ドメイン6

100問 • 2年前

問題一覧

1. 貴社は、本番環境のクラウドへの移行を検討している。提案された契約書を確認したところ、契約予定日より前に契約を終了する場合、毎月6回分の追加料金（契約期間の半分に相当）が必要となる条項が含まれていることに気づきました。これは、xxxの例として説明するのが最も適切である。

D. ベンダーロックイン

89. ロンは米国企業のCISOであり、欧州企業と業務提携を結ぶ予定である。欧州企業はロンの会社に顧客記録を送り、ロンの会社が独自に開発した信用スコアリング・アルゴリズムにかける予定です。 GDPRの下で、ロンの会社は顧客データに対してどのような役割を担うことになりますか？

D. データ処理者

2. キャシーは、組織が法的保有義務に準拠するためのeDiscoveryプログラムを策定している。彼女は、ベストプラクティスを導くために業界標準を使用したいと考えています。この作業では、どのような標準の使用を検討すべきでしょうか。

C. 1SO 27050

3. ほとんどの個人情報保護ガイダンスに関して、データ処理者はxxxである。

C. 管理者に代わって個人を特定できる情報（PII）を使用する事業体

4. あなたの会社は、契約違反の民事裁判で弁護しています。 IT部門の担当者は、この事件に関連する状況を反映するイベントログについて、フォレンジック分析を行いました。担当者がフォレンジック分析中に収集した証拠を専門家の証人として提示するために、xxx.

C. 使用するツールについて訓練を受け、認定を受けている。

5. 組織の定性的なリスク評価を実施した後、プリシャは、インバウンドマルウェアをフィルタリングする新しいモジュールをファイアウォールに追加することを推奨することを決定した。彼女はどのようなリスク対応行動を推奨していますか？

C. Reduce

6. ノラはアクメ・ウィジェットの従業員で、組織の財務統制を調査する監査人のチームに所属している。彼女は現在、クラウドプロバイダーへの支払いが適切かどうかを評価するプロジェクトに取り組んでおり、その結果を経営陣に報告する予定である。このプロジェクトにおけるノラの役割を表すのに、最も適切な用語は何か？

C. 内部監査

7. カーラは組織のプライバシープログラムを管理することになり、組織のプライバシー慣行の変更について顧客に伝える仕事をしている。彼女は、顧客に変更を通知し、データの使用をオプトアウトできるようにするEメールを送信する予定です。このシナリオで説明されていない GAPP の原則はどれですか？

C. アクセス

8. あなたは米国中西部の私立研究大学に通う医学生です。授業料の支払いは銀行口座からデビットカードで直接行っています。次の法律と基準のうち、あなた、あなたの個人データ、またはあなたが学生として扱うデータに適用されないものはどれですか？

A. サーベンス・オクスリー法（SOX法）

9. ロランドは大規模クラウドサービスプロバイダーのリスクマネージャーである。同社は最近、カリフォルニア州の土石流が同地域の事業に及ぼすリスクを評価し、対応にかかるコストが、実施可能な対策のメリットを上回ると判断した。同社は、現時点では何も対策を講じないことを選択した。ロランドの組織はどのようなリスク管理戦略をとったか？

D. リスクの受容

10. ヨランダは金融機関のチーフ・プライバシー・オフィサーで、顧客の当座預金口座に関するプライバシー要件について調査しています。次の法律のうち、この状況に適用される可能性が最も高いのはどれですか？

A. GLBA

11. ビルは、SSAEとISAEの基準に基づいてクラウドプロバイダーの監査を行っている。監査中に、あるテストを完了するために必要な記録の一部が誤って破棄され、復元できないことが判明しました。この統制目標に対して利用できる代替テストはありません。ビルはどのような処置をとるべきか。

