ウェブアプリケーションの開発者は時々、顧客セッションの情報を保存するためにウェブページにhiddenフィールドを埋め込むことがある。この手法はいくつかのケースにおいて、小売ウェブサイトのアプリケーションにおけるショッピングカートの内容を維持するためなど、すべてのウェブペーシにおいて永続性を有効化するセッション変数を保存するために使用される。かかる実践手法に対して行われる可能性が最も高いウェブ上の攻撃は次のどれか? A.パラメータ改ざん B.クロスサイト·スクリプティング C.クッキー·ポイズニング D. ステルス·コマンディング

ファイルの送信時にファイルのデータが変更されていないことが確保できる最良のコントロールは次のどれか? A.妥当性確認 B.パリティ・ビット C.ハッシュ値 D.チェック·ディシジット

監査証跡第一の目的は次のどれか? A.ユーザーに対する応答時間を改善すること。 B.処理されたトランザクシンの説明責任を確立すること。 C.システムの業務効率を改善すること。 D.トランザクションを追跡したい監査人に情報を提供すること。

クレジットカードのトランザクションがカードの所有者からではなく、盗難によって生じたものだと判断するためのシステムまたはツールはどれか？ A.侵人検知システム B. データマイニング手法 C.ステートフルインスペクション·ファイアウォール D.パケット·フィルタリング·ルーター

サーバーのosの完全性を最もよく確保するのは次のどれか? A.安全な場所でサーバを保護する B.ブートパスワードを設定する C.サーバー構成を強化する D.アクティビティ·ロギングを導入する

ネットワークの異なるセグメン間の不正なトラフィックを防ぐためのセキュリティ対策として 第一に設定されるネットワーク要素は次のとれか? A ファイアウォール B ルータ C レイヤ2スイッチ D 仮想ローカルエリアネットワーク

情報システム監査人は、組織の最高情報責任者(CIO)が、モバイル通信(GSM)技術によるグローバルシステムを用いた無線プロードバンドモデムを使用していることに気付いた。このモデムはCIOがオフィス外の時にCIOのラップトップを企業の仮想専用ネットワークに接続するために使用されている。情報システム監査人が行うベきことを次の中から選びなさい。 A.GSM技術固有のぞキュリティ機能が適切であるため、何もしない。 B.暗号化が有効化されるまで、cioにラップトップの使用を停止することを提案する。 C.不正な無線ユーザーが接続できないように、ネットワークにMACアドレスのフィルタリング が有効化されていることを確保する。 D.不正通信を防ぐために無線リンク上で二要素認証が使用されることを推奨する。

無人のエンドユーザーのPCシステムへの不正アクセスを最小限にできる最も良い方法とは次のどれか？ A.パスワードで保護されたスクリーンセーメ　バーの使用を強制する。 B.近接ベースの認証システムを導入する C.事前定義された間隔でユーザーのセッションを終了させる D.スクリーンに何も表示されないように電源管理設定を調節する

ウェブサーバー上のシステム管理者アカウントへの不正アクセスを最も効果的に防げる導入は次のとれか？ A.サーバーにインストールされているホスト侵人検知ソフトウェア B.パスワードの有効期限とロックアウトポリシー C. パスワードの複雑さルール D.二要素認証

組織のITマネージャーが、コンサルタントのチームがラップトップからインターネットにアク スできるように、会議室への無線ローカルエリアネットワーアクセスポイントのイストールを承認した。不正アクセスから企業サーバーを保護できる最も良いコントロールは次のどれを確 保することであるか? A.暗号化がアクセスポイントで有効化されている。 B.会議室ネットワークは、別の仮想ローカルエリアネットワーク(VLAN)上にある。 C.コンサルタントのラットップのヴイルズ対策署名およびパッチレベルが最新のものである。 D.企業サーバーでデフオルトのユーザーIDが無効化され、強力なパスワードが設定される。

