CISA試験問題集は更新された[2023]正解を得る[Q99-Q116]。

4月 2, 20234月 2, 2023 試験問題CISA試験問題集は更新された[2023]正解を得る[Q99-Q116]。 0 コメント

4.7/5 - (3 投票)

CISA試験問題集更新[2023]正解を得る

トレーニングの専門家DumpsMaterialsからの証明ガイドのQ&Aが付いている練習のCISAの質問

Q99. 次のうち、情報セキュリティガバナンス委員会の範囲に入るものはどれか。

組織の外部セキュリティ監査人を選定する

重要な金融システムへのアクセスを承認する

情報セキュリティ意識向上プログラムの内容を見直す

情報セキュリティ技術イニシアチブの優先順位付け

Q100. IS監査人が、ある組織のインフラストラクチャへのアクセス、パッチ適用、および変更管理の監査を計画している。システムに優先順位をつける最も良い方法はどれか。

環境の複雑さ

システムの重要性

インフラ内のシステム階層

制度退職金制度

Q101. 従業員が誤って会社のソーシャルメディアページに機密データを投稿してしまいました。このような事態の再発を防ぐための対策として、最も適切なものは次のうちどれでしょうか？

すべての更新はマーケティング・ディレクターが行うことを義務付ける。

モデレーターの承認プロセスを導入する

ソーシャルメディアの更新を定期的に監査する

ソーシャルメディアアカウントの二要素アクセス制御を確立する

セクション情報資産の保護
説明／参照

Q102. システム開発プロジェクトが完了した時点で、プロジェクト後のレビューには次のうちどれを含めるべきか？

本番リリース後のダウンタイムにつながるリスクの評価

将来のプロジェクトに適用可能な教訓の特定

納入されたシステムのコントロールが機能していることを確認する。

テストデータの確実な削除

説明／参照
説明する：
プロジェクトチームは、一つひとつのプロジェクトから学ぶことがある。リスクアセスメントはプロジェクトマネジメントにとって重要な課題であるため、教訓を蓄積し、将来のプロジェクトに反映させることが重要である。システムを導入する前に、運用グループやその他の専門家とともに、潜在的なダウンタイムの評価を行うべきである。コントロールが機能しているかどうかの検証は、受入テストの段階で行うべきであり、場合によっては、実装後のレビューで再度行うこともある。テストデータは、将来のリグレッションテストのために保持すべきである。

Q103. 送信者の秘密鍵によって暗号化されたメッセージとメッセージ・ハッシュを送信することで、確実になる：

信頼性と誠実さ。

信頼性とプライバシー。

完全性とプライバシー。

プライバシーと否認防止。

説明／参照
説明する：
送信者がメッセージとメッセージ・ハッシュの両方を秘密鍵で暗号化して送信した場合、受信者は送信者の公開鍵をハッシュに適用してメッセージ・ハッシュを得ることができる。受信者は受信したメッセージにハッシュアルゴリズムを適用し、ハッシュを生成することができる。生成されたハッシュと受信したハッシュを照合することで、受信者はメッセージが特定の送信者によって送信されたものであること、つまり真正性が保証され、メッセージが途中で変更されていないことが保証される。真正性とプライバシーは、まず送信者の秘密鍵を使い、次に受信者の公開鍵を使ってメッセージを暗号化することで確保される。プライバシーと完全性は、受信者の公開鍵を使ってメッセージを暗号化し、メッセージのハッシュ/ダイジェストを送信することで確保できる。送信者の秘密鍵を使ってメッセージを暗号化することで、否認防止のみが保証される。送信者の公開鍵は誰でも利用できるため、メッセージを復号化することができる。

Q104. 統制の観点から、情報資産を分類する第一の目的は以下の通りである：

割り当てられるべきアクセス制御のレベルのガイドラインを確立する。

すべての情報資産にアクセス制御が割り当てられていることを確認する。

リスク評価において経営陣と監査人を支援する。

どの資産に損失保険をかける必要があるかを特定する。

情報には、ビジネス目標を達成する上で、さまざまな程度の機密性と重要性がある。情報リソースに機密性と重要性のクラスまたはレベルを割り当てることで、管理者は、割り当てるべきアクセス制御のレベルのガイドラインを確立することができる。エンドユーザ管理者とセキュリティ管理者は、リスク評価プロセスにおいてこれらの分類を使用し、各資産に所定のクラスを割り当てる。

Q105. ITバランススコアカードの主な用途は次のとおりである：

ITプロジェクト・ポートフォリオの評価

IT戦略パフォーマンスの測定

IT予算とリソースの配分

LT関連プロセスにおけるリスクのモニタリング

Q106. 構成管理システムの主な目的は、次のとおりである：

ソフトウェアのアップデートを追跡する。

ソフトウェアのベースラインを定義する。

リリース手順をサポートする。

変更承認を標準化する。

Q107. プライベートブランチエクスチェンジ(PBX)環境には多くのセキュリティリスクが伴います。次のリスクのうち、PBXに関連しないものはどれですか？
1.サービスの窃盗
2.情報の開示
3.データの修正
4.サービス拒否
5.交通分析

