問題一覧
1
サーバーのOSの完全性を最もよく確保するのは次のどれか
c サーバー構成を強化する
2
ネットワークの異なるセグメント間の不正なトラフィックを防ぐためのセキュリティ対策として第一に設定されるネットワーク要素はどれか?
a ファイアウォール
3
情報システム監査人は、組織の最高責任者CIOが、モバイル通信GSM技術によるグローバルシステムを用いた無線ブロードバンドモデムを使用している事に気づいた。このモデムは、CIOがオフィス外の時にCIOのラップトップを企業の仮想専用ネットワークに接続するために使用されている。情報システム監査人が行うべきことを次の中から選びなさい。
a GSM技術の固有のセキュリティ機能が適切であるため、何もしない
4
無人のエンドユーザーのPCシステムへの不正アクセスを最小限にできる最も良い方法とは次のどれか
a パスワードで保護されたスクリーンセーバーの使用を強制する
5
Webサーバ上のシステム管理者アカウントへの不正アクセスを最も効率的に防げる導入は次のどれか
d 二要素認証
6
組織のitマネージャーが、コンサルタントのチームがラップトップからインターネットにアクセス出来るように、会議室への無線ローカルエリアネットワークアクセスポイントのインストールを承認した。不正アクセスから企業サーバを保護できる最も良いコントロールは次のどれかを確保することであるか?
b 会議室ネットワークは、別の仮想ローカルエリアネットワーク(VLAN)上にある。
7
情報システム監査人は、組織の人事データベースの導入をレビューしている。情報システム監査人は高可用性のためにデータベースのサーバがクラスタ化され、すべてのデフォルトのデータベースアカウントが削除され、データベースの監査ログが保存されて毎週レビューされていることを確認した。データベースが適切に保護されていることを保証するために、情報システム監査人はその他のどの領域を確認するべきか?
d データベース初期化パラメータが適切であること。
8
情報システム監査人が経営陣から不正である可能性のあるトランザクションをレビューするよう依頼された。トランザクションの評価時に情報システム監査人が重視すべき第1の事項は、次のどの点であるか
c 証拠の完全性の維持が確保されること
9
大規模な複合組織で新しいビジネスアプリケーションが設計され、ビジネスオーナーが様々なレポートを「必要な場合において」閲覧できるように要求している。この要件を満たすための最もよい方法は、次のどのアクセスコントロール方法であるか
b 役割ベース
10
組織内の不正な人物によって監査ログが削除されることを防げる最も良いコントロールは次のどれか
c 監査ログの閲覧又は削除権限は特定の人物だけに付与する
11
ある企業では、DHCPを導入している。次の条件が存在すると仮定した場合に最大の懸念事項となるのは、次のどれか
d ネットワークポートへのアクセスは制限されていない
12
データベース管理者が企業データの管理を適切に行うようにする、有効な予防的コントロールはどれか
b 職務の分離
13
ある従業員が贈り物として、デジタルフォトフレームをもらい、デジタル写真を転送するために自らの仕事のPCに接続した。この状況に伴う第1のリスクは、次のどれか
d フォトフレームはマルウェアに感染している可能性がある
14
組織は最高財務責任者のコンピューターが、キーストロークロガー及びルートキットであるマルウェアに感染していることに気づいた。最初に行うべき行動は次のどれか
c PCをネットワークから切断する
15
情報システム監査人は、ある病院における以前の情報システム監査で発見された事項を確認している。その一つに電子メールで患者のセンシティブな情報を伝達していたことがあった。itマネージャーはこの発見事項に対処する為、全ての電子メール利用者に電子署名を導入した。情報システム監査人の最良の返答は次のどれか
a 電子署名は機密保護に適切ではない
16
電気通信網に対して最も良いセキュリティを提供する通信媒体は次のどれか
d 専用回線
17
