暗記メーカー

暗記メーカー

ログイン
CISSP本番3
100問 • 1年前
  • エッグスンシングス
    • 通報

    問題一覧

  • 1

    使用中データの制御を実装する利点は次のどれですか?

    データが閲覧中の場合、許可されたユーザーのみが印刷できます

  • 2

    VoIP (Voice over Internet Protocol) ネットワークで拡張認証プロトコル (EAP) を構成する場合、次の認証タイプのうち最も安全なのはどれですか?

    EAP-トランスポート層セキュリティ (TLS)

  • 3

    機密データの漏洩を回避するために従うべき最良のガイドラインは次のどれでしょうか?

    機密データは必要な場合にのみ保存します

  • 4

    米国 (US) と英国 (UK) に支社を持つ組織が、欧州連合 (EU) と米国に居住する個人の個人情報を含むデータを処理します。一般データ保護規則(GDPR) のプライバシー保護に従って処理する必要があるデータはどれですか。

    EU居住者のデータのみ

  • 5

    論理アクセス制御の最初の 2 つのコンポーネントは何ですか?

    認証と識別

  • 6

    ルートキット攻撃に対処するための最も効果的な対策は次のどれですか?

    信頼できるソースからシステムを再インストールする

  • 7

    データ保持ポリシーを実装する前にデータ所有者が考慮すべき最初の要件は次のどれですか?

    法律

  • 8

    新入社員が組織のセキュリティ チームに不審な行動を正式に報告しました。報告によると、組織に所属していない誰かがメンバーの勤務場所、勤務期間、建物のアクセス制御について問い合わせていたとのことです。従業員の報告は、次のうちどれの結果である可能性が最も高いですか?

    セキュリティ意識

  • 9

    ある組織は、ソフトウェア開発に対する従来のウォーターフォール アプローチではビジネス ニーズに対応できないと判断しました。製品提供に必要な急速な変化に対応するために、組織はアジャイル ソフトウェア開発およびリリース サイクルに移行することを決定しました。アジャイル手法の成功を確実にするために、各リリースの受け入れ基準の作成に最も重要なのは誰でしょうか

    法人顧客

  • 10

    従業員が企業のデバイスまたはユーザー アカウントからソーシャル メディアにアクセスできるようにする前に、組織が最初に行うべき手順は何ですか?

    許容される使用ポリシーを公開します

  • 11

    ある病院では、リモート データベース開発者に仮想プライベート ネットワーク (VPN) アクセスを許可しています。ネットワーク管理者が内部構成を監査したところ、スプリット トンネリングが有効になっていることがわかりました。この構成の問題点は何でしょうか。

    リモート クライアントは、パブリック ネットワークおよびプライベート ネットワークとトラフィックを交換できます

  • 12

    IDEAL 暗号化システムでは、復号化キーに唯一アクセスできるのは誰ですか?

    データ所有者

  • 13

    どのタイプの災害復旧計画 (DRP) テストが最も運用上のリスクを伴いますか?

    カットオーバー

  • 14

    次の方法のうち、ユーザー資格情報を最も保護できるのはどれですか?

    ダイジェスト認証

  • 15

    ある組織では、元ネットワーク管理者の悪意ある行為をシミュレートする侵入テストを計画しています。どのような侵入テストが必要ですか?

    ホワイトボックス

  • 16

    無線周波数識別 (RFID) は資産管理にどのように役立ちますか?

    固有のシリアル番号をワイヤレスで送信します。

  • 17

    業界標準に基づいてサイバーセキュリティ プログラムを定義するときに、組織の専門家が実行する最初のステップは次のどれですか。

    セキュリティとリスク軽減に関する組織の目標を定義する

  • 18

    セキュリティ ソフトウェア開発ライフサイクル (SDLC) では、監査を容易にするためにアプリケーション コードが一貫した方法で記述されることが期待されていますが、次のどれですか

    保護

  • 19

    次のどれがリスクマトリックスですか?

    組織、製品、プロジェクト、またはその他の関心対象項目に関するリスクの 2 次元図

  • 20

    組織の戦略的リスク評価のどの部分に、組織の成功に影響を与える項目に関する情報が最も多く含まれるでしょうか?

    主要業績評価指標 (KPI)

  • 21

    企業は、サードパーティのサービス プロバイダーがホストする旅行サービスへの従業員のアクセスを提供する必要があります。従業員のエクスペリエンスは重要であり、ユーザーがすでに認証されている場合、旅行ポータルへのアクセスはシームレスです。情報を共有し、ユーザーに旅行ポータルへのアクセスを許可するには、次のどの方法が使用されますか。

    フェデレーションアクセス

  • 22

    最高経営責任者 (CEO) は、会社の情報セキュリティ体制の内部監査を実施したいと考えています。CEO は監査プロセスに偏りが生じないようにしたいと考えており、そのため、営業部長に監査の実施を任せています。数週間にわたる綿密なやり取りの後、監査では、会社のポリシーと手順は十分で、堅牢で、十分に確立されているという結論が出ました。次に、CEO は、組織の堅牢な情報セキュリティ体制を示すために、外部の侵入テスト会社と契約することになりました。この作業により、いくつかの重要なセキュリティ制御に重大な欠陥があることが明らかになり、インシデント対応プロセスが文書化されていないことが示されました。監査結果と外部の侵入テスト結果にこのような相違が生じる最も可能性の高い理由は何でしょうか。

    監査チームには、提供されたデータについて洞察力に富んだ客観的な評価を行うための技術的な経験とトレーニングが不足していました

  • 23

    情報セキュリティ管理者は、ハイパーテキスト転送プロトコル (HTTP) トンネル経由のピアツーピア (P2P) トラフィックをブロックしたいと考えています。開放型システム間相互接続 (OSI) モデルの次のレイヤーのうち、検査が必要なのはどれですか。

    アプリケーション

  • 24

    最高情報責任者 (CIO) は、システム セキュリティの責任を情報技術 (IT) 部門の責任者に委任しています。企業ポリシーでは、必要なデータ保護のレベルを決定できるのは CIO のみと定められていますが、技術的な実装の決定は IT 部門の責任者が行います。IT 部門の責任者が担うセキュリティの役割を最も 

    システムセキュリティ担当者

  • 25

    物理的なベースライン保護プロファイル (PP) を決定する前に、次のアクションのうちどれを実行する必要がありますか?

