①5章情報資産の保護

246問 • 6ヶ月前

ユーザ名非公開

通報

問題一覧

MC No.5A-01-01 5章情報資産に係るリスク管理 Sランクより開発が開始されるアプリケーションに対するリスクアセスメントが実施されている。セキュリティコントロールの推奨に先立って、判断すべき最も重要なことは何か？

C.データのランク付け

MC No.5A-01-02 5章情報資産に係るリスク管理 Aランクよりアクセス・コントロールの実施に際してまず最初に必要なことは次のどれか。

D.情報システム資源の棚卸

MC No.5A-01-03 5章情報資産に係るリスク管理 Bランクより組織がリスクアセスメントの一環として脅威および脆弱性分析を完了した後、最終報告書によって侵入防御システム（IPS）をメインのインターネット・ゲートウェイにインストールし、すべてのビジネスユニットをプロキシ・ファイアウォールによって分離するべきであることが示唆された。コントロールを導入するべきか判断するための最良の方法は次のどれか？

A.費用便益分析

MC No.5A-01-04 5章情報資産に係るリスク管理 Bランクより情報資産オーナーの責任は次のどれか？

B.データに重大度レベルを割り当てること

MC No.5A-01-05 5章情報資産に係るリスク管理 Aランクよりデータ分類の最初のステップは次のどれか？

A.所有権を確立する。

MC No.5A-01-06 5章情報資産に係るリスク管理 Aランクよりアクセス・コントロールの導入に最初に必要となるものは次のどれか？

D.ISリソースの棚卸

MC No.5A-01-07 5章情報資産に係るリスク管理 Aランクより明確に識別できる予防的コントロールがないことの固有リスクを示すのは次のどれか？

C.データ詐取

MC No.5A-01-08 5章情報資産に係るリスク管理 Sランクより情報所有者がデータを適切に分類するのに最も役立つのは次のどれか？

B.組織上のポリシーおよび基準に関するトレーニング

MC No.5A-01-09 5章情報資産に係るリスク管理 Aランクよりコントロールの観点において、情報資産を分類する主な目的は次のどれか？

A.割り当てるべきアクセス・コントロールのレベルにおけるガイドラインを確立すること。

MC No.5A-01-10 5章情報資産に係るリスク管理 Sランクより明確に定義されたデータ分類ポリシーおよび手順を有することの最大の利点を次から選びなさい。

B.コントロールコストの削減

MC No.5A-02-01 5章情報資産に係るリスク管理 Aランクよりシステムに対する有効な攻撃の最初のステップは次のどれか？

A.情報収集。

MC No.5A-03-01 5章情報資産に係るリスク管理 Sランクより受動的サイバーセキュリティ攻撃の例を次の中から選びなさい。

A.トラフィック分析

MC No.5A-03-02 5章情報資産に係るリスク管理 Sランクよりネットワークへの受動的攻撃は次のどれか？

D.トラフィック分析

MC No.5A-03-03 5章情報資産に係るリスク管理 Aランクよりネットワーク上で伝送されている暗号化されたデータの情報を収集してアクセスするためには、加害者は次のどれを最も使用する可能性が高いか？

C.トラフィック分析

MC No.5A-04-01 5章情報資産に係るリスク管理 Sランクよりソーシャルエンジニアリングの攻撃ベクトルと見なされるものを次の中から選びなさい。

A.銀行のログイン認証情報を盗み出すために設計された偽の電子メールメッセージ

MC No.5A-04-02 5章情報資産に係るリスク管理 Aランクよりハッカーはコンピュータツールまたはプログラムを使用しないでパスワードを得るために次のどの手法を利用できるか？

A.ソーシャルエンジニアリング

MC No.5A-04-03 5章情報資産に係るリスク管理 Aランクより「パスワードの表示は覆うか抑制する必要がある」と表現する情報セキュリティポリシーは次のどの攻撃方法に対処しているか？

C.ショルダーサーフィン

MC No.5A-04-04 5章情報資産に係るリスク管理 Aランクより情報システム監査人が、オンラインのコントロールセルフアセスメントアンケートのユニフォーム・リソース・ロケータ（URL）が、URL短縮サービスを使用して送信していることに気付いた。URL短縮サービスの使用は、次のどの攻撃のリスクを最も高める可能性が高いか？

B.フィッシング

MC No.5A-04-05 5章情報資産に係るリスク管理 Aランクよりインターネットバンキングアプリケーションへのファーミング攻撃のリスクを軽減するための最善のコントロールは次のどれか？

D.ドメインネームシステムサーバーのセキュリティ強化

MC No.5A-05-01 5章情報資産に係るリスク管理 Sランクよりパブリックウェブアプリケーションシステムの警告メッセージにより、ユーザーに特定のデータベースのエラーメッセージが表示された。最も懸念すべきなのは次のどれか？

