通常、アプリケーションのテストには、通常のユーザー動作をエミュレートする必要があります。 ただし、テスト環境では、ユーザーアクティビティの一般的な負荷は利用できません。 したがって、共通のユーザトランザクションのスクリプトを構築して、さまざまな形式のテストを容易にすることができます。

×：許可されてはならない偽のユーザートランザクション

人為的なトランザクションが偽でもユーザー主導でもないため、不正です。 不適切なユーザーの振舞いは、人為的なトランザクションによって体系的にテストできますが、その振る舞いはスクリプトによって生成されます。

×：レコードを改ざんするためのユーザーの行動

ライブ攻撃は合成ではないため、間違っています。 整合性制御をバイパスする試みは、スクリプト化された一連のテストの一部である可能性がありますが、実際のユーザーには関係しません。

×：ポリシー違反に使用された攻撃者によるスクリプト処理

前の説明で述べた理由により、攻撃者によるスクリプト化されたプロセスが合成トランザクションではないため、間違っています。 スクリプト化された攻撃トラフィックをエミュレートすることは、人為的なトランザクションの目標になる可能性がありますが、実際のライブ攻撃はラボテストのコンテキスト外です。

デジタルミレニアム著作権法（Digital Millennium Copyright Act：DMCA）は、著作権物質を保護するために設けられたアクセス制御手段を迂回する技術、デバイス、またはサービスの生産と普及を犯罪とする米国の著作権法です。したがって、Barnes＆Nobleが電子書籍を保護する独自の方法を「ロック解除」する方法を見つけたら、この行為の下で請求することができます。実際の著作権で保護された書籍を誰かと共有しなくても、この特定の法律は破られており、有罪判決が下されます。米国では、元の著作物の作成者に著作物の使用および配布権を独占的に付与する著作権保護法が制定されています。著作権で保護された作品がデジタル世界にますます流通しているため、業界では、認可された個人だけがアクセスできるように、これらの作品のアクセス制御を実装する方法が必要でした。これらの著作物を保護するために、さまざまなデジタル著作権管理（DRM）技術が開発され、展開されました。これらの著作物は、迅速にハッキングされ、侵害され、著作権で保護されたコンテンツへの不正アクセスを可能にしました。 DMCAは、これらのDRM技術の侵害を違法にするために作成されたものです。

×：著作権法

アクセス制御を迂回することとは関係がないため、間違っています。著作権は、オリジナルの著作物を作成した人に、著作物の使用および配布の権利を、通常は限定された期間にわたって独占的に与えて、著作物の著作物に対する補償を受けることができるようにするものです。著作権は、実体的かつ個別性のあるアイデアや情報の表現可能な形式に適用されます。ユニークな要件を持つ国の著作権法と国際著作権協定がありますが、すべてのクリエイティブ作品を保護するという全体的な目標は同じです。著作権は通常、民法の法的制度によって強制されますが、状況によっては、この法律を破ることが犯罪行為とみなされます。したがって、著作権法はコンテンツ（書籍、歌、芸術）を保護し、DMCAは許可されていない個人がこのコンテンツにアクセスできないようにするためのアクセス制御技術を保護します。

×：連邦プライバシー法

そう呼ばれる法律がないため、間違っています。 1974年のプライバシー法は、連邦政府機関によって記録されたシステムで維持されている個人に関する個人情報の収集、保守、使用、および普及を管理する公正情報慣習法を制定する米国連邦法です。したがって、このプライバシー法は、著作権コンテンツやアクセス制御技術とは関係ありません。この法律の焦点は、政府を健全に保ち、ビッグブラザー型の活動に使用することができる市民にあまりにも多くのデータを集めることを許可しないことです。この法律は、政府機関がどのような種類のデータを収集できるか、どのくらいの期間保管できるか、収集したデータをどのように保護しなければならないか、そしてこの種のデータの共有および破壊に関する政府機関の責任について概説しています。

×：SOPA（Stop Online Piracy Act）

オンライン著作権侵害ルールを執行するための法執行機関の能力を拡大し、偽造品のオンライン取引を制限するために導入されたが、決して通過しなかった米国法案であるため、正しくありません。この提案された法律の目的は、海賊版コンテンツの取引を主催または促進するウェブサイトへのアクセスを制限することでした。 SOPAはDMCAのようなアクセス制御技術を扱っていませんが、所有していないコンテンツを共有するウェブサイトの所有者を追跡する法的構造を提供しています。米国のコンテンツ開発者は著作権法に頼ることができますが、これは米国内でのみ適用されます。 SOPAは国際的に普及しており、検索エンジンやホスティング企業は、所有していないコンテンツを提供していたウェブサイトへのアクセスを遮断する必要があります。 SOPAには多くのプッシュバックがありました。この記事の執筆時点では、それはパスされていません。

今日のeコマースアーキテクチャの多くは、3層アーキテクチャのアプローチを採用しています。 3層アーキテクチャは、クライアント/サーバーアーキテクチャであり、ユーザーインターフェイス、機能プロセスロジック、およびデータストレージは、多くの場合、別々のプラットフォーム上で開発および保守される独立したコンポーネントとして実行されます。 3層アーキテクチャでは、モジュール性のため他の2つの層に影響を与えずに、いずれか1つの層を必要に応じてアップグレードまたは変更できます。 電子商取引の場合、プレゼンテーション層は、ユーザーが対話するフロントエンドWebサーバーです。 静的コンテンツとキャッシュされた動的コンテンツの両方を処理できます。 ビジネスロジックレイヤーは、要求が再フォーマットされ処理される場所です。 これは、一般に、動的コンテンツ処理および生成レベルアプリケーションサーバである。 データストレージは、機密データが保持される場所です。 これは、バックエンドデータベースであり、データと、データへのアクセスを管理し、提供するために使用されるデータベース管理システムソフトウェアの両方を保持します。 個別の層は、ミドルウェアと接続され、別々の物理サーバー上で実行される場合があります。

×：2段モデル

2階層、すなわちクライアント/サーバは、サーバがそれらのサービスを要求する1つまたは複数のクライアントにサービスを提供するアーキテクチャを記述しているため、誤りである。 今日のビジネスアプリケーションやインターネットプロトコルの多くは、クライアント/サーバーモデルを使用しています。 このアーキテクチャでは、クライアントとサーバーの2つのシステムが使用されます。 クライアントは1つの層であり、サーバーは別の層であるため、2層アーキテクチャです。 クライアントソフトウェアの各インスタンスは、1つ以上のサーバーに接続されています。 クライアントは情報要求をサーバーに送信し、サーバーは要求を処理してクライアントにデータを返します。 3層アーキテクチャは、要求がインターネットから入ってきたときに機密情報を保護するためのより良いアプローチです。 バックエンドサーバーに保持されている機密データにアクセスするために攻撃者が悪用する必要がある1つの余分な層を提供します。

×：上映されたサブネット

screened-hostアーキテクチャとは、1つのファイアウォールが1つのサーバ（基本的には1層アーキテクチャ）を保護するためのものであるためです。 外部の公開側のファイアウォールは、インターネットのように信頼できないネットワークからの要求を監視します。 唯一のファイアウォールである1つの層が侵害された場合、攻撃者はサーバー上に存在する機密データに比較的容易にアクセスできます。

×：パブリックおよびプライベートDNSゾーン

DNSサーバーをパブリックサーバーとプライベートサーバーに分離すると保護が提供されますが、これは実際のアーキテクチャではありません。 組織は分割DNS（パブリックおよびプライベートフェイシング）を実装する必要があります。つまり、DMZ内のDNSサーバーは外部の解決要求を処理し、内部DNSサーバーは内部要求のみを処理します。 これにより、内部DNSに保護層があり、インターネット接続にさらされないようにすることができます。

認証局（CA）は、デジタル証明書を維持し、問題信頼できる機関（またはサーバ）です。人は、証明書を要求すると、登録局（RA）は、その個人の身元を確認し、CAにオフに証明書要求を渡します CAは、デジタル要求者に送信し、それに署名し、証明書を作成し、その寿命にわたって証明書を保持しています。受信機は、証明書がその特定のCAから来ていることを確認できるように、CAは、デジタルそれに署名します CAはデジタルで、秘密鍵で証明書に署名し、受信機はCAの公開鍵を使用してこの署名を検証します。

×：RAは、証明書を作成し、CAはそれに署名します。

RAは、証明書を作成していないため正しくありません。CAは、それを作成し、それに署名します。RAは、認証登録業務を行います。RAを確立し、証明書を要求する個人のアイデンティティを確認し、エンドユーザーに代わってCAに認証プロセスを開始し、証明書のライフサイクル管理機能を実行することができます。RAは、証明書を発行することはできませんが、ユーザとCAの間のブローカーとして機能することができます ユーザーが新しい証明書を必要とするとき、彼らはRAに要求を行い、RAはCAに行くために、要求を許可する前に、すべての必要な識別情報を検証します

×：RAは、証明書に署名します。

RAは、証明書に署名していないため正しくありません。CAは、証明書に署名します。RAは、利用者の識別情報を検証してから、CAに証明書の要求を送信します

×：ユーザーは、証明書に署名します。

ユーザーが証明書に署名していないため、正しくありません。PKI環境では、ユーザの証明書が作成され、CAによって署名されました CAはその公開鍵を保持するユーザー証明書を生成し、維持信頼できる第三者機関です。証明書は、デジタル証明書がその特定のCAによって作成されたことを他の人に自信を提供するために署名されています

Telnetは、管理者の資格情報を含むすべてのデータを平文で送信するため、リモート管理は許可しないでください。 この種の通信は、SSHのように、より安全なプロトコルを経由する必要があります。

×：少数の管理者がリモート機能を実行できるようにする必要があります。

少数の管理者だけがリモート機能を実行できるはずであるということが真実であるため、間違っています。 これにより、ネットワークにかかるリスクを最小限に抑えることができます。

×：重要なシステムは、リモートではなくローカルで管理する必要があります。

クリティカルなシステムをリモートではなくローカルで管理する必要があることは事実であるため、間違っています。 パブリックネットワークを介して行うよりも、内部のプライベートネットワーク上で管理コマンドを送信する方が安全です。

×：強力な認証が必要です。

どんな管理活動のためにも強力な認証が必要であるということが真実であるため、間違っています。 パスワードなどの強力な認証よりも弱いものは、攻撃者が侵入して管理アクセス権を得るのは簡単です。

身元盗難とは、運転免許証番号、銀行口座番号、身分証明書、社会保障番号などの重要な個人情報を取得し、その情報を使用して他人を偽装する状況を指します。通常、個人情報の盗難者は、犠牲者の名前でクレジット、商品、サービスを取得するために個人情報を使用します。これは、被害者の信用格付けを破棄し、偽の犯罪記録を作成し、間違った個人に逮捕状を発行するなどの結果をもたらす可能性があります。個人情報の盗難は、真の名前とアカウントの引き継ぎという2つの方法で分類されます。本当の名前の個人情報の盗難は、泥棒が新しいアカウントを開くために個人情報を使用することを意味します。泥棒は、新しいクレジットカード口座を開設したり、サムのような携帯電話サービスを確立したり、新しい小切手口座を開けて空白の小切手を入手したりするかもしれない。

×：フィッシング詐欺

個人情報、信用状、クレジットカード番号、財務データを取得する目的でソーシャルエンジニアリング攻撃の一種であるため、正しくありません。攻撃者はさまざまな方法で機密データを魅了します。フィッシング詐欺の目的は、犠牲者が自分の個人情報を引き渡すことにありますが、個人情報の盗難の目的は、その個人情報を個人的または財政的利益のために使用することです。攻撃者は、個人情報の盗難を行う手段としてフィッシング攻撃を利用することができます。

×：ファーミング

犠牲者が不正なウェブサイトを介して攻撃者に個人情報を送信するように欺くために行われる技術的な攻撃であるため、画像Cは正しくありません。被害者はwww.nicebank.comなどのWebアドレスをブラウザに入力します。被害者のシステムは被害者を攻撃者の制御下にあるWebサイトに誘導する、被害を受けたDNSサーバーに要求を送信します。サイトは要求されたウェブサイトのように見えるので、ユーザーは自分の個人情報を入力します。個人情報は、攻撃者が身元情報の盗難に使うことができます。

×：アカウント引継ぎ

アカウント引継ぎのID盗難は、新しいアカウントを開設するのではなく、個人情報を使用してその人の既存のアカウントにアクセスすることを意味するため、正しくありません。通常、泥棒は、アカウントの郵送先住所を変更し、盗難された人物が問題を認識する前に、膨大な請求書を提出します。インターネットは、個人的なやりとりなしに取引を行うことができるため、窃盗した情報を身分証明書窃盗犯が簡単に使用できるようにしました。

回線交換は、ネットワークを介した専用通信チャネルです。この回路は全帯域幅を保証します。回路は、ノードがケーブルで物理的に接続されているかのように機能します。

クラウドコンピューティングは、ネットワークやサーバ技術が集約され、仮想化され、その後、個々の顧客に特定のコンピューティング環境を提供するために分割することができる方法について説明し、一般的な用語です。この集中型の集約および集中制御は、オンデマンドのセルフサービス、複数のデバイス間での広範なアクセス、リソースプーリング、迅速な弾力性、およびサービスの計量機能をエンドユーザーに提供します。クラウドコンピューティング製品の異なる種類があります。クラウドプロバイダは全体的な実行環境として、そのようなオペレーティングシステム、データベース、及びウェブサーバのようなコンピューティングプラットフォームを提供したときにサービス（PaaSの）などのプラットフォームが整備されています。IaaS（サービス）などのインフラストラクチャである場合には、「生のITネットワーク、「PaaSのは、ITネットワークの上で動作するソフトウェア環境です。

×：クラウドプロバイダは、オペレーティングシステム、データベース、及びウェブサーバを含むコンピューティング・プラットフォームを提供したときにサービスとしてのインフラストラクチャが提供されます。

