相互扶助とも呼ば互恵協定は、A社がB社は、災害に見舞われた場合、B社がその施設を利用することを可能にすることに同意するものとし、またその逆ということを意味します。これは、他のオフサイトの選択肢よりも移動するための安価な方法ですが、それは常に最良の選択ではありません。ほとんどの環境では、施設の空間、資源、および計算能力の使用に関する限界に達しています。別の会社が両方に有害になるかもしれないで来て、同じお店の外に動作するようにするには 企業。 同じ環境で作業両社のストレスは緊張の驚異的なレベルを引き起こす可能性があります。それがうまくいかなかった場合は、それが唯一の短期的な解決策を提供するであろう。構成管理は悪夢かもしれない、と操作の混合は、多くのセキュリティ上の問題が生じる可能性があります。互恵協定は、新聞印刷のように、特定の企業にうまく機能することが知られています。これらの企業は、任意のサブスクリプションサービスを介して利用できません非常に具体的な技術と設備を必要とします。他のほとんどの組織では、互恵協定は、最高の状態で、一般的に災害保護のための二次的なオプションです。

×：完全に設定され、数時間内で動作する準備ができて、しかし、オフサイトの選択肢の中で最も高価です。

ホットサイトは-ない互恵協定され、完全に構成され、数時間内で動作する準備ができているので間違っています。ホットサイトはまた、最も高価なオフサイトのオプションです。ホットサイトからのみ欠落しているリソースは、通常、バックアップ・サイトから取得されたデータ、およびデータを処理する人々です。機器やシステムソフトウェアがメインのサイトから復元されると任意の負の相互運用性の問題を引き起こしてはならないデータとの互換性が必要です。ホットサイトは、サイトはできるだけ早くそれのために利用できるようになります確保する必要がある企業に適しています。

×：安価なオプションですが、それは、災害後に起動して実行得るために最も時間と労力がかかります。

それはコールドサイト、実際に立ち上がって右の災害後に機能するために最も時間と労力を要し、安価なオフサイトのオプションを記述しているので間違っています。コールドサイトとベンダーは、基本的な環境、電気配線、空調、給排水、および床が、機器や追加サービスのどれを提供します。これは、サイトは仕事のために活性化し、準備をするために数週間かかる場合があります。

×：プロプライエタリなソフトウェアに依存企業のための良い代替ですが、毎年恒例のテストは通常​​使用できません。

それはホットサイト、プロプライエタリなソフトウェアに依存企業のための良い代替を記述しているので間違っています。ホットサイトはいくつかの機器ではなく、実際のコンピュータが装備されています。それは彼らが災害のヒット後にサイトに彼らと自分のハードウェアとソフトウェアをもたらすので、独自の珍しいハードウェアとソフトウェアに依存する企業にとって互恵契約またはホットサイトよりも良い選択です。ホットサイトを使用することの欠点は、ベンダーの契約は通常、会社が時間内の動作状態に戻ることができるようになります毎年恒例のテストを、含まれていないということです。

単体テストとは、開発したモジュールが単体で動くことを確認するテストです。受入テストとは、開発を発注してくれたお客様に実際に使ってもらって納得してもらうテストです。単体テストの代わりに、受入テストで行うことはできません。テストとして上位互換ではなく、観点が異なります。

鍵管理は、適切な保護のために重要です。鍵管理の一部は、キーの寿命を決定することです。キーの有効期間は、それが保護しているデータの感度に対応している必要があります。より多くの機密データが短い鍵の有効期間が必要になる場合があり、一方、安全性の低いデータは、長いキーの有効期間を可能にすることができます。彼らの寿命が終了したときにキーが適切に破棄されるべきです。変更し、キーを破壊するプロセスが自動化され、ユーザーから隠されるべきです。これらは、ソフトウェアまたはオペレーティングシステムに統合されるべきです。これは、複雑さを追加し、プロセスが手動で行われ、特定の機能を実行するために、エンドユーザーに依存している以上のエラーのためにドアを開くだけ。

×：キーは、バックアップまたは緊急事態の場合に預託しなければなりません。

キーがバックアップまたは緊急事態の場合に預託しなければならないことは事実であるので、間違っています。キーは、紛失破壊、または破損しているの危険にさらされています。必要なときにバックアップコピーが利用可能であり、容易にアクセスできる必要があります。データが暗号化され、その後、ユーザーが誤ってそれを復号化するために必要なキーを失った場合、バックアップキーがなかった場合、この情報は永久に失われることになります。暗号化のために使用されているアプリケーションは、キー回復オプションを有していてもよく、またはそれは、キーのコピーは安全な場所に保管する必要があります。

×：複数のキーが使用され、短いその寿命はする必要があります。

より多くのキーが使用されていることは事実であるので間違っている、短いその寿命はする必要があります。暗号化キーの使用頻度は、キーが変更される頻度に直接的な相関関係を有しています。複数のキーが使用され、可能性が高いことを捕捉し妥協します。キーが頻繁に使用される場合、このリスクは劇的に低下します。セキュリティと使用頻度の必要なレベルは、キーの更新頻度を決定することができます。情報戦軍ユニットは、毎日または毎週、それらを変更することがあり、一方、零細のダイナーは、毎月その暗号キーを変更することがあります。

×：キーは保存され、安全な手段によって送信されるべきです。

鍵が格納され、安全な手段によって送信されるべきであることは事実であるので、間違っています。キーは配布の前後に格納されています。キーがユーザに配布される場合には、ファイルシステム内の安全な場所に格納され、制御された方法で使用される必要があります。キー、キーを使用するアルゴリズムは、構成、およびパラメータも保護する必要があるモジュールに格納されます。攻撃者がこれらのコンポーネントを取得することができる場合は、彼女が他のユーザになりすましと解読、読み取り、および再暗号化彼女のために意図されていないメッセージをでした。

能力テーブルは、特定の対象が特定の対象に関する所有するアクセス権を特定する。 機能リスト（機能テーブルとも呼ばれる）は、対象が機能テーブルにバインドされているのに対し、オブジェクトがACLにバインドされているため、アクセス制御リスト（ACL）とは異なります。 ケイパビリティは、トークン、チケット、またはキーの形式で指定できます。 対象が能力コンポーネントを提示するとき、オペレーティングシステム（またはアプリケーション）は、能力コンポーネントに概説されたアクセス権および操作を見直し、それらの機能だけを対象が実行できるようにする。 ケイパビリティ・コンポーネントは、一意のオブジェクト識別子と、そのオブジェクトに対するサブジェクトのアクセス権を含むデータ構造です。 オブジェクトは、ファイル、配列、メモリセグメント、またはポートです。

×：オブジェクト

オブジェクトが機能コンポーネントではなくアクセス制御リスト（ACL）にバインドされているため、正しくありません。 ACLは、いくつかのオペレーティングシステム、アプリケーション、ルータ構成で使用されます。 これらは、特定のオブジェクトにアクセスする権限を与えられたサブジェクトのリストであり、どのレベルの権限が与えられるかを定義します。 認可は、個人またはグループに指定することができます。 ACLは、アクセス制御マトリクスの値をオブジェクトにマップします。 能力がアクセス制御マトリクスの行に対応するのに対し、ACLはマトリクスの列に対応する。

×：プロダクト

製品は、オブジェクトまたは受けることができますので、間違っています。ユーザが（例えば、プログラムのような）製品にアクセスしようとした場合、ユーザは、被写体であり、生成物が目的です。製品がデータベースにアクセスしようとすると、生成物が対象であり、データベースは、オブジェクトです。製品は、例えば能力のリストで対象となり得るが、最良の答えは、能力リストは、被験者がアクセスし、それらのオブジェクト上で実行できる操作可能なオブジェクトかを示すAです。

×：アプリケーション

ユーザーは、アプリケーションにアクセスしようとするユーザーが対象であり、アプリケーションがオブジェクトである場合、正しくありません。アプリケーションがデータベースにアクセスしようとすると、アプリケーションが対象であり、データベースは、オブジェクトです。アプリケーションは、例えば、能力のリストで対象となり得るが、最良の答えは、能力リストは、被験者がアクセスし、それらのオブジェクト上で実行できる操作可能なオブジェクトかを示すAです。

〇：費用便益分析

許容範囲内でリスクを低減するためにコントロールを設置することを要求するために、リスクが現実的で十分に可能性があり、十分にインパクトがあると識別される対策を選択する必要があります。可能な対策のコストと便益を分析するだけで、どのような対策を取るべきかを決定することができます。

×：リスク分析

リスクの決定が、許容可能な閾値内でリスクを制御するために必要とされる可能性があることを特定する最初のステップに過ぎないため、誤りです。

×：ALEの結果

特定の脅威が実際になった場合に失う可能性があることをALEが会社に知らせるため、間違っています。 ALEの価値は費用対効果の分析に入りますが、ALEは対抗措置の費用と対策のメリットに対処していません。

×：リスクを引き起こす脆弱性と脅威の特定

脆弱性や脅威の評価が対策の必要性を認識させているにもかかわらず、その評価だけでは競合​​する対策の中でどのようなコスト効果が見込まれているのか判断できないため正しくありません。

変更は、その開発のライフサイクルの間にソフトウェア製品に起こるC.は、構成管理システムは、自動化によって行われる変更管理プロセスを可能にする場所に置くことができます。ソフトウェア構成管理（SCM）を提供する製品は、時間の様々な点でのソフトウェアの属性を識別し、ソフトウェア開発ライフサイクル全体を通してソフトウェアの完全性と追跡可能性を維持するために変化の系統的な制御を行います。これは、変更を追跡する必要性を定義し、最終的な配信ソフトウェアがリリースに含まれることになっている承認された変更のすべてを持っていることを検証する能力を提供します。ソフトウェア開発プロジェクトの間に、中央集中型のコードリポジトリは、多くの場合、管理し、単一のマスター・セットに対して複数の人によって作られたリビジョンを追跡するSCM機能を、行うことができるシステムに保存されています。

×：ソフトウェア変更管理の管理

これは、このタイプの機能のための公式用語ではないので、正しくありません。ソフトウェア変更制御管理は、ソフトウェア構成管理の一部のみです。ソフトウェア構成管理システムは、並行処理管理、バージョン管理、および同期を提供します。

×：ソフトウェアエスクロー

それはコードを開発したベンダーが消灯主にあれば、特定の状況が発生した場合にのみ、顧客にリリースする予定のソフトウェアエスクローフレームワークでは、第三者がソースコードのコピーを保持し、そしておそらく他の材料ので、間違っています、ビジネスのか、何らかの理由でその義務と責任を満たしていません。顧客は彼らのためにソフトウェアコードを開発するベンダーを支払うため、この手順は、顧客を保護し、ベンダーが廃業になった場合、顧客は、そうでなければ、もはや実際のコードへのアクセス権を持っていないだろう。

×：ソフトウェア構成管理エスクロー

これは不正解の答えであるため、正しくありません。これは公式な用語ではありません。

〇：ISO / IEC 27005―情報セキュリティ管理システムの監査と認証を提供する機関のガイドライン

ISO / IEC 27005標準は、情報セキュリティリスク管理のガイドラインです。 ISO / IEC 27005は、ISMSの枠組みにおいてリスク管理をどのように実施すべきかについての国際標準である。

×：ISO / IEC 27002―情報セキュリティ管理の実践規範

情報セキュリティ管理の実践のためのコードなので正しくありません。従って、それは正しいマッピングを有する。 ISO / IEC 27002は、ISMSの開始、実装、または保守に関するベストプラクティスの推奨事項とガイドラインを提供します。

×：ISO / IEC 27003―ISMS実施のガイドライン

ISMS実装のガイドラインであるため正しくありません。従って、それは正しいマッピングを有する。 ISO / IEC 27001：2005に従ってISMSの設計と実装を成功させるために必要な重要な側面に焦点を当てています。 ISMSの仕様と設計プロセスの開始から実装計画の作成までを記述しています。

×：ISO / IEC 27004―情報セキュリティ管理測定およびメトリクスフレームワークのガイドライン

情報セキュリティ管理測定およびメトリクスフレームワークのガイドラインであるため、誤りである。従って、それは正しいマッピングを有する。 ISO / IEC 27001に規定されているように、ISMSおよび統制や統制のグループの有効性を評価するために、尺度の開発と使用に関するガイダンスを提供する。

〇：ある。企業目標を達成するのにセキュリティがあるため同一の目標を持つべきだ。

組織目標を達成する指標として、KPIなどのマーケティン指標がある。組織にセキュリティ機能を整備することも、これらの目標を達成するための存在する。

×：ある。セキュリティ業界のマーケティングはリスクオフが認められる。

「セキュリティ業界におけるマーケティング」では、組織としてセキュリティ機能を整える意味ではない。

×：ない。分業体制を徹底し専門家に任せるべきだ。

確かに組織の分業は大事ですが、組織のすべての構成員がセキュリティを意識する必要があります。

×：ない。役員判断となるような機密情報はセキュリティと無関係だ。

セキュリティは組織全体で取り組むべきものです。関係ないとは言えません。

データセンター、サーバールーム、ワイヤリングクローゼットは、配線流通センターの近くに、施設の中核分野に配置する必要があります。厳格なアクセス制御メカニズムと手順は、これらの領域のために実施されるべきです。アクセス制御メカニズムは、スマートカードリーダ、バイオメトリックリーダ、またはこれらの組み合わせをロックすることができます。これらの制限区域は一つだけアクセスドアを持っている必要がありますが、火災コードの要件は、通常、ほとんどのデータセンタやサーバルームには、少なくとも2つのドアが存在しなければならない決まります。一つだけドアが毎日の入り口と出口と他のドアのために使用されるべき緊急の場合のみ使用されるべきです。この第二のドアは、人々は、このドアを通って来るできないようにする必要があり意味のアクセスドア、あってはなりません。これは、ロックされる必要がありますが、それは内側から押して、終了として使用する場合は、ロックを解放しますパニックバーを持っている必要があります。

×：プライマリおよびセカンダリ玄関ドアはスワイプカードや暗号ロックを介して制御アクセス権を持っている必要があります。  

入り口は二ドアであっても、識別、認証、および承認プロセスとを通過することが許可されるべきではないので、間違っています。唯一のサーバールームに1エントリポイントがあるはずです。他のドアが入り口を提供すべきではありませんが、非常口のために使用することができます。したがって、二次ドアは侵入を防ぐための内部から保護する必要があります。