A. 監査範囲明細書にその制限事項を記載する。

12. 次のうち、欧州連合（EU）域外にある企業がEU市民のプライバシーデータを収集し、処理することを許可されない方法はどれですか？

B. EU高等法院に許可を求める。

13. 障害が顧客の信頼に与える影響を評価しようとする場合、最も適切なビジネス影響評価ツールはどれですか。

B. 定性的

14. xxxに対する監査は、組織が内部セキュリティ統制の全体的で包括的なプログラムを持っていることを証明する。

D. ISO 27001 認証要件

15. ITセキュリティ監査は、xxxを除く次のすべてを明らかにするために行われる。

A. 財務上の不正

16. IT監査中に、クラウドプロバイダーのCEOがテストプロセスに関する定期的なアップデートを要求してきた。監査人はこの要求にどのように対応すべきでしょうか？

C. CEOに定期的に最新情報を提供する。

17. 次のうち、クラウドプロバイダーの評価によく使われる米国の監査基準はどれですか？

C. SSAE 18

18. デジタル・フォレンジック調査者は、安全なデータxxxを除き、次のすべての作業を日常的に行っている。

B. 作成する

19. xxxには、ある規格に対する監査によって明らかになった、組織の現在の位置／パフォーマンスをレビューすることが含まれる。

B. ギャップ分析

20. ベリンダは、製造会社の財務統制を監査しており、財務システムが主要なIaaSプラットフォーム上で実行されていることを知りました。彼女は、クライアントの財務諸表の正確性を保証するために、そのプラットフォームが適切なセキュリティ管理を実施していることを保証してもらいたいと考えています。彼女はどのような行動を取るべきか？

B. SOC 1レポートを取得する。

21. トニーは事業継続計画を策定中ですが、有形資産と無形資産に関する情報を組み合わせることが難しいため、リソースの優先順位付けに悩んでいます。彼にとって最も効果的なリスク評価手法は何でしょうか？

D. 定量的リスク評価と定性的リスク評価の組み合わせ

22. クラウドプロバイダーに特化した最初の国際プライバシー基準は何ですか？

D. ISO 27018

23. 次の情報の要素のうち、ほとんどの米国（U.S.）州のデータ侵害法を引き起こす直接的な識別子と見なされないものはどれですか？

A. 学生識別番号

24. クラウド顧客とクラウドプロバイダー間の契約に含まれる次の項目のうち、ベンダーロックインを減らすのに最も役立つものはどれですか？

A. データフォーマットの種類と構造

25. 次の契約条件のうち、クラウドプロバイダーがサービスレベル契約（SLA）に記載された要件を満たすインセンティブが最も高いのはどれですか？

B. 金銭的な罰則

26. フランは最近、組織内のリスク管理プログラムの見直しを実施し、組織が直面するすべてのリスクとその定量的影響について分析を行いました。この分析を最も適切に表す用語は何ですか？

D. リスクプロファイル

27. 次のうち、消費者向けのクラウド・コンピューティングのプライバシー要素を扱った最初の国際標準はどれですか？

B. ISO 27018

28. あなたは、パブリッククラウドサービスでPaaS（Platform as a Service）を使用しているソフトウェア会社のセキュリティマネージャーです。あなたの会社の顧問弁護士から、あなたの会社に対して訴訟を起こしている元従業員から手紙を受け取ったと連絡がありました。あなたは直ちに、社内の全社員と全事務所に対してxxxを発行する必要があります。

A. 訴訟保留通知

29. グウェンは、顧客の記録を管理する金融サービス会社のサイバーセキュリティ担当者である。これらの記録には、顧客の氏名、社会保障番号、生年月日、出生地、母親の旧姓など、各顧客の個人情報が含まれています。これらの記録を最もよく表すカテゴリーは何でしょうか？

C. PII

30. アーロンは、組織が信頼しているクラウドベンダーが倒産する可能性を懸念しています。このリスクを最も適切に表す用語は？

B. ベンダーの存続可能性

31. マイクは最近、一般的なネットワーク攻撃が組織に影響を及ぼさないようにブロックするために設計された侵入防御システムを導入した。マイクはどのようなリスク管理戦略を追求していますか？

C. リスクの軽減

32. ヴィオラは、アカウントに適切なレベルの権限があり、すべての権限が正式なプロセスで承認されたかどうかを判断するため、ユーザーアカウントの監査を計画している。この組織には約50,000のユーザアカウントがあり、従業員の年間離職率は24%である。手動レビューのためにレコードを選択するとき、次のサンプリングアプローチのうちどれが彼女の時間を最も効果的に使用できますか？