クラウド・プロバイダーは、オンデマンド配信方法で従来のデータセンターのインフラ環境を提供するときIaaS（サービス）などのインフラが整備されているので、間違っています。企業は、この提供されるインフラストラクチャ上に、独自のオペレーティングシステム、アプリケーション、およびソフトウェアを展開し、それらを維持する責任があります。IaaSクラウドソリューションは、多くの場合、ストレージ、ファイアウォール、VLAN（仮想LAN）、ロードバランシング、および他の伝統的なネットワーク機能などの追加のリソースが含まれています。

×：クラウドプロバイダは、従来のデータセンターと同様の基盤環境を提供したときにソフトウェアサービスが提供される。

サービスとしてのソフトウェア（SaaS型）は、クラウド・プロバイダーは、ユーザーが特定のアプリケーションソフト（CRM、電子メール、ゲーム）へのアクセスを提供したときに所定の位置にあるので、間違っています。プロバイダは、SaaSの流通と利用のために特別に作成したアプリケーションのコピーの指定された番号に顧客のネットワーク・ベースのアクセスを提供します。オファリングのこのタイプでは、クラウド・プロバイダーは、アプリケーションが内で実行インフラやプラットフォームを管理します。アプリケーションへのアクセスは、一般的に、オンデマンドおよび購読料モデルで販売されています。クラウド・プロバイダーは、インストールしたアプリケーションを維持し、エンドユーザーは、クラウドクライアントからリモートでソフトウェアにアクセスします。クラウドのエンドユーザーは、アプリケーションが実行されるクラウドインフラストラクチャとプラットフォームを管理しません。

×：クラウドプロバイダは、コンピューティング・プラットフォームの形態のソフトウェア環境を提供したときにサービスとしてのソフトウェアが提供されます。

サービスとしてのソフトウェア（SaaS型）は、クラウド・プロバイダーは、前述したように、ユーザーが特定のアプリケーションソフト（CRM、電子メール、ゲーム）へのアクセスを提供したときに所定の位置にあるので、間違っています。クラウドプロバイダを介して提供されるソフトウェアアプリケーションは、一般的に彼らは高い要求と実行時間を満たすためにスケーラブルであることを可能にするために仮想化されています。問題の会社は一般的に使用されるアプリケーションのためのビジネス要件を持っている場合は、SaaSは最善の解決策かもしれません。この種の状況では、各従業員は、必要なアプリケーションのインスタンスと対話するための資格情報を提供されることになる、とクラウド・プロバイダーは、「舞台裏」維持及び運用の責任のすべてを行うことになります。

直接アクセス記憶装置（DASD）は、磁気ディスク記憶装置の一般的な用語であり、これは従来、メインフレームおよびミニコンピュータ（ミッドレンジコンピュータ）環境で使用されてきた。 独立ディスクの冗長アレイ（RAID）は、DASDの一種です。 DASDとシーケンシャルアクセス記憶装置（SASD）との間の重要な違いは、DASD上の任意の点に速やかに到達できる一方で、現在位置とSASDの所望の位置との間のあらゆる点が所望の位置に到達するために横断されなければならない。 テープドライブはSASDです。 テープストレージは、非常に大量のデータに対して最も低コストのオプションですが、ディスクストレージに比べて非常に遅いです。

×：RAITは直接アクセス記憶装置の例であり、RAIDは順次アクセス記憶装置の例である。

RAITは独立したテープの冗長アレイを表しているため、間違っています。 RAITはSASDであるテープドライブを使用します。 RAITでは、データは、冗長パリティドライブの有無にかかわらず、複数のテープドライブに並列にストライプ化されます。 これにより、テープ・ストレージに特有の低コストで大容量を提供し、通常よりも高いテープ・データ転送速度とオプションのデータ整合性を実現します。 RAIDはDASDの一種です。 RAIDは、複数の物理ディスクを結合し、それらを論理アレイに集約します。 データが保存されると、その情報はすべてのドライブに書き込まれます。 RAIDは、アプリケーションや他のデバイスに対して単一のドライブとして表示されます。

×：MAIDは直接アクセス記憶装置であり、RAIDは順次アクセス記憶装置の一例である。

MAID、大量の非アクティブディスクアレイ、およびRAIDの両方がDASDの例であるため、間違っています。 これらの磁気ディスク記憶装置上の任意の点は、現在の位置と所望の位置との間のあらゆる点を横切らずに到達することができる。 これにより、DASDはSASDよりも高速になります。

×：シーケンシャルアクセスストレージの例として、テープドライブはダイレクトアクセスストレージデバイスよりも高速です。

SASDがDASDよりも遅いために間違っています。 テープドライブはSASD技術の一例です。

フリーウェアとは、無料のソフトウェアであり、無料で使用できます。シェアウェアとは、最初は無料で使用することができる完全に機能するプロプライエタリソフトウェアです。多くの場合、ソフトウェアをテストするためのトライアルでは、30日後に使用を継続するには料金を支払う必要があります。

仮想LAN（VLAN）をシステムの標準的な物理的な場所にもかかわらず、リソース要件、セキュリティ、またはビジネスニーズに基づいて、コンピュータの論理的な分離とグループ化を可能にします。この技術によって、アンジェラは論理的にすべて配置することができます。同じVLANネットワーク上に設定された同じ部署内のコンピュータは、すべてのユーザーが同じブロードキャストメッセージを受信することができ、物理的な場所に関係なく、同じ種類のリソースにアクセスできるようにします。これは、それらが同一のネットワーク上に配置されていない場合でも、コンピュータが一緒にグループ化することができることを意味します。

×：オープン・ネットワーク・アーキテクチャ  

オープンなネットワークアーキテクチャは、ネットワークを構成することができる技術を記述しているので間違っています。それは、それが独自ではない、ないベンダーが所有していないものであり、それは簡単に様々な技術およびそれらの技術のベンダー実装を統合することができます。OSIモデルは、オープン・ネットワーク・アーキテクチャ内で動作する製品を開発するためのフレームワークを提供します。ベンダーは青写真としてOSIモデルを使用し、他のベンダーとは異なる機能を生成するために、独自のプロトコルとインタフェースを開発します。これらのベンダーは、その出発点としてOSIモデルを使用しているためしかし、他のベンダーの製品の統合は容易な作業である、と相互運用性の問題は、ベンダーが最初から自分のネットワークのフレームワークを開発した場合よりも負担が少ないです。

×：イントラネット

イントラネットはそれが内部ネットワークのためのインターネットとWebベースの技術を使用したいときに会社が使用するプライベートネットワークであるため、正しくありません。企業は、ウェブブラウザを用いてWebサーバとクライアントマシンを有し、これは、TCP / IPプロトコル・スイートを使用します。ウェブページは、HTMLやXMLで記述されている、およびHTTPを介してアクセスされています。

×：VAN  

付加価値通信網（VAN）は、サービスビューローによって開発され、維持された電子データ交換（EDI）インフラストラクチャであるため、正しくありません。ここではVANがどのように動作するかの例です：そのような標的としての小売店では、従業員が個々の項目のバーコードをスキャンさせることによって、その目録を追跡します。アイテムなど庭などの在庫が低いホースが-なると、従業員はより多くの庭のホースのための要求を送信します。要求は、ターゲットが使用することを支払うVANでのメールボックスに移行し、要求は、その後庭のホースサプライヤーに押し出されます。ターゲットはVANを使用して、取引先の数千人を扱うので発注プロセスを簡素化します。手動で適切なサプライヤを追跡し、発注書を提出する必要はありません。

スケルトンの乗組員は、災害後の最も重要な機能を実行する従業員で構成されています。これらは、回復プロセスの間に、第1の仕事に置かれています。スケルトンの乗組員は、その人は、引退会社を残すか、死ぬべき幹部の役割を埋めるために取られる手順に対処する執行承継計画の概念とは関係ありません。スケルトンの乗組員の目的は、幹部後継者育成の目的は指導的役割を維持することによって、企業を保護することであるが、重要な操作を維持することです。

×：所定の手順では、シニア・エグゼクティブの葉場合は会社を保護します。

幹部後継者育成が幹部位置の誰かが、引退会社を辞め、または殺されている場合、会社を守る所定の手順が含まれているため、正しくありません。上級役員の損失は右個々に迅速に埋めなければならないリーダーシップの真空を作成、同社の生地に穴を引き裂くことができます。ライン・オブ・連続計画は、中のステップと、この役割の責任を負うことになるユーザーを定義しています。

×：二つ以上のシニアスタッフが同時に特定のリスクにさらされることはできません。

同時に、特定のリスクにさらされていない2以上の上級スタッフの概念は、いくつかのより大きな組織が幹部後継者育成の一環として確立する方針であるため、正しくありません。アイデアは、災害がストライキした場合、シニア人材と組織を保護することです。たとえば、組織は、最高経営責任者（CEO）兼社長は、同一平面上に移動することができないことを決定することができます。飛行機がダウンしたとの両方の個体が死亡した場合、会社が危険である可能性があります。

×：これは、副役割の割り当てについて説明します。

幹部後継者育成が副役割の割り当てを含めることができますので、間違っています。組織は、CIO、CFO、または最高経営責任者（CEO）が使用不能になった場合に必要なタスクを引き継ぐ準備ができて副CIO、副CFO、及び副最高経営責任者（CEO）を有することができます。エグゼクティブ承継計画は、これらの議員は、CIO、CFO、または最高経営責任者（CEO）の役割にステップ持っているという決定です。

相互扶助とも呼ば互恵協定は、A社がB社は、災害に見舞われた場合、B社がその施設を利用することを可能にすることに同意するものとし、またその逆ということを意味します。これは、他のオフサイトの選択肢よりも移動するための安価な方法ですが、それは常に最良の選択ではありません。ほとんどの環境では、施設の空間、資源、および計算能力の使用に関する限界に達しています。別の会社が両方に有害になるかもしれないで来て、同じお店の外に動作するようにするには 企業。 同じ環境で作業両社のストレスは緊張の驚異的なレベルを引き起こす可能性があります。それがうまくいかなかった場合は、それが唯一の短期的な解決策を提供するであろう。構成管理は悪夢かもしれない、と操作の混合は、多くのセキュリティ上の問題が生じる可能性があります。互恵協定は、新聞印刷のように、特定の企業にうまく機能することが知られています。これらの企業は、任意のサブスクリプションサービスを介して利用できません非常に具体的な技術と設備を必要とします。他のほとんどの組織では、互恵協定は、最高の状態で、一般的に災害保護のための二次的なオプションです。

×：完全に設定され、数時間内で動作する準備ができて、しかし、オフサイトの選択肢の中で最も高価です。

ホットサイトは-ない互恵協定され、完全に構成され、数時間内で動作する準備ができているので間違っています。ホットサイトはまた、最も高価なオフサイトのオプションです。ホットサイトからのみ欠落しているリソースは、通常、バックアップ・サイトから取得されたデータ、およびデータを処理する人々です。機器やシステムソフトウェアがメインのサイトから復元されると任意の負の相互運用性の問題を引き起こしてはならないデータとの互換性が必要です。ホットサイトは、サイトはできるだけ早くそれのために利用できるようになります確保する必要がある企業に適しています。

×：安価なオプションですが、それは、災害後に起動して実行得るために最も時間と労力がかかります。

それはコールドサイト、実際に立ち上がって右の災害後に機能するために最も時間と労力を要し、安価なオフサイトのオプションを記述しているので間違っています。コールドサイトとベンダーは、基本的な環境、電気配線、空調、給排水、および床が、機器や追加サービスのどれを提供します。これは、サイトは仕事のために活性化し、準備をするために数週間かかる場合があります。

×：プロプライエタリなソフトウェアに依存企業のための良い代替ですが、毎年恒例のテストは通常​​使用できません。

それはホットサイト、プロプライエタリなソフトウェアに依存企業のための良い代替を記述しているので間違っています。ホットサイトはいくつかの機器ではなく、実際のコンピュータが装備されています。それは彼らが災害のヒット後にサイトに彼らと自分のハードウェアとソフトウェアをもたらすので、独自の珍しいハードウェアとソフトウェアに依存する企業にとって互恵契約またはホットサイトよりも良い選択です。ホットサイトを使用することの欠点は、ベンダーの契約は通常、会社が時間内の動作状態に戻ることができるようになります毎年恒例のテストを、含まれていないということです。

能力テーブルは、特定の対象が特定の対象に関する所有するアクセス権を特定する。 機能リスト（機能テーブルとも呼ばれる）は、対象が機能テーブルにバインドされているのに対し、オブジェクトがACLにバインドされているため、アクセス制御リスト（ACL）とは異なります。 ケイパビリティは、トークン、チケット、またはキーの形式で指定できます。 対象が能力コンポーネントを提示するとき、オペレーティングシステム（またはアプリケーション）は、能力コンポーネントに概説されたアクセス権および操作を見直し、それらの機能だけを対象が実行できるようにする。 ケイパビリティ・コンポーネントは、一意のオブジェクト識別子と、そのオブジェクトに対するサブジェクトのアクセス権を含むデータ構造です。 オブジェクトは、ファイル、配列、メモリセグメント、またはポートです。

×：オブジェクト

オブジェクトが機能コンポーネントではなくアクセス制御リスト（ACL）にバインドされているため、正しくありません。 ACLは、いくつかのオペレーティングシステム、アプリケーション、ルータ構成で使用されます。 これらは、特定のオブジェクトにアクセスする権限を与えられたサブジェクトのリストであり、どのレベルの権限が与えられるかを定義します。 認可は、個人またはグループに指定することができます。 ACLは、アクセス制御マトリクスの値をオブジェクトにマップします。 能力がアクセス制御マトリクスの行に対応するのに対し、ACLはマトリクスの列に対応する。

×：プロダクト

製品は、オブジェクトまたは受けることができますので、間違っています。ユーザが（例えば、プログラムのような）製品にアクセスしようとした場合、ユーザは、被写体であり、生成物が目的です。製品がデータベースにアクセスしようとすると、生成物が対象であり、データベースは、オブジェクトです。製品は、例えば能力のリストで対象となり得るが、最良の答えは、能力リストは、被験者がアクセスし、それらのオブジェクト上で実行できる操作可能なオブジェクトかを示すAです。