情報シスデム監査人は、組織の人事データベースの導入をレビューしている。情報システム監査人は高可用性のために実にデータベースのサーバーがクラスタ化されすべてのデォルトのデータベースアカウントが削除され、データベースの監査ログが保存されて毎週レビューされていることを確認した。 データベースが適切に保護されていることを保証するために、情報システム監査人はその他のどの領域を確認するべきか? A.データベース管理者の人事データへのアクセスが制限されていること。 B.データベースのログが暗号化されていること。 C.データベースのストアドプロシージャは暗号化されていること。 D.データベース初期化パラメータが適切であること。

情報システム監査人が経営陣から不正である可能性のあるトランザクションをレビーするよう 依頼された。トランザクションの評価時に情報システム監査人が重視すべき第一の事項は、次のどの点であるか。 A.トランザクション評価時に公正性を維持すること。 B.情報システム監査人の独立性の維持が保証されること。 C. 証拠の完全性の維持が確保されること。 D.当該トランザクションに関係する証拠をすべて評価する。

大規模の複合組織で新しいビジネアプリケーシインが設計され、ビジネスオーナーが様々なレ ポートを「必要な場合」におて閲覧できるように要求している。この要件を満たすための最も良い方法去は次のどのアクセスコントロール方法であるか？ A.強制的 B. 役割べース C.任意約 D.シングルサインオン

組織内の不正な人物によって監査ログが削除されることを防げる最も良いコントロールは次のどれか? A.ログファイルに対する行為を別のログで追跡する。 B.監査ログへの書き込みアクセスを無効にする。 C.監査ログの閲覧または削除権限は特定の人物だけに付与する。 D.監査ログのバックアップを定期的に実施する

ある企業ではDHCPを導入している。次の条件が存在すると仮定した場合に最大の懸念事となるのは次のどれか？ A.ほとんどの従業員がラップトップを使用している。 B.パケットフィルタリングファイアウォールが使用されている。 C.IPアドレス空間は、PCの数よりも少ない。 D.ネットワークポートへのアクセネは制限されていない。

データベース管理者(DBA)が企業データの管理を適切に行うようにする、有効な予防的コントロールは次のどれか? A.例外事項報告書 B.職務の分離 C.アクセスログと作業のレビュー D.管理監督

ある従業員が贈り物としてデジタルフォトフレームを貰い、デジタル写真を転送するために自らの仕事のPCに接続した。この状況に伴う第一のリスクは次のどれか? A.企業データを盗むためにフォトフレームのストレージメディアが使用されかねない。 B.フォトフレームのドライバーに互換性がく、ユーザーのPCをクラッシュさせかねない。 C.従業員が不適切な写真をオフィスに持ち込みかねない。 D.フォトフレームはマルウェアに感染している可能性がある。

組織は、最高財務責任者のコンピュータがキーストロークロガーおよびルートキットであるマルウェアに感染していることに気行いた。最初に行うべき行動は次のどれか? A.調査を開始するために、 適切な法執行当局に連絡する。 B.直ちに他のデータが漏洩していないことを確認する。 C.PCをネットワークから切断する。 D.検出されたマルウェアまたはウイルスを取り除くために、PCのウイルス対策シグネチャーを更新する。

情報システム監査人は、 ある病院における以前の情報システム監査で発見された事項を確認している。そのひとつに、 電子メールで患者のセンシティブな情報を伝達していたことがあった。 ITマネージャーは、この発見事項に対処するため、すべての電子メール利用者に電子署名を導入した。情報システム監査人の最良の返答は次のどれか? A.電子署名は、機密保護は適切ではない。 B.電子署名は、機密性保護に適切である。 C.情報システム監査人は、特定の導入に関する詳細な情報を収集する必要がある。 D.情報システム監査人は、電子メールの安全を確保するために電子透かしの導入を提案するべ きである。

電気通信網に対して最も良いセキュリティを提供する通信媒体は次のどれか? A.ブロードバンドネットワークにおけるデジタル伝送。 B.ベースバンド·ネットワーク C. ダイアルアップ D.専用回線