D.データベースのハッキングを受けやすくなること

MC No.5A-05-02 5章情報資産に係るリスク管理 Aランクよりアクティブ型無線ICタグが晒されている脅威は次のどれか。

B.盗聴

MC No.5A-05-03 5章情報資産に係るリスク管理 Bランクよりパスワードのスニッフィングを使ったインターネットベースの攻撃は：

C.機密情報を含むシステムへのアクセスを得るために使用される。

MC No.5A-05-04 5章情報資産に係るリスク管理 Aランクより支店オフィスの無線セキュリティをテストするために情報システム監査人が使用する方法は次のどれか？

C.ウォードライビング

MC No.5A-05-05 5章情報資産に係るリスク管理 Aランクより IS管理が最近組織内のモバイル機器の使用の増加に対応するために、既存の有線ローカルエリアネットワークを無線インフラストラクチャに置き換えた。これによりリスクの増加が伴う攻撃は次のどれか？

D.ウォードライビング

MC No.5A-05-06 5章情報資産に係るリスク管理 Aランクより不正アクセスを実施するために残留している生体情報を使用する攻撃は次のどれか？

A.リプレイ

MC No.5A-06-01 5章情報資産に係るリスク管理 Aランクよりある従業員が贈り物としてデジタルフォトフレームを貰い、デジタル写真を転送するために自らの仕事のPCに接続した。この状況に伴う第一のリスクは次のどれか？

D.フォトフレームはマルウェアに感染している可能性がある。

MC No.5A-06-02 5章情報資産に係るリスク管理 Aランクより組織は、最高財務責任者のコンピュータがキーストロークロガーおよびルートキットであるマルウェアに感染していることに気付いた。最初に行うべき行動は次のどれか？

C.PCをネットワークから切断する。

MC No.5A-06-03 5章情報資産に係るリスク管理 Aランクよりインターネットサイトに対する分散型サービス拒否（DDoS）攻撃は通常、次のどれを使ってハッカーにより引き起こされるか？

D.ボットネット

MC No.5A-07-01 5章情報資産に係るリスク管理 Bランクよりウェブベースのソフトウェア開発プロジェクトのレビューの際に、情報システム監査人は、コード基準が実施されておらず、コードのレビューがめったに行われていないことに気付いた。これによって成功の確率が最も影響されやすいのは次のどれか？

A.バッファ・オーバーフロー

MC No.5A-07-02 5章情報資産に係るリスク管理 Aランクよりグローバル組織の情報システムの監査中に、情報システム監査人は、組織が全事業所間の音声接続の唯一の手段として、インターネットを介してVoIPを使用していることを発見した。組織のVoIPインフラに対する最も重大なリスクを示すのは次のどれか？

B.分散型サービス拒否攻撃

MC No.5A-07-03 5章情報資産に係るリスク管理 Sランクより分散型サービス拒否攻撃に至るのは次のどれか？

B.ピングオブデス

MC No.5A-07-04 5章情報資産に係るリスク管理 Aランクよりサービス拒否攻撃に貢献する可能性が最もあるのは次のどれの不備であるか？

A.ルーター構成およびルール

MC No.5A-07-05 5章情報資産に係るリスク管理 Aランクより不適切なプログラミングおよびコーディングの実践手法には次のどのリスクが増加するか？

B.バッファ・オーバーフローの悪用

MC No.5A-07-06 5章情報資産に係るリスク管理 Sランクよりサービス拒否攻撃でネットワークを増幅器として使用することから保護するためのフィルタールールとして最適なのは、次のどれをすべて拒否することであるか？

A.ネットワーク外のソースアドレスからの送信トラフィック

MC No.5A-07-07 5章情報資産に係るリスク管理 Sランクよりネットワークログをレビューしている情報システム監査人は、ある従業員が、タスクスケジューラを呼び出して制限されたアプリケーションを立ち上げることにより、PC上で権限昇格コマンドを実行していることに気付いた。これは何の攻撃の例であるか、次から選びなさい。

B.特権昇格

MC No.5A-08-01 5章情報資産に係るリスク管理 Bランクよりウェブアプリケーションの開発者は時々、顧客セッションの情報を保存するためにウェブページにhiddenフィールドを埋め込むことがある。この手法はいくつかのケースにおいて、小売ウェブサイトのアプリケーションにおけるショッピングカートの内容を維持するためなど、すべてのウェブページにおいて永続性を有効化するセッション変数を保存するために使用される。かかる実践手法に対して行われる可能性が最も高いウェブ上の攻撃は次のどれか？

