ドメイン1の試験です。
70%以上で合格になります。
#1. Vender, Inc.は、ロゴの無断使用させたくありません。ロゴを保護し、他人がコピーして使用できないようにするのは、次のうちどれでしょうか?
〇:商標
知的財産は資源の種類に応じて、いくつかの異なる法律によって保護することができます。 商標は、ロゴなど、単語、名前、シンボル、サウンド、形、色、またはこれらの組み合わせを保護するために使用されます。企業がこれらの商標の1つ、またはその組み合わせを商標登録する理由は、世界に彼らの会社(ブランドアイデンティティ)を表すためです。 よって正解は、「商標」になります。
×:特許
特許とは、薬など発明すること大変なものに対して、技術の使用を独占する権利です。
×:著作権
著作権とは、音楽とか本とか、技術的なものでなくとも、考えて作ったものへの権利です。
×:営業秘密
営業秘密とは、顧客情報、製品の技術・製造方法など事業活動として有益であり機密としている情報です。
#2. 情報セキュリティの概念上、プライバシー情報と言い切れないものはどれでしょうか。
#3. 特定のセキュリティ管理策を実施すべきかどうかを最終決定する際に、最も適切な手法はどれですか?
〇:費用便益分析
許容範囲内でリスクを低減するためにコントロールを設置することを要求するために、リスクが現実的で十分に可能性があり、十分にインパクトがあると識別される対策を選択する必要があります。可能な対策のコストと便益を分析するだけで、どのような対策を取るべきかを決定することができます。
×:リスク分析
リスクの決定が、許容可能な閾値内でリスクを制御するために必要とされる可能性があることを特定する最初のステップに過ぎないため、誤りです。
×:ALEの算出
年間予想損失額(ALE)は、特定の脅威が実際になった場合に失う可能性があることを会社に知らせるためのものです。ALEの価値は費用対効果の分析に入りますが、ALEは対抗措置の費用と対策のメリットに対処していません。
×:リスクを引き起こす脆弱性と脅威の特定
脆弱性や脅威の評価が対策の必要性を認識させているにもかかわらず、その評価だけでは競合する対策の中でどのようなコスト効果が見込まれているのか判断できないため正しくありません。
#4. 資産価値を評価する際に、いくつかの算出方法があります。次のうち資産の価値を判断するために使用されないものはどれですか?
〇:資産をカバーするために必要な保険の水準
使用されないものを選ぶ問題です。資産価値(AV、Asset Value)の算出方法にはいくつかあり、市場で似た資産を参考にするマーケットアプローチ、将来的に稼ぐであろう利益で計る収益アプローチ、資産に使ったコストで計るコストアプローチになります。資産をカバーするために必要な保険の水準というのは、資産価値を特定し適切なリスク分析を行ったうえで行われる意思決定で、組織はその資産を購入する保険範囲のレベルをより簡単に判断できます。よって正解は、「資産をカバーするために必要な保険の水準」になります。
×:外部市場における資産の価値
市場で似た資産を参考にする手法は、マーケットアプローチとして知られています。
×:資産の購入、ライセンス供与、およびサポートの初期費用と出費
資産に使ったコストで計る手法としては、コストアプローチとして知られています。
×:組織の生産業務に対する資産価値
将来的に稼ぐであろう利益で計る手法としては、収益アプローチとして知られています。
#5. データの完全性と関係のない選択肢はどれでしょうか。
〇:無権限のエンティティと共有するデータの抽出
関係のないものを選ぶ問題です。無許可のエンティティと共有するデータの抽出は、機密性の問題です。ややこしい言い方をしていますが、データに対する操作は無許可と抽出であり、完全性の主とするデータの破壊はいずれも含まれていません。よって正解は、「無権限のエンティティと共有するデータの抽出」になります。
この問題を解く上で、エンティティが何かを知っておく必要はありません。変更や破壊は行われているかどうかに注目します。
×:データに対する不正な操作または変更
間違いです。なぜなら、完全性は、許可されていない操作またはデータの変更に関連するからである。無断改変が防止されると、完全性が維持されます。ハードウェア、ソフトウェア、および通信の仕組みは、データを正しく維持および処理し、予期せぬ変更なしに意図した宛先にデータを移動するために連携して動作する必要があります。システムとネットワークは、外部の干渉や汚染から保護する必要があります。
