CISSP（用語9）

100問 • 1年前

問題一覧

以下の記述のうち、コードレビューに関して正しいものはどれですか？

手作業による検査技術とソースコード解析技術は、コードレビューにおいて用いられる二つの主要な方法である。レビューでは、必要な機能の完全性、無関係なコードの非存在、デッドエンドや到達できないコード、悪意のあるコード（バックドアやトラップドア）、コーディングスタンダードの遵守、そしてコードが信頼できるソースから取得されているかを確認する。

アカウント管理およびIDとアクセス管理（IAM）に関する以下の記述のうち正しいものはどれですか？

IDとアクセス管理（IAM）は情報を保護する際に行われる最も重要なセキュリティ活動の一つであり、IAMの活動をレビューするためにはアクセス権限割り当て、ユーザーアカウントの作成と削除の記録、認証と承認のポリシーなど様々な文書や情報にアクセスする必要があります。

以下の記述のうち、合成トランザクションに関して正しいものはどれですか？

合成トランザクションは、システムやアプリケーションのパフォーマンス監視に用いられるスクリプトまたは自動化されたテストであり、実際のユーザートラフィックとは独立して動作し、事前に定義されたアクションをシミュレートする。

リアルユーザーモニタリング（RUM）についての以下の記述のうち、正しいものはどれですか？

RUMは、実際のユーザーがアプリケーションやウェブサイトとどのようにやり取りしているかをトラッキングし、そのパフォーマンスデータを収集・分析するためのテクノロジーです。

合成性能監視についての以下の記述のうち、正しいものはどれですか？

合成性能監視は、事前に定義されたトランザクションやアクションを繰り返し実行することで、アプリケーションやウェブサービスのパフォーマンスをプロアクティブに監視する手法です。

一般社員に向けたセキュリティ教育、トレーニング、アウェアネス（SETA）プログラムの目的と特徴について、以下の記述のうち正しいものはどれですか？

SETAプログラムは、情報セキュリティに関する意識を高め、環境の変化に対応するための教育、トレーニング、アウェアネスを提供します。教育では幅広い知識体系を提供し、トレーニングでは具体的な職務に関連する知識とタスクの習得を促し、アウェアネスでは最低限のセキュリティ理解の基準を確立し、問題への注意を促します。

以下の記述のうち、災害復旧（DR）と事業継続性（BC）計画に関して正しいものはどれですか？

災害復旧（DR）計画は、ITシステム、データ、およびインフラの復旧に重点を置き、事業継続性（BC）計画は、災害や緊急事態が発生した場合に組織が重要な業務を継続できるようにするための広範な戦略です。

企業が災害復旧（Disaster Recovery, DR）計画と事業継続性（Business Continuity, BC）計画を策定する主な目的は何ですか？以下の選択肢から最も適切なものを選んでください。

ITシステムや通信網がダウンしても、重要なビジネスプロセスを迅速に復旧するため

ある企業が事業継続性（BC）と災害復旧（DR）計画の有効性をテストするために訓練プログラムを実施しています。以下の訓練プログラムの説明の中で、それぞれの訓練がどのようなものか最も適切に説明している選択肢を選んでください。

机上演習は、具体的な災害シナリオを基にして、関係者が集まりその対応を議論する形式の訓練です。

以下の記述のうち、重要業績評価指数（KPI）と重要リスク指標（KRI）に関して正しいものはどれですか？

KPIは組織の目標達成度を測定し、パフォーマンスを管理するための定量的指標であり、KRIは組織が直面するリスクの早期警告信号として機能する定性的指標である。

組織が重要業績評価指数（KPI）と重要リスク指標（KRI）を策定する際に最も重要な考慮事項は何ですか？以下の選択肢から最も適切なものを選んでください。

KPIとKRIは組織の戦略的目標やリスクアペタイトに直接関連している必要があり、明確で測定可能で、関連性が高いものでなければならない。

セキュリティインシデントを検知するためには、様々なシステムコンポーネントからログを収集することが重要です。以下の選択肢から、インシデント検知に最も有効と考えられるログの種類を選んでください。

