CISSPドメイン2-1

100問 • 1年前

問題一覧

Angelaは，銀行の情報セキュリティアーキテクトである．彼女は，ネットワークを介した取引のセキュリティを確保するよう指示を受けた．彼女はすべての取引でTLSを用いるように推奨している．彼女はどのような攻撃を止めようとしているのか，またどのような手法を用いて攻撃から守ろうとしているのか？ A．中間者攻撃，VPN B．パケットインジェクション，暗号化 C．スニッフィング，暗号化 D．スニッフィング，テンペスト

COBITは，IT管理とガバナンスのためのフレームワークである．ビジネス要件とセキュリティコントロールの必要性とのバランスをとるために，COBITを選択し適用するのは，以下のうちどのデータ管理関連の役割（ロール）を担う人か？ A．ビジネスオーナー B．データプロセッサー C．データオーナー D．データスチュワード

最低限のセキュリティ標準の出発点を表す用語は何か？ A．概要 B．ベースライン C．ポリシー D．構成ガイド

保持しているデータの分類に従い媒体がラベル付けされる時，通常，ラベルに関して適用されるルールは何か？ A．データは完全性に対する要件からラベル付けされる． B．媒体はその中に含まれているデータの中で最高レベルの分類に基づきラベル付けされる． C．媒体はその中に含まれているデータのすべてのレベルの分類に基づきラベル付けされる． D．媒体はその中に含まれているデータの中で最低レベルの分類に基づきラベル付けされる．

次の管理プロセスの中で，機密情報に対して適切なレベルのセキュリティコントロールを割り当てることを促進するのはどれか？ A．情報の分類 B．残留 C．データの伝送 D．クリアリング

データ保持ポリシーは法的責任の低減にどのように役立つか？ A．不要なデータが保持されないようにする B．不利益なデータが破棄されるようにする C．データが安全にワイプされて，法的証拠開示のために復元できないようにする D．法で必要とされるデータ記憶媒体のコストを削減する

日々の業務に関わる責任を委譲されているIT部門のスタッフは，どのようなデータ関連の役割（ロール）を担っているか？ A．ビジネスオーナー B．ユーザー C．データプロセッサー D．データ管理者

Susanが勤務する会社は，EU圏内の顧客と取り引きを行う米国企業である．彼女がこうした顧客のPIIを扱う責任を負う場合，やらなければいけないことは何か？ A．常にデータを暗号化する． B．HIPAAに従ってデータのラベル付けと分類を行う． C．PCI DSSに照らして年次評価を行う． D．US-EUプライバシーシールドなどの基準に準拠する．

Benは，組織の情報分類システム配下のシステムのセキュリティコントロールを決定する業務を担当している．彼がセキュリティベースラインの利用を選択するとしたら，その理由は次のどれか？ A．ベースラインは，一貫的なセキュリティコントロールをすべての状況に適用できる． B．ベースラインは，責任予防を備え，業界標準化団体から承認されている． C．ベースラインは，組織的ニーズに合わせて調整することのできる良い出発点となる． D．ベースラインは，システムが常にセキュアであることを保証する．

同一の機密レベルで運用される環境において，再利用を可能とする媒体の上書きを意味する用語は次のどれか？ A．クリアリング B．消去（Erasing） C．パージング D．サニタイズ

ある程度の損害を発生させるおそれがあるものの，深刻または重大な損害とはならないデータに対する米国政府の分類ラベルは以下のどれか？ A．最高機密（Top Secret） B．機密（Secret） C．部外秘（Confidential） D．分類（Classified）

SSDのオーバープロビジョニング領域やHDDのスペアセクター，不良セクターに共通する課題は何か？ A．データを隠蔽するのに利用可能である． B．消磁でのみ消去が可能である． C．通常の方法ではアクセスできず，その結果，データ残留が発生する． D．消去できない場合があり，その結果，データ残留が発生する．

データの削除を試行した後に残るデータを意味する用語はどれか？ A．残存バイト B．データ残留 C．スラック領域 D．ゼロフィル

問題14～16に関しては，以下のシナリオを参照すること：あなたの組織は通常，次の3種類のデータを扱っている．顧客と共有する情報，事業を行うために社内で用いる情報，組織に競争上の大きな優位性をもたらす営業秘密情報である．顧客と共有する情報はWebサーバーに保管して使用されている一方で，内部ビジネスデータと営業秘密情報はどちらも内部ファイルサーバーと従業員のワークステーションに保管されている．これらのデータに最適な民間のデータ分類は以下のどれか？ A．非機密，部外秘，機密 B．公開，重要，プライベート C．公開，重要，専有 D．公開，部外秘，プライベート

