P.A.S.T.A.とは、コンプライアンスとビジネス分析しながら、資産価値を保護する方法を見つける7ステップです。自分の資産を保護するには、まず何から手を付けたらよいのでしょうか。P.A.S.T.A.は道筋を指示してくれます。P.A.S.T.A.を使用すると、組織はアプリケーションとインフラストラクチャに対する攻撃者の視点を理解できるため、脅威管理プロセスとポリシーを発見できます。脅威を見つけることが主軸にあるため、リスク中心に考えるところと、シミュレーションがあるところが特徴です。

(ISC)2の倫理規約における規範は以下の通りです。

• 社会、公益、公共から求められる信頼と信用、インフラを守る。
• 法律に違わず、公正かつ誠実に責任を持って行動する。
• 原則に基づき、優れたサービスを提供する。
• 専門性を高め、維持する。

よって正解は、「上記すべて」になります。

〇：リスクをもたらす活動の中止

含まれていないものを選ぶ問題です。リスクを導入する活動を中止することは、回避によってリスクに対応する方法です。たとえば、企業内でのインスタントメッセージング（IM）の使用を取り巻く多くのリスクがあります。企業がIMの使用を許可しないことをビジネス上の必要性がないために決定した場合、このサービスを禁止することはリスク回避の一例です。リスクアセスメントには、このような対策の実施は含まれていません。よって正解は、「リスクをもたらす活動の中止」になります。

×：資産の特定

アセットを特定することがリスクアセスメントの一部であり、リスクアセスメントに含まれないものを特定することを求められているため、誤りである。資産の価値を判断するには、まずその資産を特定しなければなりません。資産の識別と評価も、リスク管理の重要な任務です。

×：脅威の特定

脅威を特定することはリスクアセスメントの一部であり、リスクアセスメントに含まれないものを特定することが求められるため、正しくありません。脅威が脆弱性を悪用する可能性があるため、リスクが存在します。脅威がなければ、リスクはありません。リスクは、脆弱性、脅威、および結果として生じるビジネスへの悪用の可能性を結び付けます。

×：コストまたは臨界の順にリスク分析

コストまたは臨界の順にリスクを分析することがリスクアセスメントプロセスの一部であり、リスクアセスメントに含まれていないものを特定するために質問されるため不適切です。リスクアセスメントは、企業が直面するリスクを調査し定量化します。リスクに対処するには、費用対効果の高い方法で対応する必要があります。リスクの重大性を知ることで、組織はそれを効果的に対処する方法を決定できます。

著作権は、本、アート、音楽、ソフトウェアなどに適用されます。これは自動的に付与され、作成者の死亡後70年間、作成後95年間有効です。よって正解は、「70年」になります。

HIPAA（医療保険の相互運用性と説明責任に関する法律）には、プライバシールール、セキュリティルール、違反通知ルールの3つのルールがあります。この規則は、管理上、物理的、および技術的な保護手段を義務付けています。

〇：すべてのセキュリティ活動はセキュリティ部門内で実施

すべてのセキュリティ活動がセキュリティ部門内で行われる場合、セキュリティはサイロ内で機能し、組織全体に統合されません。セキュリティガバナンスプログラムを導入している企業では、経営幹部から指揮系統まで、組織全体にセキュリティの責任が浸透しています。一般的なシナリオは、特定の事業部門のリスク管理活動を担当する事業部長を執行する経営幹部の管理です。さらに、従業員は悪意のあるもしくは偶発的に発生しているセキュリティ違反に対して責任を負います。

×：役員は同社のセキュリティ状態について四半期ごとに更新

正しくありません。セキュリティガバナンスとは、戦略指針を提供し、目標が達成されていることを確認し、リスクが適切に管理されていることを確認し、リソースは責任を持って使用されます。セキュリティガバナンスプログラムを導入している組織には、セキュリティの重要性を理解し、組織のセキュリティパフォーマンスと違反を認識している取締役会があります。