ネットワークトラフィックとセキュリティデバイス（ファイアウォール、侵入検知システム）のログ

組織がコンプライアンス要件を満たしていることを示すために、どの種類のログデータが必要でしょうか？以下の選択肢から最も適切なものを選んでください。

アクセス制御システムとユーザーアクティビティの監査ログ

組織のプロセス改善イニシアティブをサポートするために、どの種類のログデータが最も有用でしょうか？以下の選択肢から最も適切なものを選んでください。

ITヘルプデスクのサポートチケットと解決時間のログ

侵入検知システム（IDS）と侵入防止システム（IPS）の間には特定のトレードオフが存在します。以下の選択肢の中で、IDSとIPSのトレードオフに関して正しい説明をしているものはどれですか？

IPSは攻撃を自動的にブロックするが、この自動対応が誤検知によって正当なトラフィックを誤ってブロックするリスクを持ちます。一方、IDSは警告のみを提供し、誤検知のリスクがあってもトラフィックの流れを妨げません。

セキュリティ情報とイベント管理（SIEM）システムの主な機能と利点に関して、以下の記述のうち正しいものはどれですか？

SIEMは組織内の複数のセキュリティソリューションからのアラートを一元管理することで、セキュリティ運用の効率化を図ります

情報セキュリティ継続モニタリング（ISCM）プログラムを実装する際、以下のどの要素が不可欠であると考えられますか？

モニタリングプロセスの定期的なレビューとアップデート

セキュリティ情報とイベント管理（SIEM）システムと連携しているデータ損失防止（DLP）システムは、主にどのような種類の攻撃を防ぐことができますか？以下の選択肢から最も適切なものを選んでください

内部からの機密情報の不正な持ち出しや外部への漏洩

脅威インテリジェンスは、セキュリティインシデントをより効果的に防ぐために使用される情報です。以下の選択肢の中から、脅威インテリジェンスの活用に関して正しい説明をしているものを選んでください。

脅威インテリジェンスは、既知のマルウェア署名やIPブラックリストなどの情報を提供し、セキュリティシステムのアラートを強化します。

ユーザとエンティティのふるまい分析（UEBA）は、セキュリティ関連の脅威を検出するためのアプローチです。UEBAソリューションが提供する主な機能に関して、以下の記述のうち正しいものはどれですか？

UEBAソリューションは、ユーザやシステムの通常のふるまいパターンを学習し、異常な活動を検出するために利用されます。

セキュリティモニタリングシステムが最も検出が困難な攻撃や活動はどれですか？以下の選択肢から一つ選んでください。

攻撃者が警告のしきい値を超えないように、時間をかけて徐々に攻撃を行う（例: 低速のデータ漏洩）

セキュリティモニタリングシステムは、組織のネットワークとシステムにおけるセキュリティイベントを監視し分析しますが、その分析には限界があります。効果的なモニタリングと分析のために、セキュリティ担当者が考慮すべき重要な側面はどれでしょうか？以下の選択肢から一つ選んでください

モニタリングシステムからのアラートには誤検知や無関係なイベントが含まれることがあります。アラートの優先順位付け、文脈に基づく分析、および潜在的な脅威に対する追加調査が必要です。

セキュリティイベントがシステムに危害を加える可能性がある場合、そのイベントはインシデントと見なされることがあります。インシデントレスポンスのコンテキストにおいて、次の記述の中で最も適切なものを選んでください。

ンシデントは、システムや組織に危害を加える可能性があるセキュリティイベントです。インシデントレスポンスチームは、これらのイベントがインシデントであるかどうかを判断し、潜在的な被害を評価するために迅速に行動を起こす必要があります

NIST SP 800-61は、インシデントレスポンスのプロセスに関するガイドラインを提供しています。このスタンダードに基づいて、以下の記述の中で最も適切なものを選んでください

インシデントレスポンスプロセスは、インシデントの準備、検出と分析、封じ込め、根絶、回復、および事後レビューのフェーズを含むと定義されています。

以下の説明から、インシデントレスポンスとインシデント管理の違いを最も適切に説明しているものを選んでください。

インシデントレスポンスは、インシデントが検出された直後の緊急対応に重点を置いており、インシデント管理はインシデントの全ライフサイクルを通じて、対応、復旧、および予防を含むより広範なプロセスです。