A.パラメータ改ざん

MC No.5A-08-02 5章情報資産に係るリスク管理 Aランクより侵入検知ログのレビュー中に情報システム監査人は企業の給与計算サーバーの内部IPアドレスを起点としているように見える、インターネットからのトラフィックに気付いた。この種の結果の原因である可能性が最も高いのは次のどの悪意のある行動であるか？

B.スプーフィング

MC No.5A-08-03 5章情報資産に係るリスク管理 Aランクより端末からの電磁放射がリスクとなる理由は次のどれか？

D.検出および表示可能である。

MC No.5A-09-01 5章情報資産に係るリスク管理 Aランクよりピアツーピアコンピューティングの使用に伴う最大の懸念事項は次のどれか？

B.データ漏洩

MC No.5B-01-01 5章情報セキュリティのコントロール Aランクより情報システム監査人は、銀行に正確な取引報告を求める規制に照らして、ある銀行の電子送信システムの監査を計画している。この監査範囲の主な焦点となるものは以下のうちどれか。

D.データの完全性

MC No.5B-01-02 5章情報セキュリティのコントロール Bランクよりある保険会社はコストを削減するために重要なアプリケーションの1つにクラウドコンピューティングを使用している。情報システム監査人が最も懸念するのは以下のうちどれか。

B.共有環境にあるデータが他の会社からアクセスされる。

MC No.5B-01-03 5章情報セキュリティのコントロール Aランクより Eコマースアーキテクチャを監査中に、情報システム監査人はクライアントのマスターデータが直近の取引の後6か月間保管され、その後操作がない場合に削除されることに気付いた。情報システム監査人にとっての第一の懸念事項は次のどれか？

C.顧客データの機密性

MC No.5B-01-04 5章情報セキュリティのコントロール Aランクより組織が、顧客からの注文を処理するための新しいウェブベースのアプリケーションを開発している。このアプリケーションをハッカーから守るために取るべきセキュリティ対策は次のどれか？

C.ウェブアプリケーションのセキュリティレビューを行う。

MC No.5B-01-05 5章情報セキュリティのコントロール Sランクよりソーシャルエンジニアリングのインシデントを最も効果的に減少させるのは次のどれか？

A.セキュリティ意識向上トレーニング

MC No.5B-01-06 5章情報セキュリティのコントロール Aランクより組織にインシデント対応計画があるべき主な理由は次のどれか？計画は以下を行うのに役立つ。

D.システム停止およびセキュリティインシデントの持続期間と影響を最小限に抑える。

MC No.5B-01-07 5章情報セキュリティのコントロール Sランクよりセキュリティインシデント対応プロセスを長期的に向上させる最大の可能性があるのは次のうちどれか？

B.インシデント対応チームにより行われるシミュレーション演習

MC No.5B-01-08 5章情報セキュリティのコントロール Sランクよりフィッシング攻撃のリスクを軽減する最善のアプローチとは次のどれか？

D.ユーザーの教育

MC No.5B-01-09 5章情報セキュリティのコントロール Sランクより有効なソーシャルエンジニアリング攻撃の実現に最も貢献すると思われる事項は次のどれか？

B.判断エラー

MC No.5B-01-10 5章情報セキュリティのコントロール Aランクより組織のITシステムへのサイバー攻撃の検出方法、および攻撃後の復旧方法に特に対処する計画は次のどれか？

A.インシデント対応計画

MC No.5B-01-11 5章情報セキュリティのコントロール Bランクよりコンピュータセキュリティ事故対応チームの有効性の指標となるのは次のどれか？

A.セキュリティインシデント当たりの財務インパクト

MC No.5B-01-12 5章情報セキュリティのコントロール Aランクよりソーシャルネットワーキングサイトの使用による機密情報の開示のリスクを最も軽減できる方法は次のどれか？

A.セキュリティ意識向上トレーニングの提供

MC No.5B-02-01 5章情報セキュリティのコントロール Sランクより情報システム監査人は、データベース管理者（DBA）グループと協同し、SQLデータベースへの直接アクセスを持つ個々のユーザーに関連したリスクを低減させようとしている。情報システム監査人は、ライトウェイト・ディレクトリ・アクセス・プロトコル（LDAP）グループの使用を推奨している。最小権限を保証するために必要とされる承認は次のどれか？

B.データベース所有者の承認

MC No.5B-02-02 5章情報セキュリティのコントロール Aランクよりアクセス承認の有効性を確保するためのベスト・プラクティスは次のうちどれか。

B.ID管理を人事プロセスと統合する

MC No.5B-02-03 5章情報セキュリティのコントロール Aランクより情報システム監査人は有効なネットワークユーザーのアクセス制御リスト（ACL）のレビューを行っている。「最大の」懸念事項となるユーザーIDのタイプを次の中から選びなさい。