組織がプライバシー要件に準拠していることを確認するために、情報システム監査人が最初にレビューすべき事項とは次のどれか? A.ITインフラストラクチャ B.組織のポリシー、標準および手順 C.法律および規制要件 D.組織のポリシー、標準および手順の遵守

ある人材会社では、汎用ユーザーIDおよびパスワードの認証後、ゲスドに無線インターネットアクセスを提供している。汎用IDとパスワードは受付デスクからもらうことができる。この状況に最も相応しいコントロールは次のどれか? A.無線ネットワークのパスワードは、週単位で変更される。 B.ステートフルインスペクション·フアイアウオールを公衆無線および社内ネットワークの間で使用する。 C.公衆無線ネットワークは物理的に社内ネットワークから隔離されている。 D.侵入検知システムが無線ネットワーク内で展開されている。

ローカルエリアネットワークの導入をレビューする際に情報システム監査人が最初にレビューすべき事項は次のどれか? A.ノードリスト B.受け入れテスト報告書 C.ネットワーク図 D.ユーザーリスト

情報システム監査人が、パスワードコントールの構成設定がIT開発者よりビジネスユーザーに 対してより厳しいことに気付いた。情報システム監査人が取るべき最善の行動は次のどれか? A.これがポリシー違反であるかどうかを判定し、文書化する。 B.監視したことを例外として文書化する。 C.パスワードの構成設定をすべて同一にすることを推奨する。 D. IT開発者アクセスのログを定期的にレビューすることを提案する。

組織が、顧客からの注文を処理するための新しいウェブベースのアプリケーションを開発している。このアプリケーションをハッカーから守るために取るべきセキュリテイ対策は次のれか? A. ポート80と443がファイアウールでブロックされていることを確保する。 B.すべてのファイルに読み取り専用のアクセス権が設定されていることを保証するために、すべてのサーバーのファイルおよびアクセス権限を検査する。 C.ウェブアプリケーションのセキュリティレビューを行う。 D.既存顧客のlPアドレスだけファイアーウォールの通過が許可されていることを確保する。

実際の攻撃をシミュレートし、ターゲットのインシデント処理および対応能力をテストするために使用される侵入テストは次のどれか? A.ブラインドテスト B.選択的テスト C.二重ブラインドテスト D.エクスターナルテスト

組織が情報システム監査人にVoIPシステムおよびデータトラフィックのセキュリティと信頼性を高めるための提案を求めている。この要求を満たすのは次のどれか? A.VoIPのインフラストラクチャは、仮想ローカルエリアネットワークを用いて分離する必要が ある。 B.バッフアをVolPエンドポイントで導入する必要がある。 C.VolPシステムで終端間暗号化が可能かどうかを確認する。 D.VolPインフラのすべての箇所で非常用電源が利用可能かどうかを確認する。

侵入検知ログのレビュー中に情報システム艦査人は企業の給与計算サーバーの内部IPアドレスを起因としているように見える、インターネットからのトラフィックに気づいた。この種の結果の原因である可能性が最も高いのは次のどの悪意のある行動であるか? A.DoS (サービス拒否)攻撃 B.スプーフィング C.ポートスキャニング D.中間者攻撃

情報システム監査人は、ある組織で、ユニバーサルシリアルパス(USB)ドライブ上の全データの暗号化を教務付ける情報セキュリティポリシーを確認した。かかるポリシーは特定の暗身化アルゴリズムが使用されることも義務付けてある。USBドライブに記録されたデータが不正による情報漏洩から保護されることを最も保証するアルゴリムは次のどれか? A.DES方式 B.メッセージダイジェスト5(MDS) C.AES方式 D.セキュアシェル

グローバル組織の情報システムの監査中に、情報システム監査人は、組織が全事業所間の音声接続の唯一の手段として、インターネットを介してVoIPを使用していることを発見した。組織のVoIPインフラに対する最も重大なリスクを示すのは次のどれか? A. ネットワーク機器の放障 B.分徹型サービス拒否攻撃 C.プレミアムレート詐欺(料金詐欺) D.ソーシャルエンジニアリング攻撃

