ラッキーさんへ
コメントをいただきましてありがとうございます。
申し訳ありませんが、これ以外でまとめている記事はありません。
ご参考までに、本記事の文中にある問題については、以下のサイト等を参考にさせていただきました。
https://piedpin.com/top/2021/06/07/quiz-domain-1/ (2021年07月30日 22時40分26秒)
コメントをいただきましてありがとうございます。
申し訳ありませんが、これ以外でまとめている記事はありません。
ご参考までに、本記事の文中にある問題については、以下のサイト等を参考にさせていただきました。
https://piedpin.com/top/2021/06/07/quiz-domain-1/ (2021年07月30日 22時40分26秒)
PR
kinada3
はてなブログをはじめました https://iestudy.hatenablog.com/ 調べたことを自分のために残しているブログです。 可能な限り正確な情報を書くようにしていますが、間違っていたり、情報が古くなったりすることがあります。なので、情報の正確性やその他、なにかを保証することはできません。
2026年06月
2026年05月
2026年04月
2026年05月
2026年04月
2026年03月
2026年02月
2026年02月
キーワードサーチ
▼キーワード検索
コメント新着
フリーページ
2019年04月22日
カテゴリ: 資格勉強用
1.セキュリティとリスクマネジメント
概要
セキュリティとリスクマネジメントのドメインでは、情報資産の保護の基準を確立し、その保護の有効性評価について触れている。
1.1.CIA3要素(CIA Triad)
1.2.セキュリティガバナンス
ガバナンスの目的
・リスクの低減
・セキュリティへの適切な投資
・経営幹部が効果を確認できるための可視化
情報セキュリティマネジメント
物理、業務、管理、技術、運用によりコントロールすることで、組織の資産を保護する。
組織の使命を支える情報とシステムはセキュリティの専門家によって保護されなくてはならない。
完璧なセキュリティ対策は非現実的である。
それにはコストがかかり、また、新しい脅威にさらされるため永続するものではない。
→情報セキュリティマネジメントは継続的に見直されなければならない。
Due Diligence(適度な注意)が必要。
組織の合併により生じるリスク
・システム結合に伴う脆弱性
・より、高度な保護が必要になる資産の発生
・新たに適応が必要になる法律など
組織売却に伴うリスク
・従業員の移動に伴う情報漏洩
・システム可視性の消失
ポリシー等の言葉の整理
情報セキュリティの責任者は、事業目標を理解し、リスクアセスメントを行い、経営幹部にリスクを伝える責任がある。
・情報セキュリティの重要性に対する認識を維持する
・組織階層の深さのために伝言ゲームになることによる不正確な内容の伝達を阻止する。
戦略的計画(Strategic Planning)
セキュリティ活動の長期的(3~5年間)な見通し。組織の改定や年一くらいで見直される必要がある。
戦術的計画(Tactical Planning)
指定された目標を支援して達成するための計画で、具体的な目標を達成するために3~18か月と短めの期間を設定する。
組織のビジョンと整合性を取り、支援するもの
Mission Statement
ビジョン全体を支える目標
技術者以外の人も容易に理解できることが重要であるため、長文でないほうが望ましい。
概要
セキュリティとリスクマネジメントのドメインでは、情報資産の保護の基準を確立し、その保護の有効性評価について触れている。
1.1.CIA3要素(CIA Triad)
機密性(Confidentiality):認可されたユーザが必要のある情報にアクセスする状態の維持。
・Need to Know
・Least Privilege(最小特権)
・機密性の保護には情報の暗号化が使用できる。
・考えられるリスクとして、ハッカーによる攻撃、ソーシャルエンジニアリング、トロイの木馬等がある。
完全性(Integrity):意図的または、偶発的に行われる変更から情報を保護すること。
既定の手順に沿って情報が変更されることを保証するためのもの。
・SLDC(System Development Life Cycle)における承認や、職務の分離等が対策になりうる。
可用性(Availability):アクセス権のある人が利用できる状態を保つ事。
・可用性を脅かすものとしては、DoS攻撃、人災、天災がある。
・停止時間が大きくなることによるリスクがある。
・対策として、
物理 →DRサイト、冗長構成
論理 →ミラーリング、自動バックアップ
・Need to Know
・Least Privilege(最小特権)
・機密性の保護には情報の暗号化が使用できる。
・考えられるリスクとして、ハッカーによる攻撃、ソーシャルエンジニアリング、トロイの木馬等がある。
完全性(Integrity):意図的または、偶発的に行われる変更から情報を保護すること。
既定の手順に沿って情報が変更されることを保証するためのもの。
・SLDC(System Development Life Cycle)における承認や、職務の分離等が対策になりうる。
可用性(Availability):アクセス権のある人が利用できる状態を保つ事。
・可用性を脅かすものとしては、DoS攻撃、人災、天災がある。
・停止時間が大きくなることによるリスクがある。
・対策として、
物理 →DRサイト、冗長構成
論理 →ミラーリング、自動バックアップ
1.2.セキュリティガバナンス
セキュリティガバナンスとは
コーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを情報セキュリティの観点から企業内に構築・運用すること。
コーポレート・ガバナンス(corporate governance)とは
企業の不正行為の防止と競争力・収益力の向上を総合的にとらえ、長期的な企業価値の増大に向けた企業経営の仕組み。 日本語では企業統治。
企業の不正行為の防止と競争力・収益力の向上を総合的にとらえ、長期的な企業価値の増大に向けた企業経営の仕組み。 日本語では企業統治。
→企業の評判が危険にさらされるリスクへの対策
ガバナンスの目的
・リスクの低減
・セキュリティへの適切な投資
・経営幹部が効果を確認できるための可視化
情報セキュリティマネジメント
物理、業務、管理、技術、運用によりコントロールすることで、組織の資産を保護する。
組織の使命を支える情報とシステムはセキュリティの専門家によって保護されなくてはならない。
完璧なセキュリティ対策は非現実的である。
それにはコストがかかり、また、新しい脅威にさらされるため永続するものではない。
→情報セキュリティマネジメントは継続的に見直されなければならない。
Due Diligence(適度な注意)が必要。
組織の合併により生じるリスク
・システム結合に伴う脆弱性
・より、高度な保護が必要になる資産の発生
・新たに適応が必要になる法律など
組織売却に伴うリスク
・従業員の移動に伴う情報漏洩
・システム可視性の消失
一般的な職位
CEO(Chief Executive Officer:最高経営責任者)
COO(Chief Operating Officer:最高執行責任者)
CIO(Chief Information Officer:最高情報責任者)
CISO(Chief Information Security Officer: 最高セキュリティ責任者)
| 種別 | 概要 |
|---|---|
| ポリシー | 経営陣の指針(経営の目標・目的)を含む。 情報セキュリティ「計画」とその「目的」「手段」「達成目標」と「責任分担」を定める。 情報セキュリティに対する「組織全体の理念」を定義する。 特定の技術やソリューションに依存「しない」「簡潔」な文書となる。 概略的に記述されるため、実現するための方法を「スタンダード」「プロシージャ」「ベースライン」「ガイドライン」を用いて従業員等の各関係者に示す必要がある。 |
| スタンダード | 組織全体で一貫して使用するように標準化されたハードウェアソフトウェア「製品」。部署による違いをなくすため「標準化」する。 |
| ベースライン | 組織全体に一貫したレベルのセキュリティをもたらす「基準線」で、どのレベルを最低限にするかを定める。 「パラメータ」や「パスワード長」のような設定方法・ルール。 |
| プロシージャ | ステップバイステップの行動を記述する、いわゆる「手順書」であり「具体的」な方法を記載する。 例としてウイルス定義ファイルの更新頻度や更新「手順」を定めたり、有事の報告「手順」を定めたりする。 |
| ガイドライン | 推奨行動であり、まもる義務は「ない」。例としてISO等の「国際標準」や「ベストプラクティス」類 |
情報セキュリティの責任者は、事業目標を理解し、リスクアセスメントを行い、経営幹部にリスクを伝える責任がある。
・情報セキュリティの重要性に対する認識を維持する
・組織階層の深さのために伝言ゲームになることによる不正確な内容の伝達を阻止する。
戦略的計画(Strategic Planning)
セキュリティ活動の長期的(3~5年間)な見通し。組織の改定や年一くらいで見直される必要がある。
戦術的計画(Tactical Planning)
指定された目標を支援して達成するための計画で、具体的な目標を達成するために3~18か月と短めの期間を設定する。
組織のビジョンと整合性を取り、支援するもの
Mission Statement
ビジョン全体を支える目標
技術者以外の人も容易に理解できることが重要であるため、長文でないほうが望ましい。
ガバナンスプログラムのコントロールフレームワーク
1.一貫性(Consistent)
2.測定可能性(Measurable)
3.標準化(Standardized)
4.包括的(Comprehensive)
5.モジュール形式(Modular)
妥当な注意(Due Care)
常識人(Reasonable Person)が所定の状況下で行使するであろう注意
適切な注意(Due Diligence)
上記に加えて、先制的に対処するもの
GRC(Governance、RiskMnagament、Compliance)
ガバナンス
ガバナンスとは、統治のあらゆるプロセスをいう。
政府、企業などの組織のほか、領土、ITシステム、権力などにも用いられる広い概念である。
ガバナンスにおいては、関係者がその相互作用や意思決定により、
社会規範や制度を形成し、強化し、あるいは再構成していく。
リスクマネジメント
法律に準拠しないことは事業にとって、おおきなリスクとなる。
海外拠点など法が違う場合もある。