D.元従業員のユーザーID

MC No.5B-02-04 5章情報セキュリティのコントロール Bランクより内部ネットワークで個人の携帯デバイスの使用を許可している組織をレビューしている情報システム監査人にとって最も重要なものを次の中から選びなさい。

D.セキュリティ仕様の遵守

MC No.5B-02-05 5章情報セキュリティのコントロール Bランクより大規模の複合組織で新しいビジネスアプリケーションが設計され、ビジネスオーナーが様々なレポートを「必要な場合」において閲覧できるように要求している。この要件を満たすための最も良い方法は次のどのアクセス・コントロール方法であるか？

B.役割ベース

MC No.5B-02-06 5章情報セキュリティのコントロール Aランクより情報システム監査人が、ある製造業の会社のアクセス・コントロールをレビューしている。そして、レビュー中にデータ所有者が低リスクアプリケーションのアクセス・コントロールを変更する権限を持っていることに気付いた。情報システム監査人が取るべき最善の行動は次のどれか？

D.任意アクセス・コントロール（DAC）が設定されているため、この問題は報告しない。

MC No.5B-02-07 5章情報セキュリティのコントロール Aランクより電気通信アクセス・コントロールのレビューを行っている情報システム監査人が主に懸念すべき事項は次のどれか？

B.システムリソースへのアクセスを付与する前の認証およびユーザーの認証。

MC No.5B-02-08 5章情報セキュリティのコントロール Aランクより組織の施設内の端末またはワークステーションを介した不正システムアクセスの可能性が高まる状況は次のどれか？

A.ラップトップをネットワークに接続するための接続点が施設にある。

MC No.5B-02-09 5章情報セキュリティのコントロール Bランクより情報システム監査人はシステムアクセスをレビューしており、特権的アクセスを持つユーザー数が過剰であることを発見する。情報システム監査人はこの状況をシステム管理者と話し合ったが、システム管理者によると、他の部門の一部の人員が特権的アクセスを必要としており、経営陣もそのアクセスを承認しているとのことだった。情報システム監査人が取るべき最善の行動は次のどれか？

A.補完的コントロールが実施されているかどうかを判定する。

MC No.5B-02-10 5章情報セキュリティのコントロール Aランクよりクライアント・サーバー環境のアクセス・コントロールをレビューしている情報システム監査人が最初に行うべきことは次のどれか？

B.ネットワークのアクセスポイントを識別する。

MC No.5B-02-11 5章情報セキュリティのコントロール Aランクよりメインフレームアプリケーションのアクセス・コントロールのレビューの際に、情報システム監査人が指定されたオーナーがいないユーザーセキュリティグループを発見した。これが情報システム監査人にとって懸念事項である主な理由は、次のどの行為に対してオーナーシップがなければ、誰も明確な責任を負うことができないからか？

C.ユーザーアクセスの承認

MC No.5B-03-01 5章情報セキュリティのコントロール Aランクより機密情報をアクセスしているデータベースユーザーの説明責任を強制できる最も効果的なコントロールは次のどれか？

A.ログ管理プロセスを導入する。

MC No.5B-03-02 5章情報セキュリティのコントロール Aランクより組織内の不正な人物によって監査ログが削除されることを防げる最も良いコントロールは次のどれか？

C.監査ログの閲覧または削除権限は特定の人物だけに付与する。

MC No.5B-03-03 5章情報セキュリティのコントロール Aランクよりセキュリティ管理手順には次のどの読み取り専用アクセスが必要か？

B.セキュリティログファイル

MC No.5B-03-04 5章情報セキュリティのコントロール Aランクよりアプリケーションシステムの監査証跡の信頼性は、次のどの状況において疑わしいか？

D.システムエラーを修正するときに、ユーザーは監査証跡レコードを修正することができる。

MC No.5B-03-05 5章情報セキュリティのコントロール Aランクより侵入を検出するコントロールとして最良なのは次のどれか？

D.失敗したログオンの試みが、セキュリティ管理者によって監視される。

MC No.5B-03-06 5章情報セキュリティのコントロール Bランクよりアプリケーション・プログラマーがプログラムを小規模組織の本番環境に導入することが許可されている場合、内部不正行為のリスクを低減するために実装できるコントロールは次のどれか？

B.変更の登録とレビュー

MC No.5B-03-07 5章情報セキュリティのコントロール Sランクより人事管理システム（HRMS）およびHRMSへのインターフェースアプリケーション内の機密データにアクセスするアプリケーションユーザーの説明責任を確保するために導入するべき最も効果的なコントロールは次のどれか？

C.監査証跡

MC No.5B-03-08 5章情報セキュリティのコントロール Bランクより業務アプリケーションシステムは、プログラムに埋め込まれた単一のIDおよびパスワードを使って企業のデータベースにアクセスしている。組織のデータへの効率的なアクセス・コントロールを実現するのは次のどれか？

