暗記メーカー

暗記メーカー

ログイン

ドメイン3_①

ドメイン3_①
100問 • 2年前
  • 麻生元気
    • 通報

    問題一覧

  • 1

    1.資産の分類を実施するに当たり、最も重要な前提条件となるのは次のうちどれか?

    B.影響度アセスメント

  • 2

    2.インターネットで転送される情報を機密のまま扱うことを最も良く確保するのは、次のうちどれか?

    A.仮想専用ネットワーク(VPN)

  • 3

    3.ウイルス検出ソフトウェアの有効性は、何に最も依存するか?

    D.定義ファイル

  • 4

    4.最も費用対効果の高いアクセス・コントロールは、次のうちどれか?

    B.役割ベース

  • 5

    5.アクセス権をアプリケーションデータに適用する責任は、誰が負うべきか?

    D.セキュリティ管理者

  • 6

    6.侵入検知システムを設計する際、情報セキュリティマネージャーはどこにそのシステムを設置することを推奨すべきか?

    C.スクリーンド・サブネット上

  • 7

    7.インターネットおよび同じ非武装地帯(DMZ)に直接接続する2つの個別のファイヤウォールを事業体が導入する最適な理由は:

    C.トラフィックの負荷分散を可能にするため

  • 8

    8.事業体の情報セキュリティ標準を設計する際、情報セキュリティマネージャーはエクストラネットサーバをどこに設置するよう求めるべきか?

    C.スクリーンド・サブネット上

  • 9

    9.セキュリティ意識向上トレーニングの有効性を評価するための最良の評価指標は、次のうちどれか?

    B.報告されたインシデントの数

  • 10

    10.情報資産の適切な保護レベルの判定に最も役立つ要因は、次のうちどれか?

    D.資産によってサポートされるビジネス機能の重要度

  • 11

    11.侵入検知機構の有効性を評価するための最良の評価指標は、次のうちどれか?

    C.フォルス・ポジティブとフォルス・ネガティブとの比率

  • 12

    12.既存の本番稼働システムに弱点が導入されるのを予防するに当たり、最も効果的なのは、次のうちどれか?

    B.変更管理

  • 13

    13.OSでセキュリティの弱点を予防するのに最も効果的なのは、次のうちどれか?

    A.パッチ管理

  • 14

    14.内部ユーザによる機密・秘密情報の改竄を防止するのに最も効果的な方法は、次のうちどれか?

    C.役割ベースのアクセス・コントロール

  • 15

    15.インターネットで転送される情報が真性で、名前付きの送信者によって実際に転送されることを確実にするために一般的に使用されるのは、次のうちどれか?

    D.埋め込み電子署名

  • 16

    16.本番稼働サーバでウイルス対策ソフトのウイルス対策シグネチャファイルを更新する際、最も適切な頻度は次のうちどれか?

    A.毎日

  • 17

    17.非武装地帯(DMZ)には、次のうちどのデバイスを設置すべきか?

    B.Webサーバ

  • 18

    18.ファイヤウォールはどこに設置すべきか?

    D.ドメイン境界上

  • 19

    19.一般的に、イントラネットサーバはどこに設置すべきか?

    A.内部ネットワーク上

  • 20

    20.モバイルユーザによる機密イントラネットアプリケーションに対するアクセス・コントロールは、どのようにして最も適切に導入できるか?

    D.二要素認証

  • 21

    21.コントロールポリシーは、次のどの導入要件に対処する可能性が最も高いか?

    D.障害モード

  • 22

    22.OSで新しく特定されたセキュリティの弱点が適切に軽減されることを確実にするのは、次のうちどれか?

    A.パッチ管理

  • 23

    23.自動パスワード同期を導入する主な利点は何か?

    A.管理面の全体の仕事量を減らす。

  • 24

    24.攻撃者がアプリケーションデータベースにアクセスすることを許す脆弱性のうち、最も深刻なのは、次のうちどれか?

    A.データの入力ページで検証チェックが行われない。

  • 25

    25.セキュリティコントロールの導入と運用のコストが超過してはならないのは:

    C.資産価値

  • 26

    26.定期的にコントロールをテストする最も重要な理由は何か?

    C.目標が達成されることを確実にするため

  • 27

    27.事業体の外部ユーザが企業データベースで機密情報を改竄することを予防する上で、最も効果的なソリューションは、次のうちどれか?

    A.スクリーンド・サブネット

  • 28

    28.インターネットで企業の内部ネットワークへ接続しているユーザが、許可されたユーザになりすましている侵入者ではないことを裏付ける技術は、次のうちどれか?

    C.二要素認証

  • 29

    29.本番稼働サーバでOSパッチを更新する適切な頻度はどれくらいか?

    D.重要なセキュリティパッチが配信される都度

  • 30

    30.Eコマースアプリケーションの顧客の安全な使用を最良に実現するのは次のうちどれか?

    A.データ暗号化

  • 31

    31.SQLインジェクション攻撃に対する最良の防御は何か?

