暗記メーカー

暗記メーカー

ログイン
CISSP本番4
100問 • 1年前
  • エッグスンシングス
    • 通報

    問題一覧

  • 1

    市販の既製 (COTS) ソフトウェアには、次のどの追加のセキュリティ上の懸念がありますか?

    COTS ソフトウェアのエクスプロイトは十分に文書化されており、公開されています

  • 2

    新しいサプライヤーのサードパーティリスク評価を実施する場合、セキュリティ、可用性、機密性、プライバシー信頼の原則の運用の有効性を確認するために、次のレポートのどれを確認する必要がありますか?

    サービス組織コントロール (SOC) 2、タイプ 2

  • 3

    中間者 (MITM) ボイス オーバー インターネット プロトコル (VoIP) 攻撃に対する最善の軽減策は次のどれでしょうか?

    トランスポート層セキュリティ (TLS) プロトコルを使用する

  • 4

    最高情報セキュリティ責任者 (CISO) は、ビジネス アプリケーションの可用性について懸念しています。最近、組織はランサムウェア攻撃を受け、その結果、10 営業日にわたってアプリケーションとサービスが利用できなくなり、すべての主要なビジネス プロセスを紙ベースで実行する必要がありました。現在、回復時間目標 (RTO) を強化し、より頻繁なデータ キャプチャに対応する積極的な計画があります。新しいビジネス要件に完全に準拠するには、次のどのソリューションを実装する必要がありますか。

    仮想化

  • 5

    セキュリティ プログラムを実装する場合、最も適切なドキュメントの階層は何ですか?

    組織の原則、方針、標準、ガイドライン

  • 6

    さまざまな無線周波数識別 (RFID) の脆弱性タイプに基づいてセキュリティ テスト方法を選択する際に最も重要な考慮事項は次のどれですか。

    攻撃対象領域の理解

  • 7

    次のどれが Bell-LaPadula モデルの限界でしょうか?

    データ アクセス制御を変更するための規定やポリシーは含まれておらず、本質的に静的なアクセス システムでのみ適切に機能します

  • 8

    次の脆弱性評価活動のうち、評価の「検査」方法を最もよく表すものはどれですか?

    システム監査ログがセキュリティ管理ベースラインに必要なすべての関連データフィールドをキャプチャしていることを確認する

  • 9

    次のどれが、意図した受信者への取引の整合性を最もよく保証しますか?

    ブロックチェーン技

  • 10

    最近、地理的に離れた 2 つのデータ センターにまたがる単一のレイヤー 2 ネットワークが原因不明のイベントによって中断されました。ネットワーク エンジニアは、イベントの根本原因を特定するための支援を求めています。次のどれが最も可能性の高い原因でしょうか。

    ブロードキャストドメインが大きすぎる

  • 11

    ある企業が V モデルからアジャイル開発に移行しています。情報セキュリティ部門は、新しい方法論で安全な設計原則が確実に実装されるようにするにはどうすればよいでしょうか。

    情報セキュリティ要件は必須のユーザーストーリーに取り込まれます。

  • 12

    利益相反を回避しながらシステム、アプリケーション、委託された情報の価値を維持するときに、 (ISC) 倫理規定のどの規範が最も反映されていますか?

    当事者に対して、十分かつ適切なサービスを提供する

  • 13

    セキュリティ監査を実行するには、次のどれが必要ですか?

    監査人の中立性

  • 14

    防衛産業の企業は、政府クライアントの管理非機密情報 (CUI) の暗号化に関する契約上の要件に準拠するように指示されています。保存されているデータを最も効率的かつコスト効率の高い方法で保護する方法を表す暗号化戦略は何ですか?

    仮想化層に暗号化を組み込んだ仮想化ストレージソリューションを使用して、プログラム情報の論理的な分離を実行します。

  • 15

    セキュリティ プログラムの有効性を評価するのに最も適した監査タイプはどれですか?

    評価

  • 16

    セキュリティ担当者は、Web アプリケーションを本番環境に導入する前に、複数の種類のテストを実行して、Web アプリケーションが期待どおりに動作することを確認します。ユーザー名フィールドをテストするために、セキュリティ担当者は、許可されているよりも多くの文字をフィールドに入力するテストを作成します。実行されるテストの種類を最もよく表すのは次のどれですか。

    悪用ケーステスト

  • 17

    ワイド エリア ネットワーク (WAN) が Voice over Internet Protocol (VoIP) などの統合アプリケーションをサポートしている場合、ネットワークの保証にとって次のどれがさらに重要になりますか?

    決定論的ルーティング

  • 18

    異なるクラスの情報を互いに分離し、ユーザーの管轄区域ごとに分離するようにシステムが構築されるのはなぜでしょうか?

    組織は、矛盾する国内法に準拠するためにシステムポリシーを変更できます。

  • 19

    ある組織が、米国電気電子学会 (IEEE) 802.1x を使用してネットワーク アクセス制御 (NAC) を実装したところ、プリンタが IEEE 802.1x 標準をサポートしていないことがわかりました。次のうち、最適な解決策はどれですか。

    プリンター用の仮想ローカルエリアネットワーク (VLAN) を実装します。

  • 20

    米国国立標準技術研究所 (NIST) によると、次の目標のうちどれがリスク管理の現代的な変化を表していますか?

    変化し、進化し、新たな脅威に満ちた運用環境に焦点を当てます

  • 21

    次のセキュリティ ツールのうち、デバイスを監視し、その情報を中央データベースに記録してさらに分析するものはどれですか?

    エンドポイント検出と対応 (EDR)

  • 22

    次の文書のうち、クライアントの観点からサービスを指定しているのはどれですか?

    サービスレベル契約(SLA)

  • 23

    ソフトウェア開発のためのオブジェクト指向プログラミングによって提供される優れた多層防御戦略には、次のどれが含まれるべきでしょうか?

    カプセル化

  • 24

    エンタープライズ データ レイクの管理を任されたデータ スチュワードの主な責任は次のどれですか

    エンタープライズ データ レイク内で収集および保存されるデータの適切なビジネス定義、価値、および使用方法を確保します。

  • 25

    組織の災害復旧 (DR) または事業継続計画 (BCP) のテストを実行する前の最初のステップは何ですか?

