〇：すべてのセキュリティ活動はセキュリティ部門内で実施

すべてのセキュリティ活動がセキュリティ部門内で行われる場合、セキュリティはサイロ内で機能し、組織全体に統合されません。セキュリティガバナンスプログラムを導入している企業では、経営幹部から指揮系統まで、組織全体にセキュリティの責任が浸透しています。一般的なシナリオは、特定の事業部門のリスク管理活動を担当する事業部長を執行する経営幹部の管理です。さらに、従業員は悪意のあるもしくは偶発的に発生しているセキュリティ違反に対して責任を負います。

×：役員は同社のセキュリティ状態について四半期ごとに更新

正しくありません。セキュリティガバナンスとは、戦略指針を提供し、目標が達成されていることを確認し、リスクが適切に管理されていることを確認し、リソースは責任を持って使用されます。セキュリティガバナンスプログラムを導入している組織には、セキュリティの重要性を理解し、組織のセキュリティパフォーマンスと違反を認識している取締役会があります。

×：セキュリティ製品、サービス、およびコンサルタントは情報に基づいた方法で展開

セキュリティガバナンスは、製品、人材、トレーニング、プロセスなどを含む統合セキュリティコンポーネントの一貫したシステムであるため、正しくありません。したがって、セキュリティガバナンスプログラムを導入している組織は、セキュリティ製品、管理サービス、情報に基づいた方法でコンサルタントを支援します。彼らはまた、彼らがコスト効果があることを確認するために絶えず見直されています。

×：組織はセキュリティを向上させるための指標と目標を確立

セキュリティガバナンスが性能測定および監督の仕組みを必要とするため不正確である。セキュリティガバナンスプログラムを導入している組織は、継続的な改善を目標として、セキュリティを含むプロセスを継続的に見直しています。一方、セキュリティガバナンスプログラムを欠いている組織は、そのパフォーマンスを分析せずに進んでいく可能性があり、したがって同様のミスが繰り返されます。

〇：リスク軽減

リスクは、移転、回避、軽減、受入の4つの基本的な方法で対処できます。スーは、ウイルス対策ソフトウェアやスパム対策ソフトウェアなどのセキュリティコントロールを実装することで、自社の電子メールシステムがもたらすリスクを削減しています。これは、リスク軽減とも呼ばれ、リスクは許容可能と見なされるレベルまで減少します。手順を改善し、環境を変え、脅威に対する障壁を立て、脅威が発生したときにその脅威を阻止して被害を減らすための早期発見手法を導入することで、リスクを軽減することができます。

×：リスク受入

リスク受入がアンチウィルスソフトウェアなどの保護や対策に支出を伴わないため不適切です。リスクを受け入れる際には、直面しているリスクのレベルと潜在的な損害コストを把握し、対策を実施することなくそれを維持することを決定します。コスト/利益比率が、対策費用が潜在的な損失額を上回っていることを示している場合、多くの企業はリスクを受け入れます。

×：リスク回避

リスクを引き起こしている活動を中止することになるため、間違っています。この場合、スーの会社は引き続きEメールを使用することに決めました。企業がそのリスクがアクティビティのビジネスニーズを上回る場合、リスクを導入するアクティビティを終了することを選択することがあります。たとえば、企業は従業員の生産性に与えるリスクのため、ソーシャルメディアのWebサイトを一部の部門でブロックすることを選択することがあります。

×：リスク移転

リスクの一部を保険会社に移転するために保険購入のように他のエンティティとリスクを共有することを伴うため、正しくない。多くの種類の保険は、企業が資産を保護するために利用できます。会社が総リスクまたは余剰リスクが高すぎて賭けができないと判断した場合、保険を購入することができます。

〇：トロイの木馬

トロイの木馬とは、伝染するとき一見無害そうに見えるマルウェアです。いやらしい画像をダウンロードしたら、急にパソコンが立ち上がらなくなったとかありますでしょうか。

×：スパイウェア

スパイウェアとは、悪さするとき一見無害そうにするマルウェアです。こっそりパソコンの情報を外に持ち出します。

×：ウイルス

ウイルスとは、ユーザの操作なしに伝染し、他のプログラムにくっつくマルウェアです。無害そうに見えますが、アプリケーションをダウンロードという点で一致しません。

×：データディドラー

データディドラーとは、時間経過とともに少しずつデータを変更するマルウェアです。

スコーピングは、標準のどの部分を組織に展開するかを決定します。要望または業界に適用される標準を選択し、組織範囲内にあるものと範囲外にあるものを決定します。

〇：資産をカバーするために必要な保険の水準

使用されないものを選ぶ問題です。資産価値（AV、Asset Value）の算出方法にはいくつかあり、市場で似た資産を参考にするマーケットアプローチ、将来的に稼ぐであろう利益で計る収益アプローチ、資産に使ったコストで計るコストアプローチになります。資産をカバーするために必要な保険の水準というのは、資産価値を特定し適切なリスク分析を行ったうえで行われる意思決定で、組織はその資産を購入する保険範囲のレベルをより簡単に判断できます。よって正解は、「資産をカバーするために必要な保険の水準」になります。