C. 母集団全体または監査期間中に変更されたレコードの母集団から、レコードの無作為サンプルを選択する。

33. 次の問題のうち、サービスレベル合意（SLA）で通常扱われないものはどれですか？

A. 顧客情報の機密性

34. エリスは、新しいクラウドベースの人事管理（HRM）システムベンダーを評価し、採用する準備を組織で支援している。ベンダーに要求するセキュリティ基準として、最も適切なものは何でしょうか。

B. 組織と同じ方法で情報を取り扱うこと

35. HALシステムは最近、NTPサーバーが増幅型DDoS攻撃に使用される恐れがあるため、公開NTPサービスの提供を停止することを決定した。 HALはNTPサービスに関してどのようなリスク管理戦略を取りましたか？

D. リスク回避

36. 通常、SSAE 18 に基づいてセキュリティ統制のレビューを実施するのは誰ですか？

B. 外部監査人

37. トムは、多くの種類のアプリケーション攻撃をブロックするように設計された、サービスプロバイダーとしてのクラウド基盤が提供するアプリケーションファイアウォールを有効にしている。リスク管理の観点から見た場合、トムはこの対策を導入することでどのような指標を下げようとしていますか。

D. Likelihood

38. SSAE-18に関する次の記述のうち、正しくないものはどれか。

A. 特定の管理セットを義務付けている。

39. マットは電気通信会社に勤務しており、連邦捜査官から、捜査令状に基づきマットの顧客の一人を盗聴することへの協力を求められた。次の法律のうち、通信サービス・プロバイダが法執行機関の要請に協力することを義務付けているのはどれか。

B. CALEA

40. ティムの組織は最近、政府の請負業者として受託研究を行う契約を結んだ。この契約に関わる情報システムに適用される可能性が高い法律は何ですか？

A. FISMA

41. ケイティは、組織で使用されているすべての個人識別情報（PII）の徹底的な見直しを行っています。この評価を最もよく表す用語は何ですか？

D. PIA

42. ケビンは、自分の組織で使用しているセキュリティ文書を見直し、更新している。彼は、自分のチームが過去1年間に実施したクラウド・コンピューティング・サービスのセキュリティ確保のためのベストプラクティスを文書化したいと考えている。このベストプラクティスは一般的なものであり、特定のサービスをカバーするものではありません。この目的には、どのような文書が最適でしょうか。

C. ガイドライン

43. コリンは、クラウドサービスプロバイダの内部情報セキュリティマネジメントシステム（ISMS）の監査を実施している。次の項目のうち、通常、この監査の範囲外となるものはどれですか。

B. 財務諸表の正確性

44. 次のうち、強制力のない政府要請はどれですか？

D. 宣誓供述書

45. ヘレンはあるクラウドプロバイダーのリスク管理手法を評価しています。この作業において、次の文書のうち最も役に立たないものはどれでしょうか？

D. PCIDSS

46. ヴィンセントは国際的な国境をまたぐ個人情報保護プログラムの責任者です。彼の組織が活動している次の国のうち、包括的な国内プライバシー法がない国はどこですか？

A. 米国

47. ニテシュは多国籍のクラウドサービスプロバイダーのグローバル監査を行っており、適切なテスト手順について質問があります。次の文書のうち、彼の状況に最も当てはまるものはどれか。

A. ISAE 3402

48. 次のうち、企業の会計ミスや不正行為から株主や一般市民を守るために制定された法律はどれか。

C. サーベンス・オクスリー法（SOX法）

49. ジョーの組織は、データセンターの地理的なフットプリントを拡大し、他の国にある施設を含めることを検討している。この拡張によってもたらされる最も深刻な問題は何でしょうか？

A. 複数の管轄権

50. FlyAway Travelは欧州連合（EU）と米国の両方にオフィスを構えており、これらのオフィス間で定期的に個人情報をやり取りしている。最近、EUの顧客からアカウントの停止を求める要請を受けた。一般データ保護規則（GDPR）では、個人情報の処理に関するどの要件で、個人は自分のデータをこれ以上流布または処理しないよう要求できるとされていますか？

C. 忘れられる権利

51. ほとんどのプライバシー規制の状況において、特定のプライバシーに関連するデータセットがどのように使用され、処理されるかを決定する最も責任のある主体はどれですか？