    資産を分類します

  • 26

    経営陣は、コア アプリケーションを個人の携帯電話で使用することを決定しました。実装要件として、セキュリティ体制の定期的な分析を実施する必要があります。経営陣は、継続的な監視を実施することも指示しました。経営陣の指示を達成するために必要なのは次のうちどれですか。

    携帯電話のアクティビティを完全に可視化するエンタープライズレベルのセキュリティ情報およびイベント管理 (SIEM) ダッシュボード

  • 27

    システム エンジニアが新しい組織のためにワイド エリア ネットワーク (WAN) 環境を設計しています。WAN は、公開情報から極秘情報まで、さまざまな機密レベルの情報を保持するサイトを接続します。組織では、既存のビジネス プロセスをサポートするために高度な相互接続性が必要です。 この環境を保護するための最適な設計アプローチは何でしょうか。

    環境の境界に複数の検出および予防テクノロジーを重ねます。

  • 28

    ライブ仮想化環境への高度な持続的脅威 (APT) 侵入に対処する際に最も役立つ技術は次のどれですか?

    記憶フォレンジック

  • 29

    攻撃者が巧妙に細工された悪意のあるリクエストを認証されたユーザーに送信できる場合、次のどのタイプの Web ベースの攻撃が発生しますか?

    クロスサイトリクエストフォージェリ(CSRF)

  • 30

    スキャン レポートで、ミッション クリティカルな複数の運用サーバーに影響を及ぼす複数の脆弱性が返されました。開発環境でパッチを適用しようとしたところ、サーバーがクラッシュしました。最善の対応策は何でしょうか。

    補償制御によってリスクを軽減します。

  • 31

    セキュリティ専門家が最近の現場評価をレビューしたところ、建物の 2 階にあるサーバー ルームには、地上階に紫外線フィルターが設置された暖房、換気、空調 (HVAC) の吸気口があり、サーバー ルームには Aero-K 消火装置があり、サーバー ルームより上の階には事前消火装置があることがわかりました。これらの状況に関連するリスクを軽減するために、セキュリティ専門家が推奨できる変更は次のうちどれですか。

    HVAC吸気口をプレナムまたは外部シャフトで高くし、サーバールームの消火システムを事前作動システムに変更する

  • 32

    オンライン証明書ステータス プロトコル (OCSP) の最も一般的な用途は次のどれですか?

    X.509デジタル証明書の失効ステータスを取得する

  • 33

    セキュリティ専門家が Web アプリケーションの評価を担当しています。評価レポートでは、Security Assertion Markup Language(SAML) への切り替えが推奨されています。SAML に切り替えることで得られる主なセキュリティ上の利点は何ですか?

    Web アプリケーションのシングル サインオン (SSO) を有効にします。

  • 34

    ある組織が数年前に市販の (COTS) ソフトウェアを購入しました。情報技術 (IT) ディレクターはアプリケーションをクラウドに移行することを決定しましたが、クラウド サービス プロバイダーを使用した組織の専用環境におけるソフトウェアのアプリケーション セキュリティを懸念しています。 ソフトウェアのセキュリティ上の弱点を防止および修正する最善の方法は何でしょうか。

    ソフトウェアの更新とパッチ適用のプロセスを調べる

  • 35

    どのような種類のデータベース攻撃により、顧客サービス担当者は四半期の売上結果を公表前に知ることができるのでしょうか?

    データマイニング

  • 36

    マルチテナント クラウド環境では、資産への論理アクセスを保護するにはどのようなアプローチが必要ですか?

    仮想プライベートクラウド (VPC)

  • 37

    さまざまな国に頻繁に出張する情報技術 (IT) 従業員が、組織のリソースにリモート接続して問題のトラブルシューティングを行います。次のソリューションのうち、組織の要件を満たす安全な制御メカニズムとして最も適しているのはどれですか。

    非武装地帯 (DMZ) に要塞ホストをインストールし、多要素認証 (MFA) アクセスを許可します。

  • 38

    パッチ管理プロセスの成功を判断するための最良の方法はどれですか?

    監査と評価

  • 39

    ある組織では、従業員が組織のデータを一般公開されているデータ ストレージに投稿していることを発見しました。データが適切に保護され、公開されないようにするために組織が実行する必要がある主な手順は何ですか。

    データ分類ポリシーを実装します。

  • 40

    セキュリティ エンジニアは、小規模なグループが迅速かつ継続的に独立してコードを開発、テストし、クラウドにデプロイすることで実装されるソフトウェア プロジェクトにセキュリティを統合する必要があります。エンジニアはどのソフトウェア開発プロセスと統合する可能性が最も高いですか?

    Devops 統合製品チーム (IPT)

  • 41

    開発中の Web ベースのアプリケーションに実装する必要があるセキュリティ制御を識別するための最適な方法はどれですか?

    アプリケーション脅威モデリング

  • 42

    伝送制御プロトコル/インターネット プロトコル (TCP/IP) モデルのネットワーク アクセス層に最もよく対応するオープン システム相互接続 (OSI) 層はどれですか。

    データリンク層と物理層

  • 43

    組織の小売ウェブサイトは唯一の収入源であるため、災害復旧計画 (DRP) では、計画の各ステップの推定時間を文書化する必要があります。DRP の次のステップのうち、サービスが完全に機能するまでに最も長い時間がかかるのはどれですか。

    ドメイン レジストラを使用してドメイン ネーム システム (DNS) サーバー アドレスを更新します。

  • 44

    監視制御およびデータ収集 (SCADA) システムでは、デバイスのマルウェアへの露出を減らすために、次のどの制御を使用できますか?

