ドメイン3_④

85問 • 2年前

麻生元気

通報

問題一覧

301.事業体のアプリケーションをSQLインジェクションから防御するためのコントロールを提案する際、情報セキュリティマネージャーが提案する可能性が最も高いのは:

C.コード標準とコードのレビューを行うこと。

302.優れた情報セキュリティ評価指標の最も重大な特性は何か?

A.受信者にとって有意義である。

303.公開鍵基盤で認証機関が必要であるのはなぜか?

C.ユーザの公開鍵の妥当性を証明する。

304.どの状況で強制アクセス・コントロールを使用すべきか?

B.権限委譲がポリシーに反する場合

305.情報セキュリティポリシーの策定が主に基準とすべきは:

C.脅威

306.組織のポリシーを撤廃できる理由として、最も可能性が高いのは何か?

A.確信できる脅威がない。

307.IT部門は、オンラインアカウント管理用の新規トランザクションシステムの開発を要請された。　　情報セキュリティ部門が参加するべき段階は、次のうちどれか?

A.実現性分析

308.是正的コントロールの例は、次のうちどれか?

A.DoS攻撃に対処するための受信トラフィックの転換

309.情報セキュリティプロセスをシステム開発ライフサイクルに統合する主な目標は何か?

B.適切なコントロールの導入を保証する。

310.企業の情報セキュリティ教育および意識向上プログラムを導入する主な理由は、次のうちどれか?

C.効果的なセキュリティに貢献する文化を確立するため

311.事業体のガバナンスが良好であることを最も良く示す指標は、次のうちどれか?

B.成熟度レベル

312.データの分類スキーマを策定する際に最も効果的な活動は、次のうちどれか?

D.データ分類の利点の意識付けをする

313.監査ログ機能のデータベーススナップショットを使用する際、大きな懸念事項は次のうちどれか?

A.パフォーマンスの悪化

314.情報セキュリティプログラムを開発する第一の目標は何か?

A.戦略の導入

315.ある事業体は、ノートPCおよび携帯電話のBYOD(Bring Your Own Device)の導入を決定した。　　情報システム情報セキュリティマネージャーは最初に何に焦点を絞るべきか?

D.BYOD用の情報セキュリティ戦略を策定する

316.情報セキュリティに関する意思決定を支援する手段として最適なのは:

D.効果的な評価指標

317.外部委託している運用が会社のセキュリティ姿勢に準拠していることを確実にする最も効果的な方法は、次のうちどれか?

D.現地での監査とコンプライアンス調査を実施する。

318.大人数のユーザに暗号化キーを提供する際、公開鍵基盤が推奨されるのはなぜか?

B.対称鍵より拡張性に優れる。

319.効果的な変更管理プロセスの導入は何の例か?

C.予防的コントロール

320.情報セキュリティプログラム要件の第一の基礎とすべきは、次のうちどれか?

B.望ましい結果

321.情報セキュリティマネージャーは、サードパーティ・サービス・プロバイダから提供されているセキュリティのレベルに関する苦情を上級経営者から受けた。　　このサービスプロバイダは長期にわたりサービスを提供しているベンダーで、過去4年間にわたって大きな変更がされずに定期的に更新されているサービス合意書に基づいてサービスを提供している。この状況で、情報セキュリティマネージャーが最初に取るべき行動は、次のうちどれか?

A.サービス合意書に定められているセキュリティ要件が現行の事業要件を満たしているか確認する。

322.外部委託インフラやソフトウェアを提供するパブリッククラウドベンダーを選定する際、情報セキュリティマネージャーは、どのように進行すべきか?

B.ベンダーのセキュリティ態勢が事業体の要件を満たすことを確認する。

323.役割ベースのアクセス・コントロールを設計する際に最良のアプローチは、次のうちどれか?

A.職務のマトリックスを作成する。

324.緊急変更を実施するために回避できる変更管理プロセスの段階は、次のうちどれか?

C.スケジューリング

325.運用の評価指標において最も欠かせない基準は、次のうちどれか?

B.受け取る側への関連性

326.情報セキュリティマネージャーが価値の配分目標を達成していることを示す最適な指標は、次のうちどれか?

A.リソースの有効活用

327.情報セキュリティマネージャーが情報技術を理解しなければならない最も重要な理由は何か?