    D.入力欄での厳格なコントロール

  • 32

    32.侵入検知システムを導入する際に最も重要な考慮事項は、次のうちどれか?

    A.チューニング

  • 33

    33.リスク管理プロセスのアウトプットがインプットになるのは:

    C.セキュリティポリシーに関する決定

  • 34

    34.事業体が主に倫理トレーニングを実施するのは、何に携わる従業員に指導を提供するためか?

    A.ユーザ活動の監視

  • 35

    35.事業体全体でセキュリティを監視するための製品を評価する際、最も重要な考慮事項は次のうちどれか?

    D.システムのオーバーヘッド

  • 36

    36.企業ネットワーク内でセキュリティエクスポージャをスキャンするためのソフトウェアを使用する際、最も重要なガイドラインは、次のうちどれか?

    D.本番稼働プロセスに割り込まない。

  • 37

    37.社内で開発されたビジネスアプリケーションに加えた変更が、新しいセキュリティエクスポージャを取り入れないことを最も確実にするのは、次のうちどれか?

    C.変更管理

  • 38

    38.遠隔ユーザ向けの仮想専用ネットワーク(VPN)トンネリングの利点は何か?

    A.通信のセキュリティ保護を確実にする。

  • 39

    39.企業ネットワークへの入口として無線ネットワークを保護する上で最も効果的なのは、次のうちどれか?

    B.強力な暗号化

  • 40

    40.フィッシングとして知られる攻撃法を防御する上で最も効果的なのは、次のうちどれか?

    C.セキュリティ意識向上トレーニング

  • 41

    41.複数のシステムとプラットフォームにまたがりパスワードを同期するために新しくインストールされたシステムが警告なしで異常終了するとき、最初に自動で起きるべきことは次のうちどれか?

    C.アクセス・コントロールは、非同期モードにフォールバックすべきである。

  • 42

    42.情報リソース保護の適切なレベルの判定に最も役立つのは、次のうちどれか?

    C.資産の分類

  • 43

    43.外部委託先のサービスプロバイダは、顧客の機密情報を取り扱わなければならない。  情報セキュリティマネージャーが知っておくべき最も重要なことは、次のうちどれか?

    A.機密データの保存と送信におけるセキュリティ

  • 44

    44.情報セキュリティの観点からは、既に事業の主要目的をサポートしていない情報は:

    A.保存ポリシーに従って分析すべきである。

  • 45

    45.新しい電子メールシステムを展開するプロセスにおいて、情報セキュリティマネージャーは、転送中のメッセージの機密性を確保したいと考えている。新しい電子メールシステムの導入において、データの機密性を確保するための最も適切な方法は、次のうちどれか?

    A.暗号化

  • 46

    46.新たな技術により企業の標準が変更されるとき、影響を与える可能性が最も高いのは、次のうちどれか?

    D.システムセキュリティベースライン

  • 47

    47.効果的なITセキュリティ意識向上プログラムを設計するための最も重要な成功要因は、次のうちどれか?

    A.対象者に向けた内容のカスタマイズ

  • 48

    48.2つのホスト間の中間者攻撃を完全に防止する実践手法は、次のうちどれか?

    B.IPsecv6VPNを介して接続する。

  • 49

    49.B2C(Business-to-Customer)財務Webアプリケーションにおいて、伝送の機密性を確保するための最良の共通プロトコルは何か?

    A.セキュアソケットレイヤー(SSL)

  • 50

    50.公開鍵基盤向けに認証局が必要なのは:

    C.ユーザが相互の認証を証明する場合以外

  • 51

    51.ユーザがセキュアソケットレイヤー(SSL)を介してWebサーバを認証するためのクライアントサイド電子証明書を採用する場合、最も脆弱性が高いのは次のうちどれか?

    D.トロイの木馬

  • 52

    52.執行委員会に提出する情報セキュリティ四半期レポートに記載する際、最も関連性が高い評価指標は次のうちどれか?

    A.セキュリティに準拠しているサーバの傾向レポート

  • 53

    53.情報セキュリティベースラインの策定が重要なのは、なぜか?セキュリティベースラインは、次の定義に役立つためである:

    C.導入が必要で受容可能な最小限のセキュリティ

  • 54

    54.認められたユーザの登録プロセスで最も弱い点(Weakestlink)は、次のうちどれか?

    B.登録局の秘密鍵

  • 55

    55.ある金融系の大企業の施設部門は、物理アクセスの管理に電子式スワイプカードを使用している。  情報セキュリティマネージャーから施設部門に対し、物理アクセスデータへの読み取り専用アクセス権を提供する要請があった。  最も可能性が高い目的は何か?

    C.論理的アクセスと物理的アクセスを比較して異常がないか確認する

  • 56

    56.事業体で情報セキュリティ目標の整合性を最も良く改善するために、最高情報セキュリティ責任者がすべきことは:

    B.ビジネスバランススコアカードを評価する。

  • 57

    57.情報資産の価値が分かっていると仮定して、情報セキュリティマネージャーは情報セキュリティプログラムが価値を提供していることを判断するための最も客観的な根拠となるのは次のうちどれか?

