磨くことができます。SPOTO で不確実性に別れを告げ、信頼できる試験練習を取り入れましょう。試験シミュレーターを活用して試験環境を再現し、受験戦略を効果的に完成させましょう。試験問題集やオンライン試験問題集など、SPOTOは成功に不可欠なリソースを提供します。弊社の無料な試験で、あなたのCISM試験への準備を完璧にしましょう。
他のオンライン試験を受ける

質問 #1
フレームリレーネットワークの接続が18~24時間失われた場合の影響は、次のように計算する:
A. キャリアが請求する1時間当たりの請求料金。
B. ネットワーク経由で送信されるデータの値。
C. 影響を受ける全ビジネスユーザーの補償総額。
D. 影響を受ける事業部門が被る財務上の損失。
回答を見る
正解: D
質問 #2
全社的な事業継続計画を構築しているとき、同じ脅威によって影響を受ける可能性のある2つの独立した業務システムがあることが判明した。災害発生時にシステム復旧の優先順位を決定する方法として、最も適切なものはどれか。
A. 各システムの停止に関連するコストの評価
B. 各部門の事業計画の見直し
C. 回復時点目標(RPO)の比較
D. 各システムの主要業績評価指標(KPI)の見直し
回答を見る
正解: A
質問 #3
攻撃が成功する可能性は以下の関数である:
A. 侵入者の動機と能力
B. 機会と資産価値
C. 脅威と脆弱性のレベル
D. 侵入者にとっての価値と望ましさ
回答を見る
正解: A
質問 #4
一連の復旧時間目標(RTO)を策定する上で、最も有用なものはどれか。
A. ギャップ分析
B. 回帰分析
C. リスク分析
D. ビジネスインパクト分析
回答を見る
正解: D
質問 #5
情報セキュリティが組織の目的に適合していることを確認するために、最も重要な要素はどれか。
A. セキュリティ・プロセスにおける内部監査の関与
B. 統制自己評価プロセスの実施
C. 許容可能なリスク閾値の設定
D. セキュリティ意識向上プログラムの実施
回答を見る
正解: C
質問 #6
定量的な手法ではなく定性的なセキュリティリスク評価を用いる最も可能性の高い理由は、以下のような場合である:
A. 組織は、ハード財の代わりにサービスを提供する。
B. セキュリティ・プログラムには、リスクの独立した表現が必要である。
C. 入手可能なデータは主観的すぎる。
D. 成熟したセキュリティプログラムが導入されている。
回答を見る
正解: A
質問 #7
効果的な運用セキュリティ体制を導入するための戦略として、最も適切なものはどれか。
A. 脅威管理
B. 深層防衛
C. セキュリティ意識の向上
D. 脆弱性管理
回答を見る
正解: B
質問 #8
情報セキュリティ方針は、第一義的には、以下の点に基づき策定されるべきである:
A. ビジネス上の要求。
B. 固有のリスク
C. 国際基準。
D. ビジネスリスク
回答を見る
正解: D
質問 #9
組織内で情報セキュリティの実装を成功させるために最も重要なものはどれか。
A. 情報セキュリティ管理者は、情報セキュリティ方針を設定する責任を負う。
B. 情報セキュリティグループ内に強力なリスク管理スキルがある。
C. 情報セキュリティツールに予算が割り当てられている
D. セキュリティは、すべての管理職と従業員に対して効果的にマーケティングされている。
回答を見る
正解: D
質問 #10
情報セキュリティマネジャーがセキュリティとビジネスの目標を一致させるためにとるべき行動として、最も適切なものはどれか。
A. 主要業績評価指標(KPI)の定義
B. ステークホルダーとの積極的な関わり
C. 事業戦略の見直し
D. ビジネスインパクト分析(BIA)の実施
回答を見る
正解: D
質問 #11
リスク分析が必要である:
A. 類似企業のベンチマークをその範囲に含める。
B. すべての資産に対して同程度の保護を想定する。
C. 潜在的な損失の大きさと可能性に対処する。
D. 損失の大きさよりも可能性を重視する。
回答を見る
正解: C
質問 #12
ゼロデイ脆弱性を悪用したランサムウェアによる情報損失に関するリスクを最小化するためのコントロールとして、最も適切なものはどれか。
A. セキュリティ・オペレーション・センター
B. パッチ管理プロセス
C. 公開鍵基盤
D. データ復旧プロセス
回答を見る
正解: D
質問 #13
データ損失防止(DLP)システムを導入する前に、必ず確立しなければならないのはどれか。
A. プライバシー影響評価
B. データバックアップポリシー
C. データの分類
D. データ復旧ポリシー
回答を見る
正解: C
質問 #14
インストール後まもなく、侵入検知システム(IDS)が違反を報告した。次のうち、最も可能性の高い説明はどれですか?