    主要な利害関係者を特定する。

  • 26

    侵害調査の結果、オープン ソース コンポーネントを通じて Web サイトが悪用されたことが判明しました。この侵害を防ぐことができたプロセスの最初のステップは何ですか?

    ソフトウェアインベントリ

  • 27

    「Security by Obscurity」の問題に対処するセキュリティ原則は何ですか?

    オープンデザイン

  • 28

    セキュリティ評価を実施する上で最も重要な目標は何ですか?

    未解決のセキュリティ脆弱性を発見し、それを緩和するための方法を提案する

  • 29

    仮想マシン (VM) を保護するために最適な仮想ネットワーク構成オプションは次のどれですか?

    データのセグメンテーション

  • 30

    盗難された企業のモバイル デバイス上のデータの盗難を軽減するのに最も効果的な機能はどれですか。

    デバイスワイプ機能を備えたモバイルデバイス管理(MDM)

  • 31

    ある組織では対称暗号を使用してデータ暗号化を実装していますが、最高情報責任者 (CIO) は、1 つのキーを使用してすべての機密データを保護することのリスクを懸念しています。セキュリティ担当者は、CIO の懸念に対処するソリューションを推奨する任務を負っています。 すべての機密データを暗号化することで目的を達成するための最適なアプローチは次のどれですか。

    暗号化キーの階層を使用します

  • 32

    次のアクセス制御メカニズムのうち、エンコードされたセキュリティ関連のプロパティのセットを使用してサブジェクトとオブジェクトを特徴付けるものはどれですか?

    属性ベースのアクセス制御 (ABAC)

  • 33

    ソフトウェア定義ネットワーク (SDN) で安全な設計原則を実装する場合、どのような依存関係を避ける必要がありますか?

    循環依存関係

  • 34

    メモリ内のバッファ オーバーフロー攻撃に対して最も優れた保護を提供するメカニズムはどれですか?

    アドレス空間レイアウトのランダム化 (ASLR)

  • 35

    アイデンティティフェデレーション内で運営されているオンライン サービス プロバイダーに使用される用語は次のどれですか。

    依拠当事者(RP)

  • 36

    大手金融機関の最高情報セキュリティ責任者 (CISO) は、組織の情報システムの機密性と整合性を保護するためのセキュリティ制御を実装する責任を負っています。以下の制御のうち、最も優先されるものはどれですか。

    転送中のデータと保存中のデータの暗号化

  • 37

    開発されたアプリケーション コードをレビューして、テストおよび検証されていることを確認するのに最適な人物は誰でしょうか?

    アプリケーションに何が期待されているかを知っている開発者ですが、実際にアプリケーションを開発した開発者ではありません。

  • 38

    ある銀行は、取引処理システム (TPS) のデータベース障害により金融預金が遅れ、顧客とのサービス レベル契約 (SLA) を満たすことができませんでした。銀行を監督する規制当局は、遅延の原因が重大な欠陥であったかどうかを判断したいと考えています。次の文書のうち、規制当局が確認すべき最も重要なものはどれですか。

    ビジネス影響分析(BIA)

  • 39

    クラウド サービス プロバイダーがインフラストラクチャ内に保存されている顧客のデータにアクセスしないようにする最も効果的な方法は何ですか?

    組織の暗号化ツールとデータ管理コントロールを使用します。

  • 40

    統計クエリを使用してユーザーが機密データを取得するのを防ぐのに最も役立つのは、次のどの手法を禁止することですか?

    同じ集団を繰り返し参照するクエリのシーケンス

  • 41

    次のどれがフェデレーション ID 管理 (FIM) 実装モデルの主要コンポーネントであり、数十の組織間のネットワークを確立するために使用されますか?

    信頼できる第三者(TTP)

  • 42

    最高情報セキュリティ責任者 (CISO) は、ソース コード レベルでセキュリティの弱点と脆弱性を評価するためのさまざまな提案を検討しています。次の項目のうち、CISO が組織のために賢明な決定を下すために最も役立つものはどれですか。

    共通脆弱性列挙 (CWE)

  • 43

    ハイパーテキスト マークアップ言語 (HTML) Web サイト内のクロスサイト スクリプティング (XSS) の脆弱性を軽減するのに最も効果的な方法はどれですか?

    ブラウザクライアントにHTMLタグを返さない

  • 44

    次のどれが Common Criteria フレームワークのセキュリティ ターゲット (ST) を最も正確に説明していますか?

    製品固有のセキュリティ基準を記載した文書

  • 45

    組織は開発サーバー用の仮想環境の展開を承認し、リソースへのアクセスを制限するための制御を確立しました。仮想環境のセキュリティのベスト プラクティスを実装するには、セキュリティ チームが次の手順のどれを実装する必要がありますか?

    ハイパーバイザー専用の管理ネットワークを実装します。

  • 46

    次のどれがデータ暗号化規格 (DES) の弱点ですか?

    キーの長さが不十分

  • 47

    プロジェクトの納期に間に合わせるために、Web アプリケーション開発者はすぐに利用できるソフトウェア コンポーネントを使用しました。この方法に関連するリスクを軽減する最適な方法はどれですか?

    ソフトウェア コンポーネントと設定の有効性を検証するプロセスを実装します

  • 48

    ライフサイクル全体を通じて情報の適切なガバナンスを確保するには、次のうちどれを最初に割り当てる必要がありますか?

    オーナー

  • 49

    効果的な情報セキュリティ戦略は主に次のどれに基づいていますか?

    リスク管理の実践

  • 50

    攻撃、マルウェア感染、データ盗難の検出と対応に重点を置いたログ収集の種類はどれですか?

    セキュリティ

  • 51

    医療アナリストが保護対象健康情報 (PHI) を外部のマーケティング組織に独自に提供する場合、これはどの倫理原則に違反することになりますか?

    プライバシー規制

  • 52

    次の Secure Shell (SSH) リモート アクセス方法のうち、スクリプト機能に最も適しているのはどれですか?

    公開鍵認証方式の使用

  • 53

    アイデンティティ管理 (IdM) ライフサイクルのどの段階が、誤って実行された場合に企業にとって最大のリスクとなりますか?