    SCADA デバイスの実行空間でテストされていないコードを許可しません。

  • 45

    ネットワーク上の Voice over Internet Protocol (VoIP) 通信をエンドツーエンドで保護するためによく使用されるセキュア トランスポート プロトコルは次のどれですか。

    セキュアリアルタイムトランスポートプロトコル (SRTP)

  • 46

    ある医療保険会社がソフトウェア アプリケーションの開発にベンダーを選択しました。情報セキュリティの専門家が契約案を確認したところ、ソフトウェア セキュリティが考慮されていないことに気付きました。この問題に対処するための最善のアプローチは何でしょうか。

    ベンダーがセキュリティ機能を提供する義務を負うように契約を更新します。

  • 47

    クラウドベースのアプリケーションを実装するときに、承認されたデータがアプリケーションに送信されることを保証できるセキュリティ ツールは次のどれですか。

    アクセス制御リスト (ACL)

  • 48

    ユーザーからサーバーへの認証を提供するクライアント サーバー インフラストラクチャは、次のどれを表しますか?

    ケルベロス

  • 49

    システム開発者は、ユーザーのラップトップでアプリケーションにアクセスする前に、アプリケーションが安全なデジタル署名をチェックすることを要求しています。どのセキュリティ メカニズムがこの要件に対応していますか?

    トラステッド プラットフォーム モジュール (TPM)

  • 50

    組織のリスク管理の意思決定をサポートするために、情報セキュリティ、脆弱性、脅威に関する継続的な認識を維持することを表すために使用される用語は次のどれですか。

    情報セキュリティ継続監視(ISCM)

  • 51

    次のファイアウォールのうち、トラフィックを転送する前にパケット間の「ハンドシェイク」のみを検査するものはどれですか

    回線レベルのファイアウォール

  • 52

    強制アクセス制御 (MAC) の用途は何ですか?

    ラベルで表される機密性に基づいてオブジェクトのセキュリティを可能にする

  • 53

    ある組織は、顧客がウェアラブル デバイスから得た情報を互いに共有する方法を開発しました。残念ながら、収集されたどの情報が共有されるかについてはユーザーに通知されていませんでした。組織のビジネス目標を達成しながらプライバシーの問題を解決するには、どのような技術的制御を導入する必要がありますか?

    デフォルトで、ユーザーはいかなる情報も共有しません

  • 54

    次のシステム コンポーネントのうち、オブジェクトへのアクセス制御を実施するものはどれですか。

    リファレンスモニター

  • 55

    セキュリティ テストの結果をレビューする際に期待値を設定する場合、レビュー担当者に伝えることが最も重要なのは次のどれですか。

    テストの結果は、ターゲットの特定の時点での評価を表します。

  • 56

    アプリケーションが実行不可能なメモリ領域からコードを実行できないように設計されたオペレーティング システム (OS) 機能の利点は何ですか?

    バッファにコードを保存する特定のエクスプロイトを防ぐのに役立ちます

  • 57

    次の実装のうち、Web サイトで高可用性を実現するものはどれですか?

    フェイルオーバー用に構成された地理的に分散した複数のWebサーバー

  • 58

    マントラップの外扉にとって重要な設計上の特徴は次のどれですか?

    警報を発した緊急ボタンで開けられるようにします

  • 59

    デジタル調査において最も重要なルールは次のどれですか?

    元のデータが変更されないようにします。

  • 60

    情報セキュリティの専門家が、顧客向けアプリケーションのユーザー アクセス制御を確認しています。アプリケーションには多要素認証(MFA) が実装されている必要があります。現在、アプリケーションにログインするにはユーザー名とパスワードが必要です。次のオプションのうち、MFA を最も適切に実装できるのはどれですか。

    ハードウェアトークンから自動生成された番号を入力する

  • 61

    Voice over Internet Protocol (VoIP) ネットワークを実装する際に考慮すべき主な事項は次のどれですか?

    音声ネットワークの分離の使用

  • 62

    テスト中に、親組織、法執行機関、およびコンピュータ インシデント対応チームに通知するための要件はどこに文書化されていますか?

    セキュリティ評価計画

  • 63

    セキュリティ アーキテクトは、さまざまなブランドのモバイル デバイスのセキュリティを評価することが義務付けられています。製品ライフサイクルのどの段階でこれが最も発生する可能性が高いでしょうか。

    開発

  • 64

    情報資産に関して最も正確な記述は次のうちどれですか?

    情報資産には、組織にとって価値のあるあらゆる情報が含まれます。

  • 65

    次の攻撃タイプのうち、送信中にデータの整合性を侵害するために使用できるものはどれですか?

    セッションハイジャック

  • 66

    セキュリティの誤った設定

  • 67

    セキュリティ ログを確認すると、管理ログイン イベントに表示されたパスワードは ' OR ' '1'='1' -- でした。これは、次のどの種類の攻撃の例ですか。

    構造化クエリ言語 (SQL) インジェクション

  • 68

    証明業務基準書 18 (SSAE-18) の機密性カテゴリを満たす最適な制御はどれですか?

    ストレージの暗号化

  • 69

    組織のビジネスおよびミッションリスクの増大を防ぐ上でソフトウェア保証が重要である理由を最もよく説明しているのはどれですか?

    意図したとおりに動作しないソフトウェアは悪用される可能性があり、攻撃に対して脆弱になります。

  • 70

    従業員の自宅住所は、次のどの基準に従って分類する必要がありますか?

    組織のデータ分類モデル

  • 71

    犯罪現場でのデジタル証拠収集の優先順位を決定する際に、法医学検査官が最初に実行する必要があるのは次のうちどれですか?

    ボラティリティの順序を確立する。

  • 72

    ネットワーク要件の変換を担当するソフトウェア定義ネットワーク (SDN) アーキテクチャ コンポーネントはどれですか?

    SDN コントローラ

  • 73

    最近、ある組織の内部監査で、ユーザー アカウントによる悪意のあるアクションが特定されました。さらに調査を進めると、問題のユーザー アカウントが複数の場所で複数のユーザーによって同時にさまざまなサービスやアプリケーションに使用されていたことが判明しました。今後この問題を防ぐ最善の方法は何でしょうか。

    各ユーザーが独自のアカウントを持っていることを確認します。

  • 74

    ソフトウェア開発ライフサイクル (SDLC) の一環として、セキュリティ設計上の欠陥を発見するための設計レビューを実行するのは誰でしょうか?

    セキュリティ専門家(SME)

  • 75

    初期のセキュリティ分類は、システム ライフサイクルの早い段階で実行し、定期的に確認する必要があります。これを正しく実行することが重要なのはなぜですか?