B.技術のリスクとそのセキュリティ目標への貢献を理解するため

328.企業の標準を変更する必要がある条件として、最も可能性が高いものは次のうちどれか?

D.コントロール目標が達成されていない。

329.第三者の保管場所にある機密データに必要なのは:

A.第三者が契約の要件を遵守するという保証

330.ある新しいビジネスアプリケーションは、OSの標準的な設定から逸脱する必要がある。　　情報セキュリティマネージャーが最初に実行すべき手順は、次のうちどれか?

B.リスクを評価し、補完的コントロールを特定する。

331.組織のセキュリティ文化を推進する最も効果的なのは、次のうちどのトレーニング手段であるか?

A.影響力のある人物から数人を選択し、セキュリティプログラムの利点の宣伝を行ってもらう。

332.大手の事業体に影響を与える可能性が最も高いのは、次のうち情報セキュリティ文書に関連するどの課題であるか?

A.標準の改訂が環境の変化に比べて遅れる。

333.金融機関において、ポリシーを変更する必要性が最も高い状況は次のうちどれか?

D.経営者が新しく制定された情報セキュリティ要件の遵守の義務化を命令した。

334.新規採用された情報セキュリティマネージャーが、現在の情報セキュリティプロジェクトの管理がどのくらい効果的であるかを理解するためにレビューすべきは、次のどのツールであるか?

B.プロジェクトポートフォリオデータベース

335.情報セキュリティプログラムを開発する第一の目標は何か?

D.戦略を導入すること

336.ある情報セキュリティマネージャーは、自動プロセスを導入し、物理的セキュリティ部門によって運営されるスワイプカードを使用した物理的アクセスと、シングルサインオン(SSO)システムの論理アクセスを比較した。　この情報を利用する可能性が最も高いのは何か?

A.重要リスク評価指標の監視

337.内部セキュリティ攻撃から事業体を最も良く防御するのは、次のうちどれか?

C.従業員候補の身元調査

338.情報資産の分類を行う第一の利益は何か?

B.影響度に相応するコントロールを特定する。

339.ポリシーと企業の標準との関係性を最も的確に表現しているのは、次のうちどの関連性か?

C.標準は、ポリシーの目的の遵守を達成する方向性を提供する。

340.銀行勤務の従業員が、別の支店に勤務する従業員を名乗る人物からVoIP回線で電話を取ったところ、顧客情報を要求された。　　このようなタイプの電話を受けるとき、最初に取るべき行動は:

B.連絡を受けた従業員に電話を切り、オフィスの電話帳に記載されている番号を使い、他の支店へ電話を掛け直すように提言する。

341.強力なパスワードを使用して最も適切に軽減される攻撃は、次のうちどれか?

B.総当たり攻撃

342.事業体が侵入検知サービスを外部委託することを決定した理由として、最も可能性が高いのは次のうちどれか?

C.費用便益分析の結果として

343.フィッシングを軽減する最良の手段は、次のうちどれか?

D.ユーザの意識向上

344.プロジェクトの失敗を避けるために、ITプログラムの要件収集フェーズで情報セキュリティマネージャーが取るべき最初の手順は何か?

C.ソリューション開発に取り組む前に業務の問題が明確に理解されていることを確実にする。

345.セキュリティ意識向上トレーニングプログラムの第一の利点は何か?

A.情報セキュリティ事象の発現可能性を抑制すること

346.情報セキュリティポリシーの例外を許可する実質的権限を持つ者は誰か?

C.ポリシー承認者

347.事業体から支給されるモバイルデバイスの管理において、最も重要な役割を果たす人事部の活動は何か?

A.雇用契約終了通知の提供

348.上場されている多国籍事業体において、情報セキュリティマネージャーが最も低いレベルのセキュリティ保護を行うと考えられるのは、次のうちどの種類の情報か?

D.過去の決算結果

349.事業体内のデータ分類を実施するに当たり、第一の前提条件は次のうちどれか?

C.データ所有者の特定

350.SaaS(サービスとして利用できるようにしたソフトウェア)を事業体に提供するクラウドコンピューティングソリューションを導入するとき、情報セキュリティマネージャーにとって最大の懸念事項は何か?