    プロビジョニング解除

  • 54

    Identity as a Service (IDaaS) ソリューションを評価する際に、詳細な制御の最も優れた証明を提供するレポートは次のどれですか。

    サービス組織コントロール(SOC)2

  • 55

    フェデレーション ID 管理 (FIM) のシングル サインオン (SSO) は、OpenID Connect (OIDC) トークンまたはセキュリティ アサーション マークアップ言語 (SAML) アサーションを使用して、認証メカニズムが特権情報へのアクセスを保護するように実装および管理する必要があります。これらを保護するために使用する最適な方法は何ですか?

    プライバシーを確保するために、アクセス トークンまたはアサーションを暗号化する必要があります。

  • 56

    セキュリティ会社のクライアントが脆弱性評価レポートを確認し、レポートが不正確であると主張しています。クライアントは、ホストのオペレーティング システム (OS) が適切に検出されなかったため、リストされている脆弱性は有効ではないと述べています。脆弱性評価プロセスのどこでエラーが発生する可能性が最も高いでしょうか?

    スキャン

  • 57

    セキュリティ侵害の被害者が過失請求で勝つためには、被害者は何を立証しなければならないのでしょうか?

    直接の原因

  • 58

    消費者から情報を収集する大規模な国際組織は、このデータを処理するために SaaS (Software as a Service) クラウド プロバイダーと契約しています。SaaS クラウド プロバイダーは、追加のデータ処理を使用して、データ所有者に提供したい他の機能を実証します。このベンダーは、他の組織に開示していないため、追加のデータ処理アクティビティが許可されていると考えています。次のどれが、この根拠を最もよく裏付けていますか?

    両者間の合意は曖昧であり、データの使用方法が詳細に規定されていません。

  • 59

    セキュリティ エンジニアは、電話プロバイダーからの料金が大幅に値上げされたため、組織の Voice over Internet Protocol (VoIP) 電話ネットワークの監査を実施しています。エンジニアは、許可されていないエンドポイントがパブリック インターネットから電話サーバーに接続し、世界中の相手に何百もの許可されていない通話を発信していることを発見しました。どのような種類の攻撃が発生しましたか

    通話料金詐欺

  • 60

    ある組織は、ワイヤレス ネットワーク上の脅威検出を改善したいと考えています。会社の目標は、アラートを自動化して対応力を向上させることです。次のベスト プラクティスのうち、最初に実装する必要があるのはどれですか。

    ワイヤレス侵入検知システム (IDS) を導入します。

  • 61

    ハイパーバイザー ホストとソフトウェア管理機能の保護はどのようにして最適に実現されますか?

    管理インターフェイスを専用の仮想ネットワーク セグメントに展開します

  • 62

    一般データ保護規則 (GDPR) への準拠を確実にするために、ヘルプ デスク マネージャーは、Software as a Service (SaaS) ソリューションを選択する前に組織内の誰と協議する必要がありますか?

    データ保護責任者(DPO)

  • 63

    大企業に雇用されている情報システム セキュリティ責任者 (ISSO) が、競合他社で同様の役割をフリーランスで担っている場合、(ISC)2 職業倫理規定のどの規範に違反することになりますか?

    当事者に対して、十分かつ適切なサービスを提供する

  • 64

    インシデントが疑われる場合にインシデント対応チームが最初に取るべきアクションは何ですか?

    管理者にインシデントを通知します。

  • 65

    病院には、制限なしで共有可能、制限付きで共有可能、内部使用のみの 3 つのデータ分類レベルがあります。次のどれが、優れたエンタープライズ データ分類の原則に準拠していることを示していますか?

    患者がアクセスできる廊下に、「制限付きで共有可能」と記された従業員行動規範のプリントアウトが掲示されています

  • 66

    Web アプリケーションでは、ユーザーがサービスを利用する前に登録する必要があります。ユーザーは一意のユーザー名と 8 文字以上のパスワードを選択する必要があります。オフライン攻撃を困難にするには、これらのパスワードを保存するのにどの方法を使用する必要がありますか?

    コスト係数とユーザーごとのランダムソルトを持つハッシュ関数を使用します。

  • 67

    アクティブ検出ツールを使用してスキャンを実行する主な目的は次のどれですか?

    脆弱性の管理と修復

  • 68

    大規模な法律事務所では、従業員が BYOD (個人所有デバイスの持ち込み) プログラムに参加できるようにしたいと考えています。ネットワークに接続できるのは、最新のウイルス対策およびオペレーティング システム (OS) パッチが適用されたデバイスのみです。セキュリティ要件を最も適切に適用できるソリューションはどれでしょうか。

    ネットワーク アクセス制御 (NAC)

  • 69

    セキュリティ オペレーション センター (SOC) は、最近導入されたルーターが悪意のある Web サイトにビーコンを送信していることを発見しました。ルーターを交換すると問題は解決します。ルーターの動作の最も可能性の高い原因は何ですか?

    ルータは偽造品であり、許可されていないチャネルを通じて入手されました。

  • 70

    個人を特定できる情報 (PII) は最新の状態に保たれ、使用目的に関連したものであるべきであるという原則は、米国経済協力開発機構 (OECD) のどの公正情報慣行に基づくものですか

    データ内容

  • 71

    セキュリティアサーションマークアップ言語 (SAML) ベースのフェデレーション システムの一般的なコンポーネントは次のどれですか?

    クライアント、サービスプロバイダー、アイデンティティプロバイダー(IdP)、トークン

  • 72

    組織全体でハードウェアとソフトウェアを最新の状態に保つための最も効果的な方法はどれですか?

    自動構成監視システムを使用する

  • 73

    米国で電子健康記録 (EHR) を開発する場合、コンプライアンス要件を満たす最適な情報源は次のどれでしょうか?

    保健福祉省(HHS)

  • 74

    新しい内部監査員がサプライ チェーンの監査を担当します。システム オーナーは、前任の内部監査員が管理上の欠陥を多数発見したため解雇されたと述べています。監査員はこの会話をマネージャーに報告します。次の監査の整合性原則のうち、この状況に最もよく当てはまるものはどれですか。

    公正かつ誠実に責任をもって合法的に行動する

  • 75

    混乱を伴うイベントが発生した場合、どのセキュリティ継続性の目標によって組織の情報セキュリティが所定のレベルに維持されますか?

