模擬試験(ドメイン2)

ドメイン2の試験です。

70%以上で合格になります。

Results

すばらしい!

まだ見ていないコンテンツがあるかも。

#1. サムは、元上司から盗んだ個人情報を使って携帯電話サービスを確立する予定です。これはどのようなID盗難ですか?

身元盗難とは、運転免許証番号、銀行口座番号、身分証明書、社会保障番号などの重要な個人情報を取得し、その情報を使用して他人を偽装する状況を指します。通常、個人情報の盗難者は、犠牲者の名前でクレジット、商品、サービスを取得するために個人情報を使用します。これは、被害者の信用格付けを破棄し、偽の犯罪記録を作成し、間違った個人に逮捕状を発行するなどの結果をもたらす可能性があります。個人情報の盗難は、真の名前とアカウントの引き継ぎという2つの方法で分類されます。本当の名前の個人情報の盗難は、泥棒が新しいアカウントを開くために個人情報を使用することを意味します。泥棒は、新しいクレジットカード口座を開設したり、サムのような携帯電話サービスを確立したり、新しい小切手口座を開けて空白の小切手を入手したりするかもしれない。

 

×:フィッシング詐欺

個人情報、信用状、クレジットカード番号、財務データを取得する目的でソーシャルエンジニアリング攻撃の一種であるため、正しくありません。攻撃者はさまざまな方法で機密データを魅了します。フィッシング詐欺の目的は、犠牲者が自分の個人情報を引き渡すことにありますが、個人情報の盗難の目的は、その個人情報を個人的または財政的利益のために使用することです。攻撃者は、個人情報の盗難を行う手段としてフィッシング攻撃を利用することができます。

 

×:ファーミング

犠牲者が不正なウェブサイトを介して攻撃者に個人情報を送信するように欺くために行われる技術的な攻撃であるため、画像Cは正しくありません。被害者はwww.nicebank.comなどのWebアドレスをブラウザに入力します。被害者のシステムは被害者を攻撃者の制御下にあるWebサイトに誘導する、被害を受けたDNSサーバーに要求を送信します。サイトは要求されたウェブサイトのように見えるので、ユーザーは自分の個人情報を入力します。個人情報は、攻撃者が身元情報の盗難に使うことができます。

 

×:アカウント引継ぎ

アカウント引継ぎのID盗難は、新しいアカウントを開設するのではなく、個人情報を使用してその人の既存のアカウントにアクセスすることを意味するため、正しくありません。通常、泥棒は、アカウントの郵送先住所を変更し、盗難された人物が問題を認識する前に、膨大な請求書を提出します。インターネットは、個人的なやりとりなしに取引を行うことができるため、窃盗した情報を身分証明書窃盗犯が簡単に使用できるようにしました。

#2. データ所有者の主なセキュリティ責任は何ですか?

データの分類を設定すると、データに関する他のすべての決定が行われます。データの使用方法を決定し、誰を使用すべきかを判断することは、データ所有者の範囲内の責任ですが、セキュリティ上の責任ではなく機能的です。所有者はデータの価値を決定することに参加することができますが、その価値は他のすべての企業データ資産に対する尺度であるため、通常、データ所有者が単独で責任を負うものではありません。データの保存方法の決定は、データ管理者の役割に委ねられます。

 

×:データの保存方法の決定

データの分類に基づく必須のアクセス制御によって決まるため正しくありません。

 

×:データ値を決定

データの価値の評価がその分類を決定する重要な要素であるにもかかわらず、データ所有者の全体的な目標の1つの要素に過ぎないため、誤りである。

 

×:データの使用方法を決定

そのデータがどのように使用されるかはその分類の要因ではないため、不正確である。データの使用方法は時間とともに変化する可能性がありますが、エンタープライズに対する機密性によって、誰がそれにアクセスすることができるかを決定する必要があります。

#3. 米国国家安全保障局(NSA)は、すべてのマザーボードにクリッパーチップを組み込みたいと考えていました。このチップはどの暗号化アルゴリズムを使用しましたか?

クリッパーチップは、米国国家安全保障局(NSA)によって開発され、組み込みのバックドアとして「音声およびデータメッセージ」を保護する暗号化デバイスとして搭載されたチップセットです。ブロック暗号であるSkipJackを使用していました。

 

他の方の正解率

#4. 直接アクセスデバイスと順次アクセスストレージデバイスについて正しく記述しているのはどれですか?

