これは、リスク回避の典型的な例です。シニアマネジメントは、報酬がリスクに見合わないため、そ の事業が戦略的目標に適合しないと判断したのです。

また、この回答はCISSPらしいといえるでしょう。セキュリティリスクに対してすべて対応するのではなく企業目標を達成するための最低限のレベルを確保するものであり、コストメリットが無ければ否定します。

〇：すべてのセキュリティ活動はセキュリティ部門内で実施

すべてのセキュリティ活動がセキュリティ部門内で行われる場合、セキュリティはサイロ内で機能し、組織全体に統合されません。セキュリティガバナンスプログラムを導入している企業では、経営幹部から指揮系統まで、組織全体にセキュリティの責任が浸透しています。一般的なシナリオは、特定の事業部門のリスク管理活動を担当する事業部長を執行する経営幹部の管理です。さらに、従業員は悪意のあるもしくは偶発的に発生しているセキュリティ違反に対して責任を負います。

×：役員は同社のセキュリティ状態について四半期ごとに更新

正しくありません。セキュリティガバナンスとは、戦略指針を提供し、目標が達成されていることを確認し、リスクが適切に管理されていることを確認し、リソースは責任を持って使用されます。セキュリティガバナンスプログラムを導入している組織には、セキュリティの重要性を理解し、組織のセキュリティパフォーマンスと違反を認識している取締役会があります。

×：セキュリティ製品、サービス、およびコンサルタントは情報に基づいた方法で展開

セキュリティガバナンスは、製品、人材、トレーニング、プロセスなどを含む統合セキュリティコンポーネントの一貫したシステムであるため、正しくありません。したがって、セキュリティガバナンスプログラムを導入している組織は、セキュリティ製品、管理サービス、情報に基づいた方法でコンサルタントを支援します。彼らはまた、彼らがコスト効果があることを確認するために絶えず見直されています。

×：組織はセキュリティを向上させるための指標と目標を確立

セキュリティガバナンスが性能測定および監督の仕組みを必要とするため不正確である。セキュリティガバナンスプログラムを導入している組織は、継続的な改善を目標として、セキュリティを含むプロセスを継続的に見直しています。一方、セキュリティガバナンスプログラムを欠いている組織は、そのパフォーマンスを分析せずに進んでいく可能性があり、したがって同様のミスが繰り返されます。

HIPAA適用事業者とそのビジネスを補佐する組織や個人に関しても、HIPAAの対象事業者と同じように扱われます。ヘルスケアの提供者、健康情報クリアリングハウス、健康保険計画者などが対象者になります。健康アプリの開発者は、身体情報の保持者もしくは計画をするのではなく、プログラマーとしての責務を負います。身体情報の管理の在り方を中心とするHITECHの対象とならない場合があります。よって正解は、「健康系アプリ開発者」になります。

詳細なHITECHの要件を知っておく必要はありません。情報を扱っているかどうかで選択肢を比較し、消去法で回答することができます。開発者の大きな過失が利用者に影響してしまう可能性を想像し、HITECHのような法律に低触と考えたかもしれませんが、ここでは役割においての責任を質問されています。イレギュラーなケースを考えるのではなく、原則として役割に対する責任で問題を見るべきです。

〇：インターネットの利用に関する倫理関連の声明を発表する。

インターネットアーキテクチャ委員会（IAB）は、インターネットの設計、エンジニアリング、および管理のための調整委員会です。これは、IETF（Internet Engineering Task Force）活動、インターネット標準プロセスの監視とアピール、RFC（Request for Comments）の編集者のアーキテクチャーの監視を担当しています。 IABは、インターネットの使用に関する倫理関連の声明を発表しています。インターネットは、可用性とアクセシビリティに依存するリソースであり、幅広い人々にとって有用であると考えられています。主に、インターネット上の無責任な行為がその存在を脅かすか、または他人に悪影響を与える可能性があります。

×：刑事判決のガイドラインを作成します。

IABは、個人または企業が犯した特定の重罪または軽犯罪に対する適切な懲罰的判決を決定する際に裁判官が使用する規則である連邦裁判所ガイドラインとは関係がないため、間違っています。このガイドラインは、米国連邦裁判所のシステムにおいて、重罪および/または重度の軽犯罪を行う団体のための統一的な判決方針として機能します。

×：RFCを編集します。

インターネットアーキテクチャ委員会がRFC（Request for Comments）の編集を担当していますが、このタスクは倫理に関係しないため、正しくありません。この選択肢は気を散らすものです。