    セキュリティ要件を決定します。

  • 76

    サイバーフィジカルシステム (CPS) を設計する場合、セキュリティ担当者が最初に考慮すべき事項は次のうちどれですか?

    システムのリスク評価

  • 77

    ユーザーは「財務予測」というラベルのファイルにアクセスできますが、月曜から金曜の午前 9 時から午後 5 時までに限られます。これを実現するには、どのタイプのアクセス メカニズムを使用する必要がありますか。

    ルールベースのアクセス制御

  • 78

    ネットワーク アドミッション コントロール (NAC) を使用する利点は何ですか?

    NAC は、セッションが承認状態になる前にエンドポイントのセキュリティ体制の検証をサポートします。

  • 79

    組織の情報セキュリティ戦略計画はいつ見直す必要がありますか?

    事業に大きな変化があったときはいつでも

  • 80

    定評のある情報技術 (IT) コンサルティング会社が、成功している地元のスタートアップ企業の買収を検討しています。スタートアップ企業のセキュリティ体制を包括的に理解するには、どのタイプの評価が最も良い情報を提供しますか?

    セキュリティ監査

  • 81

    ある組織は、自社で構築した老朽化したレポート システムを置き換えるために、市販の既製 (COTS) システムを導入する予定です。組織のセキュリティ チームは、この導入のライフサイクルにいつ最初に関与すべきでしょうか。

    システムの必要性が表明され、システムの目的が文書化されている場合

  • 82

    Web ベースのアプリケーションの脆弱性を最小限に抑えるために、システムをロックダウンし、攻撃のリスクを最小限に抑える最初のアクションは次のどれですか。

    最新のベンダーパッチとアップデートを適用する

  • 83

    ある組織では、パスワードの複雑さと、10 分以内に 5 回の不正ログイン試行を強制するアカウント ロックアウト ポリシーを実装しています。ネットワーク ユーザーから、アカウント ロックアウトが大幅に増加したという報告があります。この会社が影響を受けているセキュリティ原則は次のどれですか。

    可用性

  • 84

    過去15年間に、ある会社では3回の電気系統の故障が発生しました。各故障に関連するコストは以下のとおりです。 アベラビリティ: $60,000 インテグリティ: $10,000 トータル: $70,000 次のうち、年間の損失予測として妥当なものはどれでしょうか。

    $14,000

  • 85

    セキュリティ担当者は、災害復旧 (DR) とビジネス継続性のベスト プラクティスをモデル化するよう求められています。担当者は、ビジネス継続性ポリシーを確立するには正式な委員会が必要であると判断しました。次のどれが、ビジネス継続性開発のこの段階を最もよく表していますか?

    プロジェクトの開始と管理

  • 86

    次のどれが多層防御の概念を最もよく表していますか?

    エンドポイントセキュリティ管理、ネットワーク侵入検知システム (NIDS)、ネットワークアクセス制御 (NAC)、特権アクセス管理 (PAM)、セキュリティ情報およびイベント管理 (SIEM)

  • 87

    デジタル署名された文書の信頼性を検証するために必要なのは次のどれですか?

    署名された文書のデジタルハッシュ

  • 88

    従業員のトレーニング、リスク管理、データ処理の手順とポリシーは、どのようなタイプのセキュリティ対策として特徴付けられますか?

    Administrative

  • 89

    病院の建物制御システムは、安全で快適な環境を維持するために環境設備を監視および操作します。ユーティリティ供給の中断のリスクを最小限に抑えるために使用できるのは次のうちどれですか

    重要なユーティリティへの悪影響を最小限に抑えることができるデジタル保護および制御装置

  • 90

    次の記述のうち、ステートフル パケット インスペクション ファイアウォールとステートレス パケット フィルタ ファイアウォールを最もよく区別するものはどれですか。

    SPI はセッションのコンテキストでトラフィックを検査します

  • 91

    ビジネス影響分析 (BIA) を実施する主な目的は何ですか?

    ミッションクリティカルな情報システムの障害がコアビジネスプロセスに与える影響を判断する

  • 92

    有限体における離散対数の計算の難しさからセキュリティを獲得し、キーの配布には使用されるが、メッセージの暗号化や復号化には使用できないアルゴリズムはどれですか?

    ディフィー・ヘルマン

  • 93

    実装されたセキュリティ制御を通じて部分的に容易に入手できる情報を利用して、事前に確立されたメトリックに従って情報を収集するために確立されているのは次のどれですか。

    情報セキュリティ継続監視(ISCM)

  • 94

    インターネット プロトコル セキュリティ (IPSec) を使用してリモート アクセス セッションを実行する場合、この接続ではどのオープン システム相互接続 (OSI) モデル レイヤーが使用されますか?

    ネットワーク

  • 95

    内部セキュリティ管理評価を設計する際の最初のステップとして考えられるのは次のうちどれですか?

    既知の制御の認識されたフレームワークに基づいて計画を作成します。

  • 96

    Open Web Application Security Project (OWASP) のソフトウェア保証成熟度モデル (SAMM) を使用すると、組織は柔軟なソフトウェア セキュリティ戦略を実装して、どのようなリスク管理の側面に基づいて組織への影響を測定できますか

    リスク対応

  • 97

    電子情報開示調査のためにハード ドライブの内容を複製する場合、ファイル レベルのコピーよりもビット レベルのコピーの方が望ましい主な理由は何ですか。

    削除されたファイルは転送されます

  • 98

    組織は社内データセンターの規模が大きくなりすぎたため、サードパーティのホスティング施設を検討しています。この評価では、次のうちどれが選択の主な要因になりますか?

    施設は許容できるレベルのリスクを提供する

  • 99

    大規模な製造組織が、新しい製品ラインを生産するために産業機械システムを購入する予定です。このシステムには、サードパーティ組織からベンダーに提供されるソフトウェアが含まれています。製造組織が生産を開始する場合の財務リスクは高くなります。購入前に、製造組織は新しい事業における財務リスクを最小限に抑えるためにどのような手順を踏む必要がありますか?

    認定された独立したソフトウェア テスト会社によってソフトウェアが徹底的にテストされることを要求します。

  • 100

    セキュリティ担当者がシステムとサブシステムが無効な入力を適切に処理できるようにするために使用できる最良の方法はどれですか?