問題14～16に関しては，以下のシナリオを参照すること：あなたの組織は通常，次の3種類のデータを扱っている．顧客と共有する情報，事業を行うために社内で用いる情報，組織に競争上の大きな優位性をもたらす営業秘密情報である．顧客と共有する情報はWebサーバーに保管して使用されている一方で，内部ビジネスデータと営業秘密情報はどちらも内部ファイルサーバーと従業員のワークステーションに保管されている．営業秘密情報が漏洩または盗難された場合に，対象の情報を特定するためには，次のどの技術的な手段でマーク付けが行えるか？ A．分類 B．対称暗号化 C．電子透かし D．メタデータ

問題14～16に関しては，以下のシナリオを参照すること：あなたの組織は通常，次の3種類のデータを扱っている．顧客と共有する情報，事業を行うために社内で用いる情報，組織に競争上の大きな優位性をもたらす営業秘密情報である．顧客と共有する情報はWebサーバーに保管して使用されている一方で，内部ビジネスデータと営業秘密情報はどちらも内部ファイルサーバーと従業員のワークステーションに保管されている．専有データを保存するファイルサーバーの暗号化には何を用いるか，また転送中のデータはどのようにしてセキュアにするか？ A．保存中のデータはTLS，転送中のデータはAES B．保存中のデータはAES，転送中のデータはTLS C．保存中のデータはVPN，転送中のデータはTLS D．保存中のデータはDES，転送中のデータはAES

ラベル付けされたデータを用いることでDLPシステムは何ができるか？ A．DLPシステムは，ラベルを検知して適切な保護を適用できる． B．DLPシステムは，分類スキームの変更に基づいてラベルを調整できる． C．DLPシステムは，トラフィックの通過の許可をファイアウォールに通知できる． D．DLPシステムは，ラベル付けされていないデータを削除できる．

機密データの格納に高品質の媒体を購入すると，費用対効果が高いのはなぜか？ A．高価な媒体は故障しにくい． B．データの価値の方が，媒体のコストを大きく上回ることが多い． C．高価な媒体は暗号化しやすい． D．一般に高価な媒体ほどデータの完全性を向上させる．

Chrisは，会社の全ワークステーションの責任者であり，数台のワークステーションは専有情報を扱うために利用されていることを知っている．彼が責任を受け持っているワークステーションがEOLを迎えた時にとるべき最適の選択肢は何か？ A．消去（Erasing） B．クリアリング C．サニタイズ D．破壊

以下に示す米国政府のデータ分類レベルを，機密度の低い順に並べ替えなさい． A．機密（Secret） B．部外秘（Confidential） C．非機密（Unclassified） D．最高機密（Top Secret）

C-B-A-D

以下のシナリオのうち，保存中のデータに該当するのはどれか？ A．IPSecトンネルの中のデータ B．eコマーストランザクションの中のデータ C．HDDに保存されたデータ D．RAM内に保存されているデータ

クレジットカードを処理するWindows 10システム用のセキュリティ基準を選択する場合，次のどれが最適か？ A．Microsoft Windows 10セキュリティベースライン B．CIS Windows 10ベースライン C．PCI DSS D．NSA Windows 10ベースライン

問題23～25に関しては，以下のシナリオを参照すること：インターネットセキュリティセンター（Center for Internet Security：CIS）は，OS，モバイルデバイス，サーバーソフトウェア，ネットワークデバイス等のセキュリティコントールを作成するために，種々の業界の専門家と仕事をしている．あなたの会社はCISのベンチマークを利用することにした．この決定に基づいて以下の問題に答えなさい． CISのベンチマークは次のどれの実践例となるか？ A．リスクアセスメントの実施 B．データラベリングの実装 C．適切なシステムオーナーシップ D．セキュリティベースラインの利用

問題23～25に関しては，以下のシナリオを参照すること：インターネットセキュリティセンター（Center for Internet Security：CIS）は，OS，モバイルデバイス，サーバーソフトウェア，ネットワークデバイス等のセキュリティコントールを作成するために，種々の業界の専門家と仕事をしている．あなたの会社はCISのベンチマークを利用することにした．この決定に基づいて以下の問題に答えなさい．あなたの組織におけるミッションおよび特有のITシステムに適合するようにCISベンチマークを調整する作業は，次のうち，どの2つのプロセスを含むか？ A．スコーピングと選択 B．スコーピングとテーラリング C．ベースライン化とテーラリング D．テーラリングと選択

