(ISC)2の倫理規約における規範は以下の通りです。

• 社会、公益、公共から求められる信頼と信用、インフラを守る。
• 法律に違わず、公正かつ誠実に責任を持って行動する。
• 原則に基づき、優れたサービスを提供する。
• 専門性を高め、維持する。

よって正解は、「上記すべて」になります。

これは、リスク回避の典型的な例です。シニアマネジメントは、報酬がリスクに見合わないため、そ の事業が戦略的目標に適合しないと判断したのです。

また、この回答はCISSPらしいといえるでしょう。セキュリティリスクに対してすべて対応するのではなく企業目標を達成するための最低限のレベルを確保するものであり、コストメリットが無ければ否定します。

2001年の同時多発テロ事件は、テロに対する様々な法整備がされるきっかけとなりました。よって正解は、「2001年、同時多発テロ事件」になります。

〇：トロイの木馬

トロイの木馬とは、伝染するとき一見無害そうに見えるマルウェアです。いやらしい画像をダウンロードしたら、急にパソコンが立ち上がらなくなったとかありますでしょうか。

×：スパイウェア

スパイウェアとは、悪さするとき一見無害そうにするマルウェアです。こっそりパソコンの情報を外に持ち出します。

×：ウイルス

ウイルスとは、ユーザの操作なしに伝染し、他のプログラムにくっつくマルウェアです。無害そうに見えますが、アプリケーションをダウンロードという点で一致しません。

×：データディドラー

データディドラーとは、時間経過とともに少しずつデータを変更するマルウェアです。

「倫理項目ではないもの」を選ぶ問題です。インターネットを使う者に対して、IAB（Internet Activities Board）によるインターネットの資源の正しい利用についての表明されています。

• インターネットの資源への認可されていないアクセスを得ようとすること。
• インターネットの意図された利用を混乱させること。
• そのような活動を通じて資源（人、能力およびコンピュータ）を無駄にすること。
• コンピュータベースの情報の完全性を破壊すること。
• ユーザーのプライバシーを侵すこと。

スコーピングは、標準のどの部分を組織に展開するかを決定します。要望または業界に適用される標準を選択し、組織範囲内にあるものと範囲外にあるものを決定します。

〇：費用便益分析

許容範囲内でリスクを低減するためにコントロールを設置することを要求するために、リスクが現実的で十分に可能性があり、十分にインパクトがあると識別される対策を選択する必要があります。可能な対策のコストと便益を分析するだけで、どのような対策を取るべきかを決定することができます。

×：リスク分析

リスクの決定が、許容可能な閾値内でリスクを制御するために必要とされる可能性があることを特定する最初のステップに過ぎないため、誤りです。

×：ALEの算出

年間予想損失額（ALE）は、特定の脅威が実際になった場合に失う可能性があることを会社に知らせるためのものです。ALEの価値は費用対効果の分析に入りますが、ALEは対抗措置の費用と対策のメリットに対処していません。

×：リスクを引き起こす脆弱性と脅威の特定

脆弱性や脅威の評価が対策の必要性を認識させているにもかかわらず、その評価だけでは競合​​する対策の中でどのようなコスト効果が見込まれているのか判断できないため正しくありません。

〇：商標

知的財産は資源の種類に応じて、いくつかの異なる法律によって保護することができます。 商標は、ロゴなど、単語、名前、シンボル、サウンド、形、色、またはこれらの組み合わせを保護するために使用されます。企業がこれらの商標の1つ、またはその組み合わせを商標登録する理由は、世界に彼らの会社（ブランドアイデンティティ）を表すためです。 よって正解は、「商標」になります。

×：特許

特許とは、薬など発明すること大変なものに対して、技術の使用を独占する権利です。

×：著作権

著作権とは、音楽とか本とか、技術的なものでなくとも、考えて作ったものへの権利です。

×：営業秘密

営業秘密とは、顧客情報、製品の技術・製造方法など事業活動として有益であり機密としている情報です。

HIPAA適用事業者とそのビジネスを補佐する組織や個人に関しても、HIPAAの対象事業者と同じように扱われます。ヘルスケアの提供者、健康情報クリアリングハウス、健康保険計画者などが対象者になります。健康アプリの開発者は、身体情報の保持者もしくは計画をするのではなく、プログラマーとしての責務を負います。身体情報の管理の在り方を中心とするHITECHの対象とならない場合があります。よって正解は、「健康系アプリ開発者」になります。