3と4

4と5

1-4

これらはすべてPBXに関連するリスクである。

説明／参照
NOTは設問で使われているキーワードです。PBXに関連しないリスクを見つける必要があります。選択肢にあるリスクはすべてPBXに関連するものです。
PBX電話システムの脅威は、攻撃者の目的によってさまざまで、次のようなものがある：
サービスの窃盗 - 料金詐欺、おそらく攻撃者の最も一般的な動機。
情報の開示 - 意図的な行為または偶然の事故により、許可なく開示されたデータ。
例えば、会話の盗聴、ルーティングやアドレスデータへの不正アクセスなどである。
データの変更 -データの記録、削除、変更により、何らかの意味のある方法でデータを変更すること。例えば、侵入者が請求情報を変更したり、追加サービスを得るためにシステム・テーブルを変更したりする。
不正アクセス - 許可されていないユーザーがシステム・リソースまたは特権にアクセスすることを許可する行為。
サービス拒否（Denial of Service） - システムが意図された目的に沿って機能することを妨げる行為。機器やエンティティが操作不能になったり、デグレードした状態で操作せざるを得なくなったりすることで、適時性に依存する業務が遅延することがある。
トラフィック分析 - 侵入者が通話に関する情報を観察し、発信元と着信先の番号、メッセージの頻度と長さなどから推論を行う受動的攻撃の一種。例えば、侵入者が企業の法務部門と特許事務所間の大量の通話を観察し、特許が申請されていると結論付ける。
以下は不正解だった：
オプションで提示されたリスクはすべてPBXに関連するものだ。だから、他の選択肢は有効ではない。
この問題を作成するために、以下の参考文献を使用しました：
CISAレビューマニュアル2014 ページ番号356

Q108. ハブは接続する装置である：

異なるプロトコルを使用する2つのLAN。

LANとWAN。

LANとメトロポリタン・エリア・ネットワーク（MAN）。

単一のLANの2つのセグメント。

説明／参照
説明する：
ハブとは、1つのLANの2つのセグメントを接続する装置である。ハブはリピータである。同じLANのすべてのセグメントのユーザーに透過的な接続を提供する。レベル1のデバイスです。
不正解：
A.ブリッジは、OSIレイヤーのレベル2で動作し、異なるプロトコルを使用する2つのLANを接続して（例えば、イーサネットとトークンネットワークを結合して）論理ネットワークを形成するために使用されます。
B.レベル7のデバイスであるゲートウェイは、LANをWANに接続するために使用されます。
C.LANはネットワーク層で動作するルーターを使ってMANと接続される。