    B.コントロール目標達成に要するコスト

  • 58

    58.多数のユーザに暗号化キーを提供する目的で、公開鍵暗号を使用することが望ましい第一の理由は:

    B.対称鍵を使用するよりもスケーリングの間題が少ないから

  • 59

    59.ある事業体が情報セキュリティプログラムを導入しようとしている。  導入のどのフェーズで、長期的なプログラムの有効性を査定するための評価指標を確立するべきであるか?

    C.設計

  • 60

    60.外部委託先のサービスプロバイダが事業体の情報セキュリティポリシーを遵守することを確実にする最も効果的な方法は:

    C.定期的な監査

  • 61

    61.情報セキュリティマネージャーが、会社のシステムへの不正な外部からの接続に対してネットワークを保護するために導入すべきものは、次のうちどれか?

    A.強力な認証

  • 62

    62.機密性の高いデータベースをセグメント化した結果、どうなるか?

    D.エクスポージャが低減される。

  • 63

    63.情報セキュリティプログラムのビジネスニーズの原動力を判定することは必要不可欠である。原動力の判定が重要である作業は:

    A.評価指標の開発に必要な基準を確立する。

  • 64

    64.ある事業体では、ベンダーから提供された重要なアプリケーションを使用しているが、パスワードの最大文字数が組織のセキュリティ標準に準拠していない。弱点の軽減に最も役立つアプローチは、次のうちどれか?

    D.補完的コントロールを導入する。

  • 65

    65.情報セキュリティ目標を定義するべきである最も重要な理由は、次のうちどれか?

    A.有効性を測定するツールのため

  • 66

    66.モバイルのユニバーサルシリアルバス(USB)でデータを保護するための最良のポリシーは何か?

    B.暗号化

  • 67

    67.事業体の人事部門に情報セキュリティについての話をする際に、情報セキュリティマネージャーは、何に焦点を当てるべきか?

    D.従業員のためのセキュリティ意識向上トレーニング

  • 68

    68.事業体全体でセキュリティ意識向上プログラムを実施する最も重要な理由は何か?

    A.人的リスクを軽減するため

  • 69

    69.ある資産に破壊的な出来事が起こる可能性は極めて低いが、財務に与える影響は極めて高いリスクシナリオにおいて、最良のリスク対応は何か?

    D.リスクを第三者へ移転する。

  • 70

    70.高度なセキュリティのデータセンターを保護する生体認証アクセス・コントロール・システムに望ましい感度の設定は何か?

    A.高い本人拒否率(FRR)

  • 71

    71.資産の分類レベルは、次のうちどれを第一の基準にしなければならないか?

    A.重要度と機密度

  • 72

    72.契約書の情報セキュリティレビューを行う最も重要な理由は、次のうちどれか?

    C.適切なコントロールが契約に含まれていることを確実にするため

  • 73

    73.仮想専用ネットワーク経由で会社のネットワークにアクセスするために、情報セキュリティマネージャーは強力な認証を必要としている。  ネットワークへのログインのセキュリティ保護を確保する最も強力な方法は、次のうちどれか?

    D.二要素認証

  • 74

    74.情報セキュリティマネージャーは、成熟した事業体ではリスクマネジメントが一貫していないため、全体的な保護に弱点が生じていると判断した。  情報セキュリティマネージャーの最も適切な初期対応は:

    B.標準の遵守をレビューする。

  • 75

    75.モバイルコンピューティングデバイスに保存されたデータを保護するための最も効果的なセキュリティ手段は、次のうちどれか?

    B.保存されたデータの暗号化

  • 76

    76.リスク対応オプションのレビューを実施するとき、考慮すべき最も重要な利点は:

    D.コントロール目標の達成

  • 77

    77.ある事業体では、自社の非武装地帯(DMZ)に侵入防御を導入するつもりである。  侵入防御システム(IPS)がDMZへのすべてのトラフィックを監視できることを確実にするために必要なステップは、次のうちどれか?

    C.すべての暗号化トラフィックが、IPSによって処理される前に解読されるようにする。

  • 78

    78.ファイル内のデータが変更されていないことを保証するのは、次のうちどの方法か?

    D.ファイルのハッシュを作成し、そのファイルハッシュを比較する

  • 79

    79.セキュリティ保護された無線ネットワークを実装する際、最も安全な機構は、次のうちどれか?

    B.WPAプロトコルを使用する。

  • 80

    80.SQLインジェクション攻撃を止める可能性があるデバイスは、次のうちどれか?

    A.侵入防御システム

  • 81

    81.最も否認防止を確実にするものは、次のうちどれか?

    D.電子署名

  • 82

    82.セキュリティポリシーを導入する前の最も重要なステップは、次のうちどれか?

    D.利害関係者の承諾を得る

  • 83

    83.事業体のセキュリティ意識向上プログラムは、次のどれに焦点を絞るべきか?