A.転送時または保持時に機密データが漏洩する可能性

351.ローカルホスト型ソリューションよりも、クラウドコンピューティングソリューションを使用する利点は:

A.必要に応じて保存容量と帯域幅を追加できること

352.公開鍵基盤(PKI)を使用している組織間で契約関係を確立する際、認証局が提供しなければならないのは、次のうちどれか?

D.認証局運用規定

353.多層防御戦略の第1層を表しているのは、次のうちどのコントロール活動か?

B.認証

354.あるプロジェクトマネージャーは、開発者用ポータルを開発している。　　内部スタッフと外部コンサルタントが事業体のLAN外でポータルへアクセスできるように、セキュリティマネージャーに公開IPアドレスを割り当てることを要請した。　　情報システム情報セキュリティマネージャーは最初に何をすべきか?

A.開発者用ポータルの事業要件を理解する。

355.信頼ドメインによりネットワークをセグメント化する理由として最も可能性が高いのは:

A.セキュリティ損害の影響を抑えるため

356.あるミッションクリティカルなシステムには、特権と名前のロックおよび変更を防止する属性を持つ管理用システムアカウントが設定されていることが特定された。　　アカウントの総当たり攻撃が成功しないように防ぐための最良のアプローチは、次のうちどれか?

B.強力でランダムなパスワードを作成する。

357.経営陣は、発注システムに読み込む職務の分離マトリックスの内容を確定しようとしている。　　マトリックスの有効性を最も向上させるために、情報セキュリティマネージャーが提案すべきは、次のうちどれか?

D.承認者の権限に関する矛盾を特定する

358.積極的な情報セキュリティ意識向上プログラムが第一に影響を与えるのは:

B.残存リスク

359.最近、ある企業が画期的な技術を開発した。この技術により、同企業は大幅な競争上の優位性を手に入れることができた。　　この情報を保護する方法に最初に適用されるのは、次のうちどれか?

B.データ分類ポリシー

360.技術的プロセスまたはビジネスプロセスの外部委託を検討するとき、情報セキュリティマネージャーにとって主要な懸念事項の1つは、サードパーティサービスプロバイダが:

D.事業体のセキュリティ要件を持続的かつ確認できる方法で満たすかどうか

361.IT管理部門は、事業体内で使用されるインターネットブラウザを標準化した。　　この実践手法が最も効果的なのは、次のうちどの目標を満たすことか?

D.内部のウェブベースアプリケーションとの互換性を保証する。

362.ネットワークサービス拒否(DoS)攻撃を軽減する最良の方法は何か?

B.疑いのあるパケットを抑止するパケットフィルタリングを使用する。

363.情報セキュリティマネージャーが新しいコントロールの資金調達要請を支援する場合に最適な評価指標は、次のうちどれか?

A.年間の有害インシデントトレンド

364.事業体内の非技術系セキュリティ違反を検出するために最もタイムリーで効果的なアプローチは:

A.事業体全体の連絡チャネルの開発

365.資産の分類とコントロールにおいて、最初に導入すべきプログラム要素はどれか?

C.価値評価

366.情報セキュリティプログラムの成功のために、資産分類が重要であるのはなぜか?

C.資産保護の適切なレベルを決めるから

367.コントロールの有効性を判断するための合理的なアプローチは何か?

C.コントロールが対象となる目標を達成する能力を確認する。

368.ポリシー例外プロセスを開始する第一の理由は:

B.利益によってリスクが正当化されるから

369.情報セキュリティポリシーを定義させるとき、最も関連性が高い要素は次のうちどれか?

D.データ所有者の要件

370.事業体の中から外部当事者宛の異常なサーバ通信を監視するのは:

A.高度で持続的な脅威の痕跡を記録するため

371.認証リプレイを防止する認証方式は、次のうちどれか?

B.チャレンジ/レスポンス機構

372.職務の分離の第一の目的は何か?

C.不正行為の防止

373.類似したデバイスでのセキュリティ構成を標準化する最良の方法は何か?

D.ベースライン

374.インターネットブラウザを介したエンドユーザコンピュータへのマルウェアの導入に対し、最良の防御を提供するのは次のうちどれか?

