定量的リスク分析の最後のステップは何か？ A．資産の価値を決定する  B．年間発生頻度を評価する．  C．年間損失予測を導き出す．  D．費用対効果分析を実施する．

以下の番号（1～4）が付けられた無線攻撃の用語を，該当する説明（A～D）と一致させなさい： 無線攻撃の用語 1．不正アクセスポイント 2．リプレイ 3．悪魔の双子 4．ウォードライビング 説明 A．正規のアクセスポイントのSSIDおよびMACアドレスになりすましたアクセスポイントによる攻撃 B．一見正規のSSIDとみせかけて，新しい接続を誘うことを目的としたアクセスポイント C．標的としたシステムのアクセス権を取得しようとしてキャプチャーした通信を再送信する攻撃 D．無線ネットワークを見つけるために検出ツールを使用する一連の行為

デジタルミレニアム著作権法（DMCA）では，インターネットサービスプロバイダーが著作権保持者から侵害の申し立ての通知を受け取った後，直ちに対応することを要求されないのはどのような種類の違反か？ A．プロバイダーのサーバーに顧客が情報を保存する B．プロバイダーが情報をキャッシュする C．顧客がプロバイダーのネットワーク経由で情報を伝送する D．プロバイダーの検索エンジンで情報をキャッシュする

FlyAway Travel社は，欧州連合（EU）と米国の両方に拠点を持ち，それらの拠点間で個人情報を定期的に転送している．最近，EUの顧客から口座を解約したいとの要求を受けた．一般データ保護規則（GDPR）の下で，個人が自分のデータの拡散や処理がこれ以上行われないように要求できることを定めている個人情報処理要件は，以下のうちどれか？ A．アクセス権 B．プライバシーバイデザイン C．忘れられる権利 D．データポータビリティの権利

次のうち，3つの一般的な脅威モデリング手法ではないのはどれか？ A．資産に着目する B．攻撃者に着目する C．ソフトウェアに着目する D．ソーシャルエンジニアリングに着目する

次の情報の要素のうち，米国の大部分の州のデータ侵害法において個人識別情報（PII）とはみなされないものはどれか？ A．学籍番号 B．社会保障番号 C．運転免許証番号 D．クレジットカード番号

1991年，連邦量刑ガイドラインは，情報セキュリティの問題に対して，経営陣が個人的な責任を負うように求める規定を正式に定めた．この規定の名称は何か？ A．デューディリジェンスルール B．パーソナルライアビリティルール C．プルーデントマンルール D．デュープロセスルール

多要素認証を実現するために，パスワードと組み合わせるべき認証メカニズムはどれか？ A．ユーザー名 B．個人識別番号（PIN） C．セキュリティに関する質問 D．指紋スキャン

EU GDPRの下で欧州連合と米国の間で結ばれたプライバシーシールド協定の条項の管理は，米国政府のどの機関が担当しているか？ A．国防総省 B．財務省 C．国務省 D．商務省

Yolandaは，金融機関の最高プライバシー責任者であり，顧客の当座預金口座に関連したプライバシーの問題を調査している．次の法律のうち，この状況に適用される可能性が最も高いものはどれか？ A．GLBA B．SOX C．HIPAA D．FERPA

Timの会社は先日，政府契約業者として委託研究を実施する業務を請け負った．この契約に関連して情報システムに適用される可能性が高い法律は次のどれか？ A．FISMA B．PCI DSS C．HIPAA D．GISRA

Chrisは，海外の多くの国に出張する予定の社員にアドバイスしている．Chrisの心配事は，輸出管理法規の遵守である．下記の技術の中で，輸出管理法規に最も関連するものは何か？ A．メモリーチップ B．生産性向上業務アプリ C．ハードドライブ D．暗号化ソフトウェア

Bobbiは，セキュリティインシデントを調査している．その過程で，通常のユーザーアカウントから開始した攻撃者が，システムの脆弱性を突いてそのアカウントに管理者権限を付与していることを発見した．STRIDE脅威モデルにおけるどのタイプの攻撃が発生したか？ A．なりすまし B．否認 C．改ざん D．権限昇格