×：アプリケーション

ユーザーは、アプリケーションにアクセスしようとするユーザーが対象であり、アプリケーションがオブジェクトである場合、正しくありません。アプリケーションがデータベースにアクセスしようとすると、アプリケーションが対象であり、データベースは、オブジェクトです。アプリケーションは、例えば、能力のリストで対象となり得るが、最良の答えは、能力リストは、被験者がアクセスし、それらのオブジェクト上で実行できる操作可能なオブジェクトかを示すAです。

同期トークンデバイスは、認証処理のコア部分として時間またはカウンタを使用して認証サービスと同期します。同期が時間基づいている場合、トークンデバイスおよび認証サービスは、その内部クロック内で同じ時間を保持しなければなりません。トークンデバイスと秘密鍵の時間値は、ユーザに表示されるワンタイムパスワードを生成するために使用されます。次に、ユーザは認証サービスを実行しているサーバーに渡し、コンピュータにこの値とユーザIDを入力します。認証サービスはこの値を復号化し、期待値と比較します。両者が一致した場合、ユーザは認証され、コンピュータ及びリソースの使用を許可されています。

×：カウンター同期トークン

トークンデバイスと認証サービス使用カウンタ同期場合、それはグラフィックに示すように、時間に基づいていないため、正しくありません。カウンタ同期トークンデバイスを使用する場合、ユーザは、トークンデバイス上のボタンを押すことにより、ワンタイムパスワードの作成を開始する必要があります。これは、次の認証値に進めるためのトークンデバイスと認証サービスを引き起こします。この値は、ベース秘密はハッシュされ、ユーザに表示されます。ユーザーが認証されるユーザーIDと一緒に、この結果の値を入力します。タイムまたはカウンタベースのいずれかの同期では、トークンデバイスおよび認証サービスは、暗号化と復号化に使用したのと同じ秘密基地の鍵を共有する必要があります。

×：非同期トークン

非同期トークン生成方法を用いて、トークンデバイスがユーザを認証するためのチャレンジ/レスポンス方式を採用しているため、間違っています。この技術は、同期を使用する代わりに、認証プロセスにおける個別のステップを使用していません。この状況では、認証サーバがユーザにチャレンジを送信し、ランダムな値とも呼ばれる ノンス 。ユーザーはそれを暗号化し、ユーザーはワンタイムパスワードとして使用する値を返すトークンデバイス、にこのランダムな値を入力します。ユーザは、認証サーバに、ユーザ名と一緒に、この値を送信します。認証サーバは、値を復号することができ、それは以前の送信と同じチャレンジ値である場合、ユーザは認証されます。

×：必須トークン

必須トークンのようなものが存在しないため、間違っています。これは、不正解の答えです。

タイプ1認証とはあなたが知っていることを認証情報として扱います。パスワード、パスフレーズ、PINなどによって達成され知識要素とも呼ばれます。

マトリックスはネットワークトポロジではありません。リング、メッシュ、スターはネットワークトポロジーです。

スコーピングは、標準のどの部分を組織に展開するかを決定します。要望または業界に適用される標準を選択し、組織範囲内にあるものと範囲外にあるものを決定します。

チェックポイントは、トランザクション中にシステム障害または問題がある場合、データを回復するために使用されます。定期的に、アプリケーションの状態及びユーザの情報を保存するために使用されます。アプリケーションはグリッチに耐えるならば、それは任意のデータを失うことなく、自分の作業環境に戻ってユーザーをもたらすために必要なツールを持っているように、それが使用されます。それはあなたを尋ねられたとき、あなたが作業していたファイルの回復バージョンを確認したい場合は、ワードプロセッサでこれを体験することができます。ワードプロセッサは、あなたがそれに働いているように、ドキュメントを保存し、システムがトラブルに実行された場合にそれを戻すことができるしています。

×：コミット

コミット操作がトランザクションを完了し、ちょうどユーザによって行われたすべての変更を実行するため、間違っています。その名が示すように、commitコマンドが実行されると、変更がコミットされ、データベースに反映されています。これらの変化は、データやスキーマ情報にすることができます。これらの変更がコミットされると、彼らは他のすべてのアプリケーションとユーザーにご利用いただけます。ユーザーが変更をコミットしようとし、それが正しく完了できない場合は、ロールバックが行われます。これは、部分的な変更が行われていないと、データが破損していないことを保証します。

×：2フェーズ・コミット

2フェーズ・メカニズムは、データベース内に保持されたデータの整合性を確保するために、データベースで使用されるコントロールであるコミットので、正しくありません。データベースは、一般的にユーザを意味し、データベースが同時に相互作用する、トランザクションの処理を行います。データベースは、各データベースが正常に変更されたことを確認する必要があり、または何も変更はまったく行われません。データベースの変更がユーザーによって送信されると、異なるデータベースは、最初は一時的にこれらの変更を保存します。トランザクションモニタは、各データベースに「プリコミット」コマンドを送信します。すべての権利のデータベースが確認応答で応答した場合、モニターは、各データベースに「コミット」コマンドを送信します。これは、必要なすべての情報が正しい時にすべての適切な場所に格納されていることを保証します。

×：データディクショナリ

データ・ディクショナリは、データ要素の定義、スキーマ・オブジェクト、およびデータベースの参照キーの中央集合体であるため、正しくありません。スキーマ・オブジェクトは、テーブル、ビュー、インデックス、プロシージャ、関数、およびトリガーを含めることができます。データ・ディクショナリは、また、列、完全性情報、ユーザーの名前、ユーザーのための権限と役割、および監査情報のデフォルト値を含めることができます。これは、中央データベース内に（メタデータと呼ばれる）は、データについてのデータを制御することによって、データベースの部分を管理するためのツールです。これは、データ要素及びデータベースのグループ間の相互参照を提供します。

無許可のエンティティと共有するデータの抽出は、機密性の問題です。機密性は、データ処理の各分岐点で必要なレベルの機密保護が実施され、不正な開示を防止することを保証します。このレベルの機密性は、ネットワーク内のシステムおよびデバイスにデータが送信されている間、および送信先に到達した時点で優先されます。一方、完全性は、データが無許可の方法で変更または操作されていないことを示す原則です。

×：データに対する不正な操作または変更

間違いです。なぜなら、完全性は、許可されていない操作またはデータの変更に関連するからである。無断改変が防止されると、完全性が維持されます。ハードウェア、ソフトウェア、および通信の仕組みは、データを正しく維持および処理し、予期せぬ変更なしに意図した宛先にデータを移動するために連携して動作する必要があります。システムとネットワークは、外部の干渉や汚染から保護する必要があります。

×：許可なくデータを変更する

権限のないデータの変更が整合性に関連するため、間違いです。整合性とは、データを保護することであり、ユーザーや権限を持たない他のシステムによって変更することはできません。

×：意図的または偶発的なデータの置換

意図的または偶発的なデータの置換が整合性に関連するため、正しくありません。データが不正なエンティティによって改ざんされないという保証とともに、情報およびシステムの正確性および信頼性の保証が提供される場合、完全性が維持されます。完全性を強制する環境では、例えば、ウイルス、ロジックボム、バックドアをデータを破損または置換する可能性のあるシステムに挿入するなどの攻撃を防ぎます。ユーザーは通常、間違ってシステムやそのデータの整合性に影響を与えます（内部ユーザーは悪意のある行為も行う可能性があります）。たとえば、データ処理アプリケーションに誤った値を挿入して、300ドルではなく3,000ドルを顧客に請求することがあります。

健康アプリの開発者は、身体情報の保持者もしくは計画をするのではなく、プログラマーとしての責務を負います。身体情報の管理の在り方を中心とするHITECHの対象とならない場合があります。

平均修復時間（MTTR）は、デバイスを修理して故障後の生産に戻すのに要する平均時間です。冗長アレイを例にすると、MTTRは実際の障害に気づいた後、障害のあるドライブを交換し、冗長アレイが新しいドライブの情報の書き換えを完了した時刻までの時間です。デスクトップPCの非冗長ハードドライブの場合、MTTRはドライブが停止してから、交換されたハードドライブがオペレーティングシステム、ソフトウェア、およびバックアップされたデータにリロードされた時点までの時間です。計画外再起動の場合、MTTRはシステムの障害とオペレーティングシステムの再起動、ディスクの状態の確認、アプリケーションの再起動、アプリケーションの整合性のチェックを許可した時点までの時間です。

データの可用性を確認する責任は、データ（情報）所有者に属さない唯一の責任です。むしろ、それはデータ（情報）管理人の責任です。データ管理者は、データ所有者の指示に従ってデータを保守し、保護する責任も負っています。これには、データの定期的バックアップの実行、バックアップメディアからのデータの復元、活動の記録の保持、会社の方針、ガイドライン、標準における情報セキュリティとデータ保護の要件の実行が含まれます。データ所有者は、データ管理者よりも高いレベルで働いています。データ所有者は基本的に「これは提供する必要がある完全性、可用性、機密性のレベルです。今すぐ行ってください」と述べています。データ管理者はこれらの権限を実行し、インストールされたコントロールをフォローアップして、適切に動作しています。

×：情報分類の割り当て

データ所有者としてジムが情報分類の割り当てを担当するため、ジムが責任を負うものではないかと尋ねているため正しくありません。

×：データの保護方法の決定

ジムなどのデータ所有者は、情報の保護方法を決定する責任があるため、正しくありません。データ所有者はデータ保護のための組織的責任を持ち、組織の情報資産を保護することに関してはいかなる過失に対しても責任があります。これは、ジムが情報の保護方法を決定し、データ管理者（通常はITまたはセキュリティによって占められる役割）がこれらの決定を実行していることを保証する必要があることを意味します。

×：データの保持期間の決定

データを保持する期間の決定はデータ所有者の責任であるため、正しくありません。データ所有者は、情報にアクセスできるユーザーを決定し、適切なアクセス権が使用されていることを確認する責任も負います。彼はアクセス要求を自分で承認するか、ビジネスユニットマネージャーにその機能を委任することができます。ビジネスユニットマネージャーは、データ所有者が定義したユーザーアクセス基準に基づいて要求を承認します。

クロスサイトトレーシングとは、TRACEメソッドのHTTP通信をWebページに埋め込むことで、認証情報を取得する攻撃です。ログイン画面にXSSでTRACEメソッドを埋め込まれてしまったとしましょう。ログインするためのパスワードが送信された後、TRACEで返却されて戻ってきてしまいます。送ったきりのパスワードがブラウザに戻ってくることで、漏洩につながっていきます。

鍵管理は、適切な保護のために重要です。鍵管理の一部は、キーの寿命を決定することです。キーの有効期間は、それが保護しているデータの感度に対応している必要があります。より多くの機密データが短い鍵の有効期間が必要になる場合があり、一方、安全性の低いデータは、長いキーの有効期間を可能にすることができます。彼らの寿命が終了したときにキーが適切に破棄されるべきです。変更し、キーを破壊するプロセスが自動化され、ユーザーから隠されるべきです。これらは、ソフトウェアまたはオペレーティングシステムに統合されるべきです。これは、複雑さを追加し、プロセスが手動で行われ、特定の機能を実行するために、エンドユーザーに依存している以上のエラーのためにドアを開くだけ。

×：キーは、バックアップまたは緊急事態の場合に預託しなければなりません。

キーがバックアップまたは緊急事態の場合に預託しなければならないことは事実であるので、間違っています。キーは、紛失破壊、または破損しているの危険にさらされています。必要なときにバックアップコピーが利用可能であり、容易にアクセスできる必要があります。データが暗号化され、その後、ユーザーが誤ってそれを復号化するために必要なキーを失った場合、バックアップキーがなかった場合、この情報は永久に失われることになります。暗号化のために使用されているアプリケーションは、キー回復オプションを有していてもよく、またはそれは、キーのコピーは安全な場所に保管する必要があります。

×：複数のキーが使用され、短いその寿命はする必要があります。

より多くのキーが使用されていることは事実であるので間違っている、短いその寿命はする必要があります。暗号化キーの使用頻度は、キーが変更される頻度に直接的な相関関係を有しています。複数のキーが使用され、可能性が高いことを捕捉し妥協します。キーが頻繁に使用される場合、このリスクは劇的に低下します。セキュリティと使用頻度の必要なレベルは、キーの更新頻度を決定することができます。情報戦軍ユニットは、毎日または毎週、それらを変更することがあり、一方、零細のダイナーは、毎月その暗号キーを変更することがあります。

×：キーは保存され、安全な手段によって送信されるべきです。

鍵が格納され、安全な手段によって送信されるべきであることは事実であるので、間違っています。キーは配布の前後に格納されています。キーがユーザに配布される場合には、ファイルシステム内の安全な場所に格納され、制御された方法で使用される必要があります。キー、キーを使用するアルゴリズムは、構成、およびパラメータも保護する必要があるモジュールに格納されます。攻撃者がこれらのコンポーネントを取得することができる場合は、彼女が他のユーザになりすましと解読、読み取り、および再暗号化彼女のために意図されていないメッセージをでした。

DNSは、インターネット上のトラフィックの伝送における素晴らしい役割を果たしています。DNSは、あるドメイン名に対応する適切なIPアドレスにトラフィックを誘導します。DNSクエリは、再帰または反復のいずれかに分類することができます。再帰クエリでは、DNSサーバーは、多くの場合、別のサーバーにクエリを転送し、質問者への適切な応答を返します。反復クエリでは、DNSサーバは質問に答えることができるかもしれない別のDNSサーバーのアドレスで応答し、クライアントは、新しいDNSサーバーを尋ねるに進みます。攻撃者は、DNSサーバーのキャッシュを汚染するために再帰クエリを使用します。このようにして、攻撃者は、それらが制御するウェブサイトにシステムを指すことができ、それは、マルウェアや攻撃のいくつかの他のフォームが含まれています。これが成立する方法は次のとおりです。攻撃者は、ドメインのIPアドレスを求める被害者のDNSサーバーに再帰クエリを送信し www.kansen.com。DNSサーバは、別のDNSサーバにクエリを転送します。他のDNSサーバーが応答する前に、しかし、攻撃者は自分のIPアドレスを挿入します。被害者サーバは、IPアドレスを受け取り、特定の期間のためにキャッシュに格納します。次回は、システムが解決するためにサーバーを照会し、www.kansen.comをサーバが攻撃者のIPアドレスにユーザーを誘導します。