D.モバイルコードの実行制限

375.あるソーシャルメディア・アプリケーションシステムでは、投稿されたコメントに不適切な情報開示がないかスキャンする処理が実行される。　　このコントロールを回避する手段は、次のうちどれか?

D.文章内のミススペリング

376.コントロールをどの程度階層化すべきかに最も影響を与える要素は、次のうちどれか?

B.コントロールが同じ脅威に晒される範囲

377.予防的コントロールは次のうちどれか?

C.アクセス・コントロール

378.情報の価値を評価するときに留意すべき最も重要なことは、次のうちどれか?

A.財務損失の可能性

379.情報分類スキームは:

A.セキュリティ侵害から起こり得る影響を考慮すべきである。

380.新しいユーザに電子メールシステムアクセス用の初期パスワードを提供する際、最良の方法は次のうちどれか?

B.有効期限が短く設定された一時パスワードを電話で教える。

381.あるシステムセキュリティを強化するための重要ではないOSパッチは、重要なアプリケーションが変更に対応していないため適用できない。　　最良の解決策は次のうちどれか?

B.軽減コントロールの導入により、パッチをインストールできないことの埋め合わせをする。

382.コントロールと対策を選択する際、第一の基本は何か?

B.費用対効果のバランス

383.内部攻撃および侵入テストを実施する第一の主要な目的は何か?

A.ネットワークとサーバセキュリティの弱点を特定する。

384.ビジネス情報を外部当事者と共有しなければならないとき、情報セキュリティマネージャーが最初にすべきタスクは次のうちどれか?

B.情報分類を見直す。

385.情報資産の分類の最も重要な要素は、次のうちどれか?

C.潜在的な影響

ドメイン1_①

ドメイン1_①

ドメイン1_②

ドメイン1_②

ドメイン2_①

ドメイン2_①

ドメイン2_②

ドメイン2_②

ドメイン2_③

ドメイン2_③

ドメイン3_①

ドメイン3_①

ドメイン3_②

ドメイン3_②

ドメイン3_③

ドメイン3_③

ドメイン1

ドメイン1

ドメイン2

ドメイン2

ドメイン3

ドメイン3

ドメイン4

ドメイン4

ドメイン5

ドメイン5

ドメイン6

ドメイン6

ドメイン1_③

ドメイン1_③

ドメイン1_⑥

ドメイン1_⑥

ドメイン1_⑦

ドメイン1_⑦

ドメイン1_⑩

ドメイン1_⑩

ドメイン2_③

ドメイン2_③

ドメイン2_④

ドメイン2_④

ドメイン2_⑦

ドメイン2_⑦

ドメイン2_⑧

ドメイン2_⑧

問題一覧

C.コード標準とコードのレビューを行うこと。

302.優れた情報セキュリティ評価指標の最も重大な特性は何か?

A.受信者にとって有意義である。

303.公開鍵基盤で認証機関が必要であるのはなぜか?

C.ユーザの公開鍵の妥当性を証明する。

304.どの状況で強制アクセス・コントロールを使用すべきか?

B.権限委譲がポリシーに反する場合

305.情報セキュリティポリシーの策定が主に基準とすべきは:

C.脅威

306.組織のポリシーを撤廃できる理由として、最も可能性が高いのは何か?

A.確信できる脅威がない。

A.実現性分析

308.是正的コントロールの例は、次のうちどれか?

A.DoS攻撃に対処するための受信トラフィックの転換

309.情報セキュリティプロセスをシステム開発ライフサイクルに統合する主な目標は何か?

B.適切なコントロールの導入を保証する。

310.企業の情報セキュリティ教育および意識向上プログラムを導入する主な理由は、次のうちどれか?

C.効果的なセキュリティに貢献する文化を確立するため

311.事業体のガバナンスが良好であることを最も良く示す指標は、次のうちどれか?

B.成熟度レベル

312.データの分類スキーマを策定する際に最も効果的な活動は、次のうちどれか?

D.データ分類の利点の意識付けをする

313.監査ログ機能のデータベーススナップショットを使用する際、大きな懸念事項は次のうちどれか?

A.パフォーマンスの悪化

314.情報セキュリティプログラムを開発する第一の目標は何か?

