〇：ディスク二重化

常に利用可能であることが要求される情報は、ミラー化または二重化されている必要があります。 ミラーリング（RAID 1とも呼ばれます）とデュプレックスの両方で、すべてのデータ書き込み操作は、複数の物理的な場所で同時にまたはほぼ同時に行われます。

×：ダイレクトアクセスストレージ

ダイレクトアクセスストレージは、従来、メインフレームおよびミニコンピュータ（ミッドレンジコンピュータ）環境で使用されてきた磁気ディスク記憶装置の一般用語です。 RAIDは、ダイレクトアクセス記憶装置（DASD）の一種です。

×：ストライピング

データがすべてのドライブに書き込まれると、ストライピングの技法が使用されます。 このアクティビティは、複数のドライブにデータを分割して書き出します。 書き込みパフォーマンスは影響を受けませんが、複数のヘッドが同時にデータを取得しているため、読み取りパフォーマンスが大幅に向上します。 パリティ情報は、紛失または破損したデータを再構築するために使用されます。

×：並列処理

並列処理とは、コンピュータに複数の処理装置を内蔵し、複数の命令の流れを同時に実行することであるため誤っています。ミラーリングでこのような処理を実施することはあるかもしれませんが、必須の要件ではありません。

〇：RAIDレベル3

RAIDの冗長アレイは、ハードドライブのフォールトトレランス機能を提供し、システム性能を向上させることができます。 冗長性と速度は、データを分割して複数のディスクに書き込むことによって提供され、異なるディスクヘッドが同時に動作して要求された情報を取り出すことができます。この時、回復データも作成されます。これはパリティと呼ばれます。1つのディスクに障害が発生した場合、パリティデータを使用して破損した情報や失われた情報を再構築できます。 RAIDシステムの異なるレベルでフォールトトレランスまたはパフォーマンスの向上を提供するさまざまなアクティビティが発生します。 RAIDレベル3は、バイトレベルのストライピングと専用のパリティディスクを使用する方式です。

×：RAIDレベル0

RAIDレベル 0では、ストライピングのみが発生するため、間違っています。

×：RAIDレベル5

RAIDレベル 5では、すべてのディスクでブロックレベルのストライピングとインタリーブパリティを使用するため、間違っています。

×：RAIDレベル10

RAIDレベル 10では、ストライピングとミラーリングに関連しているため、間違っています。

クラスタリングはフォールトトレランスのために設計されています。多くの場合には負荷分散と組み合わされますが、本質的には別物です。クラスタリングは稼働をアクティブ/アクティブにすることができます。その上で負荷分散の機能により、複数台サーバのトラフィックを処理します。一方で、アクティブ/パッシブでは、指定されたプライマリアクティブサーバーとセカンダリパッシブサーバーがあり、パッシブは数秒ごとにキープアライブまたはハートビートを送信します。

〇：監査ログの形式は不明であり、侵入者はそもそも利用できません。

監査ツールは、ネットワーク内、ネットワークデバイス上、または特定のコンピュータ上のアクティビティを追跡する技術的なコントロールです。 監査はネットワークやコンピューターへのエンティティのアクセスを拒否するアクティビティではありませんが、セキュリティ管理者が行われたアクセスの種類の理解、セキュリティ違反の特定、または疑わしいアクティビティの管理者への警告を行うようにアクティビティを追跡します。 この情報は、他の技術的コントロールの弱点を指摘し、管理者が環境内で必要なセキュリティレベルを維持するために変更を加える必要がある場所を理解するのに役立ちます。侵入者はこれらの弱点を悪用するためにもこの情報を使用することができます。したがって、ハッシュアルゴリズムのように、権限、権限、および整合性の制御によって監査ログを保護する必要があります。 しかし、システムログのフォーマットは、一般にすべての同様のシステムで標準化されています。 ログ形式を非表示にするのは通常の対策ではないため、監査ログファイルを保護する理由ではありません。

×：適切に保護されていない場合、その監査ログは起訴中に認められないことがあります。

監査ログが裁判所で認められるためには、監査ログを保護するために細心の注意を払わなければならないので、間違っています。 監査証跡を使用して、後で調査できる疑わしい活動についてのアラートを提供することができます。さらに、攻撃がどれほどの距離で行われたのか、また、発生した可能性のある損傷の程度を正確に把握する上で有益です。 刑事訴訟や調査のような後の出来事に使用する必要がある場合に備えて、収集されたすべてのデータを適切かつ正確に表すことができるように、適切な管理の連鎖が維持されていることを確認することが重要です。