直接アクセス記憶装置(DASD)は、磁気ディスク記憶装置の一般的な用語であり、これは従来、メインフレームおよびミニコンピュータ(ミッドレンジコンピュータ)環境で使用されてきた。 独立ディスクの冗長アレイ(RAID)は、DASDの一種です。 DASDとシーケンシャルアクセス記憶装置(SASD)との間の重要な違いは、DASD上の任意の点に速やかに到達できる一方で、現在位置とSASDの所望の位置との間のあらゆる点が所望の位置に到達するために横断されなければならない。 テープドライブはSASDです。 テープストレージは、非常に大量のデータに対して最も低コストのオプションですが、ディスクストレージに比べて非常に遅いです。

 

×:RAITは直接アクセス記憶装置の例であり、RAIDは順次アクセス記憶装置の例である。

RAITは独立したテープの冗長アレイを表しているため、間違っています。 RAITはSASDであるテープドライブを使用します。 RAITでは、データは、冗長パリティドライブの有無にかかわらず、複数のテープドライブに並列にストライプ化されます。 これにより、テープ・ストレージに特有の低コストで大容量を提供し、通常よりも高いテープ・データ転送速度とオプションのデータ整合性を実現します。 RAIDはDASDの一種です。 RAIDは、複数の物理ディスクを結合し、それらを論理アレイに集約します。 データが保存されると、その情報はすべてのドライブに書き込まれます。 RAIDは、アプリケーションや他のデバイスに対して単一のドライブとして表示されます。

 

×:MAIDは直接アクセス記憶装置であり、RAIDは順次アクセス記憶装置の一例である。

MAID、大量の非アクティブディスクアレイ、およびRAIDの両方がDASDの例であるため、間違っています。 これらの磁気ディスク記憶装置上の任意の点は、現在の位置と所望の位置との間のあらゆる点を横切らずに到達することができる。 これにより、DASDはSASDよりも高速になります。

 

×:シーケンシャルアクセスストレージの例として、テープドライブはダイレクトアクセスストレージデバイスよりも高速です。

SASDがDASDよりも遅いために間違っています。 テープドライブはSASD技術の一例です。

#5. データ分類レベルを割り当てるだけではできないことはどれでしょうか。

データ分類は、データベースからのデータ抽出を伴わない。ただし、データ分類を使用して、データベースに格納されているデータの読み取りと書き込みにアクセスできるユーザーを指定することができます。各分類は、そのデータがどのようにアクセスされ、使用され、破壊されるかに関する別個の取り扱い要件および手順を有するべきである。たとえば、企業では、機密情報には上級管理者のみがアクセスできます。監査は非常に詳細で、その結果は毎日監視され、消磁または上書きの手順がデータを消去する必要があります。一方、公的に分類された情報には、特別な監査や破壊の方法を必要とせずに、すべての従業員がアクセスすることができます。

 

×:階層的かつ制限的なセキュリティを持つ分類された情報のグループ化

データ分類レベルを割り当てることは、階層的かつ制限的なセキュリティを有する分類された情報のグループ化を助けることができるので不正確である。例えば、同じ分類を共有するデータは、グループ化され、どのようにアクセスされ、使用され、破壊されるかに関する処理の要件と手順が割り当てられます。

 

×:非機密データが不要なコントロールによって保護されていないことの確認

データ分類レベルを割り当てると非機密データが必要なコントロールによって保護されていることが保証されるので正しくありません。データ分類は、機密データの異なるレベルが必要なコントロールによって保護されていることを保証することを直接扱います。この回答はすべてのネガティブのため非常に扱いにくいので、そのような質問と回答を注意深く読んでください。

 

×:データ保護のコストの削減

データの分類は最も費用対効果の高い方法でデータが確実に保護されるので正しくありません。データの保護と維持にはコストがかかりますが、実際に保護が必要な情報にはこの資金を費やすことが重要です。例えば、秘密に分類されたデータは、アクセスを制限するために(公開データと比較して)追加のアクセス制御を必要とすることがある。また、追加の監査と監視が必要な場合もあります。これは、ソーダ会社独自のレシピには適切かもしれませんが、ソーダ会社の従業員ディレクトリに同じ対策が施されていれば、無駄になります。

#6. 特定のセキュリティ管理策を実施すべきかどうかを決定する際に、最も価値のある手法はどれですか?