    情報セキュリティ継続計画

  • 76

    組織では、BYOD (個人所有デバイスの持ち込み) ポリシーを実装しています。ユーザーが自分のデバイスを管理してマルウェアを持ち込むリスクを軽減するには、何が最善でしょうか?

    これらのデバイス専用の別の外部有線または無線ネットワークをセットアップする。

  • 77

    データ管理の役割と責任に関する主要な目標は次のどれですか?

    データの説明責任を導入する

  • 78

    データの所有権を最もよく表すものは何ですか?

    法的責任

  • 79

    上級セキュリティ エンジニアは、組織の最も重要な個人情報 (PII) の機密性と整合性を確保する任務を負っています。このデータは、組織のデータ センター内のローカル ファイル サーバーとデータベース サーバーに保存されます。不正アクセスが検出され、ログに記録されるように、次のセキュリティ対策が実装されています。   • データベースとファイル サーバーのネットワーク セグメンテーションとアクセス ログの強化 • 保存データの暗号化の実装 • 機密ネットワーク セグメントに出入りするネットワーク トラフィックの完全なパケット キャプチャの実装 • すべてのトランザクション ログ データとパケット キャプチャが、企業バックアップ ネットワーク セグメント内の企業バックアップ アプライアンスにバックアップされていることを確認する   検出を回避しながら PII を流出させる可能性が最も高い方法は、次のうちどれですか。

    侵害されたサービスアカウントを介したバックアップサーバーへの不正アクセス

  • 80

    変更管理プロセス中に、新しいリスクを特定して記録するために、次のどれが使用されますか

    リスク登録簿

  • 81

    「いかなる入力も信用しない」という防御戦略は、次の Web ベースのシステムの脆弱性のうちどれに対して最も効果的ですか?

    インジェクション脆弱性

  • 82

    分散型サービス拒否 (DDoS) 攻撃を軽減する最も効果的な方法は何ですか?

    上流のインターネット サービス プロバイダー (ISP) と契約します。

  • 83

    802.1X はどのような機能を提供しますか?

    ネットワーク アクセス制御 (NAC)

  • 84

    情報セキュリティ管理システム (ISMS) を導入することによる主な利点は次のどれですか?

    ベストプラクティスの遵守を示すことで顧客の信頼を高める

  • 85

    適切なデータ保持ポリシーに関して、アーカイブされた情報の可用性に対する主なリスク要因は次のどれですか?

    古いメディアに記録されたデータは読み取れません。

  • 86

    Wi-Fi Protected Access 2 (WPA2) は、次のどのセキュリティ機能を使用して設計されたセキュリティ プロトコルですか?

    暗号化制御

  • 87

    プロジェクト全体を通じて安全な開発を確実にするために、ソフトウェア開発ライフサイクル (SDLC) のどのセキュリティ手法を活用する必要がありますか?

    静的アプリケーションセキュリティテスト(SAST)

  • 88

    アクセス制御システムのアーキテクチャを設計する際には、機密性と情報へのアクセス制御が主な焦点であると判断されました。次のセキュリティ モデルのうち、組織にとって最適なものはどれですか?

    ベル-ラパデュラモデル

  • 89

    運用要件とセキュリティ要件の両方について、本番環境でエンドツーエンドのテストを実行するための最適な方法はどれですか?

    合成トランザクション分析

  • 90

    セキュリティ アーキテクトは、実装されたセキュリティ フレームワークをレビューしています。レビュー後、セキュリティ アーキテクトは、不正行為に対する保護に対処するために職務の分離 (SoD) を実装してセキュリティを強化したいと考えています。データの整合性を最もよく保護するセキュリティ モデルはどれですか。

    クラーク・ウィルソンモデル

  • 91

    次のどれが Trusted Platform Module (TPM) によって提供される強力なセキュリティ保護ですか?

    デジタル署名によるデータの完全性の提供

  • 92

    結果が標準を満たしているかどうかを判断するために、結果を標準と比較するプロセスはどれですか。

    セキュリティ監査

  • 93

    ある企業は、脆弱性管理プログラムを確立するためにセキュリティ コンサルタントを雇いました。コンサルタントは現在、導入段階にあります。次のタスクのうち、このプロセスに含まれるものはどれですか。

    サポート技術を選択して調達する。

  • 94

    ある組織が、サードパーティ パートナーにアクセスを提供するための戦略を策定しています。情報技術 (IT) 部門は、クラウド サービスを利用してアクセスを提供するという任務を負っています。このタスクを完了するために最も一般的に使用されるテクノロジは次のどれですか。

    サービスとしてのアイデンティティ (IDaaS)

  • 95

    セキュリティ評価を実施する際の主要なアクティビティは次のどれですか?

    収集、インタビュー、テスト

  • 96

    ある組織では、組織内の別の部門に異動する従業員が以前の部門のアクセス権限を保持しないようにしたいと考えています。この目的のために、組織はロールベースのアクセス制御 (RBAC) を実装しました。過剰なアクセス権限を効果的に制限するために最も重要な追加対策はどれです

    ラインマネージャーによる割り当てられた役割のレビュー

  • 97

    ある組織は、ここ数か月間に複数の分散型サービス拒否 (DDoS) 攻撃を経験し、以前はすべてオンプレミスだった公開 Web サイトと電子商取引サイトに影響を及ぼしました。問題を分析した後、ネットワーク エンジニアは、組織に追加のネーム サービス プロバイダーと冗長ネットワーク パスを実装することを推奨しました。Web サイトと電子商取引サイトの将来の可用性を保証するために役立つ別の推奨事項は何ですか。

    クラウド サービス プロバイダーとのサービス レベル契約 (SLA) を確認します

  • 98

    セキュリティ専門家が Web アプリケーション間の接続を確認しているときに、Representational State Transfer (REST) アプリケーション プログラミング インターフェイス (API) の使用を発見し、それが安全であると判断しました。このシナリオに当てはまる接続 Uniform Resource Locator (URL) は次のどれですか。

    https://url.com/Resources//action

  • 99

    先見性とプロアクティブな対応力を備えた情報セキュリティ専門家を育成することを目的とした原則は次のどれですか?

    情報セキュリティ教育

  • 100

    インターネット プロトコル バージョン 6 (IPv6) アドレスを使用する分散キャンパス ネットワークに最適な動的ルーティング プロトコルはどれですか?

