〇：デジタルミレニアム著作権法

デジタルミレニアム著作権法（Digital Millennium Copyright Act：DMCA）は、著作権物を保護するために設けられたアクセス制御手段を侵害する技術などを犯罪とする米国の著作権法です。よって正解は、「デジタルミレニアム著作権法」になります。

電子書籍を保護する独自の方法を「ロック解除」する方法を見つけたら、この行為を請求することができます。実際の著作権で保護された書籍を誰かと共有しなくても特定の法律は破られており、有罪判決が下されます。

×：COPPA

児童オンラインプライバシー保護法（Children’s Online Privacy Protection Act、COPPA）とは、インターネット上で安全に子どもサイト向けを使えるように、もし何の規約もなしに子どもたちを危機にさらすことを禁止する法律です。

×：連邦プライバシー法

そのような法律はありませんが、近いところで米国連邦データプライバシー法があります。これは、米国の連邦レベルでの包括的な個人情報保護法になります。

×：GDPR

一般データ保護規則（GDPR）とは、データ保護指令をより厳しくしたEU市民のプライバシー法です。

〇：費用便益分析

許容範囲内でリスクを低減するためにコントロールを設置することを要求するために、リスクが現実的で十分に可能性があり、十分にインパクトがあると識別される対策を選択する必要があります。可能な対策のコストと便益を分析するだけで、どのような対策を取るべきかを決定することができます。

×：リスク分析

リスクの決定が、許容可能な閾値内でリスクを制御するために必要とされる可能性があることを特定する最初のステップに過ぎないため、誤りです。

×：ALEの算出

年間予想損失額（ALE）は、特定の脅威が実際になった場合に失う可能性があることを会社に知らせるためのものです。ALEの価値は費用対効果の分析に入りますが、ALEは対抗措置の費用と対策のメリットに対処していません。

×：リスクを引き起こす脆弱性と脅威の特定

脆弱性や脅威の評価が対策の必要性を認識させているにもかかわらず、その評価だけでは競合​​する対策の中でどのようなコスト効果が見込まれているのか判断できないため正しくありません。

「倫理項目ではないもの」を選ぶ問題です。インターネットを使う者に対して、IAB（Internet Activities Board）によるインターネットの資源の正しい利用についての表明されています。

• インターネットの資源への認可されていないアクセスを得ようとすること。
• インターネットの意図された利用を混乱させること。
• そのような活動を通じて資源（人、能力およびコンピュータ）を無駄にすること。
• コンピュータベースの情報の完全性を破壊すること。
• ユーザーのプライバシーを侵すこと。

CIAは、機密性・完全性・可用性の略です。

〇：ハクティビスト

政治的な目的でクラッキング行為を行う人をハクティビストといいます。よって正解は、「ハクティビスト」になります。

×：ハッカー

ハッカーとは、コンピュータに詳しい人です。

×：スクリプトキディ

スクリプトキディとは、ITに詳しくないけどツールを使ってサイバー攻撃する人です。中学生という文言がありますが、これだけでスクリプトキディとは断定できません。

×：サイレントマジョリティ

サイレントマジョリティとは、積極的な発言行為をしない一般大衆のことです。

2001年の同時多発テロ事件は、テロに対する様々な法整備がされるきっかけとなりました。よって正解は、「2001年、同時多発テロ事件」になります。

分散型サービス停止（DDoS）攻撃は通常、攻撃者に金銭的な利益をもたらしません。多くの場合、復讐や組織の方針決定に同意しなかったり、攻撃者が組織に対する反感の大きさを証明したりする動機です。確かに、従量課金のクラウドサービスに対して、大量のアクセスをすることで想定以上のリソースを消費させ、コストを肥大化させる目的で利用されることもありますが、当事者の金銭的の目的ではないという点で、誤りになります。

HIPAA適用事業者とそのビジネスを補佐する組織や個人に関しても、HIPAAの対象事業者と同じように扱われます。ヘルスケアの提供者、健康情報クリアリングハウス、健康保険計画者などが対象者になります。健康アプリの開発者は、身体情報の保持者もしくは計画をするのではなく、プログラマーとしての責務を負います。身体情報の管理の在り方を中心とするHITECHの対象とならない場合があります。よって正解は、「健康系アプリ開発者」になります。

詳細なHITECHの要件を知っておく必要はありません。情報を扱っているかどうかで選択肢を比較し、消去法で回答することができます。開発者の大きな過失が利用者に影響してしまう可能性を想像し、HITECHのような法律に低触と考えたかもしれませんが、ここでは役割においての責任を質問されています。イレギュラーなケースを考えるのではなく、原則として役割に対する責任で問題を見るべきです。

著作権は、本、アート、音楽、ソフトウェアなどに適用されます。これは自動的に付与され、作成者の死亡後70年間、作成後95年間有効です。よって正解は、「70年」になります。