問題23～25に関しては，以下のシナリオを参照すること：インターネットセキュリティセンター（Center for Internet Security：CIS）は，OS，モバイルデバイス，サーバーソフトウェア，ネットワークデバイス等のセキュリティコントールを作成するために，種々の業界の専門家と仕事をしている．あなたの会社はCISのベンチマークを利用することにした．この決定に基づいて以下の問題に答えなさい．特定のシステムまたはソフトウェアパッケージが受けるべきベースラインのコントロールは，どのように決定したらよいか？ A．データ管理者に相談する． B．保存されている，または処理されているデータのデータ分類に基づいて選択する． C．すべてのシステムに同じコントロールを適用する． D．システムまたはデータがサポートしているプロセスのビジネスオーナーに相談する．

FTPとTelnetが抱えるどのような問題がSFTPとSSHの使用をより良い代替手段としているか？ A．FTPとTelnetは多くのシステムにインストールされていない． B．FTPとTelnetはデータを暗号化しない． C．FTPとTelnetは既知のバグがあり，もはやメンテナンスされていない． D．FTPとTelnetは使用が難しいため，SFTPとSSHが推奨ソリューションとなっている．

Sariaが働く政府系防衛請負業者では最近，大きな研究プロジェクトを停止し，プロジェクトで使用していた数十万ドルものシステムとデータストレージテープをほかのプロジェクトで再利用しようと計画している．Sariaが会社の内部プロセスを確認したところ，テープは再利用できず，マニュアルには破壊するべきと書かれている．Sariaが消磁を行い，テープを再利用してコストを節約するのを許可されないのはなぜか？ A．データ永続性が問題になる可能性がある． B．データ残留が懸念される． C．テープがビット腐敗となっている可能性がある． D．テープ内のデータは消磁では消すことができない．

個人に関する情報で，個人のアイデンティティの識別や追跡に利用できる情報として知られているのは何か？ A．個人識別情報（PII） B．個人健康情報（PHI） C．社会保障番号（SSN） D．セキュア識別情報（SII）

保存中のデータに関して，主要な情報セキュリティリスクは何か？ A．不適切な分類 B．データ侵害 C．暗号解読 D．データの完全性の欠落

Microsoft社のBitLockerなどのフルディスク暗号化は，どの状態のデータを保護するか？ A．転送中のデータ B．保存中のデータ C．ラベル付けされていないデータ D．ラベル付けされたデータ

Sueの会社の雇い主は，IPSec VPNを使ってネットワークに接続するよう彼女に指示した．IPSec VPNは彼女に何をもたらすか？ A．パブリックネットワーク上で復号したデータを送信し，あたかも自分が社内ネットワーク上にいるかのように振る舞うことができる． B．パブリックネットワーク上に暗号化したプライベートネットワークを構築し，あたかも自分が社内ネットワーク上にいるかのように振る舞うことができる． C．社内ネットワークの利用中に，TLSを用いてVPNを構築する． D．会社のネットワークを自宅のネットワークに接続するトンネルを構築する．

データ分類の主要な目的は何か？ A．データ侵害時のコストを定量化する． B．IT費用を優先順位付けする． C．侵害報告に関する法令を遵守する． D．組織に対するデータの価値を特定する．

Fredの組織では，プロジェクトが終了し，システムがパージされた後に，再利用のためにシステムをダウングレード（格下げ）することができる．最高機密（Top Secret）に分類されるプロジェクトのシステムを，機密（Secret）に分類される将来のプロジェクトに再利用する場合，Fredが懸念すべきことは何か？ A．最高機密（Top Secret）データが機密（Secret）データと混じり合う可能性があり，システムの再ラベル付けが必要になる． B．サニタイズプロセスのコストが新しい機器のコストを上回る可能性がある． C．サニタイズプロセスの一部でデータが漏洩する可能性がある． D．データラベルの相違によって，組織のDLPシステムが新しいシステムにフラグ付けする可能性がある．

次の懸念事項の中で，データ分類時の判断項目に該当しないものは何か？ A．データ分類に要する費用 B．データの機密度 C．データ漏洩時の損害額 D．組織に対するデータの価値