    ネガティブテスト

    • 問題一覧

  • 1

    使用中データの制御を実装する利点は次のどれですか?

    データが閲覧中の場合、許可されたユーザーのみが印刷できます

  • 2

    VoIP (Voice over Internet Protocol) ネットワークで拡張認証プロトコル (EAP) を構成する場合、次の認証タイプのうち最も安全なのはどれですか?

    EAP-トランスポート層セキュリティ (TLS)

  • 3

    機密データの漏洩を回避するために従うべき最良のガイドラインは次のどれでしょうか?

    機密データは必要な場合にのみ保存します

  • 4

    米国 (US) と英国 (UK) に支社を持つ組織が、欧州連合 (EU) と米国に居住する個人の個人情報を含むデータを処理します。一般データ保護規則(GDPR) のプライバシー保護に従って処理する必要があるデータはどれですか。

    EU居住者のデータのみ

  • 5

    論理アクセス制御の最初の 2 つのコンポーネントは何ですか?

    認証と識別

  • 6

    ルートキット攻撃に対処するための最も効果的な対策は次のどれですか?

    信頼できるソースからシステムを再インストールする

  • 7

    データ保持ポリシーを実装する前にデータ所有者が考慮すべき最初の要件は次のどれですか?

    法律

  • 8

    新入社員が組織のセキュリティ チームに不審な行動を正式に報告しました。報告によると、組織に所属していない誰かがメンバーの勤務場所、勤務期間、建物のアクセス制御について問い合わせていたとのことです。従業員の報告は、次のうちどれの結果である可能性が最も高いですか?

    セキュリティ意識

  • 9

    ある組織は、ソフトウェア開発に対する従来のウォーターフォール アプローチではビジネス ニーズに対応できないと判断しました。製品提供に必要な急速な変化に対応するために、組織はアジャイル ソフトウェア開発およびリリース サイクルに移行することを決定しました。アジャイル手法の成功を確実にするために、各リリースの受け入れ基準の作成に最も重要なのは誰でしょうか

    法人顧客

  • 10

    従業員が企業のデバイスまたはユーザー アカウントからソーシャル メディアにアクセスできるようにする前に、組織が最初に行うべき手順は何ですか?

    許容される使用ポリシーを公開します

  • 11

    ある病院では、リモート データベース開発者に仮想プライベート ネットワーク (VPN) アクセスを許可しています。ネットワーク管理者が内部構成を監査したところ、スプリット トンネリングが有効になっていることがわかりました。この構成の問題点は何でしょうか。

    リモート クライアントは、パブリック ネットワークおよびプライベート ネットワークとトラフィックを交換できます

  • 12

    IDEAL 暗号化システムでは、復号化キーに唯一アクセスできるのは誰ですか?

    データ所有者

  • 13

    どのタイプの災害復旧計画 (DRP) テストが最も運用上のリスクを伴いますか?

    カットオーバー

  • 14

    次の方法のうち、ユーザー資格情報を最も保護できるのはどれですか?

    ダイジェスト認証

  • 15

    ある組織では、元ネットワーク管理者の悪意ある行為をシミュレートする侵入テストを計画しています。どのような侵入テストが必要ですか?

    ホワイトボックス

  • 16

    無線周波数識別 (RFID) は資産管理にどのように役立ちますか?

    固有のシリアル番号をワイヤレスで送信します。

  • 17

    業界標準に基づいてサイバーセキュリティ プログラムを定義するときに、組織の専門家が実行する最初のステップは次のどれですか。

    セキュリティとリスク軽減に関する組織の目標を定義する

  • 18

    セキュリティ ソフトウェア開発ライフサイクル (SDLC) では、監査を容易にするためにアプリケーション コードが一貫した方法で記述されることが期待されていますが、次のどれですか

    保護

  • 19

    次のどれがリスクマトリックスですか?

    組織、製品、プロジェクト、またはその他の関心対象項目に関するリスクの 2 次元図

  • 20

    組織の戦略的リスク評価のどの部分に、組織の成功に影響を与える項目に関する情報が最も多く含まれるでしょうか?

    主要業績評価指標 (KPI)

  • 21

    企業は、サードパーティのサービス プロバイダーがホストする旅行サービスへの従業員のアクセスを提供する必要があります。従業員のエクスペリエンスは重要であり、ユーザーがすでに認証されている場合、旅行ポータルへのアクセスはシームレスです。情報を共有し、ユーザーに旅行ポータルへのアクセスを許可するには、次のどの方法が使用されますか。

    フェデレーションアクセス

  • 22

    最高経営責任者 (CEO) は、会社の情報セキュリティ体制の内部監査を実施したいと考えています。CEO は監査プロセスに偏りが生じないようにしたいと考えており、そのため、営業部長に監査の実施を任せています。数週間にわたる綿密なやり取りの後、監査では、会社のポリシーと手順は十分で、堅牢で、十分に確立されているという結論が出ました。次に、CEO は、組織の堅牢な情報セキュリティ体制を示すために、外部の侵入テスト会社と契約することになりました。この作業により、いくつかの重要なセキュリティ制御に重大な欠陥があることが明らかになり、インシデント対応プロセスが文書化されていないことが示されました。監査結果と外部の侵入テスト結果にこのような相違が生じる最も可能性の高い理由は何でしょうか。

    監査チームには、提供されたデータについて洞察力に富んだ客観的な評価を行うための技術的な経験とトレーニングが不足していました

  • 23

    情報セキュリティ管理者は、ハイパーテキスト転送プロトコル (HTTP) トンネル経由のピアツーピア (P2P) トラフィックをブロックしたいと考えています。開放型システム間相互接続 (OSI) モデルの次のレイヤーのうち、検査が必要なのはどれですか。

    アプリケーション

  • 24

    最高情報責任者 (CIO) は、システム セキュリティの責任を情報技術 (IT) 部門の責任者に委任しています。企業ポリシーでは、必要なデータ保護のレベルを決定できるのは CIO のみと定められていますが、技術的な実装の決定は IT 部門の責任者が行います。IT 部門の責任者が担うセキュリティの役割を最も 

    システムセキュリティ担当者

  • 25

    物理的なベースライン保護プロファイル (PP) を決定する前に、次のアクションのうちどれを実行する必要がありますか?