組織がプライバシー要件に準拠していることを確認するために、情報システム監査人が最初にレビューすべき事項とは、次のどれか
c 法律及び規制要件
18
ある人材会社では汎用ユーザーIDおよびパスワードの認証後ゲストに無線インターネットアクセスを提供している。汎用IDとパスワードは受付デスクから貰うことができる。この状況に最もふさわしいコントロールは次のどれか
c 公衆無線ネットワークは物理的に社内ネットワークから隔離されている
19
ローカルエリアネットワークの導入をレビューする際に情報システム監査人が最初にレビューすべき事項は次のどれか
c ネットワーク図
20
情報システム監査人が、パスワードコントロールの構成設定が、IT開発者より、ビジネスユーザーに対してより厳しいことに気づいた。情報システム監査人が取るべき最善の行動は、次のどれか
a これがポリシー違反であるかどうかを判定し文書化する
21
組織が顧客からの注文を処理するための新しいウェブベースのアプリケーションを開発している。このアプリケーションをハッカーから守るために取るべきセキュリティー対策は、次のどれか
c ウェブアプリケーションのセキュリティレビューを行う。
22
実際の攻撃をシミュレートし、ターゲットのインシデント処理及び対応能力をテストするために使用される、侵入テストは、次のどれか
c 二重ブラインドテスト
23
組織が、情報システム監査人にVoIPシステムおよびデータトラフィックのセキュリティと信頼性を高めるための提案を求めている。この要求を満たすのは、次のどれか
a VoIPのインフラストラクチャは仮想ローカルエリアネットワークを用いて分離する必要がある
24
侵入検知ログのレビュー中に情報システム監査人は企業の給与計算サーバーの内部IPアドレスを起点としているように見える、インターネットからのトラフィックに気づいた。この手の結果の原因である可能性が最も高いのは、次のどの悪意のある行動であるか?
b スプーフィング
25
情報システム監査人はある組織で、USBドライブ上の全データの暗号化を義務付ける情報セキュリティポリシーを確認した。かかるポリシーは特定の暗号化アルゴリズムが使用されることも義務づけている。USBドライブに記録されたデータが不正による情報漏洩から保護されることを最も保証するアルゴリズムは、次のどれか?
c AES方式
26
グローバル組織の情報システムの監査中に情報システム監査人は組織が全事業所間の音声接続の唯一の手段としてインターネットを介してVoIPを使用していることを発見した。組織のVoIPインフラに対する最も重要なリスクを示すのは次のどれか?
b 分散型サービス拒否攻撃
27
組織内で不正なインターネットのサイトへのアクセスを制限する最も効果的なコントロールは、次のどれか?
a コンテンツフィルタリング機能を持つプロキシサーバー経由で送信インターネットトラフィックをルーティングする
28
内部監査部門が、Webアプリケーション向けに社内で開発されたコモンゲートウェイインターフェース(CGI)スクリプトをレビューしている情報システム監査人は、このスクリプトが品質管理部門によって、レビュー及びテストされていないことに気づいた。最も懸念すべきリスクを次の中から選びなさい
c 不正アクセス
29
ある情報システム監査人が企業ネットワークの導入後レビューを行っている。最も関心を払うべき結果は、次のどれか?
b ネットワークデバイスのインストール時のデフォルトパスワードが変更されていない
30
情報システム監査人は、新しいクラウドベースの会計サービスプロバイダーとのサードパーティ契約をレビューしている。会計データのプライバシーに関連した最も重要な考慮事項を次の中から選びなさい
b 情報の返還、又は破棄
31
ベンダーに一時的なアクセスを付与する際の最も効果的なコントロールは次のどれか
b ユーザーアカウントが有効期限付きで発行され、提供されるサービスに基づいている
32
論理アクセスコントロールのレビューの際に情報システム監査人は、あるユーザーアカウントが共有されていることに気づいた。この状況から生じる最大のリスクは、次のどれか?