B. The data controller

52. 次のうち、仮想化環境でフォレンジックに役立つ可能性のある最も揮発性の高いデータはどれでしょう？

A. 仮想インスタンスRAM

53. ワンダは、顧客情報の交換を促進するために、彼女の組織の欧州連合のビジネスパートナーの1つと協力している。ワンダの組織は米国にあります。 GDPRのコンプライアンスを確保するために、ワンダが使用する最善の方法は何でしょうか？

C. 標準契約条項

54. あなたはITハードウェアメーカーの最高情報責任者（CIO）である。あなたの会社は、電子メールを含むクラウドベースのSaaS（Software as a Service）サービスを利用しています。あなたは、ある訴訟に関連するデータの法的要求を受けた。 eDiscoveryの取り組みは、xxxに大きく依存する。

A. クラウドプロバイダー

55. ベンはデータベースに保存されているペイメントカード情報のセキュリティに責任を負っている。ポリシーではデータベースから情報を削除するよう指示されているが、運用上の理由で削除できない。彼はポリシーの例外を取得し、リスクを軽減するための適切な代償コントロールを探しています。最良の選択肢は何か。

B. データベースの内容を暗号化する

56. ジェームズは、組織のGAPP原則遵守のレビューを指揮するよう依頼されました。彼の評価範囲に最も直接入るのはどの分野でしょうか？

B. プライバシー

57. ブラッドは最近、新しい業界への業務拡大により、自分の組織が新たな法的要件の対象となることを知った。ブラッドはまずどのような分析を行うべきか？

C. ギャップ分析

58. 次の組織のうち、電子取引に関与してもHIPAAのプライバシーとセキュリティの要件が自動的に適用されないのはどれか？

B. ヘルス・フィットネス・アプリケーション開発者

59. ベラは、組織のクラウド移行を支援するコンサルティング会社と長期的な関係を築こうとしている。彼女は、さまざまなプロジェクトの条件を規定する契約書を作成したいと考えています。どのような文書を作成すべきでしょうか？

A. MSA

60. クラウドセキュリティアライアンスのクラウドコントロールマトリックスについて最も適切な説明は？

C. ISO 27001/27002、ISACA の COBIT、PCI-DSS など、業界で認められている主なセキュリティ標準、規制、管理フレームワークとのマッピング／相互関係を提供するセキュリティ管理フレームワーク。

61. ゴードンの組織は、バックアップを処理するために新しいクラウドベンダーの利用を検討している。彼はリスクアセスメントを実施し、そのプロバイダーでバックアップが失われた場合に想定される年間損害額を割り出している。ゴードンはどのような指標を特定しましたか？

A. ALE

62. グレッグの会社は米国でのみ事業を展開している。同社は最近、多くの顧客の個人データを含む重大なデータ侵害に見舞われた。適切な措置を講じているかどうかを確認するために、どの違反法を確認すべきでしょうか？

B. 事業を行っているすべての管轄区域の違反法。

63.xxxとは、クラウド顧客がそのユーザーや顧客のプライバシーデータのセキュリティを提供することに合理的な期待を抱くという法的概念である。

A. Due care

64. ロバートは、クレジットカード情報の処理に使用されるシステムのセキュリティ保護に責任を負っている。彼の行動を導くべきセキュリティ管理フレームワークは何か。

B. PCIDSS

65. あなたは、攻撃のリスクを減らすために、公開アプリケーションにWebアプリケーションファイアウォールを追加することを検討しています。ファイアウォールを実装する場合、あなたはどのようなリスク処理を行いますか？

C. リスク軽減

66. あなたは、電気事業者のインフラを運用するクラウドサービスプロバイダのリスク評価を行っています。この組織に最も関連する規制の枠組みは何ですか。

C. NERC/CIP

67. あなたは、組織内の異なる仮想マシンのセキュリティ構成が異なることを懸念しており、仮想マシンの構築時に標準構成を適用したいと考えています。このアプローチを表す用語は何ですか。

B. ベースライニング

68. あなたは医療機器製造会社のコンプライアンス責任者です。貴社は、長期的なケアと品質保証の目的で、現在貴社の機器を装着している患者のリストをクラウドベースで管理しています。このリストは、ハードウェアの詳細と一部の請求データを相互参照するデータベースで管理されています。このような状況において、多くのプライバシー規制や法律の下では、誰がデータ管理者とみなされるでしょうか？