    C.従業員の職務責任における推奨行為および禁止行為の伝達

  • 84

    84.効果的なフィッシング攻撃に対する最大の防御は:

    D.エンドユーザの意識向上

  • 85

    85.グローバル事業体向けに標準意識向上トレーニングプログラムを開発する際、最大の課題となるのは次のうちどれか?

    C.多種多様な文化(エンドユーザによって大きく異なる技術能力)

  • 86

    86.外部委託の際、サードパーティ・サービス・プロバイダが事業体のセキュリティポリシーを遵守することを確実にするためには、次のどれを行うべきか?

    B.定期的なセキュリティ監査

  • 87

    87.完全性に最も適切に対処するコントロールの措置は、次のうちどれか?

    A.否認防止

  • 88

    88.可用性に対処するセキュリティコントロールは、次のうちどれか?

    D.コンティンジェンシー・プラン(緊急時対応計画)

  • 89

    89.各プラットフォームのセキュリティ設定が、情報セキュリティポリシーおよび手順に準拠することを確実にするための最良の方法は、次のうちどれか?

    B.セキュリティベースラインを確立する。

  • 90

    90.Webベースのビジネスアプリケーションをテスト環境から本番稼働環境に移行しようとしている。  この移行に関して、最も重要な経営者承認は次のどれか?

    A.ユーザ

  • 91

    91.情報セキュリティポリシーの遵守を確実にするための最良の方法は、次のうちどれか?

    B.定期的にコンプライアンスのレビューを行う。

  • 92

    92.コントロール策定の優先順位付けで考慮すべき最も重要な要因は:

    D.発生率と影響

  • 93

    93.パスワードをリセットさせるために、許可されていないユーザが許可されたユーザを装ってコンピューティングリソースへのアクセス権を取得する確率を下げる可能性が最も高いのは、次のどれか?

    B.セキュリティ意識向上プログラムを実施する

  • 94

    94.ITシステムのコントロールベースラインを正確に判定する最も直接的な方法は、次のどの活動を実施することか?

    A.標準とシステムコンプライアンスをレビューする。

  • 95

    95.外部のサービスプロバイダが組織のセキュリティポリシーに準拠することを確実にするための最良の方法は、次のうちどれか?

    D.サービスプロバイダの定期的なレビューを実施する。

  • 96

    96.電子メールを介して緊急セキュリティパッチを受け取った場合、どんな実践手法を最初に適用すべきか?パッチは:

    C.真正性を確認するために検証するべきである。

  • 97

    97.適切なコントロールが適用された環境で、セキュリティソフトウェアに弱点を導入することに繋がる可能性が最も高い活動は、次のうちどれか?

    B.アクセスルールの変更

  • 98

    98.セキュリティ意識向上トレーニングが効果的に実行されていることを最も的確に示すのは、次のうちどれか?

    B.インシデントの報告数が増える。

  • 99

    99.インシデントのログを本番稼働データベースサーバに保存する際、最大のセキュリティ上の懸念事項は、次のうちどれか?

    B.データベース管理者がログ情報を改竄する恐れがある。

  • 100

    100.コントロールポリシーが導入される仕組みを決定するとき、最も重要な考慮事項は:

