スコーピングは、標準のどの部分を組織に展開するかを決定します。要望または業界に適用される標準を選択し、組織範囲内にあるものと範囲外にあるものを決定します。

〇：デジタルミレニアム著作権法

デジタルミレニアム著作権法（Digital Millennium Copyright Act：DMCA）は、著作権物を保護するために設けられたアクセス制御手段を侵害する技術などを犯罪とする米国の著作権法です。よって正解は、「デジタルミレニアム著作権法」になります。

電子書籍を保護する独自の方法を「ロック解除」する方法を見つけたら、この行為を請求することができます。実際の著作権で保護された書籍を誰かと共有しなくても特定の法律は破られており、有罪判決が下されます。

×：COPPA

児童オンラインプライバシー保護法（Children’s Online Privacy Protection Act、COPPA）とは、インターネット上で安全に子どもサイト向けを使えるように、もし何の規約もなしに子どもたちを危機にさらすことを禁止する法律です。

×：連邦プライバシー法

そのような法律はありませんが、近いところで米国連邦データプライバシー法があります。これは、米国の連邦レベルでの包括的な個人情報保護法になります。

×：GDPR

一般データ保護規則（GDPR）とは、データ保護指令をより厳しくしたEU市民のプライバシー法です。

〇：健康情報を取り扱えるようなアーキテクチャを考えること

キャロルはシステムエンジニアです。そのため、システム的な現実可能性を探ることが求められます。システム的にできない理由を先んじて説明したり、システム構成以外の承認について手を加えたり、法務的な作業について着手することは、役割を逸脱している可能性が高いといえます。よって正解は、「健康情報を取り扱えるようなアーキテクチャを考えること。」になります。

×：健康情報をシステムで扱うことの危険性を訴えること。

システムエンジニアの基本的なスタンスは、システムとしての実現性を得ることです。提示された案に対して危険性も補足することは必要ですが、危険性を訴えることが主たる目的であってはいけません。

×：医療機関から健康情報を受託許可を得ること。

契約書を交わし、法的な責任範囲について明確にする必要があります。システムエンジニアのスコープ対象からは外れています。

×：健康情報を取り扱うための利用同意の文章を作成すること。

エンドユーザーに対してもサービスを利用する前には同意許諾を得る必要があり、法的な責任範囲について明確にする必要があります。システムエンジニアのスコープ対象からは外れています。

脅威が少なくとも、脆弱性が致命的なものであれば、多大な影響つまりリスクとなります。そのため、四則演算の関係で最もよく示したのは乗数（×）になります。

〇：費用便益分析

許容範囲内でリスクを低減するためにコントロールを設置することを要求するために、リスクが現実的で十分に可能性があり、十分にインパクトがあると識別される対策を選択する必要があります。可能な対策のコストと便益を分析するだけで、どのような対策を取るべきかを決定することができます。

×：リスク分析

リスクの決定が、許容可能な閾値内でリスクを制御するために必要とされる可能性があることを特定する最初のステップに過ぎないため、誤りです。

×：ALEの算出

年間予想損失額（ALE）は、特定の脅威が実際になった場合に失う可能性があることを会社に知らせるためのものです。ALEの価値は費用対効果の分析に入りますが、ALEは対抗措置の費用と対策のメリットに対処していません。

×：リスクを引き起こす脆弱性と脅威の特定

脆弱性や脅威の評価が対策の必要性を認識させているにもかかわらず、その評価だけでは競合​​する対策の中でどのようなコスト効果が見込まれているのか判断できないため正しくありません。

各学校の管理によって任せられる学生番号は個人を特定するに十分な情報とは言えないため、プライバシー情報と言い切れません。

業務受託会社監査（SOC、Service Organization Control）とは、米国公認会計士協会（AICPA）によって決められている業務の請け負い側の内部統制を保証するための決まりです。業務をほかの会社に請け負ってもらうことがあります。自社の仕事の品質を担保するため、業務を依頼された側の企業でも相応に統制されている必要があります。そのため、業務を依頼される受託会社の内部統制をチェックするわけです。