d ユーザーの説明責任が確立されない可能性がある
33
情報システム監査人は規制対象データを保持するデータセンターへの物理的なアクセスを保護するために使用される、生体認証システムを評価している。監査人が最も懸念すべきことは次のうちどれか?
c 生体認証スキャナーとアクセスコントロールシステム間で送信されたデータが安全に暗号化されたトンネルを使用していない
34
役割ベースのアクセスコントロールの監査を行う際に、情報システム監査人はITセキュリティーの従業員が特定のサーバーのシステム管理者権限を保有し、これらの権限はトランザクションログの修正、または削除を許可していることに気づいた。情報システム監査人が勧告すべき最良の行動とは次のどれか?
d トランザクション、ログをリアルタイムでWrite Once and Read Manyドライブに書き込むこと
35
銀行の情報システムを監査している際にある情報システム監査人が、企業がOSに対するスタッフメンバーのアクセスを正しく管理しているかどうかを評価している。企業が実施しているかどうかを情報システム監査人が判断しなければならない項目は以下のどれか?
a ユーザー作業ログの定期的なレビュー
36
あらたにインストールされたVoIPシステムの監査を実施している情報システム監査人は、建物の各フロアーの配線用ボックスを検査している。この場合、最大の懸念となるのは次のどれか?
a LANスイッチが無停電電源装置に接続されていない
37
組織のリモートシステムへの論理アクセスのセキュリティをレビューする際、情報システム監査人の最大の懸念事項は次のどれか
b 暗号化されていないパスワードが使用されていること
38
情報システム監査人が保護対象の医療情報(PHI)に関して、医療機関のリスクを評価している時、情報システム管理者と面接した。情報システム監査人が最も懸念しなければならない面接結果は次のどれか?
b スタッフは暗号化対象の電子メールメッセージの件名にPHIと入力しなければならない
39
情報資産オーナーの責任は次のどれか?
b データに重大度レベルを割り当てること
40
ネットワークログをレビューしている情報システム監査人はある従業員がタスクスケジューラを呼び出して制限されたアプリケーションを立ち上げることにより、PC上で権限昇格コマンドを実行していることに気づいた。これは何の攻撃の例であるか、次から選びなさい
b 特権昇格
41
情報システム監査人は、組織のレビューを行い、データ漏洩事例に関連した証拠が保存されるようにしている。情報システム監査人が最も懸念するのは以下のうちどれか?
d 分析過程の保全管理に関するポリシーがないこと
42
情報システム監査人がある製造業の会社のアクセスコントロールをレビューしている。そして、レビュー中にデータ所有者が低リスクアプリケーションのアクセスコントロールを変更する権限を持っていることに気づいた。情報システム監査人が取るべき最善の行動は、次のどれか?
d 任意アクセスコントロール(DAC)が設定されているため、この問題は報告しない
43
端末からの電磁放射がリスクとなる理由は、次のどれか?
d 検出および表示可能である
44
セキュリティ管理手順には次のどの読み取り専用アクセスが必要か
b セキュリティログファイル
45
セキュリティ責任者の助けを借りてデータへのアクセスを付与する責任は、次のどの人物にあるか?
a データ所有者
46
データ分類の最初のステップは次のどれか?
a 所有権を確立する
47
生体認証システムの運用のレビューの最情報システム監査人が最初にレビューすべきは次のどれの段階であるか?
a 登録
48
ハッカーはコンピューターツール、またはプログラムを使用しないでパスワードを得るために次のどの手法を利用できるか
a ソーシャルエンジニアリング
49
アプリケーションシステムの監査証跡の信頼性は次のどの状況において疑わしいか?
d システムエラーを修正する時、ユーザーは監査証跡、レコードを修正することができる
50
監査中に情報システム監査人がコンピュータウイルスの存在を検出した。情報システム監査人は、次のどのステップを行うべきか?
c ただちに適切な職員に知らせる
51
アクセスコントロールの導入に最初に必要となるものは、次のどれか?
