CISSP（ドメイン2）

通報

問題一覧

銀行で、ネットワークを介した取引のセキュリティを確保するため、すべての取引でTLSを推奨している。どのような攻撃を止めようとしているのか、またどのような手法で攻撃から守ろうとしているのか？

スニッフィング、暗号化

ビジネス要件とセキュリティコントロールの必要性とバランスをとるために、COBITを選択し、適用するのは、どのロールか？

ビジネスオーナー

最低限のセキュリティ標準を出発する表す用語は何か？

ベースライン

保持しているデータの分類に従い媒体がレベル付けされる時、通常ラベルに関して適用されるルールは何か？

媒体はその中に含まれているデータの中で最高レベルの分類に基づきラベル付けされる

次の管理プロセスの中で機密情報に対して適切なレベルのセキュリティコントロールを割り当てることを促進するのはどれか

情報の分類

データ保持ポリシーは法的責任の低減にどのように役立つか？

不要なデータが保持されないようにする

日々の業務に関わる責任を委託されている IT 部門のスタッフはどのようなデータの役割を担っているか？

データ管理者

EU 圏内の顧客との取引を行う米国企業であり、顧客の pii を扱う責任を負う場合、やらなければいけないことは何か？

US-EUプライバシーシールドなどの基準に準拠する

組織の情報分類システム配下のシステムのセキュリティコントロールを決定する業務を担当している。セキュリティベースラインを利用する選択をしたらその理由は次のどれか？

ベースラインは組織的ニーズに合わせて調整することできる良い出発点となる

同一の機密レベルで運用される環境において、再利用を可能とする媒体の上書きを意味する用語は次のどれか

クリアリング

ある程度の損害を発生する恐れがあるものを深刻または重大な損害とならないデータに対する米国政府の分類ラベルは以下のどれか？

部外秘

SSD のオーバープロビジョン領域やハードディスクのスペアセクター不良セクターにか共通する課題は何か？

消去できない場合があり、その結果データ残留が発生する

データの削除を施行した後に残るデータを意味する用語はどれか？

データ残留

顧客と共有する情報、事業を行うために社内で用いる情報、組織に競争上の大きな優位性をもたらす営業秘密情報。顧客と共有する情報は Web サーバーに保管している一方で、内部ビジネスデータと営業秘密はどちらも内部ファイルサーバーと従業員のワークステーションに保管されている。これらのデータに最適な民間データの分類は以下のどれか

公開、重要、占有

営業秘密情報が漏洩または盗聴された場合に、対象の情報を特定するためには、次のどの技術的な手段でマーク付けが行えるか？

電子透かし

専有データ保存するファイルサーバーの暗号化には何を用いるか、または転送中のデータはどのようにしてセキュアにするか？

保存中のデータはAES、転送中のデータは TLS

ラベル付けされたデータを用いることで DLPシステムは何ができるか

DLPシステムはラベルを検知して適切な保護を適用できる

機密データの格納に高品質の媒体を購入すると、費用対効果が高いのはなぜか

データの価値の方が媒体コストを大きく守ることが多い

数台のワークステーションは専有情報を取り扱うため利用されることを知っている。ワークセッションの EOLを迎えた時取るべき最適な選択肢は何か？

サニタイズ

米国政府のデータの分類レベルは機密度の低いものから順に以下の通りである

非機密、部外秘（Confidential）、機密（Secret）、最高機密

インターネットセキュリティセンター（CIS）のベンチマークは次のどれの実践例となるか

セキュリティベースラインの実装

あなたの組織におけるミッション及び特有の IT システムに適用するように CIS ベンチマークを調整する作業は次のうちどの2つのプロセスを含むか

スコーピングとテラーリング

特定のシステムまたはソフトウェアパッケージを受けるべきベースラインをコントロールは、どのように設定したらいいか？

保存されているまたは処理されているデータのデータ分類に基づいて選択する

保存中のデータに関して主要な情報セキュリティリスクは何か

データ侵害

データ分類の使用の目的は何か

データの価値を特定する

プロジェクトが終了し、システムがパージされた後に、再利用のためのシステムをダウングレードすることができる。最高機密に分類されているプロジェクトのシステムを、機密に分類される将来のプロジェクトに再利用する場合、懸念すべきことは何か