あなたは事業継続計画を作成する業務の完了段階にあり，リスクの1つを受容することに決めた．次に何をすべきか？ A．リスク低減のための新しいセキュリティコントロールを実装する B．災害復旧計画を設計する C．事業影響度評価をもう一度行う D．意思決定プロセスを文書化する

次のセキュリティコントロールのカテゴリーで，施設の周りのフェンスに該当しないものは何か？ A．物理 B．検知 C．抑止 D．防止

Tonyは事業継続計画を作成しているが，有形資産と無形資産の評価の組み合わせ検討が難しく，リソースの優先順位付けに苦労している．彼にとって最も効果的なリスクアセスメント手法は何か？ A．定量的リスクアセスメント B．定性的リスクアセスメント C．定量的リスクアセスメント，定性的リスクアセスメントのどちらでもない D．定量的リスクアセスメントと定性的リスクアセスメントの組み合わせ

営業秘密の保持者に知的財産の保護を与えるのはどの法律か？ A．著作権法 B．ランハム法 C．グラス・スティーガル法 D．経済スパイ法

ある状況において，常識人なら一般的に払うであろうと期待される注意を払うことは，以下のどの原則に当たるか？ A．適切な注意 B．職務の分離 C．妥当な注意 D．最小特権

Darcyは，フォールトトレラントシステムを設計していて，システムにRAIDレベル5を実装したいと考えている．このシステムを構築するために必要な物理ハードディスクの最小数はいくつか？ A．1 B．2 C．3 D．5

下記の中で管理コントロールの例はどれか？ A．侵入検知システム B．セキュリティ意識啓発トレーニング C．ファイアウォール D．警備員

Keenan Systems社は先頃マイクロプロセッサーの新しい製造プロセスを開発した．他社も使用できるようにこの技術をライセンス供与する意向はあるが，技術の無断利用は防止したいと考えている．この状況に最適な知的財産の保護はどのようなタイプか？ A．特許 B．営業秘密 C．著作権 D．商標

次のアクションのうち，事業継続計画の一環として実行されるものはどれか？ A．バックアップテープからの復元 B．RAIDの実装 C．コールドサイトへの移転 D．事業運営の再開

事業影響度分析をする時に，最初にすることは資産のリスト化である．では，その次にすることは何か？ A．各資産に対する脆弱性の特定 B．資産に対するリスクの決定 C．各資産の価値の計算 D．各資産に対する脅威の特定

Mikeは，会社への一般的なネットワーク攻撃を遮断するために，侵入防御システムを最近導入した．Mikeが実施していることは下記のどのリスクマネジメント戦略に該当するか？ A．リスク受容 B．リスク回避 C．リスク低減 D．リスク移転

次の中で，インフラストラクチャーを物理的に堅牢にする方策はどれか？ A．ウイルス対策ソフトウェア B．ハードウェア型のネットワークファイアウォール C．2要素認証 D．消火システム

次に示すものの中で，認可に一般的に利用されるのはどれか？ A．アクセス制御リスト B．トークン C．ユーザー名 D．パスワード

(ISC)2は，ここに示すロゴを使用して，オンラインや様々なフォーラムで自組織を表している．自組織の権利とこのロゴを保護するために，どのようなタイプの知的財産の保護を利用できるか？ A．著作権 B．特許 C．営業秘密 D．商標

Maryは，以下のメッセージがスクリーン上に表示されたコンピュータのユーザーをサポートしている．どの種類の攻撃が行われたか？ A．可用性 B．機密性 C．漏洩 D．分散

電子商取引をする場合，自動的にHIPAAの条項の対象とならないのは，次の組織のうちどれか？ A．医療従事者 B．健康とフィットネスアプリケーション開発者 C．健康情報クリアリングハウス D．健康保険制度