詳細なHITECHの要件を知っておく必要はありません。情報を扱っているかどうかで選択肢を比較し、消去法で回答することができます。開発者の大きな過失が利用者に影響してしまう可能性を想像し、HITECHのような法律に低触と考えたかもしれませんが、ここでは役割においての責任を質問されています。イレギュラーなケースを考えるのではなく、原則として役割に対する責任で問題を見るべきです。

脅威が少なくとも、脆弱性が致命的なものであれば、多大な影響つまりリスクとなります。そのため、四則演算の関係で最もよく示したのは乗数（×）になります。

分散型サービス停止（DDoS）攻撃は通常、攻撃者に金銭的な利益をもたらしません。多くの場合、復讐や組織の方針決定に同意しなかったり、攻撃者が組織に対する反感の大きさを証明したりする動機です。確かに、従量課金のクラウドサービスに対して、大量のアクセスをすることで想定以上のリソースを消費させ、コストを肥大化させる目的で利用されることもありますが、当事者の金銭的の目的ではないという点で、誤りになります。

〇：資産をカバーするために必要な保険の水準

使用されないものを選ぶ問題です。資産価値（AV、Asset Value）の算出方法にはいくつかあり、市場で似た資産を参考にするマーケットアプローチ、将来的に稼ぐであろう利益で計る収益アプローチ、資産に使ったコストで計るコストアプローチになります。資産をカバーするために必要な保険の水準というのは、資産価値を特定し適切なリスク分析を行ったうえで行われる意思決定で、組織はその資産を購入する保険範囲のレベルをより簡単に判断できます。よって正解は、「資産をカバーするために必要な保険の水準」になります。

×：外部市場における資産の価値

市場で似た資産を参考にする手法は、マーケットアプローチとして知られています。

×：資産の購入、ライセンス供与、およびサポートの初期費用と出費

資産に使ったコストで計る手法としては、コストアプローチとして知られています。

×：組織の生産業務に対する資産価値

将来的に稼ぐであろう利益で計る手法としては、収益アプローチとして知られています。

〇：無権限のエンティティと共有するデータの抽出

関係のないものを選ぶ問題です。無許可のエンティティと共有するデータの抽出は、機密性の問題です。ややこしい言い方をしていますが、データに対する操作は無許可と抽出であり、完全性の主とするデータの破壊はいずれも含まれていません。よって正解は、「無権限のエンティティと共有するデータの抽出」になります。

この問題を解く上で、エンティティが何かを知っておく必要はありません。変更や破壊は行われているかどうかに注目します。

×：データに対する不正な操作または変更

間違いです。なぜなら、完全性は、許可されていない操作またはデータの変更に関連するからである。無断改変が防止されると、完全性が維持されます。ハードウェア、ソフトウェア、および通信の仕組みは、データを正しく維持および処理し、予期せぬ変更なしに意図した宛先にデータを移動するために連携して動作する必要があります。システムとネットワークは、外部の干渉や汚染から保護する必要があります。

×：許可なくデータを変更する

権限のないデータの変更が整合性に関連するため、間違いです。整合性とは、データを保護することであり、ユーザーや権限を持たない他のシステムによって変更することはできません。

×：意図的または偶発的なデータの置換

意図的または偶発的なデータの置換が整合性に関連するため、正しくありません。データが不正なエンティティによって改ざんされないという保証とともに、情報およびシステムの正確性および信頼性の保証が提供される場合、完全性が維持されます。完全性を強制する環境では、例えば、ウイルス、ロジックボム、バックドアをデータを破損または置換する可能性のあるシステムに挿入するなどの攻撃を防ぎます。ユーザーは通常、間違ってシステムやそのデータの整合性に影響を与えます（内部ユーザーは悪意のある行為も行う可能性があります）。たとえば、データ処理アプリケーションに誤った値を挿入して、300ドルではなく3,000ドルを顧客に請求することがあります。