リスクマネジメントの観点からもコンプライアンスは重要。
コンプライアンス
法令順守。どの国の法令?ってとこまで視野を広げて考える。
スケアウェア(Scareware)
ユーザを脅して恐怖心をあおり、金銭や個人情報を奪うマルウェア
著作権(Copyright)
特許(Patent):20年間、他者による発明の利用を排除する
商標(Trademark Law):組織が製品やサービスのイメージを保護する権利
プライバシー関連
個人情報の収集では収集目的が収集以前に明確化されており、収集した情報はその目的のために使われなければならない。
また、情報の開示は上記の目的以外のために開示すべきではないが、データ主体の同意がある場合や、法の権限によるものである場合は開示される。
Organization for Economic Cooperation and Development (OECD、経済協力開発機構)
データ侵害
言葉の定義
インシデント(incident):情報資産の完全性、機密性、可用性を損なうセキュリティイベント
侵害(Breach):データ漏洩または潜在的な被害をもたらすインシデント
データ漏洩(Data Disclosure):権限のない当事者にデータが漏洩する侵害
参考書籍
ワッセナーアレンジメント(Wassenaar Arangement)
通常兵器の輸出管理に関する、国際的な申し合わせ 。
特定の国に武器が集まりすぎることを防ぐために輸出規制をする。
PII (Personally Identifiable Information)
個人を特定できる情報のこと
PII (Personally Identifiable Information)
個人を特定できる情報のこと
プライバシー関連
個人情報の収集では収集目的が収集以前に明確化されており、収集した情報はその目的のために使われなければならない。
また、情報の開示は上記の目的以外のために開示すべきではないが、データ主体の同意がある場合や、法の権限によるものである場合は開示される。
Organization for Economic Cooperation and Development (OECD、経済協力開発機構)
データ侵害
言葉の定義
インシデント(incident):情報資産の完全性、機密性、可用性を損なうセキュリティイベント
侵害(Breach):データ漏洩または潜在的な被害をもたらすインシデント
データ漏洩(Data Disclosure):権限のない当事者にデータが漏洩する侵害
クライムウエア(crimeware)
犯罪行為を行う目的で作られたソフトウエアのこと。
IDやパスワードなどの個人情報を盗むものや、他の悪質なコードをダウンロードさせるもの、スパムメールを拡散させるためのボットネットを構築するものなどがある。
技術的な知識がなくてもクライムウェアを作成できるクライムウエアキットも闇社会では流通しており、その被害はますます深刻化している。
2.最悪な場合に対応する、より高い倫理(Higher ethic in the worst case)
最悪の状況下で被害を最小限にする
3.スケール変更テスト
自分ひとりでやることと、大人数でやることでは影響度が違う
4.所有者の所有権の保全
情報が合理的に保護されていること
5.ユーザの所有権の保全
セキュリティポリシーと策定の実装
ポリシーは経営陣の期待事項を伝えるもの
BC/DRの要件
DRの始まりは業務の機械化の推進によるもの。
現在の業務では、機械が故障しても手作業に戻して実行できるほどのリソースがない。
P*M=Cの式(財務リスクの計算)
・被害の確率(Probability of Harm)=被害が起こる可能性
・被害の大きさ(Magnitude of Harm)=被害が起きた際の財政的被害額
・予防コスト(Cost of Prevension)=予防のためのコスト
緊急時の対応計画を検討しておくことのメリット
・多くの単一障害点(Single Point of Failure)を認知できる
ビジネスインパクト分析 災害など不測の事態によって業務やシステムが停止した場合に、会社の事業に与える影響度を評価すること。 BIA(Business Impact Analysis)とも呼ばれ、事業継続計画を立てるうえで必ず実行しなくてはならないステップ。
最大許容停止時間の決定
すべてのアプリケーションは復旧に対する制限時間に沿って分類される必要がある。
復旧時間目標(Recovery Time Objective)
最大許容停止時間(Maximum Tolerable Downtime)
目標復旧時点(Recovery Point Objective)・・・プランナーが設定する復旧のポイント。
データなどはRPOに準拠する必要がある。
リスクの考え方
脅威(Threat)・・・主に発生確率により測定される。外部、内部の脅威が考えられる。
資産(Asset)
低減要因(Mitigating Factor)
採用候補者の適格審査
従業員のモラルが低下するとコントロールの順守が低下する
バロメータ:指標
スクリーニングとは、様々な状況や条件の中から必要なものを選出することをいいます。
リファレンスチェック:個人が雇用主に提出する書類のチェックなど
バックグラウンドチェック:組織が個人の素性を調査する
法律顧問及び人事はスクリーニングプロセスやプロシージャの策定に関与するべき
NDA(Non Disclosure Agreement):秘密保持契約
従業員が退職した後も企業の重要情報や知的財産を守る事項が記載されている。
ジョブローテーション
個人間の共謀のリスクを低減する。職務の分離とジョブローテーションを統合することが役に立つ。
職務の分離(SOD、Separation Of Duties):一個人に特定のプロセスのすべてのステップを実行する権限を与えるべきではない。
情報システム部門はビジネスシステムにデータを入力することが禁止されていなければならない等
リスクアセスメントの方法論
NIST SP800-30、39、66
CRAMM
スパニングツリー分析
脅威をブランチとしてシステムにかかわるリスクのツリーを作成する。
リスク分析を行い、適用しないリスクを刈り取る。
脆弱性の報告
・フォールスポジティブ:脆弱性が存在していなくても報告される結果
・フォールスネガティブ:報告されるべきであったのに報告されなかった脆弱性
リスク回避:リスクが現実化しないように代替案を出すこと
リスク移転:保険など。財務リスクは保険で移転が可能だが、評判の失墜などは移転できない。
リスク低減:リスクレベルの大幅な低下
リスク受容:何もせずに受け入れる。その場合は文書化する。
Risk Inventory:内在するリスク
アクセス制御
1.指示(Directive):組織における行動規則
2.抑止(Deterrent):指示に違反しないようにするためのコントロール
3.防止(Preventative):インシデントを防止するためのコントロール
4.補償(Compensating):代替
5.検知(Detective):コントロールが破られたときに警告する
6.是正(Corrective):コントロールの復元
7.復旧(Recovery):正常な状態への復旧
コントロールの実装方法
管理コントロール:責任やポリシー、プロシージャによる実装
論理コントロール:ソフトウェアによるコントロール
物理コントロール:施設など、物理的なコントロール
物理的な入室
要員のアクセス許可は、許可される前に調査プロセスに合格しなくてはならない。
管理コントロール
・ポリシーとプロシージャ
・人的セキュリティ、評価及びクリアランス(情報を取り扱う資格のこと)
・セキュリティポリシー
・モニタリング
・ユーザ管理
・特権管理
アクセス制御の盲点
アクセス制御は、アクセスを許可されるユーザの評価が抜け落ちやすい観点となる。
暗号化のメリット
EX:企業においてファイルの共有に一般的なストレージを使うしかない場合、対象ファイルを暗号化し、閲覧する必要のあるユーザのみパスワードを通知する、という方法も考えられる。
テーラリング 洋服の仕立て、仕立て直し、という意味の英単語。 ITの分野では、業務プロセスやシステム開発プロセスなどについて、 一般的あるいは全社的な標準を元に、個別の部署やプロジェクトに合った具体的な標準を策定すること。
ペネトレーションの戦略
外部診断:外部からの攻撃診断
内部診断:内部における攻撃診断
ブラインド診断:診断チームには限られた情報のみ提供される。
ダブルブラインド診断:IT部隊(守る側)にも診断を行うことを告げずに行う。
インシデントの対応についても評価できる。
有形資産(Tangible Asset)と無形資産(Intangible Asset)
無形資産は、商標や特許、著作権などのものが含まれる。
War Dialing
特定の範囲の電話番号を機械的に呼び出すこと。
継続的改善には主にPDCAが使われている。
これはDeming CycleまたはShewhart Cycleとも呼ばれる。
改善における2つの分類
継続的改善:様々な分野をカバーする一般的な改善
連続的改善:既存のプロセス内で連続的で漸進的な改善
リスクマネジメントフレームワーク
・リスクの選好と戦略の調整
・リスク対応の決定の強化
・運用上の想定外イベントと損失の低減
・複数の企業全体のわたるリスクの特定と管理
・機会獲得
・資本配備の改善
エンタープライズリスクマネジメントのコンポーネント
・内部環境
・目標設定
・イベントの特定
・リスクアセスメント
・リスク対応
・コントロールアクティビティ
・情報とコミュニケーション
・モニタリング
そもそも、リスクマネジメントフレームワークとは
AS(Austrarian Standard)規格では以下の通り定義している。
「組織全体のリスクマネジメントの設計、実装、監視、レビュー、継続的改善に対して、基盤と組織の取り決めを提供する。」
ISO31000:普遍的なリスクマネジメントの原則やガイドラインを提供する。
関連規格
ISOガイド73:用語の定義
ISO/IEC31010リスクアセスメント技法関連
エンタープライズリスクマネジメント
COSO(Committee of Sponsoring Organization of the Treadway Commission)
NIST SP800-37
連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド
1.情報システムのカテゴリー化
2.セキュリティコントロールの選択
3.セキュリティコントロールの実装
4.セキュリティコントロールの評価
5.情報システムの認可
6.セキュリティコントロールの監視
米国国防総省DOD(Department of Defense)
