年間予想損失額は、将来発生しうる損失に対して、発生頻度から年間で均した値です。そのため、単一損失額（SLE）と年間発生頻度（ALO）を乗じた値になります。

〇：健康情報を取り扱えるようなアーキテクチャを考えること

キャロルはシステムエンジニアです。そのため、システム的な現実可能性を探ることが求められます。システム的にできない理由を先んじて説明したり、システム構成以外の承認について手を加えたり、法務的な作業について着手することは、役割を逸脱している可能性が高いといえます。よって正解は、「健康情報を取り扱えるようなアーキテクチャを考えること。」になります。

×：健康情報をシステムで扱うことの危険性を訴えること。

システムエンジニアの基本的なスタンスは、システムとしての実現性を得ることです。提示された案に対して危険性も補足することは必要ですが、危険性を訴えることが主たる目的であってはいけません。

×：医療機関から健康情報を受託許可を得ること。

契約書を交わし、法的な責任範囲について明確にする必要があります。システムエンジニアのスコープ対象からは外れています。

×：健康情報を取り扱うための利用同意の文章を作成すること。

エンドユーザーに対してもサービスを利用する前には同意許諾を得る必要があり、法的な責任範囲について明確にする必要があります。システムエンジニアのスコープ対象からは外れています。

〇：費用便益分析

許容範囲内でリスクを低減するためにコントロールを設置することを要求するために、リスクが現実的で十分に可能性があり、十分にインパクトがあると識別される対策を選択する必要があります。可能な対策のコストと便益を分析するだけで、どのような対策を取るべきかを決定することができます。

×：リスク分析

リスクの決定が、許容可能な閾値内でリスクを制御するために必要とされる可能性があることを特定する最初のステップに過ぎないため、誤りです。

×：ALEの算出

年間予想損失額（ALE）は、特定の脅威が実際になった場合に失う可能性があることを会社に知らせるためのものです。ALEの価値は費用対効果の分析に入りますが、ALEは対抗措置の費用と対策のメリットに対処していません。

×：リスクを引き起こす脆弱性と脅威の特定

脆弱性や脅威の評価が対策の必要性を認識させているにもかかわらず、その評価だけでは競合​​する対策の中でどのようなコスト効果が見込まれているのか判断できないため正しくありません。

HIPAA適用事業者とそのビジネスを補佐する組織や個人に関しても、HIPAAの対象事業者と同じように扱われます。ヘルスケアの提供者、健康情報クリアリングハウス、健康保険計画者などが対象者になります。健康アプリの開発者は、身体情報の保持者もしくは計画をするのではなく、プログラマーとしての責務を負います。身体情報の管理の在り方を中心とするHITECHの対象とならない場合があります。よって正解は、「健康系アプリ開発者」になります。

詳細なHITECHの要件を知っておく必要はありません。情報を扱っているかどうかで選択肢を比較し、消去法で回答することができます。開発者の大きな過失が利用者に影響してしまう可能性を想像し、HITECHのような法律に低触と考えたかもしれませんが、ここでは役割においての責任を質問されています。イレギュラーなケースを考えるのではなく、原則として役割に対する責任で問題を見るべきです。

〇：ISO / IEC 27005―情報セキュリティ管理システムの監査と認証を提供する機関のガイドライン

ISO / IEC 27005は、情報セキュリティリスク管理のガイドラインであり、ISMSの枠組みにおいてリスク管理をどのように実施すべきかについての国際標準です。

×：ISO / IEC 27002―情報セキュリティ管理の実践規範

情報セキュリティ管理の実践のためのコードなので正しくありません。従って、それは正しいマッピングを有する。 ISO / IEC 27002は、ISMSの開始、実装、または保守に関するベストプラクティスの推奨事項とガイドラインを提供します。

×：ISO / IEC 27003―ISMS実施のガイドライン

ISO / IEC 27003は、ISO / IEC 27001：2005に従ってISMSの設計と実装を成功させるために必要な重要な側面に焦点を当てています。 ISMSの仕様と設計プロセスの開始から実装計画の作成までを記述しています。