×：hostsファイルの操作

hostsファイルを操作すると、DNSサーバーのキャッシュを汚染するために再帰クエリを使用していないので、間違っています。クライアントは、最初のDNSサーバーに要求を発行する前に、hostsファイルを照会します。一部のウイルスは、ウイルス定義ファイルのダウンロードを防止し、検出を防止するために、hostsファイルにウイルス対策ベンダの無効なIPアドレスを追加します。これは、hostsファイルを操作する例です。

×：ソーシャルエンジニアリング

ソーシャルエンジニアリングは、DNSサーバに問い合わせる必要としないので、間違っています。ソーシャルエンジニアリングとは、不正アクセスや情報を得ることを目的とした個人の操作を指します。ソーシャルエンジニアリングは、役に立つおよび/または信頼すべき人々の欲望を利用しています。それは、その実行に技術を使用することができる非技術的な攻撃です。例えば、攻撃者がユーザのマネージャとしてポーズやアプリケーションにパスワードを尋ねる彼に偽装された電子メールを送信することがあります。彼のマネージャーの好意を支援し、維持したいユーザーは、パスワードを提供する可能性があります。

×：ドメイン訴訟

ドメインの訴訟は、DNSサーバーのキャッシュをポイズニング伴わないので、間違っています。ドメイン名は、一時的な利用不能または確立されたドメイン名の永久的な損失を含む、商標上のリスクにさらされています。被害者の会社がドメインの訴訟の結果として、その全体のインターネットの存在を失う可能性があります。自分のドメイン名（複数可）に関連する商標権紛争の可能性を懸念する組織は、緊急時対応計画を確立する必要があります。例えば、同社はまだ、会社の名前を表すことができる第二、関係のないドメインを確立することができます。

デジタルフォレンジックプロセスの重要な部分は、証拠の親権の適切なチェーンを保っています。犯罪のこれらのタイプからの証拠は非常に揮発性で、簡単に、不適切な取り扱いに裁判所から却下することができるので、非常に従うことが重要です 厳しいと一つ一つのケースに証拠を収集し、タグ付けする際の手順を組織しました。また、親権のチェーンは、識別で始まり、その破壊、恒久的なアーカイブで終わる、そのライフサイクル全体を通して証拠に従う、または所有者に返す必要があります。データのコピーが行われる必要がある場合、このプロセスは、品質と信頼性を確保するために一定の基準を満たさなければなりません。この目的のために特別なソフトウェアを使用することができます。コピーは、個別に検証することができなければならないと耐タンパーでなければなりません。証拠のそれぞれの作品には、日付、時刻、コレクタのイニシャル、および1が割り当てられている場合はケース番号と何らかの方法でマークする必要があります。証拠の一部は、その後、同じ情報でマークする必要が容器内に密封されるべきです。コンテナは、証拠テープで密封されるべきであり、可能な場合は壊れたシールが検出できるように、書き込みがテープ上にある必要があります。

×：相当な注意

相当な注意が合理的な人が同じような状況で行うことが期待される活動を行うことを意味するので、間違っています。要するに、細心の注意は、同社が常識と慎重な経営を実践し、責任を持って行動したことを意味します。同社はコンピュータ犯罪から身を守るための取り組みに細心の注意を練習していない場合、それは過失と損害に対して法的責任を負う見つけることができます。親権のチェーンは、他の一方で、証拠は、収集し分析し、輸送され、法廷で提示するために保存されていた方法を示し歴史です。電子的証拠を容易に変更することができるので、保管の明確に定義された鎖は、証拠が信頼できることを示しています。

×：調査

調査はインシデント対応プロセスの間に、関連するデータの適切な収集を含み、分析、解釈、反応、および回復が含まれているため正しくありません。この段階の目標は、インシデントの影響を減らす事件の原因を特定し、できるだけ早く操作を再開し、再発事故を防止するために学んだこと適用することです。法医学調査が行われるか否かが判断されるこの段階でもあります。親権のチェーンは、この材料は適切な証拠であることの、そのライフサイクルの間に収集され、保護されるべきかが決まります。

×：動機、機会、手段

動機、機会、手段（MOM）が犯罪をし、誰によって行われた理由を理解するために使用される戦略であるため、正しくありません。これは、従来、noncomputer犯罪の容疑者を決定するために使用されるのと同じ戦略です。動機は、「誰が」であり、「なぜ」犯罪の。犯行の動機を理解することは、このような活動に従事だろう誰を考え出すで重要な部分です。サイトがダウンしたとき、それはすべてのニュースの上に飛散されるため、例えば、多くのハッカーはビッグネームのサイトを攻撃します。これらの活動は、もはやそれほど広く報道されているしかし、一度、個人が最終的に彼らの動機が減少されていますので、これらのタイプの攻撃を開始停止することはありません。機会が犯罪の “ここ”と “時”です。特定の脆弱性や弱点が存在する場合の機会が通常発生します。同社は、ファイアウォールを持っていない場合は、ハッカーや攻撃者は、そのネットワーク内の機会のすべての種類を持っています。犯罪の戦闘機は人が犯罪（動機）をコミットしたいと思う理由を見つけると、彼女は犯罪者が成功した（機会）ことを可能にすることができるものを見ていきます。手段は、犯罪者が成功するために必要となる機能に関係します。犯罪の戦闘機を調査するために頼まれたと仮定 金融機関内で行われた複雑な横領。容疑者は、マウス、キーボード、およびワープロアプリケーションを使用する方法を知っていたが、それらの一方のみが、プログラマ、システムアナリストだった3人がいた場合、犯罪の戦闘機は、この人がこれをコミットするための手段を持っている可能性があることを理解するであろうはるかに成功し、他の2人よりも犯罪。

この質問に記載されている手順のうち、ビジネス影響分析を完了することが最も優先されます。 BIAは、最も重要なビジネス機能を決定し、それに関連する脅威を特定する上で不可欠です。定性的および定量的なデータを収集し、分析し、解釈し、経営者に提示する必要があります。

×：テストと訓練計画

テストとドリルは災害復旧と緊急時計画の最後のステップの一部であるため、間違っています。環境が絶えず変化するため、定期的に事業継続計画をテストすることが重要です。テストと災害復旧の訓練と練習は、少なくとも年に1回は実行する必要があります。ほとんどの企業は、生産や生産性を中断するためにこれらの練習をする余裕がないため、練習問題はロジスティックプランニングを必要とするセクションまたは特定の時間に行われる必要があります。

×：オフサイトのバックアップ施設の代替案の決定

災害復旧とコンティンジェンシーの計画プロセスの途中で行われる緊急時戦略の一部であるため、正しくありません。大規模な災害が発生した場合には、代替オフサイトバックアップ機能が必要です。一般に、契約は第三者ベンダーとの間で確立され、そのようなサービスを提供します。クライアントは、必要な時に施設を使用する権利を保持するために毎月の料金を支払ってから、その施設を使用する必要があるときにアクティベーション料金を支払う。

×：関連する文書を整理および作成

災害復旧とコンティンジェンシープランニングのプロセスが終了する頃に関連する文書を整理して作成するため、正しくありません。手続きは文書化する必要があります。なぜなら、実際に必要なときには、時間のかかるスケジュールが混乱しているためです。ドキュメンテーションには、イメージのインストール、オペレーティングシステムとサーバーの構成、ユーティリティとプロプライエタリソフトウェアのインストール方法に関する情報が含まれている必要があります。その他のドキュメントには、特定のベンダー、緊急機関、オフサイト施設などの呼び出しツリーと連絡先情報が含まれています。

対称アルゴリズムで暗号化されたメッセージを交換する2人のユーザーのためのために、彼らは最初のキーを配布する方法を見つけ出す必要があります。鍵が危険にさらされた場合、その鍵で暗号化されたすべてのメッセージを復号し、侵入者によって読み取ることができます。キーが保護されておらず、容易に攻撃者が傍受して使用することができるので、単に電子メールメッセージでキーを送信することは安全ではありません。したがって、一人のユーザは、アウトオブバンド方式を使用して他のキーを送信しなければなりません。ユーザは、親指ドライブにキーを保存し、他の人の机にそれを歩いたり、安全な宅配便でお届けすることができます。分布は面倒なだけでなく、不器用と安全ではないので、これは対称暗号の欠点です。

×：計算非対称システムよりも集中的

それは対称アルゴリズムの利点を記述しているので間違っています。それらはあまり計算集約非対称アルゴリズムよりもあるので、対称アルゴリズムは非常に速くなる傾向があります。彼らは、暗号化および非対称アルゴリズムで復号化するために時間の許容できない量を取るデータの比較的迅速に大量の暗号化と復号化することができます。

×：非対称システムよりもはるかに早い動作

非対称システムは、対称システムよりもはるかにゆっくりと動作するため、間違っています。対称アルゴリズムが動作する速度が利点です。彼らの機能を実行するために、はるかに複雑な数学を使用するので、非対称アルゴリズムは、より多くの処理時間を必要とする、対称アルゴリズムより遅いです。しかし、非対称アルゴリズムは、対称アルゴリズムができないのに対し、認証と否認防止を提供することができます。両方のユーザーがメッセージを暗号化と復号化に同じ鍵を使用しているため、対称暗号システムは、機密性を提供することができますが、それらは、認証または否認防止を提供することができません。2人は、同じキーを使用している場合、実際にメッセージを送信した暗号化を通じて証明する方法はありません。

×：数学的に集中的なタスクを実行

非対称アルゴリズムは、数学的に集中的なタスクを実行するため、間違っています。対称アルゴリズムは、他方で、暗号化および復号化プロセス中のビットに比較的単純な数学関数を実行します。彼らは集中的な過度に困難またはプロセッサではないビットを、置換し、スクランブル（転置）。このタイプの暗号化を破ることは困難である理由は、対称アルゴリズムが何度も何度もこの種類の機能を実行することです。だからビットのセットは、置換および転置されているの長いシリーズを通過します。

人間が覚えられる複雑さには限界があります。意識的に、すでに知っている単語や文字列をパスワードとして扱ってしまいます。そういった脆弱性に対して、既存の単語や文字列を基にパスワードを推測してクラッキングする行為を辞書攻撃と言います。

インジェクション攻撃とは、ユーザーフォームに特殊な文字列を埋め込み送信することで受け取り側のユーザー情報処理を誤動作させるクラッキング攻撃です。SQL/ LDAPでよく見られます。

十分に強力な入力検証とデータ型制限入力フィールド、入力長の制限、修正はそれを行うことです。ユーザーがフィールドに適切なデータを入力することのみを許可します。

ユーザーが使用できる文字数を制限及び、名前の文字、電話番号の数字のみを許可し、国と州のドロップダウンを表示する文字種別の制限が考えられます。

強制アクセス制御（MAC）とは、リソースをあらかじめレベル分けによって，アクセス権限を強制させるアクセス制御です。データファイルに対するアクセス権にはいくつか種類があります。データファイルの使用者、データファイルを作成する所有者、どの所有者ならデータを作成できるかを決める管理者に分けられます。ここで、所有者であろうとも自分のデータファイルに誰がアクセスしてよいか決めれず、管理者しかアクセス権限変更できないのが、強制アクセス制御です。SELinux、TOMOYO Linux、Trusted BSD、Trusted Solaris はMACで使われる方式です。

能力開発成熟度モデル統合（CMMI）は、製品とソフトウェアを開発するための包括的な統合ガイドラインです。 コンセプト定義、要件分析、設計、開発、統合、インストール、運用、保守、各段階で何が起こるべきかなどソフトウェア開発ライフサイクルのさまざまなフェーズに対応しています。 このモデルでは、ソフトウェア開発プロセスの成熟の基礎となる手順、原則、実践について説明します。ソフトウェアベンダーが開発プロセスを改善するのを支援するために開発されたものです。ソフトウェアの品質を向上させ、開発のライフサイクルを短縮し、マイルストーンを作成して適時に満たすことができ、効果の低い反応的アプローチよりも積極的なアプローチを採用できるでしょう。

×：ソフトウェア開発ライフサイクル

ソフトウェア開発ライフサイクル（SDLC）が、ライフサイクルを通してシステムをどのように開発し維持するべきかを記述し、プロセスの改善を伴わないため、正しくありません。

×：ISO/IEC 27002

ISO/IEC 27002が国際標準化機構（ISO）および国際電気標準会議（IEC）が組織情報セキュリティ管理システム（ISMS）を作成および維持する方法を概説する国際標準であるため、誤りです。 ISO / IEC 27002には、情報システムの取得、開発、保守を扱うセクションがありますが、ソフトウェア開発のプロセス改善モデルは提供していません。

×：認定および認定プロセス

認証および認定（C＆A）プロセスが事前定義された基準に対するシステムのテストおよび評価を処理するため、正しくありません。 これは、ソフトウェア開発プロセスの改善とは関係ありません。

リスクは、4つの基本的な方法で対処できます。移転、回避、縮小、または承諾。 スーは、ウイルス対策ソフトウェアやスパム対策ソフトウェアなどのセキュリティコントロールを実装することで、自社の電子メールシステムがもたらすリスクを削減しています。これは、リスク緩和とも呼ばれ、リスクは許容可能と見なされるレベルまで減少します。手順を改善し、環境を変え、脅威に対する障壁を立て、脅威が発生したときにその脅威を阻止して被害を減らすための早期発見手法を導入することで、リスクを緩和することができます。

×：リスク受入

リスク受容がアンチウィルスソフトウェアなどの保護や対策に支出を伴わないため不適切です。リスクを受け入れる際には、直面しているリスクのレベルと潜在的な損害コストを把握し、対策を実施することなくそれを維持することを決定します。コスト/便益比率が、対策費用が潜在的な損失額を上回っていることを示している場合、多くの企業はリスクを受け入れます。

