CISSP（用語13）

76問 • 1年前

問題一覧

事業継続性に特化したコントロールが時間の経過とともに効果的に機能しているかを評価するSOCレポートはどれですか？

SOC 1 Type 2

ある企業のIT部門は、ソフトウェアのアップデートやシステムの変更を管理するための形式的なプロセスを確立したいと考えています。彼らは変更が組織に与える影響を最小限に抑えつつ、必要な変更を効果的に実施できるようにしたいです。変更管理プロセスの導入にあたり、以下のどの活動が重要ですか？

変更要求（RFC）を作成し、それを変更管理プロセスに従って開発、テスト、リリースまで進める

ITとセキュリティに特化した内部コントロールの設計と運用の有効性をデューデリジェンスの目的で評価するために使用されるSOCレポートタイプはどれですか？

SOC 2 Type 2レポート

サービス組織のシステムとコントロールが一定の日付において、事業継続性とITセキュリティに関連する基準を満たしていることを示すために利用されるSOCレポートのタイプはどれですか？

SOC 2 Type 1

サービス組織が提供するクラウドサービスに対するセキュリティとプライバシーのコントロールが、長期間にわたって効果的に運用されていることを確認するために必要なSOCレポートタイプはどれですか？

SOC 2 Type 2

組織が顧客や公衆に対して、セキュリティ、可用性、処理完全性に関する内部コントロールについての概要を提供するために使用されるSOCレポートはどれですか？

SOC 3レポート

コモンクライテリアにおける最も基本的な評価保証レベル（EAL）はどれですか？

EAL1

モンクライテリアで定められている評価保証レベル（EAL）の中で、形式的検証済み設計およびテストを含む最も高いレベルはどれですか？

EAL7

コモンクライテリアの評価保証レベル（EAL）のうち、準形式的検証済み設計およびテストが要求されるレベルはどれですか？

EAL6

サプライチェーンセキュリティに関連する次の原則のうち、組織が自身のセキュリティニーズに対する見解をサプライヤに伝達し、最低限のセキュリティ要件を設定および伝達することを含むのはどれですか？

