問題一覧
1
1.効果的なリスク管理プログラムは、リスクをどこまで低減するべきか?
B.許容レベル
2
2.リスク管理実践手法のことを最も適切に示しているのは、次のうちどれか?
C.残存リスクが許容範囲内である。
3
3.エクスポージャの軽減に当てられるリソースの量を決めるために、効果的な情報セキュリティ管理プログラムは、次のうちどれを使用すべきか?
A.リスク分析結果
4
4.情報セキュリティマネージャーが、情報技術を十分に理解するべき第一の理由は何か?
D.適切な情報セキュリティの達成に関するITリスクを理解するため
5
5.リスク管理の目的上、物的資産の価値の基となるのは:
D.再取得原価
6
6.情報セキュリティ標準の見直しに着手する可能性が最も高いのは、次のうちどれが変わるときか?
D.定期リスク評価結果
7
7.新しいアプリケーションシステムのリスク評価を開始するに当たり、最も適切な開発フェーズは次のうちどれか?
A.実現性分析
8
8.効果的な重要リスク評価指標(KRI)に最も欠かせない特性は何か?KRIが:
D.リスク事象を予測できる。
9
9.リスク受容は、次のうちどれの構成要素であるか?
B.リスク軽減
10
10.リスク管理プログラムは、リスクをどこまで下げるよう設計されるか?
C.事業体の許容範囲レベルまで
11
11.一般的にはどの間隔で、リスク評価が実施されるべきか?
D.毎年、または重大な変化がある際に
12
12.定性的リスク評価技法を使用して最も適切に評価されるリスクシナリオは、次のうちどれか?
C.永続的な顧客からの信頼低下
13
13.情報セキュリティリスクの許容レベルの決定を行うべきは:
D.運営委員会
14
14.定量的リスク分析が最も適切なのは、評価の結果が:
B.パーセンテージ予測を含むとき
15
15.ギャップ分析を使用するのが最も適切なのは、次のうちどれか?
D.現状と望ましい将来の状態との比較
16
16.複数の小規模な国内処理拠点を有する事業体における最大の情報セキュリティリスクを表わしているのは、次のうちどの状況か?
B.変更管理手順が不十分である。
17
17.ITリスクが許容レベルまで低下したかどうかを判定する際の基準は:
A.組織の要件
18
18.リスク管理プログラムを導入する第一の理由は、次のうちどれか?リスク管理プログラムは:
B.上級経営者のデューデリジェンスに必要な部分であるため。
19
19.事業のリスク分析を実施するのに最適なポジションにいるのは、次のうちどのグループか?
C.プロセス所有者
20
20.定量的リスク評価技法を使用して最も適切に評価されるリスクの種類は、次のうちどれか?
B.停電
21
21.フレームリレーネットワーク接続が18~24時間切断された場合の影響を計算する際、次のうちどれが最も役立つか?
D.影響を受けた事業部で発生した財務損失
22
22.情報セキュリティリスク分析の最も有益な成果物は、次のうちどれか?
B.リスク軽減に使うべきアクションアイテムのリスト
23
23.特定されたリスクを軽減するための改善の取り組みを継続的に追跡するには、次のうちどのアプローチを用いれば最善の結果を達成できるか?
C.ヒートマップ
24
24.効果的なリスク分析において、評価すべき主要な2つの構成要素の組み合わせは、次のうちどれか?
B.発現可能性と影響
25
25.情報セキュリティマネージャーがリスク評価技法を用いるべき目的は:
A.リスク軽減戦略の選択を正当化するため。
26
26.リスクを評価する際に最も重要であるものは、次のうちどれか?
C.損失の金銭的価値と発生率の両方の考慮
27
27.情報セキュリティマネージャーは、セキュリティ事象の数が増加していることを示すレポートを受け取った。最も可能性が高い説明は:
A.情報システムの脆弱性を悪用した侵害
28
28.情報セキュリティをビジネスプロセスに統合することの重要性を経営者に対して強調するために、新しく採用された情報セキュリティ責任者が最初にすべきことは:
B.リスク評価を実施する。
29
29.定量的リスク分析を実施するとき、潜在的な損害を推定するために最も重要なのは次のうちどれか?