×：リスク回避

リスクを引き起こしている活動を中止することになるため、間違っています。この場合、スーの会社は引き続きEメールを使用することに決めました。企業がそのリスクがアクティビティのビジネスニーズを上回る場合、リスクを導入するアクティビティを終了することを選択することがあります。たとえば、企業は従業員の生産性に与えるリスクのため、ソーシャルメディアのWebサイトを一部の部門でブロックすることを選択することがあります。

×：リスク移転

リスクの一部を保険会社に移転するために保険購入のように他のエンティティとリスクを共有することを伴うため、正しくない。多くの種類の保険は、企業が資産を保護するために利用できます。会社が総リスクまたは余剰リスクが高すぎて賭けができないと判断した場合、保険を購入することができます。

EUデータ保護指令とは、非常に積極的なプライバシー保護法です。組織は、データがどのように収集および使用されるかを個人に通知する必要があります。組織は、サードパーティとのデータ共有をオプトアウトできるようにする必要があります。最も機密性の高いデータを共有するにはオプトインが必要です。受領国が適切な（同等の）プライバシー保護を持っていると認められない限り、EUからの送信はなく、米国はこの基準を満たしていません。

【他の方の正解率】

経営者への報告書がどれほど技術的に包括的であっても、要約は2ページを超えてはなりません。 ITセキュリティ専門家は、データ漏洩による企業のリスクは、上級管理職が理解し優先順位をつけなければならない多くの懸念の一つに過ぎないことを理解しなければなりません。 Cレベルのエグゼクティブは、多くのリスクに気を配らなければならず、よく知られていない高度な技術的脅威が適切に分類するのが難しい場合があります。 つまり、ITセキュリティ専門家の主な仕事は、リスクを管理に合った方法で、できるだけ短く要約することです。

×：脅威、脆弱性、および発生する可能性のリスト

経営陣に報告する際に最も重要な要素ではないため、間違っています。 このようなリストは包括的なセキュリティレポートにとって不可欠ですが、経営幹部に提供することは、巧みな幹部要約がなければ効果的な行動を起こすことはまずありません。

×：予想される有害事象の確率および影響の包括的なリスト

経営陣に報告する際に最も重要な要素ではないため、間違っています。このようなリストは技術レポートでは重要ですが、リスク軽減の目標を達成するためには要約が重要です。

×：技術的に包括的である必要があり、オプションAおよびBで参照されているリストを含む、要約書

管理者に報告する際に最も一般的で重大な障害となるものが記述されているため、間違っています。 エグゼクティブサマリーの読者は、1つのページまたは（多くても）2つの技術的な詳細を読んでいる可能性は低いです。 特に慣れていないトピックについては、あいまいな情報に対する許容度は低くなります。

災害復旧計画（Disaster Recovery Planning）には、軽減、準備、対応、および回復のライフサイクルがあります。

軽減：災害の影響と可能性を減らします。

準備：対応のためのプログラム、手順、ツールを作成します。

対応：手順に従って、災害時にどのように対応するか。

回復：基本機能を再確立し、完全な本番環境に戻します。

バックアップは、完全、差分、または増分に取ることができます。ほとんどのファイルは非常に時間とリソースを節約するために、毎日変更されず、それが継続的に変更されていないデータについてはバックアップしないバックアップ計画を策定するのが良いでしょう。バックアップソフトウェアでは、アーカイブビットの設定を見直しています。ファイルが変更または作成された場合、ファイルシステムはアーカイブビットを設定し、バックアップソフトウェアはそのファイルをバックアップするべきかを知っています。差分バックアップは、最後の完全バックアップ以降に変更されたファイルをバックアップします。

信頼できるコンピューティングベース（TCB）は、システムの保護メカニズムの完全な組み合わせです。これらは、ハードウェア、ソフトウェア、およびファームウェアの形式です。これらの同じコンポーネントは、セキュリティカーネルも構成します。参照モニタは、ハードウェア、ソフトウェア、およびファームウェアを介してセキュリティカーネルによって実装および強制されるアクセス制御の概念です。その際、セキュリティカーネルは、サブジェクトが要求しているオブジェクトにアクセスするための適切な権限を持つことを保証します。プログラム、ユーザー、またはプロセスである対象は、適切なアクセス権があることが証明されるまで、要求しているファイル、プログラム、またはリソースにアクセスできないはずです。

×：参照モニタは、セキュリティカーネルで構成されたトラステッドコンピューティングベースのコア

参照モニタはTCBの中核ではないため、正しくありません。 TCBのコアはセキュリティカーネルであり、セキュリティカーネルはリファレンスモニタの概念を実行します。参照モニタは、アクセス制御に関する概念である。物理的なコンポーネントではないため、「抽象的なマシン」と呼ばれることがよくあります。参照モニタは、オブジェクトがオブジェクトにアクセスし、オブジェクトが不正なアクセスから保護されるために必要な権限を持つように、オブジェクトとオブジェクトの間のアクセスを仲介しますそして破壊的な変化。

×：参照モニタは、セキュリティカーネルを実装し実施

参照モニタがセキュリティカーネルを実装して実施していないため、正しくありません。むしろ、セキュリティカーネルは参照モニタを実装し、実行します。参照モニタは抽象的な概念であり、セキュリティカーネルは信頼できるコンピューティングベース内のハードウェア、ソフトウェア、ファームウェアの組み合わせです。セキュリティカーネルには3つの要件があり、リファレンスモニタの要件もあります。セキュリティカーネルは、参照モニターの概念を実行するプロセスを改ざんして隔離する必要があります。同様に、セキュリティカーネルは、すべてのアクセス試行のたびに呼び出され、回避することはできないように実装する必要があります。最後に、セキュリティカーネルは、包括的なテストと検証を可能にするほど十分に小さくなければなりません。

×：セキュリティカーネル、つまり抽象的なマシンは、参照モニターの概念を実装

抽象マシンがセキュリティカーネルの別の名前ではないため、正しくありません。抽象機械は、参照モニタの別名であり、参照モニタの概念とも呼ばれます。この概念は、抽象機械が主題と主題との間の仲介者として機能し、主題が要求している主題にアクセスするのに必要な権利を有することを保証し、無許可のアクセスおよび改変から主題を保護する。セキュリティカーネルは、これらの活動を実行する責任があります。

環境設計防犯（CPTED）は、物理的な環境の適切な設計は、直接人間の行動に影響を与えることによって、犯罪を減らすことができる方法について説明規律です。これは、適切な施設の建設と環境要素との手続を経て損失と防犯のガイダンスを提供します。CPTEDの核心は、物理的な環境が犯罪や犯罪の恐怖を削減する行動効果を作成するために操作することができるということです。それは、人間とその環境との関係を構成するコンポーネントを調べます。これは、環境や、これらのユーザーと犯罪者の予測可能な挙動の異なるタイプのユーザーの、物理的、社会的、心理的なニーズを包含する。犯罪者は、彼らの活動がキャプチャされ、他の人々は環境がよく監視し、このように安全である知っている知っているように、例えば、CCTVカメラがフルビューでマウントする必要があります。

×：多層防御モデル  

多層防御モデルは、物理的、論理的、および管理セキュリティコントロールの階層アーキテクチャであるため、正しくありません。コンセプトは、1つの層が失敗した場合、他の層は貴重な資産を保護することです。レイヤーは、資産に向かって周囲から移動し実装する必要があります。たとえば、あなたがして、あなたの施設の壁、そして、アクセス制御カード装置は、ガード、その後、IDS、その後、ロックされたコンピュータのケースと室内金庫がフェンスを持っているでしょう。層のこのシリーズは、環境の最も内側の制御ゾーンに配置されるであろう企業の最も敏感な資産を保護します。悪い男があなたのフェンスを乗り越え、およびセキュリティガードの裏をかくことができたのであれば、彼はまだあなたの貴重なリソースやシステムに入る前に、コントロールのいくつかの層を回避する必要があります。

×：ターゲット硬化

ターゲット硬化は（アラーム、ロック、フェンスなど）の物理的および人為的な障壁を介してアクセスを拒否するに焦点を当てているため正しくありません。伝統的な目標硬化が使用、楽しさ、環境の美学の制限につながることができます。セキュリティを使用し、保護の容易さとの間の微妙なバランスを維持することを伴うことを忘れないでください。公園とレクリエーション部門はサインを威圧、フェンスを実装することができ、その公園や緑地の周りの障壁が集まっからギャングを阻止するために、誰がそこにピクニックを再生したりしたいでしょうか？同じことは、オフィスビルのために行きます。あなたは、保護の必要なレベルを提供しなければなりませんが、あなたの保護メカニズムは、より繊細で控えめであるべきです。

×：通常のアクセス制御

通常のアクセス制御は、人々が入るとドア、フェンス、照明、さらには景観の配置によってスペースを残しての指導があるため、正しくありません。例えば、オフィスビルは、それらの照明と外部のボラードを有していてもよいです。これらのボラードは、さまざまな安全性とセキュリティサービスを行っています。ボラード自体は建物の中に自分の車を運転から人々を防止することにより、物理的な破壊から施設を守ります。放出された光は、犯罪者が非表示にするには暗い場所を持っていないことが保証されます。そしてライトと車止めの配置が入り口に、代わりに看板や手すりを使用しての歩道に沿って人々を導きます。

守秘義務とは、状況に応じてセキュリティ違反を防止するために合理的に実行できたすべてのことを会社が行い、セキュリティ違反が発生した場合に適切な管理や対策を講じることです。要するに、企業が常識と慎重な経営を実践し、責任を持って行動しているということです。ある企業が免火性がない施設を持っている場合、その放火犯はこの悲劇の小さな部分に過ぎないでしょう。同社は、火災の影響を受ける可能性があるすべての重要な情報の特定の地域、警報、出口、消火器、およびバックアップの火災検知および抑制システム、耐火建築材料の提供を担当しています。火災により会社の建物が燃えてしまい、すべての記録（顧客データ、在庫記録、および事業の再構築に必要な情報）が消滅した場合、当社はその損失から保護されるように注意を払っていないと言えます。たとえば、オフサイトの場所にバックアップするなどが可能でしょう。この場合、従業員、株主、顧客、そして影響を受けたすべての人が潜在的に会社を訴える可能性があります。しかし、会社がこれまでに挙げた点で期待していたことをすべて実行した場合、適切なケア（ディーケア）を怠っても成功しないと訴えることは困難です。

×：下流の責任

ある企業の活動（またはその活動の欠如）が他の会社に悪影響を与える可能性があるため、間違っていることです。いずれかの企業が必要なレベルの保護を提供せず、その過失が協力しているパートナーに影響を及ぼす場合、影響を受けた企業は上流の会社を訴えることができます。たとえば、A社とB社がエクストラネットを構築したとします。 A社はウイルスを検出して対処するためのコントロールを導入していません。 A社は有害なウイルスに感染し、B社にはエクストラネットを通じて感染します。このウイルスは重要なデータを破壊し、B社の生産に大きな障害をもたらします。したがって、B社は、A社を怠慢であると訴えることができます。これは下流の責任の一例です。

×：責任

一般的に特定の当事者の義務と予想される行動や行動を指すため、正しくありません。義務は、特定の義務をどのように果たすかを当事者が決定することを可能にする、より一般的かつオープンなアプローチである必要な特定の行動の定義されたセットを有することができる。

×：デューデリジェンス

この質問に対するより良い答えです。責任は他の回答と同様に法的な用語とはみなされません。デューデリジェンスとは、会社がその可能性のある弱点や脆弱性のすべてを適切に調査したためです。自分を適切に保護する方法を理解する前に、あなたが自分を守っていることを知る必要があります。現実のリスクレベルを理解するために、現実のレベルの脆弱性を調査し評価します。これらのステップと評価が行われた後でさえ、効果的な管理と保護手段を特定し、実施することができます。デューデリジェンスとは、すべての潜在的なリスクを特定することを意味しますが、適切な対応とは、実際にリスクを軽減するためのものです。

年間予想損失額は、将来発生しうる損失に対して、発生頻度から年間で均した値です。そのため、単一損失額（SLE）と年間発生頻度（ALO）を乗じた値になります。

CIAは、機密性・完全性・可用性の略です。

フェデレーテッド・アイデンティティは、ビジネスの境界を越えて使用することができ、ポータブルアイデンティティおよびそれに関連する資格です。これは、ユーザーが複数のITシステムや企業全体にわたって認証することができます。アイデンティティ・フェデレーションは、同期やディレクトリの情報を統合する必要がなく、2つ以上の位置で、ユーザーのそれ以外の場合明確なアイデンティティをリンクに基づいています。フェデレーテッド・アイデンティティは、企業や消費者に分散されたリソースにアクセスするためのより便利な方法を提供し、電子商取引の重要なコンポーネントです。

×：ユーザー・プロビジョニング

彼らは1つ以上のシステム、ディレクトリ、またはビジネスプロセスに応じて、アプリケーション内に存在するように、ユーザー・プロビジョニングが作成、保守、およびユーザオブジェクトおよび属性の非アクティブ化を参照しているので、間違っています。変更の伝播、セルフサービスワークフロー、統合ユーザ管理、委任されたユーザーの管理、およびフェデレーテッド・変更管理：ユーザー・プロビジョニング・ソフトウェアは、次のコンポーネントの1以上を含むことができます。ユーザーオブジェクトは、従業員、請負業者、ベンダー、パートナー、顧客、またはサービスの他の受信者を表すことができます。サービスは、というように、電子メール、データベースへのアクセス、ファイルサーバやメインフレームへのアクセスなどを含むことができます。ユーザー・プロビジョニングは、フェデレーション識別と関数とすることができるが、これは、グラフィックが示すものではありません。

×：ディレクトリ

ほとんどの企業は、企業のネットワークリソースおよびユーザに関する情報が含まれているディレクトリのいくつかのタイプを持っている一方で、これらのディレクトリは、一般的に異なる企業に広がっていないので、間違っています。ほとんどのディレクトリは、対象者とアプリケーションがディレクトリと対話することを可能にするのLDAP（Lightweight Directory Access Protocol）、のように、X.500規格に基づく階層型データベースの形式、およびプロトコルの種類に従ってください。アプリケーションは、ディレクトリへのLDAP要求を行うことで、特定のユーザーに関する情報を要求することができ、ユーザーは同様の要求を使用して、特定のリソースに関する情報を要求することができます。ディレクトリは、フェデレーテッド・フレームワーク内で動作することができますが、これはどのようなグラフィックのショーではありません。