〇：健康情報を取り扱えるようなアーキテクチャを考えること

キャロルはシステムエンジニアです。そのため、システム的な現実可能性を探ることが求められます。システム的にできない理由を先んじて説明したり、システム構成以外の承認について手を加えたり、法務的な作業について着手することは、役割を逸脱している可能性が高いといえます。よって正解は、「健康情報を取り扱えるようなアーキテクチャを考えること。」になります。

×：健康情報をシステムで扱うことの危険性を訴えること。

システムエンジニアの基本的なスタンスは、システムとしての実現性を得ることです。提示された案に対して危険性も補足することは必要ですが、危険性を訴えることが主たる目的であってはいけません。

×：医療機関から健康情報を受託許可を得ること。

契約書を交わし、法的な責任範囲について明確にする必要があります。システムエンジニアのスコープ対象からは外れています。

×：健康情報を取り扱うための利用同意の文章を作成すること。

エンドユーザーに対してもサービスを利用する前には同意許諾を得る必要があり、法的な責任範囲について明確にする必要があります。システムエンジニアのスコープ対象からは外れています。

〇：リスク分析を実施します。

記載された手順の中で、効果的な物理的なセキュリティプログラムを展開するのみ実施する初めの手順は、脆弱性や脅威を識別し、各脅威のビジネスへの影響を計算するために、リスク分析を行うことです。チームは経営者にリスク分析の結果を提示し、物理的なセキュリティプログラムのための許容可能なリスクレベルを定義するために、リスク分析をしています。そこから、チームが評価し、ベースラインが実装によって満たされているかどうかを判断していきます。チームがその対応策を特定し、対策を実装したら、パフォーマンスを継続的に評価します。これらのパフォーマンスは、設定されたベースラインと比較されます。ベースラインが継続的に維持されている場合は、同社の許容可能なリスクレベルを超えていないため、セキュリティプログラムが成功しているといえます。

×：対策のパフォーマンスメトリックを作成します。  

対策のパフォーマンスメトリックを作成する手順は、物理的なセキュリティプログラムを作成するための最初のステップではないので、間違っています。パフォーマンスベースで監視されている場合、プログラムがどのように有益かつ効果的であるかを判定するために利用できます。組織の物理的なセキュリティの保護に投資するときにビジネス上の意思決定を行うための管理を可能にします。目標は、物理的なセキュリティプログラムの性能を向上させ、費用対効果の高い方法で会社のリスクを減少させることことにつながります。あなたは、パフォーマンスのベースラインを確立し、その後、継続的に企業の保護の目標が満たされていることを確認するために、パフォーマンスを評価する必要があります。可能なパフォーマンスメトリックの例としては、成功した攻撃の数、成功した攻撃の数、および攻撃のために要した時間を含みます。

×：設計プログラムを作成します。  

プログラムを設計することは、リスク分析の後に行われるべきであるので間違っています。リスクのレベルを理解したら、次に設計フェーズは、リスク分析で識別された脅威から保護するために行うことができます。抑止、遅延、検出、評価、応答の設計は、プログラムの各カテゴリのために必要なコントロールを組み込むでしょう。

×：対策を実装します。  

対策を実施することは物理的なセキュリティプログラムを展開プロセスの最後のステップの1つですので、間違っています。

〇：ある。企業目標を達成するのにセキュリティがあるため同一の目標を持つべきだ。

組織目標を達成する指標として、KPIなどのマーケティン指標がある。組織にセキュリティ機能を整備することも、これらの目標を達成するための存在する。

×：ある。セキュリティ業界のマーケティングはリスクオフが認められる。

「セキュリティ業界におけるマーケティング」では、組織としてセキュリティ機能を整える意味ではない。

×：ない。分業体制を徹底し専門家に任せるべきだ。

確かに組織の分業は大事ですが、組織のすべての構成員がセキュリティを意識する必要があります。

×：ない。役員判断となるような機密情報はセキュリティと無関係だ。

セキュリティは組織全体で取り組むべきものです。関係ないとは言えません。

HIPAA（医療保険の相互運用性と説明責任に関する法律）には、プライバシールール、セキュリティルール、違反通知ルールの3つのルールがあります。この規則は、管理上、物理的、および技術的な保護手段を義務付けています。