サニタイズプロセスのコストが新しい機器のコストを上回る可能性がある

次の懸念事項の中でデータ分類時に判断項目に該当しないものは何か

データ分類に要する費用

次の項目の中で媒体からデータを削除するを手法として最も効果がないものは何か？

消去

転送中のHIPPA文書に適した暗号化技術はどれか？

TLS

患者のX線データを分類するように要請されている。このデータには内部で用いられる患者 ID が関連付けられているが、患者を直接特定する方法はない。会社のデータオーナーはこのデータ漏洩は組織にとって損害の原因となると見ている（ただし、深刻ではない）このデータはどのように分類すべきか？

プライベート(private)

機密データ組織外に電子メールで送信されないようにするため導入できる技術はどれか？

DLP

米国政府のあるデータベースには機密、部外秘、最高機密の各データが格納されているこのデータベースは次のどれに分類すべきか？

最高機密

ビットロッカーと Microsoft 社の暗号化ファイルシステムの両方で用いられる暗号化アルゴリズムは何か？

AES

組織内の Windows PC に関してセキュリティベースラインの選択と実装を指導している。責任をワークステーションについてベースラインの順守と必要に応じた設定の適用を確認する上で最も効果的な方法どれか？

マイクロソフトグループポリシーを使用する

第三者からしばしば提供される一般的なセキュリティ構成の集合を何と言うか？

ベースライン

データを破壊するまでに保持管理される期間について記述しているのは以下のどのタイプのポリシーか？

記録保持

ベンダーがデフォルト設定を SSL から TLSのみに変更するきっかけとなったのはどの攻撃か？

POODEL

バックアップテープが盗難や紛失にあった場合に備えて、セキュリティコントロールを強化できるセキュリティ対策は次のどれか？

AES 256 暗号化を使用する

媒体の消去のために強磁場を使用するのは何という手法か？

消磁

データに対して最終的な責任を負うのは下記のうちどの役割か

データオーナー

EU 市民の個人データの使用の組織がプライバシーシールドフレームワークを遵守しているかを監視する米国政府機関はどれか

商務省

会社が EU 圏内で事業展開し、第三者のデータを取り扱う契約を交わしているとすれば、この分類プロセスを用いてデータの分類および取り扱いを行う際に彼の会社で果たしている役割はどれか