次の項目の中で，媒体からデータを削除する手法として最も効果がないものは何か？ A．消磁 B．パージング C．消去（Erasing） D．クリアリング

以下の番号（1～4）が付けられた各データ要素がどのカテゴリー（A～C）に対応するかを答えなさい．同じカテゴリーを複数回使用しても，まったく使用しなくても構わない．データ要素に対応するカテゴリーが複数ある場合は，最も該当するものを1つ選ぶこと．データ要素 1．医療記録 2．クレジットカード番号 3．社会保障番号 4．運転免許証番号カテゴリー A．PCI DSS B．PHI C．PII

1．医療記録：B．PHI 2．クレジットカード番号：A．PCI DSS 3．社会保障番号：C．PII 4．運転免許証番号：C．PII

問題37～39に関しては，以下のシナリオを参照すること： Laurenが勤務する医療会社では，HIPAAデータのほか，内部ビジネスデータ，保護された健康情報，日常的な業務通信データを扱う．社内ポリシーには，保存中および転送中のHIPAAデータを保護するために以下の要件がある．転送中のHIPAA文書に適した暗号化技術はどれか？ A．BitLocker B．DES C．TLS D．SSL

問題37～39に関しては，以下のシナリオを参照すること： Laurenが勤務する医療会社では，HIPAAデータのほか，内部ビジネスデータ，保護された健康情報，日常的な業務通信データを扱う．社内ポリシーには，保存中および転送中のHIPAAデータを保護するために以下の要件がある． Laurenは雇い主から，患者のX線データを分類するよう要請されている．このデータには内部で用いられる患者IDが関連付けられているが，患者を直接特定する方法はない．会社のデータオーナーは，このデータの漏洩は組織にとって損害（ただし，深刻な損害ではない）の原因になるとみている．Laurenはこのデータをどのように分類するべきか？ A．公開 B．重要 C．プライベート D．社外秘

問題37～39に関しては，以下のシナリオを参照すること： Laurenが勤務する医療会社では，HIPAAデータのほか，内部ビジネスデータ，保護された健康情報，日常的な業務通信データを扱う．社内ポリシーには，保存中および転送中のHIPAAデータを保護するために以下の要件がある． Laurenの雇い主が，機密データを組織外に電子メールで送信されないようにするために導入できる技術はどれか？ A．DLP B．IDS C．ファイアウォール D．UDP

米国政府のあるデータベースには，機密（Secret），部外秘（Confidential），最高機密（Top Secret）の各データが格納されている．このデータベースは次のどれに分類するべきか？ A．最高機密 B．部外秘 C．機密 D．混合分類（Mixed Classification）

退職する社員が，専有情報を次の新しい雇い主と共有することを防ぐための手段は何か？ A．暗号化 B．NDA C．分類 D．パージング

BitLockerとMicrosoft社の暗号化ファイルシステムの両方で用いられている暗号化アルゴリズムは何か？ A．Blowfish B．Serpent C．AES D．3DES

Chrisは，組織のセキュリティスタンダードの責任を負っており，組織内のWindows PCに関してセキュリティベースラインの選択と実装を主導している．Chrisが責任を負うワークステーションについて，ベースラインの遵守と必要に応じた設定の適用を確認する上で，最も効果的な方法はどれか？ A．ベースラインの遵守を抽出検査するユーザーを割り当てる． B．Microsoftグループポリシーを使用する． C．起動スクリプトを作成して，システム起動時にポリシーを適用する． D．データオーナーやシステムオーナーとともに定期的にベースラインをレビューする．

第三者からしばしば提供される，一般的なセキュリティ構成の集合を何と呼ぶか？ A．セキュリティポリシー B．ベースライン C．DSS D．NIST SP 800-53

データを破壊するまでに保持・管理される期間について記述しているのは，以下のどのタイプのポリシーか？ A．分類 B．監査 C．記録保持 D．可用性

ベンダーがデフォルト設定をSSLからTLSのみに変更するきっかけとなったのは，次のどの攻撃か？ A．POODLE B．Stuxnet C．BEAST D．CRIME

バックアップテープが盗難や紛失にあった場合に備えて，セキュリティコントロールを強化できるセキュリティ対策は次のどれか？ A．テープのコピーを複数保持する． B．テープ媒体をハードドライブに置き換える． C．適切なセキュリティラベルを使用する． D．AES-256暗号化を使用する．

Joeは大手の製薬研究開発企業に勤めており，会社のデータ保持ポリシーを作成する任務を負っている．法的要求事項の一環として，会社は米国食品医薬品局（Food and Drug Administration：FDA）の連邦規則集（Code of Federal Regulations）第21章に準拠しなければならない．そのために，電子署名付きの記録を保持する必要がある．電子署名が保持要件に含まれるのはなぜか？ A．誰かがデータを確認したことが保証される． B．機密性が保持される． C．データに変更がないことが保証される． D．データの承認者を検証できる．