A. 違反は偽陽性です。
B. 定期的な IDS ログファイルのアップロードが発生しました。
C. ルーチンのIDSシグネチャファイルのダウンロードが発生した。
D. 侵入があった。
回答を見る
正解: A
質問 #15
情報セキュリティ・プログラムを実施する際に公開鍵基盤(PKI)を導入する主な理由は、以下のとおりである:
A. 機密資料の機密性を確保する。
B. 高い身元保証を提供する。
C. アクティブディレクトリの展開を許可する。
D. SSL(セキュア・ソケット・レイヤー)暗号化を実装する。
回答を見る
正解: B
質問 #16
あるソフトウェアベンダーが、組織の重要な業務システムを危険にさらすゼロデイ脆弱性を発表した。
A. ダウンタイムに対するビジネスの許容範囲
B. インシデント対応計画の妥当性
C. コントロールを実施するためのリソースの有無
D. 配備前にパッチをテストする能力
回答を見る
正解: C
質問 #17
誰が、情報セキュリティガバナンスフレームワークの実施計画を BEST に承認できるか。
A. 内部監査人
B. 情報セキュリティ管理
C. 運営委員会
D. インフラ管理
回答を見る
正解: C
質問 #18
ITインフラ担当者の十分な災害への備えを確保するためには、以下のことが最も重要である:
A. 復旧テストには、最も経験豊富な人員を参加させる。
B. 各回復テストにエンドユーザー要員を含める。
C. 復旧計画において、人員固有の職務を割り当てる。
D. リカバリーテスト参加者を定期的に交代させる。
回答を見る
正解: D
質問 #19
リスクアセスメントでリスクが特定された。ビジネスプロセスオーナーは、修復コストが最悪のシナリオの予測コストよりも大きいため、そのリスクを受け入れることを選択した。情報セキュリティマネジャーは次にどのような行動をとるべきか。
A. より低コストの修復方法を決定する。
B. 文書化し、問題を再検討する日程を決める。
C. ビジネスアプリケーションをシャットダウンする。
D. 文書化し、上級管理職に報告する。
回答を見る
正解: D
質問 #20
監査、リスク、セキュリティの各機能が連携することで、経営幹部にとって主にどのようなメリットがあるのか。
A. 保証報告書の削減
B. より効果的な意思決定
C. よりタイムリーなリスク報告
D. より効率的な事故処理
回答を見る
正解: B
質問 #21
外部委託先の選定や契約交渉の過程で明らかになったギャップに対処する方法として、最も適切なものはどれか。
A. プロバイダーにセキュリティとコンプライアンスに関する説明責任を負わせる。
B. 継続的なギャップ評価の実施
C. サービス・レベル契約(SLA)に監査権を含める。
D. 代償措置を実施する。
回答を見る
正解: D
質問 #22
特定された技術的脆弱性を修復するために使用できるプロセスは、次のうちどれですか?