×：ISO / IEC 27004―情報セキュリティ管理測定およびメトリクスフレームワークのガイドライン

ISO / IEC 27004は、情報セキュリティ管理測定およびメトリクスフレームワークのガイドラインです。 ISO / IEC 27001に規定されているように、ISMSおよび統制や統制のグループの有効性を評価するために、尺度の開発と使用に関するガイダンスを提供します。

〇：デジタルミレニアム著作権法

デジタルミレニアム著作権法（Digital Millennium Copyright Act：DMCA）は、著作権物を保護するために設けられたアクセス制御手段を侵害する技術などを犯罪とする米国の著作権法です。よって正解は、「デジタルミレニアム著作権法」になります。

電子書籍を保護する独自の方法を「ロック解除」する方法を見つけたら、この行為を請求することができます。実際の著作権で保護された書籍を誰かと共有しなくても特定の法律は破られており、有罪判決が下されます。

×：COPPA

児童オンラインプライバシー保護法（Children’s Online Privacy Protection Act、COPPA）とは、インターネット上で安全に子どもサイト向けを使えるように、もし何の規約もなしに子どもたちを危機にさらすことを禁止する法律です。

×：連邦プライバシー法

そのような法律はありませんが、近いところで米国連邦データプライバシー法があります。これは、米国の連邦レベルでの包括的な個人情報保護法になります。

×：GDPR

一般データ保護規則（GDPR）とは、データ保護指令をより厳しくしたEU市民のプライバシー法です。

〇：ハクティビスト

政治的な目的でクラッキング行為を行う人をハクティビストといいます。よって正解は、「ハクティビスト」になります。

×：ハッカー

ハッカーとは、コンピュータに詳しい人です。

×：スクリプトキディ

スクリプトキディとは、ITに詳しくないけどツールを使ってサイバー攻撃する人です。中学生という文言がありますが、これだけでスクリプトキディとは断定できません。

×：サイレントマジョリティ

サイレントマジョリティとは、積極的な発言行為をしない一般大衆のことです。

セキュリティドキュメントとは、達成すべきセキュリティを文書化したものです。”強いセキュリティ”を実現するためには明確な定義が必要です。その定義は組織によって異なるため、文章化する必要があります。ポリシーをトップとして5つの文書あり、それぞれ作成の必須・任意が決まっています。

〇：AS / NZS 4360

AS / NZS 4360はセキュリティリスクの分析に使用できますが、その目的のために作成されたものではありません。それは、IT脅威と情報セキュリティリスクに焦点を絞ったNISTやOCTAVEなど、他のリスク評価手法よりもリスク管理にはかなり広いアプローチを取ります。 AS / NZS 4360は、会社の財務、資本、人的安全、およびビジネス上の意思決定のリスクを理解するために使用できます。

×：FAP

正式なFAPリスク分析手法がないため、正しくありません。

×：OCTAVE

ITの脅威と情報セキュリティのリスクに重点を置いているため、画像Bは正しくありません。 OCTAVEは、組織内の情報セキュリティのリスク評価を管理し、指示する状況で使用するためのものです。組織の従業員には、セキュリティを評価するための最良の方法を決定する権限が与えられます。

×：NIST SP 800-30

IT脅威に固有であり情報脅威にどのように関連しているかという理由で、間違っています。主にシステムに焦点を当てています。データは、ネットワークおよびセキュリティプラクティスの評価や組織内の人々から収集されます。データは、800-30文書で概説したリスク分析ステップの入力値として使用されます。

〇：リスクをもたらす活動の中止

含まれていないものを選ぶ問題です。リスクを導入する活動を中止することは、回避によってリスクに対応する方法です。たとえば、企業内でのインスタントメッセージング（IM）の使用を取り巻く多くのリスクがあります。企業がIMの使用を許可しないことをビジネス上の必要性がないために決定した場合、このサービスを禁止することはリスク回避の一例です。リスクアセスメントには、このような対策の実施は含まれていません。よって正解は、「リスクをもたらす活動の中止」になります。