ISO/IEC 27035は、情報セキュリティインシデント管理に関する国際標準です。この標準に従ったインシデントレスポンスプロセスについて、以下の説明の中から正しいものを選んでください

ISO/IEC 27035は、インシデントレスポンスにおける計画と準備、検出と報告、評価と決定、対応、および事後分析を含む5つのフェーズを定義しています。

SOAR（Security Orchestration, Automation, and Response）ソリューションの主な利点は何ですか？

セキュリティインシデントへの迅速な対応とセキュリティオペレーションの効率化

セキュリティにおける許可リストとブロックリストのアプローチに関する次の記述のうち、正しいものはどれですか？

許可リストは未知の脅威に対して効果的ですが、ブロックリストは既知の脅威にのみ対応できます。

次のうち、CPTEDの原則に基づいた犯罪防止の事例として正しいものはどれですか？

商業地区の通りに、適切な照明を設置して歩行者が周囲を容易に観察できるようにする

CPTEDの原則に従って設計された住宅地区について、犯罪を抑止するために採用される可能性が最も高い戦略はどれでしょうか？

敷地内の草木を整え、建物の外壁を明るい色に塗装することで、清潔感を保ち、領域性を強化する。

CPTEDの原則を考慮した場合、サーバルームを配置する最適な場所はどこでしょうか？

建物の内部に位置し、特定の人しかアクセスできない制限された場所

ワイヤリングクローゼット/中間配線施設（IDF）に関して正しいのはどの記述ですか？

ワイヤリングクローゼット/IDFはサイトのセキュリティとは別に管理されるべきであり、独自のセキュリティ対策を設ける必要がある。

イオン式と光電式の火災検知器にはそれぞれ異なる機能があります。以下の選択肢のうち、これらの検知器を適切に使用するシナリオを最も正確に説明しているのはどれでしょうか？

光電式検知器は、燃焼が遅く、煙が多く発生する火災に適しており、寝室や廊下に適している。

クラスBの火災が発生した場合、どのような対応が推奨されますか？

適切な消火剤（二酸化炭素、泡、粉末など）を使用して火を消す。

クラスCの火災が発生した場合、どのような対応が最も適切ですか？

適切な消火剤（二酸化炭素、粉末など）を使用して火を消す。

もしクラスCの火災が発生した場合、以下の選択肢の中から最も適切な対応策を選んでください。

非導電性の消火剤である二酸化炭素を使用して火を消す。

クラスBの火災が発生したときの対応として、以下の選択肢から最適なものを選んでください

泡消火剤を使用して火災を消火する。

クラスAの火災が発生した場合、以下の選択肢の中から最適な対応策を選んでください。

水または水溶性フォーム消火剤を使用して火を消す。

ある企業が国際的に認められた情報セキュリティ管理のスタンダードであるISO/IEC 27001に準拠していないとします。この企業が直面する可能性のあるリスクはどれですか？

法的要件や契約上の義務を満たせず、罰金や訴訟を受ける可能性がある。

従業員が企業の情報セキュリティポリシーに違反した場合、企業が直面する可能性のある結果はどれですか？

セキュリティ違反やデータ漏洩により、企業の評判が損なわれる。

迷ったときにみるもの

ガイドライン

判断の基準が書いてあるもの（本人が判断きるような）

プロシジャー

組織がリスクフレームワークを開発し、実装する際に最も重視すべき側面はどれですか？

リスクフレームワークを用いて、リスクを特定、評価、優先順位付けし、適切な対応策を講じる

以下の状況のうち、デジタルフォレンジック調査を行う必要が最も低いのはどれですか？

従業員が会社のコンピューターを使用して個人的な電子メールをチェックした

システムにジャーナル機能があり、すべてのトランザクションが正確に記録されている場合、以下のどの状況でデジタルフォレンジック調査の必要性が最も低いと考えられますか？

ジャーナルレコードが示すとおり、定期的なメンテナンス作業が計画通りに実施された。

デジタルフォレンジック調査において、調査の完全性を維持するために最も重要なステップはどれですか？

調査のすべての段階で証拠の連鎖を保持する。

デジタルフォレンジック調査において、証拠の収集と取り扱いに関するベストプラクティスに従った行動はどれですか？ A) B) C) D) 調査の範囲を拡大するために、関連する可能性のあるすべてのデバイスを再起動する。