×：セキュリティ製品、サービス、およびコンサルタントは情報に基づいた方法で展開

セキュリティガバナンスは、製品、人材、トレーニング、プロセスなどを含む統合セキュリティコンポーネントの一貫したシステムであるため、正しくありません。したがって、セキュリティガバナンスプログラムを導入している組織は、セキュリティ製品、管理サービス、情報に基づいた方法でコンサルタントを支援します。彼らはまた、彼らがコスト効果があることを確認するために絶えず見直されています。

×：組織はセキュリティを向上させるための指標と目標を確立

セキュリティガバナンスが性能測定および監督の仕組みを必要とするため不正確である。セキュリティガバナンスプログラムを導入している組織は、継続的な改善を目標として、セキュリティを含むプロセスを継続的に見直しています。一方、セキュリティガバナンスプログラムを欠いている組織は、そのパフォーマンスを分析せずに進んでいく可能性があり、したがって同様のミスが繰り返されます。

〇：日常的に稼働し、取得しているシステムログ

不正アクセスであるかどうかは、一般的な使い方と異なることを示す必要があります。また、日常的に取得していないログに関して法的証拠としての信頼性も薄くなります。

×：国際基準に準拠している洗練された製品から得られるシステムログ

マーケット的に洗練されているか否かは、法廷証拠の要件ではありません。逆に言えば、自社開発のソフトウェアが法的証拠に使えないというのは考えにくいでしょう。

×：印刷し物理媒体として保管されているシステムログ

ログが印刷されているか否かは必ずしも法的要件とはなりません。ソフトウェアとしての記録が出力されるわけですから、物理的な証拠としての純粋さはないのです。

×：OS層において記録される基盤に近いシステムログ

OS層に近いログはシステム的なトレーサビリティも高まりますが、ユーザー操作との関連性も薄く、不正アクセスの証拠には向きません。

スコーピングは、標準のどの部分を組織に展開するかを決定します。要望または業界に適用される標準を選択し、組織範囲内にあるものと範囲外にあるものを決定します。

〇：AS / NZS 4360

AS / NZS 4360はセキュリティリスクの分析に使用できますが、その目的のために作成されたものではありません。それは、IT脅威と情報セキュリティリスクに焦点を絞ったNISTやOCTAVEなど、他のリスク評価手法よりもリスク管理にはかなり広いアプローチを取ります。 AS / NZS 4360は、会社の財務、資本、人的安全、およびビジネス上の意思決定のリスクを理解するために使用できます。

×：FAP

正式なFAPリスク分析手法がないため、正しくありません。

×：OCTAVE

ITの脅威と情報セキュリティのリスクに重点を置いているため、画像Bは正しくありません。 OCTAVEは、組織内の情報セキュリティのリスク評価を管理し、指示する状況で使用するためのものです。組織の従業員には、セキュリティを評価するための最良の方法を決定する権限が与えられます。

×：NIST SP 800-30

IT脅威に固有であり情報脅威にどのように関連しているかという理由で、間違っています。主にシステムに焦点を当てています。データは、ネットワークおよびセキュリティプラクティスの評価や組織内の人々から収集されます。データは、800-30文書で概説したリスク分析ステップの入力値として使用されます。

業務受託会社監査（SOC、Service Organization Control）とは、米国公認会計士協会（AICPA）によって決められている業務の請け負い側の内部統制を保証するための決まりです。業務をほかの会社に請け負ってもらうことがあります。自社の仕事の品質を担保するため、業務を依頼された側の企業でも相応に統制されている必要があります。そのため、業務を依頼される受託会社の内部統制をチェックするわけです。

• SOC-1（Internal Control over Financial Reporting (ICFR)） 受託会社に対する会計を監査する。
• SOC-2（Trust Services Criteria） 受託会社に対する会計以外のセキュリティなどの統制を確認する。通常6か月間調査を行う。
• SOC-3（Trust Services Criteria for General Use Report） 不特定者（利用者）に対する会計以外のセキュリティなどの統制を確認する。

よって、正解は「6か月」になります。

〇：商標

知的財産は資源の種類に応じて、いくつかの異なる法律によって保護することができます。 商標は、ロゴなど、単語、名前、シンボル、サウンド、形、色、またはこれらの組み合わせを保護するために使用されます。企業がこれらの商標の1つ、またはその組み合わせを商標登録する理由は、世界に彼らの会社（ブランドアイデンティティ）を表すためです。 よって正解は、「商標」になります。