Johnのネットワークで次第に遅延の症状が出始めた．調査したところ，TCP SYNパケットが大量に送られ，会社がサービス拒否攻撃を受けていると考えている．下記の情報セキュリティの基本原則の何が破られているのか？ A．可用性 B．完全性 C．機密性 D．否認

Reneeは，会社の長期セキュリティ計画を策定しており，3～5年の計画期間がある．策定している計画は，下記のどのタイプに相当するか？ A．運用 B．戦術 C．総括 D．戦略

商標の評価と登録を担当する政府機関は何か？ A．USPTO B．米国議会図書館 C．TVA D．NIST

The Acme Widgets社は，経理部に新しいセキュリティコントロールを導入しようとしている．経営陣は，悪質な会計士が新しい偽装の会社を作り，決して提供されないサービスに対する支払いとして小切手を切る可能性があることを懸念している．この状況を防止するための最善のセキュリティコントロールは何か？ A．強制休暇 B．職務の分離 C．多層防御 D．ジョブローテーション

以下のうち，FISMAの規定の対象となる可能性が最も高い組織区分はどれか？ A．銀行 B．防衛システムに関する請負業者 C．学区 D．病院

Robertはクレジットカード情報を処理するために使用するシステムの安全性を担当している．行動の指針とすべきはどの標準か？ A．HIPAA B．PCI DSS C．SOX D．GLBA

下記の中で，データの完全性の確認，バックアップのテスト，セキュリティポリシーの管理などの運用データ保護の責任を経営者から委譲されているのは誰か？ A．データ管理者 B．データオーナー C．ユーザー D．監査人

Alanはeコマースの会社に勤務しているが，最近会社の一部のコンテンツがほかのWebサイトに盗用され，無断で利用された．Alanの会社の権利を最も保護するのは，どのようなタイプの知的財産の保護か？ A．営業秘密 B．著作権 C．商標 D．特許

Florianは，新しい行政法が自分の事業運営に影響すると発表しているチラシを連邦機関から受け取った．どこに行けばこの法律の本文を見つけられるか？ A．合衆国法律集 B．最高裁判所の判決 C．連邦規則集 D．法律大要

Tomは，クラウドIaaSの事業者が提供するアプリケーションファイアウォールを有効にしている． このファイアウォールは，アプリケーションに対する様々な攻撃を遮断するように設計されている．リスクマネジメントの見地から見て，Tomはどのメトリックを下げようとしているか？ A．影響 B．RPO C．MTO D．発生可能性

次のうち，情報セキュリティプログラムの最も効果的な組織上のオーナーになる者はどれか？ A．CISSP認定アナリスト B．最高情報責任者（CIO） C．ネットワークセキュリティの管理者 D．社長兼CEO

上級管理者は通常，事業継続計画チームでどのような重要な機能を果たしているか？ A．重要性に関する論争の仲裁 B．法的環境の評価 C．スタッフのトレーニング D．障害コントロールの設計

あなたは大規模な病院システムのCISOで，SaaS型電子メールベンダーと契約を交わす準備を進めており，その事業継続計画対策が妥当であることを確認したいと考えている．この目標を達成するために依頼できるのはどのようなタイプの監査か？ A．SOC 1 B．FISMA C．PCI DSS D．SOC 2

Garyはセキュリティインシデントを分析しており，その調査中にあるユーザーに遭遇した．その人が実行したとGaryが確信しているアクションを，その人は否定している．この時，STRIDEモデルにおけるどのタイプの脅威が発生したか？ A．否認 B．情報漏洩 C．改ざん D．権限昇格

Bethは公立学区のセキュリティ管理者である．Bethは新しい生徒情報システムを構築していて，生徒が自分たちの成績を変更できないようにするコードをテストしている．情報セキュリティのどの原則をBethは実施しているか？ A．完全性 B．可用性 C．機密性 D．否認