国防総省情報技術のためのリスクマネジメントフレームワーク
DoDI8510.01
サプライチェーンのリスクマネジメント
物の調達に関して、OEMや認定リセラー等から機器を調達することが一つのセキュリティの担保方法である。
例題
1. ITセキュリティの分野において,リスクを最もよく定義している組み合わせは次のうちどれか.
A. 侵害と脅威
B. 脆弱性と脅威
C. 攻撃と脆弱性
D. セキュリティ違反と脅威
B:脆弱性は,対策が講じられていないか,対策が不十分なものである. 脅威は,脆弱性の悪用に関連する潜在的な危険性である.具体的には,誰か,もしくは何かが,個別の脆弱性を特定し,それを企業や個人に対して悪用することである. リスクとは,脅威となる攻撃者が脆弱性を悪用する可能性と,それが事業に与える影響のことである.
2. 無形資産の価値を決定する際の最良のアプローチはどれか.
A. 物理的なストレージコストを決定し,企業の予想寿命をかける
B. 財務または会計の専門家の助けを借りて,資産がどれだけ利益を返すかを決定する
C. 過去3 年間の無形固定資産の減価償却費をレビューする
D. 無形資産の過去の取得費または開発費を使用する
B:無形資産の価値を決定するのは難しい.無形資産の価値を判断するにはいくつかの方法があるが,最良のアプローチは,財務または会計の専門家の支援を得て,資産が組織に与える影響を判断することである.
3. 定性的リスクアセスメントを特徴づけているのは次のうちどれか.
A. 容易に実施することができ,リスクアセスメントプロセスの理解が浅い人員でも完了することができる
B. リスクアセスメントプロセスの理解が浅い人員でも完了することができ,リスクの計算に詳細なメトリックスを使用する
C. リスクの計算に詳細なメトリックスを使用し,容易に実施することができる
D. リスクアセスメントプロセスの理解が浅い人員でも,リスク計算に詳細なメトリックスを使用して完了することができる
A:定性的リスクアセスメントは,「高,中,低」などの階層化されたリスクを使用するリスクアセスメントの一種である. この単純化されたアプローチにより,リスクアセスメントに精通していない人々でもリスクアセスメントを実行することができる. 定量的アセスメントほど具体的ではないが,実施する意味はある.
4. 単一損失予測(SLE)は次のどれを使用して計算されるか.
A. 資産価値と年間発生頻度(ARO)
B. 資産価値,現地年間頻度推定値(LAFE),および標準年間頻度推定値(SAFE)
C. 資産価値と暴露係数
D. 現地年間頻度推定値と年間発生頻度
C:SLE を計算するための公式は,SLE =資産価値($)× 暴露係数(脅威の悪用が成功したことによる損失の割合,%)である.
5. どのような種類のリスクアセスメントを実施するかを決定する際に検討すべき項目をすべて挙げたものはどれか.
A. 組織の文化,暴露の可能性と予算
B. 予算,リソースの能力および暴露の可能性
C. リソースの能力,暴露の可能性および予算
D. 組織の文化,予算,能力およびリソース
D:組織は,組織の文化,人員の能力,予算,タイムラインに最も適したリスクアセスメント手法,ツール,およびリソース(人を含む)を選択することが期待される.
6. セキュリティ意識啓発トレーニングに含まれるものは次のうちどれか.
A. 制定されたセキュリティコンプライアンス目標
B. スタッフのセキュリティの役割と責任
C. 脆弱性評価の上位レベルの結果
D. 特別なカリキュラムの割り当て,学習課題,および認定された機関
B:セキュリティ意識啓発トレーニングは,情報セキュリティ要件の遵守において,組織が従業員に役割とその役割を取り巻く期待について知らせる方法である. さらに,トレーニングでは通常,特定のセキュリティまたはリスクマネジメント機能のパフォーマンスに関するガイダンスを提供するとともに, セキュリティおよびリスクマネジメント機能に関する情報も提供する.
7. コミュニティや社会の規範に影響を及ぼす,資産の責任ある保護の最低限かつ慣例的な行動は次のうちどれか.
A. 適切な注意(Due Diligence)
B. リスク低減
C. 資産保護
D. 妥当な注意(Due Care)
D:適切な注意とは,会社が直面するリスクを調査し,理解する行為である. 企業は,セキュリティポリシー,プロシージャー,スタンダードを策定することにより,妥当な注意を実現する. 妥当な注意とは,企業が,企業内で行われる活動に対して責任を負い,企業,そのリソース,従業員をリスクから保護するために必要な措置をとったことを示している. したがって,現実の脅威とリスクを理解することが適切な注意であり,その脅威から保護するための対策を導入することが妥当な注意である. 企業が資産の安全を保障するために妥当な注意と適切な注意を実施していない場合,実施していないことについて法的な責任を負い,実施しなかったことによる損失に説明責任を負う可能性がある.
8. 効果的なセキュリティマネジメントとは次のうちどれか.
A. 最低コストでセキュリティを実現する
B. リスクを受容水準まで低減する
C. 新製品のセキュリティを優先する
D. タイムリーにパッチをインストールする
B:組織には,受容された残存リスクが常に存在する. 効果的なセキュリティマネジメントとは,組織のリスク耐性力またはリスクプロファイルに適合するレベルまで,このリスクを最小化することである.
9. 可用性は,以下のどれから保護することによって,情報へのアクセスを可能にすることか.
A. サービス拒否攻撃,火災,洪水,ハリケーン,不正取引
B. 火災,洪水,ハリケーン,不正取引,読み取り不能なバックアップテープ
C. 不正取引,火災,洪水,ハリケーン,読み取り不能なバックアップテープ
D. サービス拒否攻撃,火災,洪水,ハリケーン,読み取り
D:可用性は,情報が利用可能であり,必要に応じてユーザーがアクセスできるという原則である. システムの可用性に影響を及ぼす2 つの主な領域は,
① サービス拒否攻撃,
② 災害によるサービス喪失(人為的または自然的な可能性がある)である.
10. 事業継続計画,災害復旧計画を最も正しく定義した語句は,次のうちどれか.
A. 災害を防止するための一連の計画
B. 災害に対応するための承認済みの準備と十分な手順
C. 管理者の承認なしに災害に対応するための一連の準備と手順
D. すべての組織機能を継続するための適切な準備と手順
D:事業継続計画(Business Continuity Planning:BCP)および災害復旧計画(Disaster Recovery Planning:DRP)は, 通常の事業運営に重大な機能停止が生じた場合に,事業の保全を確実にするために必要な準備,プロセス,実践に関するものである.
11. 事業影響度分析(BIA)で最初に実行する必要があるステップは次のうちどれか.
A. 組織内のすべての事業部門を特定する
B. 破壊的なイベントの影響を評価する
C. 復旧時間目標(RTO)を見積もる
D. ビジネス機能の重要性を評価する
A:BIA プロセスサイクルの4 つのステップは次のとおりである.
1. 情報を収集する
2. 脆弱性評価を実施する
3. 情報を分析する
4. 結果を文書化し,推奨事項を提示する BIA の最初のステップは,受け入れ可能なレベルの業務を継続するために,どの事業部門が不可欠であるかを特定することである.
12. 戦術的セキュリティ計画が最も利用されるのは次のうちどれか.
A. 高度なセキュリティポリシーの確立
B. 企業全体のセキュリティマネジメントの有効化
C. 停止時間の削減
D. 新しいセキュリティ技術の導入
D:戦術的計画は,指定された目標を支援し達成するための広範なイニシアチブを提供する. これらのイニシアチブには,コンピュータ制御ポリシーの開発と配布プロセスの確立,サーバー環境の堅牢な変更管理の実装, 脆弱性管理を使用したサーバー上の脆弱性の低減,「ホットサイト」災害復旧プログラムの実装,アイデンティティ管理ソリューションの実装などの展開を含む. これらの計画はより具体的であり,その対応を完了するための複数のプロジェクトで構成されている. 戦術的計画は,会社の具体的なセキュリティ目標を達成するために,6 ~18 カ月など期間を短く設定する.