コマンドラインを介したリモートサーバー管理において，Telnetより望ましいプロトコルはどれか？ A．SCP B．SFTP C．WDS D．SSH

媒体の消去のために強磁場を利用するのは何という手法か？ A．マグワイプ B．消磁 C．サニタイズ D．パージング

Steveは，自社を退職する従業員が専有情報に通じていることが多いのを気にかけている．この脅威に対して，次のコントロールのうちのどれが最も効果的か？ A．サニタイズ B．NDA C．クリアリング D．暗号化

Alexは，データセキュリティに関して米国連邦政府の要件を満たすことが求められる政府機関に勤めている．これらの要件を満たすために，Alexは，データの分類レベルによってデータを識別できるようにする業務に従事している．彼はデータに対して何を行っているか？ A．データの分類 B．データの暗号化 C．データのラベル付け D．データにDRMを適用

Benは，サニタイズと廃棄について，以下に示す米国国立標準技術研究所（NIST）SP 800-88ガイドラインに従っている．彼が扱っている情報は会社が重要と分類したものであり，これはNISTモデルにおけるセキュリティカテゴリー化が中程度である．媒体を余剰として売却する場合，Benが実行する必要があるプロセスは何か？ A．破壊，妥当性確認，文書化 B．クリア，パージ，文書化 C．パージ，文書化，妥当性確認 D．パージ，妥当性確認，文書化

転送中のデータの保護に用いることが多い手法はどれか？ A．Telnet，ISDN，UDP B．BitLocker，FileVault C．AES，Serpent，IDEA D．TLS，VPN，IPSec

データに対して最終的な責任を負うのは下記のうちどの役割（ロール）か？ A．システムオーナー B．ビジネスオーナー C．データオーナー D．ミッションオーナー

EU市民の個人データの使用を望む組織がプライバシーシールドフレームワークを遵守しているかどうかを監視する米国政府機関はどれか？ A．FAA B．FDA C．DoD D．商務省

問題57～59に関しては，以下のシナリオを参照すること： Chrisは最近，新しい組織に雇われた．Chrisが属する組織では，以下の分類プロセスを用いている． 1．データを分類するための基準を設定する． 2．データの種類ごとにデータオーナーを設定する． 3．データを分類する． 4．分類ごとに必要なコントロールを選択する． 5．組織に対してベースラインとなるセキュリティ標準を選択する． 6．コントロールの範囲を定めたり，調整したりする． 7．コントロールを適用し，執行する． 8．アクセス権を付与し，管理する． Chrisが組織のデータオーナーの1人である場合，これらプロセスのうち，彼が最も責任を負うことになるステップはどれか？ A．ステップ3，4，5 B．ステップ1，2，3 C．ステップ5，6，7 D．すべてのステップの責任を直接負う

問題57～59に関しては，以下のシナリオを参照すること： Chrisは最近，新しい組織に雇われた．Chrisが属する組織では，以下の分類プロセスを用いている． 1．データを分類するための基準を設定する． 2．データの種類ごとにデータオーナーを設定する． 3．データを分類する． 4．分類ごとに必要なコントロールを選択する． 5．組織に対してベースラインとなるセキュリティ標準を選択する． 6．コントロールの範囲を定めたり，調整したりする． 7．コントロールを適用し，執行する． 8．アクセス権を付与し，管理する． Chrisはシステム管理者のチームを管理している．チームメンバーが分類プロセスのステップ6，7，8を実行する場合，どのデータ関連の役割（ロール）を果たしていることになるか？ A．システムオーナーと管理者 B．管理者とデータ管理者 C．データオーナーと管理者 D．データ管理者とユーザー

問題57～59に関しては，以下のシナリオを参照すること： Chrisは最近，新しい組織に雇われた．Chrisが属する組織では，以下の分類プロセスを用いている． 1．データを分類するための基準を設定する． 2．データの種類ごとにデータオーナーを設定する． 3．データを分類する． 4．分類ごとに必要なコントロールを選択する． 5．組織に対してベースラインとなるセキュリティ標準を選択する． 6．コントロールの範囲を定めたり，調整したりする． 7．コントロールを適用し，執行する． 8．アクセス権を付与し，管理する． Chrisの会社がEU圏内で事業展開し，第三者のデータを扱う契約を交わしているとすれば，この分類プロセスを用いてデータの分類および取り扱いを行う際に彼の会社の果たしている役割（ロール）は次のどれか？ A．ビジネスオーナー B．ミッションオーナー C．データプロセッサー D．データアドミニストレーター