下記の項目で，サービスレベルアグリーメント（SLA）に該当しないのはどれか？ A．顧客情報の機密性 B．フェイルオーバー時間 C．稼働時間 D．最大連続停止時間

Joanは，知的財産法の下で開発したコンピュータソフトウェアを保護する方法を探している．以下の保護手段のうち，ソフトウェアに適用されないものはどれか？ A．商標 B．著作権 C．特許 D．営業秘密

問題47～49に関しては，以下のシナリオを参照すること： Juniper Content社は，社員数40名，2箇所のオフィスを持つWebコンテンツ制作会社であり，オフィスの1つはニューヨークにあり，小さい方のオフィスはサンフランシスコベイエリアにある．各オフィスには境界ファイアウォールを備えたローカルエリアネットワーク（LAN）があり，このLANでは有線・無線のネットワークが最新のスイッチに接続されている． 各オフィスは個別にファイルサーバーを持ち，ITチームが1時間ごとにサーバー間でファイルの同期をとり，オフィスにコンテンツを配信している．これらのサーバーは主に，イメージデータと会社が開発したWebコンテンツの保存に利用されている．また，チームは多くの業務でSaaSベースの電子メールおよびドキュメントコラボレーションソリューションを使用している． あなたは，Juniper Content社のIT責任者に任命され，会社のセキュリティを向上するために既存のセキュリティコントロールを改善しようとしている． 2箇所のオフィスのユーザーはインターネット経由で相手側のファイルサーバーにアクセスすることを希望している．この通信に対して機密性を提供するコントールは次のどれか？ A．デジタル署名 B．仮想プライベートネットワーク C．仮想LAN D．デジタルコンテンツ管理

問題47～49に関しては，以下のシナリオを参照すること： Juniper Content社は，社員数40名，2箇所のオフィスを持つWebコンテンツ制作会社であり，オフィスの1つはニューヨークにあり，小さい方のオフィスはサンフランシスコベイエリアにある．各オフィスには境界ファイアウォールを備えたローカルエリアネットワーク（LAN）があり，このLANでは有線・無線のネットワークが最新のスイッチに接続されている． 各オフィスは個別にファイルサーバーを持ち，ITチームが1時間ごとにサーバー間でファイルの同期をとり，オフィスにコンテンツを配信している．これらのサーバーは主に，イメージデータと会社が開発したWebコンテンツの保存に利用されている．また，チームは多くの業務でSaaSベースの電子メールおよびドキュメントコラボレーションソリューションを使用している． あなたは，Juniper Content社のIT責任者に任命され，会社のセキュリティを向上するために既存のセキュリティコントロールを改善しようとしている． あなたは，各ファイルサーバーに保存されているデータの可用性も課題であると考えている．あなたは，サーバーのハードドライブが故障しても，サーバー上のファイルに継続してアクセスできる技術を追加したいと考えている．下記の完全性コントロールの中で，新しいサーバーを追加することなく，堅牢性を強化できるものはどれか？ A．サーバーのクラスタリング B．負荷分散 C．RAID D．定期的なバックアップ

問題47～49に関しては，以下のシナリオを参照すること： Juniper Content社は，社員数40名，2箇所のオフィスを持つWebコンテンツ制作会社であり，オフィスの1つはニューヨークにあり，小さい方のオフィスはサンフランシスコベイエリアにある．各オフィスには境界ファイアウォールを備えたローカルエリアネットワーク（LAN）があり，このLANでは有線・無線のネットワークが最新のスイッチに接続されている． 各オフィスは個別にファイルサーバーを持ち，ITチームが1時間ごとにサーバー間でファイルの同期をとり，オフィスにコンテンツを配信している．これらのサーバーは主に，イメージデータと会社が開発したWebコンテンツの保存に利用されている．また，チームは多くの業務でSaaSベースの電子メールおよびドキュメントコラボレーションソリューションを使用している． あなたは，Juniper Content社のIT責任者に任命され，会社のセキュリティを向上するために既存のセキュリティコントロールを改善しようとしている． 最後に，サーバー上には，ビジネス上大変重要であり，かつ変更してはならない過去データも保管されている．あなたは，ファイルが変更されていないことを定期的に確認できる完全性コントロールを追加したいと考えている．次のどのコントロールを追加することができるか？ A．ハッシュ化 B．ACL C．読み取り専用属性 D．ファイアウォール