B.アプリケーションシステムに役割ベースの権限を適用する。

MC No.5B-03-09 5章情報セキュリティのコントロール Sランクより不正なオンライン決済要求による損失リスクを低減させるのに最も効果的なコントロールを次の中から選びなさい。

A.トランザクション監視

MC No.5B-03-10 5章情報セキュリティのコントロール Bランクよりファイアウォールのログの整合性を最良に維持するものは次のどれか？

D.ログ情報を専用の第三者のログサーバーに送信する

MC No.5B-04-01 5章情報セキュリティのコントロール Aランクよりウェブアプリケーションをレビューしている情報システム監査人は、複数のユーザーが同じユーザーIDとパスワードを使用してログインしていることを発見した。この状態に関する監査人の第一の懸念事項を次の中から選びなさい。

C.説明責任の欠如

MC No.5B-04-02 5章情報セキュリティのコントロール Sランクよりファイルの送信時にファイルのデータが変更されていないことが確保できる最良のコントロールは次のどれか？

C.ハッシュ値

MC No.5B-04-03 5章情報セキュリティのコントロール Aランクより無人のエンドユーザーのPCシステムへの不正アクセスを最小限にできる最も良い方法とは次のどれか？

A.パスワードで保護されたスクリーンセーバーの使用を強制する

MC No.5B-04-04 5章情報セキュリティのコントロール Aランクよりベンダーに一時的なアクセスを付与する際の最も効果的なコントロールは次のどれか？

B.ユーザーアカウントが有効期限日付きで発行され、提供されるサービスに基づいている。

MC No.5B-04-05 5章情報セキュリティのコントロール Aランクより生体認証システムの運用のレビューの際、情報システム監査人が最初にレビューすべきは次のどれの段階であるか？

A.登録

MC No.5B-04-06 5章情報セキュリティのコントロール Aランクよりパスワードが文字と数字の組み合わせであることを義務付けるセキュリティポリシーへのコンプライアンスを確保するには、情報システム監査人は次のどれを推奨するべきか？

C.自動パスワード管理ツールの使用。

MC No.5B-04-07 5章情報セキュリティのコントロール Aランクよりベンダースタッフに付与されるゲストワイヤレスIDに対する最良のコントロールを確保するのは次のどれか？

A.毎日期限が切れる更新可能なユーザーIDの割り当て

MC No.5B-04-08 5章情報セキュリティのコントロール Aランクよりある企業のデータベース管理者（DBA）のラップトップコンピュータが盗まれ、そこには本番データベースのパスワードのファイルが入っている。この企業は最初に何を行うべきか？

D.データベースのパスワードを変更する。

MC No.5B-04-09 5章情報セキュリティのコントロール Sランクより二要素認証を回避できる攻撃は次のどれか？

B.中間者攻撃

MC No.5B-04-10 5章情報セキュリティのコントロール Sランクより情報システム監査人がハッシュ関数の適用を目にする可能性が最も高い機能はどこか？

A.認証

MC No.5B-04-11 5章情報セキュリティのコントロール Aランクよりチャレンジ/レスポンス・ベースの認証システムのセキュリティを最も効果的に強化するのは次のどれか？

B.セッションハイジャック攻撃を防止するための対策を実施する

MC No.5B-05-01 5章情報セキュリティのコントロール Aランクより次の生体認証のうち、信頼性が最も高く、他人受入率（FAR）が最も低いものはどれか。

C.網膜スキャン

MC No.5B-05-02 5章情報セキュリティのコントロール Aランクより情報システム監査人は、保護対象健康情報を含むデータセンターを保護する生体認証指紋システムを評価している。監査人が最も懸念すべきことを次の中から選びなさい。

C.他人受入れ率（FAR）

MC No.5B-05-03 5章情報セキュリティのコントロール Sランクよりウェブサーバー上のシステム管理者アカウントへの不正アクセスを最も効果的に防げる導入は次のどれか？

D.二要素認証

MC No.5B-05-04 5章情報セキュリティのコントロール Sランクより生体認証システムの精度の尺度を示すのは次のどれか？

D.他人受入率

MC No.5B-05-05 5章情報セキュリティのコントロール Aランクより非常に高いセキュリティ要件を持つ組織は、生体認証システムの有効性を評価している。最も重要な評価指標は次のどれか？

A.他人受入率（FAR）

MC No.5B-05-06 5章情報セキュリティのコントロール Sランクより生体認証コントロールデバイスの全体的なパフォーマンスの最良の定量的尺度は次のどれか？

C.等価エラー率（EER）

MC No.5B-05-07 5章情報セキュリティのコントロール Aランクよりオンラインのバンキングアプリケーションにおいて個人情報の盗難に対する最善の保護対策は次のどれか？