    B.従業員の安全

    • ドメイン1_①

    ドメイン1_①

    麻生元気 · 100問 · 2年前

    ドメイン1_①

    ドメイン1_①

    100問 • 2年前
    麻生元気

    ドメイン1_②

    ドメイン1_②

    麻生元気 · 75問 · 2年前

    ドメイン1_②

    ドメイン1_②

    75問 • 2年前
    麻生元気

    ドメイン2_①

    ドメイン2_①

    麻生元気 · 100問 · 2年前

    ドメイン2_①

    ドメイン2_①

    100問 • 2年前
    麻生元気

    ドメイン2_②

    ドメイン2_②

    麻生元気 · 100問 · 2年前

    ドメイン2_②

    ドメイン2_②

    100問 • 2年前
    麻生元気

    ドメイン2_③

    ドメイン2_③

    麻生元気 · 10問 · 2年前

    ドメイン2_③

    ドメイン2_③

    10問 • 2年前
    麻生元気

    ドメイン3_②

    ドメイン3_②

    麻生元気 · 100問 · 2年前

    ドメイン3_②

    ドメイン3_②

    100問 • 2年前
    麻生元気

    ドメイン3_③

    ドメイン3_③

    麻生元気 · 100問 · 2年前

    ドメイン3_③

    ドメイン3_③

    100問 • 2年前
    麻生元気

    ドメイン3_④

    ドメイン3_④

    麻生元気 · 85問 · 2年前

    ドメイン3_④

    ドメイン3_④

    85問 • 2年前
    麻生元気

    ドメイン1

    ドメイン1

    麻生元気 · 100問 · 2年前

    ドメイン1

    ドメイン1

    100問 • 2年前
    麻生元気

    ドメイン2

    ドメイン2

    麻生元気 · 100問 · 2年前

    ドメイン2

    ドメイン2

    100問 • 2年前
    麻生元気

    ドメイン3

    ドメイン3

    麻生元気 · 100問 · 2年前

    ドメイン3

    ドメイン3

    100問 • 2年前
    麻生元気

    ドメイン4

    ドメイン4

    麻生元気 · 100問 · 2年前

    ドメイン4

    ドメイン4

    100問 • 2年前
    麻生元気

    ドメイン5

    ドメイン5

    麻生元気 · 100問 · 2年前

    ドメイン5

    ドメイン5

    100問 • 2年前
    麻生元気

    ドメイン6

    ドメイン6

    麻生元気 · 100問 · 2年前

    ドメイン6

    ドメイン6

    100問 • 2年前
    麻生元気

    ドメイン1_③

    ドメイン1_③

    麻生元気 · 34問 · 1年前

    ドメイン1_③

    ドメイン1_③

    34問 • 1年前
    麻生元気

    ドメイン1_⑥

    ドメイン1_⑥

    麻生元気 · 21問 · 1年前

    ドメイン1_⑥

    ドメイン1_⑥

    21問 • 1年前
    麻生元気

    ドメイン1_⑦

    ドメイン1_⑦

    麻生元気 · 20問 · 1年前

    ドメイン1_⑦

    ドメイン1_⑦

    20問 • 1年前
    麻生元気

    ドメイン1_⑩

    ドメイン1_⑩

    麻生元気 · 9問 · 1年前

    ドメイン1_⑩

    ドメイン1_⑩

    9問 • 1年前
    麻生元気

    ドメイン2_③

    ドメイン2_③

    麻生元気 · 24問 · 1年前

    ドメイン2_③

    ドメイン2_③

    24問 • 1年前
    麻生元気

    ドメイン2_④

    ドメイン2_④

    麻生元気 · 28問 · 1年前

    ドメイン2_④

    ドメイン2_④

    28問 • 1年前
    麻生元気

    ドメイン2_⑦

    ドメイン2_⑦

    麻生元気 · 15問 · 1年前

    ドメイン2_⑦

    ドメイン2_⑦

    15問 • 1年前
    麻生元気

    ドメイン2_⑧

    ドメイン2_⑧

    麻生元気 · 42問 · 1年前

    ドメイン2_⑧

    ドメイン2_⑧

    42問 • 1年前
    麻生元気

    問題一覧

  • 1

    1.資産の分類を実施するに当たり、最も重要な前提条件となるのは次のうちどれか?

    B.影響度アセスメント

  • 2

    2.インターネットで転送される情報を機密のまま扱うことを最も良く確保するのは、次のうちどれか?

    A.仮想専用ネットワーク(VPN)

  • 3

    3.ウイルス検出ソフトウェアの有効性は、何に最も依存するか?

    D.定義ファイル

  • 4

    4.最も費用対効果の高いアクセス・コントロールは、次のうちどれか?

    B.役割ベース

  • 5

    5.アクセス権をアプリケーションデータに適用する責任は、誰が負うべきか?

    D.セキュリティ管理者

  • 6

    6.侵入検知システムを設計する際、情報セキュリティマネージャーはどこにそのシステムを設置することを推奨すべきか?

    C.スクリーンド・サブネット上

  • 7

    7.インターネットおよび同じ非武装地帯(DMZ)に直接接続する2つの個別のファイヤウォールを事業体が導入する最適な理由は:

    C.トラフィックの負荷分散を可能にするため

  • 8

    8.事業体の情報セキュリティ標準を設計する際、情報セキュリティマネージャーはエクストラネットサーバをどこに設置するよう求めるべきか?

    C.スクリーンド・サブネット上

  • 9

    9.セキュリティ意識向上トレーニングの有効性を評価するための最良の評価指標は、次のうちどれか?

    B.報告されたインシデントの数

  • 10

    10.情報資産の適切な保護レベルの判定に最も役立つ要因は、次のうちどれか?

    D.資産によってサポートされるビジネス機能の重要度

  • 11

    11.侵入検知機構の有効性を評価するための最良の評価指標は、次のうちどれか?

    C.フォルス・ポジティブとフォルス・ネガティブとの比率

  • 12

    12.既存の本番稼働システムに弱点が導入されるのを予防するに当たり、最も効果的なのは、次のうちどれか?

    B.変更管理

  • 13

    13.OSでセキュリティの弱点を予防するのに最も効果的なのは、次のうちどれか?

    A.パッチ管理

  • 14

    14.内部ユーザによる機密・秘密情報の改竄を防止するのに最も効果的な方法は、次のうちどれか?

    C.役割ベースのアクセス・コントロール

  • 15

    15.インターネットで転送される情報が真性で、名前付きの送信者によって実際に転送されることを確実にするために一般的に使用されるのは、次のうちどれか?

    D.埋め込み電子署名

  • 16

    16.本番稼働サーバでウイルス対策ソフトのウイルス対策シグネチャファイルを更新する際、最も適切な頻度は次のうちどれか?

    A.毎日

  • 17

    17.非武装地帯(DMZ)には、次のうちどのデバイスを設置すべきか?

    B.Webサーバ

  • 18

    18.ファイヤウォールはどこに設置すべきか?