証拠の整合性を保つため、オリジナルのデータは変更せず、可能な限りイメージングやコピーを使用する。

デジタルフォレンジック調査における報告と文書化に関して正しい記述はどれですか？

調査プロセス全体を通じて、行ったすべての手順、発見、および結論を詳細に記録する。

デジタルフォレンジックの専門家が裁判所に提出する報告書を作成している際に、以下の原則のうちどれを最も重視すべきですか？

報告書は読みやすく、専門外の人間にも理解しやすい言葉を使用すること。

デジタルフォレンジック調査において、収集された証拠の法的有効性を確保するために最も重要なプラクティスはどれですか？

証拠の収集と取り扱いに関する詳細な記録を維持し、管理の連鎖を確立する。

デジタルフォレンジック調査において、特定のシナリオに適した調査手法を選択する際に考慮すべき要素はどれですか？

調査するシステムの種類、使用されている技術、および事件の状況に基づき、自動キャプチャ機能と手動収集のバランスを取る。

企業が内部で直面している様々なシナリオに応じて、最も適切なデジタルフォレンジック調査の種類を選択してください。シナリオ: 企業内で機密情報が漏洩した疑いがあり、情報の漏洩経路と漏洩した情報の全範囲を特定する必要がある。疑われる行為は内部の従業員によるもので、現時点では法執行機関は関与していない。

行政調査

ビジネス影響度分析（BIA）は、組織のリスク管理プロセスの一環として行われます。以下の活動のうち、BIAを効果的に実施するために最も重要な要素はどれですか？

聞き取り調査

RPOとWRTを足したものは何ですか？

MTD

事業継続性計画（BCP）と災害復旧計画（DRP）は、組織のリスク管理戦略の重要な要素です。以下の説明のうち、BCPとDRPの役割と関係性を最も正確に表しているものはどれですか？

BCPは組織の全体的な継続性を確保するための計画であり、DRPは情報システムの復旧に特化している。

事業継続性と災害復旧（BCDR）計画において、経営層が果たすべき最も重要な役割は何ですか？

緊急時の意思決定を行い、リソースの割り当てと計画の優先順位付けを行う。

企業が情報技術リソースの適切な使用を保証するために、Acceptable Use Policy（AUP）を策定します。AUPの主な目的は何ですか？

ユーザーが情報技術リソースを安全に、かつ責任を持って使用するためのガイドラインを提供すること。

企業のセキュリティポリシーにおいて、外部のベンダー、コンサルタント、または契約者との作業を実施する際、エスコート要求（従業員の立ち合い）を含める理由は何ですか？

機密情報や重要なインフラストラクチャへのアクセスを監視し、セキュリティを維持するため。

企業の情報セキュリティリスクマネジメントプロセスにおいて、組織が直面する潜在的なセキュリティインシデントの影響を評価する際に考慮される4つの視点があります。次のうち、組織が所有する情報システムの価値とそのシステムが損害を受けた場合の潜在的な損失を重視するアプローチはどれでしょうか？

資産ベース（資産価値

情報セキュリティの文脈において、以下の定義をもとに、組織がリスクを評価する際に特に注目すべき要素はどれでしょうか？

システムの内在する弱点や欠陥（脆弱性）

情報セキュリティ管理におけるリスク対応戦略として、以下の選択肢の中から、企業が取り得るリスク事象の影響を直接的に減少させるための行動を指すものはどれでしょうか？

リスク低減 (緩和)

情報セキュリティリスクマネジメントにおいて、組織が取りうるリスク対応の手法の一つとして、リスクが現実のものとなった場合に被る損失を完全に避けるために、そのリスクに繋がる活動やプロジェクトを中止する選択を何と呼びますか？

リスク回避

次のうち、特定のリスクが組織に与える影響の大きさを、専門家の意見や過去の経験に基づいて相対的に評価するアプローチを指すのはどれでしょうか？

定性的リスク評価

次のうち、組織のセキュリティポリシーと手順に関連するガイドラインを提供するコントロールはどれでしょうか？

管理的コントロール

不正アクセスからネットワークを守るデバイスを指すコントロールはどれでしょうか？さらに、侵入者が物理的に施設にアクセスするのを防ぐために使用されるコントロールはどれでしょうか？