×：コンピュータ倫理の十戒を維持します。

IABではなくコンピュータ倫理研究所がコンピュータ倫理の十戒を開発し維持しているため、間違っています。コンピュータ倫理研究所は、倫理的手段によって技術を進歩させるために働く非営利団体です。

〇：ハクティビスト

政治的な目的でクラッキング行為を行う人をハクティビストといいます。よって正解は、「ハクティビスト」になります。

×：ハッカー

ハッカーとは、コンピュータに詳しい人です。

×：スクリプトキディ

スクリプトキディとは、ITに詳しくないけどツールを使ってサイバー攻撃する人です。中学生という文言がありますが、これだけでスクリプトキディとは断定できません。

×：サイレントマジョリティ

サイレントマジョリティとは、積極的な発言行為をしない一般大衆のことです。

〇：ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、システムではなく人的ミスを誘う攻撃です。システムアーキテクチャ、インストールソフトウェアに関わらず発生します。

×：DDoS攻撃

DDoS攻撃は、DoS攻撃を対象のウェブサイトやサーバーに対して複数のコンピューターから大量に行うことです。

×：ランサムウェア

ランサムウェアとは、データを暗号化することで凍結し、持ち主に身代金を要求するマルウェアです。

×：ゼロデイ攻撃

ゼロディ攻撃とは、修正されるよりも前に公開された脆弱性を攻撃することです。

〇：セキュリティ運営委員会

スティーブは、企業内の戦術的および戦略的セキュリティ問題の決定を担当するセキュリティ運営委員会に参加しています。委員会は、組織全体の個人から構成され、少なくとも四半期ごとに会合する必要があります。この質問に記載された責任に加えて、セキュリティ運営委員会は、事業の組織的意思と協力してそれをサポートする、明確に定義されたビジョンステートメントを確立する責任があります。組織のビジネス目標に関係する機密性、完全性、および可用性の目標に対するサポートを提供する必要があります。このビジョンステートメントは、組織に適用されるプロセスにサポートと定義を提供し、ビジネス目標に達することを可能にするミッションステートメントによってサポートされるべきです。

各組織で呼び名は異なりますか、セキュリティに一連の定義から承認までのプロセスを任せられています。その場合、最も近い場合には”運営”という言葉が近いのです。

×：セキュリティポリシー委員会

上級管理職がセキュリティポリシーを策定する委員会であるため、間違っています。通常、上級管理職は、役員または委員会に委任しない限り、この責任を負います。セキュリティポリシーは、セキュリティが組織内で果たす役割を決定します。組織化、特定の問題、またはシステム固有のものにすることができます。運営委員会はポリシーを直接作成するのではなく、受け入れ可能であればレビューと承認を行います。

×：監査委員会

取締役会、経営陣、内部監査人、および外部監査人の間で独立したオープンなコミュニケーションを提供するため、正しくありません。その責任には、内部統制システム、独立監査人のエンゲージメントとパフォーマンス、内部監査機能のパフォーマンスが含まれます。監査委員会は、調査結果を運営委員会に報告するが、セキュリティプログラムの監督と承認を怠ることはない。

×：リスクマネジメント委員会

組織が直面しているリスクを理解し、上級管理職と協力してリスクを許容レベルまで下げることであるため、正しくありません。この委員会は、セキュリティプログラムを監督しません。セキュリティ運営委員会は、通常、その結果を情報セキュリティに関するリスク管理委員会に報告します。リスク管理委員会は、ITセキュリティリスクだけでなく、ビジネスリスク全体を検討する必要があります。

〇：従業員のセキュリティ意識が変わるような定期的な教育

行動指示型とは、組織的管理として従業員に求められる行動を指示する目的のコントロールです。従業員の意識が変わるような定期的な教育は、行動指示型に該当します。よって正解は、「従業員のセキュリティ意識が変わるような定期的な教育」になります。