    D.ドメイン境界上

  • 19

    19.一般的に、イントラネットサーバはどこに設置すべきか?

    A.内部ネットワーク上

  • 20

    20.モバイルユーザによる機密イントラネットアプリケーションに対するアクセス・コントロールは、どのようにして最も適切に導入できるか?

    D.二要素認証

  • 21

    21.コントロールポリシーは、次のどの導入要件に対処する可能性が最も高いか?

    D.障害モード

  • 22

    22.OSで新しく特定されたセキュリティの弱点が適切に軽減されることを確実にするのは、次のうちどれか?

    A.パッチ管理

  • 23

    23.自動パスワード同期を導入する主な利点は何か?

    A.管理面の全体の仕事量を減らす。

  • 24

    24.攻撃者がアプリケーションデータベースにアクセスすることを許す脆弱性のうち、最も深刻なのは、次のうちどれか?

    A.データの入力ページで検証チェックが行われない。

  • 25

    25.セキュリティコントロールの導入と運用のコストが超過してはならないのは:

    C.資産価値

  • 26

    26.定期的にコントロールをテストする最も重要な理由は何か?

    C.目標が達成されることを確実にするため

  • 27

    27.事業体の外部ユーザが企業データベースで機密情報を改竄することを予防する上で、最も効果的なソリューションは、次のうちどれか?

    A.スクリーンド・サブネット

  • 28

    28.インターネットで企業の内部ネットワークへ接続しているユーザが、許可されたユーザになりすましている侵入者ではないことを裏付ける技術は、次のうちどれか?

    C.二要素認証

  • 29

    29.本番稼働サーバでOSパッチを更新する適切な頻度はどれくらいか?

    D.重要なセキュリティパッチが配信される都度

  • 30

    30.Eコマースアプリケーションの顧客の安全な使用を最良に実現するのは次のうちどれか?

    A.データ暗号化

  • 31

    31.SQLインジェクション攻撃に対する最良の防御は何か?

    D.入力欄での厳格なコントロール

  • 32

    32.侵入検知システムを導入する際に最も重要な考慮事項は、次のうちどれか?

    A.チューニング

  • 33

    33.リスク管理プロセスのアウトプットがインプットになるのは:

    C.セキュリティポリシーに関する決定

  • 34

    34.事業体が主に倫理トレーニングを実施するのは、何に携わる従業員に指導を提供するためか?

    A.ユーザ活動の監視

  • 35

    35.事業体全体でセキュリティを監視するための製品を評価する際、最も重要な考慮事項は次のうちどれか?

    D.システムのオーバーヘッド

  • 36

    36.企業ネットワーク内でセキュリティエクスポージャをスキャンするためのソフトウェアを使用する際、最も重要なガイドラインは、次のうちどれか?

    D.本番稼働プロセスに割り込まない。

  • 37

    37.社内で開発されたビジネスアプリケーションに加えた変更が、新しいセキュリティエクスポージャを取り入れないことを最も確実にするのは、次のうちどれか?

    C.変更管理

  • 38

    38.遠隔ユーザ向けの仮想専用ネットワーク(VPN)トンネリングの利点は何か?

    A.通信のセキュリティ保護を確実にする。

  • 39

    39.企業ネットワークへの入口として無線ネットワークを保護する上で最も効果的なのは、次のうちどれか?

    B.強力な暗号化

  • 40

    40.フィッシングとして知られる攻撃法を防御する上で最も効果的なのは、次のうちどれか?

    C.セキュリティ意識向上トレーニング

  • 41

    41.複数のシステムとプラットフォームにまたがりパスワードを同期するために新しくインストールされたシステムが警告なしで異常終了するとき、最初に自動で起きるべきことは次のうちどれか?

    C.アクセス・コントロールは、非同期モードにフォールバックすべきである。

  • 42

    42.情報リソース保護の適切なレベルの判定に最も役立つのは、次のうちどれか?

    C.資産の分類

  • 43

    43.外部委託先のサービスプロバイダは、顧客の機密情報を取り扱わなければならない。  情報セキュリティマネージャーが知っておくべき最も重要なことは、次のうちどれか?

    A.機密データの保存と送信におけるセキュリティ

  • 44

    44.情報セキュリティの観点からは、既に事業の主要目的をサポートしていない情報は:

    A.保存ポリシーに従って分析すべきである。

  • 45

    45.新しい電子メールシステムを展開するプロセスにおいて、情報セキュリティマネージャーは、転送中のメッセージの機密性を確保したいと考えている。新しい電子メールシステムの導入において、データの機密性を確保するための最も適切な方法は、次のうちどれか?

    A.暗号化

  • 46

    46.新たな技術により企業の標準が変更されるとき、影響を与える可能性が最も高いのは、次のうちどれか?

    D.システムセキュリティベースライン

  • 47

    47.効果的なITセキュリティ意識向上プログラムを設計するための最も重要な成功要因は、次のうちどれか?

    A.対象者に向けた内容のカスタマイズ

  • 48

    48.2つのホスト間の中間者攻撃を完全に防止する実践手法は、次のうちどれか?