    資産を分類します

  • 26

    経営陣は、コア アプリケーションを個人の携帯電話で使用することを決定しました。実装要件として、セキュリティ体制の定期的な分析を実施する必要があります。経営陣は、継続的な監視を実施することも指示しました。経営陣の指示を達成するために必要なのは次のうちどれですか。

    携帯電話のアクティビティを完全に可視化するエンタープライズレベルのセキュリティ情報およびイベント管理 (SIEM) ダッシュボード

  • 27

    システム エンジニアが新しい組織のためにワイド エリア ネットワーク (WAN) 環境を設計しています。WAN は、公開情報から極秘情報まで、さまざまな機密レベルの情報を保持するサイトを接続します。組織では、既存のビジネス プロセスをサポートするために高度な相互接続性が必要です。 この環境を保護するための最適な設計アプローチは何でしょうか。

    環境の境界に複数の検出および予防テクノロジーを重ねます。

  • 28

    ライブ仮想化環境への高度な持続的脅威 (APT) 侵入に対処する際に最も役立つ技術は次のどれですか?

    記憶フォレンジック

  • 29

    攻撃者が巧妙に細工された悪意のあるリクエストを認証されたユーザーに送信できる場合、次のどのタイプの Web ベースの攻撃が発生しますか?

    クロスサイトリクエストフォージェリ(CSRF)

  • 30

    スキャン レポートで、ミッション クリティカルな複数の運用サーバーに影響を及ぼす複数の脆弱性が返されました。開発環境でパッチを適用しようとしたところ、サーバーがクラッシュしました。最善の対応策は何でしょうか。

    補償制御によってリスクを軽減します。

  • 31

    セキュリティ専門家が最近の現場評価をレビューしたところ、建物の 2 階にあるサーバー ルームには、地上階に紫外線フィルターが設置された暖房、換気、空調 (HVAC) の吸気口があり、サーバー ルームには Aero-K 消火装置があり、サーバー ルームより上の階には事前消火装置があることがわかりました。これらの状況に関連するリスクを軽減するために、セキュリティ専門家が推奨できる変更は次のうちどれですか。

    HVAC吸気口をプレナムまたは外部シャフトで高くし、サーバールームの消火システムを事前作動システムに変更する

  • 32

    オンライン証明書ステータス プロトコル (OCSP) の最も一般的な用途は次のどれですか?

    X.509デジタル証明書の失効ステータスを取得する

  • 33

    セキュリティ専門家が Web アプリケーションの評価を担当しています。評価レポートでは、Security Assertion Markup Language(SAML) への切り替えが推奨されています。SAML に切り替えることで得られる主なセキュリティ上の利点は何ですか?

    Web アプリケーションのシングル サインオン (SSO) を有効にします。

  • 34

    ある組織が数年前に市販の (COTS) ソフトウェアを購入しました。情報技術 (IT) ディレクターはアプリケーションをクラウドに移行することを決定しましたが、クラウド サービス プロバイダーを使用した組織の専用環境におけるソフトウェアのアプリケーション セキュリティを懸念しています。 ソフトウェアのセキュリティ上の弱点を防止および修正する最善の方法は何でしょうか。

    ソフトウェアの更新とパッチ適用のプロセスを調べる

  • 35

    どのような種類のデータベース攻撃により、顧客サービス担当者は四半期の売上結果を公表前に知ることができるのでしょうか?

    データマイニング

  • 36

    マルチテナント クラウド環境では、資産への論理アクセスを保護するにはどのようなアプローチが必要ですか?

    仮想プライベートクラウド (VPC)

  • 37

    さまざまな国に頻繁に出張する情報技術 (IT) 従業員が、組織のリソースにリモート接続して問題のトラブルシューティングを行います。次のソリューションのうち、組織の要件を満たす安全な制御メカニズムとして最も適しているのはどれですか。

    非武装地帯 (DMZ) に要塞ホストをインストールし、多要素認証 (MFA) アクセスを許可します。

  • 38

    パッチ管理プロセスの成功を判断するための最良の方法はどれですか?

    監査と評価

  • 39

    ある組織では、従業員が組織のデータを一般公開されているデータ ストレージに投稿していることを発見しました。データが適切に保護され、公開されないようにするために組織が実行する必要がある主な手順は何ですか。

    データ分類ポリシーを実装します。

  • 40

    セキュリティ エンジニアは、小規模なグループが迅速かつ継続的に独立してコードを開発、テストし、クラウドにデプロイすることで実装されるソフトウェア プロジェクトにセキュリティを統合する必要があります。エンジニアはどのソフトウェア開発プロセスと統合する可能性が最も高いですか?

    Devops 統合製品チーム (IPT)

  • 41

    開発中の Web ベースのアプリケーションに実装する必要があるセキュリティ制御を識別するための最適な方法はどれですか?

    アプリケーション脅威モデリング

  • 42

    伝送制御プロトコル/インターネット プロトコル (TCP/IP) モデルのネットワーク アクセス層に最もよく対応するオープン システム相互接続 (OSI) 層はどれですか。

    データリンク層と物理層

  • 43

    組織の小売ウェブサイトは唯一の収入源であるため、災害復旧計画 (DRP) では、計画の各ステップの推定時間を文書化する必要があります。DRP の次のステップのうち、サービスが完全に機能するまでに最も長い時間がかかるのはどれですか。

    ドメイン レジストラを使用してドメイン ネーム システム (DNS) サーバー アドレスを更新します。

  • 44

    監視制御およびデータ収集 (SCADA) システムでは、デバイスのマルウェアへの露出を減らすために、次のどの制御を使用できますか?

    SCADA デバイスの実行空間でテストされていないコードを許可しません。

  • 45

    ネットワーク上の Voice over Internet Protocol (VoIP) 通信をエンドツーエンドで保護するためによく使用されるセキュア トランスポート プロトコルは次のどれですか。

    セキュアリアルタイムトランスポートプロトコル (SRTP)

  • 46

    ある医療保険会社がソフトウェア アプリケーションの開発にベンダーを選択しました。情報セキュリティの専門家が契約案を確認したところ、ソフトウェア セキュリティが考慮されていないことに気付きました。この問題に対処するための最善のアプローチは何でしょうか。

    ベンダーがセキュリティ機能を提供する義務を負うように契約を更新します。

  • 47

    クラウドベースのアプリケーションを実装するときに、承認されたデータがアプリケーションに送信されることを保証できるセキュリティ ツールは次のどれですか。

    アクセス制御リスト (ACL)

  • 48

    ユーザーからサーバーへの認証を提供するクライアント サーバー インフラストラクチャは、次のどれを表しますか?