13. 情報セキュリティの実装に責任を負う者は誰か.
A. 全員
B. 経営幹部
C. セキュリティ責任者
D. データオーナー
C:セキュリティ責任者は,開発の各フェーズ(分析,設計,開発,テスト,実装,実装後)でプロジェクトのコストを考慮してセキュリティを確保するために, アプリケーション開発マネージャーと協力しなければならない.独立性の観点から,これを最も有効に機能させるためには,セキュリティ責任者はアプリケーション開発部門の配下になるべきではない.
14. セキュリティは,どのフェーズで対処すると,最も費用がかかる可能性が高いか.
A. 設計
B. ラピッドプロトタイピング
C. テスト
D. 実装
D:セキュリティは,アプリケーション実装時または実装後に思いつきで追加する場合に比べ,設計時に組み込む場合の方がずっと安価である.
15. 情報システム監査人が組織を支援するものは次のうちどれか.
A. コンプライアンスの問題を緩和する
B. 有効なコントロール環境を確立する
C. コントロールギャップを特定する
D. 財務諸表の情報技術対応
C:監査人は,情報セキュリティの維持と改善に不可欠な役割を果たし,コントロールの設計,有効性,および実装について,独立した見解を提供する. 監査の結果として,問題を解決し,リスクを低減するための管理対応と是正措置計画を求める指摘事項を作成する.
16. ファシリテイテッドリスク分析プロセス(FRAP)が基本的な前提としているものは次のうちどれか.
A. 幅広いリスクアセスメントは,システム,事業セグメント,アプリケーションまたはプロセスにおけるリスクを決定する最も効率的な方法である
B. 狭いリスクアセスメントは,システム,事業セグメント,アプリケーションまたはプロセスにおけるリスクを決定する最も効率的な方法である
C. 狭いリスクアセスメントは,システム,事業セグメント,アプリケーションまたはプロセスにおけるリスクを決定する最も効率的な方法ではない
D. 幅広いリスクアセスメントは,システム,事業セグメント,アプリケーションまたはプロセスにおけるリスクを決定する最も効率的な方法ではない
B:ファシリテイテッドリスク分析プロセス(FRAP)は,狭いリスクアセスメントが, システム,事業セグメント,アプリケーションまたはプロセスにおけるリスクを決定する最も効率的な方法であるということが基本的な前提である. このプロセスにより,組織は,アプリケーション,システムまたはその他の対象を事前選別して,リスク分析が必要かどうかを判断することができる. 独自の事前選別プロセスを確立することにより,組織は,正式なリスク分析が本当に必要な課題に集中することができる. このプロセスは資本支出が少なく,優れたファシリテーションスキルを持つ人であれば,誰でも行うことができる.
17. セキュリティの役割を明確に設定することの利点は次のうちどれか.
A. 個人の説明責任を確立し,クロストレーニングの必要性を低減し,部門間の争いを低減する
B. 継続的な改善を可能にし,クロストレーニングの必要性を低減し,部門間の争いを低減する
C. 個人の説明責任を確立し,継続的な改善を確立し,部門間の争いを低減する
D. 部門間の争いを低減し,クロストレーニングの必要性を低減し,個人の説明責任を確立する
C:明確で具体的なセキュリティの役割を確立することは,役割により果たされる責任と誰が責任を果たすべきなのかの情報を提供する以外にも,組織にとって多くの利点がある.
18. よく練られたセキュリティプログラムポリシーは,いつレビューするのが最もよいか.
A. 少なくとも年1 回または事前に決められた組織変更の前
B. 主要なプロジェクトの実施後
C. アプリケーションまたはオペレーティングシステムが更新された時
D. プロシージャーを変更する必要がある時
A:ポリシーは少なくとも年に1 回はレビューされ,承認されなければならないが,2,3 年は使われるべきである.
19. 組織がリスクアセスメントを実施して評価するものは次のうちどれか.
A. 資産への脅威,環境に存在しない脆弱性,暴露を利用して脅威が実現する可能性,実現された暴露が組織に及ぼす影響,残存リスク
B. 資産への脅威,環境に存在する脆弱性,暴露を利用して脅威が実現する可能性,実現された暴露がほかの組織に及ぼす影響,残存リスク
C. 資産への脅威,環境に存在する脆弱性,暴露を利用して脅威が実現する可能性,実現された暴露が組織に及ぼす影響,残存リスク
D. 資産への脅威,環境に存在する脆弱性,暴露を利用して脅威が実現する可能性,実現された暴露が組織に及ぼす影響,トータルリスク
C:組織はリスクアセスメント(リスク分析という用語は,リスクアセスメントと入れ替わることがある)を実施し,以下を評価する.
・ 資産への脅威
・ 環境に存在する脆弱性
・ 脆弱性の暴露を利用して,脅威が実現される可能性(定量的アセスメントの場合は確率と頻度)
・ その暴露が組織に及ぼす影響
・ 脅威が暴露を悪用する可能性を低減させる対策または組織への影響を低減させる対策
・ 残存リスク(例えば,適切なコントロールが適用されて,脆弱性を低減または除去した時に残されるリスクの量) 組織は,証拠書類と呼ばれる成果物として,対策の証拠を文書化することを望む場合もあり,いくつかのフレームワークではこれを「エビデンス」と呼んでいる. 証拠書類は,組織の監査証跡を提供するために使用でき,同様に,組織の現在のリスク状態に疑問を抱くおそれのある内部監査人や外部監査人に対するエビデンスとしても使用できる. なぜそのような努力を払うのか? 組織内ではどのような資産が重要なのか,どれが最もリスクにさらされているのかを知らなければ,組織はその資産を適切に保護することができない.
20. 時間が経過しても意味があり,有用なセキュリティポリシーに含まれるものは次のうちどれか.
A. 「すべきである」「しなければならない」「したほうがよい」といった指示語,技術仕様,短文
B. 定義されたポリシー策定プロセス,短文,「すべきである」「しなければならない」「したほうがよい」といった指示語
C. 短文,技術仕様,「すべきである」「しなければならない」「したほうがよい」といった指示語
D. 「すべきである」「しなければならない」「したほうがよい」といった指示語,定義されたポリシー策定プロセス,短文
D:技術的な実装の詳細がポリシーに含まれるべきではない.ポリシーは技術に依存しない記述が必要である. 組織のリスクプロファイルが変更され,新しい脆弱性が発見されると,技術的なコントロールは時間とともに変化する可能性がある.
21. 財務部門の担当者が,1 人でベンダーをベンダーデータベースに追加し,その後ベンダーに支払いができてしまうという権限は,どのような概念に違反するか.
A. 適切なトランザクション
B. 職務の分離
C. 最小特権
D. データ機密性レベル
B:職務の分離は,2 人以上の当事者間の共謀がなければ,詐欺またはその他の望ましくない行動が起こらないことを確実にする. この例では,個人がベンダーとして自分自身を追加したあとに,自分自身に支払うことができてしまう.
22. 共謀のリスクを最も低減するのはどれか.
A. ジョブローテーション
B. データ分類
C. 職務の機密性レベルの定義
D. 最小特権
A:共謀は,複数の当事者が共謀して組織に有害な行為を行うことである. ジョブローテーションを行うことで,組織に害を与えるような行動をとるために共謀しないといけない人の数が増加し,共謀はより困難になる.
23. データアクセスを決定するのに最も適切な人は誰か.
A. ユーザーマネージャー
B. データオーナー
C. 経営幹部
D. アプリケーション開発者
B:データオーナーは最終的に情報に対する責任を負うため,アクセスの決定を判定する必要がある.
24. 組織が事業継続計画や災害復旧計画で対処すべき範囲を最も正しく記述しているステートメントはどれか.
A. 継続計画は重要な組織上の問題であり,会社のすべての部分または機能を含める必要がある.
B. 継続計画は重要な技術課題であり,技術の復旧を最優先事項とする必要がある.
C. 継続計画は,音声とデータの通信が複雑な場合にのみ必要である.
D. 継続計画は重要な経営課題であり,経営陣が定めた主要な機能を含めるべきである.
A:事業継続計画および災害復旧計画には,重大な機能停止が発生した際,大規模なシステムおよびネットワークの機能停止の影響から重大なビジネスプロセスを保護し, ビジネス運営のタイムリーな復旧を確実にするために必要となる賢明なプロセスと具体的なアクションの特定,選択,実装,テスト,更新が含まれる。
25. 事業影響度分析によって特定するものとして,最も適切なものは次のうちどれか.