米国でプライバシー権の基礎となっている法律は何か？ A．1974年プライバシー法 B．合衆国憲法修正第4条 C．合衆国憲法修正第1条 D．1986年電子通信プライバシー法

次のうち，通常，事業継続計画文書に含まれないものはどれか？ A．決算書 B．重要性の表明 C．優先順位の表明 D．組織的責任の表明

Doolittle Industries社の経理担当の社員が横領の企てに関わったため，逮捕された．その従業員は，個人の口座にお金を送金し，この詐欺行為を偽装するために，数カ月にわたって毎日，ほかの複数の口座にお金を移していた．次のうち，この詐欺行為の早期発見につながった可能性があるセキュリティコントロールはどれか？ A．職務の分離 B．最小特権 C．多層防御 D．強制休暇

次のうち，通常，事業継続計画タスクとみなされないものはどれか？ A．事業影響度評価 B．緊急事態レスポンスガイドライン C．電子ボールティング D．重要レコードプログラム

組織がDoS攻撃やDDoS攻撃を受けた時に，影響を受ける情報セキュリティ目標は何か？ A．機密性 B．完全性 C．可用性 D．否認

Yolandaは，会社のすべてのシステムが満たさなければならない最低限のセキュリティレベルに関する構成情報を記載した文書を作成している．彼女は次のどのタイプの文書を作成しているか？ A．ポリシー B．ベースライン C．ガイドライン D．プロシージャー

組織内で事業継続計画の初期のトレーニングを必ず受けなければならないのは誰か？ A．経営陣 B．事業継続の特別な役割を担う社員 C．全社員 D．第一対応者

Jamesは，自社のリスクアセスメントを実施しており，データセンター内のサーバーに資産価値を割り当てようとしている．会社の主な課題は，データセンターが損害を受けたり破壊されたりした場合に，再建できる十分な資金があることを確認することである．次のうち，この状況で最も適切な資産価値の査定方法はどれか？ A．取得原価 B．減価償却費 C．再調達原価 D．機会費用

1987年のコンピュータセキュリティ法は，ある連邦機関に，連邦政府のコンピュータシステムに関わるコンピュータセキュリティスタンダードとガイドラインを策定する責務を与えた．この法律により上記の責務を与えられたのはどの機関か？ A．国家安全保障局（NSA） B．連邦通信委員会（FCC） C．国防総省（DoD） D．国立標準技術研究所（NIST）

次のうち特許取得が可能な発明の要件ではないのはどれか？ A．新規性がなければならない． B．アメリカ国民による発明でなければならない． C．進歩性がなければならない． D．有用でなければならない．

Frankは，会社の最高経営責任者のラップトップにキーロガーが隠されているのを発見した．キーロガーによって破られる可能性が高いのはどの情報セキュリティ原則か？ A．機密性 B．完全性 C．可用性 D．否認

リスクを求めるために使用される式はどれか？ A．リスク=脅威×脆弱性 B．リスク=脅威／脆弱性 C．リスク=資産×脅威 D．リスク=資産／脅威

次に示す図はNISTリスクマネジメントフレームワークだが，ステップ4が抜けている．抜けているステップは何か？ A．セキュリティコントロールの評価． B．コントロールギャップの決定． C．コントロールギャップの修正． D．ユーザーアクティビティの評価．

HAL Systems社は最近，公開NTPサーバーが増幅型DDoS攻撃に利用されるおそれがあったため，当該NTPサービスの提供の中止を決定した．NTPサービスに関して，HAL社はどのようなリスクマネジメント戦略をとったか？ A．リスク低減 B．リスク受容 C．リスク移転 D．リスク回避