×：主要な入り口のドアは、警備員を介して制御されたアクセスを持つ必要があります。二ドアは内側から固定され、エントリを許可されるべきではありません。

サーバルームへの主要な入り口のドアは、識別、認証、および承認プロセスを実行する必要があるため正しくありません。スワイプカードや暗号ロックがこれらの機能を果たします。サーバルームには、理想的には、階段、廊下、ローディングドック、エレベーター、およびトイレなどの公共の場から直接アクセスできないようにしてください。これはカジュアルな通行人から足のトラフィックを防ぐのに役立ちます。確保される領域への扉によってている人には、例えば、会議室への道上にあるものとは対照的に、そこにいるための正当な理由を持っている必要があります。

×：主要な入り口のドアは、スワイプカードや暗号ロックを介して制御アクセス権を持っている必要があります。二ドアは警備員を持っている必要があります。  

二ドアはセキュリティガードを持つべきではないので、間違っています。それがエントリとして使用することができないようにドアが単に内側から保護する必要があります。二ドアは非常口として機能する必要があります。

〇：ビジネスインパクト分析を実施

継続計画を作成するために特定の科学的方程式を守らなければならないわけではありませんが、特定のベストプラクティスは時間の経過とともに証明されています。国立標準技術研究所（NIST）の組織は、これらのベストプラクティスの多くを開発し、すべての人が容易に利用できるように文書化する責任があります。 NISTは、Special Publication 800-34 Rev 1「連邦情報システムの継続計画ガイド」の7つのステップを概説しています。ビジネスインパクト分析を実施する。予防的コントロールを特定する。偶発的戦略を作成する。情報システム緊急時対応計画を策定する。計画のテスト、トレーニング、演習を確実にする。計画を確実に維持する。ビジネスインパクト分析を実施するには、重要な機能やシステムを特定し、必要に応じて優先順位を付けることができます。また、脆弱性や脅威を特定し、リスクを計算することも含まれます。

×：予防的コントロールを特定

重要な機能やシステムが優先され、その脆弱性、脅威、および特定されたリスク（すべてビジネスインパクト分析の一部である）の後で予防制御を特定する必要があるため、間違っています。ビジネスインパクト分析を実施するには、継続計画を作成するステップ2と、予防コントロールを特定するステップ3があります。

×：継続計画方針声明を作成

事業継続計画の策定に必要な指針を提供し、これらのタスクを実行するために必要な役割に権限を割り当てるポリシーを作成する必要があるため、正しくありません。これは、ビジネス継続計画を作成する最初のステップであり、ビジネス影響分析の一部である重要なシステムと機能を特定し、優先順位を付ける前に行われます。

×：コンティンジェンシー戦略を作成

コンティンジェンシー戦略の作成には、システムと重要な機能を迅速にオンライン化できるようにするための方法を策定する必要があるため、正しくありません。これを実行する前に、重要なシステムと機能を判断するためにビジネスインパクト分析を実施し、復旧中に優先順位を付ける必要があります。

HIPAA（医療保険の相互運用性と説明責任に関する法律）には、プライバシールール、セキュリティルール、違反通知ルールの3つのルールがあります。この規則は、管理上、物理的、および技術的な保護手段を義務付けています。

回帰テストでは、コード変更が発生した後の欠陥の発見を行います。古いバグを含む、機能の低下または消失を探します。

報告書に何も情報がない場合（報告することはない）、報告書には情報がないこと、および責任を負うことだけではないことをマネージャーが認識していることを確認する必要があります。

×：彼のマネージャーに彼女にそう言っている電子メールを送ってください。

ジョンはマネージャーに依然としてレポートを届けなければならないため、間違っています。 「出力なし」と言わなければなりません。電子メールは報告するものがないという通信の目的を達成しても、一貫性のためにレポートを配信する必要があります。

×：先週のレポートを配信し、その日付が明確に日付であることを確認してください。

先週のレポートを配信しても、今週は何も報告されていないことをジョンのマネージャーに伝えたり、伝えたりしていないため、間違っています。 彼は彼のマネージャーに「出力なし」という報告書を送るべきです。

×：何もしないでください。

何も報告しないときにジョンが何もしなければ、彼のマネージャーはジョンを追跡して、彼に報告を求めなければならないからです。 彼女が知っているすべてのことについて、ジョンは職務を怠っています。 「出力なし」と表示されたレポートを提供することで、Johnは、この情報をマネージャーに効率的に伝えています。

〇：リスク軽減

リスクは、移転、回避、軽減、受入の4つの基本的な方法で対処できます。スーは、ウイルス対策ソフトウェアやスパム対策ソフトウェアなどのセキュリティコントロールを実装することで、自社の電子メールシステムがもたらすリスクを削減しています。これは、リスク軽減とも呼ばれ、リスクは許容可能と見なされるレベルまで減少します。手順を改善し、環境を変え、脅威に対する障壁を立て、脅威が発生したときにその脅威を阻止して被害を減らすための早期発見手法を導入することで、リスクを軽減することができます。

×：リスク受入

リスク受入がアンチウィルスソフトウェアなどの保護や対策に支出を伴わないため不適切です。リスクを受け入れる際には、直面しているリスクのレベルと潜在的な損害コストを把握し、対策を実施することなくそれを維持することを決定します。コスト/利益比率が、対策費用が潜在的な損失額を上回っていることを示している場合、多くの企業はリスクを受け入れます。

×：リスク回避

リスクを引き起こしている活動を中止することになるため、間違っています。この場合、スーの会社は引き続きEメールを使用することに決めました。企業がそのリスクがアクティビティのビジネスニーズを上回る場合、リスクを導入するアクティビティを終了することを選択することがあります。たとえば、企業は従業員の生産性に与えるリスクのため、ソーシャルメディアのWebサイトを一部の部門でブロックすることを選択することがあります。

×：リスク移転

リスクの一部を保険会社に移転するために保険購入のように他のエンティティとリスクを共有することを伴うため、正しくない。多くの種類の保険は、企業が資産を保護するために利用できます。会社が総リスクまたは余剰リスクが高すぎて賭けができないと判断した場合、保険を購入することができます。

冗長化された安価なディスクアレイ（RAID）は、ハードドライブとそれが保持するデータにフォールトトレランスを提供し、システムパフォーマンスを向上させることができます。 冗長性と速度は、データを分割して複数のディスクに書き込むことによって提供され、異なるディスクヘッドが同時に動作して要求された情報を取り出すことができます。 制御データも各ディスクに分散されています。これはパリティと呼ばれ、1つのディスクに障害が発生した場合、他のディスクが連携してデータを復元できます。 フォールトトレランスがRAIDレベルで提供されるサービスの1つである場合、パリティが関係します。

×：新しいデータを作成するために使用される情報

パリティ情報が新しいデータを作成するために使用されるのではなく、紛失または破損したデータを再作成する方法の指示として使用されるため、誤りです。 ドライブに障害が発生した場合、パリティは基本的にRAIDシステムに新しいハードドライブの失われたデータを再構築する方法を指示する命令です。 パリティは、新しいドライブを再構築してすべての情報を復元するために使用されます。

×：データの消去に使用される情報

パリティ情報がデータの消去には使用されないため、紛失または破損したデータを再作成する方法の指示として使用されるため、誤りです。

×：データの構築に使用される情報

パリティ情報を使用してデータを作成するのではなく、紛失または破損したデータを再作成する方法についての指示として使用されるため、誤りです。

ストリーム暗号は、それらは、同様に動作する理由である、ワンタイムパッドが行う保護の同じ種類を提供するために開発されました。実際には、ストリーム暗号は、ワンタイムパッドが行う保護のレベルを提供することはできませんが、ストリーム暗号は、ソフトウェアおよび自動化手段を介して実装されているので、彼らははるかに実用的です。ワンタイムパッドが正しく実装されていれば、それが割れないと見なされるため、完全な暗号化方式です。この暗号は、ランダムな値で構成されたパッドを使用しています。暗号化される必要がある平文メッセージをビットに変換し、ワンタイムパッドは、ランダムビットで構成されています。この暗号化プロセスは、通常、XORと略す排他的論理和と呼ばれるバイナリ数学関数を使用します。XORは、2つのビットに適用され、一般的にバイナリ数学および暗号化方法に使用される関数である動作です。ストリーム暗号はまた、彼らは、ワンタイムパッド暗号化方式に似ていますどのようにしている、ビットレベルで暗号化します。

×：AES

AESは対称ブロック暗号であるため、正しくありません。ブロック暗号は、暗号化および復号化の目的で使用される場合、メッセージは、ビットのブロックに分割されます。これらのブロックは、時間で、数学関数を介して一つのブロックを置いています。ブロック暗号は、一度ビットのデータを1ブロックを暗号化し、一方、ストリーム暗号は、一度にデータの1ビットを暗号化します。あなたがあなたの友人に送信され、64ビットのブロック・サイズを使用するブロック暗号を使用しているメッセージを暗号化する必要があるとします。640ビットのあなたのメッセージは、64ビットの10の個々のブロックに切り刻まれます。各ブロックは、数式の連続を通して入れ、何をして終わることは暗号化されたテキストの10ブロックです。あなたはあなたの友人にこの暗号化されたメッセージを送信します。彼は、同じブロック暗号と鍵を持っている必要があり、それらの10の暗号文ブロックは逆の順序でアルゴリズムを介して戻って平文メッセージに終わります。

×：ブロック暗号

ブロック暗号は、暗号化および復号化の目的のために使用される前の回答で述べたように、メッセージは、ビットのブロックに分割されている、ので、間違っています。これらのブロックは、時間で、数学関数を介して一つのブロックを置いています。

×：RSA

RSAは、それが非対称アルゴリズムに来るとき最も人気のある公開鍵アルゴリズムであるため、正しくありません。非対称アルゴリズムは、対称アルゴリズムよりも数学の異なるタイプを使用すると、ワンタイムパッド暗号化方式に似て何もありません。このアルゴリズムのセキュリティは元の素数に大きな数を因数分解することの難しさから来ています。

階層型データベースは、親/子関係を使用して、データ要素間の関係を定義するために、ツリー状の構造を使用します。データ要素間の構造との関係は、リレーショナル・データベースとは異なっています。ツリー構造は、分岐を含み、それぞれの分岐は、葉の数、またはデータフィールドを有します。これらのデータベースは、あらかじめ指定されたアクセスパスを明確に定義されているが、彼らは、リレーショナルデータベースなどのデータ要素間の関係を作成するなどの柔軟ではありません。階層型データベースは、1対多の関係をマッピングするのに有用です。

×：リレーショナル

リレーショナル・データベース・モデルが含まれているとの情報を整理するための属性（列）とのタプル（行）を使用しているため、正しくありません。これは、テーブルの形式で情報を提示します。リレーショナル・データベースは、二次元のテーブルで構成され、各テーブルは、一意の行、列、およびセル（行の交点と列）を含みます。各セルは、与えられたタプル内の特定の属性値を表すだけで1つのデータ値が含まれています。これらのデータ実体は関係によって連結されています。データエンティティ間の関係は、データを整理するためのフレームワークを提供します。

×：ネットワーク

ネットワーク・データベース・モデルは、階層データモデルに基づいて構築されているので間違っているのではなく、データ要素を見つけるために子供に片方の親から、次に別のブランチから行くとする方法を「知る」必要によって制約されているの、ネットワーク・データベース・モデルは、各データ要素が複数の親と子のレコードを持つことができます。この代わりに、厳密なツリー構造の冗長ネットワーク様構造を形成します。（名前は、それが上にあるか、ネットワーク全体に分散を示すものではありません、それだけでデータ要素の関係を説明しています。）

×：オブジェクト指向

オブジェクト指向データベースはデータ（音声、文書、映像）のさまざまなを処理するように設計されているため、正しくありません。オブジェクト指向データベース管理システム（ODBMS）は、階層型データベースよりも自然の中で、よりダイナミックであるオブジェクトが必要なときに作成され、それが要求されたときのデータと手続き（メソッドと呼ばれる）は、オブジェクトに行くことができますので。階層型データベースでは、アプリケーションは、データベースからデータを取得するために、独自の手順を使用し、そのニーズに合わせてデータを処理しなければなりません。オブジェクト指向データベースがそうであるように階層型データベースは、実際には、手順を提供していません。オブジェクト指向データベースは、そのオブジェクトの属性と手順を定義するためのクラスがあります。

HIPAA適用事業者とそのビジネスを補佐する組織や個人に関しても、HIPAAの対象事業者と同じように扱われます。ヘルスケアの提供者、健康情報クリアリングハウス、健康保険計画者などが対象者になります。健康アプリの開発者は、身体情報の保持者もしくは計画をするのではなく、プログラマーとしての責務を負います。身体情報の管理の在り方を中心とするHITECHの対象とならない場合があります。よって正解は、「健康系アプリ開発者」になります。

詳細なHITECHの要件を知っておく必要はありません。情報を扱っているかどうかで分類し、消去法で回答することができます。

脅威と脆弱性を掛け合わせたものがリスクとなります。脅威が少なくとも、脆弱性が致命的なものであれば、多大な影響つまりリスクとなります。そのため、四則演算の関係で最もよく示したのは乗数になります。

対称アルゴリズムで暗号化されたメッセージを交換する2人のユーザーのためのために、彼らは最初のキーを配布する方法を見つけ出す必要があります。鍵が危険にさらされた場合、その鍵で暗号化されたすべてのメッセージを復号し、侵入者によって読み取ることができます。キーが保護されておらず、容易に攻撃者が傍受して使用することができるので、単に電子メールメッセージでキーを送信することは安全ではありません。したがって、一人のユーザは、アウトオブバンド方式を使用して他のキーを送信しなければなりません。ユーザは、親指ドライブにキーを保存し、他の人の机にそれを歩いたり、安全な宅配便でお届けすることができます。分布は面倒なだけでなく、不器用と安全ではないので、これは対称暗号の欠点です。

×：計算非対称システムよりも集中的

それは対称アルゴリズムの利点を記述しているので間違っています。それらはあまり計算集約非対称アルゴリズムよりもあるので、対称アルゴリズムは非常に速くなる傾向があります。彼らは、暗号化および非対称アルゴリズムで復号化するために時間の許容できない量を取るデータの比較的迅速に大量の暗号化と復号化することができます。