d isリソースの棚卸し
52
多層防御セキュリティ原則の例は次のどれか?
b ファイアーウォールおよび論理アクセスコントロールをホストに使用し、着信ネットワークトラフィックをコントロールする
53
最良のアクセスコントロール手順は次のどれか?
a データ所有者が正式にアクセスを認証し、管理者がユーザー認証テーブルを導入する
54
ソーシャルエンジニアリングのインシデントを最も効果的に減少させるのは、次のどれか?
a セキュリティ意識向上トレーニング
55
「パスワードの表示は覆う抑制する必要がある」と表現する情報セキュリティポリシーは次のどの攻撃方法に対処しているか?
c ショルダーサーフィン
56
パスワードが文字と数字の組み合わせであることを義務付けるセキュリティポリシーへのコンプライアンスを確保するには、情報システム監査人は次のどれを推奨すべきか?
c 自動パスワード管理ツールの使用
57
デジタル権利の管理アプリケーションをレビューしている情報システム監査人は、次のどの技術が広く使用されていることを予想するか?
d ステガノグラフィ
58
「各人物はコントロールされた各入口で、自らのバッチを読み込まれなければならない」と記載されている情報セキュリティポリシーは次のどの攻撃方法に対処しているか?
a ピギーバッキング
59
明確に識別できる予防的コントロールがないことの固有リスクを示すのは、次のどれか?
c データ詐取
60
ハッシングと暗号化を比較した時、最も重要な差異となるハッシングの特徴は次のどれか
a 不可逆的であること
61
オーバーヘッドコストを高める暗号法オプションは次のどれか?
b 長い非対称暗号鍵を使用する
62
ブラックボックス侵入テストの計画で最も重要な成功要因は、次のどれか?
c クライアント組織の経営陣の知識
63
ある組織では事業所間で業務データの転送にUSBドライブを使用することを許可した。これらのデバイスの使用に伴う最大のリスクは次のどれか
b 端末機器の盗難
64
コンピューターフォレンジック調査を行う際に収集される証拠に関して情報システム監査人は次のどれに対して最も懸念すべきであるか?
c 保全
65
認証局(ca)は次のどのプロセスを委任できるか?
c 要求しているエンティティー、およびその公開鍵の間のリンクを確立すること
66
分散型サービス拒否攻撃に至るのは次のどれか?
b ピングオブデス
67
RSA暗号化と比べて、楕円曲線暗号の利点は、次のどれか?
a 計算速度
68
データの機密性、信頼性及び完全性を必要とするインターネットビジネスのための最良の全体的なコントロールとは、次のどれか?
a SSL
69
Webアプリケーションの安全確保に最も役立つ予防的コントロールを次の中から選びなさい
b 開発者のトレーニング
70
相互接続された企業ネットワークに対する最も効果的なウイルス対策ソフトウェアの導入戦略は、次のどれか?
b 企業ベースのウイルス対策ソフトウェア
71
仮想専用ネットワークの導入をレビューしている情報システム監査人が最も懸念する事項は、次のどれか?ネットワーク上のコンピュータの場所が:
c 従業員の自宅
72
電子署名の使用の主な理由は、データの次のどの特徴を確保するためのものか
b 整合性
73
受動的サイバーセキュリティ攻撃の例を、次の中から選びなさい
a トラフィック分析
74
情報システム監査人は、企業のセキュリティインシデント管理手順をレビューしている。考慮すべき最も重要なものは次のどれか?
電子証拠に関する分析過程の保全管理
75
生体認証システムの精度の尺度を示すのは、次のどれか?
他人受け入れ率
76
論理アクセスコントロールを評価している情報システム監査人が最初に行うべき行動とは、次のどれか?
情報処理におけるセキュリティリスクを理解する
77
廃棄処分中に古い磁気テープからデータを削除する際、最も安全な方法を次から選べ
テープの消磁
78
ルーターのアクセスコントロールリストの調査は次のどの作業中に実施すべきか?