A. ベースライン構成の実行
B. リスクアセスメントの実施
C. ビジネスインパクト分析(BIA)の実施
D. 自動スキャナーの実行
回答を見る
正解: B
質問 #23
情報セキュリティリスクを監視するための効果的な主要リスク指標(KRI)を策定するための重要な基準はどれか。
A. 特定のリスクと高い相関を持ち、定期的に測定される指標であること。
B. 指標はITに焦点を当て、リスク変動を正確に表すべきである。
C. この指標は、主要業績評価指標と整合し、プロセス・パフォーマンス問題の根本原因を測定するものでなければならない。
D. この指標は、リスク影響の回顧的な見方を提供し、毎年測定されるべきである。
回答を見る
正解: A
質問 #24
事業継続マネジメントの主な目標はどれか。
A. インシデント対応手順を確立する。
B. ビジネスプロセスへの影響を評価する。
C. 組織の生存能力を高める。
D. 災害を防ぐための対策を実施する。
回答を見る
正解: C
質問 #25
ソーシャルメディアの使用を通じてもたらされる感染症のリスクを軽減するために、啓発プログラムが実施される。啓発プログラムの有効性を判断するのに最適なものはどれか?
A. プログラム終了後のアンケート調査
B. 啓発プログラム資料に基づくクイズ
C. ソーシャル・エンジニアリング攻撃のシミュレーション
D. 啓発プログラムへの従業員の出席率
回答を見る
正解: C
質問 #26
情報セキュリティプログラムの付加価値を示すものとして、最も適切なものはどれか。
A. セキュリティ・ベースライン
B. SWOT分析
C. ギャップ分析
D. バランススコアカード
回答を見る
正解: B
質問 #27
リスク対応戦略の第一の目的は次のとおりである:
A. 脅威の軽減。
B. 規制遵守。
C. シニアマネジメントの賛同
D. 適切なコントロールの選択
回答を見る
正解: A
質問 #28
ある組織では、BYOD(Bring Your Own Device)プログラムが承認されています。個人所有デバイスのアプリケーション制御を実施する最も効果的な方法は、次のうちどれですか。
A. モバイルデバイスの使用に関するポリシーを定める。
B. モバイルデバイス管理ソリューションを導入する。
C. 承認されたアプリケーションの使用に関してユーザーを教育する。
D. Webアプリケーションファイアウォールを実装する。
回答を見る
正解: B
質問 #29
リスクアセスメントを行う際には、資産を以下のように分類する必要がある:
A. 可能性と影響
B. センシティビティとクリティカリティ。
C. 脅威と機会
D. 冗長性と回復可能性
回答を見る
正解: B
質問 #30
情報セキュリティのリソース要件を特定する際に、情報セキュリティマネジャーが考慮すべき最も重要なものはどれか。
A. 情報セキュリティインシデント
B. 情報セキュリティ戦略
C. 現在の人員レベル
D. 潜在的資源の利用可能性
回答を見る
正解: B
質問 #31
A.情報セキュリティ方針を策定する際に、情報セキュリティ管理者が最も重視すべき目標はどれか。組織のセキュリティリスクを低減する
A. B
B. C
C. D
回答を見る
正解: D
質問 #32
セキュリティフレームワークを実施するために、情報セキュリティマネジャーはまず、セキュリティフレームワークを開発しなければならない:
A. セキュリティ基準。
B. セキュリティの手順
C. セキュリティポリシー
D. セキュリティガイドライン
回答を見る
正解: D
質問 #33
新たな情報セキュリティ投資を正当化する根拠として、最も適切なものはどれか。
A. 包括的な脅威分析の結果
B. 予想されるリスクの低減。
C. プロジェクトの優先順位付けにおける上級管理職の関与。
D. 主要業績評価指標(KPI)の定義
回答を見る
正解: A
質問 #34
組織の情報セキュリティリスクポジションの変化を評価するために、経営幹部への報告書として最も有用なものはどれか。
A. リスク登録
B. トレンド分析
C. 業界ベンチマーク
D. 経営行動計画
回答を見る
正解: A
質問 #35
次のリスクのうち、定量的リスク評価手法を使って評価するのが最も適切なものはどれか。
A. 盗まれた顧客データ
B. 停電
C. ハッカーによって改ざんされたウェブサイト
D. ソフトウェア開発チームの損失
回答を見る
正解: B
質問 #36
ある組織の経営幹部が、従業員に販売促進目的でソーシャルメディアを利用するよう奨励している。この戦略をサポートするために、情報セキュリティマネジャーが最初に着手すべきことはどれか。
A. ソーシャルメディアをセキュリティ意識向上プログラムに組み込む。
B. ソーシャルメディアの使用に関するガイドラインを作成する。
C. データ損失防止(DLP)ソリューションのビジネスケースを作成する。
D. ウェブコンテンツフィルタリングソリューションを使用する。
回答を見る
正解: B
質問 #37
ある組織が、ビッグデータプラットフォームの確立とモバイルアプリの開発という新たな取り組みを発表しました。新たな人材要件を定義する場合、最初に何をすべきでしょうか?