A.戦略の導入

D.BYOD用の情報セキュリティ戦略を策定する

316.情報セキュリティに関する意思決定を支援する手段として最適なのは:

D.効果的な評価指標

317.外部委託している運用が会社のセキュリティ姿勢に準拠していることを確実にする最も効果的な方法は、次のうちどれか?

D.現地での監査とコンプライアンス調査を実施する。

318.大人数のユーザに暗号化キーを提供する際、公開鍵基盤が推奨されるのはなぜか?

B.対称鍵より拡張性に優れる。

319.効果的な変更管理プロセスの導入は何の例か?

C.予防的コントロール

320.情報セキュリティプログラム要件の第一の基礎とすべきは、次のうちどれか?

B.望ましい結果

A.サービス合意書に定められているセキュリティ要件が現行の事業要件を満たしているか確認する。

B.ベンダーのセキュリティ態勢が事業体の要件を満たすことを確認する。

323.役割ベースのアクセス・コントロールを設計する際に最良のアプローチは、次のうちどれか?

A.職務のマトリックスを作成する。

324.緊急変更を実施するために回避できる変更管理プロセスの段階は、次のうちどれか?

C.スケジューリング

325.運用の評価指標において最も欠かせない基準は、次のうちどれか?

B.受け取る側への関連性

326.情報セキュリティマネージャーが価値の配分目標を達成していることを示す最適な指標は、次のうちどれか?

A.リソースの有効活用

327.情報セキュリティマネージャーが情報技術を理解しなければならない最も重要な理由は何か?

B.技術のリスクとそのセキュリティ目標への貢献を理解するため

328.企業の標準を変更する必要がある条件として、最も可能性が高いものは次のうちどれか?

D.コントロール目標が達成されていない。

329.第三者の保管場所にある機密データに必要なのは:

A.第三者が契約の要件を遵守するという保証

B.リスクを評価し、補完的コントロールを特定する。

331.組織のセキュリティ文化を推進する最も効果的なのは、次のうちどのトレーニング手段であるか?

A.影響力のある人物から数人を選択し、セキュリティプログラムの利点の宣伝を行ってもらう。

332.大手の事業体に影響を与える可能性が最も高いのは、次のうち情報セキュリティ文書に関連するどの課題であるか?

A.標準の改訂が環境の変化に比べて遅れる。

333.金融機関において、ポリシーを変更する必要性が最も高い状況は次のうちどれか?

D.経営者が新しく制定された情報セキュリティ要件の遵守の義務化を命令した。

B.プロジェクトポートフォリオデータベース

335.情報セキュリティプログラムを開発する第一の目標は何か?

D.戦略を導入すること

A.重要リスク評価指標の監視

337.内部セキュリティ攻撃から事業体を最も良く防御するのは、次のうちどれか?

C.従業員候補の身元調査

338.情報資産の分類を行う第一の利益は何か?

B.影響度に相応するコントロールを特定する。

339.ポリシーと企業の標準との関係性を最も的確に表現しているのは、次のうちどの関連性か?

C.標準は、ポリシーの目的の遵守を達成する方向性を提供する。

B.連絡を受けた従業員に電話を切り、オフィスの電話帳に記載されている番号を使い、他の支店へ電話を掛け直すように提言する。

341.強力なパスワードを使用して最も適切に軽減される攻撃は、次のうちどれか?

B.総当たり攻撃

342.事業体が侵入検知サービスを外部委託することを決定した理由として、最も可能性が高いのは次のうちどれか?

C.費用便益分析の結果として

343.フィッシングを軽減する最良の手段は、次のうちどれか?

D.ユーザの意識向上

344.プロジェクトの失敗を避けるために、ITプログラムの要件収集フェーズで情報セキュリティマネージャーが取るべき最初の手順は何か?

C.ソリューション開発に取り組む前に業務の問題が明確に理解されていることを確実にする。

345.セキュリティ意識向上トレーニングプログラムの第一の利点は何か?

A.情報セキュリティ事象の発現可能性を抑制すること

346.情報セキュリティポリシーの例外を許可する実質的権限を持つ者は誰か?

C.ポリシー承認者

347.事業体から支給されるモバイルデバイスの管理において、最も重要な役割を果たす人事部の活動は何か?