C.二要素認証

MC No.5B-05-08 5章情報セキュリティのコントロール Aランクより単一要素個人識別の最も信頼できる形態は次のどれか？

D.虹彩スキャン

MC No.5B-05-09 5章情報セキュリティのコントロール Bランクよりユーザーに対して、暗証番号（PIN）と組み合わせて使用される、会社の仮想専用ネットワークにアクセスするためのセキュリティトークンが発行された。PINにおいて、セキュリティポリシーに含めるべき最も重要なルールは次のどれか？

D.ユーザーは自らのPINを絶対に書き留めてはならない。

MC No.5B-05-10 5章情報セキュリティのコントロール Bランクよりあるホテルが宿泊客にインターネットアクセスを提供するためにロビーにコンピュータを設置した。個人情報の盗難の最大のリスクを示すのは次のどれか？

D.セッションタイムアウトが起動されていない。

MC No.5B-05-11 5章情報セキュリティのコントロール Aランクより最も効果的な生体認証コントロールシステムには次のどの特徴があるか？

B.等価エラー率が最小である。

MC No.5B-05-12 5章情報セキュリティのコントロール Sランクより二要素認証の一形態は次のどれか？

A.スマートカードと個人識別番号

MC No.5B-05-13 5章情報セキュリティのコントロール Sランクより XYZ社は、本番サポートを他の国に拠点を置くサービスプロバイダABC社に外部委託している。サービスプロバイダABC社の担当者は、インターネットを介してXYZ社のアウトソーシング事業部の企業ネットワークにリモートで接続する。XYZ社への本番サポートのためインターネットから接続するのをABC社の許可されたユーザーのみとすることを保証する最善の方法は、以下のどれか？

C.二要素認証

MC No.5B-05-14 5章情報セキュリティのコントロール Sランクより XYZ社は、本番サポートを他の国に拠点を置くサービスプロバイダABC社に外部委託している。サービスプロバイダABC社の担当者は、インターネットを介してXYZ社のアウトソーシング事業部の企業ネットワークにリモートで接続する。ABC社の本番サポートチームがXYZ社にサポートを提供する際、情報の伝送が安全であることを保証する最良の選択肢は次のどれか？

D.仮想専用ネットワークトンネル

MC No.5B-06-01 5章情報セキュリティのコントロール Aランクより不正アクセスのリスクはシングルサインオンプロセスの実施後に高まるという懸念がある。不正アクセスを防ぐための最も重要な行動は次のどれか？

D.強力なパスワードポリシーを要求する。

MC No.5B-07-01 5章情報セキュリティのコントロール Aランクより病院で医療関係者が、患者の健康データを保存した携帯可能なコンピュータを持ち歩いている。これらのコンピュータは、病院のデータベースからデータを転送するPCと同期がとられている。次のうち最も重要なことは何か。

A.携帯可能コンピュータの盗難や紛失の場合に備えて、データの機密性の喪失を防止するための保護対策が適切になされている

100

MC No.5B-07-02 5章情報セキュリティのコントロール Aランクより機密データを磁気メディアから恒久的に削除するための最も効果的な方法を次の中から選びなさい。