×：ウェブアクセス管理

Webアクセス管理（WAM）ソフトウェアは、Webベースの企業資産と対話するためのWebブラウザを使用している場合、ユーザーがアクセスできるかを制御するため、正しくありません。この種の技術は、継続的に、より堅牢になり、増加した展開を経験しています。これは、電子商取引、オンラインバンキング、コンテンツが提供し、Webサービス、およびより多くの使用の増加にあります。より多くの複雑さは、ユーザーが（パスワード、デジタル証明書、トークン、およびその他）を認証することができ、ユーザに利用可能とすることができるリソースとサービス（送金、購入製品、更新プロファイルなど）すべての異なる方法で入って来、および必要なインフラストラクチャのコンポーネント。インフラストラクチャは、通常のWebサーバファーム（多くのサーバー）、ユーザーのアカウントと属性を含むディレクトリ、データベース、ファイアウォールのカップル、および一部のルータ、すべての階層アーキテクチャにレイアウトで構成されています。

従業員が離職したタイミングにおいて、従業員のアカウントを停止するべきです。元社員に対して組織のリソースへのアクセス権限を与えることは情報漏洩になります。

ホワイトボックスソフトウェアテストでは、テスターはプログラムのソースコード、データ構造、変数などに完全に知っている状態で行います。

緩衝液は、いくつかのユーザー入力のように、その中に何かを格納するために、アプリケーションによって予約領域です。アプリケーションが入力を受信した後、命令ポインタは、バッファに入れています入力して何かをするアプリケーションを指します。アプリケーションが誤って入力を行うにはどのようなプログラムを語ったコード内の命令ポインタを上書きし、入力の無効量は、バッファ領域に書き込むことを可能にする際にバッファオーバーフローが発生します。命令ポインタが上書きされると、どのようなコードバッファに置かれているが、すべてのアプリケーションのセキュリティコンテキストの下で、実行することができます。

×：トラフィック分析

トラフィック分析は、ネットワーク上のトラフィックパターンを見て情報を明らかにする方法であるため、Aが正しくありません。たとえば、人事部門と本社の間に大量のトラフィックは、今後のレイオフを示す可能性があります。もう一つの例は、2つの軍事ユニット間のトラフィックが多い場合、これは軍の攻撃が計画されていることを示す可能性があります。トラフィックパディングがトラフィックパターンを隠す、それはより困難にそれらを明らかにするために、ネットワークを介して送信されるデコイれた、この種の攻撃に対抗するために使用することができます。

×：レース条件

それは競合状態攻撃を示していないため、Bが間違っています。2つの異なるプロセスがリソースにそれらのタスクを実行する必要がある場合、それらは正しい順序に従うことを必要とします。プロセスは、一プロセス二つが同じリソースにアクセスし、そのタスクを実行する前にその作業を行う必要があります。プロセス2は、プロセス1の前に行けば、結果は非常に異なる可能性があります。攻撃者がプロセスを操作することができれば、プロセス2は、最初にそのことをしたように、彼女は競合状態攻撃と呼ばれる処理手順の結果を制御しています。

×：隠密ストレージ

隠れストレージチャネルにおいて、プロセスは、システム上のストレージスペースのいくつかのタイプを介して通信することが可能であるため、Cが正しくありません。例えば、システムAは、極悪非道な方法で、他のプロセスと通信することができますソフトウェアをインストールしたトロイの木馬に感染しています。システムAは、特定の攻撃者にとって大きな関心事である非常に敏感なファイル（ファイル2）を有しています。トロイの木馬がインストールされたソフトウェアは、このファイルを読み取ることができ、それは、一度に1つのビットを発生する可能性が攻撃者にファイルの内容を送信する必要があります。侵入型ソフトウェアは、特定のファイル（ファイル3）をロックすることによって、攻撃者と通信しようとしています。攻撃者がファイル3にアクセスしようとすると、それはそれで有効になってソフトウェアロックを持っていると認めるときは、攻撃者がこの機密ファイルに最初のビットを意味すると解釈し、攻撃者がファイル3にアクセスしようとする1秒の時間は、それはありませんロックされました。この値がゼロになるように、攻撃者が解釈します。機密ファイル内のすべてのデータが攻撃者に送信されるまでこれが続きます。

楕円曲線は、アプリケーションの多くの異なる種類の有用性が示されている豊富な数学的構造です。楕円曲線暗号（ECC）は、その効率のために、他の非対称アルゴリズムとは異なります。ECCは、他の非対称アルゴリズムよりも少ないので集中的な数学のより効率的です。ほとんどの場合、キーが長いほど、より多くの保護が提供されるが、ECCは、RSAが必要とするよりも短い鍵サイズと同じレベルの保護を提供することができます。長いキーは数学的なタスクを実行するために、より多くのリソースを必要とするので、ECCで使用されるより小さなキーはデバイスの少ないリソースを必要とします。

×：これは、デジタル署名、安全な鍵配布、および暗号化を提供します。

ECCは、デジタル署名、安全な鍵配布、および暗号化を提供する唯一の非対称アルゴリズムではありませんので、間違っています。これらのサービスはまた、RSAおよび他の非対称アルゴリズムによって提供されます。その一方向関数を用いて、ECC暗号化と署名の検証を提供し、逆方向復号化および署名生成を行います。また、その目的地に安全にそれを得るために、対称鍵を暗号化するために使用される意味、鍵交換プロトコルとして使用することができます。

×：それは有限で離散対数を計算します。

ディフィー・ヘルマンとエル・ガマルが有限で離散対数を計算するため、間違っています。楕円曲線を扱う数学の分野では、曲線は、グループと呼ばれる構造を構成上の点。これらの点は、ECCの暗号化と復号化の処理のための数式で使用される値です。このアルゴリズムは有限で離散対数の計算とは異なる楕円曲線の離散対数を計算します。

×：これは、暗号化を実行するためにリソースの大きな割合を使用します。

他の非対称アルゴリズムと比較した場合のECCがはるかに少ないリソースを使用しているため正しくありません。無線機器や携帯電話のようないくつかのデバイスは、処理能力、ストレージ、電力、帯域幅が限られています。これらのタイプのデバイスと、リソースの利用効率が非常に重要です。

メンテナンスホックとは、開発者がテスト用に一時的に利用する機能やツールを指します。実際システム開発では、個々の機能が適切に動作しているかを確認するため、補助するツールを用意しています。ただ、メンテナンスホックを本稼働環境に置いておくと攻撃者に利用される可能性があるため、削除が求められます。

ブラックボックステスト（ゼロ知識）では、攻撃者は公開されている情報以外に組織についての知識を持っていません。外部の攻撃者が行うことに焦点が当てられています。

IPソフトフォンは、注意して使用する必要があります。ソフトフォンは、ユーザーがインターネット経由でコンピュータを介して通話を行うことができますソフトウェアアプリケーションです。専用のハードウェアを置き換えソフトフォンは、従来の電話のように動作します。これは、PCのサウンドカードに接続されたヘッドセットまたはUSB電話と一緒に使用することができます。Skypeは、ソフトフォンアプリケーションの一例です。ハードウェアベースのIPフォンに比べて、ソフトフォンはIPネットワークが受けやすくなります。しかし、ソフトフォンは、他のインタラクティブなインターネットアプリケーションよりも悪化していません。IP電話がそうであるように、彼らがデータとは別のない音声トラフィックを行うため、また、データを中心としたマルウェアは、より簡単にソフトフォンを介してネットワークを入力することができます。

×：VoIPネットワークは、データネットワーク上で使用されるのと同じセキュリティコントロールで保護する必要があります。

ステートメントが正しくIPテレフォニーネットワークのセキュリティを記述しているので間違っています。IPテレフォニーネットワークは、それが音声アプリケーションをサポートすることができ、従来のIPネットワークと同じ技術を使用しています。そのため、IPテレフォニーネットワークは、従来のIPネットワークと同じ脆弱性の影響を受けやすくなり、それに応じて保護されるべきです。これは、IPテレフォニーネットワークは、適切なセキュリティを有するように設計されるべきであることを意味します。

×：エンドポイントとして、IP電話は、攻撃の対象になることができます。

真であるため、正しくありません。IPテレフォニーネットワーク上のIP電話は、攻撃に対する脆弱性の点では、データネットワーク上のワークステーションに相当します。このように、IP電話は、従来のワークステーションに実装されている同じセキュリティコントロールの多くで保護する必要があります。たとえば、デフォルトの管理者パスワードを変更する必要があります。不要なリモートアクセス機能を無効にする必要があります。ログを有効にする必要があり、ファームウェアのアップグレードプロセスが確保されるべきです。

×：音声が伝送される現在のインターネットアーキテクチャでは、物理的な電話回線よりも安全です。

真であるため、正しくありません。ほとんどの場合、音声が伝送される現在のインターネットアーキテクチャでは、物理的な電話回線よりも安全です。物理的な電話回線は、インターネットの大部分を構成するソフトウェアベースのトンネルよりを活用することが困難であり、ポイントツーポイント接続を提供します。これにより、ネットワークは、現在2貴重な資産データと音声を送信しているため、IPテレフォニーネットワークを保護するときに考慮すべき重要な要因です。 それは 個人情報、財務情報、およびその他の機密データのための珍しい電話で話されるべきではありません。IPテレフォニーネットワーク上でこの情報を傍受すると、通常のデータを傍受するのと同じくらい簡単です。現在音声トラフィックも、暗号化する必要があります。

オニオンルーティングとは、ルータを経由する度に暗号化を施すため、何重にも暗号化が施されるという特徴がある。しかし、ルータの最終地点ではすべての暗号化が復号され、平文となるため最終地点ルータでのセキュリティ機能はない。

最高のプライバシー担当者（CPO）の地位は、無数の種類のデータを保護するための組織への要求の高まりに対応して、企業によって作成されています。 CPOは、顧客、会社、従業員のデータのセキュリティを確保する責任を負います。会社は法的訴追から解放され、うまくいけば見出しから外されます。したがって、CPOは、データの収集、保護、第三者への配布方法に関するポリシーの設定に直接関わっています。 CPOは通常弁護士であり、最高セキュリティ責任者（CSO）に報告します。

×：パートナデータの保護を保証する

CPOが保護する責任を負うすべてのデータのうち、パートナーデータを保護するだけの小さなサブセットであるため、正しくありません。 CPOは、顧客、会社、従業員のデータを確実に保護する責任があります。パートナーデータは、CPOが保護するさまざまなタイプのデータの1つです。さらに、CPOは、サプライヤー、パートナー、および他の第三者が機密情報をどのように保護しているかを知る責任があります。多くの場合、企業はこれらの他の当事者（保護が必要なデータのコピーを持っている）を再検討する必要があります。

×：企業財務情報の正確性と保護を確保する

財務情報の正確性がデータ所有者（最高財務責任者）の責任であるため、間違っています。 CFOは、企業の口座および財務活動、ならびに組織の全体的な財務構造を担当します。 CPOは、このデータの機密性を保証するのに役立ちますが、データの正確性は保証しません。財務情報は、CPOが保護するすべてのデータ型の小さなサブセットです。

×：セキュリティポリシーが定義され、実施されていることを確認する

セキュリティポリシーの定義と実施が高等経営者の責任であるため、CPOではなく主任情報セキュリティ責任者（CISO）またはCSOに委任されているため、画像Cは正しくありません。セキュリティポリシーは、組織内のセキュリティの役割を決定する全体的な一般的な声明です。ポリシーに関連するCPOの責任は、データの収集、保護、および第三者への配布方法を含むデータ保護ポリシーの設定に貢献することです。

サービス指向アーキテクチャ（SOA）のサービスは、通常Webサービスを介して提供されています。Webサービスは、Simple Object Access Protocol（SOAP）、HTTP、Webサービス記述言語（WSDL）、ユニバーサルの説明、発見、および統合（UDDI）のように、Webベースの標準を使用してシームレスに発生するためのWebベースの通信を可能にします。WSDLは、サービスによって提供される特定の操作の機械可読な記述を提供します。UDDIは、利用可能なサービスを一覧表示し、XMLベースのレジストリです。UDDIは、サービスプロバイダによって登録され、サービスの消費者によって配置されるサービスのための方法を提供します。

×：汎用の説明、発見と統合ーウェブサービス記述言語

用語が正しい順序ではなく、質問内に設けられた定義にマップされないため、間違っています。WSDLは、サービスによって提供される特定の操作の機械可読な記述を提供します。UDDIは、利用可能なサービスを一覧表示し、XMLベースのレジストリです。UDDIは、サービスプロバイダによって登録され、サービスの消費者によって配置されるサービスのための方法を提供します。

×：Webサービス記述言語ーシンプル・オブジェクト・アクセス・プロトコル

SOAP（Simple Object Access Protocol）は、Webサービス環境でメッセージをエンコードするXMLベースのプロトコルであるため、正しくありません。SOAPは、実際に通信が行われるように起こっているかのXMLスキーマを定義します。SOAP XMLスキーマは、オブジェクトが直接通信する方法を定義します。SOAPはこの質問で識別された項目ではありません。

×：簡易オブジェクトアクセスプロトコルーユニバーサルの説明、発見および統合

SOAP（Simple Object Access Protocol）は、Webサービス環境でメッセージをエンコードするXMLベースのプロトコルであるため、正しくありません。SOAPは、実際に通信が行われるように起こっているかのXMLスキーマを定義します。SOAP XMLスキーマは、オブジェクトが直接通信する方法を定義します。これは質問が取り組んでいるものではありません。

ネットワークディレクトリは、ユーザーとネットワークリソースのコンテナです。 1つのディレクトリには、エンタープライズ内のすべてのユーザーとリソースが含まれていないため、ディレクトリのコレクションを使用する必要があります。 仮想ディレクトリは、ネットワーク全体に散在するソースから使用される必要な情報を収集し、中央の仮想ディレクトリ（仮想コンテナ）に格納します。 これにより、企業全体のすべてのユーザーのデジタルID情報の統一されたビューが提供されます。 仮想ディレクトリはすべてのアイデンティティストア（個々のネットワークディレクトリ）と定期的に同期し、エンタープライズ内のすべてのアプリケーションとID管理コンポーネントによって最新の情報が確実に使用されていることを確認します。