×：外部市場における資産の価値

市場で似た資産を参考にする手法は、マーケットアプローチとして知られています。

×：資産の購入、ライセンス供与、およびサポートの初期費用と出費

資産に使ったコストで計る手法としては、コストアプローチとして知られています。

×：組織の生産業務に対する資産価値

将来的に稼ぐであろう利益で計る手法としては、収益アプローチとして知られています。

〇：従業員のセキュリティ意識が変わるような定期的な教育

行動指示型とは、組織的管理として従業員に求められる行動を指示する目的のコントロールです。従業員の意識が変わるような定期的な教育は、行動指示型に該当します。よって正解は、「従業員のセキュリティ意識が変わるような定期的な教育」になります。

×：ドローン監査を利用した遠隔的に指示する防御策

補強的（compensating）な防御策に当たります。

×：物理的な壁による行動心理的な障害とする防御策

物理的（physically）な防御策に当たります。

×：あるアクションを見直す再発防止策の立案

是正的（corrective）な防御策に当たります。

〇：ある。企業目標を達成するのにセキュリティがあるため同一の目標を持つべきだ。

組織目標を達成する指標として、KPIなどのマーケティン指標がある。組織にセキュリティ機能を整備することも、これらの目標を達成するための存在する。

×：ある。セキュリティ業界のマーケティングはリスクオフが認められる。

「セキュリティ業界におけるマーケティング」では、組織としてセキュリティ機能を整える意味ではない。

×：ない。分業体制を徹底し専門家に任せるべきだ。

確かに組織の分業は大事ですが、組織のすべての構成員がセキュリティを意識する必要があります。

×：ない。役員判断となるような機密情報はセキュリティと無関係だ。

セキュリティは組織全体で取り組むべきものです。関係ないとは言えません。

(ISC)2の倫理規約における規範は以下の通りです。

• 社会、公益、公共から求められる信頼と信用、インフラを守る。
• 法律に違わず、公正かつ誠実に責任を持って行動する。
• 原則に基づき、優れたサービスを提供する。
• 専門性を高め、維持する。

よって正解は、「上記すべて」になります。

〇：一般データ保護規則（GDPR）

多くの場合、欧州連合（EU）は世界の他のほとんどの国よりも個人のプライバシーをより真剣に受け止めるため、個人情報保護に関する欧州連合原則に基づく個人情報とみなされるデータに関する厳しい法律を遵守します。この一連の原則は、本質的に私的であると考えられる情報を使用して伝達することに取り組んでいます。これらの原則とその遵守方法は、EUの一般データ保護規則（GDPR）に含まれています。欧州のすべての州は、これらの原則を遵守しなければなりません。EU企業とビジネスを行うすべての企業は、プライバシ・タイプのデータの交換を含むビジネスであれば、この一般データ保護規則（GDPR）に従わなければなりません。

×：経済協力開発機構（OECD）

経済協力開発機構（OECD）は、異なる政府が集まり、グローバル化した経済の経済的、社会的、ガバナンスの課題に取り組むのに役立つ国際機関であるため、イメージBは間違っています。このため、OECDは、データが適切に保護され、誰もが同じ種類のルールを遵守するように、各国のガイドラインを策定しました。

×：連邦民間法案

連邦民間法案は、間違っています。この名前の公式な法案はありません。

×：プライバシー保護法

プライバシー保護法は、誤った答えです。この名前の公式な法案はありません。

〇：セキュリティ運営委員会

スティーブは、企業内の戦術的および戦略的セキュリティ問題の決定を担当するセキュリティ運営委員会に参加しています。委員会は、組織全体の個人から構成され、少なくとも四半期ごとに会合する必要があります。この質問に記載された責任に加えて、セキュリティ運営委員会は、事業の組織的意思と協力してそれをサポートする、明確に定義されたビジョンステートメントを確立する責任があります。組織のビジネス目標に関係する機密性、完全性、および可用性の目標に対するサポートを提供する必要があります。このビジョンステートメントは、組織に適用されるプロセスにサポートと定義を提供し、ビジネス目標に達することを可能にするミッションステートメントによってサポートされるべきです。