組織内で不正なインターネットのサイトへのアクセスを制限する最も効果的なコントロールは次のどれか? A.コンテンツ·フィルタリング機能を持つプロキシサーバー経由で送信インターネットトラフィ ックをルーテイングする B.リバースプロキシサーバーを経由して受信インターネットトラフィックをルーティングする C.ファイアウォールに適切なアクセスルールを実装する D.不適切なコンテンツをブロックするクライアントソフトウェアユーティリティをインストールする

内部監査部門が、ウェブアプリケーション向けに社内で開発されたコモン·ゲートウェイ·イン タフェース(CGI)スクリプトをレビューしている。情報システム監査人は、このスクリプトが品質管理部門によってレビューおよびテストされていないことに気付いた。最も懸念すべきリスクを次の中から選びなさい。 A.システムの非有用性 B.マルウェアのリスク発現 C.不正アクセス D,システムの完全性

ある情報システム監査人が企業ネットワークの導入後レビューを行っている。最も関心を払うべき結果は次のどれか? A.無線モバイルデバイスがパスワードで保護されていない。 B.ネットワークデバイスのインストール時のデフォルトのパスウードが変更されていない。 C.アウトバウンドのウェブプロキシが存在しない。 D.すべての通信リンクで暗号化が使用されていない。

情報システム監査人は、新しいクラウドベースの会計サービスプロバイダとのサードパーティ契約書をレビューしている。会計データのプライバシーに関連した最も重要な考慮事項を決の中から選びなさい。 A.データ保持、バックアップおよび復元 B.情報の返還または破棄 C.ネットワークおよび侵入検知 D.バッチ管理プロセス

ベンダーに一時的なアクセスを付与する際の最も効果的なコントロールは次のどれか? A.ベンダーのアクセスがサービス内容合意書に見合っている B.ユーザーアカウントが有効期限日付きで発行され、提供されるサービスに基づいている。 C. 管理者のアクセスが限られた期間の間、提供される。 D.作業が完了した直後にユーザーDが削除される。

論理アクセス·コントロールのレビューの際に、情報システム監査人は、あるユ一ザーアカウントが共有されていることに気付いた。この状況から生じる最大のリスクは次のどれか? A.不正ユーザーがそのIDを使用してアクセスを試みる可能性。 B.ユーザーアクセス管理には膨大な時間がかかってしまう。 C.パスワードが簡単に推測されてしまう。 D.ユーザーの説明責認が確立されない可能性がある。

情報システム監査人は、規制対象データを保持するデータセンターへの物理的なアクセスを保護するために使用される生体認証システムを評価している。監査人が最も懸念すべきことは次のうちどれか? A.生体認証スキャナーやアクセス·コントロール·システムへの管理者権限アクセスが仮想専用ネットワークで許可されている。 B.生体認証スキャナーが制限エリアに設置さでれていない。 C.正体認証スキャナーとアクセスコントロール·システム間で送信されたデータが安全に暗号化されたトンネルを使用していない。 D.生体認証システムのリスク分析が最後に実施されたのは3年前である。

役割ベースのアクセス·コントロールの監査を行う際に、情報システム監査人がITセキュリティ の従業員が特定のサーバーへのシステム管理者権限を保有し、これらの権限はトラザクションログの修正または削除を許可しているにとに気付いた。情報システム監査人が勧告すべき最良の行動とは次のどれか? A.これらの従業員の適切な管理を確保すること。 B.トランザクション·ログのバックアップが保持されていることを確保すること。 C.変更を検出するためにコントロールを実施すること。 D.トランザクション·ログをリアルタイムでWrite Once and Read Many ドライブに書き込むこと。

銀行の情報システムを監育している際に、ある情報システム監査人が、企業がosに対するスタッフメンバーのアクセスを正しく管理しているかどうかを評価している。企業が実施しているかどうかを情報システム監査人が判断しなければならない項目は以下のどれか? A.ユーザー作業ログの定期的なレビュー B.フィールドレベルのユーザー承認の検証。 C.データ通信アクセス作業ログのレビュー。 D.データファイルの変更の定期的なレビュー。