A. 採用と研修のための追加資金を要求する。
B. 新しい取り組みをサポートするために必要なスキルを分析する。
C. 同業他社とのベンチマーク。
D. 構想に必要なセキュリティ技術要件を決定する。
回答を見る
正解: B
質問 #38
セキュリティの優先順位を決定する最も効果的な方法はどれか。
A. 影響分析
B. 脅威の評価
C. 脆弱性評価
D. ギャップ分析
回答を見る
正解: A
質問 #39
組織の情報セキュリティ意識向上戦略の更新が効果的であることを示す指標として、最も適切なものはどれか。
A. スタッフからの報告件数の減少
B. 検出されたメールウイルスの数の減少
C. 検出される電子メールウイルスの数の増加
D. スタッフからの報告件数の増加
回答を見る
正解: A
質問 #40
電子メールの添付ファイルからマルウェアが起動するのを防ぐのに、最も効果的なのはどれか。
A. 最新のセキュリティ・ポリシー
B. 電子メールサーバーを遮蔽されたサブネットに置く
C. セキュリティ意識向上トレーニング
D. ネットワーク侵入検知システム(NIDS)
回答を見る
正解: C
質問 #41
次のうち、情報セキュリティ戦略の策定において最も重要なのは誰の意見か。
A. エンドユーザー
B. 監査役
C. プロセス・オーナー
D. セキュリティ・アーキテクト
回答を見る
正解: D
質問 #42
データ分類プログラムを実施する組織では、データベース・サーバー上のデータに対する最終的な責任は、データベース・サーバーの管理者にある:
A. 情報セキュリティ・マネージャー
B. 事業部長
C. データベース管理者(DBA)。
D. 情報技術マネージャー:
回答を見る
正解: A
質問 #43
統制目的を定義する際に考慮すべき最も重要なものはどれか。
A. 現在の残存リスクレベル
B. 組織の戦略目標
C. 最近の監査による管理勧告
D. 組織のリスク選好度
回答を見る
正解: B
質問 #44
セキュリティ情報・イベント管理(SIEM)システム導入のビジネスケースを作成する場合、フィージビリティ調査の主要な推進要因はどれか。
A. ソフトウェアのコスト
B. 費用便益分析
C. 実施時期
D. 業界ベンチマーク
回答を見る
正解: B
質問 #45
情報セキュリティプログラムが組織のビジネス目標を満たしているかどうかを判断する方法として、最も適切なものはどれか。パフォーマンス指標を導入する。
A. B
B. C
C. D
回答を見る
正解: A
質問 #46
リスクを評価した後、そのリスクを治療するかどうかの決定は、第一に以下の点に基づくべきである:
A. 財源の有無。
B. リスクのレベルがリスク選好度を上回っているかどうか。
C. リスクのレベルが内在するリスクを上回っているかどうか。
D. リスクの重大性
回答を見る
正解: B
質問 #47
リスク選好度を決定するための主要な根拠となるべきものはどれか。
A. 組織目標
B. 上級管理職の意見
C. 業界ベンチマーク
D. 第三者監査結果
回答を見る
正解: A
質問 #48
利害関係者に機密性の高いリスク関連情報を報告する際に、最も考慮すべきことはどれか。
A. 通信の否認防止
B. 広報部長との協議
C. 内部通信を安全に送信する
D. 聴衆に合わせたコミュニケーションのカスタマイズ
回答を見る
正解: C
質問 #49
技術的リスクを許容可能なレベルまで軽減することは、第一に考慮されなければならない:
A. ビジネス・プロセス・リエンジニアリング。
B. ビジネスプロセス要件
C. 法的および規制上の要件