C.情報または資産の価値を計算する。
30
30.リスク管理プログラムの第一の目標は何か?
D.受容可能なリスクを達成する。
31
31.重要リスク評価指標の特性を最も表しているのは、次のうちどれか?
B.一貫性のある方法論と実践手法
32
32.情報リスク分析の実施において最初のステップは何か?
C.資産の一覧を作成する。
33
33.ある事業体では、大型購買提案と新しいプロセスについて、リスク評価およびビジネス・インパクト分析(BIA)を完了した。 情報セキュリティマネージャーと業務部門の部長の間に、識別されたリスク評価と結果に意見の相違がある。 情報セキュリティマネージャーの最善のアプローチは、次のうちどれか?
C.最終的な打ち合わせとして、経営幹部とリスク評価をレビューする
34
34.リスク管理プログラムを効率化するために最も欠かせないのは、次のうちどれか?
C.新しいリスクの検出
35
35.組織のリスクを最も適切に示すのは、次のどの評価指標であるか?
C.計画外の業務中断の範囲
36
36.効果的なガバナンスの指標は次のうちどれか?
D.確立されたリスク管理プログラム
37
37.リスク評価を定期的に繰り返すべき理由は:
A.ビジネス脅威が常に変化しているため。
38
38.リスク評価の実施において、最初に実行すべきステップは次のうちどれか?
A.事業資産の特定
39
39.リスク管理プログラムに合理的に期待されることは何か?
B.残存リスクを許容レベルで維持する。
40
40.開発プロセスの次のどのフェーズでリスク評価を最初に組み込むべきか?
D.実現性分析
41
41.初めて技術的な脆弱性評価を実施する際、最優先すべきは次のうちどれか?
D.業務中断保険の対象となるシステム
42
42.リスク評価チームが発見したDoS脆弱性に対して、事業体が何の対策も講じないことを決定するのはなぜか?
C.対策のコストが資産の価値と潜在的損失を上回るから。
43
43.最も重大な重要リスク評価指標となるのは、次のうちどれか?
A.従業員の離職率の異常
44
44.セキュリティプログラムの中で、リスク分析を使用する第一の目的は何か?
D.リスク分析は、資産のエクスポージャの評価および改善の計画をするために役立つ。
45
45.規制当局は、四半期決算報告の公開に関する新しい規制を発表した。セキュリティ責任者が最初に実行すべき作業は:
A.現行のコントロールが十分か特定する。
46
46.あるオンラインバンキング機関では、個人情報が漏洩した可能性のある顧客に対する通知と補償の必要性があるため、顧客の個人情報の侵害が財務に与える重大な影響を懸念している。 この機関は、残存リスクが常に高すぎると判断し、どうすることを決定するか?
A.保険を購入することで影響を軽減すること。
47
47.コンピュータシステムに侵入する機会を攻撃者に与える可能性がある欠陥を特定するために使用すべき手段は何か?
B.セキュリティギャップ分析
48
48.オフショアプロバイダを現地で監査する際に、情報セキュリティレビューで最も見落とされがちなリスクは、次のうちどれか?
A.文化の相違
49
49.リスク管理プロセスの継続的向上を最も適切にサポートするのは、次のうちどれか?
C.成熟度モデルの採用
50
50.クロスサイトスクリプティングの脆弱性を悪用する攻撃者が最大限に利用するのは:
A.正しいインプット検証コントロールの欠如
51
51.データ漏洩リスクに最も適切に対処するのは、次のうちどれか?
C.(ネットワーク等の)利用ポリシー(AUP)
52
52.事業体に内部または外部から影響を与える要因のうち、最も推測が難しいのは次のうちどれか?
D.脅威環境
53
53.ある外部業者が、ビジネスアプリケーションの開発に従事した。バック・ドアの存在を検証するために最適なテストは次のうちどれか?
B.アプリケーション全体を対象としたセキュリティコードレビュー
54
54.ある会社の電子メールサーバでは、匿名ファイル転送プロトコル(AnonymousFTP)の使用を許可しているが、悪用される恐れがある。 対処が必要であるかを判断する際、情報セキュリティマネージャーはどのプロセスを実施するべきか?