次のうち，EUの一般データ保護規則（GDPR）の原則に該当しないものはどれか？ A．情報は公正に処理されなければならない． B．情報は取得後1年以内に削除しなければならない． C．情報は安全に保持されなければならない． D．情報は正確でなければならない．

Benの会社はEU圏内に拠点を構えており，データ処理を第三者組織に委託している．データのプライバシーを保護し，意図する目的以外に使用されないようにする責任を負うのは誰か？ A．Benの会社が責任を負う． B．第三者データプロセッサーが責任を負う． C．データコントローラーが責任を負う． D．両方の会社が等しく責任を負う．

軍隊のメンバーであるHunter少佐は，漏洩すれば国家の安全保障に深刻な損害をもたらす情報を委ねられている．米国政府の分類基準に基づくと，このデータはどのように分類するべきか？ A．非機密（Unclassified） B．最高機密（Top Secret） C．部外秘（Confidential） D．機密（Secret）

コンピュータをサービスから取り外して処分する場合，すべての記憶媒体を確実に取り外す，もしくは破壊するプロセスを何と呼ぶか？ A．サニタイズ B．パージング C．破壊 D．機密解除

bcryptを利用するLinuxシステムは，DESに代わるどの暗号化スキームに基づいた手段を用いるか？ A．3DES B．AES C．Diffie-Hellman D．Blowfish

Susanは，公開データも含んだ格納データの分類レベルに応じて，すべてのリムーバブルメディアをラベル付けする組織で仕事をしている．彼女の雇い主がラベル付けの対象を，データ漏洩時に損害を発生させるデータを含む媒体のみではなく，すべての媒体にしているのはなぜか？ A．あらかじめラベル付けされている媒体のみ注文する方が安価であるため． B．手違いにより機密媒体へのラベル付けが行われないことを防ぐため． C．公開媒体が機密データ用に再利用されるのを防止するため． D．すべての媒体にラベル付けすることはHIPAAにより義務付けられているから．

RAMに保存されているデータは，どのタイプのデータとみなされるか？ A．保存中のデータ B．使用中のデータ C．転送中のデータ D．一般データ

以下に示すNIST SP 800-88のサニタイズ証明書例の「妥当性確認」の部分は，どの問題を防ぐためのものか？ A．破壊 B．再利用 C．データ残留 D．属性

媒体の再利用のオプションとして機密解除が選択されることが稀なのはなぜか？ A．機密データにはパージングで十分だから． B．データ削除の方法としてはサニタイズが望ましいから． C．新しい媒体より費用がかかり，失敗する可能性があるから． D．まずはクリアリングが必要だから．

焼却，粉砕，破砕，分解は，媒体のライフサイクルのうち，どの段階を表しているか？ A．サニタイズ B．消磁 C．パージング D．破壊

EUの一般データ保護規則（GDPR）に含まれないのは，次の主要な要素のうちのどれか？ A．特定の明確で正当な目的のために情報を収集する必要性 B．明言された目的の達成に必要な情報に限定して収集する必要性 C．不慮の破壊からデータを保護する必要性 D．保存中の情報を暗号化する必要性

組織が，様々な分類レベルのデータを扱うワークステーションで，独特のスクリーン背景またはデザインを使用するのはなぜか？ A．使用中のソフトウェアのバージョンを示すため B．企業メッセージを宣伝するため C．可用性を促進するため D．データまたはシステムの分類レベルを示すため

Charlesは，彼の組織でプライベートデータの保管に利用された媒体のダウングレード（格下げ）作業を依頼されている．彼が従うべきプロセスは何か？ A．ドライブを消磁し，次に，低レベル分類に再ラベル付けする． B．ドライブを粉砕し，次に，中に含まれているデータに基づき再分類する． C．組織のパージングプロセスに従い，次に，ダウングレードしてラベルを付け替える． D．媒体を再ラベル付けし，次に，媒体がラベルに合致するよう組織のパージングプロセスに従う．

NIST SP 800-18によれば，システムオーナーが実行しないタスクはどれか？ A．システムセキュリティ計画を策定する B．データの適切な使用および保護のためのルールを確立する C．セキュリティコントロールを特定し，実装する D．システムユーザーが適切なセキュリティトレーニングを受けられるようにする