×：監査ログには機密データが含まれているため、特定のサブセットのユーザーのみがアクセスできるようにする必要があります。

管理者およびセキュリティ担当者だけが監査証跡情報を表示、変更、および削除できる必要があるため、正しくありません。 他の人はこのデータを見ることができず、変更や削除はほとんどできません。 デジタル署名、メッセージダイジェストツール、強力なアクセスコントロールを使用することで、データの完全性を保証することができます。 その機密性は、必要に応じて暗号化とアクセス制御で保護することができ、データの損失や改ざんを防ぐためライトワンスメディアに保管することができます。 ログを監査する権限のないアクセス試行をキャプチャして報告する必要があります。

×：侵入者は、活動を隠すためにログをスクラブしようとすることがあります。

侵入者があなたの家に侵入した場合、指紋や犯罪行為と結びつけるために使用できる手がかりを残さないように最善を尽くします。コンピュータ詐欺や違法行為についても同様です。攻撃者は、この識別情報を保持する監査ログを削除することがよくあります。文中では削除することをスクラブと表現しています。この情報を削除すると、管理者に警告やセキュリティ侵害を認識し、貴重なデータが破壊されることができないことがあります。 したがって、厳密なアクセス制御によって監査ログを保護する必要があります。

適切な構成変更をスタッフに指示するためには、構造化された変更管理プロセスを確立する必要があります。標準的な手続きでは、プロセスを管理下に保ち、予測可能な方法で確実に実行できるようにします。変更管理ポリシーには、変更の要求、変更の承認、変更の文書化、テストおよび表示、実装、および管理への変更の報告手順が含まれている必要があります。構成管理の変更管理プロセスは、通常サービスレベル契約の承認には関係がありません。

変更依頼、変更依頼の評価、変更依頼を承認/却下、変更のテスト、変更リリースの計画及び実施（管理者への変更報告）、ドキュメント化を経て進んでいきます。

〇：ストライピング

RAIDの冗長アレイは、冗長性やパフォーマンスの向上に使用されるテクノロジーです。 複数の物理ディスクを結合し、それらを論理アレイとして集約します。RAIDは、アプリケーションや他のデバイスに対して単一のドライブとして表示されます。ストライピングを使用すると、すべてのドライブにデータが書き込まれます。 このアクティビティでは、データを複数のドライブに分割して書き出します。 複数のヘッドが同時にデータを読み書きしているため、書き込み性能と読み取り性能が大幅に向上します。

×：パリティ

破損したデータを再構築するためにパリティが使用されます。

×：ミラーリング

一度に2つのドライブにデータを書き込むことをミラーリングと言います。

×：ホットスワップ

ホットスワップとは、ほとんどのRAIDシステムに搭載されているタイプのディスクを指します。ホットスワップディスクを備えたRAIDシステムは、システムの稼動中にドライブを交換することができます。 ドライブがスワップアウトまたは追加されると、パリティデータは、追加されたばかりの新しいディスク上のデータを再構築するために使用されます。

リモートジャーナリングとは、ファイル自体ではなくトランザクションログファイルをリモートに送信します。トランザクションとは、ファイルに対して行われる1つ以上の更新処理を指します。つまり、ファイルに対する更新履歴です。これにより、元のファイルが失われたとしても、トランザクションログから再構築されます。

〇：各部門の代表者が集まり、妥当性の検証受けます。

構造化されたウォークスルーテストでは、機能的な担当者が計画を満たしてレビューし、その正確性や妥当性を確認します。

×：一部のシステムが代替サイトにて実行されることを保証します。

これは並列テストを記述しているため、正しくありません。

×：すべての部署に災害復旧計画のコピーを送付し、その完全性を確認します。

これはチェックリストテストを記述しているため、正しくありません。

×：通常運用システムをダウンさせます。

これは完全中断テストを記述しているため、正しくありません。

アーカイブビットとは以前のバックアップ時点からの更新されたものを示します。フルバックアップは全量バックアップ対象であり、変更箇所を意識する必要がありません。増分バックアップも、バックアップ部分があらかじめ決められているため、変更箇所を意識する必要がありません。したがって、両方ともにアーカイブビットをクリアします。しかし、差分バックアップは変更箇所のみをバックアップ対象と知るため、アーカイブビットをクリアしません。

〇：固定されたメンバーで会議を実施し、人数はできるだけ少ない方がよい。

BCP委員会は、組織内の各部門を代表するために必要な規模でなければなりません。各部門が独自の機能と独特のリスクと脅威を持っているため、社内のさまざまな部門に精通した人で構成されている必要があります。すべての問題と脅威が持ち込まれ、議論されたときに策定されていきます。これは、少数の部門や少数の人々と効果的に行うことはできません。委員会は、少なくとも事業部、上級管理職、IT部門、セキュリティ部門、通信部門、法務部門の担当者から構成されていなければなりません。