A.雇用契約終了通知の提供

D.過去の決算結果

349.事業体内のデータ分類を実施するに当たり、第一の前提条件は次のうちどれか?

C.データ所有者の特定

A.転送時または保持時に機密データが漏洩する可能性

351.ローカルホスト型ソリューションよりも、クラウドコンピューティングソリューションを使用する利点は:

A.必要に応じて保存容量と帯域幅を追加できること

352.公開鍵基盤(PKI)を使用している組織間で契約関係を確立する際、認証局が提供しなければならないのは、次のうちどれか?

D.認証局運用規定

353.多層防御戦略の第1層を表しているのは、次のうちどのコントロール活動か?

B.認証

A.開発者用ポータルの事業要件を理解する。

355.信頼ドメインによりネットワークをセグメント化する理由として最も可能性が高いのは:

A.セキュリティ損害の影響を抑えるため

B.強力でランダムなパスワードを作成する。

D.承認者の権限に関する矛盾を特定する

358.積極的な情報セキュリティ意識向上プログラムが第一に影響を与えるのは:

B.残存リスク

B.データ分類ポリシー

D.事業体のセキュリティ要件を持続的かつ確認できる方法で満たすかどうか

D.内部のウェブベースアプリケーションとの互換性を保証する。

362.ネットワークサービス拒否(DoS)攻撃を軽減する最良の方法は何か?

B.疑いのあるパケットを抑止するパケットフィルタリングを使用する。

363.情報セキュリティマネージャーが新しいコントロールの資金調達要請を支援する場合に最適な評価指標は、次のうちどれか?

A.年間の有害インシデントトレンド

364.事業体内の非技術系セキュリティ違反を検出するために最もタイムリーで効果的なアプローチは:

A.事業体全体の連絡チャネルの開発

365.資産の分類とコントロールにおいて、最初に導入すべきプログラム要素はどれか?

C.価値評価

366.情報セキュリティプログラムの成功のために、資産分類が重要であるのはなぜか?

C.資産保護の適切なレベルを決めるから

367.コントロールの有効性を判断するための合理的なアプローチは何か?

C.コントロールが対象となる目標を達成する能力を確認する。

368.ポリシー例外プロセスを開始する第一の理由は:

B.利益によってリスクが正当化されるから

369.情報セキュリティポリシーを定義させるとき、最も関連性が高い要素は次のうちどれか?

D.データ所有者の要件

370.事業体の中から外部当事者宛の異常なサーバ通信を監視するのは:

A.高度で持続的な脅威の痕跡を記録するため

371.認証リプレイを防止する認証方式は、次のうちどれか?

B.チャレンジ/レスポンス機構

372.職務の分離の第一の目的は何か?

C.不正行為の防止

373.類似したデバイスでのセキュリティ構成を標準化する最良の方法は何か?

D.ベースライン

374.インターネットブラウザを介したエンドユーザコンピュータへのマルウェアの導入に対し、最良の防御を提供するのは次のうちどれか?

D.モバイルコードの実行制限

D.文章内のミススペリング

376.コントロールをどの程度階層化すべきかに最も影響を与える要素は、次のうちどれか?

B.コントロールが同じ脅威に晒される範囲

377.予防的コントロールは次のうちどれか?

C.アクセス・コントロール

378.情報の価値を評価するときに留意すべき最も重要なことは、次のうちどれか?

A.財務損失の可能性

379.情報分類スキームは:

A.セキュリティ侵害から起こり得る影響を考慮すべきである。

380.新しいユーザに電子メールシステムアクセス用の初期パスワードを提供する際、最良の方法は次のうちどれか?

B.有効期限が短く設定された一時パスワードを電話で教える。

B.軽減コントロールの導入により、パッチをインストールできないことの埋め合わせをする。

382.コントロールと対策を選択する際、第一の基本は何か?

B.費用対効果のバランス

383.内部攻撃および侵入テストを実施する第一の主要な目的は何か?

A.ネットワークとサーバセキュリティの弱点を特定する。

384.ビジネス情報を外部当事者と共有しなければならないとき、情報セキュリティマネージャーが最初にすべきタスクは次のうちどれか?

B.情報分類を見直す。

385.情報資産の分類の最も重要な要素は、次のうちどれか?

C.潜在的な影響