×：メタディレクトリ

仮想ディレクトリはメタディレクトリに似ていますが、メタディレクトリは1つのディレクトリで動作し、仮想ディレクトリは複数のデータソースで動作するため、正しくありません。 アイデンティティ管理コンポーネントが仮想ディレクトリを呼び出すと、エンタープライズ全体で異なるディレクトリをスキャンすることができますが、メタディレクトリは関連付けられている1つのディレクトリをスキャンする機能しか持ちません。

×：HRデータベースに格納されているユーザー属性情報

IDストアを最もよく記述しているため正しくありません。 アイデンティティ管理ディレクトリに格納されている多くの情報は、企業全体に散在しています。 ユーザ属性情報（従業員ステータス、職務説明、部署など）は、通常、HRデータベースに格納されます。 認証情報はKerberosサーバーに存在する可能性があります。 役割とグループの識別情報がSQLデータベースに存在する可能性があります。 リソース指向の認証情報をドメインコントローラのActive Directoryに格納することができます。 これらは一般にアイデンティティストアと呼ばれ、ネットワーク上の別の場所に配置されています。 多くのID管理製品では、仮想ディレクトリを使用してこれらのIDストア内のデータを呼び出します。

×：管理者が識別の仕方を設定および管理できるサービス

ディレクトリサービスを記述しているため、間違っています。 ディレクトリサービスを使用すると、管理者は識別、認証、許可、およびアクセス制御がネットワーク内でどのように行われるかを構成および管理できます。 名前空間を使用してディレクトリ内のオブジェクトを管理し、アクセス制御およびID管理機能を実行することによって設定されたセキュリティポリシーを適用します。

オペレーティングシステムは協調的に開始され、プリエンプティブマルチタスクに進化しました。オペレーティングシステムは、Windows 9x以降のバージョンやUnixシステムで使用されるプリエンプティブマルチタスクを使用して、プロセスがリソースを使用できる期間を制御します。システムは、CPU（または他のシステム・リソース）を使用しているプロセスを中断し、時分割を使用して別のプロセスがそのプロセスにアクセスできるようにすることができます。したがって、プリエンプティブ・マルチタスキングを使用するオペレーティング・システムではショーが実行され、悪い動作をすると、あるアプリケーションが別のアプリケーションに悪影響を及ぼすことはありません。協調マルチタスキングを使用していたオペレーティングシステムでは、プロセスがリソースの解放を制御し過ぎていました。アプリケーションがハングアップしたとき、通常は他のアプリケーションやオペレーティングシステム自体に影響を与えました。

×：ユーザーとアプリケーション

プリエンプティブマルチタスクモードでシステムリソースのアクセスと使用を制御しないため、正しくありません。しかし、アプリケーションは、協調マルチタスクモードでのシステムリソースの使用をより詳細に制御します。オペレーティングシステム自体は、アプリケーションまたはユーザーではなく、プリエンプティブまたは協調マルチタスクモードで動作します。

×：メモリにロードされたプログラム

特定のマルチタスクモードではプログラムが実行されないため、正しくありません。 Windows 3.1やMacintoshシステムで使用されていた協調マルチタスキングでは、使用していたリソースを自発的に解放するプロセスが必要でした。これは必ずしも安定した環境ではありませんでした。なぜなら、プログラマーが、アプリケーションを使ってアプリケーションを終了したときにリソースを解放するコードを正しく書いていないと、リソースがアプリケーションに無期限にコミットされ、他のプロセスで利用できなくなるからです。

×：CPUとユーザ

ユーザおよびCPUがアクセスおよびシステム資源の使用を制御しないため、不正確である。代わりに、オペレーティングシステムは、異なるプロセスを割り当てることができるプロセッサのタイムスライスを制御します。マルチタスキングは、オペレーティングシステムがCPUへのアクセスを使用する方法です。これは、協調または先取りのいずれかになります。

アプリケーションファイアウォールは、OSIのレイヤー７を対象とします。アプリケーションファイアウォールの主な利点は、特定のアプリケーションとプロトコルを理解できることです。パケットはレイヤー6まで復号されないため、レイヤー７ではパケット全体を見ることができます。他のファイアウォールはパケットのみを検査でき、ペイロードは検査できません。不要なアプリケーションまたはサービスが、許可されたポートでプロトコルを使用してファイアウォールをバイパスしようとしているかどうかを検出したり、プロトコルが悪意のある方法で使用されているかどうかを検出したりできます。

構造化されたウォークスルーテストでは、機能的な担当者が計画を満たしてレビューし、その正確性を確認し、段階的に歩くことで会社の復旧戦略を正確かつ正確に反映します。

×：重要なシステムが代替サイトで確実に実行されるようにします。

これは並列テストを記述しているため正しくありません。

×：すべての部署に復旧計画のコピーが渡され、完全性を確認します。

これはチェックリストテストを記述するため正しくありません。

×：通常の操作はシャットダウンされます。

これは完全中断テストを記述しているため、間違っています。

ポリモーフィック型ウィルスは、アンチマルウェアスキャナを欺くことを試みます。特に、操作上のコピーを生成する方法がとられます。 マルウェア対策ソフトウェアが1つまたは2つのコピーを検出して無効にしても、他のコピーはシステム内でアクティブのままになります。

×：ノイズ、突然変異エンジン、または乱数ジェネレータを使用して命令のシーケンスを変化させる。

ポリモーフィック型ウィルスはノイズや偽の指示を他の有用な指示とともに含むことにより、指示の順序を変える可能性があるため、正しくありません。 また、突然変異エンジンと乱数ジェネレータを使用して、検出されないことを期待して命令のシーケンスを変更することもできます。 元の機能はそのままですが、コードが変更され、固定シグネチャを使用してウイルスのすべてのバージョンを識別することが不可能に近づきます。

×：異なる復号化ルーチンを必要とする異なる暗号化方式を使用できる。

ポリモーフィック型ウィルスは異なる暗号化ルーチンを必要とする異なる暗号化方式を使用できるため、正しくありません。 これには、このタイプのウイルスのすべてのコピーを識別するために、可能な解読方法ごとに1つずつアンチマルウェアスキャンが必要です。 ポリモーフィック型ウィルス作成者は、暗号化されたウイルスのペイロードを隠し、コードに解読メソッドを追加します。 いったん暗号化されるとそのコードは無意味になりますが、だからと言って暗号化されたウイルスは必ずしもポリモーフィック型ウィルスであるとは限らないため検知からも逃れます。

×：複数の様々なコピーを作成する。

ポリモーフィック型ウィルスは、マルウェア対策ソフトウェアによる検出を避けるために、複数のさまざまなコピーを生成するため、正しくありません。

SSL（Secure Sockets Layer）およびIPSecは、ネットワークトラフィックの完全性、信憑性、および機密性を保護することができます。攻撃者がIPアドレスを偽装された場合でも、彼は彼が必要なキーと他の暗号材料へのアクセス権を持っていないと同じように成功し、操作したり、SSLまたはIPSec暗号化されたトラフィックを読み取ることができないだろう。

×：アドレススプーフィングは、気付かれずに2人のユーザー間のセッションをハイジャックする攻撃をするのに役立ちます。

真であるため、正しくありません。アドレススプーフィングは、気付かれずに2人のユーザー間のセッションをハイジャックする攻撃をするのに役立ちます。攻撃者は2台のコンピュータ間のセッションを引き継ぐしたい場合、彼女が検出されることなく、その会話の途中で自分自身を配置する必要があります。ジャガーノートとHUNTプロジェクトなどのツールは、TCP接続をスパイし、それをハイジャックする攻撃を可能にします。

×：IPスプーフィングは、攻撃者を追跡することが難しくなります。

真であるため、正しくありません。なりすましは、他のシステムをだますとメッセージの発信元を隠すために、通常のパケット内に、虚偽の情報の提示です。自分のアイデンティティを正常に発見することができないように、これは通常、ハッカーによって行われます。

×：セッションハイジャックは、相互認証に防止することができます。

真であるため、正しくありません。セッションハイジャックは、ネットワーク上の懸念がある場合、管理者はユーザーやシステム間の相互認証を必要とするようなIPSecまたはKerberosなどのプロトコルを実装することができます。

モジュールが低い結合度と高い凝縮度とを有すると記述されている場合、それは良いことです。 凝縮度が高いほど、更新や変更が容易になり、相互作用する他のモジュールには影響しません。 これはまた、モジュールの再利用と保守が容易であることを意味します。結合度は、1つのモジュールがそのタスクを実行するために必要な相互作用の量を示す測定値です。モジュールの結合度が低い場合は、モジュールが他の多くのモジュールと通信してジョブを実行する必要がないことを意味します。 これらのモジュールは、他の多くのモジュールに依存してタスクを実行するモジュールよりも理解しやすく、再利用も容易です。 また、これらのモジュールの周りの多くのモジュールに影響を与えることなく、モジュールを変更する方が容易です。

MTD値が重要なオペレーションを回復することができないことは、組織の評判やボトムラインへの深刻な、おそらく修復不可能な損傷を意味するまでの時間を表すため、RTO値は、MTD値よりも小さいです。RTOは、許容可能なダウンタイムの期間があることを前提としています。これは、同社が一定の時間（RTO）の生産の外で、まだその足で取り戻すことができることを意味します。同社はMTDウィンドウ内で生産起動および実行を得ることができない場合でも、会社が適切に回復するにはあまりにも速く沈んで。

×：RTOは回復することができないことを表している期間であり、MTDは、ダウンタイムの許容量を表します。

MTDは回復することができないことを表している時間である、とRTOは、ダウンタイムの許容量を表すため正しくありません。

×：RTOは混乱に使用されるメトリックで、MTDは、災害に使用されるメトリックです。

RTOは、ビジネス・プロセスは、ビジネスの継続性の中断に関連付けられた許容できない結果を回避するために、災害後に復元する必要があり、その中最も早い時間帯およびサービスレベルであるため、正しくありません。MTD値が重要なオペレーションを回復することができないことは、組織の評判やボトムラインへの深刻な、おそらく修復不可能な損傷を意味するまでの時間を表すため、RTO値は、MTD値よりも小さいです。

×：RTOは、データへのアクセスの損失に関連する指標であり、MTDは、ハードウェアや処理能力へのアクセスの損失に関連する指標です。

RTOは、ビジネス・プロセスは、ビジネスの継続性の中断に関連付けられた許容できない結果を回避するために、災害後に復元する必要があり、その中最も早い時間帯およびサービスレベルであるため、正しくありません。MTD値が重要なオペレーションを回復することができないことは、組織の評判やボトムラインへの深刻な、おそらく修復不可能な損傷を意味するまでの時間を表すため、RTO値は、MTD値よりも小さいです。RTOは、データへのアクセスの損失に関連するメトリックではなく、MTDは、ハードウェアや処理能力へのアクセスの損失に関連するメトリックではありません。

データの分類を設定すると、データに関する他のすべての決定が行われます。データの使用方法を決定し、誰を使用すべきかを判断することは、データ所有者の範囲内の責任ですが、セキュリティ上の責任ではなく機能的です。所有者はデータの価値を決定することに参加することができますが、その価値は他のすべての企業データ資産に対する尺度であるため、通常、データ所有者が単独で責任を負うものではありません。データの保存方法の決定は、データ管理者の役割に委ねられます。

×：データの保存方法の決定

データの分類に基づく必須のアクセス制御によって決まるため正しくありません。

×：データ値を決定

データの価値の評価がその分類を決定する重要な要素であるにもかかわらず、データ所有者の全体的な目標の1つの要素に過ぎないため、誤りである。

×：データの使用方法を決定

そのデータがどのように使用されるかはその分類の要因ではないため、不正確である。データの使用方法は時間とともに変化する可能性がありますが、エンタープライズに対する機密性によって、誰がそれにアクセスすることができるかを決定する必要があります。

パスワードは記憶を使った認証方式です。秘密の質問も同じく記憶の認証方式であり、2要素の認証方式の組み合わせではありません。

この質問の目的は、管理や監督者の関与が、これらの種類のものが起こらないように、または行われた場合に適切に検出され、処理されることを確実にすることが重要であることを認識することです。 ユーザーが不正行為を行った場合、管理者が行動を起こすことをユーザーが知っている場合、これは本質的に予防的と見なすことができます。 これらの活動は行われた後にのみ知られることになります。つまり、セキュリティオフィスは何らかのタイプの探偵活動を実施し、管理職に知らせなければなりません。

×：2要素の識別と認証

識別と認証は探偵ではなく予防的であるため、間違っています。

×：監査ログから対象データのキャプチャ

監査ログは探偵であるが予防的ではないので、間違っている。 ただし、探知するには、監査ログをセキュリティ管理者が確認する必要があります。 最も強力なセキュリティ保護のいくつかは予防制御から来ていますが、監査ログのレビューなどの探知コントロールも必要です。

×：強力なセキュリティポリシーの実装

セキュリティポリシーが探偵ではなく予防的であるため、間違っています。 セキュリティポリシーは、ユーザーに予想される内容と、ポリシーの構成に従わない場合の潜在的な影響をユーザーに知らせるために開発され、実装されます。

計画済みのビジネス継続性手続きにより、組織は多くのメリットを得ることができます。組織は、以前にリストされた他の回答オプションに加えて、緊急事態への迅速かつ適切な対応を提供し、ビジネスへの影響を軽減し、復旧期間中に外部ベンダーと協力することができます。これらの分野における取り組みは、災害発生時に備えて準備されていることをビジネスパートナーに伝える必要があります。

×：重要なビジネス機能の再開

事業継続計画により、組織は重要なビジネス機能を再開できるため、間違っています。 BCPの作成の一環として、BCPチームは重要なリソースの最大許容ダウンタイムの特定を含むビジネスインパクト分析を行います。この取り組みは、チームが最も重要なリソースを最初に回復できるように、復旧作業の優先順位付けに役立ちます。