B.消磁

自己評価問題

自己評価問題

①1章不正解

①1章不正解

②2章不正解

②2章不正解

③3章不正解

③3章不正解

④4章不正解

④4章不正解

⑤5章不正解

⑤5章不正解

⑥自己評価問題不正解

⑥自己評価問題不正解

⑦追加問題不正解

⑦追加問題不正解

⑧不正解問題

⑧不正解問題

⑨不正解問題2

⑨不正解問題2

①1章情報システム監査のプロセス

ユーザ名非公開 · 149問 · 6ヶ月前

①1章情報システム監査のプロセス

149問 • 6ヶ月前

ユーザ名非公開

①2章 ITガバナンスとITマネジメント

ユーザ名非公開 · 169問 · 6ヶ月前

①2章 ITガバナンスとITマネジメント

169問 • 6ヶ月前

ユーザ名非公開

①3章情報システムの調達、開発、導入

ユーザ名非公開 · 205問 · 6ヶ月前

①3章情報システムの調達、開発、導入

205問 • 6ヶ月前

ユーザ名非公開

①4章情報システムの運用とビジネスレジリエンス

ユーザ名非公開 · 302問 · 6ヶ月前

①4章情報システムの運用とビジネスレジリエンス

302問 • 6ヶ月前

ユーザ名非公開

①2024年8月新規追加問題

ユーザ名非公開 · 110問 · 6ヶ月前

①2024年8月新規追加問題

①自己評価問題

①自己評価問題

②1章不正解

②1章不正解

②2章不正解

②2章不正解

②3章不正解

②3章不正解

問題一覧

C.データのランク付け

MC No.5A-01-02 5章情報資産に係るリスク管理 Aランクよりアクセス・コントロールの実施に際してまず最初に必要なことは次のどれか。

D.情報システム資源の棚卸

A.費用便益分析

MC No.5A-01-04 5章情報資産に係るリスク管理 Bランクより情報資産オーナーの責任は次のどれか？

B.データに重大度レベルを割り当てること

MC No.5A-01-05 5章情報資産に係るリスク管理 Aランクよりデータ分類の最初のステップは次のどれか？

A.所有権を確立する。

MC No.5A-01-06 5章情報資産に係るリスク管理 Aランクよりアクセス・コントロールの導入に最初に必要となるものは次のどれか？

D.ISリソースの棚卸

MC No.5A-01-07 5章情報資産に係るリスク管理 Aランクより明確に識別できる予防的コントロールがないことの固有リスクを示すのは次のどれか？

C.データ詐取

MC No.5A-01-08 5章情報資産に係るリスク管理 Sランクより情報所有者がデータを適切に分類するのに最も役立つのは次のどれか？

B.組織上のポリシーおよび基準に関するトレーニング

MC No.5A-01-09 5章情報資産に係るリスク管理 Aランクよりコントロールの観点において、情報資産を分類する主な目的は次のどれか？

A.割り当てるべきアクセス・コントロールのレベルにおけるガイドラインを確立すること。

B.コントロールコストの削減

MC No.5A-02-01 5章情報資産に係るリスク管理 Aランクよりシステムに対する有効な攻撃の最初のステップは次のどれか？

A.情報収集。

MC No.5A-03-01 5章情報資産に係るリスク管理 Sランクより受動的サイバーセキュリティ攻撃の例を次の中から選びなさい。

A.トラフィック分析

MC No.5A-03-02 5章情報資産に係るリスク管理 Sランクよりネットワークへの受動的攻撃は次のどれか？

D.トラフィック分析

C.トラフィック分析

MC No.5A-04-01 5章情報資産に係るリスク管理 Sランクよりソーシャルエンジニアリングの攻撃ベクトルと見なされるものを次の中から選びなさい。

A.銀行のログイン認証情報を盗み出すために設計された偽の電子メールメッセージ

A.ソーシャルエンジニアリング

C.ショルダーサーフィン

B.フィッシング

D.ドメインネームシステムサーバーのセキュリティ強化

D.データベースのハッキングを受けやすくなること

MC No.5A-05-02 5章情報資産に係るリスク管理 Aランクよりアクティブ型無線ICタグが晒されている脅威は次のどれか。

B.盗聴

MC No.5A-05-03 5章情報資産に係るリスク管理 Bランクよりパスワードのスニッフィングを使ったインターネットベースの攻撃は：

C.機密情報を含むシステムへのアクセスを得るために使用される。

C.ウォードライビング

D.ウォードライビング

MC No.5A-05-06 5章情報資産に係るリスク管理 Aランクより不正アクセスを実施するために残留している生体情報を使用する攻撃は次のどれか？

A.リプレイ

D.フォトフレームはマルウェアに感染している可能性がある。

C.PCをネットワークから切断する。

D.ボットネット

A.バッファ・オーバーフロー

B.分散型サービス拒否攻撃

MC No.5A-07-03 5章情報資産に係るリスク管理 Sランクより分散型サービス拒否攻撃に至るのは次のどれか？

B.ピングオブデス

MC No.5A-07-04 5章情報資産に係るリスク管理 Aランクよりサービス拒否攻撃に貢献する可能性が最もあるのは次のどれの不備であるか？

A.ルーター構成およびルール

MC No.5A-07-05 5章情報資産に係るリスク管理 Aランクより不適切なプログラミングおよびコーディングの実践手法には次のどのリスクが増加するか？

B.バッファ・オーバーフローの悪用

A.ネットワーク外のソースアドレスからの送信トラフィック

B.特権昇格

A.パラメータ改ざん

B.スプーフィング

MC No.5A-08-03 5章情報資産に係るリスク管理 Aランクより端末からの電磁放射がリスクとなる理由は次のどれか？