Susanは，データ侵害の可能性を限定的にするために，会社の経営陣と一緒に，データ分類に関して特別なセキュリティコントロールを導入しようと検討している．彼女は情報セキュリティの原則の中のどれを実施しようとしているか？ A．可用性 B．否認 C．機密性 D．完全性

次の項目のうち，組織の緊急事態レスポンスガイドラインに盛り込むべきものはどれか？ A．緊急インシデントが通知されるべき個人のリスト B．長期事業継続プロトコル C．組織のコールドサイト有効化手順 D．装置発注のための連絡先情報

事業継続計画を承認する適任者は誰か？ A．CIO：最高情報責任者 B．CEO：最高経営責任者 C．CISO：最高情報セキュリティ責任者 D．COO：最高執行責任者

通常，事業継続計画におけるプロジェクトの範囲と計画策定フェーズに含まれない活動は，次のうちどれか？ A．組織の構造化分析 B．法規制状況の確認 C．BCPチームの結成 D．計画の文書化

Garyは，ロードバランサーの背後で多数の小さいWebサーバーを使用する新しいWebサイトアーキテクチャーを実装している．Garyは情報セキュリティの原則の中のどれを実施しようとしているか？ A．否認 B．機密性 C．完全性 D．可用性

Beckaは先日，災害発生時に会社にスペースを提供する代替データ処理施設と契約を結んだ．施設には，HVAC，電源，通信回線は含まれるが，ハードウェアは含まれない．Beckaはどのようなタイプの施設を利用しているか？ A．コールドサイト B．ウォームサイト C．ホットサイト D．モバイルサイト

コンピュータ不正行為防止法を発動するための，連邦政府コンピュータシステムに対する悪意のある損害の閾値は以下のどれか？ A．$500 B．$2,500 C．$5,000 D．$10,000

Benは，世界中で広く受け入れられ，情報セキュリティコントロールに特に重点を置いているコントロール目標のフレームワークを探している．次のフレームワークのうち，Benの要件に最適なものはどれか？ A．ITIL B．ISO 27002 C．CMM D．PMBOKガイド

次の法律のうち，法執行機関の要請として通信サービスプロバイダーに協力を求めるものはどれか？ A．ECPA B．CALEA C．プライバシー法 D．HITECH法

Garyは，口座を開いている金融機関から毎年，郵便でプライバシーに関する通知を受け取る．Garyにこれらの通知を送付するように金融機関に求めているのはどの法律か？ A．FERPA B．GLBA C．HIPAA D．HITECH

通常，業務の範囲内で知りえた機密情報を開示しないようにベンダーに求める契約は次のうちどれか？ A．NCA B．SLA C．NDA D．RTO

次に挙げたものの中で，技術コントロールの例でないものはどれか？ A．ルーターのACL B．ファイアウォールのルール C．暗号化 D．データ分類

次の利害関係者のうち，通常，事業継続計画チームに含まれないのはどれか？ A．基幹事業職務リーダー B．情報技術スタッフ C．CEO D．サポート部門

Benは，銀行向けのメッセージシステムを設計していて，メッセージが確かにその送信者から発信されたものであることを受信者が第三者に証明できる機能を盛り込みたいと考えている．Benが達成しようとしている目標は何か？ A．認証 B．認可 C．完全性 D．否認防止

組織は，可能な限りすべての箇所で，重複するセキュリティコントロールを実装する必要があると述べているのは，どの情報セキュリティの原則か？ A．最小特権 B．職務の分離 C．多層防御 D．知られない状態

次に挙げたものの中で，正式な変更管理プログラムの目標でないものはどれか？ A．整然とした方法で変更を実装する． B．実装する前に変更をテストする． C．変更のロールバック計画を用意する． D．変更の発生後に利害関係者に知らせる．