×：委員のメンバーは、計画段階、テスト段階、実施段階に関与する必要があります。

委員会のメンバーが計画段階とテスト段階および実装段階に関与する必要があることが正しいため、回答としては正しくありません。 BCPのコーディネーターであるマシュー氏が優れた経営リーダーであれば、チームメンバーに自分の任務や役割に関わる所有権を感じさせるのが最善である考えるでしょう。 BCPを開発する人々も、それを実行する人でなければなりません。危機の時期にいくつかの重要なタスクが実行されることが予想される場合は、計画とテストのフェーズでさらに注意を払う必要があります。

×：事業継続コーディネーターは、経営陣と協力して委員会メンバーを任命すべきである。

BCPコーディネーターが管理職と協力して委員会メンバーを任命する必要があるため、間違っています。また、経営陣の関与はそこで終わりません。 BCPチームは、経営陣と協力して計画の最終目標を立て、災害時に最初に処理しなければならないビジネスの重要な部分を特定し、部門やタスクの優先順位を確認する必要があります。また経営陣は、チームにプロジェクトの範囲と具体的な目標を指示するのに役立つ必要があります。

×：チームは、社内のさまざまな部門の人で構成する必要があります。

チームが社内の異なる部門の人で構成されるべきであるため、正しくありません。これは、チームが各部門が直面する組織に応じたリスクと脅威を考慮する唯一の方法になります。

〇：クラスタリング

クラスタリングは、サーバを冗長に類似しているフォールトトレラントサーバ技術です。サーバークラスタは、ユーザーに1サーバーとして論理的に解釈され、単一の論理システムとして管理できるサーバーのグループです。クラスタリングは、可用性とスケーラビリティを提供します。このグループ、物理的に異なるシステムおよび故障や性能を向上させるに対する免疫を提供するのに役立ちます。

問題文では、難しい文章で表現されています。「物理的に異なるシステムグループと論理的に結合」という言葉から正確に特定の単語を導くことは困難だと思います。このような問題においては、ポイントとなっているであろう単語から、選択肢を消去法で導くことが有効です。後半の「障害に対する免疫を提供するのに役立ちながらスケーラビリティにも役立つ技術」から、耐障害性と拡張性を持っているものであるとわかります。耐障害性だけでは選択肢は絞り込めませんが、拡張性を持っている機能においては、クラスタリングが該当します。よって正解は、「クラスタリング」になります。

×：ディスクデュープ

そのような言葉はありません。一見理解が難しい文章が提示されたとき、時間制限がかかる中、おそらく知らない単語である可能性をあなたは考えるかもしれません。

×：RAID

RAID（Redundant Array of Independent/Inexpensive Disks）とは、複数台のハードディスクを1台のハードディスクとして運用するための技術です。記録するデータをどのようにハードディスクに書き込むのかによって物理的な冗長性を向上させる仕組みを持っています。これは、拡張性を担保する技術体系ではありません。

×：仮想化

仮想化とは、見た目上複数のOSが動作しているように見せる技術です。もしくは、それらを取り巻くシミュレーション的な操作による実環境の構築を可能にする環境です。仮想化環境によって、耐障害性や拡張性を提供した環境構築がありますが、物理的に異なるシステムグループと論理的に結合するという操作にはマッチしていません。

〇：SIEM

多くの組織は、セキュリティ情報およびイベント管理（SIEM）システムと呼ばれるセキュリティイベント管理システムを実装しています。これらの製品は、様々なデバイス（サーバ、ファイアウォール、ルータ等）のログを収集したログデータを相関し、分析機能を提供しようとします。また、中央集権化、標準化、および正規化を必要とする様々な独自フォーマットでログを収集ネットワーク（IDS、IPS、アンチマルウェア、プロキシなど）とのソリューションを有しています。よって正解は、「SIEM」になります。

×：侵入検知システム

侵入検知システム（IDS、Intrusion Detection System）とは、システム監視を行い、受動的なアクションにつなげる機構です。ログを収集し、分析する機能を有していません。

×：SOAR

SOAR（Security Orchestration, Automation and Response）とは、セキュリティインシデントの監視、理解、意思決定、アクションを効率的に行えるようにする技術です。本質的な原因分析によって、SOARによって充足される可能性もありますが、不審な行動がネットワーク内で行われているかどうかを確認する目的で利用される解答にはなりません。