×：非対称システムよりもはるかに早い動作

非対称システムは、対称システムよりもはるかにゆっくりと動作するため、間違っています。対称アルゴリズムが動作する速度が利点です。彼らの機能を実行するために、はるかに複雑な数学を使用するので、非対称アルゴリズムは、より多くの処理時間を必要とする、対称アルゴリズムより遅いです。しかし、非対称アルゴリズムは、対称アルゴリズムができないのに対し、認証と否認防止を提供することができます。両方のユーザーがメッセージを暗号化と復号化に同じ鍵を使用しているため、対称暗号システムは、機密性を提供することができますが、それらは、認証または否認防止を提供することができません。2人は、同じキーを使用している場合、実際にメッセージを送信した暗号化を通じて証明する方法はありません。

×：数学的に集中的なタスクを実行

非対称アルゴリズムは、数学的に集中的なタスクを実行するため、間違っています。対称アルゴリズムは、他方で、暗号化および復号化プロセス中のビットに比較的単純な数学関数を実行します。彼らは集中的な過度に困難またはプロセッサではないビットを、置換し、スクランブル（転置）。このタイプの暗号化を破ることは困難である理由は、対称アルゴリズムが何度も何度もこの種類の機能を実行することです。だからビットのセットは、置換および転置されているの長いシリーズを通過します。

エンティティの完全性は、タプルが主キー値によって一意に識別されることを保証する。 タプルは、2次元データベースの行です。 主キーは、各行を一意にする対応する列の値です。 エンティティの整合性のために、すべてのタプルには1つの主キーが含まれていなければなりません。 タプルにプライマリキーがない場合、タプルはデータベースによって参照されません。

×：並行保全性

並行保全性はデータベースソフトウェアの正式な用語ではないため、正しくありません。 これは伸び悩みの答えです。 整合性サービスには、セマンティック、参照、エンティティの3つの主要なタイプがあります。 並行処理とは、複数のユーザーやアプリケーションが同時にアクセスするソフトウェアのことです。 コントロールが配置されていないと、2人のユーザーが同じデータに同時にアクセスして変更することができます。

×：参照整合性

参照整合性は、既存の主キーを参照するすべての外部キーを参照するため、正しくありません。 存在しないレコードまたはヌル値の主キーへの参照が外部キーに含まれないことを保証するメカニズムが存在する必要があります。 このタイプの完全性制御により、異なるテーブル間の関係が正常に動作し、相互に適切に通信できるようになります。

×：意味的完全性

意味的完全性機構がデータベースの構造的および意味的規則が確実に行われるので、正しくない。 これらのルールは、データ型、論理値、一意性制約、およびデータベースの構造に悪影響を及ぼす可能性のある操作に関係します。

〇：固定されたメンバーで会議を実施し、人数はできるだけ少ない方がよい。

BCP委員会は、組織内の各部門を代表するために必要な規模でなければなりません。各部門が独自の機能と独特のリスクと脅威を持っているため、社内のさまざまな部門に精通した人で構成されている必要があります。すべての問題と脅威が持ち込まれ、議論されたときに策定されていきます。これは、少数の部門や少数の人々と効果的に行うことはできません。委員会は、少なくとも事業部、上級管理職、IT部門、セキュリティ部門、通信部門、法務部門の担当者から構成されていなければなりません。

固定されたメンバーで会議を実施し、人数はできるだけ少ないことは、少数精鋭というように確実に誤った解釈であるとも言えません。しかし、何か最も”マシ”な回答かを把握し、回答しなければなりません。

×：委員のメンバーは、計画段階、テスト段階、実施段階に関与する必要があります。

委員会のメンバーが計画段階とテスト段階および実装段階に関与する必要があることが正しいため、回答としては正しくありません。 BCPのコーディネーターであるマシュー氏が優れた経営リーダーであれば、チームメンバーに自分の任務や役割に関わる所有権を感じさせるのが最善である考えるでしょう。 BCPを開発する人々も、それを実行する人でなければなりません。危機の時期にいくつかの重要なタスクが実行されることが予想される場合は、計画とテストのフェーズでさらに注意を払う必要があります。

×：事業継続コーディネーターは、経営陣と協力して委員会メンバーを任命すべきである。

BCPコーディネーターが管理職と協力して委員会メンバーを任命する必要があるため、間違っています。しかし、経営陣の関与はそこで終わりません。 BCPチームは、経営陣と協力して計画の最終目標を立て、災害時に最初に処理しなければならないビジネスの重要な部分を特定し、部門やタスクの優先順位を確認する必要があります。また経営陣は、チームにプロジェクトの範囲と具体的な目標を指示するのに役立つ必要があります。

×：チームは、社内のさまざまな部門の人で構成する必要があります。

チームが社内の異なる部門の人で構成されるべきであるため、正しくありません。これは、チームが各部門が直面する組織に応じたリスクと脅威を考慮する唯一の方法になります。

〇：リスクをもたらす活動の中止

含まれていないものを選ぶ問題です。リスクを導入する活動を中止することは、回避によってリスクに対応する方法です。たとえば、企業内でのインスタントメッセージング（IM）の使用を取り巻く多くのリスクがあります。企業がIMの使用を許可しないことをビジネス上の必要性がないために決定した場合、このサービスを禁止することはリスク回避の一例です。リスクアセスメントには、このような対策の実施は含まれていません。よって正解は、「リスクをもたらす活動の中止」になります。

×：資産の特定

アセットを特定することがリスクアセスメントの一部であり、リスクアセスメントに含まれないものを特定することを求められているため、誤りである。資産の価値を判断するには、まずその資産を特定しなければなりません。資産の識別と評価も、リスク管理の重要な任務です。

×：脅威の特定

脅威を特定することはリスクアセスメントの一部であり、リスクアセスメントに含まれないものを特定することが求められるため、正しくありません。脅威が脆弱性を悪用する可能性があるため、リスクが存在します。脅威がなければ、リスクはありません。リスクは、脆弱性、脅威、および結果として生じるビジネスへの悪用の可能性を結び付けます。

×：コストまたは臨界の順にリスク分析

コストまたは臨界の順にリスクを分析することがリスクアセスメントプロセスの一部であり、リスクアセスメントに含まれていないものを特定するために質問されるため不適切です。リスクアセスメントは、企業が直面するリスクを調査し定量化します。リスクに対処するには、費用対効果の高い方法で対応する必要があります。リスクの重大性を知ることで、組織はそれを効果的に対処する方法を決定できます。

〇：処理能力の向上

パーソナルコンピュータとサーバーの処理能力の増加により、数年前には実現できなかったセキュリティ機構に対するブルートフォース攻撃やクラッキング攻撃の成功確率が高くなりました。今日のプロセッサは、1秒あたりに驚くほど多くの命令を実行できます。これらの命令を使用して、パスワードや暗号化キーを壊したり、犠牲者のシステムに悪質なパケットを送信するよう指示することができます。

×：回路の増加、キャッシュメモリ、マルチプログラミング

増加しても特定の種類の攻撃がより強力になるわけではないため、正しくありません。マルチプログラミングとは、複数のプログラムまたはプロセスを同時にメモリにロードすることを意味します。これは、ウイルス対策ソフトウェア、ワープロ、ファイアウォール、および電子メールクライアントを同時に実行できるようにするものです。キャッシュメモリは、高速書き込みおよび読み出し動作に使用されるメモリの一種です。システムでは、処理中に何度も特定の情報にアクセスする必要があるとプログラムロジックが想定している場合、情報をキャッシュメモリに保存して、簡単かつ迅速にアクセスできるようにします。

×：二重モード計算

答えの内容が具体的ではなく、問題への適合性を測れません。マイクロプロセッサの進歩を調べるとき、実際のデュアルモード計算はありません。

×：ダイレクトメモリアクセスI/O

CPUを使用せずにI/O（入出力）デバイスとシステムのメモリ間で命令とデータを転送する方法であるため、正しくありません。ダイレクトメモリアクセスI/Oにより、データ転送速度が大幅に向上します。

多くの企業は、内部ホスト名を解決するために、独自の内部DNSサーバーを持っています。これらの企業は通常、インターネット上のホスト名を解決するために彼らのISPでDNSサーバーを使用します。内部DNSサーバーは、ネットワーク全体でホスト名を解決するために使用することができるが、負荷を分割することができ、その結果、冗長性と耐障害性が所定の位置になるように、通常、複数のDNSサーバが使用されます。DNSサーバ内では、ネットワークがゾーンに分割されています。一つのゾーンは、マーケティングや会計部門のすべてのホスト名が含まれていてもよいし、別のゾーンには、投与のためのホスト名、研究、および法務部門が含まれていてもよいです。唯一のイントラネットからアクセス可能なホストの名前は、インターネットからは見えないようにするためには、可能な場合は、DNSゾーンを分割することをお勧めします。この情報は、このようなネットワーク構造、組織構造、またはサーバーオペレーティングシステムとして、他の情報につながる可能性があるため、攻撃を計画している攻撃者に貴重なものです。

×：アクセスサーバからの攻撃を防ぐため

これは、この質問に対する最良の答えではないため、正しくありません。攻撃者がこのようなので、上の名前、IPアドレス、機能、およびなどの内部システムに関する情報を知ることができないようにネーミングゾーンが分割されています。DNSサーバーが不正な方法でサーバにアクセスするが、ちょうどサーバへの不正なアクセスを確保することができ悪用後の二次攻撃の一つは、DNSゾーンを分割する主な理由ではありません。

×：hostsファイルの操作を防止するため

分割命名ゾーンはDNSサーバがホストファイルを操作しないで、ホスト名を解決するように設定されているかに関係しているので、間違っています。hostsファイルには、両方の良い点、悪いのために、いくつかの理由で操作することができます。ホストは常にIPアドレス127.0.0.1（これは元々RFC 3330で定義されたループバックネットワークインターフェース、である）、ならびに他のホストへのホスト名はlocalhostをマップファイル。一部のウイルスが検出を回避するために、hostsファイルにウイルス対策ベンダの無効なIPアドレスを追加します。頻繁に追加するホストファイルにIPアドレスを訪問することにより、Webブラウジングの速度を増加させることができます。また、hostsファイルにスパイウェアや広告ネットワークのサイトのリストを追加し、ループバックネットワークインタフェースにそれらをマッピングすることで、スパイウェアや広告ネットワークをブロックすることができます。このように、これらのサイトは、常にユーザーのマシンに戻って指し、サイトに到達することはできません。

×：サイバースクワッティングのために必要な情報を攻撃者に提供することを避けるため

ハッカーがサイバースクワッティングを行うために、DNSサーバの情報を必要としないので、間違っています。攻撃者は正当な所有者にそれを販売することを目標に、ドメイン名として、そのよく知られたブランドや会社名、または変化を購入するときサイバースクワッティングが発生します。一方で、同社は公衆に詐称することができます。組織はサイバースクワッティングを防ぐことができる唯一の方法は、ドメインに隣接するドメインとバリエーションを登録することによって、または商標訴訟によるものです。

クラウドコンピューティングは、ネットワークやサーバ技術が集約され、仮想化され、その後、個々の顧客に特定のコンピューティング環境を提供するために分割することができる方法について説明し、一般的な用語です。この集中型の集約および集中制御は、オンデマンドのセルフサービス、複数のデバイス間での広範なアクセス、リソースプーリング、迅速な弾力性、およびサービスの計量機能をエンドユーザーに提供します。クラウドコンピューティング製品の異なる種類があります。クラウドプロバイダは全体的な実行環境として、そのようなオペレーティングシステム、データベース、及びウェブサーバのようなコンピューティングプラットフォームを提供したときにサービス（PaaSの）などのプラットフォームが整備されています。IaaS（サービス）などのインフラストラクチャである場合には、「生のITネットワーク、「PaaSのは、ITネットワークの上で動作するソフトウェア環境です。

×：クラウドプロバイダは、オペレーティングシステム、データベース、及びウェブサーバを含むコンピューティング・プラットフォームを提供したときにサービスとしてのインフラストラクチャが提供されます。

クラウド・プロバイダーは、オンデマンド配信方法で従来のデータセンターのインフラ環境を提供するときIaaS（サービス）などのインフラが整備されているので、間違っています。企業は、この提供されるインフラストラクチャ上に、独自のオペレーティングシステム、アプリケーション、およびソフトウェアを展開し、それらを維持する責任があります。IaaSクラウドソリューションは、多くの場合、ストレージ、ファイアウォール、VLAN（仮想LAN）、ロードバランシング、および他の伝統的なネットワーク機能などの追加のリソースが含まれています。

×：クラウドプロバイダは、従来のデータセンターと同様の基盤環境を提供したときにソフトウェアサービスが提供される。

サービスとしてのソフトウェア（SaaS型）は、クラウド・プロバイダーは、ユーザーが特定のアプリケーションソフト（CRM、電子メール、ゲーム）へのアクセスを提供したときに所定の位置にあるので、間違っています。プロバイダは、SaaSの流通と利用のために特別に作成したアプリケーションのコピーの指定された番号に顧客のネットワーク・ベースのアクセスを提供します。オファリングのこのタイプでは、クラウド・プロバイダーは、アプリケーションが内で実行インフラやプラットフォームを管理します。アプリケーションへのアクセスは、一般的に、オンデマンドおよび購読料モデルで販売されています。クラウド・プロバイダーは、インストールしたアプリケーションを維持し、エンドユーザーは、クラウドクライアントからリモートでソフトウェアにアクセスします。クラウドのエンドユーザーは、アプリケーションが実行されるクラウドインフラストラクチャとプラットフォームを管理しません。

×：クラウドプロバイダは、コンピューティング・プラットフォームの形態のソフトウェア環境を提供したときにサービスとしてのソフトウェアが提供されます。

サービスとしてのソフトウェア（SaaS型）は、クラウド・プロバイダーは、前述したように、ユーザーが特定のアプリケーションソフト（CRM、電子メール、ゲーム）へのアクセスを提供したときに所定の位置にあるので、間違っています。クラウドプロバイダを介して提供されるソフトウェアアプリケーションは、一般的に彼らは高い要求と実行時間を満たすためにスケーラブルであることを可能にするために仮想化されています。問題の会社は一般的に使用されるアプリケーションのためのビジネス要件を持っている場合は、SaaSは最善の解決策かもしれません。この種の状況では、各従業員は、必要なアプリケーションのインスタンスと対話するための資格情報を提供されることになる、とクラウド・プロバイダーは、「舞台裏」維持及び運用の責任のすべてを行うことになります。