技術/論理的コントロール

ある組織が新しい情報技術資産を導入する際に考慮すべきリスクを評価しています。以下のリスクの中で、サプライヤーが提供するサービスが第三者による攻撃によって影響を受ける可能性に直面している状況を最もよく表しているのはどれでしょうか？

サプライヤーが攻撃され、提供しているサービスが中断または損なわれるリスク。

ある組織が新しいデータ保護法に準拠するための方針を策定しています。この法律は、顧客データを処理する際の厳格なプライバシー保護を要求しています。組織がこの新しい法律を遵守する上で最も重要なステップは次のうちどれですか？

法律に準拠したデータ保護ポリシーを策定し、従業員に対してトレーニングを実施する

組織が自社の情報セキュリティ管理体制を業界標準に適合させたいと考えていますが、現在のポリシーとプロセスがこれらの標準に適切にマッチしていないことが明らかになりました。組織がこのギャップを担保し、業界標準に準拠するために最初に実施すべきステップはどれですか？

現在のポリシーとプロセスをレビューし、業界標準との差異を評価するギャップ分析を実施する

欧州連合（EU）のデータ保護指令と米国のプライバシー法規との間に存在する違いを調整するために設けられたフレームワークは何でしょうか？

EU-USプライバシーシールド

個人が自分に関する否定的な情報の削除を求めた場合、データ管理者が忘れられる権利の要請に応じるかどうかを判断する際に考慮すべき最も重要な要因は何ですか？

情報が現在も公共の利益に関連しているかどうか

GDPRの下で定められているデータポータビリティの権利に関連し、データサブジェクトが自分の個人データをあるデータコントローラーから別のデータコントローラーに転送する際に重要なのはどの要素ですか？

データが構造化されており、一般的に使用されるフォーマットであること

あるEU加盟国に拠点を持つ企業が、個人データをEU/EEAの外にある別の国に転送しようとしています。この企業がGDPRの規制に準拠してデータ転送を行うために必要なのは次のうちどれですか？

転送先の国が十分なデータ保護水準を提供していると認定されていることを確認する

国際的な企業のサーバがサイバー攻撃によりデータ侵害を受け、顧客の個人データが不正にアクセスされました。このサーバは、データのサブジェクトであるユーザーが居住する国とは異なる国に位置しています。この状況におけるデータ侵害の調査に際して、法的対応を検討する上で最も重要な要因は何ですか？

サーバの所在国とユーザーの居住国の両方の法律に準拠する

米国において、ある企業が自社のデジタルコンテンツが無断でオンラインに共有されていることを発見しました。企業が自社の著作権を保護し、違法な共有を停止させるために最初に取るべき行動は何ですか？

DMCAに基づく著作権侵害通知をインターネットサービスプロバイダーに送付する

ある企業が開発した高度な暗号技術を含むソフトウェア製品を国外に輸出しようとしています。企業が国際的な輸出統制規制を遵守するために必要な手続きは何ですか？

自国の輸出統制当局に対し、適切な輸出ライセンスを取得する

ある企業が、EUに基づいて収集した個人データを非EU国にある自社の別の部門に転送したいと考えています。この企業がデータの越境転送を行う際にGDPRの要件に従うために必要な措置は何ですか？

EUと非EU国間の任意のデータ転送合意書に署名する

開発チームが新しいウェブアプリケーションを設計しています。セキュアな設計の原則を適用するために、チームがプロジェクトの初期段階で確実に行うべきことは何ですか？

開発初期からセキュリティ要件を定義し、設計プロセスに組み込む

ある企業が最小権限の原則を全社的に実施しようとしています。この原則に則ったアクセス制御の実装に関して、次のうちどれが最も適切な措置ですか？

従業員が通常の業務で必要とする機能のみにアクセスできるようにするが、特別な要求がある場合はその都度権限を拡大する

ある企業がセキュリティ体制を強化するために多層防御戦略を採用しようとしています。情報セキュリティの責任者として、多層防御のアプローチを計画する際に特に注力すべき点は何ですか？