    オープンショートパスファースト(OPSF)バージョン3

    • 問題一覧

  • 1

    市販の既製 (COTS) ソフトウェアには、次のどの追加のセキュリティ上の懸念がありますか?

    COTS ソフトウェアのエクスプロイトは十分に文書化されており、公開されています

  • 2

    新しいサプライヤーのサードパーティリスク評価を実施する場合、セキュリティ、可用性、機密性、プライバシー信頼の原則の運用の有効性を確認するために、次のレポートのどれを確認する必要がありますか?

    サービス組織コントロール (SOC) 2、タイプ 2

  • 3

    中間者 (MITM) ボイス オーバー インターネット プロトコル (VoIP) 攻撃に対する最善の軽減策は次のどれでしょうか?

    トランスポート層セキュリティ (TLS) プロトコルを使用する

  • 4

    最高情報セキュリティ責任者 (CISO) は、ビジネス アプリケーションの可用性について懸念しています。最近、組織はランサムウェア攻撃を受け、その結果、10 営業日にわたってアプリケーションとサービスが利用できなくなり、すべての主要なビジネス プロセスを紙ベースで実行する必要がありました。現在、回復時間目標 (RTO) を強化し、より頻繁なデータ キャプチャに対応する積極的な計画があります。新しいビジネス要件に完全に準拠するには、次のどのソリューションを実装する必要がありますか。

    仮想化

  • 5

    セキュリティ プログラムを実装する場合、最も適切なドキュメントの階層は何ですか?

    組織の原則、方針、標準、ガイドライン

  • 6

    さまざまな無線周波数識別 (RFID) の脆弱性タイプに基づいてセキュリティ テスト方法を選択する際に最も重要な考慮事項は次のどれですか。

    攻撃対象領域の理解

  • 7

    次のどれが Bell-LaPadula モデルの限界でしょうか?

    データ アクセス制御を変更するための規定やポリシーは含まれておらず、本質的に静的なアクセス システムでのみ適切に機能します

  • 8

    次の脆弱性評価活動のうち、評価の「検査」方法を最もよく表すものはどれですか?

    システム監査ログがセキュリティ管理ベースラインに必要なすべての関連データフィールドをキャプチャしていることを確認する

  • 9

    次のどれが、意図した受信者への取引の整合性を最もよく保証しますか?

    ブロックチェーン技

  • 10

    最近、地理的に離れた 2 つのデータ センターにまたがる単一のレイヤー 2 ネットワークが原因不明のイベントによって中断されました。ネットワーク エンジニアは、イベントの根本原因を特定するための支援を求めています。次のどれが最も可能性の高い原因でしょうか。

    ブロードキャストドメインが大きすぎる

  • 11

    ある企業が V モデルからアジャイル開発に移行しています。情報セキュリティ部門は、新しい方法論で安全な設計原則が確実に実装されるようにするにはどうすればよいでしょうか。

    情報セキュリティ要件は必須のユーザーストーリーに取り込まれます。

  • 12

    利益相反を回避しながらシステム、アプリケーション、委託された情報の価値を維持するときに、 (ISC) 倫理規定のどの規範が最も反映されていますか?

    当事者に対して、十分かつ適切なサービスを提供する

  • 13

    セキュリティ監査を実行するには、次のどれが必要ですか?

    監査人の中立性

  • 14

    防衛産業の企業は、政府クライアントの管理非機密情報 (CUI) の暗号化に関する契約上の要件に準拠するように指示されています。保存されているデータを最も効率的かつコスト効率の高い方法で保護する方法を表す暗号化戦略は何ですか?

    仮想化層に暗号化を組み込んだ仮想化ストレージソリューションを使用して、プログラム情報の論理的な分離を実行します。

  • 15

    セキュリティ プログラムの有効性を評価するのに最も適した監査タイプはどれですか?

    評価

  • 16

    セキュリティ担当者は、Web アプリケーションを本番環境に導入する前に、複数の種類のテストを実行して、Web アプリケーションが期待どおりに動作することを確認します。ユーザー名フィールドをテストするために、セキュリティ担当者は、許可されているよりも多くの文字をフィールドに入力するテストを作成します。実行されるテストの種類を最もよく表すのは次のどれですか。

    悪用ケーステスト

  • 17

    ワイド エリア ネットワーク (WAN) が Voice over Internet Protocol (VoIP) などの統合アプリケーションをサポートしている場合、ネットワークの保証にとって次のどれがさらに重要になりますか?

    決定論的ルーティング

  • 18

    異なるクラスの情報を互いに分離し、ユーザーの管轄区域ごとに分離するようにシステムが構築されるのはなぜでしょうか?

    組織は、矛盾する国内法に準拠するためにシステムポリシーを変更できます。

  • 19

    ある組織が、米国電気電子学会 (IEEE) 802.1x を使用してネットワーク アクセス制御 (NAC) を実装したところ、プリンタが IEEE 802.1x 標準をサポートしていないことがわかりました。次のうち、最適な解決策はどれですか。

    プリンター用の仮想ローカルエリアネットワーク (VLAN) を実装します。

  • 20

    米国国立標準技術研究所 (NIST) によると、次の目標のうちどれがリスク管理の現代的な変化を表していますか?

    変化し、進化し、新たな脅威に満ちた運用環境に焦点を当てます

  • 21

    次のセキュリティ ツールのうち、デバイスを監視し、その情報を中央データベースに記録してさらに分析するものはどれですか?

    エンドポイント検出と対応 (EDR)

  • 22

    次の文書のうち、クライアントの観点からサービスを指定しているのはどれですか?

    サービスレベル契約(SLA)

  • 23

    ソフトウェア開発のためのオブジェクト指向プログラミングによって提供される優れた多層防御戦略には、次のどれが含まれるべきでしょうか?

    カプセル化

  • 24

    エンタープライズ データ レイクの管理を任されたデータ スチュワードの主な責任は次のどれですか

    エンタープライズ データ レイク内で収集および保存されるデータの適切なビジネス定義、価値、および使用方法を確保します。

  • 25

    組織の災害復旧 (DR) または事業継続計画 (BCP) のテストを実行する前の最初のステップは何ですか?