×：人命の保護と安全の確保

事業継続計画により、組織は人命を守り安全を確保することができるため、間違っています。人々は会社の最も貴重な資産です。したがって、人的資源は、復旧と継続のプロセスにとって不可欠な要素であり、完全に考慮して計画に統合する必要があります。これが完了すると、事業継続計画は企業が従業員を守るのに役立ちます。

×：ビジネスの存続可能性の確保

計画された事業継続計画により企業が事業の存続可能性を保証できるため、誤りである。事業継続計画は、長期的な停電や災害に対処するための方法と手順を提供します。それは、元の施設が修復されている間に、重要なシステムを別の環境に移すことと、通常の操作が戻ってくるまで別のモードでビジネス操作を行うことを含みます。要するに、ビジネス継続計画は、緊急事態の後にビジネスがどのように行われるかを扱っています。

デジタル署名は、送信者の秘密鍵で暗号化されたハッシュ値です。デジタル署名の行為は秘密鍵でメッセージのハッシュ値を暗号化することを意味します。サムは彼はデビーに送信するメッセージが変更されていないことを確認したいと彼はそれが彼からだけ来た彼女は必ずしたい場合、彼はメッセージにデジタル署名することができます。これは、一方向ハッシュ関数がメッセージ上で実行されることを意味し、その後サムは自分の秘密鍵を用いてそのハッシュ値を暗号化することになります。デビーがメッセージを受信すると、彼女は、メッセージにハッシュ関数を実行し、彼女自身のハッシュ値を考え出すだろう。それから彼女はサムの公開鍵で送信されたハッシュ値（デジタル署名）を解読します。彼女はその後、2つの値を比較し、それらが同じであれば、彼女は、メッセージが送信中に変更されていないことを確認することができます。彼女はまた、値が自分の秘密鍵で暗号化されたため、メッセージはサムから来てくださいです。

×：送信者は、自分の公開鍵でメッセージダイジェストを暗号化します。

送信者は、メッセージが自分の公開鍵でダイジェストを暗号化した場合、受信者がそれを解読することはできませんので、間違っています。受信者が発生してはならない送信者の秘密鍵へのアクセスが必要になります。秘密鍵は常に秘密にする必要があります。

×：受信者は、自分の秘密鍵でメッセージダイジェストを暗号化します。

受信機は、メッセージが送信者の公開鍵でダイジェストを解読しなければならないので、間違っています。メッセージダイジェストは、唯一の送信者の公開鍵で復号することができ、送信者の秘密鍵で暗号化されています。

×：受信者は、自分の公開鍵でメッセージダイジェストを暗号化します。

受信機は、メッセージが送信者の公開鍵でダイジェストを解読しなければならないので、間違っています。メッセージダイジェストは、唯一の送信者の公開鍵で復号することができ、送信者の秘密鍵で暗号化されています。

常に利用可能であることが要求される情報は、ミラー化または二重化されている必要があります。 ミラーリング（RAID 1とも呼ばれます）とデュプレックスの両方で、すべてのデータ書き込み操作は、複数の物理的な場所で同時にまたはほぼ同時に行われます。 ミラーリングとデュプレックスの区別は、ミラーリングを行うと、データが書き込まれる2つ（またはそれ以上）の物理的な場所が同じコントローラに接続され、コントローラ自体が単一の障害点にさらされることがあります。 2つ以上のコントローラが使用されます。

×：ダイレクトアクセスストレージ

直接アクセスストレージは、従来、メインフレームおよびミニコンピュータ（ミッドレンジコンピュータ）環境で使用されてきた磁気ディスク記憶装置の一般用語であるため、間違っています。 独立ディスクの冗長アレイ（RAID）は、直接アクセス記憶装置（DASD）の一種である。

×：ストライピング

データがすべてのドライブに書き込まれると、ストライピングの技法が使用されるため、間違っています。 このアクティビティは、複数のドライブにデータを分割して書き出します。 書き込みパフォーマンスは影響を受けませんが、複数のヘッドが同時にデータを取得しているため、読み取りパフォーマンスが大幅に向上します。 パリティ情報は、紛失または破損したデータを再構築するために使用されます。 ストライピングは単にデータを意味し、パリティ情報は複数のディスクに書き込まれる可能性があります。

×：大量の非アクティブディスクアレイ

大容量の非アクティブディスク（MAID）のアレイでは、ラックマウント型ディスクアレイではすべての非アクティブディスクの電源が切断され、ディスクコントローラのみが稼動しているため、間違っています。 アプリケーションがデータを要求すると、コントローラは適切なディスクドライブの電源を投入し、データを転送した後、ドライブを再びパワーダウンします。 頻繁にアクセスされないドライブの電源を落とすことにより、エネルギー消費が大幅に削減され、ディスクドライブの耐用年数が増加する可能性があります。

パスワード同期は、異なるシステムの異なるパスワードを維持する複雑さを軽減するように設計されています。 パスワード同期技術により、パスワードを他のシステムやアプリケーションに透過的に同期させることで、複数のシステム間で単一のパスワードを維持することができます。 これにより、ヘルプデスクの通話量が減ります。 このアプローチの批判の1つは、異なるリソースにアクセスするために1つのパスワードしか使用されないため、ハッカーはすべてのリソースへの不正アクセスを得るために1つの資格情報セットを把握すればよいことです。

×：管理パスワードのリセット

管理パスワードをリセットするなどの理由がないため、間違っています。 この答えは気を散らすものです。 最も一般的なパスワード管理のアプローチは、パスワード同期、セルフサービスパスワードリセット、および補助パスワードリセットです。

×：セルフサービスパスワードリセット

セルフサービスのパスワードリセットが必ずしも複数のパスワードを処理するわけではないため、正しくありません。 ただし、パスワード関連のヘルプデスクコールの全体的な量を減らすのに役立ちます。 セルフサービスパスワードリセットの場合、ユーザーは自分のパスワードをリセットすることができます。 例えば、ユーザが自分のパスワードを忘れた場合、ユーザは登録プロセス中に特定した質問に答えるよう促されることがあります。 彼が与える答えが登録中に提供した情報と一致すれば、彼は彼のパスワードを変更する能力が与えられる。

×：アシストパスワードリセット

支援されたパスワードのリセットが必ずしも複数のパスワードを扱うわけではないので、間違っています。 ヘルプデスクがパスワードをリセットする前にユーザーを認証できるようにすることで、パスワードの問題の解決プロセスを削減します。 パスワードを変更するには、パスワード管理ツールを使用して発信者を識別し、認証する必要があります。 パスワードが更新されると、ユーザーが認証するシステムは、ユーザーに再度パスワードを変更する必要があります。 これにより、彼女（彼女とヘルプデスクの人ではない）だけが自分のパスワードを知っていることが保証されます。 サポートされているパスワードリセット製品の目標は、サポートコールのコストを削減し、すべてのコールが統一された一貫した安全な方法で処理されるようにすることです。

OpenSSLは接続がこのセキュリティプロトコルを介して通信する2つのシステム間でアクティブなままであることを可能にするRFP 6520にIETFによって概説SSL / TLSの拡張機能を実装しました。OpenSSLはこの拡張機能を実装する方法は、それがアクセス、ウェブサーバ秘密鍵などに許可されていないことを送信側システムは、データを要求することができます。攻撃者はWebサーバの秘密鍵を取得すると、これは、SSL / TLSプロトコルのベースとされていることを公開鍵基盤（PKI）環境によって提供されるセキュリティのすべてを回避します。あなたが本当にPKIの仕組みを理解し、どのように秘密鍵と公開鍵は、SSL / TLSなどのセキュリティ – そのようなプロトコルでは、デジタル証明書の役割を動作し、境界チェック、およびバッファしない場合にポイントがあることを読み取るオーバー – あなたはしませんこのようなハートブリードなどの簡単な脆弱性を理解しています。あなたがCISSP試験上の特定の脆弱性について聞かれることはありませんが、あなたはとても危険で強力なものにするには、この脆弱性を可能に含まれるコンポーネントと技術のすべてを理解することが期待されます。

×：デジタル証明書は、SSLおよびTLSプロトコル内のトンネリング攻撃により盗まれました。

この脆弱性は、デジタル証明書の盗難を伴わず、デジタル証明書がされているに関与しないセキュリティ上の問題が実際に存在しないため正しくありません “盗まれたが。「デジタル証明書は、一般的にオープンでアクセス可能なディレクトリに存在し、PKIに参加するエンティティ間で共有されているので、盗まれ、それらの脅威はありません。デジタル証明書は、各個々のデジタル証明書のハッシュとデジタル署名を生成する証明機関によって作成されます。このデジタル署名は、証明書の完全性を保護し、証明書が変更されている場合、受信機が検出することができます。各デジタル証明書は、私たちが盗難のコントロールを必要としない場所にこれらの証明書を格納することができます元の認証局によって作成されたデジタル署名で保護されているという事実です。

×：彼らのSSLおよびTLS接続がTCPハイジャックセッションを使用することによってハイジャックされたときに証明機関が危険にさらされました。

この脆弱性は認証機関が危険にさらされているとは何の関係もありませんので、間違っている、とTCPの乗っ取りは、任意のSSL / TLS接続を損なうことの成功した方法ではありません。TCPハイジャックは、TCPパケットのシーケンス番号は、攻撃者がアクティブなTCPセッション内で自分自身を挿入し、接続を引き継ぎ、彼の極悪非道な目的のためにそれを使用することを可能にする、予測することができるという事実を利用する攻撃です。SSL / TLSは、TCPに比べてネットワークスタックの上位レベルで動作し、TCPセッションのハイジャックは、このセキュリティプロトコルを使用してセキュアな接続を損なうことに一致しません。TCPの乗っ取りなどの攻撃が行われていないだけでどのようにするだけでなく、タイプはと達成することはできませんどのような攻撃を理解することが重要です。

×：クロスサイトスクリプティングは、Javaの脆弱性のあるバージョンを実行したWebサーバ上の場所を取ることが許されました。

ハートブリードの脆弱性は、クロスサイトスクリプティングやJavaとは何の関係もありませんので、間違っています。むしろ、それは、SSL / TLSプロトコルの実装内で脆弱性です。クロスサイトスクリプティング（XSS）は、攻撃者は、その後、Webアプリケーションを侵害し、できるようにするWebアプリケーション内の脆弱性です 潜在的な被害者から見たWebページに悪意のあるクライアント側スクリプトを注入する能力を有します。XSSは、Webサーバー上で動作するWebアプリケーション内の脆弱性ではなく、SSL / TLSプロトコルに関するものです。セキュリティの専門家として、特定の脆弱性が存在し、それらが達成することができますどのような場所を理解することが重要です。XSSの脆弱性は、ハートブリード攻撃が実行できる妥協につながることができない、とハートブリードの脆弱性が損なわXSSの脆弱性と同じ結果を達成することはできません。

暗号アルゴリズムは暗号する計算を指しているものであり、暗号アルゴリズムが公開されていたとしても解読には膨大な労力を割くことになっている。AESなどの現代の暗号を提供する暗号アルゴリズムは公開されている。逆に、自社開発をした場合、脆弱な暗号化を行う可能性があると同時に、大変なリソースを割くことになるためお勧めできない。

Secure Sockets Layer（SSL）は、公開鍵暗号を使用して、データの暗号化、サーバ認証、メッセージの整合性、およびオプションのクライアント認証を提供します。クライアントは、ウェブサイトにアクセスすると、そのウェブサイトは、保護及び公共部分の両方を有していてもよいです。保護された部分は、いくつかの方法で認証するユーザを必要とします。クライアントが保護されたページへのウェブサイト上で公開ページから移行した場合、Webサーバは、SSLを起動し、このタイプの通信を保護するために必要なタスクを開始します。サーバは安全なセッションが確立されるべきで示す、クライアントにメッセージを送信し、応答したクライアントは、セキュリティパラメータを送信します。それが一致するものが見つかるまで、サーバーには、独自にそれらのセキュリティパラメータを比較します。これは、ハンドシェイクフェーズです。サーバーはそれをデジタル証明書を送信することによって、クライアントに認証し、クライアントがサーバを信頼することを決定した場合、処理が続行されます。クライアントは、セッション鍵を生成し、サーバの公開鍵でそれを暗号化します。この暗号化キーは、Webサーバーに送信され、それらの両方は、彼らが前後に送信するデータを暗号化するために、この対称キーを使用しています。

×：サーバは、セッション鍵を生成し、公開鍵でそれを暗号化します。

サーバがセッションキーを作成していないため、正しくありません。クライアントはセッションキーを作成し、サーバーの公開鍵でそれを暗号化します。SSLは、一般にWebトランザクションで使用され、以下のように動作されるクライアントがセッション鍵を作成し、クライアントは、サーバの公開鍵を用いてセッション鍵を暗号化してサーバに送信し、サーバは、セッション鍵を受信し、その秘密鍵で復号化します。

×：サーバーは、セッション鍵を生成し、秘密鍵で暗号化します。

サーバがセッションキーを作成しませんので間違っている、それは秘密鍵で暗号化されていません。クライアントはセッションキーを作成し、サーバーの公開鍵でそれを暗号化します。サーバは、セッション鍵を受信し、その秘密鍵で復号化します。セッション鍵は、クライアントとサーバの間で送信されるデータを暗号化するために使用されます。

×：クライアントは、セッション鍵を生成し、秘密鍵で暗号化します。

クライアントはそれが生成するセッション鍵を暗号化するために、サーバの公開鍵を使用しているため、正しくありません。クライアントの秘密鍵を使用してセッション鍵を暗号化された場合、クライアントの公開鍵を保有するエンティティは、セッション鍵を復号化することができるであろう。これは、任意のセキュリティを提供しません。サーバの公開鍵、サーバのみ、対応する秘密鍵が-ことができ、それを解読保有してセッション鍵を暗号化することによって。

動的テストとは、開発したプログラムを実際に動かして行うテストです。 静的テストと比較され、実際にプログラムを動かして確認してみる実践的なテストです。