ネットワークセキュリティレビュー
79
侵入検知システムにおけるデータの収集の責任を持つコンポーネントは、次のどれか?
センサー
80
X.509の電子証明書を採用した企業の公開鍵基盤および認証局の最も重要な機能は、次のどれか?
これは電子証明書およびその公開鍵を個々の利用者にバインドする
81
電子署名にメッセージダイジェストが含まれている理由は、次のどれか?
伝達後にメッセージが変更されているか示すため
82
Eコマースに関する電子署名アプリケーションの適切なセキュリティおよびコントロールを確保するため、電子証明書ライフサイクルを管理するのは、次のどれか?
認証局
83
TCP/IPベースの環境がインターネットに公開された。転送中の情報を保護するために完全な暗号化および認証プロトコルが存在することを最も確保するのは、次のどれか?
作業がIPセキュリティ対応のトンネルモードで完了される
84
電子署名に必要なものは、次のどれか?
署名者が秘密鍵を持ち、受信者が公開鍵を持つこと
85
送信者が後でメッセージの生成および送信を否定できないことを確保する電子署名の特徴は、次のどれか
否認防止
86
フォレンジック証拠を収集する際、危険にさらされているホスト上の証拠の破壊、または破損に最もつながりかねない行動は次のどれか?
システムの再起動
87
情報システム監査人は有効である企業のウェブサイトをレビューしている。最大のリスクとなるのは、次のどれか
自己署名電子証明書
88
侵入を検出するコントロールとして最良なのは次のどれか
失敗したログオンの試みが、セキュリティ管理者によって監視される
89
ベンダースタッフに付与されるゲストワイヤレスIDに対する最良のコントロールを確保するのは、次のどれか
毎日期限が切れる更新可能なユーザーIDの割り当て
90
電気通信アクセスコントロールのレビューを行なっている情報システム監査人が主に懸念すべき事項は次のどれか
システムリソースへのアクセスを付与する前の認証およびユーザーの認証
91
財務システムで監査が実行されている時に、情報システム監査人はインシデントを検出した。情報システム監査人は最初に何をすべきか
インシデントを経営陣に報告する
92
ネットワーク上で伝送されるデータを保護するために公開鍵の暗号化を使用する場合は、次のどれを順守すべきか
暗号化に使用される鍵が公開されているが、データの復号用の鍵が非公開であること
93
仮想専用ネットワークのセキュリティを確保するために使用される技法は、次のどれか
データのカプセル化
94
電気通信システムの監査の際に情報システム監査人がリモートサイトとの間で伝送されるデータの傍受のリスクがとても高いことを発見した。このリスクを削減するために、最も効果的なコントロールは次のどれか
暗号化
95
パスワードのスニッフィングを使ったインターネットベースの攻撃は:
機密情報を含むシステムへのアクセスを得るために使用される
96
複数及び多様なサブシステムが存在するリモートアクセスネットワークにおいて、最も包括的なコントロールは次のどれか
仮想専用ネットワーク
97
Eコマース専用の企業の監査中にIS管理者は顧客から受信される通信に電子署名が使用されていることを説明する。これを裏付けるには情報システム監査人は次のどれの使用を証明する必要があるか
顧客の秘密鍵を使用して伝送および暗号化されたデータのハッシュ
98
ネットワークセットアップの監査を計画する際に情報システム監査人は次のどのネットワークのドキュメンテーションを得ることに最も高い優先順位をつけるべきか
配線や模式図
99
財務アプリケーションに関して、情報システム監査人が最も懸念すべきことを、次の中から選びなさい
プログラマーが本番データベースにアクセスできる
100
組織にインシデント対応計画があるべき主な理由は、次のどれか?計画は、以下を行うのに役立つ:
システム停止およびセキュリティインシデントの持続期間と影響を最小限に抑える