×：特許

特許とは、薬など発明すること大変なものに対して、技術の使用を独占する権利です。

×：著作権

著作権とは、音楽とか本とか、技術的なものでなくとも、考えて作ったものへの権利です。

×：営業秘密

営業秘密とは、顧客情報、製品の技術・製造方法など事業活動として有益であり機密としている情報です。

セキュリティドキュメントとは、達成すべきセキュリティを文書化したものです。”強いセキュリティ”を実現するためには明確な定義が必要です。その定義は組織によって異なるため、文章化する必要があります。ポリシーをトップとして5つの文書あり、それぞれ作成の必須・任意が決まっています。

〇：無権限のエンティティと共有するデータの抽出

関係のないものを選ぶ問題です。無許可のエンティティと共有するデータの抽出は、機密性の問題です。ややこしい言い方をしていますが、データに対する操作は無許可と抽出であり、完全性の主とするデータの破壊はいずれも含まれていません。よって正解は、「無権限のエンティティと共有するデータの抽出」になります。

この問題を解く上で、エンティティが何かを知っておく必要はありません。変更や破壊は行われているかどうかに注目します。

×：データに対する不正な操作または変更

間違いです。なぜなら、完全性は、許可されていない操作またはデータの変更に関連するからである。無断改変が防止されると、完全性が維持されます。ハードウェア、ソフトウェア、および通信の仕組みは、データを正しく維持および処理し、予期せぬ変更なしに意図した宛先にデータを移動するために連携して動作する必要があります。システムとネットワークは、外部の干渉や汚染から保護する必要があります。

×：許可なくデータを変更する

権限のないデータの変更が整合性に関連するため、間違いです。整合性とは、データを保護することであり、ユーザーや権限を持たない他のシステムによって変更することはできません。

×：意図的または偶発的なデータの置換

意図的または偶発的なデータの置換が整合性に関連するため、正しくありません。データが不正なエンティティによって改ざんされないという保証とともに、情報およびシステムの正確性および信頼性の保証が提供される場合、完全性が維持されます。完全性を強制する環境では、例えば、ウイルス、ロジックボム、バックドアをデータを破損または置換する可能性のあるシステムに挿入するなどの攻撃を防ぎます。ユーザーは通常、間違ってシステムやそのデータの整合性に影響を与えます（内部ユーザーは悪意のある行為も行う可能性があります）。たとえば、データ処理アプリケーションに誤った値を挿入して、300ドルではなく3,000ドルを顧客に請求することがあります。

〇：費用便益分析

許容範囲内でリスクを低減するためにコントロールを設置することを要求するために、リスクが現実的で十分に可能性があり、十分にインパクトがあると識別される対策を選択する必要があります。可能な対策のコストと便益を分析するだけで、どのような対策を取るべきかを決定することができます。

×：リスク分析

リスクの決定が、許容可能な閾値内でリスクを制御するために必要とされる可能性があることを特定する最初のステップに過ぎないため、誤りです。

×：ALEの算出

年間予想損失額（ALE）は、特定の脅威が実際になった場合に失う可能性があることを会社に知らせるためのものです。ALEの価値は費用対効果の分析に入りますが、ALEは対抗措置の費用と対策のメリットに対処していません。

×：リスクを引き起こす脆弱性と脅威の特定

脆弱性や脅威の評価が対策の必要性を認識させているにもかかわらず、その評価だけでは競合​​する対策の中でどのようなコスト効果が見込まれているのか判断できないため正しくありません。

〇：一般データ保護規則（GDPR）

多くの場合、欧州連合（EU）は世界の他のほとんどの国よりも個人のプライバシーをより真剣に受け止めるため、個人情報保護に関する欧州連合原則に基づく個人情報とみなされるデータに関する厳しい法律を遵守します。この一連の原則は、本質的に私的であると考えられる情報を使用して伝達することに取り組んでいます。これらの原則とその遵守方法は、EUの一般データ保護規則（GDPR）に含まれています。欧州のすべての州は、これらの原則を遵守しなければなりません。EU企業とビジネスを行うすべての企業は、プライバシ・タイプのデータの交換を含むビジネスであれば、この一般データ保護規則（GDPR）に従わなければなりません。