• SOC-1（Internal Control over Financial Reporting (ICFR)） 受託会社に対する会計を監査する。
• SOC-2（Trust Services Criteria） 受託会社に対する会計以外のセキュリティなどの統制を確認する。通常6か月間調査を行う。
• SOC-3（Trust Services Criteria for General Use Report） 不特定者（利用者）に対する会計以外のセキュリティなどの統制を確認する。

よって、正解は「6か月」になります。

〇：DDoS攻撃

可用性とは、サービスの継続性を示すCIAトライアドの性質の一つです。サービスの継続性を脅かす攻撃は、大量のリクエストを送付し、サービスダウンを行うDDoS攻撃が該当します。よって正解は、「DDoS攻撃」になります。

×：ホエーリング

ホエーリングとは、社会的に認知されている人・組織に狙いを定めるスピア・フィッシング攻撃です。

×：TOC/TOU

TOC/TOUとは、ある条件をチェックしてから、そのチェック結果を使用するまでの間にシステムが変更されることで発生するソフトウェアのバグです。多くの場合、ファイルを探してからファイルを読む間に別のファイルに差し替えてしまう攻撃です。

×：DRAM

RAM（Random Access Memory）とは、CPUや画面表示などに利用するときに使うメモリです。DRAMとは、短時間しか保存されないし、定期的リフレッシュが必要なRAMです。

EU一般データ保護規則とは、非常に積極的なプライバシー保護法です。組織は、データがどのように収集および使用されるかを個人に通知する必要があります。組織は、サードパーティとのデータ共有をオプトアウトできるようにする必要があります。最も機密性の高いデータを共有するにはオプトインが必要です。受領国が適切な（同等の）プライバシー保護を持っていると認められない限り、EUからの送信はありません。

〇：ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、システムではなく人的ミスを誘う攻撃です。システムアーキテクチャ、インストールソフトウェアに関わらず発生します。

×：DDoS攻撃

DDoS攻撃は、DoS攻撃を対象のウェブサイトやサーバーに対して複数のコンピューターから大量に行うことです。

×：ランサムウェア

ランサムウェアとは、データを暗号化することで凍結し、持ち主に身代金を要求するマルウェアです。

×：ゼロデイ攻撃

ゼロディ攻撃とは、修正されるよりも前に公開された脆弱性を攻撃することです。

〇：ハクティビスト

政治的な目的でクラッキング行為を行う人をハクティビストといいます。よって正解は、「ハクティビスト」になります。

×：ハッカー

ハッカーとは、コンピュータに詳しい人です。

×：スクリプトキディ

スクリプトキディとは、ITに詳しくないけどツールを使ってサイバー攻撃する人です。中学生という文言がありますが、これだけでスクリプトキディとは断定できません。

×：サイレントマジョリティ

サイレントマジョリティとは、積極的な発言行為をしない一般大衆のことです。

(ISC)2の倫理規約における規範は以下の通りです。

• 社会、公益、公共から求められる信頼と信用、インフラを守る。
• 法律に違わず、公正かつ誠実に責任を持って行動する。
• 原則に基づき、優れたサービスを提供する。
• 専門性を高め、維持する。

よって正解は、「上記すべて」になります。

年間予想損失額は、将来発生しうる損失に対して、発生頻度から年間で均した値です。そのため、単一損失額（SLE）と年間発生頻度（ALO）を乗じた値になります。

2001年の同時多発テロ事件は、テロに対する様々な法整備がされるきっかけとなりました。よって正解は、「2001年、同時多発テロ事件」になります。

全体的なリスクを許容レベルまで減らすための対策が実施されている。しかし、システムや環境は100％安全ではなく、すべての対策でリスクが残っています。対策後の残存リスクを残存リスクといいます。残留リスクはトータルリスクとは異なります。トータルリスクとは、対策を実施しない場合のリスクです。脅威×脆弱性×資産価値=総リスクを計算することによって総リスクを決定することができるが、残留リスクは、（脅威×脆弱性×資産価値）×コントロールギャップ=残存リスクを計算することによって決定することができます。コントロールギャップは、コントロールが提供できない保護の量です。