×：ドローン監査を利用した遠隔的に指示する防御策

補強的（compensating）な防御策に当たります。

×：物理的な壁による行動心理的な障害とする防御策

物理的（physically）な防御策に当たります。

×：あるアクションを見直す再発防止策の立案

是正的（corrective）な防御策に当たります。

〇：日常的に稼働し、取得しているシステムログ

不正アクセスであるかどうかは、一般的な使い方と異なることを示す必要があります。また、日常的に取得していないログに関して法的証拠としての信頼性も薄くなります。

×：国際基準に準拠している洗練された製品から得られるシステムログ

マーケット的に洗練されているか否かは、法廷証拠の要件ではありません。逆に言えば、自社開発のソフトウェアが法的証拠に使えないというのは考えにくいでしょう。

×：印刷し物理媒体として保管されているシステムログ

ログが印刷されているか否かは必ずしも法的要件とはなりません。ソフトウェアとしての記録が出力されるわけですから、物理的な証拠としての純粋さはないのです。

×：OS層において記録される基盤に近いシステムログ

OS層に近いログはシステム的なトレーサビリティも高まりますが、ユーザー操作との関連性も薄く、不正アクセスの証拠には向きません。

分散型サービス停止（DDoS）攻撃は通常、攻撃者に金銭的な利益をもたらしません。多くの場合、復讐や組織の方針決定に同意しなかったり、攻撃者が組織に対する反感の大きさを証明したりする動機です。確かに、従量課金のクラウドサービスに対して、大量のアクセスをすることで想定以上のリソースを消費させ、コストを肥大化させる目的で利用されることもありますが、当事者の金銭的の目的ではないという点で、誤りになります。

〇：DDoS攻撃

可用性とは、サービスの継続性を示すCIAトライアドの性質の一つです。サービスの継続性を脅かす攻撃は、大量のリクエストを送付し、サービスダウンを行うDDoS攻撃が該当します。よって正解は、「DDoS攻撃」になります。

×：ホエーリング

ホエーリングとは、社会的に認知されている人・組織に狙いを定めるスピア・フィッシング攻撃です。

×：TOC/TOU

TOC/TOUとは、ある条件をチェックしてから、そのチェック結果を使用するまでの間にシステムが変更されることで発生するソフトウェアのバグです。多くの場合、ファイルを探してからファイルを読む間に別のファイルに差し替えてしまう攻撃です。

×：DRAM

RAM（Random Access Memory）とは、CPUや画面表示などに利用するときに使うメモリです。DRAMとは、短時間しか保存されないし、定期的リフレッシュが必要なRAMです。

各学校の管理によって任せられる学生番号は個人を特定するに十分な情報とは言えないため、プライバシー情報と言い切れません。

〇：ISO / IEC 27005―情報セキュリティ管理システムの監査と認証を提供する機関のガイドライン

ISO / IEC 27005は、情報セキュリティリスク管理のガイドラインであり、ISMSの枠組みにおいてリスク管理をどのように実施すべきかについての国際標準です。

×：ISO / IEC 27002―情報セキュリティ管理の実践規範

情報セキュリティ管理の実践のためのコードなので正しくありません。従って、それは正しいマッピングを有する。 ISO / IEC 27002は、ISMSの開始、実装、または保守に関するベストプラクティスの推奨事項とガイドラインを提供します。

×：ISO / IEC 27003―ISMS実施のガイドライン

ISO / IEC 27003は、ISO / IEC 27001：2005に従ってISMSの設計と実装を成功させるために必要な重要な側面に焦点を当てています。 ISMSの仕様と設計プロセスの開始から実装計画の作成までを記述しています。

×：ISO / IEC 27004―情報セキュリティ管理測定およびメトリクスフレームワークのガイドライン

ISO / IEC 27004は、情報セキュリティ管理測定およびメトリクスフレームワークのガイドラインです。 ISO / IEC 27001に規定されているように、ISMSおよび統制や統制のグループの有効性を評価するために、尺度の開発と使用に関するガイダンスを提供します。

〇：一般データ保護規則（GDPR）

多くの場合、欧州連合（EU）は世界の他のほとんどの国よりも個人のプライバシーをより真剣に受け止めるため、個人情報保護に関する欧州連合原則に基づく個人情報とみなされるデータに関する厳しい法律を遵守します。この一連の原則は、本質的に私的であると考えられる情報を使用して伝達することに取り組んでいます。これらの原則とその遵守方法は、EUの一般データ保護規則（GDPR）に含まれています。欧州のすべての州は、これらの原則を遵守しなければなりません。EU企業とビジネスを行うすべての企業は、プライバシ・タイプのデータの交換を含むビジネスであれば、この一般データ保護規則（GDPR）に従わなければなりません。

×：経済協力開発機構（OECD）

経済協力開発機構（OECD）は、異なる政府が集まり、グローバル化した経済の経済的、社会的、ガバナンスの課題に取り組むのに役立つ国際機関であるため、イメージBは間違っています。このため、OECDは、データが適切に保護され、誰もが同じ種類のルールを遵守するように、各国のガイドラインを策定しました。