各組織で呼び名は異なりますか、セキュリティに一連の定義から承認までのプロセスを任せられています。その場合、最も近い場合には”運営”という言葉が近いのです。

×：セキュリティポリシー委員会

上級管理職がセキュリティポリシーを策定する委員会であるため、間違っています。通常、上級管理職は、役員または委員会に委任しない限り、この責任を負います。セキュリティポリシーは、セキュリティが組織内で果たす役割を決定します。組織化、特定の問題、またはシステム固有のものにすることができます。運営委員会はポリシーを直接作成するのではなく、受け入れ可能であればレビューと承認を行います。

×：監査委員会

取締役会、経営陣、内部監査人、および外部監査人の間で独立したオープンなコミュニケーションを提供するため、正しくありません。その責任には、内部統制システム、独立監査人のエンゲージメントとパフォーマンス、内部監査機能のパフォーマンスが含まれます。監査委員会は、調査結果を運営委員会に報告するが、セキュリティプログラムの監督と承認を怠ることはない。

×：リスクマネジメント委員会

組織が直面しているリスクを理解し、上級管理職と協力してリスクを許容レベルまで下げることであるため、正しくありません。この委員会は、セキュリティプログラムを監督しません。セキュリティ運営委員会は、通常、その結果を情報セキュリティに関するリスク管理委員会に報告します。リスク管理委員会は、ITセキュリティリスクだけでなく、ビジネスリスク全体を検討する必要があります。

年間予想損失額は、将来発生しうる損失に対して、発生頻度から年間で均した値です。そのため、単一損失額（SLE）と年間発生頻度（ALO）を乗じた値になります。

〇：デジタルミレニアム著作権法

デジタルミレニアム著作権法（Digital Millennium Copyright Act：DMCA）は、著作権物を保護するために設けられたアクセス制御手段を侵害する技術などを犯罪とする米国の著作権法です。よって正解は、「デジタルミレニアム著作権法」になります。

電子書籍を保護する独自の方法を「ロック解除」する方法を見つけたら、この行為を請求することができます。実際の著作権で保護された書籍を誰かと共有しなくても特定の法律は破られており、有罪判決が下されます。

×：COPPA

児童オンラインプライバシー保護法（Children’s Online Privacy Protection Act、COPPA）とは、インターネット上で安全に子どもサイト向けを使えるように、もし何の規約もなしに子どもたちを危機にさらすことを禁止する法律です。

×：連邦プライバシー法

そのような法律はありませんが、近いところで米国連邦データプライバシー法があります。これは、米国の連邦レベルでの包括的な個人情報保護法になります。

×：GDPR

一般データ保護規則（GDPR）とは、データ保護指令をより厳しくしたEU市民のプライバシー法です。

セキュリティドキュメントとは、達成すべきセキュリティを文書化したものです。”強いセキュリティ”を実現するためには明確な定義が必要です。その定義は組織によって異なるため、文章化する必要があります。ポリシーをトップとして5つの文書あり、それぞれ作成の必須・任意が決まっています。

〇：ISO / IEC 27005―情報セキュリティ管理システムの監査と認証を提供する機関のガイドライン

ISO / IEC 27005は、情報セキュリティリスク管理のガイドラインであり、ISMSの枠組みにおいてリスク管理をどのように実施すべきかについての国際標準です。

×：ISO / IEC 27002―情報セキュリティ管理の実践規範

情報セキュリティ管理の実践のためのコードなので正しくありません。従って、それは正しいマッピングを有する。 ISO / IEC 27002は、ISMSの開始、実装、または保守に関するベストプラクティスの推奨事項とガイドラインを提供します。

×：ISO / IEC 27003―ISMS実施のガイドライン

ISO / IEC 27003は、ISO / IEC 27001：2005に従ってISMSの設計と実装を成功させるために必要な重要な側面に焦点を当てています。 ISMSの仕様と設計プロセスの開始から実装計画の作成までを記述しています。

×：ISO / IEC 27004―情報セキュリティ管理測定およびメトリクスフレームワークのガイドライン

ISO / IEC 27004は、情報セキュリティ管理測定およびメトリクスフレームワークのガイドラインです。 ISO / IEC 27001に規定されているように、ISMSおよび統制や統制のグループの有効性を評価するために、尺度の開発と使用に関するガイダンスを提供します。