×：資産の特定

アセットを特定することがリスクアセスメントの一部であり、リスクアセスメントに含まれないものを特定することを求められているため、誤りである。資産の価値を判断するには、まずその資産を特定しなければなりません。資産の識別と評価も、リスク管理の重要な任務です。

×：脅威の特定

脅威を特定することはリスクアセスメントの一部であり、リスクアセスメントに含まれないものを特定することが求められるため、正しくありません。脅威が脆弱性を悪用する可能性があるため、リスクが存在します。脅威がなければ、リスクはありません。リスクは、脆弱性、脅威、および結果として生じるビジネスへの悪用の可能性を結び付けます。

×：コストまたは臨界の順にリスク分析

コストまたは臨界の順にリスクを分析することがリスクアセスメントプロセスの一部であり、リスクアセスメントに含まれていないものを特定するために質問されるため不適切です。リスクアセスメントは、企業が直面するリスクを調査し定量化します。リスクに対処するには、費用対効果の高い方法で対応する必要があります。リスクの重大性を知ることで、組織はそれを効果的に対処する方法を決定できます。

〇：リスク軽減

リスクは、移転、回避、軽減、受入の4つの基本的な方法で対処できます。スーは、ウイルス対策ソフトウェアやスパム対策ソフトウェアなどのセキュリティコントロールを実装することで、自社の電子メールシステムがもたらすリスクを削減しています。これは、リスク軽減とも呼ばれ、リスクは許容可能と見なされるレベルまで減少します。手順を改善し、環境を変え、脅威に対する障壁を立て、脅威が発生したときにその脅威を阻止して被害を減らすための早期発見手法を導入することで、リスクを軽減することができます。

×：リスク受入

リスク受入がアンチウィルスソフトウェアなどの保護や対策に支出を伴わないため不適切です。リスクを受け入れる際には、直面しているリスクのレベルと潜在的な損害コストを把握し、対策を実施することなくそれを維持することを決定します。コスト/利益比率が、対策費用が潜在的な損失額を上回っていることを示している場合、多くの企業はリスクを受け入れます。

×：リスク回避

リスクを引き起こしている活動を中止することになるため、間違っています。この場合、スーの会社は引き続きEメールを使用することに決めました。企業がそのリスクがアクティビティのビジネスニーズを上回る場合、リスクを導入するアクティビティを終了することを選択することがあります。たとえば、企業は従業員の生産性に与えるリスクのため、ソーシャルメディアのWebサイトを一部の部門でブロックすることを選択することがあります。

×：リスク移転

リスクの一部を保険会社に移転するために保険購入のように他のエンティティとリスクを共有することを伴うため、正しくない。多くの種類の保険は、企業が資産を保護するために利用できます。会社が総リスクまたは余剰リスクが高すぎて賭けができないと判断した場合、保険を購入することができます。

EU一般データ保護規則とは、非常に積極的なプライバシー保護法です。組織は、データがどのように収集および使用されるかを個人に通知する必要があります。組織は、サードパーティとのデータ共有をオプトアウトできるようにする必要があります。最も機密性の高いデータを共有するにはオプトインが必要です。受領国が適切な（同等の）プライバシー保護を持っていると認められない限り、EUからの送信はありません。

〇：インターネットの利用に関する倫理関連の声明を発表する。

インターネットアーキテクチャ委員会（IAB）は、インターネットの設計、エンジニアリング、および管理のための調整委員会です。これは、IETF（Internet Engineering Task Force）活動、インターネット標準プロセスの監視とアピール、RFC（Request for Comments）の編集者のアーキテクチャーの監視を担当しています。 IABは、インターネットの使用に関する倫理関連の声明を発表しています。インターネットは、可用性とアクセシビリティに依存するリソースであり、幅広い人々にとって有用であると考えられています。主に、インターネット上の無責任な行為がその存在を脅かすか、または他人に悪影響を与える可能性があります。

×：刑事判決のガイドラインを作成します。

IABは、個人または企業が犯した特定の重罪または軽犯罪に対する適切な懲罰的判決を決定する際に裁判官が使用する規則である連邦裁判所ガイドラインとは関係がないため、間違っています。このガイドラインは、米国連邦裁判所のシステムにおいて、重罪および/または重度の軽犯罪を行う団体のための統一的な判決方針として機能します。