    主要な利害関係者を特定する。

  • 26

    侵害調査の結果、オープン ソース コンポーネントを通じて Web サイトが悪用されたことが判明しました。この侵害を防ぐことができたプロセスの最初のステップは何ですか?

    ソフトウェアインベントリ

  • 27

    「Security by Obscurity」の問題に対処するセキュリティ原則は何ですか?

    オープンデザイン

  • 28

    セキュリティ評価を実施する上で最も重要な目標は何ですか?

    未解決のセキュリティ脆弱性を発見し、それを緩和するための方法を提案する

  • 29

    仮想マシン (VM) を保護するために最適な仮想ネットワーク構成オプションは次のどれですか?

    データのセグメンテーション

  • 30

    盗難された企業のモバイル デバイス上のデータの盗難を軽減するのに最も効果的な機能はどれですか。

    デバイスワイプ機能を備えたモバイルデバイス管理(MDM)

  • 31

    ある組織では対称暗号を使用してデータ暗号化を実装していますが、最高情報責任者 (CIO) は、1 つのキーを使用してすべての機密データを保護することのリスクを懸念しています。セキュリティ担当者は、CIO の懸念に対処するソリューションを推奨する任務を負っています。 すべての機密データを暗号化することで目的を達成するための最適なアプローチは次のどれですか。

    暗号化キーの階層を使用します

  • 32

    次のアクセス制御メカニズムのうち、エンコードされたセキュリティ関連のプロパティのセットを使用してサブジェクトとオブジェクトを特徴付けるものはどれですか?

    属性ベースのアクセス制御 (ABAC)

  • 33

    ソフトウェア定義ネットワーク (SDN) で安全な設計原則を実装する場合、どのような依存関係を避ける必要がありますか?

    循環依存関係

  • 34

    メモリ内のバッファ オーバーフロー攻撃に対して最も優れた保護を提供するメカニズムはどれですか?

    アドレス空間レイアウトのランダム化 (ASLR)

  • 35

    アイデンティティフェデレーション内で運営されているオンライン サービス プロバイダーに使用される用語は次のどれですか。

    依拠当事者(RP)

  • 36

    大手金融機関の最高情報セキュリティ責任者 (CISO) は、組織の情報システムの機密性と整合性を保護するためのセキュリティ制御を実装する責任を負っています。以下の制御のうち、最も優先されるものはどれですか。

    転送中のデータと保存中のデータの暗号化

  • 37

    開発されたアプリケーション コードをレビューして、テストおよび検証されていることを確認するのに最適な人物は誰でしょうか?

    アプリケーションに何が期待されているかを知っている開発者ですが、実際にアプリケーションを開発した開発者ではありません。

  • 38

    ある銀行は、取引処理システム (TPS) のデータベース障害により金融預金が遅れ、顧客とのサービス レベル契約 (SLA) を満たすことができませんでした。銀行を監督する規制当局は、遅延の原因が重大な欠陥であったかどうかを判断したいと考えています。次の文書のうち、規制当局が確認すべき最も重要なものはどれですか。

    ビジネス影響分析(BIA)

  • 39

    クラウド サービス プロバイダーがインフラストラクチャ内に保存されている顧客のデータにアクセスしないようにする最も効果的な方法は何ですか?

    組織の暗号化ツールとデータ管理コントロールを使用します。

  • 40

    統計クエリを使用してユーザーが機密データを取得するのを防ぐのに最も役立つのは、次のどの手法を禁止することですか?

    同じ集団を繰り返し参照するクエリのシーケンス

  • 41

    次のどれがフェデレーション ID 管理 (FIM) 実装モデルの主要コンポーネントであり、数十の組織間のネットワークを確立するために使用されますか?

    信頼できる第三者(TTP)

  • 42

    最高情報セキュリティ責任者 (CISO) は、ソース コード レベルでセキュリティの弱点と脆弱性を評価するためのさまざまな提案を検討しています。次の項目のうち、CISO が組織のために賢明な決定を下すために最も役立つものはどれですか。

    共通脆弱性列挙 (CWE)

  • 43

    ハイパーテキスト マークアップ言語 (HTML) Web サイト内のクロスサイト スクリプティング (XSS) の脆弱性を軽減するのに最も効果的な方法はどれですか?

    ブラウザクライアントにHTMLタグを返さない

  • 44

    次のどれが Common Criteria フレームワークのセキュリティ ターゲット (ST) を最も正確に説明していますか?

    製品固有のセキュリティ基準を記載した文書

  • 45

    組織は開発サーバー用の仮想環境の展開を承認し、リソースへのアクセスを制限するための制御を確立しました。仮想環境のセキュリティのベスト プラクティスを実装するには、セキュリティ チームが次の手順のどれを実装する必要がありますか?

    ハイパーバイザー専用の管理ネットワークを実装します。

  • 46

    次のどれがデータ暗号化規格 (DES) の弱点ですか?

    キーの長さが不十分

  • 47

    プロジェクトの納期に間に合わせるために、Web アプリケーション開発者はすぐに利用できるソフトウェア コンポーネントを使用しました。この方法に関連するリスクを軽減する最適な方法はどれですか?

    ソフトウェア コンポーネントと設定の有効性を検証するプロセスを実装します

  • 48

    ライフサイクル全体を通じて情報の適切なガバナンスを確保するには、次のうちどれを最初に割り当てる必要がありますか?

    オーナー

  • 49

    効果的な情報セキュリティ戦略は主に次のどれに基づいていますか?

    リスク管理の実践

  • 50

    攻撃、マルウェア感染、データ盗難の検出と対応に重点を置いたログ収集の種類はどれですか?

    セキュリティ

  • 51

    医療アナリストが保護対象健康情報 (PHI) を外部のマーケティング組織に独自に提供する場合、これはどの倫理原則に違反することになりますか?

    プライバシー規制

  • 52

    次の Secure Shell (SSH) リモート アクセス方法のうち、スクリプト機能に最も適しているのはどれですか?

    公開鍵認証方式の使用

  • 53

    アイデンティティ管理 (IdM) ライフサイクルのどの段階が、誤って実行された場合に企業にとって最大のリスクとなりますか?