〇：商標

知的財産は資源の種類に応じて、いくつかの異なる法律によって保護することができます。 商標は、ロゴなど、単語、名前、シンボル、サウンド、形、色、またはこれらの組み合わせを保護するために使用されます。企業がこれらの商標の1つ、またはその組み合わせを商標登録する理由は、世界に彼らの会社（ブランドアイデンティティ）を表すためです。 よって正解は、「商標」になります。

×：特許

特許とは、薬など発明すること大変なものに対して、技術の使用を独占する権利です。

×：著作権

著作権とは、音楽とか本とか、技術的なものでなくとも、考えて作ったものへの権利です。

×：営業秘密

営業秘密とは、顧客情報、製品の技術・製造方法など事業活動として有益であり機密としている情報です。

「倫理項目ではないもの」を選ぶ問題です。インターネットを使う者に対して、IAB（Internet Activities Board）によるインターネットの資源の正しい利用についての表明されています。

• インターネットの資源への認可されていないアクセスを得ようとすること。
• インターネットの意図された利用を混乱させること。
• そのような活動を通じて資源（人、能力およびコンピュータ）を無駄にすること。
• コンピュータベースの情報の完全性を破壊すること。
• ユーザーのプライバシーを侵すこと。

〇：インターネットの利用に関する倫理関連の声明を発表する。

インターネットアーキテクチャ委員会（IAB）は、インターネットの設計、エンジニアリング、および管理のための調整委員会です。これは、IETF（Internet Engineering Task Force）活動、インターネット標準プロセスの監視とアピール、RFC（Request for Comments）の編集者のアーキテクチャーの監視を担当しています。 IABは、インターネットの使用に関する倫理関連の声明を発表しています。インターネットは、可用性とアクセシビリティに依存するリソースであり、幅広い人々にとって有用であると考えられています。主に、インターネット上の無責任な行為がその存在を脅かすか、または他人に悪影響を与える可能性があります。

×：刑事判決のガイドラインを作成します。

IABは、個人または企業が犯した特定の重罪または軽犯罪に対する適切な懲罰的判決を決定する際に裁判官が使用する規則である連邦裁判所ガイドラインとは関係がないため、間違っています。このガイドラインは、米国連邦裁判所のシステムにおいて、重罪および/または重度の軽犯罪を行う団体のための統一的な判決方針として機能します。

×：RFCを編集します。

インターネットアーキテクチャ委員会がRFC（Request for Comments）の編集を担当していますが、このタスクは倫理に関係しないため、正しくありません。この選択肢は気を散らすものです。

×：コンピュータ倫理の十戒を維持します。

IABではなくコンピュータ倫理研究所がコンピュータ倫理の十戒を開発し維持しているため、間違っています。コンピュータ倫理研究所は、倫理的手段によって技術を進歩させるために働く非営利団体です。

〇：ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、システムではなく人的ミスを誘う攻撃です。システムアーキテクチャ、インストールソフトウェアに関わらず発生します。

×：DDoS攻撃

DDoS攻撃は、DoS攻撃を対象のウェブサイトやサーバーに対して複数のコンピューターから大量に行うことです。

×：ランサムウェア

ランサムウェアとは、データを暗号化することで凍結し、持ち主に身代金を要求するマルウェアです。

×：ゼロデイ攻撃

ゼロディ攻撃とは、修正されるよりも前に公開された脆弱性を攻撃することです。

多層防御（Defense-in-Depth）とは、守るときには一枚岩ではなく、何重にもあらゆる面で保護すべきという考え方です。一つの脆弱性に対して、何段階も防御することが求められているため、”段階的”なという言葉が選択肢の中では近いものと言えます。

「近いのはどれか？」と聞かれておりより良い選択肢を選ぶことが求められているため、「どれでもない」という回答は正解から除外してもいいでしょう。

業務受託会社監査（SOC、Service Organization Control）とは、米国公認会計士協会（AICPA）によって決められている業務の請け負い側の内部統制を保証するための決まりです。業務をほかの会社に請け負ってもらうことがあります。自社の仕事の品質を担保するため、業務を依頼された側の企業でも相応に統制されている必要があります。そのため、業務を依頼される受託会社の内部統制をチェックするわけです。

• SOC-1（Internal Control over Financial Reporting (ICFR)） 受託会社に対する会計を監査する。
• SOC-2（Trust Services Criteria） 受託会社に対する会計以外のセキュリティなどの統制を確認する。通常6か月間調査を行う。
• SOC-3（Trust Services Criteria for General Use Report） 不特定者（利用者）に対する会計以外のセキュリティなどの統制を確認する。

よって、正解は「6か月」になります。