×:許可なくデータを変更する
権限のないデータの変更が整合性に関連するため、間違いです。整合性とは、データを保護することであり、ユーザーや権限を持たない他のシステムによって変更することはできません。
×:意図的または偶発的なデータの置換
意図的または偶発的なデータの置換が整合性に関連するため、正しくありません。データが不正なエンティティによって改ざんされないという保証とともに、情報およびシステムの正確性および信頼性の保証が提供される場合、完全性が維持されます。完全性を強制する環境では、例えば、ウイルス、ロジックボム、バックドアをデータを破損または置換する可能性のあるシステムに挿入するなどの攻撃を防ぎます。ユーザーは通常、間違ってシステムやそのデータの整合性に影響を与えます(内部ユーザーは悪意のある行為も行う可能性があります)。たとえば、データ処理アプリケーションに誤った値を挿入して、300ドルではなく3,000ドルを顧客に請求することがあります。
#6. 行動指示型の防御策として正しいものはどれでしょうか。
〇:従業員のセキュリティ意識が変わるような定期的な教育
行動指示型とは、組織的管理として従業員に求められる行動を指示する目的のコントロールです。従業員の意識が変わるような定期的な教育は、行動指示型に該当します。よって正解は、「従業員のセキュリティ意識が変わるような定期的な教育」になります。
×:ドローン監査を利用した遠隔的に指示する防御策
補強的(compensating)な防御策に当たります。
×:物理的な壁による行動心理的な障害とする防御策
物理的(physically)な防御策に当たります。
×:あるアクションを見直す再発防止策の立案
是正的(corrective)な防御策に当たります。
#7. 効果的な物理的なセキュリティプログラムをロールアウトする前に、いくつかのステップを取らなければいけません。次の手順のうち、セキュリティプログラムを展開する過程で最初にくるものはどれでしょうか?
〇:リスク分析を実施します。
記載された手順の中で、効果的な物理的なセキュリティプログラムを展開するのみ実施する初めの手順は、脆弱性や脅威を識別し、各脅威のビジネスへの影響を計算するために、リスク分析を行うことです。チームは経営者にリスク分析の結果を提示し、物理的なセキュリティプログラムのための許容可能なリスクレベルを定義するために、リスク分析をしています。そこから、チームが評価し、ベースラインが実装によって満たされているかどうかを判断していきます。チームがその対応策を特定し、対策を実装したら、パフォーマンスを継続的に評価します。これらのパフォーマンスは、設定されたベースラインと比較されます。ベースラインが継続的に維持されている場合は、同社の許容可能なリスクレベルを超えていないため、セキュリティプログラムが成功しているといえます。
×:対策のパフォーマンスメトリックを作成します。
対策のパフォーマンスメトリックを作成する手順は、物理的なセキュリティプログラムを作成するための最初のステップではないので、間違っています。パフォーマンスベースで監視されている場合、プログラムがどのように有益かつ効果的であるかを判定するために利用できます。組織の物理的なセキュリティの保護に投資するときにビジネス上の意思決定を行うための管理を可能にします。目標は、物理的なセキュリティプログラムの性能を向上させ、費用対効果の高い方法で会社のリスクを減少させることことにつながります。あなたは、パフォーマンスのベースラインを確立し、その後、継続的に企業の保護の目標が満たされていることを確認するために、パフォーマンスを評価する必要があります。可能なパフォーマンスメトリックの例としては、成功した攻撃の数、成功した攻撃の数、および攻撃のために要した時間を含みます。
×:設計プログラムを作成します。
プログラムを設計することは、リスク分析の後に行われるべきであるので間違っています。リスクのレベルを理解したら、次に設計フェーズは、リスク分析で識別された脅威から保護するために行うことができます。抑止、遅延、検出、評価、応答の設計は、プログラムの各カテゴリのために必要なコントロールを組み込むでしょう。
×:対策を実装します。
対策を実施することは物理的なセキュリティプログラムを展開プロセスの最後のステップの1つですので、間違っています。
#8. 組織がEUの一般データ保護規則に準拠するよう裁判所に命じられました。しなければならないことの1つは何ですか?
#9. セキュリティガバナンスプログラムを実施している会社の特徴ではないものはどれですか?
〇:すべてのセキュリティ活動はセキュリティ部門内で実施
すべてのセキュリティ活動がセキュリティ部門内で行われる場合、セキュリティはサイロ内で機能し、組織全体に統合されません。セキュリティガバナンスプログラムを導入している企業では、経営幹部から指揮系統まで、組織全体にセキュリティの責任が浸透しています。一般的なシナリオは、特定の事業部門のリスク管理活動を担当する事業部長を執行する経営幹部の管理です。さらに、従業員は悪意のあるもしくは偶発的に発生しているセキュリティ違反に対して責任を負います。
×:役員は同社のセキュリティ状態について四半期ごとに更新
正しくありません。セキュリティガバナンスとは、戦略指針を提供し、目標が達成されていることを確認し、リスクが適切に管理されていることを確認し、リソースは責任を持って使用されます。セキュリティガバナンスプログラムを導入している組織には、セキュリティの重要性を理解し、組織のセキュリティパフォーマンスと違反を認識している取締役会があります。
×:セキュリティ製品、サービス、およびコンサルタントは情報に基づいた方法で展開
セキュリティガバナンスは、製品、人材、トレーニング、プロセスなどを含む統合セキュリティコンポーネントの一貫したシステムであるため、正しくありません。したがって、セキュリティガバナンスプログラムを導入している組織は、セキュリティ製品、管理サービス、情報に基づいた方法でコンサルタントを支援します。彼らはまた、彼らがコスト効果があることを確認するために絶えず見直されています。
×:組織はセキュリティを向上させるための指標と目標を確立
セキュリティガバナンスが性能測定および監督の仕組みを必要とするため不正確である。セキュリティガバナンスプログラムを導入している組織は、継続的な改善を目標として、セキュリティを含むプロセスを継続的に見直しています。一方、セキュリティガバナンスプログラムを欠いている組織は、そのパフォーマンスを分析せずに進んでいく可能性があり、したがって同様のミスが繰り返されます。
#10. インターネットアーキテクチャ委員会は、技術と倫理に関してどのような役割を果たしていますか?
〇:インターネットの利用に関する倫理関連の声明を発表する。
インターネットアーキテクチャ委員会(IAB)は、インターネットの設計、エンジニアリング、および管理のための調整委員会です。これは、IETF(Internet Engineering Task Force)活動、インターネット標準プロセスの監視とアピール、RFC(Request for Comments)の編集者のアーキテクチャーの監視を担当しています。 IABは、インターネットの使用に関する倫理関連の声明を発表しています。インターネットは、可用性とアクセシビリティに依存するリソースであり、幅広い人々にとって有用であると考えられています。主に、インターネット上の無責任な行為がその存在を脅かすか、または他人に悪影響を与える可能性があります。
×:刑事判決のガイドラインを作成します。
IABは、個人または企業が犯した特定の重罪または軽犯罪に対する適切な懲罰的判決を決定する際に裁判官が使用する規則である連邦裁判所ガイドラインとは関係がないため、間違っています。このガイドラインは、米国連邦裁判所のシステムにおいて、重罪および/または重度の軽犯罪を行う団体のための統一的な判決方針として機能します。
×:RFCを編集します。
インターネットアーキテクチャ委員会がRFC(Request for Comments)の編集を担当していますが、このタスクは倫理に関係しないため、正しくありません。この選択肢は気を散らすものです。
×:コンピュータ倫理の十戒を維持します。
IABではなくコンピュータ倫理研究所がコンピュータ倫理の十戒を開発し維持しているため、間違っています。コンピュータ倫理研究所は、倫理的手段によって技術を進歩させるために働く非営利団体です。
#11. 便利そうなアプリケーションをインターネット経由でダウンロードし実行したところパソコンが一切動かなくなった。このマルウェアの種別は何だろうか?
#12. 米国愛国者法(USA PATRIOT Act)の制定のきっかけとなる歴史的事件は何でしょうか。
#13. SOC-2における受託会社に対する会計以外のセキュリティなどの統制の監査期間は通常どのくらいでしょうか。
業務受託会社監査(SOC、Service Organization Control)とは、米国公認会計士協会(AICPA)によって決められている業務の請け負い側の内部統制を保証するための決まりです。業務をほかの会社に請け負ってもらうことがあります。自社の仕事の品質を担保するため、業務を依頼された側の企業でも相応に統制されている必要があります。そのため、業務を依頼される受託会社の内部統制をチェックするわけです。
- SOC-1(Internal Control over Financial Reporting (ICFR)) 受託会社に対する会計を監査する。
- SOC-2(Trust Services Criteria) 受託会社に対する会計以外のセキュリティなどの統制を確認する。通常6か月間調査を行う。
- SOC-3(Trust Services Criteria for General Use Report) 不特定者(利用者)に対する会計以外のセキュリティなどの統制を確認する。
よって、正解は「6か月」になります。
#14. HITECH法において必ずしも対象とならない人はだれでしょうか。
HIPAA適用事業者とそのビジネスを補佐する組織や個人に関しても、HIPAAの対象事業者と同じように扱われます。ヘルスケアの提供者、健康情報クリアリングハウス、健康保険計画者などが対象者になります。健康アプリの開発者は、身体情報の保持者もしくは計画をするのではなく、プログラマーとしての責務を負います。身体情報の管理の在り方を中心とするHITECHの対象とならない場合があります。よって正解は、「健康系アプリ開発者」になります。
詳細なHITECHの要件を知っておく必要はありません。情報を扱っているかどうかで選択肢を比較し、消去法で回答することができます。開発者の大きな過失が利用者に影響してしまう可能性を想像し、HITECHのような法律に低触と考えたかもしれませんが、ここでは役割においての責任を質問されています。イレギュラーなケースを考えるのではなく、原則として役割に対する責任で問題を見るべきです。
#15. 年間予想損失額(ALE)の計算式として正しいものはどれでしょうか。
#16. Alice は小さなオンライン小売会社を経営しており、顧客の多くは米国の人達です。現在は、ブロックチェーンベースの決済のみ受け付けていますが、クレジットカードの利用も検討しているそうで す。PCI DSS(Payment Card Industry Data Security Standard)の要件を調査した結果、彼女 はコンプライアンスのコストが収益の増加を上回ると判断しました。この決断を最もよく表しているのは、次のうちどれでしょうか。
#17. 国内法を調整し捜査技術と国際協力を改善することにより、コンピュータ犯罪に対処するための最初の国際条約はどれですか?
〇:欧州協議会サイバー犯罪条約
サイバー犯罪に関する欧州評議会(CoE)条約は、サイバー犯罪に対する標準的な国際的対応を作成する試みの一例です。これは、国内法を調整し、捜査技術と国際協力を改善することにより、コンピュータ犯罪に対処する最初の国際条約です。条約の目的は、被告人の管轄と犯罪の犯人を拘束するための枠組みの作成を含む。例えば、事件が両国の犯罪である場合にのみ引渡しが可能です。
おそらくこのような条約はご存じなかったかと思います。ですが、”条約”と聞かれているわけですから選択肢から条約を選びましょう。知らない選択肢が出た場合に、正式名に条約と付かないものとして制定されている可能性や条約を制定した組織も含めた回答をしたくなりますが、この単語を知らないという事実は変わりません。細かな定義の比較ではなく概ねの回答で処理しておくべき問題もあります。
×:サイバー犯罪に関する世界大会評議会
サイバー犯罪に関する世界大会評議会は、誤解を招くので間違っています。この条約の正式名称は欧州理事会のサイバー犯罪条約である。これは、サイバー犯罪に対する包括的な法律を制定し、この条約の締約国間の国際協力の枠組みとして、あらゆる国の指針となります。
×:経済協力開発機構(OECD)
経済協力開発機構(OECD)は、異なる政府が集まり、グローバル化された経済の経済的、社会的、ガバナンスの課題に取り組むのに役立つ国際的な組織であるため、イメージCは間違っています。このため、OECDは、データが適切に保護され、誰もが同じ種類のルールを遵守するように、各国のガイドラインを策定しました。
×:サイバー犯罪の協力と開発のための組織
サイバー犯罪の協力と開発のための組織は誤った答えです。この名前の正式な実体はありません。
#18. P.A.S.T.A.による脅威分析として中核な考えはどれでしょうか。
#19. 可用性に関係する攻撃はどれでしょうか?