A. 組織の運営に対する脅威の影響
B. 組織に対する損失の暴露係数
C. 組織におけるリスクの影響
D. 脅威を排除する費用対効果の高い対策
B:事業影響度分析は,会社にとって,何を復旧させる必要があり,どの程度迅速に復旧させる必要があるかを決定するために役立つ.
26. 計画策定におけるリスク分析フェーズにおいて,最も脅威を管理し,イベントの影響を低減できるアクションは次のうちどれか.
A. 演習シナリオの変更
B. 復旧手順の作成
C. 特定個人への依存度の増加
D. 手続き的コントロールの実装
D:リスクの第3 の要素は低減要因である.低減要因は,脅威の影響を低減するためにプランナーが実施するコントロールまたは保護手段である.
27. コントロールや保護手段を追加実施する最大の理由はどれか.
A. リスクを抑止または除去する
B. 脅威を特定し,除去する
C. 脅威の影響を低減する
D. リスクと脅威を特定する
C:災害を予防することは,災害から復旧させようとすることよりも常に勝る. 可能性の高いリスクが組織のビジネス能力に影響を及ぼさないように,プランナーがコントロールを推奨することができれば,プランナーが復旧させなければならないイベントは少なくなる.
28. 組織影響度分析の最適な記述は次のうちどれか.
A. リスク分析と組織影響度分析は,同じプロジェクトの取り組みを説明する2 つの異なる用語である.
B. 組織影響度分析は,組織に対する中断の可能性を計算する.
C. 組織影響度分析は,事業継続計画の策定に不可欠である.
D. 組織影響度分析は,組織に対する中断の影響を定める.
D:すべてのビジネス機能とそれをサポートする技術は,復旧優先度に基づいて分類する必要がある. ビジネス運営の復旧期間は,その機能が実行されない場合の影響によって決められる. 影響とは,ダウン期間中のビジネス損失,契約を履行できず罰金または訴訟を起こされること,顧客の信用を失うこと,などである.
29. 「災害復旧」とは,何を復旧させることか.
A. 組織運営
B. 技術環境
C. 製造環境
D. 人的環境
B:コンピュータがビジネス環境の一部になるに従い,コンピュータが故障した場合に手作業のプロセスに戻れないことが明らかになった. これらのコンピュータシステムが故障した場合に,作業を行う人の数は不十分で,手動で対応する能力もすでになくなっていた. これが災害復旧産業の始まりであった.今日でも,「災害復旧」または「DR」という用語は,通常,技術環境の復旧を意味する.
30. 災害による中断の結果を見極める取り組みを,最も適切に記述しているものはどれか.
A. 事業影響度分析
B. リスク分析
C. リスクアセスメント
D. プロジェクト問題定義
A:事業影響度分析は,会社にとって,何を復旧させる必要があり,どの程度迅速に復旧させる必要があるかを決定するために役立つ.
31. リスクの要素は次のうちどれか.
A. 自然災害および人為的災害
B. 脅威,資産,低減コントロール
C. リスクと事業影響度分析
D. 事業影響度分析と低減コントロール
B:リスクには,脅威,資産,低減要因という3 つの要素がある.
32. 事業継続計画の演習として好ましくないものは次のうちどれか.
A. 机上演習
B. 呼び出し演習
C. シミュレーション演習
D. 実稼働アプリケーションまたは機能の停止
D:シミュレーション演習と実際の演習の唯一の違いは,テストの第一のルールとして,プランナーがテストのために災害を作り出さないことである. プランナーは,テストの対象がビジネス環境か技術環境かに関わらず,実稼働環境に影響を与えないためにあらゆる努力をしなければならない.
33. 十分に計画された事業継続演習における,最も望ましい結果は次のうちどれか.
A. 計画の長所と短所を特定する
B. 経営の要件を満たす
C. 監査人の要求事項を遵守する
D. 株主の信頼を維持する
A:プランナーが実施する毎回の演習のあと,演習結果を公表し,演習によって明らかにされた問題に対処するためのアクション項目を特定する必要がある. アクション項目は,解決されるまで追跡され,必要に応じて計画が更新される.誰かが計画を更新しなかったというだけの理由で, その後のテストで組織が同じ問題を抱えていたとすれば,それは非常に嘆かわしいことである.
34. 事業継続計画を更新し,維持するのに最適な時期はどれか.
A. 毎年あるいは監査人から要請された時
B. 新しいバージョンのソフトウェアが導入された時のみ
C. 新しいハードウェアが導入された時のみ
D. 構成管理および変更管理プロセス中
D:計画文書および関連するすべてのプロシージャーは,各演習のあとや,実稼働環境,IT 環境,あるいはビジネス環境に何らかの変更が発生したあとに更新する必要がある.
35. 事業継続を成功させる上で最も重要なものは,次のうちどれか.
A. 上級リーダーシップの支援
B. 強力な技術サポートスタッフ
C. 広範囲の広域ネットワークインフラストラクチャー
D. 統合されたインシデントレスポンスチーム
A:上級リーダーシップの支援がなければ,事業継続プログラムが成功することはない.
36. サービスの目標復旧時点(RPO)はゼロである.最も要件を満たすことのできるアプローチはどれか.
A. 代替ホットサイトとRAID 6
B. 代替ウォームサイトとRAID 0
C. 代替コールドサイトとRAID 0
D.互恵協定とRAID 6
A:RAID 6 は非常に冗長性の高いストレージ状況を提供し,ホットサイトはプライマリーサイトに障害が発生した場合にフェールオーバーできるようになる.
※RAID6はデータを複数のハードディスクに分散して格納します。さらにパリティデータ(誤り訂正補正)を二重で書き込みを行うことで、耐障害性を大幅に高めた構成となっています。
37. (ISC) 2 の倫理規定は,以下のどれによって規律間の矛盾を解決しているか.
A. 規律の間に矛盾が起こることは決してない
B. 裁定を通じて解決する
C. 規律の順番
D. 取締役会を通じてすべての規律の矛盾を審査する
C:不一致は,規律の順番を通じて解決される
Q. 1 What is the final step of a quantitative risk analysis? D. Conduct a cost/benefit analysis.Your selection is incorrect The final step of a quantitative risk analysis is conducting a cost/benefit analysis to determine whether the organization should implement proposed countermeasure(s). Q. 1 定量的リスク分析の最終ステップは何ですか? D. 定量的リスク分析の最後のステップは、組織が提案された対抗策を実施すべきかどうかを決定するために費用便益分析を行うことです。 Q. 2 Match the following numbered wireless attack terms with their appropriate descriptions: Q. 2 次の番号の付いたワイヤレス攻撃の用語とその適切な説明を一致させます。 An attack that relies on an access point to spoof a legitimate access point's SSID and MAC address.The process of using detection tools to find wireless networks.An access point intended to attract new connections by using an apparently legitimate SSID.An attack that retransmits captured communication to attempt to gain access to a targeted system. Wireless attack terms <table border=1> <tr> <td>Wireless attack terms</td><td>Descriptions</td> </tr> <tr> <td>Rogue access point</td><td>An access point intended to attract new connections by using an apparently legitimate SSID.</td> </tr> <tr> <td>Replay</td><td>An attack that retransmits captured communication to attempt to gain access to a targeted system.</td> </tr> <tr> <td>Evil twin<td><td>An attack that relies on an access point to spoof a legitimate access point's SSID and MAC address.</td> </tr> <tr> <td>War driving</td><td>The process of using detection tools to find wireless networks.</td> </tr> </table> 不正アクセスポイント:明らかに正当なSSIDを使用して新しい接続を引き付けることを目的としたアクセスポイント。 リプレイ:標的のシステムへのアクセスを試みるためにキャプチャされた通信を再送信する攻撃。 Evil twin:正規のアクセスポイントのSSIDとMACアドレスを偽装するためにアクセスポイントに依存する攻撃。 ウォードライビング:無線ネットワークを見つけるために検出ツールを使用するプロセス。 Q. 3 Under the Digital Millennium Copyright Act (DMCA), what type of offenses do not require prompt action by an Internet service provider after it receives a notification of infringement claim from a copyright holder? C. The DMCA states that providers are not responsible for the transitory activities of their users. Transmission of information over a network would qualify for this exemption. The other activities listed are all nontransitory actions that require remediation by the provider. Q. 3 デジタルミレニアム著作権法(DMCA)の下で、著作権者からの侵害の申し立ての通知を受けた後、インターネットサービスプロバイダによる迅速な措置を必要としないのはどのような種類の違反ですか。 C. DMCAは、プロバイダーはユーザーの一時的な活動に対して責任を負わないと述べています。ネットワークを介した情報の送信はこの免除の対象となります。リストされている他のアクティビティはすべてプロバイダによる修正を必要とする非一時的なアクションです。 Q. 4 FlyAway Travel has offices in both the European Union and the United States and transfers personal information between those offices regularly. They have recently received a request from an EU customer requesting that their account be terminated. Under the GDPR, which requirement for processing personal information states that individuals may request that their data no longer be disseminated or processed? C. The right to be forgotten, also known as the right to erasure, guarantees the data subject the ability to have their information removed from processing or use. It may be tied to consent given for data processing; if a subject revokes consent for processing, the data controller may need to take additional steps, including erasure. Q. 4 FlyAway Travelは、欧州連合と米国の両方にオフィスを構え、それらのオフィス間で個人情報を定期的に転送します。彼らは最近、EUの顧客から、自分の口座の解約を要求する依頼を受けました。