    ケルベロス

  • 49

    システム開発者は、ユーザーのラップトップでアプリケーションにアクセスする前に、アプリケーションが安全なデジタル署名をチェックすることを要求しています。どのセキュリティ メカニズムがこの要件に対応していますか?

    トラステッド プラットフォーム モジュール (TPM)

  • 50

    組織のリスク管理の意思決定をサポートするために、情報セキュリティ、脆弱性、脅威に関する継続的な認識を維持することを表すために使用される用語は次のどれですか。

    情報セキュリティ継続監視(ISCM)

  • 51

    次のファイアウォールのうち、トラフィックを転送する前にパケット間の「ハンドシェイク」のみを検査するものはどれですか

    回線レベルのファイアウォール

  • 52

    強制アクセス制御 (MAC) の用途は何ですか?

    ラベルで表される機密性に基づいてオブジェクトのセキュリティを可能にする

  • 53

    ある組織は、顧客がウェアラブル デバイスから得た情報を互いに共有する方法を開発しました。残念ながら、収集されたどの情報が共有されるかについてはユーザーに通知されていませんでした。組織のビジネス目標を達成しながらプライバシーの問題を解決するには、どのような技術的制御を導入する必要がありますか?

    デフォルトで、ユーザーはいかなる情報も共有しません

  • 54

    次のシステム コンポーネントのうち、オブジェクトへのアクセス制御を実施するものはどれですか。

    リファレンスモニター

  • 55

    セキュリティ テストの結果をレビューする際に期待値を設定する場合、レビュー担当者に伝えることが最も重要なのは次のどれですか。

    テストの結果は、ターゲットの特定の時点での評価を表します。

  • 56

    アプリケーションが実行不可能なメモリ領域からコードを実行できないように設計されたオペレーティング システム (OS) 機能の利点は何ですか?

    バッファにコードを保存する特定のエクスプロイトを防ぐのに役立ちます

  • 57

    次の実装のうち、Web サイトで高可用性を実現するものはどれですか?

    フェイルオーバー用に構成された地理的に分散した複数のWebサーバー

  • 58

    マントラップの外扉にとって重要な設計上の特徴は次のどれですか?

    警報を発した緊急ボタンで開けられるようにします

  • 59

    デジタル調査において最も重要なルールは次のどれですか?

    元のデータが変更されないようにします。

  • 60

    情報セキュリティの専門家が、顧客向けアプリケーションのユーザー アクセス制御を確認しています。アプリケーションには多要素認証(MFA) が実装されている必要があります。現在、アプリケーションにログインするにはユーザー名とパスワードが必要です。次のオプションのうち、MFA を最も適切に実装できるのはどれですか。

    ハードウェアトークンから自動生成された番号を入力する

  • 61

    Voice over Internet Protocol (VoIP) ネットワークを実装する際に考慮すべき主な事項は次のどれですか?

    音声ネットワークの分離の使用

  • 62

    テスト中に、親組織、法執行機関、およびコンピュータ インシデント対応チームに通知するための要件はどこに文書化されていますか?

    セキュリティ評価計画

  • 63

    セキュリティ アーキテクトは、さまざまなブランドのモバイル デバイスのセキュリティを評価することが義務付けられています。製品ライフサイクルのどの段階でこれが最も発生する可能性が高いでしょうか。

    開発

  • 64

    情報資産に関して最も正確な記述は次のうちどれですか?

    情報資産には、組織にとって価値のあるあらゆる情報が含まれます。

  • 65

    次の攻撃タイプのうち、送信中にデータの整合性を侵害するために使用できるものはどれですか?

    セッションハイジャック

  • 66

    セキュリティの誤った設定

  • 67

    セキュリティ ログを確認すると、管理ログイン イベントに表示されたパスワードは ' OR ' '1'='1' -- でした。これは、次のどの種類の攻撃の例ですか。

    構造化クエリ言語 (SQL) インジェクション

  • 68

    証明業務基準書 18 (SSAE-18) の機密性カテゴリを満たす最適な制御はどれですか?

    ストレージの暗号化

  • 69

    組織のビジネスおよびミッションリスクの増大を防ぐ上でソフトウェア保証が重要である理由を最もよく説明しているのはどれですか?

    意図したとおりに動作しないソフトウェアは悪用される可能性があり、攻撃に対して脆弱になります。

  • 70

    従業員の自宅住所は、次のどの基準に従って分類する必要がありますか?

    組織のデータ分類モデル

  • 71

    犯罪現場でのデジタル証拠収集の優先順位を決定する際に、法医学検査官が最初に実行する必要があるのは次のうちどれですか?

    ボラティリティの順序を確立する。

  • 72

    ネットワーク要件の変換を担当するソフトウェア定義ネットワーク (SDN) アーキテクチャ コンポーネントはどれですか?

    SDN コントローラ

  • 73

    最近、ある組織の内部監査で、ユーザー アカウントによる悪意のあるアクションが特定されました。さらに調査を進めると、問題のユーザー アカウントが複数の場所で複数のユーザーによって同時にさまざまなサービスやアプリケーションに使用されていたことが判明しました。今後この問題を防ぐ最善の方法は何でしょうか。

    各ユーザーが独自のアカウントを持っていることを確認します。

  • 74

    ソフトウェア開発ライフサイクル (SDLC) の一環として、セキュリティ設計上の欠陥を発見するための設計レビューを実行するのは誰でしょうか?

    セキュリティ専門家(SME)

  • 75

    初期のセキュリティ分類は、システム ライフサイクルの早い段階で実行し、定期的に確認する必要があります。これを正しく実行することが重要なのはなぜですか?