データプロセッサー

コンピューターをサービスから取り外して処分する場合全ての記憶媒体を確実に取り外すもしくは破壊するプロセスを何と言うか

サニタイズ

媒体の再利用のオプションとして機密解除が選択されることが稀なのはなぜか

新しい媒体より費用がかかる、失敗する可能性があるから

組織が様々な分類レベルのデータを扱うワークセッションで独特のスクリーン背景またはデザインを使用するのはなぜか

データまたはシステムの分類レベルを示すため

プライベートデータの保管に利用された媒体のダウングレード（格下げ）作業を依頼されている場合、従うべきプロセスは何か？

組織のパージングプロセスに従い、次にダウングレードしてラベルを付け替える

NIST　SP 800 によれば、システムオーナーが実行しないタスクはどれか

データの適切な使用および保護のためのルールを確立する

ネットワーク通信でセキュアにする最良の方法は何か

TLS

ファイルをワークステーション A からインターネットサービスでリモートサービスに送る時に、最もセキュアに送る方法は何か

データファイル暗号化して送信する

ベースラインのセキュリティコントロールをレビューし、保護する ITシステムに適したコントロールを選択するプロセスは次の用語のうちどれか

スコーピング

データの処理に用いられるシステムがデータに関連してになっている役割は何か

データプロセッサー

米国連邦政府規制で pii とみなされないものは以下のどれか

郵便番号

医療保険の携帯性と責任に関するHIPPAで保護する必要性があるタイプの健康情報は？

PHI

USB メモリに保存されてるデータを強力に保護するためのアルゴリズムは？

AES

GDPR の原則のうち、個人が自分自身に関する個人情報を受け取り、別のデータコントローラーと共有する権利を持つべきであると述べているのはどれか？

データ可搬性

SSD をサニタイズする場合の最良の方法は何か？

分解

ステップ1 において「情報システムのカテゴリー化」の責任を負う役割、ステップ2の移譲先、ステップ3の責任を負うデータ関連の役割をそれぞれ答えなさい

データオーナー、システムオーナー、データ管理者

評価対象のシステムがクレジットカード情報を扱っている場合、PCI　DSS が最初に重要な役割を果たすのはどのステップか

ステップB

主にステップ5の責任をデータセキュリティ関連の役割は次のどれか

データ管理者

データの分類時に考慮する必要性がないのは次のどれか

データ作成のコスト

保存中のデータに通帳用いられる暗号化のタイプは何か？

対称暗号

セキュアな第三者ストレージ施設にテープを送る準備をしている。テープを施設に送る前に行うべき手順は何か？

元の媒体の分類に基づき元の媒体と同様にテープが扱われるようにする

転送中のデータを表していないのは以下のどれか？

ストレージ施設に移動中のバックアップテープ上のデータ

FTPとTelnetが抱えるどのような問題がSFTPとSSHの利用をより良い代替手段としているか

FTPとTelnetはデータを暗号化しない

雇い主はIPsecVPNを使ってネットワークに接続するよう指示した。IPsecVPNは何をもたらすか？

パブリックネットワーク上に暗号化したプライベートネットワークを構築し、あたかも自分が社内ネットワーク上にいるかのようにふるまうことができる

EU内に拠点を構えており、データ処理を第三者に委託している。データのプライバシーを保護し、意図する目的以外に使用されないようにする責任を負うのは誰か？

両方の会社が等しく責任を負う

bcryptを利用するLinuxシステムは、DESに代わるどの暗号化スキームに基づいた手段を用いるか？

Blowfish

EUのGDPRに含まれないものは、どれか？

保存中の情報を暗号化する必要性

電子メールに関して最低限のセキュリティ要件を提供する必要がある。電子メールをセキュアにするためにどのステップを組織に対して推奨すべきか？

機密メールは暗号化し、ラベルを付けるべきである

第三者にHDDを破砕を依頼する前に、HDDをゼロフィルを行う。どのような問題を回避しようとしているか？

第三者の取り扱いミス

新法が審議を通過した。この新法が対象とするデータが盗難にあったり不注意公開されたりすると、会社が大きな財政的損害を被ることになる。これに対して会社がとるべき措置は何か？

データ分類を見直し、それに応じて適切にデータを分類する

電子署名書付きの記録を保持する必要がある。電子署名に保持要件が含まれるのはなぜか？

データの承認者を検証できる

データのセキュリティに関して政府の要件を満たすことが求められる。これらの要件を満たすために、データの分類レベルによってデータを識別するようにする業務を従事している。データに対して何を行っているか？

データのラベル付け

CISSP_test1

CISSP_test1

CISSP_test2

エッグスンシングス · 77問 · 2年前

CISSP_test2

77問 • 2年前

CISSP_test3

CISSP_test3

CISSP_test4

CISSP_test4

CISSP_test5

CISSP_test5

CISSP_test6

エッグスンシングス · 57問 · 2年前

CISSP_test6

57問 • 2年前

CISSP（模擬テスト3）

エッグスンシングス · 30問 · 2年前

CISSP（模擬テスト3）

30問 • 2年前

CISSP本番

CISSP本番

CISS本番2

CISS本番2

Udemy

Udemy

CISSP本番3

CISSP本番3

CISSP本番4

CISSP本番4

CISSP本番5

エッグスンシングス · 14問 · 1年前

CISSP本番5

14問 • 1年前

ISC(Final Assessment )

エッグスンシングス · 40問 · 1年前

ISC(Final Assessment )

40問 • 1年前

CISSP　暗記（PORT）

エッグスンシングス · 85問 · 1年前

CISSP　暗記（PORT）

85問 • 1年前

CISSP(予想問題）

エッグスンシングス · 22問 · 1年前

CISSP(予想問題）

22問 • 1年前

ISC2（ドメイン1）

エッグスンシングス · 42問 · 1年前

ISC2（ドメイン1）

42問 • 1年前

ISC2（ドメイン2）

エッグスンシングス · 25問 · 1年前

ISC2（ドメイン2）

25問 • 1年前

ISC2（ドメイン3）

エッグスンシングス · 69問 · 1年前

ISC2（ドメイン3）

69問 • 1年前

ISC2（ドメイン4）

エッグスンシングス · 26問 · 1年前

ISC2（ドメイン4）

26問 • 1年前