D. データベース管理者

69. あなたはクラウドサービスプロバイダーの監査を行っており、計画すべきテストの種類について迷っています。最も明確なガイダンスを提供するリソースはどれですか？

B. 適用される監査基準

70. 法の抵触が生じた場合、紛争が審理される裁判管轄は○○○○に決定される。

B. 準拠法の原則

71. クリスは、自分の組織が最近入手したノートパソコンが、納品される前にサードパーティによってキーロガーを含むように修正されていたことを心配している。これを防ぐために、彼はどこに力を注ぐべきでしょうか?

A. サプライチェーン

72. グレッグは、自分の組織にネットワーク機器を供給する新しいベンダーを評価している。彼の組織の業務の性質上、グレッグは、攻撃者がサプライチェーンを悪用しようとするかもしれないと懸念している。グレッグの組織とベンダーの両方が合理的なセキュリティ手順の下で運用されていると仮定した場合、次の行為のうち、機器に対するサプライチェーンリスクを最も大きくしそうなのはどれか。

B. 輸送中の機器の傍受

73. 旧来のSAS70タイプの報告書に代わる、サービス組織の統制に関する会計報告書とは何ですか？

A. SOC 1

74. 次のうち、内部監査人を雇うことが最も適切なケースはどれでしょうか？

C. 従業員の不正行為の調査

75. 次の枠組みのうち、プライバシーに関する米国連邦法はどれか？

D. HIPAA

76. あなたはクラウドサービスを運営しており、セキュリティ管理の有効性を確認し、一般の顧客が使用するのに適切な報告書を潜在顧客に提供したいと考えています。どのような監査を実施すべきですか。

C. SOC 3

77. 次のうち、データの完全性の検証、バックアップのテスト、セキュリティポリシーの管理など、上級管理職から委任されたデータ保護の運用責任を果たす責任を負うのは、通常どの人でしょうか。

A. データ管理者(データ・カストディアン)

78.xxxは通常、絶対的な数値に基づいてリスクを評価するための一連の方法、原則、またはルールを採用する。

D. 定量的評価

79. ノーランは米国連邦政府機関の調達担当者で、クラウド・サービス・プロバイダーを選定している。連邦政府での使用を認可されたクラウドプロバイダーの事前審査セットを提供するプログラムは？

D. FedRAMP

80. 裁判で使用される可能性のあるセキュリティインシデントから証拠を収集する場合、組織はどのような手順に従うべきか？

A. デジタルフォレンジック

81. 次の原則のうち、組織がその義務を果たしていることを確実にするために、ガバナンスの仕組みを導入することを求めているのはどれか。

A. Due diligence

82. 貴組織の保険契約で、セキュリティ・インシデントによる損害を十分にカバーし、業務を再開できるようにしたいと考えています。どのような資産評価手法を使うべきですか？

D. 代替コスト

83. あなたは、クラウドベンダーが事業を停止した場合、必要なソースコードにアクセスできなくなることを懸念しています。このリスクに対して、どのようなセキュリティ対策が最も効果的でしょうか。

B. エスクロー

84. 数値以外のカテゴリーやレベルに基づいてリスクを評価するための一連の方法、原則、または規則を採用するアセスメントのタイプは何か？

B. 定性的アセスメント

85. 次の用語のうち、クラウドサービスプロバイダーの契約に一般的に見られないものはどれですか？

A. 施設へのアクセス権

86. ベンは、世界中で広く受け入れられており、情報セキュリティ統制に特化した統制目的フレームワークを探している。次のフレームワークのうち、どれが彼のニーズに最も適していますか？