D. 情報セキュリティ予算
回答を見る
正解: B
質問 #50
情報セキュリティプログラムにおける各自の役割と責任を事業部門に担わせるためのアプローチとして、最も適切なものはどれか。
A. リスクアセスメントを行う。
B. 意識向上プログラムを実施する。
C. セキュリティ監査を実施する。
D. コントロールと対策を開発する。
回答を見る
正解: B
質問 #51
組織の目的に対する情報セキュリティリスクの影響度を伝える最も効果的な方法は、提示することである:
A. ビジネスインパクト分析(BIA)の結果。
B. 詳細な脅威分析結果
C. リスク治療の選択肢
D. リスクヒートマップ。
回答を見る
正解: D
質問 #52
ある組織が、従業員が会社の情報を共有できるようにするために、文書コラボレーションソリューションの導入を計画している。新しいソリューションに関連するリスクを軽減するための最も重要なコントロールはどれですか?
A. データ所有者に書き込み権限を割り当てる。
B. ソリューションへの最小限のユーザアクセスを許可する。
C. データ所有者に定期的なユーザーアクセスレビューを実施させる。
D. ソリューション上の機密情報以外を許可する。
回答を見る
正解: C
質問 #53
小売店の顧客が在庫を閲覧し、商品を注文できるようにする新しいウェブアプリケーションの開発をサポートするために、情報セキュリティマネジャーは何を推奨すべきか?
A. アクセス制御マトリックスの構築
B. 顧客に対し、基本的なセキュリティ基準を順守するよう要請する。
C. 仮想プライベートネットワーク(VPN)を介したアクセス
D. 安全な伝送プロトコルの実装
回答を見る
正解: D
質問 #54
カスタム・アプリケーションを開発する際に、セキュリティへの対応を確実にするために最も役立つのはどれか。
A. 開発スタッフに対するセキュリティ研修の実施
B. セキュリティ要件を開発プロセスに組み込む
C. 実施前のセキュリティ評価の要求
D. 開発プロセス全体にセキュリティ監査を組み込む
回答を見る
正解: B
質問 #55
インシデント対応プログラムが成熟している組織では、すべての主要な情報セキュリ ティインシデントについてインシデント後のレビューを実施する。これらのレビューの第一の目標は、次のとおりである:
A. インシデントの根本原因を文書化し、経営幹部に報告する。
B. 修正が必要なセキュリティプログラムギャップやシステマティックな弱点を特定する。
C. インシデントに関する適切な吟味を経た通知を外部関係者に準備する。
D. セキュリティインシデントの責任を誰が負うべきかを特定する。
回答を見る
正解: A
質問 #56
ITセキュリティポリシーを策定する際、情報セキュリティマネジャーが最も影響を受けるべきものはどれか。
A. 過去と現在の脅威
B. ITセキュリティフレームワーク
C. 規則の遵守
D. 事業戦略
回答を見る
正解: D
質問 #57
新たに導入されたセキュリティ情報・イベント管理(SIEM)基盤を使用する場合、最初に考慮すべきことはどれか。
A. 保持
B. チューニング
C. 暗号化
D. 報告書の配布
回答を見る
正解: D
質問 #58
情報セキュリティ戦略を策定する際に、事業部門の管理者にインタビューを実施する主な目的は何か。
A. 情報の種類の決定
B. 部門目標に関する情報の入手
C. データとシステムの所有者を特定する
D. 情報資産の分類
回答を見る
正解: B
質問 #59