×：RFCを編集します。

インターネットアーキテクチャ委員会がRFC（Request for Comments）の編集を担当していますが、このタスクは倫理に関係しないため、正しくありません。この選択肢は気を散らすものです。

×：コンピュータ倫理の十戒を維持します。

IABではなくコンピュータ倫理研究所がコンピュータ倫理の十戒を開発し維持しているため、間違っています。コンピュータ倫理研究所は、倫理的手段によって技術を進歩させるために働く非営利団体です。

〇：リスク分析を実施します。

記載された手順の中で、効果的な物理的なセキュリティプログラムを展開するのみ実施する初めの手順は、脆弱性や脅威を識別し、各脅威のビジネスへの影響を計算するために、リスク分析を行うことです。チームは経営者にリスク分析の結果を提示し、物理的なセキュリティプログラムのための許容可能なリスクレベルを定義するために、リスク分析をしています。そこから、チームが評価し、ベースラインが実装によって満たされているかどうかを判断していきます。チームがその対応策を特定し、対策を実装したら、パフォーマンスを継続的に評価します。これらのパフォーマンスは、設定されたベースラインと比較されます。ベースラインが継続的に維持されている場合は、同社の許容可能なリスクレベルを超えていないため、セキュリティプログラムが成功しているといえます。

×：対策のパフォーマンスメトリックを作成します。  

対策のパフォーマンスメトリックを作成する手順は、物理的なセキュリティプログラムを作成するための最初のステップではないので、間違っています。パフォーマンスベースで監視されている場合、プログラムがどのように有益かつ効果的であるかを判定するために利用できます。組織の物理的なセキュリティの保護に投資するときにビジネス上の意思決定を行うための管理を可能にします。目標は、物理的なセキュリティプログラムの性能を向上させ、費用対効果の高い方法で会社のリスクを減少させることことにつながります。あなたは、パフォーマンスのベースラインを確立し、その後、継続的に企業の保護の目標が満たされていることを確認するために、パフォーマンスを評価する必要があります。可能なパフォーマンスメトリックの例としては、成功した攻撃の数、成功した攻撃の数、および攻撃のために要した時間を含みます。

×：設計プログラムを作成します。  

プログラムを設計することは、リスク分析の後に行われるべきであるので間違っています。リスクのレベルを理解したら、次に設計フェーズは、リスク分析で識別された脅威から保護するために行うことができます。抑止、遅延、検出、評価、応答の設計は、プログラムの各カテゴリのために必要なコントロールを組み込むでしょう。

×：対策を実装します。  

対策を実施することは物理的なセキュリティプログラムを展開プロセスの最後のステップの1つですので、間違っています。

P.A.S.T.A.とは、コンプライアンスとビジネス分析しながら、資産価値を保護する方法を見つける7ステップです。自分の資産を保護するには、まず何から手を付けたらよいのでしょうか。P.A.S.T.A.は道筋を指示してくれます。P.A.S.T.A.を使用すると、組織はアプリケーションとインフラストラクチャに対する攻撃者の視点を理解できるため、脅威管理プロセスとポリシーを発見できます。脅威を見つけることが主軸にあるため、リスク中心に考えるところと、シミュレーションがあるところが特徴です。

〇：従業員のセキュリティ意識が変わるような定期的な教育

行動指示型とは、組織的管理として従業員に求められる行動を指示する目的のコントロールです。従業員の意識が変わるような定期的な教育は、行動指示型に該当します。よって正解は、「従業員のセキュリティ意識が変わるような定期的な教育」になります。

×：ドローン監査を利用した遠隔的に指示する防御策

補強的（compensating）な防御策に当たります。

×：物理的な壁による行動心理的な障害とする防御策

物理的（physically）な防御策に当たります。

×：あるアクションを見直す再発防止策の立案

是正的（corrective）な防御策に当たります。

〇：DDoS攻撃

可用性とは、サービスの継続性を示すCIAトライアドの性質の一つです。サービスの継続性を脅かす攻撃は、大量のリクエストを送付し、サービスダウンを行うDDoS攻撃が該当します。よって正解は、「DDoS攻撃」になります。