×：連邦民間法案

連邦民間法案は、間違っています。この名前の公式な法案はありません。

×：プライバシー保護法

プライバシー保護法は、誤った答えです。この名前の公式な法案はありません。

業務受託会社監査（SOC、Service Organization Control）とは、米国公認会計士協会（AICPA）によって決められている業務の請け負い側の内部統制を保証するための決まりです。業務をほかの会社に請け負ってもらうことがあります。自社の仕事の品質を担保するため、業務を依頼された側の企業でも相応に統制されている必要があります。そのため、業務を依頼される受託会社の内部統制をチェックするわけです。

• SOC-1（Internal Control over Financial Reporting (ICFR)） 受託会社に対する会計を監査する。
• SOC-2（Trust Services Criteria） 受託会社に対する会計以外のセキュリティなどの統制を確認する。通常6か月間調査を行う。
• SOC-3（Trust Services Criteria for General Use Report） 不特定者（利用者）に対する会計以外のセキュリティなどの統制を確認する。

よって、正解は「6か月」になります。

著作権は、本、アート、音楽、ソフトウェアなどに適用されます。これは自動的に付与され、作成者の死亡後70年間、作成後95年間有効です。よって正解は、「70年」になります。

年間予想損失額は、将来発生しうる損失に対して、発生頻度から年間で均した値です。そのため、単一損失額（SLE）と年間発生頻度（ALO）を乗じた値になります。

〇：費用便益分析

許容範囲内でリスクを低減するためにコントロールを設置することを要求するために、リスクが現実的で十分に可能性があり、十分にインパクトがあると識別される対策を選択する必要があります。可能な対策のコストと便益を分析するだけで、どのような対策を取るべきかを決定することができます。

×：リスク分析

リスクの決定が、許容可能な閾値内でリスクを制御するために必要とされる可能性があることを特定する最初のステップに過ぎないため、誤りです。

×：ALEの算出

年間予想損失額（ALE）は、特定の脅威が実際になった場合に失う可能性があることを会社に知らせるためのものです。ALEの価値は費用対効果の分析に入りますが、ALEは対抗措置の費用と対策のメリットに対処していません。

×：リスクを引き起こす脆弱性と脅威の特定

脆弱性や脅威の評価が対策の必要性を認識させているにもかかわらず、その評価だけでは競合​​する対策の中でどのようなコスト効果が見込まれているのか判断できないため正しくありません。

2001年の同時多発テロ事件は、テロに対する様々な法整備がされるきっかけとなりました。よって正解は、「2001年、同時多発テロ事件」になります。

〇：リスク分析を実施します。

記載された手順の中で、効果的な物理的なセキュリティプログラムを展開するのみ実施する初めの手順は、脆弱性や脅威を識別し、各脅威のビジネスへの影響を計算するために、リスク分析を行うことです。チームは経営者にリスク分析の結果を提示し、物理的なセキュリティプログラムのための許容可能なリスクレベルを定義するために、リスク分析をしています。そこから、チームが評価し、ベースラインが実装によって満たされているかどうかを判断していきます。チームがその対応策を特定し、対策を実装したら、パフォーマンスを継続的に評価します。これらのパフォーマンスは、設定されたベースラインと比較されます。ベースラインが継続的に維持されている場合は、同社の許容可能なリスクレベルを超えていないため、セキュリティプログラムが成功しているといえます。

×：対策のパフォーマンスメトリックを作成します。  

対策のパフォーマンスメトリックを作成する手順は、物理的なセキュリティプログラムを作成するための最初のステップではないので、間違っています。パフォーマンスベースで監視されている場合、プログラムがどのように有益かつ効果的であるかを判定するために利用できます。組織の物理的なセキュリティの保護に投資するときにビジネス上の意思決定を行うための管理を可能にします。目標は、物理的なセキュリティプログラムの性能を向上させ、費用対効果の高い方法で会社のリスクを減少させることことにつながります。あなたは、パフォーマンスのベースラインを確立し、その後、継続的に企業の保護の目標が満たされていることを確認するために、パフォーマンスを評価する必要があります。可能なパフォーマンスメトリックの例としては、成功した攻撃の数、成功した攻撃の数、および攻撃のために要した時間を含みます。

×：設計プログラムを作成します。  

プログラムを設計することは、リスク分析の後に行われるべきであるので間違っています。リスクのレベルを理解したら、次に設計フェーズは、リスク分析で識別された脅威から保護するために行うことができます。抑止、遅延、検出、評価、応答の設計は、プログラムの各カテゴリのために必要なコントロールを組み込むでしょう。

×：対策を実装します。  

対策を実施することは物理的なセキュリティプログラムを展開プロセスの最後のステップの1つですので、間違っています。