P.A.S.T.A.とは、コンプライアンスとビジネス分析しながら、資産価値を保護する方法を見つける7ステップです。自分の資産を保護するには、まず何から手を付けたらよいのでしょうか。P.A.S.T.A.は道筋を指示してくれます。P.A.S.T.A.を使用すると、組織はアプリケーションとインフラストラクチャに対する攻撃者の視点を理解できるため、脅威管理プロセスとポリシーを発見できます。脅威を見つけることが主軸にあるため、リスク中心に考えるところと、シミュレーションがあるところが特徴です。

〇：ビジネスケース

現行の継続計画を確立し維持する上で最も重要な部分は、経営陣の支援です。経営陣は、そのような計画の必要性を確信する必要があるかもしれない。したがって、このサポートを得るためのビジネスケースが必要です。ビジネスケースには、現在の脆弱性、法的義務、回復計画の現状、推奨事項などが含まれます。経営陣は一般に費用対効果の問題に最も関心があるため、予備的な数字を集め、潜在的な損失を見積もることができます。どのように企業が回復すべきかの決定はビジネス上の決定であり、常にそのように扱われるべきです。

×：ビジネスインパクト分析

BCPチームが経営陣の努力に対する支援を得た後、ビジネスインパクト分析（BIA）が実施されたため正しくありません。 BIAは、災害または混乱の際に最大の財務または運用上の損失を被る領域を特定するために実施されます。生存に必要な会社の重要なシステムを特定し、災害や混乱の結果として企業が許容できる停止時間を見積もります。

×：リスク分析

リスクを特定し、セキュリティ保護手段を正当化するために引き起こされる可能性のある損害を評価する方法であるため、正しくありません。 BCPのコンテキストでは、リスク分析手法がBIAの中で使用され、どのプロセス、デバイス、または操作が重要であるかを確認し、最初に回復する必要があります。

×：脅威レポート

意図のない答えなので間違っています。しかし、経営陣は、実際の脅威が企業にとって何か、その脅威の結果、および各脅威に対する潜在的な損失価値を理解することが重要です。この理解がなければ、経営陣は継続計画立案にリップサービスを提供し、場合によっては、それが作成するセキュリティの誤った意識のために計画を立てない場合よりも悪い場合があります。

〇：セキュリティカーネルは、参照モニターを実装し実行する

信頼できるコンピューティングベース（TCB）は、システムの保護メカニズムの完全な組み合わせです。これらは、ハードウェア、ソフトウェア、およびファームウェアの形式です。これらの同じコンポーネントは、セキュリティカーネルも構成します。参照モニターは、ハードウェア、ソフトウェア、およびファームウェアを介してセキュリティカーネルによって実装および強制されるアクセス制御の概念です。その際、セキュリティカーネル、サブジェクトが要求しているオブジェクトにアクセスするための適切な権限を持つことを保証します。プログラム、ユーザー、またはプロセスである対象は、適切なアクセス権があることが証明されるまで、要求しているファイル、プログラム、またはリソースにアクセスできません。

×：参照モニターは、セキュリティカーネルで構成された信頼されたコンピューティングベース（TCP）のコアである

参照モニターはTCBの中核ではないため、正しくありません。 TCBのコアはセキュリティカーネルであり、セキュリティカーネルは参照モニターの概念を実行します。参照モニターは、アクセス制御に関する概念です。物理的なコンポーネントではないため、「抽象的なマシン」と呼ばれることがよくあります。

×：参照モニターは、セキュリティカーネルを実装し実行する

参照モニタがセキュリティカーネルを実装して実行しているわけではない、正しくありません。逆で、セキュリティカーネルは参照モニタを実装し、実行します。参照モニタは抽象的な概念であり、セキュリティカーネルは信頼できるコンピューティングベース内のハードウェア、ソフトウェア、ファームウェアの組み合わせです。

×：セキュリティカーネルつまり抽象的なマシンは、参照モニターの概念を実装される

抽象的なマシンがセキュリティカーネルの別の名前ではないため、正しくありません。抽象的なマシンは、参照モニターの別名です。この概念は、抽象的なマシンがサブジェクトとオブジェクトとの間の仲介者として機能し、サブジェクトが要求しているオブジェクトにアクセスするのに必要な権利を有することを保証し、無許可のアクセスおよび改変から主題を保護します。セキュリティカーネルは、これらの活動を実行するために機能しています。

ポリインスタンス（Polyinstantiation）は同じ実世界の概念を参照してくださいが、その分類レベルおよび/またはそれらの内容が異なる複数の情報オブジェクトの同時存在です。複数のインスタンスは、一般に、そのセキュリティレベルによって区別されます。ポリインスタンスブジェクトの複数のコピーが行われたときであり、他のコピーは、異なる属性を有するように修飾されます。これはいくつかの理由のために行うことができます。ポリインスタンスを使用する方法は、下位レベルの被験体は、より高いレベルのオブジェクトにアクセスできないことを保証するために、セキュリティ目的のためのものです。下位レベルの被験者が極秘のクリアランスを持っていない場合、この分類レベルのデータにアクセスすることができないはずです。

×：ポリモーフィズム

多型が同じメッセージに対して異なる応答をするために、異なるオブジェクトの機能であるため、正しくありません。オブジェクトは、それらは異なる挙動を示すであろう意味、異なるクラスに属することができるので、これは可能です。オブジェクトAとオブジェクトBは、同じ親クラスから作成されますが、オブジェクトBは、サブクラスの下にもある。多型は、次の例で行うことができます。オブジェクトBは、親クラスとサブクラスからこのために相続のオブジェクトAからいくつかの異なる特性を持っているでしょう。オブジェクトAとオブジェクトBが同じ入力を受信したとき、それらの一方のみが、サブクラスの特性を継承しているため、それらは、異なる出力をもたらします。誰かがあなたとジョーに同じメッセージを与え、ジョーはXと答え、あなたはY-ので、同じ入力と異なる出力で応答した場合、多型のアナロジーがあります。

×：凝集性

凝集性は、1つのモジュールは一つだけのタスクを行っていることを意味するため、正しくありません。モジュールは非常に粘着性である場合、これは、モジュール内のすべての要素が直接モジュールを実行する1基本的なタスク、または類似したタスクのグループを扱うことを意味します。モジュールは、高凝集性を有することを意味する、明確に定義された責任を持つべきです。あなたは非常に凝集するモジュールであった場合、あなたはゴミを取り出し、例えば、行うために建設されたあなたの1特定のタスクを実行することになります。

×：オブジェクトクラス

オブジェクトクラスは、その中のすべてのオブジェクトに共通の変数（データ）とメソッド（手続き）を定義する青写真やプロトタイプであるため、正しくありません。クラスは、オブジェクトをインスタンス化するときに移入された変数の空のテンプレートの種類を提供します。オブジェクトは、クラスのメンバー、またはインスタンスです。実世界のオブジェクトは、テーブルなど、それに関連付けられた属性のセットを持っています “家具”の家具クラスと呼ばれるオブジェクトのより大きなクラスのメンバー（またはインスタンス）であり、ときにオブジェクトが生成され、それは、これらの属性を継承します。属性は、色、寸法、重量、スタイル、およびコストとすることができます。椅子、テーブル、または二人掛け用ソファーオブジェクトが生成またはインスタンス化されている場合は、これらの属性が適用されます。テーブルには、クラスの家具のメンバであるため、表には、クラスに定義されたすべての属性を継承します。

VoIPはUDPを使用します。リアルタイム重視であり、コネクションレス型で数秒後に再送信するよりも、1つか2つのパケットを失う方がよいのでしょう。

同期トークンデバイスは、認証処理のコア部分として時間またはカウンタを使用して認証サービスと同期します。同期が時間基づいている場合、トークンデバイスおよび認証サービスは、その内部クロック内で同じ時間を保持しなければなりません。トークンデバイスと秘密鍵の時間値は、ユーザに表示されるワンタイムパスワードを生成するために使用されます。次に、ユーザは認証サービスを実行しているサーバーに渡し、コンピュータにこの値とユーザIDを入力します。認証サービスはこの値を復号化し、期待値と比較します。両者が一致した場合、ユーザは認証され、コンピュータ及びリソースの使用を許可されています。

×：カウンター同期トークン

トークンデバイスと認証サービス使用カウンタ同期場合、それはグラフィックに示すように、時間に基づいていないため、正しくありません。カウンタ同期トークンデバイスを使用する場合、ユーザは、トークンデバイス上のボタンを押すことにより、ワンタイムパスワードの作成を開始する必要があります。これは、次の認証値に進めるためのトークンデバイスと認証サービスを引き起こします。この値は、ベース秘密はハッシュされ、ユーザに表示されます。ユーザーが認証されるユーザーIDと一緒に、この結果の値を入力します。タイムまたはカウンタベースのいずれかの同期では、トークンデバイスおよび認証サービスは、暗号化と復号化に使用したのと同じ秘密基地の鍵を共有する必要があります。

×：非同期トークン

非同期トークン生成方法を用いて、トークンデバイスがユーザを認証するためのチャレンジ/レスポンス方式を採用しているため、間違っています。この技術は、同期を使用する代わりに、認証プロセスにおける個別のステップを使用していません。この状況では、認証サーバがユーザにチャレンジを送信し、ランダムな値とも呼ばれる ノンス 。ユーザーはそれを暗号化し、ユーザーはワンタイムパスワードとして使用する値を返すトークンデバイス、にこのランダムな値を入力します。ユーザは、認証サーバに、ユーザ名と一緒に、この値を送信します。認証サーバは、値を復号することができ、それは以前の送信と同じチャレンジ値である場合、ユーザは認証されます。

×：必須トークン

必須トークンのようなものが存在しないため、間違っています。これは、不正解の答えです。

例として、あなたはあなたの会社のポータルにログインし、リンク（例えば、Salesforceの）をダブルクリックすると、あなたの会社のポータルは、この要求し、認証データをとり、（SAML）のセキュリティアサーションマークアップ言語でそれらをパッケージ化形式およびシンプルオブジェクトアクセスプロトコル（SOAP）メッセージにそのデータをカプセル化します。このメッセージは、SalesforceのベンダーのサイトへのHTTP接続を介して送信されるだろう、とあなたが認証されると、あなたはベンダーのソフトウェアと相互作用することができます。SAMLは、認証データ、SOAPパッケージアップWebサービス要求とSAMLデータをパッケージ化し、要求がHTTP接続を介して送信されます。

×：セキュリティ属性は、SAML形式に入れています。Webサービス要求と認証データをSOAPメッセージに暗号化されています。メッセージは、HTTP接続で送信されます。

SAMLは、セキュリティドメインアイデンティティプロバイダ（アサーションのプロデューサー）とサービスプロバイダ（アサーションの消費者）との間で、ある間に認証と認可データを交換するためのXMLベースのオープンスタンダードであるため、正しくありません。そのように認証データがSAMLで使用されていないセキュリティ属性。また、SOAPは、それらを暗号化しません、メッセージをカプセル化します。

×：セキュリティ属性は、SAML形式に入れています。Webサービス要求と認証データをSOAPメッセージにカプセル化されます。メッセージは、TLS経由のHTTP接続で送信されます。

認証データは、SAMLで使用されているため、間違っています。送信は、デフォルトでは、TLS接続を介して行われません。送信はSSLまたはTLS経由で行うことができるが、これは質問で概説されたものではありませんでした。

×：認証データは、SAMLフォーマットに入れられます。HTTPリクエストおよび認証データをSOAPメッセージにカプセル化されます。メッセージは、HTTP接続で送信されます。

SOAPは、Webサービス要求およびデータではなく、HTTPをカプセル化するため、正しくありません。SOAPはウェブサービスデータをカプセル化した後、それは、送信のためにHTTPを用いてカプセル化されます。

ルールベースの侵入検知は、一般的に、エキスパートシステムの使用に関連しています。エキスパートシステムは、知識ベース、推論エンジン、およびルールベースのプログラミングで構成されています。知識は、ルールとして表現され、そして分析されるべきデータは、事実と呼ばれます。システムの知識は、ルールベースのプログラミング（IFで書かれている 状況 THEN アクション ）。これらのルールは事実、センサー、または監視されているシステムから入ってくるデータに適用されます。例えば、IDSは、システムの監査ログからデータを取得し、その実際のデータベースに一時的に格納します。次に、事前設定されたルールは、疑わしいものが行われているかどうかを示すために、このデータに適用されます。「IFこのシナリオでは、ルールは述べて rootユーザーがファイル1を作成する と File2のを作成 するように 、それらが同じディレクトリにある THEN 管理ツールへの呼び出しがある TRIGGERは、 アラートを送信 。」このルールは、rootユーザーが作成した場合と定義されています2、同じディレクトリ内のファイルと、特定の管理ツールを呼び出しますが、アラートが送信されるべきです。

×：彼らの共通の境界の外で使用されるプロトコルを識別

プロトコルアノマリベースのIDSは彼らの共通の境界の外で使用されるプロトコルを識別するため、Bが間違っています。IDSは、それが監視する各プロトコルの特定の知識を持っています。プロトコルは、異常プロトコルの形式と動作に関係します。プロトコルが異なるフォーマットされているか、異常な動作を実証している場合、IDSは、アラームをトリガします。

×：一度に複数の活動にパターンを比較

ステートフルマッチングIDSは一度にいくつかの活動にパターンを比較するため、Cが間違っています。それはウイルス対策ソフトウェアと同様のパターンマッチングを、ないことを意味し、シグネチャベースのIDSのタイプです。 状態は 、揮発性半永久的、および恒久的なメモリ位置で、オペレーティングシステムの値のスナップショットです。状態ベースのIDSでは、初期状態では攻撃の実行前の状態であり、かつ妥協の状態は成功浸透後の状態です。IDSは、アウトラインの状態遷移配列は、アラームを鳴らす必要があることをルールがあります。