    プロビジョニング解除

  • 54

    Identity as a Service (IDaaS) ソリューションを評価する際に、詳細な制御の最も優れた証明を提供するレポートは次のどれですか。

    サービス組織コントロール(SOC)2

  • 55

    フェデレーション ID 管理 (FIM) のシングル サインオン (SSO) は、OpenID Connect (OIDC) トークンまたはセキュリティ アサーション マークアップ言語 (SAML) アサーションを使用して、認証メカニズムが特権情報へのアクセスを保護するように実装および管理する必要があります。これらを保護するために使用する最適な方法は何ですか?

    プライバシーを確保するために、アクセス トークンまたはアサーションを暗号化する必要があります。

  • 56

    セキュリティ会社のクライアントが脆弱性評価レポートを確認し、レポートが不正確であると主張しています。クライアントは、ホストのオペレーティング システム (OS) が適切に検出されなかったため、リストされている脆弱性は有効ではないと述べています。脆弱性評価プロセスのどこでエラーが発生する可能性が最も高いでしょうか?

    スキャン

  • 57

    セキュリティ侵害の被害者が過失請求で勝つためには、被害者は何を立証しなければならないのでしょうか?

    直接の原因

  • 58

    消費者から情報を収集する大規模な国際組織は、このデータを処理するために SaaS (Software as a Service) クラウド プロバイダーと契約しています。SaaS クラウド プロバイダーは、追加のデータ処理を使用して、データ所有者に提供したい他の機能を実証します。このベンダーは、他の組織に開示していないため、追加のデータ処理アクティビティが許可されていると考えています。次のどれが、この根拠を最もよく裏付けていますか?

    両者間の合意は曖昧であり、データの使用方法が詳細に規定されていません。

  • 59

    セキュリティ エンジニアは、電話プロバイダーからの料金が大幅に値上げされたため、組織の Voice over Internet Protocol (VoIP) 電話ネットワークの監査を実施しています。エンジニアは、許可されていないエンドポイントがパブリック インターネットから電話サーバーに接続し、世界中の相手に何百もの許可されていない通話を発信していることを発見しました。どのような種類の攻撃が発生しましたか

    通話料金詐欺

  • 60

    ある組織は、ワイヤレス ネットワーク上の脅威検出を改善したいと考えています。会社の目標は、アラートを自動化して対応力を向上させることです。次のベスト プラクティスのうち、最初に実装する必要があるのはどれですか。

    ワイヤレス侵入検知システム (IDS) を導入します。

  • 61

    ハイパーバイザー ホストとソフトウェア管理機能の保護はどのようにして最適に実現されますか?

    管理インターフェイスを専用の仮想ネットワーク セグメントに展開します

  • 62

    一般データ保護規則 (GDPR) への準拠を確実にするために、ヘルプ デスク マネージャーは、Software as a Service (SaaS) ソリューションを選択する前に組織内の誰と協議する必要がありますか?

    データ保護責任者(DPO)

  • 63

    大企業に雇用されている情報システム セキュリティ責任者 (ISSO) が、競合他社で同様の役割をフリーランスで担っている場合、(ISC)2 職業倫理規定のどの規範に違反することになりますか?

    当事者に対して、十分かつ適切なサービスを提供する

  • 64

    インシデントが疑われる場合にインシデント対応チームが最初に取るべきアクションは何ですか?

    管理者にインシデントを通知します。

  • 65

    病院には、制限なしで共有可能、制限付きで共有可能、内部使用のみの 3 つのデータ分類レベルがあります。次のどれが、優れたエンタープライズ データ分類の原則に準拠していることを示していますか?

    患者がアクセスできる廊下に、「制限付きで共有可能」と記された従業員行動規範のプリントアウトが掲示されています

  • 66

    Web アプリケーションでは、ユーザーがサービスを利用する前に登録する必要があります。ユーザーは一意のユーザー名と 8 文字以上のパスワードを選択する必要があります。オフライン攻撃を困難にするには、これらのパスワードを保存するのにどの方法を使用する必要がありますか?

    コスト係数とユーザーごとのランダムソルトを持つハッシュ関数を使用します。

  • 67

    アクティブ検出ツールを使用してスキャンを実行する主な目的は次のどれですか?

    脆弱性の管理と修復

  • 68

    大規模な法律事務所では、従業員が BYOD (個人所有デバイスの持ち込み) プログラムに参加できるようにしたいと考えています。ネットワークに接続できるのは、最新のウイルス対策およびオペレーティング システム (OS) パッチが適用されたデバイスのみです。セキュリティ要件を最も適切に適用できるソリューションはどれでしょうか。

    ネットワーク アクセス制御 (NAC)

  • 69

    セキュリティ オペレーション センター (SOC) は、最近導入されたルーターが悪意のある Web サイトにビーコンを送信していることを発見しました。ルーターを交換すると問題は解決します。ルーターの動作の最も可能性の高い原因は何ですか?

    ルータは偽造品であり、許可されていないチャネルを通じて入手されました。

  • 70

    個人を特定できる情報 (PII) は最新の状態に保たれ、使用目的に関連したものであるべきであるという原則は、米国経済協力開発機構 (OECD) のどの公正情報慣行に基づくものですか

    データ内容

  • 71

    セキュリティアサーションマークアップ言語 (SAML) ベースのフェデレーション システムの一般的なコンポーネントは次のどれですか?

    クライアント、サービスプロバイダー、アイデンティティプロバイダー(IdP)、トークン

  • 72

    組織全体でハードウェアとソフトウェアを最新の状態に保つための最も効果的な方法はどれですか?

    自動構成監視システムを使用する

  • 73

    米国で電子健康記録 (EHR) を開発する場合、コンプライアンス要件を満たす最適な情報源は次のどれでしょうか?

    保健福祉省(HHS)

  • 74

    新しい内部監査員がサプライ チェーンの監査を担当します。システム オーナーは、前任の内部監査員が管理上の欠陥を多数発見したため解雇されたと述べています。監査員はこの会話をマネージャーに報告します。次の監査の整合性原則のうち、この状況に最もよく当てはまるものはどれですか。

    公正かつ誠実に責任をもって合法的に行動する

  • 75

    混乱を伴うイベントが発生した場合、どのセキュリティ継続性の目標によって組織の情報セキュリティが所定のレベルに維持されますか?

    情報セキュリティ継続計画

  • 76

    組織では、BYOD (個人所有デバイスの持ち込み) ポリシーを実装しています。ユーザーが自分のデバイスを管理してマルウェアを持ち込むリスクを軽減するには、何が最善でしょうか?