×：イベント相関ツール

イベント相関ツールという言葉はありませんが、SIEMの一つの機能として有している場合があるでしょう。

〇：データ収集技術の作成

選択肢の内、ビジネスインパクト分析（BIA）の第一歩は、データ収集技術を作成することです。 BCP委員会は、アンケートやインタビューを使用して、プロセス、取引、サービスのいずれかの関連する依存関係とともに、組織内でどのように異なる作業がどのように達成されるかに関する重要な人物の情報を収集します。プロセスフロー図は、このデータから作成し、BIAおよび計画開発段階全体で使用する必要があります。

×：それぞれの異なるビジネス機能のリスク計算

ビジネス機能が識別された後に各ビジネス機能のリスクが計算されるため正しくありません。そしてその前にも、BCPチームは重要な人員からデータを集める必要があります。各ビジネス機能のリスクを計算するには、定性的および定量的影響情報を収集し、適切に分析し、解釈する必要があります。データ分析が完了したら、会社内で最も知識のある人と見直して、結果が適切であることを確認し、組織が直面している実際のリスクと影響を説明する必要があります。これにより、最初に取得されなかった追加のデータポイントがフラッシュされ、すべての可能性のあるビジネスへの影響を完全に理解することができます。

×：重要なビジネス機能の特定

重要なビジネス機能の特定は、BCP委員会が重要な人物にインタビューして調査することによって存在するビジネス機能について知った後に行われるため、正しくありません。データ収集フェーズが完了すると、BCP委員会は、プロセス、デバイス、または業務活動が重要かを判断するための分析を実施します。

×：ビジネス機能に対する脆弱性と脅威特定

ビジネスインパクト分析では、プロセスを進めるにしたがって、脆弱性やビジネス機能に対する脅威を特定していくため最初のステップとは言えず、不正確です。答えに記載されているステップのうちでは、最後のステップです。脅威は、人為的、自然的、または技術的なものである可能性があります。可能性のあるすべての脅威を特定し、発生する可能性を推定することが重要です。これらの計画を策定する際には、すぐには問題にならないものもあります。これらの問題は、シナリオベースの演習を行うグループで最もよく対処されます。これにより、脅威が現実になると、その計画にはすべてのビジネスタスク、部門、重要な業務に影響が及ぶことが保証されます。計画されている問題が多いほど、これらのイベントが発生した場合には、より良い準備ができます。

DRP（災害復旧計画）とは、災害時に重要なITシステムの復旧または継続を可能にするための短期計画、ポリシー、手順、およびツールを作成するプロセスです。重要なビジネス機能をサポートするITシステムと、災害後にそれらをどのように復旧させるかに焦点を当てています。例えば、分散型サービス拒否（DDOS）攻撃に見舞われた場合、サーバーが危険にさらされた場合、停電が発生した場合などにどうするかを検討します。BCPはより何が起こるべきなのかということに焦点を当てており、必ずしもシステム要件は含まれません。

検知では正しいリクエストを誤っていると判断しても、悪いリクエストを無視しても良くありません。そのため、True Positive（本当の攻撃を検知する）、True Negative（本当の攻撃を検知しない）、False Positive（偽の攻撃を検知する）、False Negative（偽の攻撃を検知しない）の検知の精度結果に分かれます。

〇：ビジネスパートナーにあなたの会社が準備ができていないことを知らせる

計画済みのビジネス継続性手続きにより、組織は多くのメリットを得ることができます。組織は、以前にリストされた他の回答オプションに加えて、緊急事態への迅速かつ適切な対応を提供し、ビジネスへの影響を軽減し、復旧期間中に外部ベンダーと協力することができます。これらの分野における取り組みは、災害発生時に備えて準備されていることをビジネスパートナーに伝える必要があります。

×：重要なビジネス機能の再開

事業継続計画により、組織は重要なビジネス機能を再開できるため、間違っています。 BCPの作成の一環として、BCPチームは重要なリソースの最大許容ダウンタイムの特定を含むビジネスインパクト分析を行います。この取り組みは、チームが最も重要なリソースを最初に回復できるように、復旧作業の優先順位付けに役立ちます。

×：人命の保護と安全の確保

事業継続計画により、組織は人命を守り安全を確保することができるため、間違っています。人々は会社の最も貴重な資産です。したがって、人的資源は、復旧と継続のプロセスにとって不可欠な要素であり、完全に考慮して計画に統合する必要があります。これが完了すると、事業継続計画は企業が従業員を守るのに役立ちます。