×：新たな攻撃を検出

ルールベースのIDSは、新しい攻撃を検出できないので、Dが正しくありません。それはセキュリティ研究者が攻撃を勉強する時間があった後にのみ使用できます所定のルールやシグネチャに依存しないため、異常ベースのIDSは、新たな攻撃を検出することができます。その代わりに、異常ベースのIDSは、環境の「通常」の活動を学習し、それが標準とは異なるアクティビティを検出したときにアラームをトリガーします。異常ベースのIDSの3つのタイプが、統計的なプロトコル、およびトラフィックです。それらはまた、動作やヒューリスティックベースと呼ばれています。

〇：従業員の意識が変わるような定期的な教育

行動指示型とは、組織的管理として従業員に求められる行動を指示する目的のコントロールです。従業員の意識が変わるような定期的な教育は、行動指示型に該当します。よって正解は、「従業員のセキュリティ意識が変わるような定期的な教育」になります。

×：ドローン監査を利用した遠隔的に指示する防御策

補強的（compensating）な防御策に当たります。

×：物理的な壁による行動心理的な障害とする防御策

物理的（physically）な防御策に当たります。

×：あるアクションを見直す再発防止策の立案

是正的（corrective）な防御策に当たります。

監査ツールは、ネットワーク内、ネットワークデバイス上、または特定のコンピュータ上のアクティビティを追跡する技術的なコントロールです。 監査は、ネットワークやコンピュータへのエンティティのアクセスを拒否するアクティビティではありませんが、セキュリティ管理者が行われたアクセスの種類の理解、セキュリティ違反の特定、または疑わしいアクティビティの管理者への警告を行うようにアクティビティを追跡します。 この情報は、他の技術的コントロールの弱点を指摘し、管理者が環境内で必要なセキュリティレベルを維持するために変更を加える必要がある場所を理解するのに役立ちます。 侵入者はこれらの弱点を悪用するためにもこの情報を使用することができます。したがって、ハッシュアルゴリズムのように、権限、権限、および整合性の制御によって監査ログを保護する必要があります。 しかし、システムログのフォーマットは、一般にすべての同様のシステムで標準化されています。 ログ形式を非表示にするのは通常の対策ではないため、監査ログファイルを保護する理由ではありません。

×：適切に保護されていない場合、これらのログは起訴中に認められないことがあります。

監査ログが裁判所で認められるためには、監査ログを保護するために細心の注意を払わなければならないので、間違っています。 監査証跡を使用して、後で調査できる疑わしい活動についてのアラートを提供することができます。 さらに、攻撃がどれほどの距離で行われたのか、また、発生した可能性のある損傷の程度を正確に把握する上で有益です。 刑事訴訟や調査のような後の出来事に使用する必要がある場合に備えて、収集されたすべてのデータを適切かつ正確に表すことができるように、適切な管理の連鎖が維持されていることを確認することが重要です。

×：監査ログには機密データが含まれているため、特定のサブセットのユーザーのみがアクセスできるようにする必要があります。

管理者およびセキュリティ担当者だけが監査証跡情報を表示、変更、および削除できる必要があるため、正しくありません。 他の人はこのデータを見ることができず、変更や削除はほとんどできません。 デジタル署名、メッセージダイジェストツール、強力なアクセスコントロールを使用することで、データの完全性を保証することができます。 その機密性は、必要に応じて暗号化とアクセス制御で保護することができ、データの損失や改ざんを防ぐためライトワンスメディアに保管することができます。 ログを監査する権限のないアクセス試行をキャプチャして報告する必要があります。

×：侵入者は、活動を隠すためにログをスクラブしようとすることがあります。

侵入者があなたの家に侵入した場合、指紋や犯罪行為と結びつけるために使用できる手がかりを残さないようにして、トラックを守るために最善を尽くします。 コンピュータ詐欺や違法行為についても同様です。 侵入者は彼の軌道をカバーするために働くでしょう。 攻撃者は、この識別情報を保持する監査ログを削除することがよくあります。 （ スクラブ と呼ばれる監査ログ内の特定の不利なデータを削除して います。）この情報を削除すると、管理者に警告やセキュリティ侵害を認識し、貴重なデータが破壊されることができないことがあります。 したがって、厳密なアクセス制御によって監査ログを保護する必要があります。

SSL（Secure Sockets Layer）およびIPSecは、ネットワークトラフィックの完全性、信憑性、および機密性を保護することができます。攻撃者がIPアドレスを偽装された場合でも、彼は彼が必要なキーと他の暗号材料へのアクセス権を持っていないと同じように成功し、操作したり、SSLまたはIPSec暗号化されたトラフィックを読み取ることができないだろう。

×：アドレススプーフィングは、気付かれずに2人のユーザー間のセッションをハイジャックする攻撃をするのに役立ちます。

真であるため、正しくありません。アドレススプーフィングは、気付かれずに2人のユーザー間のセッションをハイジャックする攻撃をするのに役立ちます。攻撃者は2台のコンピュータ間のセッションを引き継ぐしたい場合、彼女が検出されることなく、その会話の途中で自分自身を配置する必要があります。ジャガーノートとHUNTプロジェクトなどのツールは、TCP接続をスパイし、それをハイジャックする攻撃を可能にします。

×：IPスプーフィングは、攻撃者を追跡することが難しくなります。

真であるため、正しくありません。なりすましは、他のシステムをだますとメッセージの発信元を隠すために、通常のパケット内に、虚偽の情報の提示です。自分のアイデンティティを正常に発見することができないように、これは通常、ハッカーによって行われます。

×：セッションハイジャックは、相互認証に防止することができます。

真であるため、正しくありません。セッションハイジャックは、ネットワーク上の懸念がある場合、管理者はユーザーやシステム間の相互認証を必要とするようなIPSecまたはKerberosなどのプロトコルを実装することができます。

損害評価の最終ステップは、災害を宣言することです。損傷評価からの情報が収集され、評価された後、それは、アクション及びBCPを実際に活性化する必要があるかどうかに呼び出される必要があるかチーム示します。災害が起こる前に、BCPコーディネーターとチームが活性化基準を開発する必要があります。基準に概説の1つ以上の状況が行われた場合は損害評価した後、その後チームはリカバリモードに移動します。ビジネスドライバーと重要な機能は、組織から組織に変化しますので、異なる組織は、異なる基準を持っています。基準は、人間の生命、州または国家の安全に危険、設備の損傷、重要なシステムへの損傷、および経験されるダウンタイムの推定値に危険で構成することができます。

×：災害の原因を特定します。

災害の原因を決定することは損害評価の第一段階であるため、正しくありません。損傷の原因となった問題は、まだ行われているとすることができ、チームは完全な被害評価が行われることができる前にそれを停止する方法を見つけ出す必要があります。

×：すぐに交換する必要があるリソースを特定します。

すぐに交換する必要があるリソースを特定する損害評価の最後の工程ではないので、間違っています。これは、評価の終わり近くに発生し、 しかしながら。リソースが識別されると、チームはそれがオンラインに戻し重要な機能をもたらすためにかかる時間を見積もる必要がありますし、必要に応じて、災害を宣言します。

×：それはオンラインで重要な機能を戻すためにかかる時間を決定します。

それはオンラインで重要な機能を戻すためにかかる時間を決定することは損害評価における最後から2番目のステップであるため、正しくありません。それは操作を復元するために、以前に決定された最大許容停止時間（MTD）の値よりも時間がかかります場合は、災害が宣言されるべきであり、BCPは、実行に移されるべきです。

〇：TOC/TOU

特定の攻撃は、システムが要求を処理してタスクを実行する方法を利用できます。 TOC/TOU攻撃は、システムがタスクを完了するために使用する一連のステップを処理します。 このタイプの攻撃は、マルチタスキングオペレーティングシステムで発生するイベントのタイミングに依存することを利用します。TOC/TOUは、条件のチェック（つまり、信任状の検証）とその条件チェック機能からの結果の使用を可能にするソフトウェア脆弱性です。 この質問のシナリオでは、Webアプリケーションが正しく構成されている可能性が高いという事実は、このアプリケーションのプログラミングコードがこの種の脆弱性をコード自体に埋め込んでいることを示しています。

×：バッファオーバーフロー

あまりにも多くのデータが特定のプロセスへの入力として受け入れられると、バッファのオーバーフローが発生します。問題文の事象とは一致しないため、間違っています。 バッファはメモリの割り当てられたセグメントです。 バッファは、あまりにも多くのデータで任意にオーバーフローする可能性がありますが、攻撃者に使用されるためにはバッファに挿入されるコードが特定の長さでなければならず、攻撃者が実行するコマンドが必要です。 これらのタイプの攻撃は、通常、例外的に障害のセグメント化、または機密データが攻撃者に提供されます。

×：ブラインドSQLインジェクション

ブラインドSQLインジェクション攻撃は、真実か偽の質問をデータベースに送信するSQLインジェクション攻撃の一種であるため、間違っています。 基本的なSQLインジェクションでは、攻撃者はSQL形式の特定の命令を送信して、関連付けられたデータベースに問い合わせます。 ブラインドSQL攻撃では、攻撃者はデータベースの応答を分析して機密情報を収集するために、一連の真偽の質問をデータベースに送信することに限定されています。

×：クロスサイトリクエストフォージェリ（CSRF）

クロスサイトリクエストフォージェリ（CSRF）は、悪意のある要求や操作を含むWebページを読み込むように犠牲者を騙そうとする攻撃タイプであるため、正しくありません。 攻撃操作は、被害者のアクセス権のコンテキスト内で実行されます。 要求は被害者の身元を継承し、被害者のために望ましくない機能を実行します。 この種の攻撃では、攻撃者は犠牲者のシステムにアカウント情報の変更、アカウントデータの取得、またはログアウトなどの意図しない動作を実行させることができます。 このタイプの攻撃はこの質問に記載されているシナリオに関係する可能性がありますが、ユーザーがWebアプリケーションに組み込まれているロックメカニズムをどのようにバイパスできるかに焦点を当てています。 プログラミングコードのロジックが誤って開発され、厳密な一連のチェックと使用シーケンスが正しく行われないため、ロック機能がバイパスされています。

〇：ゴミ箱に入れた後に社外の人の手に渡る可能性があるため。

ダンプスターダイビング、またはスキャベジングとは、ゴミ箱の中から重要情報を見つけることです。ゴミ箱に入れると、削除した気になり安心してしまいます。しかし、ゴミ箱は清掃員など社内と社外をつなぐ共有スペースに他なりません。機密情報を含む文章などは、シュレッダーにかけ漏洩しないようにしましょう。

×：ゴミ箱から復元する際に他の文章と混ざってしまうため。

復元する目的で破棄はしません。

×：機密文章は破棄する必要がないため。

機密文章であっても、不必要となれば破棄しなければなりません。

×：シュレッダーにかける必要はない。

いいえ、当然シュレッダーにはする必要があります。

セッション開始プロトコルは、一般的に呼び出したり、受信局との間の実際のメディア交換を除き、すべてのVoIPトランザクションに使用されています。これは、各ステーション/ユーザの登録情報が含まれている相互に信頼できるサードパーティシステムによって仲介されるなど、発信者の識別および位置、コールセットアップとティアダウンが含まれています。

×：リアルタイムトランスポートプロトコル（RTP）、および/またはリアルタイムトランスポートプロトコル（SRTP）を確保

RTP / SRTPは、一般的に、直接メディアの相互作用のためのエンドノード間で使用されるプロトコルであるため、正しくありません。コール交渉は一般的にロケーションサーバを使用して、SIP、あるいはH.323（archaically）を介して行われている間、メディア交換は、典型的には、ポイントツーポイントされているこれらのプロトコルを経由して。

×：リアルタイムトランスポートプロトコル（RTP）およびリアルタイムトランスポート制御プロトコル（RTCP）

RTPは、メディアトランスポートプロトコルではなく、交渉プロトコルであるため、正しくありません。それは、VoIPのネットワークの性能を監視測定し、待ち時間およびジッタなどの側面に報告するためのプロトコルであるとしてRTCPは、さらに不正解です。

×：公衆電話/携帯電話支店取引所（PSTN / PBX）のスイッチ

PSTN / PBX技術は、VoIPネットワークに重要であるが、彼らはSIPがあるような方法で識別情報を呼び出し側に中心的ではないので、間違っています。むしろ、そのような頭字語は、一般的に、VoIPネットワークと公的にアドレス可能な電話番号との間のインタフェースを構築する方法を指します。

DNP3は、歴史的に直列に接続された機器と、フラットなネットワークの階層で構成されたSCADAシステムで使用するために設計されました。したがって、それは非常にシリアル・リンク層プロトコルのように動作するだけでなく、同様にトランスポート層プロトコルの機能を実行します。

×：ファイル転送プロトコル（FTP）

基本的に実際のデータ移動に使用されているクライアントとサーバ、および他の人の間でコマンドおよび制御を提供する1：FTPは、それが複数のポートを使用することで少し奇妙であるため、正しくありません。しかし、すべての接続がトランスポート層でTCPを介して行われています。

×：伝送制御プロトコル（TCP）

それが最も明確にのみトランスポート層プロトコルであるため、正しくありません。

×：ドメインネームサービス（DNS）

DNSはTCPとUDPの両方を用いているがために、両方のトランスポート層プロトコルであり、間違っています。

〇：AS / NZS 4360

AS / NZS 4360はセキュリティリスクの分析に使用できますが、その目的のために作成されたものではありません。それは、IT脅威と情報セキュリティリスクに焦点を絞ったNISTやOCTAVEなど、他のリスク評価手法よりもリスク管理にはかなり広いアプローチを取ります。 AS / NZS 4360は、会社の財務、資本、人的安全、およびビジネス上の意思決定のリスクを理解するために使用できます。

×：FAP

正式なFAPリスク分析手法がないため、正しくありません。

×：OCTAVE

ITの脅威と情報セキュリティのリスクに重点を置いているため、画像Bは正しくありません。 OCTAVEは、組織内の情報セキュリティのリスク評価を管理し、指示する状況で使用するためのものです。組織の従業員には、セキュリティを評価するための最良の方法を決定する権限が与えられます。

×：NIST SP 800-30

IT脅威に固有であり情報脅威にどのように関連しているかという理由で、間違っています。主にシステムに焦点を当てています。データは、ネットワークおよびセキュリティプラクティスの評価や組織内の人々から収集されます。データは、800-30文書で概説したリスク分析ステップの入力値として使用されます。