Q109. 組織の情報保護について、最も責任を負うべき役割はどれか？

取締役会

最高情報セキュリティ責任者（CISO）

データ所有者

最高情報責任者（CIO）

セクション情報資産の保護

Q110. フォレンジックデータの収集と保存手順において、最も重要なものはどれか？

機器の物理的セキュリティの確保

チェーン・オブ・カストディの維持

使用するツールの決定

データの完全性の保持

Q111. コンプライアンス・テストの結果、最も可能性が高いのはどれか。

物理的カウントとのデータ比較

外部ソースによるデータの確認

処理ミスによるエラーの特定

適用されていないコントロールの発見

Q112. ある組織が、退職するスタッフから回収した会社支給のスマートフォンを再利用したいと考えています。次のうち、最も推奨されるのはどれでしょうか？

スマートフォンのメモリーカードを交換する必要がある。

データはスマートフォンから安全に削除すべきである。

SIMカードと電話番号を変更する必要があります。

スマートフォンは再利用されるべきではなく、物理的に破壊されるべきである。

Q113. SQLインジェクションの脆弱性に対処するための最善の対策とは？

入力検証

ユニコード翻訳

セキュア・ソケット・レイヤー（SSL）暗号化

デジタル署名

Q114. 将来、同じようなインシデントが発生するのを防ぐために、組織のインシデント対応計画に盛り込むことが最も重要なのはどれか。

封じ込めと中立化行動

インシデントの詳細を文書化

事故の終結手順

事故後のレビュー

Q115. ITリスクの評価は、以下の方法で行うのがベストである：

既存のIT資産やITプロジェクトに関連する脅威を評価する。

現在のエクスポージャーを決定するために、会社の過去の実際の損害経験を使用する。

比較可能な組織から公表されている損害統計を検討すること。

監査報告書で特定されたIT統制の弱点を見直す。

セクション情報資産の保護
説明する：
ITリスクを評価するためには、定性的または定量的なリスクを用いて脅威と脆弱性を評価する必要がある。
評価アプローチ選択肢B、C、Dは、リスク評価プロセスに有用なインプットとなる可能性がある、
が、それだけでは十分ではない。過去の損失に基づいて評価しても、それを適切に反映することはできない。
会社のIT資産、プロジェクト、統制、戦略的環境に不可避の変化が生じる。また
評価可能な損害データの範囲と質に問題がある可能性が高い。比較可能な
組織は、IT資産、統制環境、戦略的状況に違いがある。
従って、組織のITリスクを直接評価するために、その損失経験を使用することはできない。コントロール
監査中に特定された弱点は、脅威への暴露を評価する上で重要であり、さらなる分析が必要である。
脅威の確率を評価するために必要である。監査の対象範囲によっては、以下のような可能性がある。
重要なIT資産やプロジェクトはすべて最近監査を受けており、十分な監査が行われていない可能性がある。
戦略的ITリスクの評価

Q116. 次のPBX機能のうち、着信コールを次の利用可能なエージェントに分配するか、またはエージェントが利用可能になるまで保留にするようにPBXを設定できるものはどれですか？

自動コール分配

転送電話

テナント

ボイスメール

説明／参照
自動着信分配により、着信コールを次に利用可能なエージェントに分配するか、利用可能になるまで保留するようにPBXを設定することができます。
試験のために、以下のPBXの特徴とリスクについて知っておく必要があります：
システムの特徴
説明
リスク
自動コール分配
着信コールを次に利用可能なエージェントに分配するか、利用可能になるまで保留するようにPBXを設定できます。
タッピングとトラフィックのコントロール
転送電話
特定の条件に基づいて電話を転送する代替番号を指定できるようにするユーザー追跡
口座コード
に使用される：
ダイヤルインシステムアクセス（ユーザーが外部からダイヤルし、PBXの通常の機能にアクセスする）ユーザーが別の機能（オーバーライド機能など）にアクセスできるように、ユーザーサービスクラスを変更する。
不正行為、ユーザー追跡、非認証機能
アクセスコード
従来のアナログ電話など、シンプルな機器を持つユーザーが特定の機能にアクセスするためのキー。
非公認の機能
サイレント・モニタリング
他の通話を静かに監視
盗聴
会議
複数のユーザーによる会話が可能
望まない/知らない相手を会議に加えることによる盗聴
オーバーライド
通話中の回線に侵入して、他のユーザーに重要なメッセージを伝えることができる。
自動応答
通常、呼び出されたときに、計器が自動的に動き出すようにする。
様々な目的のために、通常では得られない情報を得る。
テナント
同じテナント・グループに属するユーザーだけにシステム・ユーザー・アクセスを制限する。ある会社がビルの一部を他の会社に貸し出しており、テナントがアテンダントやトランク回線などを共有している場合に便利。不正使用、詐欺、盗聴。
ボイスメール
メッセージを一元的に保存し、パスワードを使用することで、内線または外線からメッセージを取り出すことができる。
侵入者によってそのユーザーのパスワードが知られたり発見されたりした場合、そのユーザーのすべてのメッセージの開示または破壊、長文のメッセージや埋め込みコードによるボイスメールシステム、さらにはスイッチ全体の無効化、外線への不正アクセス。
プライバシーポリシー
複数のデバイス間での共有エクステンションをサポートし、一度に1つのデバイスだけがエクステンションを使用できるようにします。プライバシー・リリースは、すでに使用されている拡張機能への接続をデバイスに許可することで、セキュリティを無効にします。
盗聴
通話中の内線がない
使用中の内線が会議中で、すでにオフフックになっている場合に、その内線へのコールを会議に追加できるようにします。
会議中の盗聴
診断
通常の通話制限手順をバイパスできるようにする。この種の診断は、接続されたどの機器からでも利用できることがある。通常の保守端末やアテンダント診断とは別の機能です。
不正および違法使用
キャンプオンまたはコールウェイティング
アクティブにすると、別の通話を受信しているオフフックの機器に、視覚的な音声による警告を送ります。
この機能のもう一つのオプションは、キャンプオンまたはコールウェイティングで会議することである。
専用コネクション
PBXを経由して、通常のダイヤル手順を使わずに接続すること。デバイス間でホットラインを作成するために使用することができます。また、機器と中央処理施設間のデータ接続にも使用される。
盗聴
以下は不正解だった：
電話転送 - 特定の条件に基づいて電話を転送する代替番号を指定できます。
テナント - 同じテナント・グループに属するユーザーだけにシステム・ユーザー・アクセスを制限します。ある会社がビルの一部を他の会社に貸し出しており、テナントがアテンダントやトランク回線などを共有している場合に便利です。
ボイスメール - メッセージを一元的に保存し、パスワードを使用することで、内線または外線からメッセージを取り出すことができます。
この問題を作成するために、以下の参考文献を使用しました：
CISA レビューマニュアル 2014 ページ番号 358

ローディング …