×：ホエーリング

ホエーリングとは、社会的に認知されている人・組織に狙いを定めるスピア・フィッシング攻撃です。

×：TOC/TOU

TOC/TOUとは、ある条件をチェックしてから、そのチェック結果を使用するまでの間にシステムが変更されることで発生するソフトウェアのバグです。多くの場合、ファイルを探してからファイルを読む間に別のファイルに差し替えてしまう攻撃です。

×：DRAM

RAM（Random Access Memory）とは、CPUや画面表示などに利用するときに使うメモリです。DRAMとは、短時間しか保存されないし、定期的リフレッシュが必要なRAMです。

〇：商標

知的財産は資源の種類に応じて、いくつかの異なる法律によって保護することができます。 商標は、ロゴなど、単語、名前、シンボル、サウンド、形、色、またはこれらの組み合わせを保護するために使用されます。企業がこれらの商標の1つ、またはその組み合わせを商標登録する理由は、世界に彼らの会社（ブランドアイデンティティ）を表すためです。 よって正解は、「商標」になります。

×：特許

特許とは、薬など発明すること大変なものに対して、技術の使用を独占する権利です。

×：著作権

著作権とは、音楽とか本とか、技術的なものでなくとも、考えて作ったものへの権利です。

×：営業秘密

営業秘密とは、顧客情報、製品の技術・製造方法など事業活動として有益であり機密としている情報です。

〇：トロイの木馬

トロイの木馬とは、伝染するとき一見無害そうに見えるマルウェアです。いやらしい画像をダウンロードしたら、急にパソコンが立ち上がらなくなったとかありますでしょうか。

×：スパイウェア

スパイウェアとは、悪さするとき一見無害そうにするマルウェアです。こっそりパソコンの情報を外に持ち出します。

×：ウイルス

ウイルスとは、ユーザの操作なしに伝染し、他のプログラムにくっつくマルウェアです。無害そうに見えますが、アプリケーションをダウンロードという点で一致しません。

×：データディドラー

データディドラーとは、時間経過とともに少しずつデータを変更するマルウェアです。

〇：無権限のエンティティと共有するデータの抽出

関係のないものを選ぶ問題です。無許可のエンティティと共有するデータの抽出は、機密性の問題です。ややこしい言い方をしていますが、データに対する操作は無許可と抽出であり、完全性の主とするデータの破壊はいずれも含まれていません。よって正解は、「無権限のエンティティと共有するデータの抽出」になります。

この問題を解く上で、エンティティが何かを知っておく必要はありません。変更や破壊は行われているかどうかに注目します。

×：データに対する不正な操作または変更

間違いです。なぜなら、完全性は、許可されていない操作またはデータの変更に関連するからである。無断改変が防止されると、完全性が維持されます。ハードウェア、ソフトウェア、および通信の仕組みは、データを正しく維持および処理し、予期せぬ変更なしに意図した宛先にデータを移動するために連携して動作する必要があります。システムとネットワークは、外部の干渉や汚染から保護する必要があります。

×：許可なくデータを変更する

権限のないデータの変更が整合性に関連するため、間違いです。整合性とは、データを保護することであり、ユーザーや権限を持たない他のシステムによって変更することはできません。

×：意図的または偶発的なデータの置換

意図的または偶発的なデータの置換が整合性に関連するため、正しくありません。データが不正なエンティティによって改ざんされないという保証とともに、情報およびシステムの正確性および信頼性の保証が提供される場合、完全性が維持されます。完全性を強制する環境では、例えば、ウイルス、ロジックボム、バックドアをデータを破損または置換する可能性のあるシステムに挿入するなどの攻撃を防ぎます。ユーザーは通常、間違ってシステムやそのデータの整合性に影響を与えます（内部ユーザーは悪意のある行為も行う可能性があります）。たとえば、データ処理アプリケーションに誤った値を挿入して、300ドルではなく3,000ドルを顧客に請求することがあります。