×：経済協力開発機構（OECD）

経済協力開発機構（OECD）は、異なる政府が集まり、グローバル化した経済の経済的、社会的、ガバナンスの課題に取り組むのに役立つ国際機関であるため、イメージBは間違っています。このため、OECDは、データが適切に保護され、誰もが同じ種類のルールを遵守するように、各国のガイドラインを策定しました。

×：連邦民間法案

連邦民間法案は、間違っています。この名前の公式な法案はありません。

×：プライバシー保護法

プライバシー保護法は、誤った答えです。この名前の公式な法案はありません。

〇：ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、システムではなく人的ミスを誘う攻撃です。システムアーキテクチャ、インストールソフトウェアに関わらず発生します。

×：DDoS攻撃

DDoS攻撃は、DoS攻撃を対象のウェブサイトやサーバーに対して複数のコンピューターから大量に行うことです。

×：ランサムウェア

ランサムウェアとは、データを暗号化することで凍結し、持ち主に身代金を要求するマルウェアです。

×：ゼロデイ攻撃

ゼロディ攻撃とは、修正されるよりも前に公開された脆弱性を攻撃することです。

〇：インターネットの利用に関する倫理関連の声明を発表する。

インターネットアーキテクチャ委員会（IAB）は、インターネットの設計、エンジニアリング、および管理のための調整委員会です。これは、IETF（Internet Engineering Task Force）活動、インターネット標準プロセスの監視とアピール、RFC（Request for Comments）の編集者のアーキテクチャーの監視を担当しています。 IABは、インターネットの使用に関する倫理関連の声明を発表しています。インターネットは、可用性とアクセシビリティに依存するリソースであり、幅広い人々にとって有用であると考えられています。主に、インターネット上の無責任な行為がその存在を脅かすか、または他人に悪影響を与える可能性があります。

×：刑事判決のガイドラインを作成します。

IABは、個人または企業が犯した特定の重罪または軽犯罪に対する適切な懲罰的判決を決定する際に裁判官が使用する規則である連邦裁判所ガイドラインとは関係がないため、間違っています。このガイドラインは、米国連邦裁判所のシステムにおいて、重罪および/または重度の軽犯罪を行う団体のための統一的な判決方針として機能します。

×：RFCを編集します。

インターネットアーキテクチャ委員会がRFC（Request for Comments）の編集を担当していますが、このタスクは倫理に関係しないため、正しくありません。この選択肢は気を散らすものです。

×：コンピュータ倫理の十戒を維持します。

IABではなくコンピュータ倫理研究所がコンピュータ倫理の十戒を開発し維持しているため、間違っています。コンピュータ倫理研究所は、倫理的手段によって技術を進歩させるために働く非営利団体です。

〇：トロイの木馬

トロイの木馬とは、伝染するとき一見無害そうに見えるマルウェアです。いやらしい画像をダウンロードしたら、急にパソコンが立ち上がらなくなったとかありますでしょうか。

×：スパイウェア

スパイウェアとは、悪さするとき一見無害そうにするマルウェアです。こっそりパソコンの情報を外に持ち出します。

×：ウイルス

ウイルスとは、ユーザの操作なしに伝染し、他のプログラムにくっつくマルウェアです。無害そうに見えますが、アプリケーションをダウンロードという点で一致しません。

×：データディドラー

データディドラーとは、時間経過とともに少しずつデータを変更するマルウェアです。

CIAは、機密性・完全性・可用性の略です。

〇：ハクティビスト

政治的な目的でクラッキング行為を行う人をハクティビストといいます。よって正解は、「ハクティビスト」になります。

×：ハッカー

ハッカーとは、コンピュータに詳しい人です。

×：スクリプトキディ

スクリプトキディとは、ITに詳しくないけどツールを使ってサイバー攻撃する人です。中学生という文言がありますが、これだけでスクリプトキディとは断定できません。

×：サイレントマジョリティ

サイレントマジョリティとは、積極的な発言行為をしない一般大衆のことです。