〇：すべてのセキュリティ活動はセキュリティ部門内で実施

すべてのセキュリティ活動がセキュリティ部門内で行われる場合、セキュリティはサイロ内で機能し、組織全体に統合されません。セキュリティガバナンスプログラムを導入している企業では、経営幹部から指揮系統まで、組織全体にセキュリティの責任が浸透しています。一般的なシナリオは、特定の事業部門のリスク管理活動を担当する事業部長を執行する経営幹部の管理です。さらに、従業員は悪意のあるもしくは偶発的に発生しているセキュリティ違反に対して責任を負います。

×：役員は同社のセキュリティ状態について四半期ごとに更新

正しくありません。セキュリティガバナンスとは、戦略指針を提供し、目標が達成されていることを確認し、リスクが適切に管理されていることを確認し、リソースは責任を持って使用されます。セキュリティガバナンスプログラムを導入している組織には、セキュリティの重要性を理解し、組織のセキュリティパフォーマンスと違反を認識している取締役会があります。

×：セキュリティ製品、サービス、およびコンサルタントは情報に基づいた方法で展開

セキュリティガバナンスは、製品、人材、トレーニング、プロセスなどを含む統合セキュリティコンポーネントの一貫したシステムであるため、正しくありません。したがって、セキュリティガバナンスプログラムを導入している組織は、セキュリティ製品、管理サービス、情報に基づいた方法でコンサルタントを支援します。彼らはまた、彼らがコスト効果があることを確認するために絶えず見直されています。

×：組織はセキュリティを向上させるための指標と目標を確立

セキュリティガバナンスが性能測定および監督の仕組みを必要とするため不正確である。セキュリティガバナンスプログラムを導入している組織は、継続的な改善を目標として、セキュリティを含むプロセスを継続的に見直しています。一方、セキュリティガバナンスプログラムを欠いている組織は、そのパフォーマンスを分析せずに進んでいく可能性があり、したがって同様のミスが繰り返されます。

〇：日常的に稼働し、取得しているシステムログ

不正アクセスであるかどうかは、一般的な使い方と異なることを示す必要があります。また、日常的に取得していないログに関して法的証拠としての信頼性も薄くなります。

×：国際基準に準拠している洗練された製品から得られるシステムログ

マーケット的に洗練されているか否かは、法廷証拠の要件ではありません。逆に言えば、自社開発のソフトウェアが法的証拠に使えないというのは考えにくいでしょう。

×：印刷し物理媒体として保管されているシステムログ

ログが印刷されているか否かは必ずしも法的要件とはなりません。ソフトウェアとしての記録が出力されるわけですから、物理的な証拠としての純粋さはないのです。

×：OS層において記録される基盤に近いシステムログ

OS層に近いログはシステム的なトレーサビリティも高まりますが、ユーザー操作との関連性も薄く、不正アクセスの証拠には向きません。

〇：AS / NZS 4360

AS / NZS 4360はセキュリティリスクの分析に使用できますが、その目的のために作成されたものではありません。それは、IT脅威と情報セキュリティリスクに焦点を絞ったNISTやOCTAVEなど、他のリスク評価手法よりもリスク管理にはかなり広いアプローチを取ります。 AS / NZS 4360は、会社の財務、資本、人的安全、およびビジネス上の意思決定のリスクを理解するために使用できます。

×：FAP

正式なFAPリスク分析手法がないため、正しくありません。

×：OCTAVE

ITの脅威と情報セキュリティのリスクに重点を置いているため、画像Bは正しくありません。 OCTAVEは、組織内の情報セキュリティのリスク評価を管理し、指示する状況で使用するためのものです。組織の従業員には、セキュリティを評価するための最良の方法を決定する権限が与えられます。

×：NIST SP 800-30

IT脅威に固有であり情報脅威にどのように関連しているかという理由で、間違っています。主にシステムに焦点を当てています。データは、ネットワークおよびセキュリティプラクティスの評価や組織内の人々から収集されます。データは、800-30文書で概説したリスク分析ステップの入力値として使用されます。