NIST SP 800-60には，情報システムを評価するための以下の図に示すプロセスについて記述されている．この図に示されているプロセスは何か？ A．基準の選択とその実装 B．コントロールのカテゴリー化と選択 C．コントロールのベースライン化と選択 D．カテゴリー化とサニタイズ

以下の図は，一般的なワークステーションとサーバー，および相互の接続とインターネットとの接続を示している．問題75～77に関しては，以下の図を参照すること．保存中のデータはどこにあるか？ A．A，B，C B．CとE C．AとE D．B，D，F

以下の図は，一般的なワークステーションとサーバー，および相互の接続とインターネットとの接続を示している．問題75～77に関しては，以下の図を参照すること． B，D，Fでデータをセキュアにする最良の方法は何か？ A．AES-256 B．SSL C．TLS D．3DES

以下の図は，一般的なワークステーションとサーバー，および相互の接続とインターネットとの接続を示している．問題75～77に関しては，以下の図を参照すること．ファイルをワークステーションAからインターネットサービス（C経由）でリモートサーバーEに送る時に，最もセキュアに送る方法は何か？ A．Aでの保存中にはAESを用い，BとDでの転送中はTLSを用いる． B．データファイルを暗号化して送信する． C．3DESとTLSを用いてセキュリティを二重化する． D．AとEではフルディスク暗号化を行い，BとDではSSLを用いる．

Susanは，電子メールに関して最低限のセキュリティ要件を提供する必要がある．彼女は，電子メールをセキュアにするために，次のどのステップを組織に対して推奨すべきか？ A．すべての電子メールを暗号化すべきである． B．すべての電子メールを暗号化し，ラベル付けすべきである． C．機密メールは暗号化し，ラベル付けすべきである． D．高機密メールのみ暗号化すべきである．

ベースラインのセキュリティコントロールをレビューし，保護するITシステムに適したコントロールを選択するプロセスは，次の用語のうちどれか？ A．スタンダードの作成 B．CISベンチマーキング C．ベースライン化 D．スコーピング

データの処理に用いられるシステムが，データに関連して担っている役割（ロール）は何か？ A．ミッションオーナー B．データオーナー C．データプロセッサー D．データ管理者

米国連邦政府規制で，PIIとみなされないものは以下のどれか？ A．氏名 B．社会保障番号 C．学籍番号 D．郵便番号

医療保険の携行性と責任に関する法律（HIPAA）で保護する必要があるのはどのタイプの健康情報か？ A．PII B．PHI C．SHI D．HPHI

USBメモリーに保存されているデータを強力に保護するのはどの暗号化アルゴリズムか？ A．TLS B．SHA-1 C．AES D．DES

Laurenの多国籍企業は，EU GDPRの遵守を確保したいと考えている．GDPRの原則のうち，個人が自分自身に関する個人情報を受け取り，別のデータコントローラーと共有する権利を持つべきであると述べているのはどれか？ A．第三者移転 B．データ完全性 C．執行 D．データ可搬性

SSDをサニタイズする場合の最良の方法は何か？ A．クリアリング B．ゼロフィル C．分解 D．消磁

問題86～88に関しては，以下のシナリオを参照すること：以下のセキュリティライフサイクル図（NIST参照アーキテクチャーを大まかに基にしている）に示すように，NISTではリスクマネジメントに5ステップのプロセスを用いている．データ関連の役割（ロール）と実践の知識に基づいて，NISTフレームワークプロセスに関する以下の問題に答えなさい．ステップ1において「情報システムのカテゴリー化」の責任を負うデータ関連の役割（ロール），ステップ2の委譲先，ステップ3の責任を負うデータ関連の役割（ロール）をそれぞれ答えなさい． A．データオーナー，システムオーナー，データ管理者 B．データプロセッサー，データ管理者，ユーザー C．ビジネスオーナー，管理者，データ管理者 D．システムオーナー，ビジネスオーナー，管理者

問題86～88に関しては，以下のシナリオを参照すること：以下のセキュリティライフサイクル図（NIST参照アーキテクチャーを大まかに基にしている）に示すように，NISTではリスクマネジメントに5ステップのプロセスを用いている．データ関連の役割（ロール）と実践の知識に基づいて，NISTフレームワークプロセスに関する以下の問題に答えなさい．評価対象のシステムすべてが，クレジットカード情報を扱っている（その他の機密データは扱っていない）場合，PCI DSSが最初に重要な役割を果たすのはどのステップか？ A．ステップ1 B．ステップ2 C．ステップ3 D．ステップ4