    B.IPsecv6VPNを介して接続する。

  • 49

    49.B2C(Business-to-Customer)財務Webアプリケーションにおいて、伝送の機密性を確保するための最良の共通プロトコルは何か?

    A.セキュアソケットレイヤー(SSL)

  • 50

    50.公開鍵基盤向けに認証局が必要なのは:

    C.ユーザが相互の認証を証明する場合以外

  • 51

    51.ユーザがセキュアソケットレイヤー(SSL)を介してWebサーバを認証するためのクライアントサイド電子証明書を採用する場合、最も脆弱性が高いのは次のうちどれか?

    D.トロイの木馬

  • 52

    52.執行委員会に提出する情報セキュリティ四半期レポートに記載する際、最も関連性が高い評価指標は次のうちどれか?

    A.セキュリティに準拠しているサーバの傾向レポート

  • 53

    53.情報セキュリティベースラインの策定が重要なのは、なぜか?セキュリティベースラインは、次の定義に役立つためである:

    C.導入が必要で受容可能な最小限のセキュリティ

  • 54

    54.認められたユーザの登録プロセスで最も弱い点(Weakestlink)は、次のうちどれか?

    B.登録局の秘密鍵

  • 55

    55.ある金融系の大企業の施設部門は、物理アクセスの管理に電子式スワイプカードを使用している。  情報セキュリティマネージャーから施設部門に対し、物理アクセスデータへの読み取り専用アクセス権を提供する要請があった。  最も可能性が高い目的は何か?

    C.論理的アクセスと物理的アクセスを比較して異常がないか確認する

  • 56

    56.事業体で情報セキュリティ目標の整合性を最も良く改善するために、最高情報セキュリティ責任者がすべきことは:

    B.ビジネスバランススコアカードを評価する。

  • 57

    57.情報資産の価値が分かっていると仮定して、情報セキュリティマネージャーは情報セキュリティプログラムが価値を提供していることを判断するための最も客観的な根拠となるのは次のうちどれか?

    B.コントロール目標達成に要するコスト

  • 58

    58.多数のユーザに暗号化キーを提供する目的で、公開鍵暗号を使用することが望ましい第一の理由は:

    B.対称鍵を使用するよりもスケーリングの間題が少ないから

  • 59

    59.ある事業体が情報セキュリティプログラムを導入しようとしている。  導入のどのフェーズで、長期的なプログラムの有効性を査定するための評価指標を確立するべきであるか?

    C.設計

  • 60

    60.外部委託先のサービスプロバイダが事業体の情報セキュリティポリシーを遵守することを確実にする最も効果的な方法は:

    C.定期的な監査

  • 61

    61.情報セキュリティマネージャーが、会社のシステムへの不正な外部からの接続に対してネットワークを保護するために導入すべきものは、次のうちどれか?

    A.強力な認証

  • 62

    62.機密性の高いデータベースをセグメント化した結果、どうなるか?

    D.エクスポージャが低減される。

  • 63

    63.情報セキュリティプログラムのビジネスニーズの原動力を判定することは必要不可欠である。原動力の判定が重要である作業は:

    A.評価指標の開発に必要な基準を確立する。

  • 64

    64.ある事業体では、ベンダーから提供された重要なアプリケーションを使用しているが、パスワードの最大文字数が組織のセキュリティ標準に準拠していない。弱点の軽減に最も役立つアプローチは、次のうちどれか?

    D.補完的コントロールを導入する。

  • 65

    65.情報セキュリティ目標を定義するべきである最も重要な理由は、次のうちどれか?

    A.有効性を測定するツールのため

  • 66

    66.モバイルのユニバーサルシリアルバス(USB)でデータを保護するための最良のポリシーは何か?

    B.暗号化

  • 67

    67.事業体の人事部門に情報セキュリティについての話をする際に、情報セキュリティマネージャーは、何に焦点を当てるべきか?

    D.従業員のためのセキュリティ意識向上トレーニング

  • 68

    68.事業体全体でセキュリティ意識向上プログラムを実施する最も重要な理由は何か?

    A.人的リスクを軽減するため

  • 69

    69.ある資産に破壊的な出来事が起こる可能性は極めて低いが、財務に与える影響は極めて高いリスクシナリオにおいて、最良のリスク対応は何か?

    D.リスクを第三者へ移転する。

  • 70

    70.高度なセキュリティのデータセンターを保護する生体認証アクセス・コントロール・システムに望ましい感度の設定は何か?

    A.高い本人拒否率(FRR)

  • 71

    71.資産の分類レベルは、次のうちどれを第一の基準にしなければならないか?

    A.重要度と機密度

  • 72

    72.契約書の情報セキュリティレビューを行う最も重要な理由は、次のうちどれか?

    C.適切なコントロールが契約に含まれていることを確実にするため

  • 73

    73.仮想専用ネットワーク経由で会社のネットワークにアクセスするために、情報セキュリティマネージャーは強力な認証を必要としている。  ネットワークへのログインのセキュリティ保護を確保する最も強力な方法は、次のうちどれか?