MTD値が重要なオペレーションを回復することができないことは、組織の評判やボトムラインへの深刻な、おそらく修復不可能な損傷を意味するまでの時間を表すため、RTO値は、MTD値よりも小さいです。RTOは、許容可能なダウンタイムの期間があることを前提としています。これは、同社が一定の時間（RTO）の生産の外で、まだその足で取り戻すことができることを意味します。同社はMTDウィンドウ内で生産起動および実行を得ることができない場合でも、会社が適切に回復するにはあまりにも速く沈んで。

×：RTOは回復することができないことを表している期間であり、MTDは、ダウンタイムの許容量を表します。

MTDは回復することができないことを表している時間である、とRTOは、ダウンタイムの許容量を表すため正しくありません。

×：RTOは混乱に使用されるメトリックで、MTDは、災害に使用されるメトリックです。

RTOは、ビジネス・プロセスは、ビジネスの継続性の中断に関連付けられた許容できない結果を回避するために、災害後に復元する必要があり、その中最も早い時間帯およびサービスレベルであるため、正しくありません。MTD値が重要なオペレーションを回復することができないことは、組織の評判やボトムラインへの深刻な、おそらく修復不可能な損傷を意味するまでの時間を表すため、RTO値は、MTD値よりも小さいです。

×：RTOは、データへのアクセスの損失に関連する指標であり、MTDは、ハードウェアや処理能力へのアクセスの損失に関連する指標です。

RTOは、ビジネス・プロセスは、ビジネスの継続性の中断に関連付けられた許容できない結果を回避するために、災害後に復元する必要があり、その中最も早い時間帯およびサービスレベルであるため、正しくありません。MTD値が重要なオペレーションを回復することができないことは、組織の評判やボトムラインへの深刻な、おそらく修復不可能な損傷を意味するまでの時間を表すため、RTO値は、MTD値よりも小さいです。RTOは、データへのアクセスの損失に関連するメトリックではなく、MTDは、ハードウェアや処理能力へのアクセスの損失に関連するメトリックではありません。

あるベンダーは、ソフトウェアエスクローと呼ばれる方法をとる必要があります。ソフトウェアエスクローは、第三者がソースコードとコンパイルされたコード、マニュアルのバックアップ、およびその他のサポート材料を保持することを意味します。ソフトウェアベンダー、顧客、および第三者との間の契約を結び、この契約は通常、顧客はベンダーが廃業するときと、記述された責任を果たすことができない、または元の契約に違反した場合にのみ、ソースコードへのアクセス権を持つことができることになるでしょう。サードパーティ製のエスクローエージェントを介してソースコードと他の材料へのアクセスを得ることができるため、顧客が保護されています。

〇：COBITはIT目標を定義し、ITILはプロセスレベルの手順を提供

COBITは、ISACA（以前の情報システム監査管理統制）とITガバナンス研究所（ITGI）によって策定されたフレームワークです。 これは、ITを適切に管理し、ITがビジネス上のニーズに対応できるようにするための、セキュリティのニーズだけでないコントロールの目標を定義します。 ITインフラストラクチャライブラリ（ITIL）は、ITサービス管理のベストプラクティスの事実上の標準です。 カスタマイズ可能なフレームワークであるITILは、目標、これらの目標を達成するために必要な一般的な活動、およびこれらの決定された目標を達成するために必要な各プロセスの入力値と出力値を提供します。 本質的には、COBITは「達成すべきこと」に対応し、ITILは「達成する方法」に取り組んでいます。

×：COBITはITガバナンスのモデル、ITILはコーポレートガバナンスのモデル

COBITをITガバナンスのモデルとして使用することはできますが、ITILはコーポレートガバナンスのモデルではないため、間違っています。実際、トレッドウェイ委員会（COSO）のスポンサー組織委員会は、コーポレートガバナンスのモデルです。 COBITはCOSOフレームワークから派生したものです。 COBITは、多くのCOSOの目標を達成する方法として考えることができますが、ITの観点からのみです。 COBITで扱った多くの目標を達成するために、組織はITサービス管理の目標を達成するためのプロセスレベルのステップを提供するITILを使用できます。

×：COBITはコーポレートガバナンスのモデル、ITILはITサービス管理のためのカスタマイズ可能

前述のようにCOBITはコーポレートガバナンスではなくITガバナンスのモデルとして使用できるため、正しくありません。 COSOはコーポレートガバナンスのモデルです。答えの後半は正しいです。 ITILはカスタマイズ可能なフレームワークであり、ITサービス管理のための一連の書籍またはオンラインのいずれかとして利用できます。

×：COBITはビジネス目標フレームワークを提供、ITILはITサービスレベル目標フレームワークを提供

COBITがITを適切に管理するために使用すべきコントロールの目標を定義し、ITセキュリティのニーズだけでなく、ビジネスニーズにITが対応できるようにするため不適切です。 ITILは、ビジネスニーズに関連するITサービス管理目標を達成するためのステップを提供します。 ITILは、ビジネスニーズを満たすための情報技術への依存度が高まったために作成されました。

〇：ネットワークとコード分析を包含し、電子データディスカバリーとも呼ばれることがあります。

フォレンジックは、情報の保存性を担保するための特殊な技術を必要とする技術、認証、犯罪行為の影響を受けている可能性が電子データの分析です。それは法的なシステムでコンピュータ科学、情報技術、エンジニアリングの一緒に来ています。他の人とデジタルフォレンジックを議論するときには、コンピュータフォレンジック、ネットワークフォレンジック、電子データディスカバリー、サイバーフォレンジックなどのように表現されることもあります。

×：コンピュータ技術の研究です。

デジタルフォレンジックは、研究よりも情報技術としての意味合いを伴うため正しくありません。情報技術の研究を網羅するが、証拠の収集と保護し、特定の法的システム内で作業も含みます。

×：証拠が法廷で許容されるためには従わなければならないハードウェア固有のプロセスのセットです。

デジタルフォレンジックは、ハードウェアまたはソフトウェアを参照していないので、間違っています。それは法廷で許容であることを示す証拠ために従わなければならないコンピュータの使用状況、残差データの検討、技術的な分析やデータの技術的特徴の説明、およびコンピュータの使用によるデータの認証の再構築に関連する特定のプロセスのセットです。

×：インシデントが発生する前に、デジタルフォレンジックのロールや責任をネットワーク管理者に割り当てる必要があります。

デジタルフォレンジックは、管理者またはネットワーク管理者であることができなかった可能性があり、適切な訓練とスキルセットを持つ人々によって行われなければならないので、間違っています。デジタルフォレンジックが脆くなる可能性があり、適切で働いたことがなければなりません。誰かが攻撃を受けたシステムを再起動したり、様々なファイルを検査した場合、それが破損して実行可能な証拠、キーファイルのタイムスタンプを変更し、犯罪者が残っているかもしれない足跡を消去することができてしまいます。

〇：上書きによるパージ

パージとは、物理的な法医学的努力によってもデータを利用できないようにすることを意味します。これは、典型的には、データが格納された媒体の各セクタを上書きすることによって達成されます。

×：データの削除

間違っています。オペレーティングシステムコマンドによるデータの削除は、通常、記憶媒体上にデータを残す一方で、後で再利用できるように記憶しているクラスタまたはブロックをマークする。

個人的にはこちらの選択肢を選ぶほうが試験対策がよくできていると感じられます。というのは、データの削除という一般的な言語を用いた選択肢になっているため、短時間で広い意味合いで回答を行うことができるからです。ただ、本問題の回答としては、パージという用語のほうが問題に対してはより強く適合しています。

×：メディアのサニタイジング

間違っています。オペレーティングシステムのコマンドでデータを単に削除するよりも強力な方法ですが、通常、サニタイズとは、ストレージメディアを同じセキュリティコンテキスト内で再利用可能にすることを指します。

「物理的、法医学などの特別な技能を用いて」と聞いているため、手法を特定した選択肢「パージ」のほうが問題に対してはより強く適合しています。

×：これらのどれも動作しません

間違っています。適切な慎重さをもって、パージ技術によってデータの残存をうまく処理することができます。

Webアクセス管理（WAM）ソフトウェアは、Webブラウザを使用してWebベースの企業資産と対話するときに、ユーザーがアクセスできるものを制御します。 このタイプのテクノロジは、継続的により堅牢になり、展開の増加を経験しています。 これは、電子商取引、オンラインバンキング、コンテンツ提供、Webサービスなどの利用が増加したためです。 Webアクセス制御管理プロセスの基本的なコンポーネントとアクティビティは次のとおりです。

1.ユーザーがWebサーバーに資格情報を送信します。

2. WebサーバーはWAMプラットフォームにユーザーの認証を要求します。 WAMはLDAPディレクトリに対して認証を行い、ポリシーデータベースから認証を取得します。

3.リソース（オブジェクト）へのユーザーのアクセス要求。

4. Webサーバーは、オブジェクトアクセスが許可されていることを確認し、要求されたリソースへのアクセスを許可します。

×：X.500データベースを介してアクセスを要求する外部エンティティを制御する

ディレクトリアクセスがWebアクセス管理ソフトウェアではなくX.500データベースのディレクトリでアクセス制御を実行する必要があるため、正しくありません。 ディレクトリサービスは、エントリとデータを管理し、アクセス制御とID管理機能を実行することにより、設定されたセキュリティポリシーを適用します。 ディレクトリサービスの例には、Active DirectoryとNetIQ eDirectoryがあります。 ウェブベースのアクセス要求は、データベース内に保持されたオブジェクトに対するものであってもよいが、主にウェブブラウザとサーバとの間の通信を制御する。 Webサーバーは、通常はディレクトリサービスを通じてバックエンドデータベースと通信する必要があります。

×：X.500データベースを介してアクセスを要求する内部エンティティを制御する

ディレクトリサービスは、LDAPを使用してX.500データベースへのアクセスを要求する内部エンティティのアクセス制御を実行する必要があるため、正しくありません。 このタイプのデータベースは、オブジェクト（サブジェクトとリソース）の組織化のための階層構造を提供します。 ディレクトリサービスは、各オブジェクトに固有の識別名を作成し、必要に応じて対応する属性を各オブジェクトに追加します。 ディレクトリサービスは、サブジェクトとオブジェクトのやりとりの仕方を制御するためのセキュリティポリシー（管理者が設定）を強制します。 ウェブベースのアクセス要求は、データベース内に保持されたオブジェクトに対するものであってもよいが、主にウェブブラウザとサーバとの間の通信を制御する。 WAMは主に外部から内部への通信用に開発されましたが、内部から内部への通信にも使用できます。 回答Bは、提供された4つの中から最良の答えです。

×：外部オブジェクトへのアクセスを要求する内部エンティティを制御する

WAMソフトウェアは内部オブジェクトへのアクセスを要求する外部エンティティを制御するために最も一般的に使用されるため、正しくありません。 答えのオプションで述べたように、他の方法ではありません。 例えば、WAMは、銀行がバックエンド口座データへの顧客のアクセスを制御するために使用することができる。

〇：ビジネスインパクト分析の完了

この質問に記載されている手順のうち、ビジネス影響分析を完了することが最も優先されます。 BIAは、最も重要なビジネス機能を決定し、それに関連する脅威を特定する上で不可欠です。定性的および定量的なデータを収集し、分析し、解釈し、経営者に提示する必要があります。

×：テストと訓練計画

テストとドリルは災害復旧と緊急時計画の最後のステップの一部であるため、間違っています。環境が絶えず変化するため、定期的に事業継続計画をテストすることが重要です。テストと災害復旧の訓練と練習は、少なくとも年に1回は実行する必要があります。ほとんどの企業は、生産や生産性を中断するためにこれらの練習をする余裕がないため、練習問題はロジスティックプランニングを必要とするセクションまたは特定の時間に行われる必要があります。

×：オフサイトのバックアップ施設の代替案の決定

災害復旧とコンティンジェンシーの計画プロセスの途中で行われる緊急時戦略の一部であるため、正しくありません。大規模な災害が発生した場合には、代替オフサイトバックアップ機能が必要です。一般に、契約は第三者ベンダーとの間で確立され、そのようなサービスを提供します。クライアントは、必要な時に施設を使用する権利を保持するために毎月の料金を支払ってから、その施設を使用する必要があるときにアクティベーション料金を支払う。

×：関連する文書を整理および作成

災害復旧とコンティンジェンシープランニングのプロセスが終了する頃に関連する文書を整理して作成するため、正しくありません。手続きは文書化する必要があります。なぜなら、実際に必要なときには、時間のかかるスケジュールが混乱しているためです。ドキュメンテーションには、イメージのインストール、オペレーティングシステムとサーバーの構成、ユーティリティとプロプライエタリソフトウェアのインストール方法に関する情報が含まれている必要があります。その他のドキュメントには、特定のベンダー、緊急機関、オフサイト施設などの呼び出しツリーと連絡先情報が含まれています。

〇：データベースの移行

あるリポジトリから別のリポジトリへのアクセス可能なデータの移動は、その寿命にわたって要求されることがあるが、一般的にはこの質問に対する回答として提供される他のフェーズほど重要ではない。

×：データの仕様と分類

データが何であるかの判断とその分類が適切な保護レベルを提供できる最初の必須フェーズであるため誤りです。

×：データアクセスの継続的な監視と監査

機密データへのアクセスを継続的に監視し監査することなく、違反を特定することができず、セキュリティを保証することができないため正しくありません。

×：データアーカイブ

最も敏感なデータであっても保存要件の対象となるため正しくありません。これは、適切な期間、実際の使用時と同じレベルのセキュリティでアーカイブする必要があることを意味します。

データ分類プログラムという聞きなれない言葉があります。これは辞書的に定義づけされた言葉ではありません。データを分類したいんだなぁ、そのためにすることは？ということを聞かれているのです。これに当たっての”最初のステップ”を聞かれているわけですから、選択肢を順番に並べ、最もはじめの選択肢を選ぶことで回答できます。間違っても、データ分類という言葉から頭の中の辞書を検索し、データ分類のプロセスフローを思い浮かべ、初めのプロセス名を思い出すようなことはしないでください。

順番に並べると、提供する必要のある保護レベルの理解→データ分類基準の指定→各分類レベルの保護メカニズムの決定→データ管理者の特定になるでしょう。何をするにせよ、まずは調査であること。そして、問題定義され、最も良い回答を導くという流れは問題解決の一般的な解法です。