さまざまなタイプのセキュリティ対策を組み合わせ、異なる層にわたって防御を構築する

新しいWi-Fiルーターの製造業者として、セキュアなデフォルトの原則に従い、製品のセキュリティを向上させるためにどのような措置を講じるべきですか？

デフォルトパスワードを設定するが、ルーターへの初回アクセス時にユーザーにパスワードの変更を強制する

ある企業がセキュリティシステムを設計しており、システム障害時の安全性とセキュリティの保持に重点を置いています。次のうち、フェイルセーフとフェイルセキュアの設計原則に最も適合する措置は何ですか？

システム障害時には、データベースが自動的にロックされ、外部からのアクセスを完全に遮断する

会計部門の管理者が新しい内部プロセスを設計しており、職務の分離の原則を適用して不正行為のリスクを減らしたいと考えています。この管理者が取り入れるべき最も効果的な措置は何ですか？

販売注文の作成、承認、および支払い処理を異なる従業員が行うようにする

あるソフトウェア開発会社が新しいシステムの開発を行っています。開発プロセスにおいて、シンプルなプロシージャと設計の重要性を強調したいと考えています。プロジェクトマネージャーが推進すべきはどのようなアクションですか？

コードの可読性と再利用性を高めるために、コーディング標準とリファクタリングを定期的に行う

企業がゼロトラストセキュリティモデルを採用することを決定しました。セキュリティチームはこの新しいモデルを実装するために、どのような施策を優先的に実施する必要がありますか？

ネットワークセグメント化を実施し、アクセスには厳格なユーザー認証と再認証プロセスを適用する

新しいオンラインショッピングプラットフォームを開発する際に、プライバシー・バイ・デザインの原則を導入することが要求されています。開発チームがこの要求を満たすために取り入れるべき実践はどれですか？

デフォルトでデータ収集を最小限にし、ユーザーに明示的な同意を求める

ある企業がクラウドサービスを導入しており、セキュリティとプライバシーの維持に関する責任の分担を理解する必要があります。この企業が共有責任モデルに基づいて行うべきアクションはどれですか？

クラウドプロバイダーによって提供されるインフラのセキュリティは信頼するが、自社のデータとアプリケーションのセキュリティは自社で管理する

IT資産管理のライフサイクルを適切に実施する主な理由はどれか？

組織が所有する情報資産とその場所を把握し、適切なセキュリティ保護を施すため

情報資産のインベントリを適切に維持する主な目的はどれか？

情報資産の数と場所を把握し、必要なセキュリティ保護を施すため

分類とカテゴリ化のプロセスが情報セキュリティ管理において重要なのはなぜですか？

重要な情報と機密情報を特定し、適切な保護を施すため

情報の分類とカテゴリ化によって得られるメリットはどれですか？

組織におけるセキュリティ意識の向上と法的要件の遵守を支援するため

組織の情報資産の分類とカテゴリ化のプロセスにおいて潜在的に直面する問題はどれですか？

分類とカテゴリ化の一貫性の欠如によりデータ侵害のリスクが生じること

データセキュリティライフサイクルの管理において、組織が注意すべき重要な側面はどれですか？

データが作成されてから破棄されるまでの間に、人や組織が果たすべき役割を確認し、データを適切に管理すること

データオーナーの責任にはどれが含まれますか？

データの価値を決定し保護する

データコントローラーの役割は何ですか？

個人データの処理や保護の目的と方法を決める

データプロセッサーの主な責務は何ですか？

データオーナーの指示に従ってデータを処理する

データカストディアンの主な責任は何ですか？

データの完全性と機密性を維持することに責任を持つ

DLPシステムが企業環境において果たす主な役割は何ですか？

データの漏洩を防止する

DRM技術が一般的に使用されるシナリオはどれですか？

オンラインで販売される電子書籍の複製を制限する

DLPとDRMの組み合わせがビジネスにおいてどのように役立つ可能性がありますか？

機密情報の不正な共有を防ぎ、著作権を持つコンテンツの使用を制御する

100

DRMが実施するコンテンツ制御の一例は何ですか？

ユーザーが特定の文書を印刷できる回数を制限する

CISSP_test1

エッグスンシングス · 100問 · 2年前

CISSP_test1