許容範囲内でリスクを低減するためにコントロールを設置することを要求するために、リスクが現実的、十分に可能性があり、十分にインパクトがあると識別されたら、対策を選択する必要があります。可能な対策のコストと便益を分析するだけで、どのような対策を取るべきかを決定することができます。

 

×:リスク分析

リスクの決定が、許容可能な閾値内でリスクを制御するために必要とされる可能性があることを特定する最初のステップに過ぎないため、誤りである。

 

×:ALEの結果

特定の脅威が実際になった場合に失う可能性があることをALEが会社に知らせるため、間違っています。 ALEの価値は費用対効果の分析に入りますが、ALEは対抗措置の費用と対策のメリットに対処していません。

 

×:リスクを引き起こす脆弱性と脅威の特定

脆弱性や脅威の評価が対策の必要性を認識させているにもかかわらず、その評価だけでは競合​​する対策の中でどのようなコスト効果が見込まれているのか判断できないため正しくありません。

#7. 次のうち、セキュリティ施策の発令者・責任者として最も近いもの役職はどれでしょうか。

#8. メディアに機密情報が含まれている場合、消去の要件はメディアライフサイクルの終了です。次のうちパージについての説明はどれですか?

パージは、処理期間の終わりにストレージ容量を持つシステム、ストレージデバイス、または周辺デバイスから機密データを削除することです。このアクションは、データの再構成が不可能なデータの感度に比例する保証があるように実行されます。媒体上のファイルを削除しても、実際にはデータは消えません。それらのファイル内のデータがまだ媒体上に存在する場所へのポインタのみを削除します。これは、復元に特化した企業が、明らかに/偶発的に破壊された後で、削除されたファイルを元の状態に戻す方法です。単に新しい情報でメディアを上書きしても、以前に書き込まれた情報を回復する可能性は排除できません。これが、安全上書きアルゴリズムが必要な理由です。また、機密性の高い情報が含まれている媒体の一部を消去または消去できない場合は、物理的な破壊が行われなければなりません。

 

×:媒体上の原子の偏光を変化させる

パージの例である消磁を記述しているため、間違っています。消磁を行う装置は、記憶媒体の磁束密度をゼロにする抗磁力を発生させる。この磁力は、メディアからデータを適切に消去するものです。データは、原子の分極の表現によって磁気媒体に記憶される。消磁は、この磁化を元の磁束(磁気アライメント)に戻すために一種の大きな磁石を使用することによって変化します。

 

×:同じ目的のために同じ物理環境でメディアを再利用することは容認できない

メディアが別の区画に再使用されるときにパージが必要なため、間違っています。メディアが消去(内容が消去)されると、それらは消毒されたと言われます。これは、情報を消去して、通常のオペレーティングシステムコマンドまたは市販のフォレンジック/データリカバリソフトウェアを使用して容易に取り出せないようにすることを意味します。

 

×:以前のメディア上のデータはパターンで上書きすることによって回復不能にされる

パージの例であるが、パージ自体については説明していないゼロ化を記述しているため、間違っている。機密データを保持しているメディアは、適切に消去する必要があります。これは、ゼロ化、消磁、またはメディアの破棄によって実行できます。

#9. 物理的なディスクに保存されたバックアップをトラックで運んでいます。このデータの状態は何でしょうか。

#10. 情報のライフサイクル管理において、最も重要な段階は次のどれですか?

あるリポジトリから別のリポジトリへのアクセス可能なデータの移動は、その寿命にわたって要求されることがあるが、典型的には、この質問に対する回答として提供される他のフェーズほど重要ではない。

 

×:データの仕様と分類

データが何であるかの判断とその分類が適切な保護レベルを提供できる最初の必須フェーズであるため誤りです。

 

×:データアクセスの継続的な監視と監査

機密データへのアクセスを継続的に監視し監査することなく、違反を特定することができず、セキュリティを保証することができないため正しくありません。

 

×:データアーカイブ

最も敏感なデータであっても保存要件の対象となるため正しくありません。これは、適切な期間、実際の使用時と同じレベルのセキュリティでアーカイブする必要があることを意味します。

#11. データの感度を決定する要因ではないものはどれですか?