C.リスク評価
55
55.機密情報への内部者の脅威に対して最も効果的な対策は、次のうちどれか?
A.役割ベースのアクセス・コントロール
56
56.リスク評価調査後、全世界に支店を持つある銀行では、ID窃取が横行している特定の地域で事業を継続することを決定した。 情報セキュリティマネージャーが事業体に推奨すべきことは:
B.詐欺の可能性がある状況を検出して対応できる監視技法を導入する。
57
57.ある事業体は、自社の顧客関係管理をサードパーティ・サービス・プロバイダに外部委託することを計画した。 事業体が最初にすべきことは、次のうちどれか?
B.必要なコントロールを決定するために内部リスク評価を行う。
58
58.クロスサイトリクエストフォージェリ(XSRF)攻撃が成功する場合の根本原因は何か?
B.アプリケーションは、クッキーを唯一の認証機構として導入している。
59
59.リスク評価を実施する際に、最も重要な考慮事項は次のうちどれか?
C.資産が特定され、適切に価値評価も行われている。
60
60.適切なコントロールを決定するために、新しいプロセスのリスク評価をどの時点で行うべきか?
B.プロセスのライフサイクル全体を通して
61
61.リスク管理の最良の戦略は何か?
B.許容レベルまでリスクを低減する。
62
62.暗号化していないデータが入っているモバイル機器の紛失において考慮すべき最も重要な要因は、次のうちどれか?
C.データ損失の潜在的影響
63
63.ある金融機関では、情報セキュリティリソースを自機関のビジネス部門へ割り当てることを計画している。 セキュリティ活動は、どの領域に焦点を当てるべきか?
D.脅威の発現可能性と影響が最大となる領域
64
64.二要素認証システムの費用便益分析に含めるものとして、最も関連性が高いのは次のうちどれか?
C.総保有コスト
65
65.ある事業体が使用しているファイヤウォールソフトウェアに深刻な脆弱性があることが報告された。 情報セキュリティマネージャーが即座に行うべき行動は次のうちどれか?
C.ファイヤウォールの製造元からアドバイスを得る。
66
66.ネットワーク脆弱性評価において、特定することが期待されるのは次のうちどれか?
D.構成ミスおよび更新ミス
67
67.重要なウェブ・サーバのセキュリティで重大な脆弱性が発見された場合、早急に通知を行うべき相手は:
A.是正処置を行うために、システム所有者
68
68.リスク評価の結果により、リスク軽減が必要とする費用は得られる利益より格段に高いことが判明する。 情報セキュリティマネージャーが経営者に推奨するリスクの対処法は:
C.受容する
69
69.情報セキュリティにとって、最大のリスクは次のうちどれか?
D.セキュリティインシデントが5営業日以内に調査される。
70
70.クライアント/サーバ環境でミドルウェアに関連する最も重要なリスクは、次のうちどれか?
C.データ完全性が影響を受ける可能性がある。
71
71.事業体のネットワーク外部への開示や転送を防止する目的で暗号化された機密データの保護において、最も効果的なセキュリティ機構は次のうちどれか?
D.鍵の保護
72
72.新しいプライバシー法が事業体に与える潜在的影響を評価する際に、情報セキュリティ管理者は、最初にどの活動を実施すべきか?
B.プライバシーの要素を含むシステムとプロセスを特定する。
73
73.有効性を最大にするためには、リスク評価をいつ実施すべきか?
B.継続的に
74
74.セキュリティ脆弱性が最初に公表されてから、パッチが配信されるまでには遅れがある。 この期間にリスクを軽減するために最初に実施すべきことは、次のうちどれか?
A.脆弱なシステムを特定し、補完的コントロールを適用する。
75
75.特定のリスク軽減コントロールを導入すべきかどうかについて、最も明確に示す技法は、次のうちどれか?
A.費用便益分析
76
76.継続的にリスク評価を実施する一番の理由は、次のうちどれか?