    セキュリティ要件を決定します。

  • 76

    サイバーフィジカルシステム (CPS) を設計する場合、セキュリティ担当者が最初に考慮すべき事項は次のうちどれですか?

    システムのリスク評価

  • 77

    ユーザーは「財務予測」というラベルのファイルにアクセスできますが、月曜から金曜の午前 9 時から午後 5 時までに限られます。これを実現するには、どのタイプのアクセス メカニズムを使用する必要がありますか。

    ルールベースのアクセス制御

  • 78

    ネットワーク アドミッション コントロール (NAC) を使用する利点は何ですか?

    NAC は、セッションが承認状態になる前にエンドポイントのセキュリティ体制の検証をサポートします。

  • 79

    組織の情報セキュリティ戦略計画はいつ見直す必要がありますか?

    事業に大きな変化があったときはいつでも

  • 80

    定評のある情報技術 (IT) コンサルティング会社が、成功している地元のスタートアップ企業の買収を検討しています。スタートアップ企業のセキュリティ体制を包括的に理解するには、どのタイプの評価が最も良い情報を提供しますか?

    セキュリティ監査

  • 81

    ある組織は、自社で構築した老朽化したレポート システムを置き換えるために、市販の既製 (COTS) システムを導入する予定です。組織のセキュリティ チームは、この導入のライフサイクルにいつ最初に関与すべきでしょうか。

    システムの必要性が表明され、システムの目的が文書化されている場合

  • 82

    Web ベースのアプリケーションの脆弱性を最小限に抑えるために、システムをロックダウンし、攻撃のリスクを最小限に抑える最初のアクションは次のどれですか。

    最新のベンダーパッチとアップデートを適用する

  • 83

    ある組織では、パスワードの複雑さと、10 分以内に 5 回の不正ログイン試行を強制するアカウント ロックアウト ポリシーを実装しています。ネットワーク ユーザーから、アカウント ロックアウトが大幅に増加したという報告があります。この会社が影響を受けているセキュリティ原則は次のどれですか。

    可用性

  • 84

    過去15年間に、ある会社では3回の電気系統の故障が発生しました。各故障に関連するコストは以下のとおりです。 アベラビリティ: $60,000 インテグリティ: $10,000 トータル: $70,000 次のうち、年間の損失予測として妥当なものはどれでしょうか。

    $14,000

  • 85

    セキュリティ担当者は、災害復旧 (DR) とビジネス継続性のベスト プラクティスをモデル化するよう求められています。担当者は、ビジネス継続性ポリシーを確立するには正式な委員会が必要であると判断しました。次のどれが、ビジネス継続性開発のこの段階を最もよく表していますか?

    プロジェクトの開始と管理

  • 86

    次のどれが多層防御の概念を最もよく表していますか?

    エンドポイントセキュリティ管理、ネットワーク侵入検知システム (NIDS)、ネットワークアクセス制御 (NAC)、特権アクセス管理 (PAM)、セキュリティ情報およびイベント管理 (SIEM)

  • 87

    デジタル署名された文書の信頼性を検証するために必要なのは次のどれですか?

    署名された文書のデジタルハッシュ

  • 88

    従業員のトレーニング、リスク管理、データ処理の手順とポリシーは、どのようなタイプのセキュリティ対策として特徴付けられますか?

    Administrative

  • 89

    病院の建物制御システムは、安全で快適な環境を維持するために環境設備を監視および操作します。ユーティリティ供給の中断のリスクを最小限に抑えるために使用できるのは次のうちどれですか

    重要なユーティリティへの悪影響を最小限に抑えることができるデジタル保護および制御装置

  • 90

    次の記述のうち、ステートフル パケット インスペクション ファイアウォールとステートレス パケット フィルタ ファイアウォールを最もよく区別するものはどれですか。

    SPI はセッションのコンテキストでトラフィックを検査します

  • 91

    ビジネス影響分析 (BIA) を実施する主な目的は何ですか?

    ミッションクリティカルな情報システムの障害がコアビジネスプロセスに与える影響を判断する

  • 92

    有限体における離散対数の計算の難しさからセキュリティを獲得し、キーの配布には使用されるが、メッセージの暗号化や復号化には使用できないアルゴリズムはどれですか?

    ディフィー・ヘルマン

  • 93

    実装されたセキュリティ制御を通じて部分的に容易に入手できる情報を利用して、事前に確立されたメトリックに従って情報を収集するために確立されているのは次のどれですか。

    情報セキュリティ継続監視(ISCM)

  • 94

    インターネット プロトコル セキュリティ (IPSec) を使用してリモート アクセス セッションを実行する場合、この接続ではどのオープン システム相互接続 (OSI) モデル レイヤーが使用されますか?

    ネットワーク

  • 95

    内部セキュリティ管理評価を設計する際の最初のステップとして考えられるのは次のうちどれですか?

    既知の制御の認識されたフレームワークに基づいて計画を作成します。

  • 96

    Open Web Application Security Project (OWASP) のソフトウェア保証成熟度モデル (SAMM) を使用すると、組織は柔軟なソフトウェア セキュリティ戦略を実装して、どのようなリスク管理の側面に基づいて組織への影響を測定できますか

    リスク対応

  • 97

    電子情報開示調査のためにハード ドライブの内容を複製する場合、ファイル レベルのコピーよりもビット レベルのコピーの方が望ましい主な理由は何ですか。

    削除されたファイルは転送されます

  • 98

    組織は社内データセンターの規模が大きくなりすぎたため、サードパーティのホスティング施設を検討しています。この評価では、次のうちどれが選択の主な要因になりますか?

    施設は許容できるレベルのリスクを提供する

  • 99

    大規模な製造組織が、新しい製品ラインを生産するために産業機械システムを購入する予定です。このシステムには、サードパーティ組織からベンダーに提供されるソフトウェアが含まれています。製造組織が生産を開始する場合の財務リスクは高くなります。購入前に、製造組織は新しい事業における財務リスクを最小限に抑えるためにどのような手順を踏む必要がありますか?

    認定された独立したソフトウェア テスト会社によってソフトウェアが徹底的にテストされることを要求します。

  • 100

    セキュリティ担当者がシステムとサブシステムが無効な入力を適切に処理できるようにするために使用できる最良の方法はどれですか?

    ネガティブテスト