B. ISO 27002

87. 組織がクラウドサービスプロバイダを使用して保護された医療情報を扱う場合、そのデータを保護する責任は誰にあるのか。

C. 顧客とクラウドプロバイダーの両方

88. 組織内で、ある情報カテゴリーに関する意思決定の日常的な責任を委任された個人を表す用語は？

D. データスチュワード

90. 次のうち、通常サプライチェーンリスクと考えられるものはどれですか？(該当するものをすべて選んでください。）

A. 最終顧客に出荷される前のハードウェアに対する不正な改ざん。, C. ソーシャルエンジニアリングを使用して SaaS ベンダーの従業員を侵害し、顧客アカウントにアクセスする。

質問91～93については、次のシナリオを参照してください：ヘンリーは、米国中西部のSaaSプロバイダーであるAtwood Cloud Servicesのリスクマネージャーである。同社の主要データセンターはインディアナ州北部にあり、竜巻が発生しやすい地域にある。ヘンリーは最近、代替コスト分析を行い、データセンターの再建と再構成には1000万ドルかかると判断した。ヘンリーは、竜巻の専門家、データセンターの専門家、構造エンジニアに相談した。その結果、典型的な竜巻が発生した場合、施設に約500万ドルの損害が発生すると判断した。気象学者は、アトウッドの施設は200年に1度竜巻に遭遇する可能性が高い地域にあると判断した。 91. このシナリオの情報に基づくと、竜巻がアトウッド・ランディング社のデータセンターに及ぼす影響に対する暴露係数は？

C. 50%

質問91～93については、次のシナリオを参照してください：ヘンリーは、米国中西部のSaaSプロバイダーであるAtwood Cloud Servicesのリスクマネージャーである。同社の主要データセンターはインディアナ州北部にあり、竜巻が発生しやすい地域にある。ヘンリーは最近、代替コスト分析を行い、データセンターの再建と再構成には1000万ドルかかると判断した。ヘンリーは、竜巻の専門家、データセンターの専門家、構造エンジニアに相談した。その結果、典型的な竜巻が発生した場合、施設に約500万ドルの損害が発生すると判断した。気象学者は、アトウッドの施設は200年に1度竜巻に遭遇する可能性が高い地域にあると判断した。 92. このシナリオの情報に基づくと、アトウッド・ランディングのデータセンターにおける竜巻の年率発生率は？

B. 0.005

質問91～93については、次のシナリオを参照してください：ヘンリーは、米国中西部のSaaSプロバイダーであるAtwood Cloud Servicesのリスクマネージャーである。同社の主要データセンターはインディアナ州北部にあり、竜巻が発生しやすい地域にある。ヘンリーは最近、代替コスト分析を行い、データセンターの再建と再構成には1000万ドルかかると判断した。ヘンリーは、竜巻の専門家、データセンターの専門家、構造エンジニアに相談した。その結果、典型的な竜巻が発生した場合、施設に約500万ドルの損害が発生すると判断した。気象学者は、アトウッドの施設は200年に1度竜巻に遭遇する可能性が高い地域にあると判断した。 93. このシナリオの情報に基づくと、アトウッド・ランディングのデータセンターで竜巻が発生した場合の年間損失予測は？

A. $25,000

94. タマラは最近、クラウド・サービス・プロバイダーでデータ侵害が発生した場合の会社のコストをカバーするため、サイバー賠償責任保険に加入することを決めた。彼女はどのようなリスク管理戦略をとっていますか？

C. リスクの移転

95. ドーマー・インダストリーズ社のリスクアセスメントチームは最近、定性的リスクアセスメントを実施し、ここに示すようなマトリックスを作成した。最も早急な対応が必要なリスクはどの象限に含まれますか？

A. Ⅰ

96. ジムはシステムエンジニアとして新しい仕事を始め、チームのレビューをしている。クラウドサービスのフォレンジック対応ガイドライン」と題された文書を確認している。次の記述のうち、正しくないものはどれですか。

A. ジムはこの文書の情報を遵守しなければならない。

97. 次の法律のうち、情報漏えいの通知要件が含まれていないのはどれですか？

C. FERPA

98. 次のメトリクスのうち、一般的にSLAに含まれないものはどれですか？

D. セキュリティ・インシデント数

99. あなたは、ある大病院システムのCISOであり、SaaS（Software as a Service）電子メールベンダーとの契約締結を準備している。この目標を達成するために、どのような種類の監査を依頼すればよいでしょうか。

D. SOC 2

100

100. 次のうち、クラウド顧客とクラウドプロバイダー間のサービスレベル契約（SLA）に含めるのに最も適していないのはどれでしょう？

B. 管轄

ドメイン1_①

麻生元気 · 100問 · 2年前

ドメイン1_①