GDPRの下で、個人情報を処理するためのどの要件は、個人が自分のデータをもはや配布または処理しないように要求する可能性があることを示していますか? C. 消去される権利としても知られている忘れられる権利は、データ主体に彼らの情報を処理または使用から削除させる能力を保証します。それはデータ処理のために与えられた同意に結び付けられるかもしれません。被験者が処理の同意を取り消した場合、データ管理者は消去を含む追加のステップを踏む必要があるかもしれません。 Q. 5 Which one of the following is not one of the three common threat modeling techniques? D. The three common threat modeling techniques are focused on attackers, software, and assets. Social engineering is a subset of attackers. Q. 5 次のうちどれが、3つの一般的な脅威モデリング手法の1つではありませんか。 D. 一般的な3つの脅威モデリング手法は、攻撃者、ソフトウェア、および資産に焦点を当てています。ソーシャルエンジニアリングは攻撃者のサブセットです。 Q. 6 Which one of the following elements of information is not considered personally identifiable information that would trigger most U.S. state data breach laws? A. Most state data breach notification laws are modeled after California’s law, which covers Social Security number, driver’s license number, state identification card number, credit/debit card numbers, bank account numbers (in conjunction with a PIN or password), medical records, and health insurance information. Q. 6 次の情報のどの要素が、米国の州のデータ侵害に関する法律の大部分を引き起こす可能性のある個人を特定できる情報と見なされていませんか。 A. ほとんどの州のデータ侵害通知法は、社会保障番号、運転免許証番号、州識別カード番号、クレジットカード/デビットカード番号、銀行口座番号(PINまたはパスワードと組み合わせて)、医療記録を網羅するカリフォルニア州法に準拠しています。健康保険情報 Q. 7 In 1991, the Federal Sentencing Guidelines formalized a rule that requires senior executives to take personal responsibility for information security matters. What is the name of this rule? C. The prudent man rule requires that senior executives take personal responsibility for ensuring the due care that ordinary, prudent individuals would exercise in the same situation. The rule originally applied to financial matters, but the Federal Sentencing Guidelines applied them to information security matters in 1991. Q. 7 1991年に、連邦判決ガイドラインは、上級管理職が情報セキュリティ問題について個人的な責任を取ることを要求する規則を正式に定めました。このルールの名前は何ですか? C. 慎重な人の規則では、普通の慎重な人が同じ状況で行使するのに十分な注意を払うように上級管理職が個人的な責任を負うことを要求している。この規則はもともと金融問題に適用されていましたが、1991年には連邦判決ガイドラインが情報セキュリティ問題に適用しました。 Q. 8 Which one of the following provides an authentication mechanism that would be appropriate for pairing with a password to achieve multifactor authentication? D. A fingerprint scan is an example of a “something you are” factor, which would be appropriate for pairing with a “something you know” password to achieve multifactor authentication. A username is not an authentication factor. PINs and security questions are both “something you know,” which would not achieve multifactor authentication when paired with a password because both methods would come from the same category, failing the requirement for multifactor authentication. Q. 8 多要素認証を実現するためのパスワードとのペアリングに適した認証メカニズムは、次のうちどれですか。 D. 指紋スキャンは、「あなたが何か」という要素の一例です。これは、「何かを知っている」パスワードとペアにして多要素認証を行うのに適しています。ユーザー名は認証要素ではありません。PINとセキュリティに関する質問はどちらも「あなたが知っているもの」です。パスワードと組み合わせると、両方の方法が同じカテゴリに由来するため、多要素認証の要件を満たしていないため、多要素認証を実現できません。 Q. 9 What United States government agency is responsible for administering the terms of privacy shield agreements between the European Union and the United States under the EU GDPR? D. The U.S. Department of Commerce is responsible for implementing the EU-US Privacy Shield Agreement. This framework replaced an earlier framework known as Privacy Shield, which was ruled insufficient in the wake of the NSA surveillance disclosures. Q. 9 EU GDPRに基づくEUとアメリカ合衆国間のプライバシーシールド契約の条項の管理について、米国政府機関はどのような責任を負っていますか。 D. 米国商務省は、EUとUSのプライバシーシールド契約を履行する責任を負います。このフレームワークは、NSAサーベイランスの開示を受けて不十分であると判断されていたプライバシーシールドと呼ばれる初期のフレームワークに代わるものです。 Q. 10 Yolanda is the chief privacy officer for a financial institution and is researching privacy issues related to customer checking accounts. Which one of the following laws is most likely to apply to this situation? A. The Gramm-Leach-Bliley Act (GLBA) contains provisions regulating the privacy of customer financial information. It applies specifically to financial institutions. Q. 10 ヨランダは金融機関の最高プライバシー責任者であり、顧客当座預金口座に関連するプライバシー問題を調査しています。次の法律のどれがこの状況に最も当てはまる可能性がありますか? A. Gramm-Leach-Bliley法(GLBA)には、顧客の財務情報のプライバシーを保護する規定が含まれています。特に金融機関に適用されます。
ほとんどの州のデータ侵害通知法は、社会保障番号、運転免許証番号、州識別カード番号、クレジットカード/デビットカード番号、銀行口座番号(PINまたはパスワードと組み合わせて)、 医療記録を網羅するカリフォルニア州法に準拠しています。学生情報は含まれない。 Prudent man rule(プルーデントマンルールは、日本語で「思慮ある者の原則」と呼ばれ、企業年金の運用関係者が遵守すべき行動基準(行動規範)のことをいいます。)では、 普通の慎重な人が同じ状況で行使するのに十分な注意を払うように上級管理職が個人的な責任を負うことを要求している。 この規則はもともと金融問題に適用されていましたが、1991年に連邦判決ガイドラインでは情報セキュリティ問題に適用されました。 米国商務省は、EUとUSのプライバシーシールド契約を履行する責任を負います。 このフレームワークは、NSAサーベイランスの開示を受けて不十分であると判断されていたプライバシーシールドと呼ばれる初期のフレームワークに代わるものです。 Gramm-Leach-Bliley法(GLBA)には、顧客の財務情報のプライバシーを保護する規定が含まれています。特に金融機関に適用されます。 ヨランダは、金融機関の最高プライバシー責任者であり、顧客当座預金口座に関連するプライバシー問題を調査しています。 連邦情報セキュリティ管理法(FISMA)は、政府の請負業者に特に適用されます。 政府情報セキュリティ改革法(GISRA)はFISMAの前身であり、2002年11月に失効しました。 HIPAAとPCI DSSは、それぞれヘルスケア情報とクレジットカード情報に適用されます。 特定の国への暗号化ソフトウェアの輸出は、米国の輸出管理法の下で規制されています。 STRIDE脅威モデル ・Spoofing(なりすまし) ・Tampering(改ざん) ・Repudiation(否認) ・Information Disclosure(サービス拒否) ・Denial of Service(サービス拒否) ・Elevation of Privolege(権限昇格) リスクを引き受けることを選択したときはいつでも、将来の監査人を満足させるために、リスク引き受けプロセスの詳細な文書を維持する必要があります。これは、セキュリティ管理策を実施する前、災害復旧計画を設計する前、またはビジネス影響分析(BIA)を繰り返す前に行うべきである 定量的リスク評価と定性的リスク評価の要素を組み合わせることによって最良の結果を得ます。定量的リスク評価は財務リスクの分析に優れていますが、定性的リスク評価は無形リスクの優れたツールです。この2つの手法を組み合わせることで、リスクを包括的に把握できます。 経済スパイ法は、米国の企業から企業秘密を盗んだ罪があると認められた者に罰金と懲役刑を科します。 意識訓練は行政統制の一例です。 特許と企業秘密はどちらも製造工程に関連する知的財産を保護することができます。企業秘密は、詳細が組織内で厳密に管理されている場合にのみ適切であるため、この場合は特許が適切な解決策となります。 RAIDテクノロジは、ハードドライブの障害に対するフォールトトレランスを提供し、ビジネス継続性アクションの一例です。バックアップテープからの復元、コールドサイトへの移動、および業務の再開はすべて、障害回復のための措置です。 資産のリストを作成した後、ビジネス影響分析チームは各資産に値を割り当てる必要があります。 「脅威」とは、組織に損害や影響を与える可能性であるリスクを引き起こす要因です。「リスク」と「脅威」は混同されがちですが、「リスク」は可能性であり、「脅威」は要因であることがその違いです。 リスク軽減戦略は、リスクが発生する可能性や影響を軽減しようとします。侵入防止システムは、攻撃が成功する可能性を減らそうとしているため、リスク軽減の一例です。 HIPAAは、医療提供者、医療情報クリアリングハウス、および健康保険プランの3種類の事業体、ならびにそれらの対象事業体のいずれかのビジネスアソシエートを規制しています。
目次に戻る
2章へ
倫理規程
企業に倫理規定がない場合、企業が倫理規定を採用していない理由を説明しなければならない。
コンピュータは仕事をなくすのではなく,コンピュータは根本的に仕事を変えるのである.