どのようにデータを使用するかは、それがどれほど敏感であるかに左右されません。言い換えれば、たとえそれがまったく使用されなくても、データはどのように使用されようと、機密性があります。

 

×:データにアクセスする必要があるのは誰かの特定

間違っています。なぜなら、データ分類基準は、機密データを見るために誰がデータにアクセスし、そのクリアランスレベルを必要とするかを非常に直接考慮する必要があるからです。データが高すぎるレベルで分類されると、そのユーザーはアクセスできなくなります。レベルが低すぎると分類された場合、権限のないユーザーがアクセスする可能性があります。

 

×:データの価値

データの本来の価値が保護の度合いを直接的に左右するので正しくありません。これは、その分類によって決まります。優先順位付けが機密性、完全性、または可用性でなければならないかどうかにかかわらず、これは当てはまります。

 

×:データが公開された場合に発生する可能性のある損害のレベル

データの開示、変更、または破壊がもたらす損害の程度が、提供されなければならない保護のレベルに直接関係するため、誤りである。

#12. データ廃棄プロセスの一環として、ディスクのすべてをランダムな0と1で複数回上書きしますが必要としないときがあります。それはいつですか?

オーバーラッピングは、データに0またはランダムな文字を書き込むことによって行われます。破損したメディアに対するオーバーラッピングは不可能です。

#13. 次のうち、SSDのデータ削除として最も効率的な方法はどれでしょうか。

#14. すでにラベリング済みの機密情報を取り扱う文書の中に重要機密情報が含まれていました。どのように扱うべきでしょうか。

データを機密度の応じて振り分けることをラベリングといいます。ラベリングをすることで、データの管理の仕方を明確にします。ラベリングが間違っていた場合、随時修正し機密レベルに則ったデータ管理を行います。補足情報として記載することは実質的に異なる機密レベルとして扱っていることになるため、根本的な解決にはなっていません。また、破棄することは自身の資産の損害になるため、適切な運用とは言えません。

#15. ジムは販売担当者であり営業部門のデータ所有者です。データ所有者であるジムの責任ではないものはどれでしょう。

データの可用性を確認する責任は、データ(情報)所有者に属さない唯一の責任です。むしろ、それはデータ(情報)管理人の責任です。データ管理者は、データ所有者の指示に従ってデータを保守し、保護する責任も負っています。これには、データの定期的バックアップの実行、バックアップメディアからのデータの復元、活動の記録の保持、会社の方針、ガイドライン、標準における情報セキュリティとデータ保護の要件の実行が含まれます。データ所有者は、データ管理者よりも高いレベルで働いています。データ所有者は基本的に「これは提供する必要がある完全性、可用性、機密性のレベルです。今すぐ行ってください」と述べています。データ管理者はこれらの権限を実行し、インストールされたコントロールをフォローアップして、適切に動作しています。

 

×:情報分類の割り当て

データ所有者としてジムが情報分類の割り当てを担当するため、ジムが責任を負うものではないかと尋ねているため正しくありません。

 

×:データの保護方法の決定

ジムなどのデータ所有者は、情報の保護方法を決定する責任があるため、正しくありません。データ所有者はデータ保護のための組織的責任を持ち、組織の情報資産を保護することに関してはいかなる過失に対しても責任があります。これは、ジムが情報の保護方法を決定し、データ管理者(通常はITまたはセキュリティによって占められる役割)がこれらの決定を実行していることを保証する必要があることを意味します。

 

×:データの保持期間の決定

データを保持する期間の決定はデータ所有者の責任であるため、正しくありません。データ所有者は、情報にアクセスできるユーザーを決定し、適切なアクセス権が使用されていることを確認する責任も負います。彼はアクセス要求を自分で承認するか、ビジネスユニットマネージャーにその機能を委任することができます。ビジネスユニットマネージャーは、データ所有者が定義したユーザーアクセス基準に基づいて要求を承認します。

#16. 軍事分類の一般的な分類はどれですか?

米軍複合施設および国家安全装置の中で、データ分類の最も一般的な名称は分類されておらず分類されている。 「分類された」情報の分類内には、機密、重要機密、および最重要機密(トップシークレット)があります。機密データとは、不適切に開示された場合、国家安全保障に害を及ぼす可能性のあるデータです。重要機密データとは、不適切に開示された場合、国家安全保障に「深刻な」害を及ぼす可能性のあるデータです。最後に、最重要機密のデータは、不適切に開示された場合、国家安全保障に「重大な」害を及ぼす可能性のあるデータです。

#17. 情報技術基盤ライブラリ(ITIL)は5つの教科書セットで構成されています。次の中核と見なされ、意図するITサービスの全体的な計画に焦点を当てていますか?