新たにインストールされたVoIPシステムの監査を実施している情報システム監査人は、建物の各フロアの配線用ボックスを検査している。 この場合、最大の懸念となるのは次のどれか? A.LANスイッチが無停電電源装置に接続されていない B.ネットワクケーブル敷設が整理されておらず、適切なラベリングも行われていない C.LAN接続で使用されているのと同じケーブルが電話でも使用されている D.配線ボックスに電気系統およびブレーカーパネルも含まれている

組織のリモートシステムへの論理アクセスのセキュリティをレビューする際、情報システム監査人の最大の懸念事項は次のどれか? A.パスワードが共有されていること。 B.暗号化されていないパスワードが使用されていること。 C.冗長的なログオンIDが存在すること D.第三者ユーザーが管資理者権限を持づこと。

情報システム監査人が保護対象の医療情報(PHI)に関して医療機関のリスクを評価しているとき、情報システム管理者と面接した。情報システム監査人が最も懸念しなければならない面接結果は次のどれか? A.この組織は電子メールの送信メッセージをすべて暗号化していない。 B.スタッフは暗号化対象の電子メールメッセージの件名に(PHI) と入力しなければならない。 C.ある担当者のコンピュータのスクリーンセーバー機能が無効である。 D.サーバー構成のためにユーザーが毎年パスワードを変更する必要がある。

情報資産オーナーの責任は次のどれか? A.アプリケーション内に情報セキュリティを導入すること B.データに重大度レベルを割り当てるごと C.データおよびブログラムへのアクセスルールを導入すること D.データに物理的および論理的セキュリティを供給すこと

ネットワークログをレビューしている情報システム監査人は、ある従業員が、タスクスケジュールを呼び出して制限されたアプリケーションを立ち上げることにより、 PC上で権限昇格コマンドを実行していることに気付いた。これは何の攻撃の例であるか、次から選びなさい。 A. 競合状態 B. 特権昇格 C.バッファ·オーバフロー D.偽装

情報システム監査人は組織のレビューを行い、デーダ漏複事例に関連した証拠が保存されるようにしている。情報システム監査人が最も懸念するのは以下のうちどれか? A.エンドユーザーがインシデント報告手順について知らないこと B.ログサーバーが別のネットワークに設置されていないこと C.バックアップが一貫して実施されていないこと D.分析過程の保全管理に関するポリシーがないこと

情報システム監査人が、ある製造業の会社のアクセス·コントロールをレビューしている。そして、レビュー中にデータ所有者が低リスクアプリケーションのアセス·コントロールを変更する権限を持っているこに気付いた。情報システム監査人が取るべき最善の行動は次のどれが? A.強制アクセス·コントロールの導入を推奨する。 B.状況を発見事項として上級管理者へ報告する。 C.例外であるか判断するために状況をデータ所有者に報告する。 D.任意アクセス·コントロール(DAC)が設定されているため、この問題は報告しない。

端末からの電磁放射がリスクとなる理由は次のどれか? A.近くの記憶媒体を破損させる、もしくはデータを削除する可能性があるため。 B.プロセッサ機能を中断させる可能性があるため。 C.人の健康に悪影響がある可能性があるため。 D.検出および表示可能である。

セキュリティ管理手順には次のどの読み取り専用アクセスが必要か? A.アクセス•コントロール•テーブル B.セキュリティログファイル C.ログ記録オプション D.ユーザープロファイル

セキュリティ責任者の助けを借りて、データへのアクセスを付与する責任は次のどの人物にあるか？ A.データ所有者 B.プログラマー C.システム·アナリスト D.ライブラリアン

データ分類の最初のステップは次のどれか? A.所有権を確立する。 B.重要性分析を実施する。 C.アクセスルールを定義する。 D.データディクショナリを作成する。