あるサードパーティサービスプロバイダが、ある組織の顧客向けにモバイルアプリを開発している。情報セキュリティマネジャーが最も懸念すべき問題はどれか。
A. ソフトウェアのエスクローは契約書に記載されていません。
B. 契約には、安全な開発手法に関する要件はない。
C. モバイルアプリのプログラマーはすべてオフショアの請負業者だ。
D. 配備後のSLAが明確に定義されていない。
回答を見る
正解: B
質問 #60
重要リスク指標(KRI)を設定する際、情報セキュリティマネジャーが最も留意すべきことはどれか。
A. セキュリティリスクが組織の目的に与える影響は、よく理解されていない。
B. リスク許容度はまだ確立されていない。
C. いくつかの業務機能が第三者ベンダーにアウトソーシングされている。
D. 組織には、過去のセキュリティイベントに関する履歴データがない。
回答を見る
正解: B
質問 #61
コストに加えて、リスクアセスメント後に対策を選択するための最良の基準は何か?
A. 実施の努力
B. 実施に必要なスキル
C. 各オプションの効果
D. メンテナンス要件
回答を見る
正解: C
質問 #62
A.ITサービスプロバイダとその顧客との間で、障害に備えて適切なサービス継続を可能にするために確立する必要があるものはどれか。
A. データ保持ポリシー
B. サーバーメンテナンスプラン
C. 回復時間の目標
D. 相互サイト契約
回答を見る
正解: C
質問 #63
あるCIOが、組織の情報セキュリティマネジャーに、情報セキュリティプログラムの1年計画と5年計画の両方を提出するよう依頼した。長期計画の主な目的は何ですか。
A. 将来予測されるセキュリティニーズに対応するための正式な要件を作成する。
B. セキュリティ能力の一貫した進歩を作成し、文書化する。
C. 1年計画よりも長いスケールでリスクに優先順位をつける。
D. IT組織の継続的改善を促進する
回答を見る
正解: D
質問 #64
災害時のIT資産の復旧の優先順位付けに最も役立つのはどれか。
A. ビジネスインパクト分析(BIA)
B. リスク評価
C. 脆弱性評価
D. 費用便益分析
回答を見る
正解: A
質問 #65
上級管理者は、セキュリティ改善計画の中で重大なリスクを受け入れることを決定した。情報セキュリティマネジャーが取るべき行動として、最も適切なものはどれか。
A. リスクを是正し、その根拠を文書化する。
B. リスク登録簿を更新し、リスクを受け入れる。
C. 改善計画を取締役会に伝える。
D. 規制当局にリスク受容を報告する。
回答を見る
正解: C
質問 #66
情報セキュリティー・プログラムは、第一義的には、以下に基づき策定されるべきである:
A. 承認された情報セキュリティ戦略。
B. 承認されたリスクマネジメントアプローチ
C. データセキュリティ規制要件
D. 経営幹部の意見
回答を見る
正解: A
質問 #67
次のうち、組織の資産分類プログラムの使いやすさに最も直接的な影響を与えるものはどれですか?
A. 階層における分類の粒度
B. 組織のリスク登録の更新頻度
C. 組織の事業目的
D. 分類スキームに対する上級管理職の支持
回答を見る
正解: A
質問 #68
ある組織が、潜在的な高度持続的脅威(APT)に関する懸念を抱いている。この脅威に関連するリスクを適切に管理するために、組織が最初にとるべき行動は何か。
A. 経営幹部への報告。
B. インシデント対応プロセスを開始する。
C. 追加の管理を実施する。
D. 影響分析を行う。
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: