ドメイン1の試験です。
70%以上で合格になります。
#1. セキュリティ策の基本的な考え方である多層防御の意味として近いものはどれでしょうか。
#2. 部門マネージャーのスティーブは、組織にとって許容可能なレベルのリスクの定義、リスク評価と監査レポートのレビュー、セキュリティポリシーとプログラムの重要な変更の承認を担当する委員会に参加するよう求められました。どの委員会に参加していますか?
〇:セキュリティ運営委員会
スティーブは、企業内の戦術的および戦略的セキュリティ問題の決定を担当するセキュリティ運営委員会に参加しています。委員会は、組織全体の個人から構成され、少なくとも四半期ごとに会合する必要があります。この質問に記載された責任に加えて、セキュリティ運営委員会は、事業の組織的意思と協力してそれをサポートする、明確に定義されたビジョンステートメントを確立する責任があります。組織のビジネス目標に関係する機密性、完全性、および可用性の目標に対するサポートを提供する必要があります。このビジョンステートメントは、組織に適用されるプロセスにサポートと定義を提供し、ビジネス目標に達することを可能にするミッションステートメントによってサポートされるべきです。
各組織で呼び名は異なりますか、セキュリティに一連の定義から承認までのプロセスを任せられています。その場合、最も近い場合には”運営”という言葉が近いのです。
×:セキュリティポリシー委員会
上級管理職がセキュリティポリシーを策定する委員会であるため、間違っています。通常、上級管理職は、役員または委員会に委任しない限り、この責任を負います。セキュリティポリシーは、セキュリティが組織内で果たす役割を決定します。組織化、特定の問題、またはシステム固有のものにすることができます。運営委員会はポリシーを直接作成するのではなく、受け入れ可能であればレビューと承認を行います。
×:監査委員会
取締役会、経営陣、内部監査人、および外部監査人の間で独立したオープンなコミュニケーションを提供するため、正しくありません。その責任には、内部統制システム、独立監査人のエンゲージメントとパフォーマンス、内部監査機能のパフォーマンスが含まれます。監査委員会は、調査結果を運営委員会に報告するが、セキュリティプログラムの監督と承認を怠ることはない。
×:リスクマネジメント委員会
組織が直面しているリスクを理解し、上級管理職と協力してリスクを許容レベルまで下げることであるため、正しくありません。この委員会は、セキュリティプログラムを監督しません。セキュリティ運営委員会は、通常、その結果を情報セキュリティに関するリスク管理委員会に報告します。リスク管理委員会は、ITセキュリティリスクだけでなく、ビジネスリスク全体を検討する必要があります。
#3. リスクの関係性を示す計算式として最も近いものはどれでしょうか。
#4. 行動指示型の防御策として正しいものはどれでしょうか。
〇:従業員のセキュリティ意識が変わるような定期的な教育
行動指示型とは、組織的管理として従業員に求められる行動を指示する目的のコントロールです。従業員の意識が変わるような定期的な教育は、行動指示型に該当します。よって正解は、「従業員のセキュリティ意識が変わるような定期的な教育」になります。
×:ドローン監査を利用した遠隔的に指示する防御策
補強的(compensating)な防御策に当たります。
×:物理的な壁による行動心理的な障害とする防御策
物理的(physically)な防御策に当たります。
×:あるアクションを見直す再発防止策の立案
是正的(corrective)な防御策に当たります。
#5. Vender, Inc.は、ロゴの無断使用させたくありません。ロゴを保護し、他人がコピーして使用できないようにするのは、次のうちどれでしょうか?
〇:商標
知的財産は資源の種類に応じて、いくつかの異なる法律によって保護することができます。 商標は、ロゴなど、単語、名前、シンボル、サウンド、形、色、またはこれらの組み合わせを保護するために使用されます。企業がこれらの商標の1つ、またはその組み合わせを商標登録する理由は、世界に彼らの会社(ブランドアイデンティティ)を表すためです。 よって正解は、「商標」になります。
×:特許
特許とは、薬など発明すること大変なものに対して、技術の使用を独占する権利です。
×:著作権
著作権とは、音楽とか本とか、技術的なものでなくとも、考えて作ったものへの権利です。
×:営業秘密
営業秘密とは、顧客情報、製品の技術・製造方法など事業活動として有益であり機密としている情報です。
#6. データの完全性と関係のない選択肢はどれでしょうか。
〇:無権限のエンティティと共有するデータの抽出
関係のないものを選ぶ問題です。無許可のエンティティと共有するデータの抽出は、機密性の問題です。ややこしい言い方をしていますが、データに対する操作は無許可と抽出であり、完全性の主とするデータの破壊はいずれも含まれていません。よって正解は、「無権限のエンティティと共有するデータの抽出」になります。
この問題を解く上で、エンティティが何かを知っておく必要はありません。変更や破壊は行われているかどうかに注目します。
×:データに対する不正な操作または変更
間違いです。なぜなら、完全性は、許可されていない操作またはデータの変更に関連するからである。無断改変が防止されると、完全性が維持されます。ハードウェア、ソフトウェア、および通信の仕組みは、データを正しく維持および処理し、予期せぬ変更なしに意図した宛先にデータを移動するために連携して動作する必要があります。システムとネットワークは、外部の干渉や汚染から保護する必要があります。
×:許可なくデータを変更する
権限のないデータの変更が整合性に関連するため、間違いです。整合性とは、データを保護することであり、ユーザーや権限を持たない他のシステムによって変更することはできません。
×:意図的または偶発的なデータの置換
意図的または偶発的なデータの置換が整合性に関連するため、正しくありません。データが不正なエンティティによって改ざんされないという保証とともに、情報およびシステムの正確性および信頼性の保証が提供される場合、完全性が維持されます。完全性を強制する環境では、例えば、ウイルス、ロジックボム、バックドアをデータを破損または置換する可能性のあるシステムに挿入するなどの攻撃を防ぎます。ユーザーは通常、間違ってシステムやそのデータの整合性に影響を与えます(内部ユーザーは悪意のある行為も行う可能性があります)。たとえば、データ処理アプリケーションに誤った値を挿入して、300ドルではなく3,000ドルを顧客に請求することがあります。
#7. スーは同社の電子メールシステムを保護するために、ウイルス対策およびスパム対策ソフトウェアを含むいくつかのセキュリティ制御を実装することを任されています。彼女の会社は、システムによってもたらされるリスクに対処するためにどのようなアプローチを取っていますか?
〇:リスク軽減
リスクは、移転、回避、軽減、受入の4つの基本的な方法で対処できます。スーは、ウイルス対策ソフトウェアやスパム対策ソフトウェアなどのセキュリティコントロールを実装することで、自社の電子メールシステムがもたらすリスクを削減しています。これは、リスク軽減とも呼ばれ、リスクは許容可能と見なされるレベルまで減少します。手順を改善し、環境を変え、脅威に対する障壁を立て、脅威が発生したときにその脅威を阻止して被害を減らすための早期発見手法を導入することで、リスクを軽減することができます。
×:リスク受入
リスク受入がアンチウィルスソフトウェアなどの保護や対策に支出を伴わないため不適切です。リスクを受け入れる際には、直面しているリスクのレベルと潜在的な損害コストを把握し、対策を実施することなくそれを維持することを決定します。コスト/利益比率が、対策費用が潜在的な損失額を上回っていることを示している場合、多くの企業はリスクを受け入れます。
×:リスク回避
リスクを引き起こしている活動を中止することになるため、間違っています。この場合、スーの会社は引き続きEメールを使用することに決めました。企業がそのリスクがアクティビティのビジネスニーズを上回る場合、リスクを導入するアクティビティを終了することを選択することがあります。たとえば、企業は従業員の生産性に与えるリスクのため、ソーシャルメディアのWebサイトを一部の部門でブロックすることを選択することがあります。
×:リスク移転
リスクの一部を保険会社に移転するために保険購入のように他のエンティティとリスクを共有することを伴うため、正しくない。多くの種類の保険は、企業が資産を保護するために利用できます。会社が総リスクまたは余剰リスクが高すぎて賭けができないと判断した場合、保険を購入することができます。
#8. 米国愛国者法(USA PATRIOT Act)の制定のきっかけとなる歴史的事件は何でしょうか。
#9. インターネットアーキテクチャ委員会は、技術と倫理に関してどのような役割を果たしていますか?
〇:インターネットの利用に関する倫理関連の声明を発表する。
インターネットアーキテクチャ委員会(IAB)は、インターネットの設計、エンジニアリング、および管理のための調整委員会です。これは、IETF(Internet Engineering Task Force)活動、インターネット標準プロセスの監視とアピール、RFC(Request for Comments)の編集者のアーキテクチャーの監視を担当しています。 IABは、インターネットの使用に関する倫理関連の声明を発表しています。インターネットは、可用性とアクセシビリティに依存するリソースであり、幅広い人々にとって有用であると考えられています。主に、インターネット上の無責任な行為がその存在を脅かすか、または他人に悪影響を与える可能性があります。
×:刑事判決のガイドラインを作成します。
IABは、個人または企業が犯した特定の重罪または軽犯罪に対する適切な懲罰的判決を決定する際に裁判官が使用する規則である連邦裁判所ガイドラインとは関係がないため、間違っています。このガイドラインは、米国連邦裁判所のシステムにおいて、重罪および/または重度の軽犯罪を行う団体のための統一的な判決方針として機能します。
×:RFCを編集します。
インターネットアーキテクチャ委員会がRFC(Request for Comments)の編集を担当していますが、このタスクは倫理に関係しないため、正しくありません。この選択肢は気を散らすものです。
×:コンピュータ倫理の十戒を維持します。
IABではなくコンピュータ倫理研究所がコンピュータ倫理の十戒を開発し維持しているため、間違っています。コンピュータ倫理研究所は、倫理的手段によって技術を進歩させるために働く非営利団体です。
#10. リーは自社が欧州のパートナーと交流しているときに、自社がプライバシーに関する欧州連合原則に準拠していることを保証する役割を担う新しいセキュリティマネージャーです。プライベートと見なされるデータの送信を扱う一連の原則は、以下の法律または規制のいずれに含まれていますか?
〇:一般データ保護規則(GDPR)
多くの場合、欧州連合(EU)は世界の他のほとんどの国よりも個人のプライバシーをより真剣に受け止めるため、個人情報保護に関する欧州連合原則に基づく個人情報とみなされるデータに関する厳しい法律を遵守します。この一連の原則は、本質的に私的であると考えられる情報を使用して伝達することに取り組んでいます。これらの原則とその遵守方法は、EUの一般データ保護規則(GDPR)に含まれています。欧州のすべての州は、これらの原則を遵守しなければなりません。EU企業とビジネスを行うすべての企業は、プライバシ・タイプのデータの交換を含むビジネスであれば、この一般データ保護規則(GDPR)に従わなければなりません。
×:経済協力開発機構(OECD)
経済協力開発機構(OECD)は、異なる政府が集まり、グローバル化した経済の経済的、社会的、ガバナンスの課題に取り組むのに役立つ国際機関であるため、イメージBは間違っています。このため、OECDは、データが適切に保護され、誰もが同じ種類のルールを遵守するように、各国のガイドラインを策定しました。
×:連邦民間法案
連邦民間法案は、間違っています。この名前の公式な法案はありません。
×:プライバシー保護法
プライバシー保護法は、誤った答えです。この名前の公式な法案はありません。
#12. セキュリティの観点からマーケティング指標を測る意味はあるだろうか。
〇:ある。企業目標を達成するのにセキュリティがあるため同一の目標を持つべきだ。
組織目標を達成する指標として、KPIなどのマーケティン指標がある。組織にセキュリティ機能を整備することも、これらの目標を達成するための存在する。
×:ある。セキュリティ業界のマーケティングはリスクオフが認められる。
「セキュリティ業界におけるマーケティング」では、組織としてセキュリティ機能を整える意味ではない。
×:ない。分業体制を徹底し専門家に任せるべきだ。
確かに組織の分業は大事ですが、組織のすべての構成員がセキュリティを意識する必要があります。
×:ない。役員判断となるような機密情報はセキュリティと無関係だ。
セキュリティは組織全体で取り組むべきものです。関係ないとは言えません。
#13. 私たちは、組織にいくつかの新しいスタンダードとフレームワークを実装しています。実装しているスタンダードの1つでスコーピングを行うことにしました。それはどういった作業になりますか。
#14. セキュリティガバナンスプログラムを実施している会社の特徴ではないものはどれですか?
〇:すべてのセキュリティ活動はセキュリティ部門内で実施
すべてのセキュリティ活動がセキュリティ部門内で行われる場合、セキュリティはサイロ内で機能し、組織全体に統合されません。セキュリティガバナンスプログラムを導入している企業では、経営幹部から指揮系統まで、組織全体にセキュリティの責任が浸透しています。一般的なシナリオは、特定の事業部門のリスク管理活動を担当する事業部長を執行する経営幹部の管理です。さらに、従業員は悪意のあるもしくは偶発的に発生しているセキュリティ違反に対して責任を負います。
×:役員は同社のセキュリティ状態について四半期ごとに更新
正しくありません。セキュリティガバナンスとは、戦略指針を提供し、目標が達成されていることを確認し、リスクが適切に管理されていることを確認し、リソースは責任を持って使用されます。セキュリティガバナンスプログラムを導入している組織には、セキュリティの重要性を理解し、組織のセキュリティパフォーマンスと違反を認識している取締役会があります。
×:セキュリティ製品、サービス、およびコンサルタントは情報に基づいた方法で展開
セキュリティガバナンスは、製品、人材、トレーニング、プロセスなどを含む統合セキュリティコンポーネントの一貫したシステムであるため、正しくありません。したがって、セキュリティガバナンスプログラムを導入している組織は、セキュリティ製品、管理サービス、情報に基づいた方法でコンサルタントを支援します。彼らはまた、彼らがコスト効果があることを確認するために絶えず見直されています。
×:組織はセキュリティを向上させるための指標と目標を確立
セキュリティガバナンスが性能測定および監督の仕組みを必要とするため不正確である。セキュリティガバナンスプログラムを導入している組織は、継続的な改善を目標として、セキュリティを含むプロセスを継続的に見直しています。一方、セキュリティガバナンスプログラムを欠いている組織は、そのパフォーマンスを分析せずに進んでいく可能性があり、したがって同様のミスが繰り返されます。
#15. 著作権を保護するためのアクセス制御手段を侵害しようとする技術など犯罪とする米国の著作権法は次のどれですか?
〇:デジタルミレニアム著作権法
デジタルミレニアム著作権法(Digital Millennium Copyright Act:DMCA)は、著作権物を保護するために設けられたアクセス制御手段を侵害する技術などを犯罪とする米国の著作権法です。よって正解は、「デジタルミレニアム著作権法」になります。
電子書籍を保護する独自の方法を「ロック解除」する方法を見つけたら、この行為を請求することができます。実際の著作権で保護された書籍を誰かと共有しなくても特定の法律は破られており、有罪判決が下されます。
×:COPPA
児童オンラインプライバシー保護法(Children’s Online Privacy Protection Act、COPPA)とは、インターネット上で安全に子どもサイト向けを使えるように、もし何の規約もなしに子どもたちを危機にさらすことを禁止する法律です。
×:連邦プライバシー法
そのような法律はありませんが、近いところで米国連邦データプライバシー法があります。これは、米国の連邦レベルでの包括的な個人情報保護法になります。
×:GDPR
一般データ保護規則(GDPR)とは、データ保護指令をより厳しくしたEU市民のプライバシー法です。
#16. アメリカに住むスミスは本を書いています。書物の著作権は自動的に付与され、すべての権利を所有します。作成者の死後、どのくらいの期間、著作権が保護されますか?
#17. セキュリティリスクを分析する目的で作成されたものではない公式リスク手法はどれでしょうか。
〇:AS / NZS 4360
AS / NZS 4360はセキュリティリスクの分析に使用できますが、その目的のために作成されたものではありません。それは、IT脅威と情報セキュリティリスクに焦点を絞ったNISTやOCTAVEなど、他のリスク評価手法よりもリスク管理にはかなり広いアプローチを取ります。 AS / NZS 4360は、会社の財務、資本、人的安全、およびビジネス上の意思決定のリスクを理解するために使用できます。
×:FAP
正式なFAPリスク分析手法がないため、正しくありません。
×:OCTAVE
ITの脅威と情報セキュリティのリスクに重点を置いているため、画像Bは正しくありません。 OCTAVEは、組織内の情報セキュリティのリスク評価を管理し、指示する状況で使用するためのものです。組織の従業員には、セキュリティを評価するための最良の方法を決定する権限が与えられます。
×:NIST SP 800-30
IT脅威に固有であり情報脅威にどのように関連しているかという理由で、間違っています。主にシステムに焦点を当てています。データは、ネットワークおよびセキュリティプラクティスの評価や組織内の人々から収集されます。データは、800-30文書で概説したリスク分析ステップの入力値として使用されます。
#18. 米国のHIPAA法には3つのコアルールがあります。次のうち、コアルールではないものはどれですか?
#19. 資産価値を評価する際に、いくつかの算出方法があります。次のうち資産の価値を判断するために使用されないものはどれですか?
〇:資産をカバーするために必要な保険の水準
使用されないものを選ぶ問題です。資産価値(AV、Asset Value)の算出方法にはいくつかあり、市場で似た資産を参考にするマーケットアプローチ、将来的に稼ぐであろう利益で計る収益アプローチ、資産に使ったコストで計るコストアプローチになります。資産をカバーするために必要な保険の水準というのは、資産価値を特定し適切なリスク分析を行ったうえで行われる意思決定で、組織はその資産を購入する保険範囲のレベルをより簡単に判断できます。よって正解は、「資産をカバーするために必要な保険の水準」になります。
×:外部市場における資産の価値
市場で似た資産を参考にする手法は、マーケットアプローチとして知られています。
×:資産の購入、ライセンス供与、およびサポートの初期費用と出費
資産に使ったコストで計る手法としては、コストアプローチとして知られています。
×:組織の生産業務に対する資産価値
将来的に稼ぐであろう利益で計る手法としては、収益アプローチとして知られています。