フリーソフトウェア財団(Free Software Foundation)を立ち上げたRichard Stallman(リチャード・ストールマン)のように,ソフトウェア所有権を一切認めない人々がいる.
法律は基本的に行動が合理的に判断できる最低基準を定めている
インターネット活動委員会(Internet Activities Board:IAB)
Ethics倫理
NCERCは,情報技術の使用──時には濫用──に特有な倫理的および道徳的な問題の理解を深めることを目的としたイニシアチブである.
NCERC(National Computer Ethics and Responsibilities Campaign)
(ISC)2倫理規定
▶倫理規定の規律
▶社会,一般大衆の福利およびインフラを保護する
・ 情報システムにおける世間の信頼性を高め,それを維持する.
・ 万全な情報セキュリティ対策についての理解を促し,その必要性を認識させる.
・ 公共インフラの保全性を維持し,強化する.
・ 安全性に問題のある慣習を止めさせる.
▶法に違わず,公正かつ誠実に責任を持って行動する
・ 真実を告げ,あらゆる利害関係者に自分の行動を逐次報告する.
・ 明示的,暗黙的に関わらず,すべての契約および提携の取り決め事項を遵守する.
・ すべての関係者を公平に扱う.矛盾を解決する時は,公共の安全性の検討,当事者,個々人,セキュリティ専門家に対する義務をこの順序で考慮する.
・ 助言や忠告は慎重に行う.不必要な不安を煽ったり,軽々しく保証したりしない.自分の権限内で,慎重かつ客観的に真実を報告する.
・ 管轄区域によって法が異なる場合は,サービス対象である管轄の法律を優先する.▶当事者に対して,十分かつ適切なサービスを提供する
・ 対象システム,アプリケーションおよび情報の価値を維持する.
・ 自分に対する信頼に応え,与えられた権限を尊重する.
・ 利益相反,または利益相反のように見える行動を避ける.
・ 十分な能力とその資格のあるサービスのみを提供する.
▶セキュリティ専門家としての知識を向上し,保護する
・ 最も適した人物に対して,専門知識の促進を支援する.その他すべての条件が同じ場合,適任と認められ,これらの規律に従う人物や団体を選定する.日頃の行動や評判が,セキュリティ専門家としての信頼を損なう可能性のある人物とは関わらないようにする.
・ 悪意ある行為や不注意な行動によって,ほかのセキュリティ専門家の評判を傷つけないようにする.
・ 自分自身のスキルを向上し,常に最先端の知識を習得する.時間と知識を惜しまずに他者のトレーニングに当たる.
5つの倫理原則
1.インフォームドコンセント(Informed Consent)
十分な情報を得た(伝えられた)上での合意を意味する言葉
2.最悪な場合に対応する、より高い倫理(Higher ethic in the worst case)
最悪の状況下で被害を最小限にする
3.スケール変更テスト
自分ひとりでやることと、大人数でやることでは影響度が違う
4.所有者の所有権の保全
情報が合理的に保護されていること
5.ユーザの所有権の保全
セキュリティポリシーと策定の実装
ポリシーは経営陣の期待事項を伝えるもの
BC/DRの要件
DRの始まりは業務の機械化の推進によるもの。
現在の業務では、機械が故障しても手作業に戻して実行できるほどのリソースがない。
P*M=Cの式(財務リスクの計算)
・被害の確率(Probability of Harm)=被害が起こる可能性
・被害の大きさ(Magnitude of Harm)=被害が起きた際の財政的被害額
・予防コスト(Cost of Prevension)=予防のためのコスト
緊急時の対応計画を検討しておくことのメリット
・多くの単一障害点(Single Point of Failure)を認知できる
ビジネスインパクト分析 災害など不測の事態によって業務やシステムが停止した場合に、会社の事業に与える影響度を評価すること。 BIA(Business Impact Analysis)とも呼ばれ、事業継続計画を立てるうえで必ず実行しなくてはならないステップ。
最大許容停止時間の決定
すべてのアプリケーションは復旧に対する制限時間に沿って分類される必要がある。
復旧時間目標(Recovery Time Objective)
最大許容停止時間(Maximum Tolerable Downtime)
目標復旧時点(Recovery Point Objective)・・・プランナーが設定する復旧のポイント。
データなどはRPOに準拠する必要がある。
リスクの考え方
脅威(Threat)・・・主に発生確率により測定される。外部、内部の脅威が考えられる。
資産(Asset)
低減要因(Mitigating Factor)
採用候補者の適格審査
従業員のモラルが低下するとコントロールの順守が低下する
バロメータ:指標
スクリーニングとは、様々な状況や条件の中から必要なものを選出することをいいます。
リファレンスチェック:個人が雇用主に提出する書類のチェックなど
バックグラウンドチェック:組織が個人の素性を調査する
法律顧問及び人事はスクリーニングプロセスやプロシージャの策定に関与するべき
NDA(Non Disclosure Agreement):秘密保持契約
従業員が退職した後も企業の重要情報や知的財産を守る事項が記載されている。
ジョブローテーション
個人間の共謀のリスクを低減する。職務の分離とジョブローテーションを統合することが役に立つ。
職務の分離(SOD、Separation Of Duties):一個人に特定のプロセスのすべてのステップを実行する権限を与えるべきではない。
情報システム部門はビジネスシステムにデータを入力することが禁止されていなければならない等
リスクアセスメントの方法論
NIST SP800-30、39、66
CRAMM
スパニングツリー分析
脅威をブランチとしてシステムにかかわるリスクのツリーを作成する。
リスク分析を行い、適用しないリスクを刈り取る。
脆弱性の報告
・フォールスポジティブ:脆弱性が存在していなくても報告される結果
・フォールスネガティブ:報告されるべきであったのに報告されなかった脆弱性
リスク回避:リスクが現実化しないように代替案を出すこと
リスク移転:保険など。財務リスクは保険で移転が可能だが、評判の失墜などは移転できない。
リスク低減:リスクレベルの大幅な低下
リスク受容:何もせずに受け入れる。その場合は文書化する。
Risk Inventory:内在するリスク
アクセス制御
1.指示(Directive):組織における行動規則
2.抑止(Deterrent):指示に違反しないようにするためのコントロール
3.防止(Preventative):インシデントを防止するためのコントロール
4.補償(Compensating):代替
5.検知(Detective):コントロールが破られたときに警告する
6.是正(Corrective):コントロールの復元
7.復旧(Recovery):正常な状態への復旧
コントロールの実装方法
管理コントロール:責任やポリシー、プロシージャによる実装
論理コントロール:ソフトウェアによるコントロール
物理コントロール:施設など、物理的なコントロール
物理的な入室
要員のアクセス許可は、許可される前に調査プロセスに合格しなくてはならない。
管理コントロール
・ポリシーとプロシージャ
・人的セキュリティ、評価及びクリアランス(情報を取り扱う資格のこと)
・セキュリティポリシー
・モニタリング
・ユーザ管理
・特権管理
アクセス制御の盲点
アクセス制御は、アクセスを許可されるユーザの評価が抜け落ちやすい観点となる。
暗号化のメリット
EX:企業においてファイルの共有に一般的なストレージを使うしかない場合、対象ファイルを暗号化し、閲覧する必要のあるユーザのみパスワードを通知する、という方法も考えられる。
テーラリング 洋服の仕立て、仕立て直し、という意味の英単語。 ITの分野では、業務プロセスやシステム開発プロセスなどについて、 一般的あるいは全社的な標準を元に、個別の部署やプロジェクトに合った具体的な標準を策定すること。
ペネトレーションの戦略
外部診断:外部からの攻撃診断
内部診断:内部における攻撃診断
ブラインド診断:診断チームには限られた情報のみ提供される。
ダブルブラインド診断:IT部隊(守る側)にも診断を行うことを告げずに行う。
インシデントの対応についても評価できる。
有形資産(Tangible Asset)と無形資産(Intangible Asset)
無形資産は、商標や特許、著作権などのものが含まれる。
War Dialing
特定の範囲の電話番号を機械的に呼び出すこと。
継続的改善には主にPDCAが使われている。
これはDeming CycleまたはShewhart Cycleとも呼ばれる。
改善における2つの分類
継続的改善:様々な分野をカバーする一般的な改善
連続的改善:既存のプロセス内で連続的で漸進的な改善
リスクマネジメントフレームワーク
・リスクの選好と戦略の調整
・リスク対応の決定の強化
・運用上の想定外イベントと損失の低減
・複数の企業全体のわたるリスクの特定と管理
・機会獲得
・資本配備の改善
エンタープライズリスクマネジメントのコンポーネント
・内部環境
・目標設定
・イベントの特定
・リスクアセスメント
・リスク対応
・コントロールアクティビティ
・情報とコミュニケーション
・モニタリング
そもそも、リスクマネジメントフレームワークとは
AS(Austrarian Standard)規格では以下の通り定義している。
「組織全体のリスクマネジメントの設計、実装、監視、レビュー、継続的改善に対して、基盤と組織の取り決めを提供する。」
ソーシャルエンジニアリング
ベイティング攻撃とは ベイティング攻撃(Baiting Attack)では,攻撃者はマルウェアに感染したCD-ROMまたはUSBフラッシュドライブを確実に見つけられる場所(トイレ,エレベーター,歩道,駐車場)に置き,正当な見た目と好奇心を抱かせるラベルを付け,犠牲者がそのデバイスを使用する
▶テールゲーティング攻撃(Tailgating Attack)とは 無人の電子アクセス制御(例:RFIDカード)によって保護された制限区域に侵入しようとする攻撃者は,正当なアクセス権を持っている人の後ろを歩いていくだけである.