×：ビジネスの存続可能性の確保

計画された事業継続計画により企業が事業の存続可能性を保証できるため、誤りである。事業継続計画は、長期的な停電や災害に対処するための方法と手順を提供します。それは、元の施設が修復されている間に、重要なシステムを別の環境に移すことと、通常の操作が戻ってくるまで別のモードでビジネス操作を行うことを含みます。要するに、ビジネス継続計画は、緊急事態の後にビジネスがどのように行われるかを扱っています。

〇：ビジネスインパクト分析を実施

事業継続計画を作成するために特定の方法論を守らなければならないわけではありませんが、ベストプラクティスは時間の経過とともに証明されています。国立標準技術研究所（NIST）の組織は、これらのベストプラクティスの多くを開発し、すべての人が容易に利用できるように文書化する責任があります。 NISTは、Special Publication 800-34 Rev 1「連邦情報システムの継続計画ガイド」の7つのステップを概説しています。ビジネスインパクト分析を実施する。予防的コントロールを特定する。偶発的戦略を作成する。情報システム緊急時対応計画を策定する。計画のテスト、トレーニング、演習を確実にする。計画を確実に維持する。ビジネスインパクト分析においては、重要な機能やシステムを特定し、必要に応じて優先順位を付けることができます。また、脆弱性や脅威を特定し、リスクを計算することも含まれます。

×：予防的コントロールを特定

予防的コントロールを特定では、重要な機能やシステムが優先され、その脆弱性、脅威、および特定されたリスク（すべてビジネスインパクト分析の一部である）の後で予防制御を特定する必要があります。

×：継続計画方針声明を作成

継続計画方針声明を作成では、事業継続計画の策定に必要な指針を提供し、これらのタスクを実行するために必要な役割に権限を割り当てるポリシーを作成する必要があります。正しくありません。これは、ビジネス継続計画を作成する最初のステップであり、ビジネス影響分析の一部である重要なシステムと機能を特定し、優先順位を付ける前に行われます。

×：コンティンジェンシー戦略を作成

コンティンジェンシー戦略の作成には、システムと重要な機能を迅速にオンライン化できるようにするための方法を策定する必要があります。これを実行する前に、重要なシステムと機能を判断するためにビジネスインパクト分析を実施し、復旧中に優先順位を付ける必要があります。

〇：オペレーション継続計画

オペレーション継続計画（COOP）は、上級管理職や災害後の本部を確立します。また、役割と権限、個々の役割タスクの概要を示します。COOPを作成すると、組織はミッションクリティカルなスタッフ、資源、手順、機器を識別するためにどのように動作するかを評価することから始まります。サプライヤー、パートナー、請負業者が日常的に相互に協力する他の企業を特定し、これらの企業のリストを作成します。よって正解は、「オペレーション継続計画」になります。

×：サイバーインシデント対応計画

サイバーインシデント対応計画（Cyber Incident Recovery）とは、サイバー攻撃を受けた時の復旧計画です。

×：乗員緊急計画

乗員緊急計画とは、施設のスタッフを円滑に安全な環境に移行させるための計画です。

×：ITコンティンジェンシープラン

コンティンジェンシープランとは、事故や災害など非常事態が発生した場合に備えて、対応策をまとめた計画です。

インシデントの原因を理解し、後の復旧段階でシステムを確実にクリーンアップして運用状態に戻せるようにします。前フェーズのResponseとの違いは根本的な原因の解決になります。システムへの明白な侵入経路を取り除いたとしても、攻撃でインストールされたバックドアやその他のマルウェアを見逃している可能性もあります。

根本原因分析では、インシデントを発生させた根本的な弱点や脆弱性を明らかにします。根本原因分析を行わなければ、同じ問題に再び直面する可能性が高いです。影響を受けたシステムだけでなく、特定の脆弱性や一連の脆弱性を持つ組織内のあらゆるシステムの脆弱性を修正する必要があります。例えば、脆弱なパスワードポリシーや暗号化がシステム侵害の根本的な原因となっている場合、その脆弱性を取り除くために対策を講じることになります。

〇：一部のシステムが代替サイトにて実行されることを保証します。

並列テストでは、一部のシステムが代替サイトで実行されるのかを確認します。これは、サービスの生産性には影響を控えつつ、システムが代替サイトで動作することを保証するためです。

×：すべての部署に災害復旧計画のコピーが送られ、完全性を確認します。

この選択肢はチェックリストテストを記述しているため、正しくありません。

×：各部門の代表者が集まり、妥当性の検証受けます。

この選択肢は構造化ウォークスルーテストを記述しているため、正しくありません。

×：通常運用システムをダウンさせます。

この選択肢は完全中断テストを記述しているため、正しくありません。