Benは，データベースに保存されている決済カード情報のセキュリティを担当している．ポリシーには，当該情報はデータベースから削除することと規定されている．しかし，Benは運用上の理由から，これができない．ポリシーの例外適用を得て，リスクを低減するために適当な補償コントロールを探している．何が最適の選択肢となりうるか？ A．保険に加入する B．データベースのコンテンツを暗号化する C．データを削除する D．例外に反対する

The Domer Industries社のリスクアセスメントチームは，先日定性的リスクアセスメントを実施し，ここに示すようなマトリックスを作成した．最も早急な対応を要するリスクが含まれているのはどの象限か？ A．I B．II C．III D．IV

Tomは，今日の午後，詐欺行為を理由に，ある従業員を解雇するつもりであり，この話し合いが敵意に満ちたものとなることを予想している．人事部とも話し合いを調整しており，会社に損害が及ばないようにしたいと考えている．解雇を伝える話し合いに合わせて調整することが最も重要なのは，次のうちどのステップか？ A．解雇についてほかの従業員に知らせる B．この従業員の写真IDを回収する C．最終給与を計算する D．電子的アクセス権を無効にする

Rolandoは，大企業のリスク管理者である．このほど，カリフォルニアの業務エリアでの地滑りリスクを評価し，実施可能ないかなるコントロールから得られる効果よりも費用が上回ると結論づけた．会社は，この時点では何もアクションをとらないことを選択した．Rolandoの会社はどのリスクマネジメント戦略をとったか？ A．リスク回避 B．リスク低減 C．リスク移転 D．リスク受容

Helenは，試験準備をしている中高生に情報を提供するWebサイトのオーナーである．Helenは，自分のサイトの活動が，児童オンラインプライバシー保護法（COPPA）の管轄に該当することを懸念している．COPPAにおいて，子どもの個人情報を収集する前に保護者の同意を必要としない年齢は何歳からか？ A．13 B．15 C．17 D．18

Tomは，フロリダ州マイアミの繁華街に会社を構えることを検討している．彼は以下に示すその地域のFEMA氾濫原地図を調べ，検討している地域は100年氾濫原の中にあると判断した． この地域のAROはどれほどか？ A．100 B．1 C．0.1 D．0.01

あなたは，ネットワークのユーザーがここに示すWiresharkツールを使用していることを発見した．さらに調査したところ，不正な目的で使用していることが明らかになった．情報セキュリティのどの柱が侵害されている可能性が高いか？ A．完全性 B．否認 C．可用性 D．機密性

Alanは，脅威モデリングを実行しており，システムを以下に示す主要な要素に分解するのが有用だと判断した．Alanは，どの手法を使用しているか？ A．脆弱性評価 B．ファジング C．低減分析 D．データモデリング

次の番号（1～4）の法律または業界標準を，その下にある説明（A～D）と対応させなさい： 法律および業界標準 1．GLBA 2．PCI DSS 3．HIPAA 4．SOX 説明 A．対象となる金融機関に，顧客へのプライバシー通知を毎年提供するように求める米国の法律 B．株式公開会社のITトランザクションフローを含め，内部統制評価を求める米国の法律 C．クレジットカードを扱う組織を対象とする業界標準 D．医療情報に関するプライバシーとセキュリティ要件を規定する米国の法律

Craigは，新しいデータセンターの用地を選定していて，米国内のいずれかの場所を選ぶ必要がある．彼は，米国地質調査所から以下に示す地震リスクマップを入手した．主に地震リスクを心配するとした場合，施設を建設するのに最も安全な場所は次のうちどれか？ A．ニューヨーク州 B．ノースカロライナ州 C．インディアナ州 D．フロリダ州

下記の項目の中で，識別目的で最も頻繁に利用され，認証としての利用には適さないものは何か？ A．パスワード B．網膜スキャン C．ユーザー名 D．トークン

顧客の信頼喪失の影響を評価しようとする場合，どのタイプの事業影響度評価手法が最適か？ A．定量的 B．定性的 C．年間損失予測 D．低減