ゼロ知識証明は、誰かがあなたが知る必要があるよりも、より多くの情報を伝えることなく、あなたに何かを伝えることができることを意味します。暗号化では、それはあなたがその鍵を共有するか、誰にもそれを示すことなく、特定のキーを持っていることを証明することを意味します。ゼロ知識証明（通常は数学的）文が敏感な何かを明らかにすることなく、真実であることを別のものに証明するために、一方の当事者のための対話的な方法です。

×：キークラスタリング

二つの異なるキーが同じ平文から同一の暗号文を生成するとき、キークラスタリングがインスタンスであるため、正しくありません。これは、アルゴリズム内の論理欠陥が原因で発生します。

×：誕生日の攻撃を回避

アルゴリズムは明確に異なる2つのメッセージに同じ値を生成しない場合、これは衝突と呼ばれているので、間違っています。攻撃者は、誕生日攻撃と呼ばれる、衝突を強制しようと試みることができます。この攻撃は、に基づいています 標準的な統計に存在する数学的な誕生日のパラドックス。これは確率論で誕生日の問題の背後に数学を利用した暗号攻撃です。これは質問で対処されているものではありません。

×：データの機密性を提供

データが鍵で暗号化されたときに暗号化を介して提供機密性が所定の位置に通常であるため、正しくありません。データは、バルクデータと見なされる場合、対称鍵が使用されます。他の人が表示されない秘密鍵は、秘密鍵、秘密を保持するが、これは必ずしも機密性ではありません。

〇：並列テスト、または完全中断テスト

ビジネスインパクト分析（BIA）は、チームがインタビューやドキュメンテーションソースを通じてデータを収集する機能分析と見なされます。ビジネス機能、活動、トランザクションを文書化する。ビジネス機能の階層を開発します。最終的に各個別の機能の重要度レベルを示す分類スキームを適用します。並列および完全中断試験はBIAの一部ではありません。これらのテストは、環境が絶えず変化することに対応するため、事業継続計画の継続的な有効性を保証するために実施されます。完全な中断テストでは、元のサイトをシャットダウンし、代替サイトで操作と処理を再開することが含まれますが、特定のシステムが代替オフサイト機能で実際に適切に機能することを保証するために、並列テストが行​​われます。

×：臨界レベルに基づく分類スキームの適用

BIA中に行われるため、正しくありません。これは、企業の重要資産を特定し、最大許容ダウンタイム、運用中断と生産性、財務上の考慮事項、規制上の責任、評判などの特性にマッピングすることによって行われます。

×：インタビューによる情報の収集

BIA中に行われるため、正しくありません。 BCP委員会は、すべてのビジネスプロセス、実行すべきステップ、またはそれらのプロセスが必要とするリソースとサプライを真に理解しません。したがって、委員会は知っている人々から、組織内の部長と特定の従業員であるこの情報を収集する必要があります。

×：ビジネス機能の文書化

BCP委員会がBIAの一部としているため正しくありません。ビジネス活動や取引についても文書化する必要があります。この情報は、面接または調査された部門マネージャーおよび特定の従業員から得られます。情報が文書化されると、BCP委員会は、プロセス、装置、または運用活動が最も重要かを判断するための分析を行うことができます。

CA、または認証局は、公開鍵インフラストラクチャで使用するためのデジタル証明書を提供する信頼できる第三者機関です。CAは、ルーティングとは何の関係もありません。PKI環境は、階層信頼モデルを提供しますが、トラフィックのルーティングに対応していません。

×：EGPは、各AS「間」の分野で使用されています。

真であるため、正しくありません。エクステリアゲートウェイプロトコル（EGP）は、各自律システム（AS）との間で機能します。そのインターネットのアーキテクチャ 使用することができ、内部のプロトコルを知っているか理解する必要があるため、特定に接続する必要のない実体ように、これらの様々なのASが作成されたサポートしています。代わりに、通信するためのASのために、彼らは同じ外部ルーティングプロトコルを使用する必要があります。

×：特性や行動を共有するノードの領域がのASと呼ばれています。  

真であるため、正しくありません。ノード（ネットワーク）を共有する特性や行動の領域は、自律システム（ASの）と呼ばれています。これらのASは、独立して、異なる企業や組織によって制御されています。ASは、単一のエンティティによって管理され、共通の内部ゲートウェイプロトコル（IGP）を使用しているコンピュータやデバイス、から構成されています。これらのASの境界は境界ルータで区切られています。これらのルータは、他のASの境界ルータに接続し、内部と外部のルーティングプロトコルを実行します。内部のルータは同じAS内の他のルータに接続し、内部ルーティングプロトコルを実行します。だから、実際には、インターネットがお尻と、ルーティングプロトコルで構成されたネットワークだけです。

×：各ASは、ルーティング機能を実行するためにIGPを使用しています。 

内部ゲートウェイプロトコル（IGP）は、各AS内のルーティングタスクを処理するので、間違っています。距離ベクトルルーティングプロトコルとリンクステートルーティングプロトコル：のIGPの2つのカテゴリがあります。ディスタンスベクタルーティングプロトコルはRIP（Routing Information Protocol）と内部ゲートウェイルーティングプロトコル（IGRP）が挙げられます。これらのプロトコルを使用するルータでは、ネットワーク全体のトポロジに関する情報を持ちません。リンクステートルーティングプロトコルを使用してノードが、一方、完全なネットワークトポロジに関する情報を有します。これらのプロトコルの例としては、OSPF（Open Shortest Path First）のと中間システムへの中間システム（IS-IS）が挙げられます。

従業員が離職したタイミングにおいて、従業員のアカウントを停止するべきです。元社員に対して組織のリソースへのアクセス権限を与えることは情報漏洩になります。

〇：身元情報の盗難

身元情報の盗難とは、運転免許証番号、銀行口座番号、身分証明書、社会保障番号などの重要な個人情報を取得し、その情報を使用して他人を偽装する状況を指します。通常、個人情報の盗難者は、犠牲者の名前でクレジット、商品、サービスを取得するために個人情報を使用します。これは、被害者の信用格付けを破棄し、偽の犯罪記録を作成し、間違った個人に逮捕状を発行するなどの結果をもたらす可能性があります。個人情報の盗難は、真の名前とアカウントの引き継ぎという2つの方法で分類されます。本当の名前の個人情報の盗難は、泥棒が新しいアカウントを開くために個人情報を使用することを意味します。泥棒は、新しいクレジットカード口座を開設したり、サムのような携帯電話サービスを確立したり、新しい小切手口座を開けて空白の小切手を入手したりするかもしれない。

×：フィッシング詐欺

個人情報、信用状、クレジットカード番号、財務データを取得する目的でソーシャルエンジニアリング攻撃の一種であるため、正しくありません。攻撃者はさまざまな方法で機密データを漏洩させるユーザーを魅了します。フィッシング詐欺の目的は、犠牲者が自分の個人情報を引き渡すことにありますが、個人情報の盗難の目的は、その個人情報を個人的または財政的利益のために使用することです。攻撃者は、個人情報の盗難を行う手段としてフィッシング攻撃を利用することができます。

問題文の中に具体的な手法を記載していないため、フィッシング詐欺であることを言い切れません。

×：ファーミング

犠牲者が不正なウェブサイトを介して攻撃者に個人情報を送信するように欺くために行われる技術的な攻撃であるため、正しくありません。被害者はwww.nicebank.comなどのWebアドレスをブラウザに入力します。被害者のシステムは被害者を攻撃者の制御下にあるWebサイトに誘導する、被害を受けたDNSサーバーに要求を送信します。サイトは要求されたウェブサイトのように見えるので、ユーザーは自分の個人情報を入力します。個人情報は、攻撃者が身元情報の盗難に使うことができます。

問題文の中に具体的な手法を記載していないため、ファーミングであることを言い切れません。

×：アカウント引継ぎ

アカウント引継ぎのID盗難は、新しいアカウントを開設するのではなく、個人情報を使用してその人の既存のアカウントにアクセスすることを意味するため、正しくありません。通常、アカウントの郵送先住所を変更し、盗難された人物が問題を認識する前に、膨大な請求書を提出します。インターネットは、個人的なやりとりなしに取引を行うことができるため、窃盗した情報を身分証明書窃盗犯が簡単に使用できるようにしました。

各学校の管理によって任せられる学生番号は個人を特定するに十分な情報とは言えないため、プライバシー情報と言い切れません。

多くの組織は、セキュリティ情報およびイベント管理（SIEM）システムと呼ばれるセキュリティイベント管理システムを実装しています。これらの製品は、様々なデバイス（サーバ、ファイアウォール、ルータ等）のログを収集したログデータを相関し、分析機能を提供しようとします。また、中央集権化、標準化、および正規化を必要とする様々な独自フォーマットでログを収集ネットワーク（IDS、IPS、アンチマルウェア、プロキシなど）とのソリューションを有しています。

〇：ラベリングを見直し、重要機密情報として扱う。

データを機密度の応じて振り分けることをラベリングといいます。ラベリングをすることで、データの管理の機密レベルを明確にできます。ラベリングが間違っていた場合には随時修正して、機密レベルに則ったデータ管理を行う必要があります。よって、「ラベリングを見直し、重要機密情報として扱う。」が正解になります。

×：業務は柔軟性であるべきであるため、文章全体としては機密情報として扱う。

重要機密情報が含まれている文章を機密情報として扱っているため、適切な運用とは言えません。

×：文書の補足情報として、「文章の一部に重要機密情報が含まれている」旨を記載する。

補足情報として記載することは実質的に異なる機密レベルとして扱っていることになるため、根本的な解決にはなっていません。

×：異なる機密情報が交わっていることはあり得ないため、その文書を破棄する。

破棄することは自身の資産の損害になるため、適切な運用とは言えません。

〇：ビジネス継続プロセスが変更管理プロセスの統合

残念なことに、ビジネス継続計画はすぐに時代遅れになる可能性があります。時代遅れのBCPは、会社に誤った安全感を与える可能性があり、実際に災害が発生した場合には致命的となる可能性があります。計画を最新の状態に保つための最もシンプルで費用効果が高く、プロセス効率的な方法の1つは、組織の変更管理プロセスにそれを組み込むことです。新しいアプリケーション、機器、サービスは文書化していますでしょうか？アップデートとパッチは文章化していますでしょうか？重要な変更が発生したときにBCPチームに警告するフィールドとトリガーを組み込むように、変更管理プロセスを更新し、回復文書を更新する手段を提供する必要があります。 BCPが確実に最新の状態に保たれるようにし、その他の措置には計画の人事評価の維持やビジネスの継続性をすべてのビジネス決定の一部とするなど、計画を使用する定期的な訓練の実施が含まれます。

×：ハードウェア、ソフトウェア、およびアプリケーションの変更点の更新

ハードウェア、ソフトウェア、およびアプリケーションの変更が頻繁に発生するため、間違っています。BCPが変更管理プロセスの一部でない限り、これらの変更はBCPには含まれません。環境への変更が発生した場合、BCPを更新する必要があります。変更後に更新されない場合は、期限切れです。

×：インフラと環境の変化の更新

インフラストラクチャと環境の変更が頻繁に発生するため、正しくありません。 BCPが変更管理プロセスの一部でない限り、ソフトウェア、ハードウェア、およびアプリケーションの変更と同様に、インフラストラクチャと環境の変更によってBCPに移行する可能性は低いです。

×：人事異動

計画が陳腐化することがあるため、正しくありません。メンテナンスを担当する担当者または担当者が退職したときに、BCPが放棄されることは珍しいことではありません。これらの責任は再割り当てする必要があります。これを確実にするには、メンテナンス責任を職務内容に組み込み、適切に監視する必要があります。

災害復旧計画（Disaster Recovery Planning）には、軽減、準備、対応、および回復のライフサイクルがあります。

軽減：災害の影響と可能性を減らします。

準備：対応のためのプログラム、手順、ツールを作成します。

対応：手順に従って、災害時にどのように対応するか。

回復：基本機能を再確立し、完全な本番環境に戻します。

CSMA / CD（Carrier Sense Multiple Access Collision Detection）とは、イーサネットのように同時に送信と受信が可能なシステムに使用されます。 2つのクライアントが同時にリッスンし、回線がクリアであることを確認すると、両方が同時に送信して衝突を引き起こす可能性があります。このシナリオを解決するためにCD（Collision Detection）が追加されています。クライアントは、回線がアイドル状態であるかどうかを確認し、アイドル状態の場合は送信します。使用中の場合、ランダムな時間（ミリ秒）待機します。送信中、彼らはネットワークを監視しており、送信よりも多くの入力が受信された場合、別のクライアントも送信しており、他のノードに送信を停止するように指示するジャム信号を送信し、ランダムな時間待機してから再送信を開始します。

統合アクセス制御は、統一的なルール、運用負担の軽減など様々な利点があります。統合アクセス制御はしばしば、アクセス制御の機構とリソース提供の機構が分離しています。分散アクセス制御では、リソースに近い場所でアクセス制御できるため、リソースを独立して保護します。

XSS攻撃は、脆弱なWebページにその悪意のあるコードを注入する攻撃を可能にします。疑いを持たないユーザーが感染したページにアクセスすると、悪質なコードは、被害者のブラウザ上で実行され、盗まれたクッキーにつながる可能性があり、セッション、ブラウザの脆弱性を悪用するマルウェアの実行、またはバイパスアクセス制御や援助をハイジャック。そこに三つの異なるXSSの脆弱性がある：永続的、非永続は、およびDOMベース。（また、反射された脆弱性と呼ばれる）非永続的な脆弱性が発生した場合、攻撃者のトリックなどクッキーやセッションIDとして被害者の機密情報を盗むために不正なスクリプトを使用してプログラムされたURLを開くように被害者。この攻撃の背後にある原理は、動的なWebサイト上の適切な入力または出力の検証の欠如を活用することにあります。このようなXSS攻撃は、潜在的に巨大な規模での損傷を引き起こす可能性があります。盗まれたクッキーが侵害されたWebメールシステムにつながることができ、ブログに殺到し、銀行口座を開示しました。フィッシング攻撃のほとんどは、XSSの脆弱性によって引き起こされます。