〇：デューケア

デューケアとは、状況に応じてセキュリティ違反を防止するために合理的に実行できたすべてのことを会社が行い、セキュリティ違反が発生した場合に適切な管理や対策を講じることです。要するに、企業が常識と慎重な経営を実践し、責任を持って行動しているということです。ある企業が免火性がない施設を持っている場合、その放火犯はこの悲劇の小さな部分に過ぎないでしょう。同社は、火災の影響を受ける可能性があるすべての重要な情報の特定の地域、警報、出口、消火器、およびバックアップの火災検知および抑制システム、耐火建築材料の提供を担当しています。火災により会社の建物が燃えてしまい、すべての記録（顧客データ、在庫記録、および事業の再構築に必要な情報）が消滅した場合、当社はその損失から保護されるように注意を払っていないと言えます。たとえば、オフサイトの場所にバックアップするなどが可能でしょう。この場合、従業員、株主、顧客、そして影響を受けたすべての人が潜在的に会社を訴える可能性があります。しかし、会社がこれまでに挙げた点で期待していたことをすべて実行した場合、適切なケア（ディーケア）を怠っても成功すると訴えることは困難です。

×：下流の責任

ある企業の活動（またはその活動の欠如）が他の会社に悪影響を与える可能性があるため、間違っていることです。いずれかの企業が必要なレベルの保護を提供せず、その過失が協力しているパートナーに影響を及ぼす場合、影響を受けた企業は上流の会社を訴えることができます。たとえば、A社とB社がエクストラネットを構築したとします。 A社はウイルスを検出して対処するためのコントロールを導入していません。 A社は有害なウイルスに感染し、B社にはエクストラネットを通じて感染します。このウイルスは重要なデータを破壊し、B社の生産に大きな障害をもたらします。したがって、B社は、A社を怠慢であると訴えることができます。これは下流の責任の一例です。

×：責任

一般的に特定の当事者の義務と予想される行動や行動を指すため、正しくありません。義務は、特定の義務をどのように果たすかを当事者が決定することを可能にする、より一般的かつオープンなアプローチである必要な特定の行動の定義されたセットを有することができる。

×：デューデリジェンス

おしい回答です。デューデリジェンスとは、会社がその可能性のある弱点や脆弱性のすべてを適切に調査することです。自分を適切に保護する方法を理解する前に、あなたが自分を守っていることを知る必要があります。現実のリスクレベルを理解するために、現実のレベルの脆弱性を調査し評価します。これらのステップと評価が行われた後でさえ、効果的な管理と保護手段を特定し、実施することができます。デューデリジェンスとは、すべての潜在的なリスクを特定することを意味します。

〇：リスクをもたらす活動の中止

含まれていないものを選ぶ問題です。リスクを導入する活動を中止することは、回避によってリスクに対応する方法です。たとえば、企業内でのインスタントメッセージング（IM）の使用を取り巻く多くのリスクがあります。企業がIMの使用を許可しないことをビジネス上の必要性がないために決定した場合、このサービスを禁止することはリスク回避の一例です。リスクアセスメントには、このような対策の実施は含まれていません。よって正解は、「リスクをもたらす活動の中止」になります。

×：資産の特定

アセットを特定することがリスクアセスメントの一部であり、リスクアセスメントに含まれないものを特定することを求められているため、誤りである。資産の価値を判断するには、まずその資産を特定しなければなりません。資産の識別と評価も、リスク管理の重要な任務です。

×：脅威の特定

脅威を特定することはリスクアセスメントの一部であり、リスクアセスメントに含まれないものを特定することが求められるため、正しくありません。脅威が脆弱性を悪用する可能性があるため、リスクが存在します。脅威がなければ、リスクはありません。リスクは、脆弱性、脅威、および結果として生じるビジネスへの悪用の可能性を結び付けます。

×：コストまたは臨界の順にリスク分析

コストまたは臨界の順にリスクを分析することがリスクアセスメントプロセスの一部であり、リスクアセスメントに含まれていないものを特定するために質問されるため不適切です。リスクアセスメントは、企業が直面するリスクを調査し定量化します。リスクに対処するには、費用対効果の高い方法で対応する必要があります。リスクの重大性を知ることで、組織はそれを効果的に対処する方法を決定できます。

〇：資産をカバーするために必要な保険の水準

使用されないものを選ぶ問題です。資産価値（AV、Asset Value）の算出方法にはいくつかあり、市場で似た資産を参考にするマーケットアプローチ、将来的に稼ぐであろう利益で計る収益アプローチ、資産に使ったコストで計るコストアプローチになります。資産をカバーするために必要な保険の水準というのは、資産価値を特定し適切なリスク分析を行ったうえで行われる意思決定で、組織はその資産を購入する保険範囲のレベルをより簡単に判断できます。よって正解は、「資産をカバーするために必要な保険の水準」になります。

×：外部市場における資産の価値

市場で似た資産を参考にする手法は、マーケットアプローチとして知られています。

×：資産の購入、ライセンス供与、およびサポートの初期費用と出費

資産に使ったコストで計る手法としては、コストアプローチとして知られています。

×：組織の生産業務に対する資産価値

将来的に稼ぐであろう利益で計る手法としては、収益アプローチとして知られています。

(ISC)2の倫理規約における規範は以下の通りです。

• 社会、公益、公共から求められる信頼と信用、インフラを守る。
• 法律に違わず、公正かつ誠実に責任を持って行動する。
• 原則に基づき、優れたサービスを提供する。
• 専門性を高め、維持する。