コントロールの確立

外部監査プロセスにおいて、監査対象のスコーピング、目的、スタンダード、関係者、日程調整、報告形式を定義する文書は何と呼ばれますか？

監査憲章

内部監査プロセスにおいて、組織のポリシー、プロシージャ、運用に対する内部コントロールの有効性を検証するために行う、具体的かつ継続的な活動は何と呼ばれますか？

コントロールテスト

評価活動におけるテーラリングとは、どのようなプロセスを指しますか？

特定のプロジェクトや組織の適合

コンプライアンステストと実証手続の違いを最もよく説明しているのは次のうちどれですか？

コンプライアンステストはコントロールが適切に運用されているかどうかを判断するのに対し、実証手続はプロセスの適切な動作を評価する。

倫理的ペネトレーションテストと脆弱性調査の主な違いは何ですか？

倫理的ペネトレーションテストは実際の攻撃を模倣してセキュリティ強度を評価するのに対し、脆弱性調査はシステム内の既知の脆弱性を識別すること。

ソフトウェア開発プロセスにおいて、コードレビューとテストの目的に関して正しい説明はどれですか？

コードレビューは設計とコーディングの欠陥の数と重大度を低減するために行われ、テストは実行中のプログラムが意図した通りに動作するかを検証するために行われる

ミスユースケーステストの目的は何ですか？

システムやセキュリティの障害に繋がる悪意ある活動をシミュレートして検証すること

テストカバレッジ解析の目的は何ですか？

ソフトウェアテストがどの程度ソフトウェア構造をカバーしているかを示すメトリクスを提供すること

インターフェーステストの主な目的は何ですか？

ソフトウェアコンポーネント間、またはシステム間のデータ交換が正しく機能することを検証すること

倫理ペネトレーションテストを実施する際の基本的な方法論のステップとして不適切なものはどれですか？

検出された脆弱性を利用して実際に損害を与える攻撃を行う。

倫理的ハッキングの主な目的は何ですか？

システムや製品の脆弱性を調査、探索、リバースエンジニアリングを通じて検出すること

倫理ペネトレーションテストのプロセスにおいて、脆弱性を実際に利用してセキュリティの弱点を検証するステップは何と呼ばれますか？

エクスプロイト

ペネトレーションテストにおいて、ターゲットシステムのオープンポートやサービスを識別するためにポートスキャンを実施するのはどのステップですか？

探索

ペネトレーションテストにおいて、システムやネットワークのセキュリティ上の弱点を探し出すために脆弱性スキャンを行うステップはどれですか？

スキャン

ウェブ監視手法の1つであり、実際のユーザー操作を記録して、ウェブアプリケーションやシステムのパフォーマンスと適切な動作を監視する方法は何と呼ばれますか？

リアルユーザー管理

ウェブサイト監視において、事前に定義されたアクションやユーザー行動をエミュレートするために動作スクリプトを利用して、実際の顧客のウェブサイト利用をシミュレートする手法は何と呼ばれますか？

合成トランザクション

外部エージェントがWebアプリケーションに対してスクリプト化されたトランザクションを実行し、ユーザーエクスペリエンスを含むシステムの性能を評価するプロアクティブな監視手法は何と呼ばれますか？

合成性能監視

幅広い問題に適用できる知識体系を教える活動は何と呼ばれますか？

教育

職務を実行するために必要な知識を習得するための活動は何と呼ばれますか？

トレーニング

組織が緊急事態においても重要な業務を継続し、通常の運営に戻ることができるようにするために策定される計画は何と呼ばれますか？

事業継続計画 (BCP)

組織のパフォーマンスを評価するために使用され、過去の活動を精査する測定基準に基づく指標は何と呼ばれますか？

重要業績評価指数 (KPI)

組織のリスクプロファイルを測定し、将来的にリスクが顕在化することをいち早く察知して被害を抑えるために設定されるモニタリングする指標は何と呼ばれますか？

重要リスク指標 (KRI)

政府が知り得たセキュリティの脆弱性に対して、それを秘密に保持し続けるか、修正のために公開するかを決定するための公式なプロセスは何と呼ばれますか？

VEP (Vulnerabilities Equities Process)

企業のネットワークセキュリティチームは、ネットワーク上で不審な活動を監視し、セキュリティ違反が疑われるときにアラートを発するシステムを実装したいと考えています。彼らが探しているシステムは次のうちどれでしょうか？

IDS

ある製薬会社は、研究データが保存されているエンドポイントデバイスが高度な持続的脅威（APT）による攻撃を受けやすい環境にあると判断しました。同社は、攻撃の兆候を早期に検知し、迅速に対応できるセキュリティシステムの導入を検討しています。この状況に最適なセキュリティソリューションは次のうちどれでしょうか？

EDRの導入

ある金融機関が、ネットワーク上で発生する複数のセキュリティイベントをリアルタイムで集約し、相関分析を行ってセキュリティインシデントを迅速に発見し対処するためのシステムの導入を検討しています。同機関は特にコンプライアンス遵守のための監査トレイルとしても利用したいと考えています。このニーズに最も適したセキュリティソリューションは次のうちどれでしょうか？

SIEM

ある企業が情報セキュリティのリスクを管理し、組織のセキュリティ状態に対する継続的なアウェアネスを維持するための手法を探しています。この企業はセキュリティ対策の有効性を評価し、必要に応じて迅速に対策を調整できるプロセスを実装したいと考えています。この目的を達成するために最も適したアプローチは次のうちどれでしょうか？

継続モニタリングの実装

ある企業のIT部門は、データベースのトランザクションログをリアルタイムで別の地理的な場所に複製し、災害発生時にもデータの継続性を保証するソリューションを探しています。この企業がデータベースの耐障害性を高めるために導入するべき技術は次のうちどれでしょうか？

リモートジャーナリングの実装

セキュリティチームが、組織に対する将来のサイバー攻撃を予測し、適切な防御策を講じるために、攻撃者の能力、動機、目標を分析する情報を必要としています。彼らは、外部ソースから提供される情報と組織内で収集されるデータを活用して、より効果的なセキュリティ対策を立てたいと考えています。この目的を達成するためにセキュリティチームが取り入れるべきプラクティスは次のうちどれでしょうか？