〇:DDoS攻撃
可用性とは、サービスの継続性を示すCIAトライアドの性質の一つです。サービスの継続性を脅かす攻撃は、大量のリクエストを送付し、サービスダウンを行うDDoS攻撃が該当します。よって正解は、「DDoS攻撃」になります。
×:ホエーリング
ホエーリングとは、社会的に認知されている人・組織に狙いを定めるスピア・フィッシング攻撃です。
×:TOC/TOU
TOC/TOUとは、ある条件をチェックしてから、そのチェック結果を使用するまでの間にシステムが変更されることで発生するソフトウェアのバグです。多くの場合、ファイルを探してからファイルを読む間に別のファイルに差し替えてしまう攻撃です。
×:DRAM
RAM(Random Access Memory)とは、CPUや画面表示などに利用するときに使うメモリです。DRAMとは、短時間しか保存されないし、定期的リフレッシュが必要なRAMです。
#20. 部門マネージャーのスティーブは、組織にとって許容可能なレベルのリスクの定義、リスク評価と監査レポートのレビュー、セキュリティポリシーとプログラムの重要な変更の承認を担当する委員会に参加するよう求められました。どの委員会に参加していますか?
〇:セキュリティ運営委員会
スティーブは、企業内の戦術的および戦略的セキュリティ問題の決定を担当するセキュリティ運営委員会に参加しています。委員会は、組織全体の個人から構成され、少なくとも四半期ごとに会合する必要があります。この質問に記載された責任に加えて、セキュリティ運営委員会は、事業の組織的意思と協力してそれをサポートする、明確に定義されたビジョンステートメントを確立する責任があります。組織のビジネス目標に関係する機密性、完全性、および可用性の目標に対するサポートを提供する必要があります。このビジョンステートメントは、組織に適用されるプロセスにサポートと定義を提供し、ビジネス目標に達することを可能にするミッションステートメントによってサポートされるべきです。
各組織で呼び名は異なりますか、セキュリティに一連の定義から承認までのプロセスを任せられています。その場合、最も近い場合には”運営”という言葉が近いのです。
×:セキュリティポリシー委員会
上級管理職がセキュリティポリシーを策定する委員会であるため、間違っています。通常、上級管理職は、役員または委員会に委任しない限り、この責任を負います。セキュリティポリシーは、セキュリティが組織内で果たす役割を決定します。組織化、特定の問題、またはシステム固有のものにすることができます。運営委員会はポリシーを直接作成するのではなく、受け入れ可能であればレビューと承認を行います。
×:監査委員会
取締役会、経営陣、内部監査人、および外部監査人の間で独立したオープンなコミュニケーションを提供するため、正しくありません。その責任には、内部統制システム、独立監査人のエンゲージメントとパフォーマンス、内部監査機能のパフォーマンスが含まれます。監査委員会は、調査結果を運営委員会に報告するが、セキュリティプログラムの監督と承認を怠ることはない。
×:リスクマネジメント委員会
組織が直面しているリスクを理解し、上級管理職と協力してリスクを許容レベルまで下げることであるため、正しくありません。この委員会は、セキュリティプログラムを監督しません。セキュリティ運営委員会は、通常、その結果を情報セキュリティに関するリスク管理委員会に報告します。リスク管理委員会は、ITセキュリティリスクだけでなく、ビジネスリスク全体を検討する必要があります。