ITILの基本的なアプローチは、意図されたITサービスの全体的な計画に焦点を当てたサービス戦略の作成にあります。最初の計画が完了したら、有効なITサービスと全体的な実装ポリシーの設計に関するガイドラインを提供します。その後、サービス移行段階が開始され、ITサービスの評価、テスト、および検証に関するガイドラインが提供されます。これにより、ビジネス環境から技術サービスへの移行が可能になります。サービス運用は、決定されたすべてのサービスが目的を達成したことを確認します。最後に、継続的サービス改善は、サービスライフサイクル全体の改善領域を指摘します。サービス戦略はITILの中核であると考えられています。 ITとビジネスアプローチ、市場分析、サービス資産、顧客に質の高いサービスを提供する目標を設定すること、サービス戦略を実施することの戦略と価値の計画、設計、アライメントに関するベストプラクティスを含む一連のガイドラインで構成されています。

 

×:サービス運用

サービスオペレーションは、サービスが実際に配信されるライフサイクルの重要なコンポーネントを参照するため、正しくありません。ライフサイクルのこの部分では、合意されたレベルのサービスが顧客に提供されることを確実にする一連のガイドラインが定義されています。サービス運用によって組み込まれるさまざまなジャンルには、イベント管理、問題管理、アクセス管理、インシデント管理、アプリケーション管理、技術管理、および運用管理が含まれます。サービスオペレーションは、テクノロジーとビジネスの要件、安定性とレスポンス、コストとサービスの質、対抗的なプロアクティブなアクティビティーなどの矛盾する目標間のバランスを取っています。

 

×:サービス設計

現在および将来のビジネス要件を満たすために、プロセス、アーキテクチャ、ポリシー、およびドキュメントを含むITサービスの設計に最適なプラクティスのセットを含むため、不適切です。サービス設計の目標は、合意されたビジネス目標に従ってサービスを設計することです。ライフサイクル、リスクの特定と管理をサポートできるプロセスを設計する。全体としてのITサービス品質の改善に関与しています。

 

×:サービス移行

サービス移行はビジネス戦略によって提案されたサービスを業務上の使用に提供することに重点を置いているため、正しくありません。また、ビジネスモデルの技術サービスへのスムーズな移行を可能にするガイドラインも含まれています。サービスの要件が設計後に変更された場合、サービス移行は、その要件が変更された設計に従って提供されることを保証する。これらのガイドラインが重点を置いている分野には、移行移行計画に関わる人員の責任と、移行計画とサポート、変更管理、ナレッジマネジメント、リリースと展開管理、サービス検証とテスト、評価が含まれます。

#18. ジャレッドは自社のデータ分類システムで役割を果たしています。この役割では、データにアクセスする際には細心の注意を払い、許可されたポリシーに従ってのみデータが使用され、データの分類に設定されたルールに従うようにする必要があります。彼はコントロールを決定、維持、評価しないので、ジャレッドの役割は何ですか?

仕事に関連する仕事のためにデータを使用する個人は、データ利用者である。ユーザーは、その職務を遂行するためにデータに必要なレベルのアクセス権を持っていなければなりません。また、データの機密性、完全性、他者への可用性を確保するための運用上のセキュリティ手順を遵守する責任があります。これは、ユーザーが適切な注意を払い、セキュリティポリシーとデータ分類ルールの両方に従って行動しなければならないことを意味します。

 

×:データ所有者

データ所有者の方がデータの保護においてより高いレベルの責任を負うため、間違っています。データ所有者は、データを分類し、分類レベルを定期的に見直し、データ保護職の責任をデータ管理者に委任する責任があります。データ所有者は、通常、組織内のマネージャーまたはエグゼクティブであり、会社の情報資産の保護については責任を負います。

 

×:データ管理者

データ管理者がデータ所有者の指示に従ってセキュリティ管理の実装と保守を担当しているため、正しくありません。言い換えれば、データ管理者は、データを保護するコントロールの技術者です。彼女の任務には、バックアップの作成、データの復元、対策の実施と維持、コントロールの管理が含まれます。

 

×:情報システム審査員

コントロールの評価を担当するため、正しくありません。コントロールを評価した後、監査人は管理者に報告書を提出し、組織の許容可能なリスクレベルと結果とのマッピングを示します。これは、データを使用したり、データの使用に細心の注意を払ったりすることとは関係ありません。

#19. クレジットカード決済する際に利用されている規格として考えられるものはどれでしょうか。

#20. マイケルはデータ分類プログラムを開発することになりました。最初のステップとして適切なのはどれでしょうか。

終了