脅威インテリジェンスの収集と分析

企業のセキュリティチームは、組織内の異常な行動を検知し、内部脅威や侵入者による潜在的なセキュリティ違反を早期に発見するためのソリューションを探しています。彼らは、ユーザの通常の行動パターンからの逸脱を機械学習を用いて識別し、IAM（Identity and Access Management）環境においてもセキュリティ監視を強化したいと考えています。この要件に最適なソリューションは次のうちどれでしょうか？

ユーザとエンティティのふるまい分析 (UEBA)の導入

ある組織が、ソフトウェアの脆弱性を修正し、セキュリティを向上させるためにパッチを効率的かつ安全に適用するプロセスを整備したいと考えています。彼らは、パッチ適用によるリスクを最小限に抑え、組織内の全システムに一貫したセキュリティ基準を維持したいとしています。この目的を達成するために、組織が実施するべき最も重要なステップは次のうちどれでしょうか？

パッチ適用前に変更管理プロセスに従ってテストと承認を行う

組織のセキュリティチームは、継続的にシステムの脆弱性を特定、評価し、それらに対処するための包括的なプロセスを実装したいと考えています。彼らの目標は、セキュリティリスクを低減し、コンプライアンス要件を満たすことです。組織が脆弱性管理プログラムを効果的に運用するために実施すべきキーアクティビティは次のうちどれでしょうか？

脆弱性スキャンの実施とリスクに基づいた脆弱性の優先順位付け

ある企業が、情報システムのセキュリティを保護するために、ソフトウェアアプリケーションやシステムの構成要素の変更を監視し管理するプロセスを強化したいと考えています。彼らは、誤った構成変更によってセキュリティが低下することを避け、組織のセキュリティ基準に準拠していることを保証するための手法を確立することを目指しています。この目的を達成するための重要なステップは次のうちどれでしょうか？

構成管理データベース（CMDB）を使用して構成アイテム（CI）の状態を記録し、変更を追跡する

セキュリティアナリストが、組織に影響を及ぼす可能性のある脆弱性の深刻度を評価しようとしています。彼は、脆弱性の本質的な特性を理解し、その潜在的な影響を決定するための指標を求めています。脆弱性の深刻度を評価する際に彼が最初に参照すべき評価基準は次のうちどれでしょうか？

基本評価基準

セキュリティマネージャーは、組織のシステムに存在する既知の脆弱性のリスクを定期的に再評価しています。彼は、脆弱性が発見されてから現在に至るまでの時間の経過や、利用可能な対策の有無などを考慮に入れたいと考えています。脆弱性の深刻度を時点に応じて更新するために、彼が参照すべき評価基準は次のうちどれでしょうか？

現状評価基準

ある組織のセキュリティチームは、特定の脆弱性が自社の特定の運用環境にどの程度影響を及ぼすかを把握しようとしています。彼らは、自社のネットワークやシステムにおける脆弱性の重要性を理解するために、組織固有のコンテキストを考慮した評価を行いたいと考えています。組織のセキュリティポスチャと運用環境に最も関連する脆弱性の評価基準は次のうちどれでしょうか？

環境評価基準

ITインフラストラクチャ担当のマネージャーが、組織内の変更管理プロセスを統合し、改善したいと考えています。彼は、変更に関する活動を統括し、ステークホルダーの関与と承認のための構造を提供するために、適切なガバナンスボディを設置する必要があると感じています。また、変更が適切にリソースを確保して実施されることも保証したいと考えています。このマネージャーが設置すべき組織構造は次のうちどれでしょうか？

変更管理委員会

IT部門のマネージャーは、最近発生したセキュリティインシデントの再発を防ぐために、問題の根本原因を特定したいと考えています。彼は、その原因を解決することで、類似のインシデントが将来起きるリスクを減らすことができると理解しています。以下の選択肢のうち、根本原因分析（RCA）のプロセスにおいて、彼が行うべき主要なステップはどれでしょうか？

インシデントの発生した経緯を詳細に調べ、根本原因を特定する

ある企業がセキュリティインシデントに対応するためにSOARソリューションを導入しました。次のうち、SOARの自動化機能として最も適切な例はどれでしょうか？

フィッシング詐欺を検知して自動的に関連するメールアカウントを無効にする

企業のセキュリティチームは、検知策と防止策の運用と維持を改善するために新しい技術を導入することを検討しています。以下の選択肢のうち、Software Defined Security（SDS）の概念を反映し、最も効果的な運用と維持を可能にするのはどれでしょうか？