よって正解は、「上記すべて」になります。

〇：従業員のセキュリティ意識が変わるような定期的な教育

行動指示型とは、組織的管理として従業員に求められる行動を指示する目的のコントロールです。従業員の意識が変わるような定期的な教育は、行動指示型に該当します。よって正解は、「従業員のセキュリティ意識が変わるような定期的な教育」になります。

×：ドローン監査を利用した遠隔的に指示する防御策

補強的（compensating）な防御策に当たります。

×：物理的な壁による行動心理的な障害とする防御策

物理的（physically）な防御策に当たります。

×：あるアクションを見直す再発防止策の立案

是正的（corrective）な防御策に当たります。

スコーピングは、標準のどの部分を組織に展開するかを決定します。要望または業界に適用される標準を選択し、組織範囲内にあるものと範囲外にあるものを決定します。

〇：日常的に稼働し、取得しているシステムログ

不正アクセスであるかどうかは、一般的な使い方と異なることを示す必要があります。また、日常的に取得していないログに関して法的証拠としての信頼性も薄くなります。

×：国際基準に準拠している洗練された製品から得られるシステムログ

マーケット的に洗練されているか否かは、法廷証拠の要件ではありません。逆に言えば、自社開発のソフトウェアが法的証拠に使えないというのは考えにくいでしょう。

×：印刷し物理媒体として保管されているシステムログ

ログが印刷されているか否かは必ずしも法的要件とはなりません。ソフトウェアとしての記録が出力されるわけですから、物理的な証拠としての純粋さはないのです。

×：OS層において記録される基盤に近いシステムログ

OS層に近いログはシステム的なトレーサビリティも高まりますが、ユーザー操作との関連性も薄く、不正アクセスの証拠には向きません。

HIPAA（医療保険の相互運用性と説明責任に関する法律）には、プライバシールール、セキュリティルール、違反通知ルールの3つのルールがあります。この規則は、管理上、物理的、および技術的な保護手段を義務付けています。

セキュリティドキュメントとは、達成すべきセキュリティを文書化したものです。”強いセキュリティ”を実現するためには明確な定義が必要です。その定義は組織によって異なるため、文章化する必要があります。ポリシーをトップとして5つの文書あり、それぞれ作成の必須・任意が決まっています。

〇：AS / NZS 4360

AS / NZS 4360はセキュリティリスクの分析に使用できますが、その目的のために作成されたものではありません。それは、IT脅威と情報セキュリティリスクに焦点を絞ったNISTやOCTAVEなど、他のリスク評価手法よりもリスク管理にはかなり広いアプローチを取ります。 AS / NZS 4360は、会社の財務、資本、人的安全、およびビジネス上の意思決定のリスクを理解するために使用できます。

×：FAP

正式なFAPリスク分析手法がないため、正しくありません。

×：OCTAVE

ITの脅威と情報セキュリティのリスクに重点を置いているため、画像Bは正しくありません。 OCTAVEは、組織内の情報セキュリティのリスク評価を管理し、指示する状況で使用するためのものです。組織の従業員には、セキュリティを評価するための最良の方法を決定する権限が与えられます。

×：NIST SP 800-30

IT脅威に固有であり情報脅威にどのように関連しているかという理由で、間違っています。主にシステムに焦点を当てています。データは、ネットワークおよびセキュリティプラクティスの評価や組織内の人々から収集されます。データは、800-30文書で概説したリスク分析ステップの入力値として使用されます。

〇：インターネットの利用に関する倫理関連の声明を発表する。

インターネットアーキテクチャ委員会（IAB）は、インターネットの設計、エンジニアリング、および管理のための調整委員会です。これは、IETF（Internet Engineering Task Force）活動、インターネット標準プロセスの監視とアピール、RFC（Request for Comments）の編集者のアーキテクチャーの監視を担当しています。 IABは、インターネットの使用に関する倫理関連の声明を発表しています。インターネットは、可用性とアクセシビリティに依存するリソースであり、幅広い人々にとって有用であると考えられています。主に、インターネット上の無責任な行為がその存在を脅かすか、または他人に悪影響を与える可能性があります。

×：刑事判決のガイドラインを作成します。

IABは、個人または企業が犯した特定の重罪または軽犯罪に対する適切な懲罰的判決を決定する際に裁判官が使用する規則である連邦裁判所ガイドラインとは関係がないため、間違っています。このガイドラインは、米国連邦裁判所のシステムにおいて、重罪および/または重度の軽犯罪を行う団体のための統一的な判決方針として機能します。

×：RFCを編集します。

インターネットアーキテクチャ委員会がRFC（Request for Comments）の編集を担当していますが、このタスクは倫理に関係しないため、正しくありません。この選択肢は気を散らすものです。

×：コンピュータ倫理の十戒を維持します。

IABではなくコンピュータ倫理研究所がコンピュータ倫理の十戒を開発し維持しているため、間違っています。コンピュータ倫理研究所は、倫理的手段によって技術を進歩させるために働く非営利団体です。