Susanの組織は，第三者にHDDの破砕を依頼する前に，HDDにゼロフィルを行う．彼女の組織はどのような問題を回避しようとしているのか？ A．第三者の拠点でのデータ残留 B．第三者の取り扱いミス C．分類ミス D．データ永続性

ファイルオーナーの特定に用いる埋め込みデータは，どのタイプのラベルの一例か？ A．著作権表示 B．DLP C．電子透かし D．ステガノグラフィー

必要な期間，情報を保持および管理することを何というか？ A．データストレージポリシー B．データストレージ C．資産維持 D．記録保持

データ分類時に考慮する必要がないのは次のどれか？ A．データにアクセス可能な人 B．データ損失または侵害が発生した場合の影響 C．データの作成コスト D．データに必要な保護規制

保存中のデータに通常用いられる暗号化のタイプは何か？ A．非対称暗号 B．対称暗号 C．DES D．OTP

スタッフメンバーに適切なアクセス権を付与するのはどのデータ関連の役割（ロール）か？ A．データプロセッサー B．ビジネスオーナー C．データ管理者 D．管理者

カリフォルニア州住民の個人情報を収集する商用Webサイトに，プライバシーポリシーを明確に表示することを要求するカリフォルニア州法は次のどれか？ A．個人情報保護および電子文書法 B．カリフォルニア州オンラインプライバシー保護法 C．カリフォルニア州オンラインWebプライバシー法 D．カリフォルニア州民法第1798.82条

Fredは，セキュアな第三者ストレージ施設にバックアップテープを送る準備をしている．テープを施設に送る前にFredが行うべき手順は何か？ A．元の媒体の分類に基づき，元の媒体と同様にテープが扱われるようにする． B．テープが会社の所有を離れるので，分類レベルを高める． C．分類されたデータが紛失しないようにテープをパージする． D．移送中にテープが紛失する場合に備えて復号する．

転送中のデータを表していないのは以下のどれか？ A．ストレージ施設に輸送中のバックアップテープ上のデータ B．TCPパケット内のデータ C．eコマーストランザクション内のデータ D．複数の場所間でコピー中のファイル内データ

新法が審議を通過した．この新法が対象とするデータが盗難に遭ったり不注意に公開されたりすると，会社が大きな財政的損害を被ることになる．これに対して会社がとるべき措置は何か？ A．新しいセキュリティベースラインを選択する． B．データを再ラベル付けする． C．保存中と転送中のデータをすべて暗号化する． D．データ分類を見直し，それに応じて適切にデータを分類する．

Edは，会社が社外秘および専有に分類しているデータを電子メールで送信するよう依頼されている．電子メールに添付されたファイルの内容が，インターネットを通過中も機密性を保持したままにするには，どの暗号化技法が適切か？ A．SSL B．TLS C．PGP D．VPN

100

非政府組織の分類スキームと政府の分類スキームのデータ分類を正しく組み合わせているのはどれか？ A．最高機密（Top Secret）– 社外秘（Confidential）／専有（Proprietary）機密（Secret）– プライベート（Private）部外秘（Confidential）– 重要（Sensitive） B．機密（Secret）– 社外秘（Business confidential）分類（Classified）– 専有（Proprietary）部外秘（Confidential）– 社内秘（Business internal） C．最高機密（Top Secret）– ビジネスセンシティブ（Business sensitive）機密（Secret）– 社内秘（Business internal）部外秘（Confidential）– 社内専有（Business proprietary） D．機密（Secret）– 専有（Proprietary）分類（Classified）– プライベート（Private）非機密（Unclassified）– 公開（Public）

G検定udemy1-1

G検定udemy1-1

G検定udemy1-2

G検定udemy1-2

G検定udemy1-3

G検定udemy1-3

G検定udemy2-1

G検定udemy2-1

G検定udemy2-2

G検定udemy2-2

G検定udemy2-3

G検定udemy2-3

G検定udemy3-1

G検定udemy3-1

G検定udemy3-2

G検定udemy3-2

G検定udemy3-3

G検定udemy3-3

G検定udemy4-1

G検定udemy4-1

G検定udemy4-2

G検定udemy4-2

G検定udemy4-3

G検定udemy4-3

CISSPドメイン1-1

CISSPドメイン1-1

CISSPドメイン1-2

CISSPドメイン1-2