〇：セキュリティ運営委員会

スティーブは、企業内の戦術的および戦略的セキュリティ問題の決定を担当するセキュリティ運営委員会に参加しています。委員会は、組織全体の個人から構成され、少なくとも四半期ごとに会合する必要があります。この質問に記載された責任に加えて、セキュリティ運営委員会は、事業の組織的意思と協力してそれをサポートする、明確に定義されたビジョンステートメントを確立する責任があります。組織のビジネス目標に関係する機密性、完全性、および可用性の目標に対するサポートを提供する必要があります。このビジョンステートメントは、組織に適用されるプロセスにサポートと定義を提供し、ビジネス目標に達することを可能にするミッションステートメントによってサポートされるべきです。

各組織で呼び名は異なりますか、セキュリティに一連の定義から承認までのプロセスを任せられています。その場合、最も近い場合には”運営”という言葉が近いのです。

×：セキュリティポリシー委員会

上級管理職がセキュリティポリシーを策定する委員会であるため、間違っています。通常、上級管理職は、役員または委員会に委任しない限り、この責任を負います。セキュリティポリシーは、セキュリティが組織内で果たす役割を決定します。組織化、特定の問題、またはシステム固有のものにすることができます。運営委員会はポリシーを直接作成するのではなく、受け入れ可能であればレビューと承認を行います。

×：監査委員会

取締役会、経営陣、内部監査人、および外部監査人の間で独立したオープンなコミュニケーションを提供するため、正しくありません。その責任には、内部統制システム、独立監査人のエンゲージメントとパフォーマンス、内部監査機能のパフォーマンスが含まれます。監査委員会は、調査結果を運営委員会に報告するが、セキュリティプログラムの監督と承認を怠ることはない。

×：リスクマネジメント委員会

組織が直面しているリスクを理解し、上級管理職と協力してリスクを許容レベルまで下げることであるため、正しくありません。この委員会は、セキュリティプログラムを監督しません。セキュリティ運営委員会は、通常、その結果を情報セキュリティに関するリスク管理委員会に報告します。リスク管理委員会は、ITセキュリティリスクだけでなく、ビジネスリスク全体を検討する必要があります。

〇：リスクをもたらす活動の中止

含まれていないものを選ぶ問題です。リスクを導入する活動を中止することは、回避によってリスクに対応する方法です。たとえば、企業内でのインスタントメッセージング（IM）の使用を取り巻く多くのリスクがあります。企業がIMの使用を許可しないことをビジネス上の必要性がないために決定した場合、このサービスを禁止することはリスク回避の一例です。リスクアセスメントには、このような対策の実施は含まれていません。よって正解は、「リスクをもたらす活動の中止」になります。

×：資産の特定

アセットを特定することがリスクアセスメントの一部であり、リスクアセスメントに含まれないものを特定することを求められているため、誤りである。資産の価値を判断するには、まずその資産を特定しなければなりません。資産の識別と評価も、リスク管理の重要な任務です。

×：脅威の特定

脅威を特定することはリスクアセスメントの一部であり、リスクアセスメントに含まれないものを特定することが求められるため、正しくありません。脅威が脆弱性を悪用する可能性があるため、リスクが存在します。脅威がなければ、リスクはありません。リスクは、脆弱性、脅威、および結果として生じるビジネスへの悪用の可能性を結び付けます。

×：コストまたは臨界の順にリスク分析

コストまたは臨界の順にリスクを分析することがリスクアセスメントプロセスの一部であり、リスクアセスメントに含まれていないものを特定するために質問されるため不適切です。リスクアセスメントは、企業が直面するリスクを調査し定量化します。リスクに対処するには、費用対効果の高い方法で対応する必要があります。リスクの重大性を知ることで、組織はそれを効果的に対処する方法を決定できます。