D.検出および表示可能である。

MC No.5A-09-01 5章情報資産に係るリスク管理 Aランクよりピアツーピアコンピューティングの使用に伴う最大の懸念事項は次のどれか？

B.データ漏洩

D.データの完全性

B.共有環境にあるデータが他の会社からアクセスされる。

C.顧客データの機密性

C.ウェブアプリケーションのセキュリティレビューを行う。

A.セキュリティ意識向上トレーニング

D.システム停止およびセキュリティインシデントの持続期間と影響を最小限に抑える。

B.インシデント対応チームにより行われるシミュレーション演習

MC No.5B-01-08 5章情報セキュリティのコントロール Sランクよりフィッシング攻撃のリスクを軽減する最善のアプローチとは次のどれか？

D.ユーザーの教育

B.判断エラー

A.インシデント対応計画

MC No.5B-01-11 5章情報セキュリティのコントロール Bランクよりコンピュータセキュリティ事故対応チームの有効性の指標となるのは次のどれか？

A.セキュリティインシデント当たりの財務インパクト

A.セキュリティ意識向上トレーニングの提供

B.データベース所有者の承認

MC No.5B-02-02 5章情報セキュリティのコントロール Aランクよりアクセス承認の有効性を確保するためのベスト・プラクティスは次のうちどれか。

B.ID管理を人事プロセスと統合する

D.元従業員のユーザーID

D.セキュリティ仕様の遵守

B.役割ベース

D.任意アクセス・コントロール（DAC）が設定されているため、この問題は報告しない。

B.システムリソースへのアクセスを付与する前の認証およびユーザーの認証。

A.ラップトップをネットワークに接続するための接続点が施設にある。

A.補完的コントロールが実施されているかどうかを判定する。

B.ネットワークのアクセスポイントを識別する。

C.ユーザーアクセスの承認

A.ログ管理プロセスを導入する。

C.監査ログの閲覧または削除権限は特定の人物だけに付与する。

MC No.5B-03-03 5章情報セキュリティのコントロール Aランクよりセキュリティ管理手順には次のどの読み取り専用アクセスが必要か？

B.セキュリティログファイル

MC No.5B-03-04 5章情報セキュリティのコントロール Aランクよりアプリケーションシステムの監査証跡の信頼性は、次のどの状況において疑わしいか？

D.システムエラーを修正するときに、ユーザーは監査証跡レコードを修正することができる。

MC No.5B-03-05 5章情報セキュリティのコントロール Aランクより侵入を検出するコントロールとして最良なのは次のどれか？

D.失敗したログオンの試みが、セキュリティ管理者によって監視される。

B.変更の登録とレビュー

C.監査証跡

B.アプリケーションシステムに役割ベースの権限を適用する。

A.トランザクション監視

MC No.5B-03-10 5章情報セキュリティのコントロール Bランクよりファイアウォールのログの整合性を最良に維持するものは次のどれか？

D.ログ情報を専用の第三者のログサーバーに送信する

C.説明責任の欠如

C.ハッシュ値

A.パスワードで保護されたスクリーンセーバーの使用を強制する

MC No.5B-04-04 5章情報セキュリティのコントロール Aランクよりベンダーに一時的なアクセスを付与する際の最も効果的なコントロールは次のどれか？

B.ユーザーアカウントが有効期限日付きで発行され、提供されるサービスに基づいている。

A.登録

C.自動パスワード管理ツールの使用。

A.毎日期限が切れる更新可能なユーザーIDの割り当て

D.データベースのパスワードを変更する。

MC No.5B-04-09 5章情報セキュリティのコントロール Sランクより二要素認証を回避できる攻撃は次のどれか？

B.中間者攻撃

MC No.5B-04-10 5章情報セキュリティのコントロール Sランクより情報システム監査人がハッシュ関数の適用を目にする可能性が最も高い機能はどこか？

A.認証

B.セッションハイジャック攻撃を防止するための対策を実施する

MC No.5B-05-01 5章情報セキュリティのコントロール Aランクより次の生体認証のうち、信頼性が最も高く、他人受入率（FAR）が最も低いものはどれか。

C.網膜スキャン

C.他人受入れ率（FAR）

D.二要素認証

MC No.5B-05-04 5章情報セキュリティのコントロール Sランクより生体認証システムの精度の尺度を示すのは次のどれか？

D.他人受入率

A.他人受入率（FAR）

C.等価エラー率（EER）

C.二要素認証

MC No.5B-05-08 5章情報セキュリティのコントロール Aランクより単一要素個人識別の最も信頼できる形態は次のどれか？

D.虹彩スキャン

D.ユーザーは自らのPINを絶対に書き留めてはならない。

D.セッションタイムアウトが起動されていない。

MC No.5B-05-11 5章情報セキュリティのコントロール Aランクより最も効果的な生体認証コントロールシステムには次のどの特徴があるか？

B.等価エラー率が最小である。

MC No.5B-05-12 5章情報セキュリティのコントロール Sランクより二要素認証の一形態は次のどれか？

A.スマートカードと個人識別番号

C.二要素認証

D.仮想専用ネットワークトンネル

D.強力なパスワードポリシーを要求する。

A.携帯可能コンピュータの盗難や紛失の場合に備えて、データの機密性の喪失を防止するための保護対策が適切になされている

100

B.消磁

①5章 情報資産の保護

①5章情報資産の保護