    これらのデバイス専用の別の外部有線または無線ネットワークをセットアップする。

  • 77

    データ管理の役割と責任に関する主要な目標は次のどれですか?

    データの説明責任を導入する

  • 78

    データの所有権を最もよく表すものは何ですか?

    法的責任

  • 79

    上級セキュリティ エンジニアは、組織の最も重要な個人情報 (PII) の機密性と整合性を確保する任務を負っています。このデータは、組織のデータ センター内のローカル ファイル サーバーとデータベース サーバーに保存されます。不正アクセスが検出され、ログに記録されるように、次のセキュリティ対策が実装されています。   • データベースとファイル サーバーのネットワーク セグメンテーションとアクセス ログの強化 • 保存データの暗号化の実装 • 機密ネットワーク セグメントに出入りするネットワーク トラフィックの完全なパケット キャプチャの実装 • すべてのトランザクション ログ データとパケット キャプチャが、企業バックアップ ネットワーク セグメント内の企業バックアップ アプライアンスにバックアップされていることを確認する   検出を回避しながら PII を流出させる可能性が最も高い方法は、次のうちどれですか。

    侵害されたサービスアカウントを介したバックアップサーバーへの不正アクセス

  • 80

    変更管理プロセス中に、新しいリスクを特定して記録するために、次のどれが使用されますか

    リスク登録簿

  • 81

    「いかなる入力も信用しない」という防御戦略は、次の Web ベースのシステムの脆弱性のうちどれに対して最も効果的ですか?

    インジェクション脆弱性

  • 82

    分散型サービス拒否 (DDoS) 攻撃を軽減する最も効果的な方法は何ですか?

    上流のインターネット サービス プロバイダー (ISP) と契約します。

  • 83

    802.1X はどのような機能を提供しますか?

    ネットワーク アクセス制御 (NAC)

  • 84

    情報セキュリティ管理システム (ISMS) を導入することによる主な利点は次のどれですか?

    ベストプラクティスの遵守を示すことで顧客の信頼を高める

  • 85

    適切なデータ保持ポリシーに関して、アーカイブされた情報の可用性に対する主なリスク要因は次のどれですか?

    古いメディアに記録されたデータは読み取れません。

  • 86

    Wi-Fi Protected Access 2 (WPA2) は、次のどのセキュリティ機能を使用して設計されたセキュリティ プロトコルですか?

    暗号化制御

  • 87

    プロジェクト全体を通じて安全な開発を確実にするために、ソフトウェア開発ライフサイクル (SDLC) のどのセキュリティ手法を活用する必要がありますか?

    静的アプリケーションセキュリティテスト(SAST)

  • 88

    アクセス制御システムのアーキテクチャを設計する際には、機密性と情報へのアクセス制御が主な焦点であると判断されました。次のセキュリティ モデルのうち、組織にとって最適なものはどれですか?

    ベル-ラパデュラモデル

  • 89

    運用要件とセキュリティ要件の両方について、本番環境でエンドツーエンドのテストを実行するための最適な方法はどれですか?

    合成トランザクション分析

  • 90

    セキュリティ アーキテクトは、実装されたセキュリティ フレームワークをレビューしています。レビュー後、セキュリティ アーキテクトは、不正行為に対する保護に対処するために職務の分離 (SoD) を実装してセキュリティを強化したいと考えています。データの整合性を最もよく保護するセキュリティ モデルはどれですか。

    クラーク・ウィルソンモデル

  • 91

    次のどれが Trusted Platform Module (TPM) によって提供される強力なセキュリティ保護ですか?

    デジタル署名によるデータの完全性の提供

  • 92

    結果が標準を満たしているかどうかを判断するために、結果を標準と比較するプロセスはどれですか。

    セキュリティ監査

  • 93

    ある企業は、脆弱性管理プログラムを確立するためにセキュリティ コンサルタントを雇いました。コンサルタントは現在、導入段階にあります。次のタスクのうち、このプロセスに含まれるものはどれですか。

    サポート技術を選択して調達する。

  • 94

    ある組織が、サードパーティ パートナーにアクセスを提供するための戦略を策定しています。情報技術 (IT) 部門は、クラウド サービスを利用してアクセスを提供するという任務を負っています。このタスクを完了するために最も一般的に使用されるテクノロジは次のどれですか。

    サービスとしてのアイデンティティ (IDaaS)

  • 95

    セキュリティ評価を実施する際の主要なアクティビティは次のどれですか?

    収集、インタビュー、テスト

  • 96

    ある組織では、組織内の別の部門に異動する従業員が以前の部門のアクセス権限を保持しないようにしたいと考えています。この目的のために、組織はロールベースのアクセス制御 (RBAC) を実装しました。過剰なアクセス権限を効果的に制限するために最も重要な追加対策はどれです

    ラインマネージャーによる割り当てられた役割のレビュー

  • 97

    ある組織は、ここ数か月間に複数の分散型サービス拒否 (DDoS) 攻撃を経験し、以前はすべてオンプレミスだった公開 Web サイトと電子商取引サイトに影響を及ぼしました。問題を分析した後、ネットワーク エンジニアは、組織に追加のネーム サービス プロバイダーと冗長ネットワーク パスを実装することを推奨しました。Web サイトと電子商取引サイトの将来の可用性を保証するために役立つ別の推奨事項は何ですか。

    クラウド サービス プロバイダーとのサービス レベル契約 (SLA) を確認します

  • 98

    セキュリティ専門家が Web アプリケーション間の接続を確認しているときに、Representational State Transfer (REST) アプリケーション プログラミング インターフェイス (API) の使用を発見し、それが安全であると判断しました。このシナリオに当てはまる接続 Uniform Resource Locator (URL) は次のどれですか。

    https://url.com/Resources//action

  • 99

    先見性とプロアクティブな対応力を備えた情報セキュリティ専門家を育成することを目的とした原則は次のどれですか?

    情報セキュリティ教育

  • 100

    インターネット プロトコル バージョン 6 (IPv6) アドレスを使用する分散キャンパス ネットワークに最適な動的ルーティング プロトコルはどれですか?

    オープンショートパスファースト(OPSF)バージョン3