    D.二要素認証

  • 74

    74.情報セキュリティマネージャーは、成熟した事業体ではリスクマネジメントが一貫していないため、全体的な保護に弱点が生じていると判断した。  情報セキュリティマネージャーの最も適切な初期対応は:

    B.標準の遵守をレビューする。

  • 75

    75.モバイルコンピューティングデバイスに保存されたデータを保護するための最も効果的なセキュリティ手段は、次のうちどれか?

    B.保存されたデータの暗号化

  • 76

    76.リスク対応オプションのレビューを実施するとき、考慮すべき最も重要な利点は:

    D.コントロール目標の達成

  • 77

    77.ある事業体では、自社の非武装地帯(DMZ)に侵入防御を導入するつもりである。  侵入防御システム(IPS)がDMZへのすべてのトラフィックを監視できることを確実にするために必要なステップは、次のうちどれか?

    C.すべての暗号化トラフィックが、IPSによって処理される前に解読されるようにする。

  • 78

    78.ファイル内のデータが変更されていないことを保証するのは、次のうちどの方法か?

    D.ファイルのハッシュを作成し、そのファイルハッシュを比較する

  • 79

    79.セキュリティ保護された無線ネットワークを実装する際、最も安全な機構は、次のうちどれか?

    B.WPAプロトコルを使用する。

  • 80

    80.SQLインジェクション攻撃を止める可能性があるデバイスは、次のうちどれか?

    A.侵入防御システム

  • 81

    81.最も否認防止を確実にするものは、次のうちどれか?

    D.電子署名

  • 82

    82.セキュリティポリシーを導入する前の最も重要なステップは、次のうちどれか?

    D.利害関係者の承諾を得る

  • 83

    83.事業体のセキュリティ意識向上プログラムは、次のどれに焦点を絞るべきか?

    C.従業員の職務責任における推奨行為および禁止行為の伝達

  • 84

    84.効果的なフィッシング攻撃に対する最大の防御は:

    D.エンドユーザの意識向上

  • 85

    85.グローバル事業体向けに標準意識向上トレーニングプログラムを開発する際、最大の課題となるのは次のうちどれか?

    C.多種多様な文化(エンドユーザによって大きく異なる技術能力)

  • 86

    86.外部委託の際、サードパーティ・サービス・プロバイダが事業体のセキュリティポリシーを遵守することを確実にするためには、次のどれを行うべきか?

    B.定期的なセキュリティ監査

  • 87

    87.完全性に最も適切に対処するコントロールの措置は、次のうちどれか?

    A.否認防止

  • 88

    88.可用性に対処するセキュリティコントロールは、次のうちどれか?

    D.コンティンジェンシー・プラン(緊急時対応計画)

  • 89

    89.各プラットフォームのセキュリティ設定が、情報セキュリティポリシーおよび手順に準拠することを確実にするための最良の方法は、次のうちどれか?

    B.セキュリティベースラインを確立する。

  • 90

    90.Webベースのビジネスアプリケーションをテスト環境から本番稼働環境に移行しようとしている。  この移行に関して、最も重要な経営者承認は次のどれか?

    A.ユーザ

  • 91

    91.情報セキュリティポリシーの遵守を確実にするための最良の方法は、次のうちどれか?

    B.定期的にコンプライアンスのレビューを行う。

  • 92

    92.コントロール策定の優先順位付けで考慮すべき最も重要な要因は:

    D.発生率と影響

  • 93

    93.パスワードをリセットさせるために、許可されていないユーザが許可されたユーザを装ってコンピューティングリソースへのアクセス権を取得する確率を下げる可能性が最も高いのは、次のどれか?

    B.セキュリティ意識向上プログラムを実施する

  • 94

    94.ITシステムのコントロールベースラインを正確に判定する最も直接的な方法は、次のどの活動を実施することか?

    A.標準とシステムコンプライアンスをレビューする。

  • 95

    95.外部のサービスプロバイダが組織のセキュリティポリシーに準拠することを確実にするための最良の方法は、次のうちどれか?

    D.サービスプロバイダの定期的なレビューを実施する。

  • 96

    96.電子メールを介して緊急セキュリティパッチを受け取った場合、どんな実践手法を最初に適用すべきか?パッチは:

    C.真正性を確認するために検証するべきである。

  • 97

    97.適切なコントロールが適用された環境で、セキュリティソフトウェアに弱点を導入することに繋がる可能性が最も高い活動は、次のうちどれか?

    B.アクセスルールの変更

  • 98

    98.セキュリティ意識向上トレーニングが効果的に実行されていることを最も的確に示すのは、次のうちどれか?

    B.インシデントの報告数が増える。

  • 99

    99.インシデントのログを本番稼働データベースサーバに保存する際、最大のセキュリティ上の懸念事項は、次のうちどれか?

    B.データベース管理者がログ情報を改竄する恐れがある。

  • 100

    100.コントロールポリシーが導入される仕組みを決定するとき、最も重要な考慮事項は:

    B.従業員の安全