SDSを採用してセキュリティポリシーを自動化し、変更が必要な場合には迅速にポリシーを適用できるようにする。

企業が新しいオフィスビルを建設しており、セキュリティ上の懸念を考慮してサーバールームの配置を決定する必要があります。CEPTED（Crime Prevention Through Environmental Design）の原則に基づき、次のどの場所がサーバールームに最も適しているでしょうか？

中央の階

Uptime Instituteが定義するTier分類システムにおいて、最も基本的なレベルであり、単一の配電経路と単一の冷却経路を持ち、計画的メンテナンスや突発的な障害がサービスの中断に直接つながる可能性があるデータセンターのインフラを指します。このような特性を持つデータセンターはどのTierレベルに相当するでしょうか？

Tier I

このTierレベルのデータセンターでは、Tier Iの基本構造に加えて、冗長性のあるコンポーネントが導入されています。これにより、システムの一部が故障しても、データセンター全体の運用には影響しません。ただし、計画的なメンテナンスの際にはサービスの中断が発生する可能性があります。このような特性を持つデータセンターはどのTierレベルに相当するでしょうか？

Tier II

このデータセンターのTierレベルは、N+1の冗長性を持ち、計画的メンテナンスが行われる際にも、サービスの中断が生じないように設計されています。これにより、非常に高いレベルの稼働率が求められる場合に適しています。このTierレベルに分類されるデータセンターのインフラはどれでしょうか？

Tier III

2N+1の冗長性を持つ完全なフォールトトレラントシステムを特徴とします。計画的メンテナンスや突発的な障害が発生しても、データセンターの運用が中断されることはありません。このような特性を持つデータセンターのインフラはどのTierレベルに該当しますか？

Tier IV

オフィスビルのセキュリティ管理チームが、既存の火災検知システムをアップグレードすることを検討しています。特に、煙の粒子による光の変化を測定して早期に火災を検知する能力を向上させたいと考えています。次のうち、この要件に最も適した火災検知器のタイプはどれでしょうか？

光電式煙検知器

ある企業が新しいオフィスビルのセキュリティシステムを構築しています。ビルの管理者は、燃焼によって放出されるイオン化粒子を検出するタイプの煙検知器を採用したいと考えています。このようなイオン化粒子を検出する火災検知器のタイプは次のうちどれでしょうか？

イオン式煙検知器

データセンターでの火災検知のために、周囲の空気を少量ずつ吸い込み続けて煙を検知するシステムを導入する計画があります。このような吸引式センサーを使用した高感度な煙検知システムとして知られているのは次のうちどれでしょうか？

VESDA

ある企業が高価な電子機器を格納している施設に対して火災抑制システムを設置することを検討しています。彼らは、火災の初期兆候が検知されると配管に水が供給され、スプリンクラーヘッドの熱センサーが高温を検知すると放水を開始する、即応性のある消火システムを求めています。この要件に最も適合する消火システムのタイプは次のうちどれでしょうか？

予作動式消化システム :

デジタルフォレンジック調査において、調査の完全性を維持することは最も重要な側面の一つです。次のうち、フォレンジック調査の完全性を保つための適切な手順はどれでしょうか？

フォレンジックディスクコントローラを使用して、ディスクへの書き込みを防ぎ、読み取り専用にする

デジタルフォレンジック調査において、証拠の収集と取り扱いは、事件の事実を解明する上で不可欠なプロセスです。以下の選択肢のうち、証拠の収集と取り扱いに関して正しい説明をしているものはどれでしょうか？

証拠カストディアンは、証拠の連鎖を維持する責任を持ち、関連する全ての証拠の処理を監督する。

デジタルフォレンジックにおいて、報告書と文書化は、証拠が法廷での審議に耐えうるようにするために重要です。報告と文書化の過程で、証拠の認容性を最も確実にするためにはどのようなプラクティスが求められますか？