C.リスク環境は常時変動しているため。
77
77.統計的アノマリ型の侵入検知システム(statIDS)がシグネチャ型IDSに比べあまり一般的に使用されない最も重要な理由は、statIDSが:
C.変動するユーザまたはシステムの行動によって誤報を引き起こす。
78
78.機密度および重要度に応じて、情報リソースを分類する第一の理由は:
B.アクセス・コントロールの適切なレベルを定義するため。
79
79.定性的リスク分析を実施する際、信頼できる結果を最も適切に提示するのは次のうちどれか?
B.脅威と影響を含めた起こりうるシナリオ
80
80.リスク管理プログラムの全体的な有効性を確保するために、最適な方法は次のうちどれか?
D.事業体のメンバー全員による参加
81
81.リスク登録簿の最も効果的な使用方法は:
C.定期的なすべてのIT関連リスク評価の徹底したレビューを促進する。
82
82.生体認証デバイスによってコントロールされる無人サーバルームへの物理的アクセスコンプライアンスの適切な保証を提供する上で、最も効果的なコントロールは次のうちどれか?
A.アクセス・コントロール・リストの定期的なレビュー
83
83.発生確率は低くとも、影響レベルは高い自然災害などのリスクに対処する上で、最も効果的な方法は次のうちどれか?
C.リスクを移転する。
84
84.以前受容されたリスクのために、何の活動を実施する必要があるか?
A.リスクは、時間が経つと変化するため、定期的に再評価されるべきである。
85
85.情報セキュリティマネージャーは、法執行機関の担当者から、ソーシャルエンジニアリングやネットワーク侵入などのさまざまな技法を駆使することで悪名高いハッカー集団が会社を標的にしている証拠があるとアドバイスを受けた。 セキュリティマネージャーが最初に講じるべき対策は:
C.ただちに高まったリスクを上級経営者に報告する。
86
86.コンソールまたはオペレーションルームで不慮のシステムシャットダウンを予防するために最適なコントロールは、次のうちどれか?
B.スイッチ用の保護カバー
87
87.ネットワークユーザが事業体のセキュリティ要件を遵守する責任があることを確実に意識させるための最も効果的な方法は、次のうちどれか?
A.ログイン時にログオンバナーを毎回表示する
88
88.第三者に、事業体に対して攻撃および侵入テストを実施してもらう前に行う最も重要な行動は何か?
B.目標と目的が明確に定義されていることを確実にする。
89
89.部門ごとのシステムが、情報セキュリティポリシーのパスワード強度要件を遵守していない場合に取られる最良の行動は何か?
B.リスクを定量化するためにリスク評価を実施する。
90
90.組織のセキュリティに対して最大のリスクとなる環境は、次のうちどれか?
A.ローカルで管理されたファイルサーバ
91
91.エンタープライズ・リソース・プラニング(ERP)システムのセキュリティに対して最大の脅威となるのは、次のうちどれか?
C.OSセキュリティパッチが適用されていない。
92
92.情報セキュリティの投資利益率は、次のどれを基準に評価するのが最適であるか?
A.事業目標の支援
93
93.ある事業体は、IT運用を海外に移転する予定である。 情報セキュリティマネージャーが第一に焦点を絞るべきは:
D.リスク評価の実施
94
94.次のビジネス機能のうち、情報セキュリティと統合することにより、標準的な生産処理の一部としてリスクに対処できる可能性が最も高いのはどれか?
A.品質保証
95
95.保険の使用は次のどの例であるか?
D.リスク移転
96
96.残存リスクが決まった後、事業体が次に行うべきことは:
C.残存リスクが受容可能かを検証する。
97
97.情報セキュリティマネージャーは、セキュリティのレビューを行い、すべての従業員がデータセンターのアクセス・コントロール・ポリシーに従うものではないと特定した。 この問題に対処するための最初のステップは:
A.違反のリスクを評価する
98
98.リスク選好度についての知識は、セキュリティコントロールの有効性を高める上でどのように役立つか?
B.リスク選好度を超えたリスクに対処するためにどのようにリソースを割り当てるべきかの基準となる。
99
99.ある事業部が、既存の情報セキュリティ標準に違反するような方法で、新しい技術を展開しようとしている。 情報セキュリティマネージャーが早急に取るべき行動はどれか?
C.リスクを定量化するためにリスク分析を行う。
100
100.ログ記録は、システムへの侵入に対するどのタイプの防御の例であるか?
B.検知