×：永続的なXSSの脆弱性

永続的な脆弱性は、このようなフォーラムやメッセージボードのように、データベースまたは同様の場所に格納されたデータを入力するユーザー許可のウェブサイトをターゲットにされているため、正しくありません。このタイプの攻撃のためのコードは、サードパーティのWebサイトにユーザーを誘惑する必要なく、自動的にレンダリングすることができます。XSSの脆弱性を克服するための最良の方法は、セキュアプログラミングの実践を通してです。Webアプリケーション開発者は、すべてのユーザー入力がフィルタリングされることを確認する必要があります。既知およびセキュアな文字が限定セットは、ユーザの入力を許可する必要があります。

×：二次の脆弱性

二次の脆弱性は、データベースに格納された入力データにユーザーを可能にするウェブサイトをターゲットに永続的なXSSの脆弱性、別の名前であるため、正しくありません。

×：DOMベースの脆弱性

DOMベースのXSSの脆弱性で、攻撃者は、元のクライアント側のJavaScriptを変更するには、ドキュメントオブジェクトモデル（DOM）環境を使用しているため、正しくありません。これは、結果として不正なJavaScriptコードを実行するために、被害者のブラウザを引き起こします。したがって、クロスサイト攻撃は、被害者のウェブブラウザの脆弱性を悪用するために使用することができます。システムが正常に攻撃者により侵害されると、彼はさらに、ネットワーク上の他のシステムに侵入したり、内部ネットワークを介して広がることができるスクリプトを実行することができます。クライアント側としては、XSS攻撃を防ぐために最も効果的な方法は、ブラウザでスクリプト言語のサポートを無効にすることです。これが不可能な場合には、コンテンツフィルタリングプロキシサーバを使用することができます。

計画段階で攻撃対象となる組織に許可を得ておく必要があります。侵入するのはシステムをきわめて詳細に理解する必要があるため、その情報自体が外部に漏れ出ないようにしなければいけません。また、侵入に成功した場合には、危険な状態であることがわかります。レポート作成まで待たずに一報するなど取り決めが必要です。

〇：再構成フェーズ

会社が元のサイトまたは新しいサイトに戻るときは、会社は再構築フェーズに入る準備ができています。会社は元のプライマリサイトで動作するまで、またはプライマリサイトを置き換えるために建設された新しいサイトに戻るまで、緊急状態には入っていません。企業が代替サイトから元のサイトに戻る必要がある場合、多くのロジスティクスの問題を考慮する必要があります。これらの問題の中には、従業員の安全を確保すること、適切なコミュニケーションと接続方法が働いていること、そして新しい環境を適切にテストすることが含まれます。

再構築フェーズという定義は問題文の中で想像して答える必要があります。それは、辞書的に正しいというよりも意味的にどのように読み取れるかという国語の能力が試されます。

×：回復フェーズ

オフサイト施設の準備（必要な場合）、ネットワークとシステムの再構築、新しい施設に移るスタッフの編成が含まれるため、正しくありません。できるだけ早く会社を稼働させるには、復旧プロセスをできるだけ体系化する必要があります。テンプレートは、計画段階で開発する必要があります。これは、回復期で各チームが使用して、必要な段階を踏んで結果を文書化するために使用できます。テンプレートはチームをタスクに任せ、進捗、障害、潜在的な回復時間についてチームリーダーに迅速に伝えます。

×：プロジェクト開始フェーズ

事業継続計画の実際の計画がどのように開始されるかということから、正しくありません。計画の実行中には発生しません。プロジェクト開始フェーズには、管理サポートの取得、計画の範囲の策定、資金と資金の確保が含まれます。

×：被害評価フェーズ

実際に業務継続手続を実施する開始時に行われるため、正しくありません。損害査定は、BCPコーディネーターとチームによって事前に定義されたアクティベーション基準に基づいて事業継続計画を実施すべきかどうかを判断するのに役立ちます。損傷評価後、基準に記載されている1つ以上の状況が発生した場合、チームは回復モードに移行します。

OSIモデルのデータリンクレイヤーまたはレイヤー2は、ヘッダーとトレーラーをパケットに追加して、適切な回線伝送のためにローカルエリアネットワークまたはワイドエリアネットワークテクノロジーのバイナリー形式のパケットを準備します。 レイヤ2は、2つの機能的なサブレイヤに分割されています。 上位サブレイヤは論理リンク制御（LLC）であり、IEEE 802.2仕様で定義されている。 これは、データリンク層のすぐ上にあるネットワーク層と通信します。 LLCの下には、MAC（Media Access Control）サブレイヤがあり、物理レイヤのプロトコル要件を持つインターフェイスを指定します。 したがって、この層の仕様は、物理層の技術に依存する。 イーサネットのIEEE MAC仕様は802.3、トークンリングは802.5、無線LANは802.11などです。 802.11または802.16などのIEEE標準への参照を参照すると、プロトコルスタックのデータリンク層のMACサブレイヤで動作するプロトコルを参照します。

×：LCLおよびMAC; IEEE 802.2および802.3

LCLは散漫なので正しくありません。 データリンク層の上位サブレイヤの正しい頭字語はLLCです。 論理リンク制御の略です。 多重化およびフロー制御メカニズムを提供することにより、LLCは、マルチポイントネットワーク内でのネットワークプロトコルの共存と、同じネットワークメディア上でのそれらのトランスポートを可能にします。

×：LCLおよびMAC; IEEE802.1および802.3

LCLは散漫なので正しくありません。 データリンク層の副層は、論理リンク制御（LLC）および媒体アクセス制御（MAC）である。 さらに、LLCはIEEE802.2仕様で定義されており、802.11では定義されていません。 IEEE802.11規格は、MAC層およびLLC層の上のプロトコル層に関係する。 LAN / MANアーキテクチャ、ネットワーク管理、LANとWAN間のインターネットワーキング、およびリンクセキュリティに対応しています。

×：ネットワークとMAC; IEEE802.1および802.3

ネットワークはデータリンク層の副層ではないため、間違っています。 データリンク層の副層は、論理リンク制御（LLC）および媒体アクセス制御（MAC）である。 LLCは、ネットワーク層（データリンク層の直上の層）とMAC副層との間に位置する。 また、LLCは、IEEE802.2規格で定義されており、IEEE802.11では定義されていない。 今説明したように、802.1規格は、LAN / MANアーキテクチャ、ネットワーク管理、LANとWAN間のインターネットワーキング、およびリンクセキュリティの分野に取り組んでいます。

〇：DDoS攻撃

可用性とは、サービスの継続性を示すCIAトライアドの性質の一つです。サービスの継続性を脅かす攻撃は、大量のリクエストを送付し、サービスダウンを行うDDoS攻撃が該当します。よって正解は、「DDoS攻撃」になります。

×：ホエーリング

ホエーリングとは、社会的に認知されている人・組織に狙いを定めるスピア・フィッシング攻撃です。

×：TOC/TOU

TOC/TOUとは、ある条件をチェックしてから、そのチェック結果を使用するまでの間にシステムが変更されることで発生するソフトウェアのバグです。多くの場合、ファイルを探してからファイルを読む間に別のファイルに差し替えてしまう攻撃です。

×：DRAM

RAM（Random Access Memory）とは、CPUや画面表示などに利用するときに使うメモリです。DRAMとは、短時間しか保存されないし、定期的リフレッシュが必要なRAMです。

今日のeコマースアーキテクチャの多くは、3層アーキテクチャのアプローチを採用しています。 3層アーキテクチャは、クライアント/サーバーアーキテクチャであり、ユーザーインターフェイス、機能プロセスロジック、およびデータストレージは、多くの場合、別々のプラットフォーム上で開発および保守される独立したコンポーネントとして実行されます。 3層アーキテクチャでは、モジュール性のため他の2つの層に影響を与えずに、いずれか1つの層を必要に応じてアップグレードまたは変更できます。 電子商取引の場合、プレゼンテーション層は、ユーザーが対話するフロントエンドWebサーバーです。 静的コンテンツとキャッシュされた動的コンテンツの両方を処理できます。 ビジネスロジックレイヤーは、要求が再フォーマットされ処理される場所です。 これは、一般に、動的コンテンツ処理および生成レベルアプリケーションサーバである。 データストレージは、機密データが保持される場所です。 これは、バックエンドデータベースであり、データと、データへのアクセスを管理し、提供するために使用されるデータベース管理システムソフトウェアの両方を保持します。 個別の層は、ミドルウェアと接続され、別々の物理サーバー上で実行される場合があります。

×：2段モデル

2階層、すなわちクライアント/サーバは、サーバがそれらのサービスを要求する1つまたは複数のクライアントにサービスを提供するアーキテクチャを記述しているため、誤りである。 今日のビジネスアプリケーションやインターネットプロトコルの多くは、クライアント/サーバーモデルを使用しています。 このアーキテクチャでは、クライアントとサーバーの2つのシステムが使用されます。 クライアントは1つの層であり、サーバーは別の層であるため、2層アーキテクチャです。 クライアントソフトウェアの各インスタンスは、1つ以上のサーバーに接続されています。 クライアントは情報要求をサーバーに送信し、サーバーは要求を処理してクライアントにデータを返します。 3層アーキテクチャは、要求がインターネットから入ってきたときに機密情報を保護するためのより良いアプローチです。 バックエンドサーバーに保持されている機密データにアクセスするために攻撃者が悪用する必要がある1つの余分な層を提供します。

×：上映されたサブネット

screened-hostアーキテクチャとは、1つのファイアウォールが1つのサーバ（基本的には1層アーキテクチャ）を保護するためのものであるためです。 外部の公開側のファイアウォールは、インターネットのように信頼できないネットワークからの要求を監視します。 唯一のファイアウォールである1つの層が侵害された場合、攻撃者はサーバー上に存在する機密データに比較的容易にアクセスできます。

×：パブリックおよびプライベートDNSゾーン

DNSサーバーをパブリックサーバーとプライベートサーバーに分離すると保護が提供されますが、これは実際のアーキテクチャではありません。 組織は分割DNS（パブリックおよびプライベートフェイシング）を実装する必要があります。つまり、DMZ内のDNSサーバーは外部の解決要求を処理し、内部DNSサーバーは内部要求のみを処理します。 これにより、内部DNSに保護層があり、インターネット接続にさらされないようにすることができます。

プライマリサイトが修復された後、少なくとも重要なコンポーネントを最初に移動します。これは、プライマリ・サイトが処理を再開することが本当に準備ができていることを保証します。これを行うことにより、環境制御、電力、および通信リンクが正常に機能していることを検証することができます。それはまた別の災害に会社を置くことを避けることができます。

バックアップは、完全、差分、増分に取ることができます。ほとんどのファイルは非常に時間とリソースを節約するために、毎日変更されず、それが継続的に変更されていないデータについてはバックアップしないバックアップ計画を策定するのが良いでしょう。バックアップソフトウェアでは、ファイルが変更または作成された場合、ファイルシステムはアーカイブビットを設定し、バックアップソフトウェアはそのファイルをバックアップするべきかを判断します。差分バックアップは、最後の完全バックアップ以降に変更されたファイルをバックアップします。

アプリケーションファイアウォールは、OSIのレイヤー７を対象とします。アプリケーションファイアウォールの主な利点は、特定のアプリケーションとプロトコルを理解できることです。パケットはレイヤー6まで復号されないため、レイヤー７ではパケット全体を見ることができます。他のファイアウォールはパケットのみを検査でき、ペイロードは検査できません。不要なアプリケーションまたはサービスが、許可されたポートでプロトコルを使用してファイアウォールをバイパスしようとしているかどうかを検出したり、プロトコルが悪意のある方法で使用されているかどうかを検出したりできます。

アクセス制御リスト（ACL）オブジェクトへのアクセス制御マトリックスからマップ値。機能は、アクセス制御行列の行に対応し、一方、ACLは、行列の列に対応しています。ACLは、複数のオペレーティングシステム、アプリケーション、およびルータの構成で使用されています。彼らは、特定のオブジェクトへのアクセスを許可されている科目のリストであり、それらは付与される許可のレベルを定義します。認可は、個人またはグループに指定することができます。だから、ACLはオブジェクトにバインドし、被験者がそれにアクセスできるかを示し、および機能テーブルは、対象にバインドされ、被写体がアクセスできるオブジェクトかを示すされています。

×：機能テーブル

能力がトークン、チケット、または鍵の形をとることができるので、間違っていると、アクセス制御行列内の行です。被験者が機能コンポーネントを提示すると、オペレーティングシステム（またはアプリケーション）が機能コンポーネントで概説したアクセス権と操作を確認し、被験者がちょうどそれらの機能を実行することができます。機能コンポーネントは、一意のオブジェクト識別子と、対象がそのオブジェクトに対するアクセス権を含むデータ構造です。オブジェクトは、ファイル、配列、メモリ・セグメント、またはポートであってもよいです。機能システムの各ユーザ、プロセス、およびアプリケーションが実行することができる機能のリストを有します。

×：制約インタフェース

制約インタフェースは、それらが特定の機能や情報を要求したり、特定のシステムリソースへのアクセスを持っていないようにすることによって、ユーザーのアクセス能力を制限するため、Bが間違っています。制限されたインターフェイスの三つの主要なタイプが存在する：メニューや貝殻、データベースビュー、および物理的制約のインターフェイスを。メニューおよびシェル制限が使用される場合、ユーザが指定されているオプションは、彼らが実行できるコマンドです。管理者は、ユーザーが一つだけのプログラムを実行できるようにしたい場合、そのプログラムは、メニューで使用可能な唯一の選択であろう。制限されたシェルが使用された場合、シェルは、管理者が、ユーザーが実行できるようにしたいだけのコマンドが含まれます。

×：ロールベース値

非裁量アクセス制御と呼ばれる役割ベースのアクセス制御（RBAC）モデルは、サブジェクトとオブジェクトがどのように相互作用するかを決定するためのコントロールの集中管理セットを使用しているため、Cが間違っています。このタイプのモデルは、ユーザーが企業内で保持している役割に基づいてリソースへのアクセスをすることができます。やむを得ず課される役割にユーザーを割り当てるので、それは非裁量と呼ばれています。これは、あなたが唯一の会社で契約者の役割に割り当てられている場合、あなたはそれについてできることは何もないことを意味します。あなたが割り当てられますどのような役割を決定する裁量権を持っていません。