証拠は、調査者が関与する全てのステップについて詳細な記録を残しつつ、規定された手順に従って収集・分析する。

法廷における伝聞証拠ルールは、証拠としての証言の信頼性を確保するための重要な原則です。このルールに関して正しい説明はどれでしょうか？

第三者の話したことは原則として証拠にならず、情報の提供者自身が証言する必要がある。

法的な文脈における最良証拠ルールは、証拠の品質に関する基準を設けています。このルールに基づくと、どのような証拠が法廷での審議に最も適しているとされていますか？

原則として、証拠としては、事象の記録のコピーではなく、オリジナルの文書や物証が求められる

口頭証拠ルール（Parol Evidence Rule）は、書面による契約に関連する法的原則です。このルールに基づいて、どのような状況が該当する場合、口頭での合意や声明が法廷で証拠として除外されるでしょうか？

書面の契約には明記されていないが、契約当事者間で口頭で合意された条項が存在する場合

組織が損害を与えることなく停止できる最長時間を指す指標はどれでしょうか？これは事業継続計画（BCP）において重要な基準となります。選択肢から正しい答えを選んでください。

MTD

組織が災害発生後、クリティカルなビジネスプロセスやシステムを復旧させるために設定する目標時間はどれでしょうか？この時間は、事業継続計画（BCP）および災害復旧計画（DRP）において重要な役割を果たします。以下の選択肢から正しい答えを選んでください。

RTO

あるスタートアップ企業が、独自の技術に関する重要な情報を外部のマーケティング会社に提供することを検討しています。このスタートアップが情報漏洩を防ぐために利用すべき契約のタイプはどれでしょうか？以下の選択肢から、最も適切な契約タイプを選んでください。

一方向NDA

二つの企業が新しい共同プロジェクトを開始するにあたり、互いに重要な機密情報を共有する必要があります。この機密情報が外部に漏れることなく、双方の利益を保護するために締結すべき契約のタイプはどれでしょうか？以下の選択肢から正しい契約タイプを選んでください。

相互NDA

ある大型プロジェクトにおいて、複数の企業がそれぞれの専門知識を持ち寄り、緊密に協力して開発を進めています。プロジェクトの性質上、多くの機密情報がプロジェクトに関わる各企業間で共有される必要があります。これらの企業が機密情報の保護とプライバシーを確保するために締結すべき契約のタイプはどれでしょうか？以下の選択肢から正しい契約タイプを選んでください。

多角的NDA

従業員が会社の情報システムを使用する際のガイドラインや規則を定めた文書は一般に何と呼ばれますか？以下の選択肢から正しい名称を選んでください。

受け入れ可能使用ポリシー（AUP）

リスクマネジメントにおける4つの視点のとして間違っているものを次の選択肢から選んでください。

成功ベース

ある企業が新しいソフトウェアを導入しようとしていますが、このソフトウェアにはデータ漏洩のリスクがあることがリスク評価で明らかになりました。しかし、このソフトウェアは効率を大幅に向上させ、競争力を高めると予想されています。企業は追加のセキュリティ対策のコストが利益に見合わないと判断し、既存のセキュリティ対策を維持しながらソフトウェアを使用することを決定しました。この企業のリスクマネジメント戦略の一環として行ったこの決定は何と呼ばれますか

リスク受容

企業がリスク管理プロセスの中で、ある特定のビジネス活動やプロジェクトが関連するリスクがあまりにも大きいと判断し、その活動やプロジェクトを完全に中止することを選択する場合、このアプローチは何と呼ばれますか？以下の選択肢から正しいリスク管理戦略を選んでください。

リスク回避

ある企業が新しいデータセンターの立地を選定しています。セキュリティチームは、異なる立地に関するリスク評価を行い、それぞれの場所における自然災害の発生確率、地理的な安全性、および潜在的な運用障害を考慮する必要があります。しかし、この評価には具体的な数値データが不足しており、主観的な尺度を用いることが求められています。セキュリティチームがこの状況で採用すべきリスク評価のタイプは何でしょうか？

定性的リスク評価

ある企業がITインフラに対するサイバーセキュリティリスクを評価しています。彼らは過去のデータと統計モデルを用いて、特定のセキュリティインシデントが1年間に発生する確率（ARO）と、そのインシデントが発生した場合の損失額（SLE）を計算したいと考えています。この情報をもとに、企業は1年間における予想される総損失額（ALE）を算出しようとしています。このように具体的な財務数値を用いてリスクを評価するアプローチは何と呼ばれますか？

定量的リスク評価

CISSP_test1

エッグスンシングス · 100問 · 2年前

CISSP_test1