〇：ある。企業目標を達成するのにセキュリティがあるため同一の目標を持つべきだ。

組織目標を達成する指標として、KPIなどのマーケティン指標がある。組織にセキュリティ機能を整備することも、これらの目標を達成するための存在する。

×：ある。セキュリティ業界のマーケティングはリスクオフが認められる。

「セキュリティ業界におけるマーケティング」では、組織としてセキュリティ機能を整える意味ではない。

×：ない。分業体制を徹底し専門家に任せるべきだ。

確かに組織の分業は大事ですが、組織のすべての構成員がセキュリティを意識する必要があります。

×：ない。役員判断となるような機密情報はセキュリティと無関係だ。

セキュリティは組織全体で取り組むべきものです。関係ないとは言えません。

〇：リスク軽減

リスクは、移転、回避、軽減、受入の4つの基本的な方法で対処できます。スーは、ウイルス対策ソフトウェアやスパム対策ソフトウェアなどのセキュリティコントロールを実装することで、自社の電子メールシステムがもたらすリスクを削減しています。これは、リスク軽減とも呼ばれ、リスクは許容可能と見なされるレベルまで減少します。手順を改善し、環境を変え、脅威に対する障壁を立て、脅威が発生したときにその脅威を阻止して被害を減らすための早期発見手法を導入することで、リスクを軽減することができます。

×：リスク受入

リスク受入がアンチウィルスソフトウェアなどの保護や対策に支出を伴わないため不適切です。リスクを受け入れる際には、直面しているリスクのレベルと潜在的な損害コストを把握し、対策を実施することなくそれを維持することを決定します。コスト/利益比率が、対策費用が潜在的な損失額を上回っていることを示している場合、多くの企業はリスクを受け入れます。

×：リスク回避

リスクを引き起こしている活動を中止することになるため、間違っています。この場合、スーの会社は引き続きEメールを使用することに決めました。企業がそのリスクがアクティビティのビジネスニーズを上回る場合、リスクを導入するアクティビティを終了することを選択することがあります。たとえば、企業は従業員の生産性に与えるリスクのため、ソーシャルメディアのWebサイトを一部の部門でブロックすることを選択することがあります。

×：リスク移転

リスクの一部を保険会社に移転するために保険購入のように他のエンティティとリスクを共有することを伴うため、正しくない。多くの種類の保険は、企業が資産を保護するために利用できます。会社が総リスクまたは余剰リスクが高すぎて賭けができないと判断した場合、保険を購入することができます。

〇：リスク分析を実施します。

記載された手順の中で、効果的な物理的なセキュリティプログラムを展開するのみ実施する初めの手順は、脆弱性や脅威を識別し、各脅威のビジネスへの影響を計算するために、リスク分析を行うことです。チームは経営者にリスク分析の結果を提示し、物理的なセキュリティプログラムのための許容可能なリスクレベルを定義するために、リスク分析をしています。そこから、チームが評価し、ベースラインが実装によって満たされているかどうかを判断していきます。チームがその対応策を特定し、対策を実装したら、パフォーマンスを継続的に評価します。これらのパフォーマンスは、設定されたベースラインと比較されます。ベースラインが継続的に維持されている場合は、同社の許容可能なリスクレベルを超えていないため、セキュリティプログラムが成功しているといえます。

×：対策のパフォーマンスメトリックを作成します。  

対策のパフォーマンスメトリックを作成する手順は、物理的なセキュリティプログラムを作成するための最初のステップではないので、間違っています。パフォーマンスベースで監視されている場合、プログラムがどのように有益かつ効果的であるかを判定するために利用できます。組織の物理的なセキュリティの保護に投資するときにビジネス上の意思決定を行うための管理を可能にします。目標は、物理的なセキュリティプログラムの性能を向上させ、費用対効果の高い方法で会社のリスクを減少させることことにつながります。あなたは、パフォーマンスのベースラインを確立し、その後、継続的に企業の保護の目標が満たされていることを確認するために、パフォーマンスを評価する必要があります。可能なパフォーマンスメトリックの例としては、成功した攻撃の数、成功した攻撃の数、および攻撃のために要した時間を含みます。

×：設計プログラムを作成します。  

プログラムを設計することは、リスク分析の後に行われるべきであるので間違っています。リスクのレベルを理解したら、次に設計フェーズは、リスク分析で識別された脅威から保護するために行うことができます。抑止、遅延、検出、評価、応答の設計は、プログラムの各カテゴリのために必要なコントロールを組み込むでしょう。

×：対策を実装します。  

対策を実施することは物理的なセキュリティプログラムを展開プロセスの最後のステップの1つですので、間違っています。