リスクマネジメントISO31000:普遍的なリスクマネジメントの原則やガイドラインを提供する。
関連規格
ISOガイド73:用語の定義
ISO/IEC31010リスクアセスメント技法関連
エンタープライズリスクマネジメント
COSO(Committee of Sponsoring Organization of the Treadway Commission)
NIST SP800-37
連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド
1.情報システムのカテゴリー化
2.セキュリティコントロールの選択
3.セキュリティコントロールの実装
4.セキュリティコントロールの評価
5.情報システムの認可
6.セキュリティコントロールの監視
米国国防総省DOD(Department of Defense)
国防総省情報技術のためのリスクマネジメントフレームワーク
DoDI8510.01
サプライチェーンのリスクマネジメント
物の調達に関して、OEMや認定リセラー等から機器を調達することが一つのセキュリティの担保方法である。
例題
1. ITセキュリティの分野において,リスクを最もよく定義している組み合わせは次のうちどれか.
A. 侵害と脅威
B. 脆弱性と脅威
C. 攻撃と脆弱性
D. セキュリティ違反と脅威
B:脆弱性は,対策が講じられていないか,対策が不十分なものである. 脅威は,脆弱性の悪用に関連する潜在的な危険性である.具体的には,誰か,もしくは何かが,個別の脆弱性を特定し,それを企業や個人に対して悪用することである. リスクとは,脅威となる攻撃者が脆弱性を悪用する可能性と,それが事業に与える影響のことである.
2. 無形資産の価値を決定する際の最良のアプローチはどれか.
A. 物理的なストレージコストを決定し,企業の予想寿命をかける
B. 財務または会計の専門家の助けを借りて,資産がどれだけ利益を返すかを決定する
C. 過去3 年間の無形固定資産の減価償却費をレビューする
D. 無形資産の過去の取得費または開発費を使用する
B:無形資産の価値を決定するのは難しい.無形資産の価値を判断するにはいくつかの方法があるが,最良のアプローチは,財務または会計の専門家の支援を得て,資産が組織に与える影響を判断することである.
3. 定性的リスクアセスメントを特徴づけているのは次のうちどれか.
A. 容易に実施することができ,リスクアセスメントプロセスの理解が浅い人員でも完了することができる
B. リスクアセスメントプロセスの理解が浅い人員でも完了することができ,リスクの計算に詳細なメトリックスを使用する
C. リスクの計算に詳細なメトリックスを使用し,容易に実施することができる
D. リスクアセスメントプロセスの理解が浅い人員でも,リスク計算に詳細なメトリックスを使用して完了することができる
A:定性的リスクアセスメントは,「高,中,低」などの階層化されたリスクを使用するリスクアセスメントの一種である. この単純化されたアプローチにより,リスクアセスメントに精通していない人々でもリスクアセスメントを実行することができる. 定量的アセスメントほど具体的ではないが,実施する意味はある.
4. 単一損失予測(SLE)は次のどれを使用して計算されるか.
A. 資産価値と年間発生頻度(ARO)
B. 資産価値,現地年間頻度推定値(LAFE),および標準年間頻度推定値(SAFE)
C. 資産価値と暴露係数
D. 現地年間頻度推定値と年間発生頻度
C:SLE を計算するための公式は,SLE =資産価値($)× 暴露係数(脅威の悪用が成功したことによる損失の割合,%)である.
5. どのような種類のリスクアセスメントを実施するかを決定する際に検討すべき項目をすべて挙げたものはどれか.
A. 組織の文化,暴露の可能性と予算
B. 予算,リソースの能力および暴露の可能性
C. リソースの能力,暴露の可能性および予算
D. 組織の文化,予算,能力およびリソース
D:組織は,組織の文化,人員の能力,予算,タイムラインに最も適したリスクアセスメント手法,ツール,およびリソース(人を含む)を選択することが期待される.
6. セキュリティ意識啓発トレーニングに含まれるものは次のうちどれか.
A. 制定されたセキュリティコンプライアンス目標
B. スタッフのセキュリティの役割と責任
C. 脆弱性評価の上位レベルの結果
D. 特別なカリキュラムの割り当て,学習課題,および認定された機関
B:セキュリティ意識啓発トレーニングは,情報セキュリティ要件の遵守において,組織が従業員に役割とその役割を取り巻く期待について知らせる方法である. さらに,トレーニングでは通常,特定のセキュリティまたはリスクマネジメント機能のパフォーマンスに関するガイダンスを提供するとともに, セキュリティおよびリスクマネジメント機能に関する情報も提供する.
7. コミュニティや社会の規範に影響を及ぼす,資産の責任ある保護の最低限かつ慣例的な行動は次のうちどれか.
A. 適切な注意(Due Diligence)
B. リスク低減
C. 資産保護
D. 妥当な注意(Due Care)
D:適切な注意とは,会社が直面するリスクを調査し,理解する行為である. 企業は,セキュリティポリシー,プロシージャー,スタンダードを策定することにより,妥当な注意を実現する. 妥当な注意とは,企業が,企業内で行われる活動に対して責任を負い,企業,そのリソース,従業員をリスクから保護するために必要な措置をとったことを示している. したがって,現実の脅威とリスクを理解することが適切な注意であり,その脅威から保護するための対策を導入することが妥当な注意である. 企業が資産の安全を保障するために妥当な注意と適切な注意を実施していない場合,実施していないことについて法的な責任を負い,実施しなかったことによる損失に説明責任を負う可能性がある.
8. 効果的なセキュリティマネジメントとは次のうちどれか.
A. 最低コストでセキュリティを実現する
B. リスクを受容水準まで低減する
C. 新製品のセキュリティを優先する
D. タイムリーにパッチをインストールする
B:組織には,受容された残存リスクが常に存在する. 効果的なセキュリティマネジメントとは,組織のリスク耐性力またはリスクプロファイルに適合するレベルまで,このリスクを最小化することである.
9. 可用性は,以下のどれから保護することによって,情報へのアクセスを可能にすることか.
A. サービス拒否攻撃,火災,洪水,ハリケーン,不正取引
B. 火災,洪水,ハリケーン,不正取引,読み取り不能なバックアップテープ
C. 不正取引,火災,洪水,ハリケーン,読み取り不能なバックアップテープ
D. サービス拒否攻撃,火災,洪水,ハリケーン,読み取り
D:可用性は,情報が利用可能であり,必要に応じてユーザーがアクセスできるという原則である. システムの可用性に影響を及ぼす2 つの主な領域は,
① サービス拒否攻撃,
② 災害によるサービス喪失(人為的または自然的な可能性がある)である.
10. 事業継続計画,災害復旧計画を最も正しく定義した語句は,次のうちどれか.
A. 災害を防止するための一連の計画
B. 災害に対応するための承認済みの準備と十分な手順
C. 管理者の承認なしに災害に対応するための一連の準備と手順
D. すべての組織機能を継続するための適切な準備と手順
D:事業継続計画(Business Continuity Planning:BCP)および災害復旧計画(Disaster Recovery Planning:DRP)は, 通常の事業運営に重大な機能停止が生じた場合に,事業の保全を確実にするために必要な準備,プロセス,実践に関するものである.
11. 事業影響度分析(BIA)で最初に実行する必要があるステップは次のうちどれか.
A. 組織内のすべての事業部門を特定する
B. 破壊的なイベントの影響を評価する
C. 復旧時間目標(RTO)を見積もる
D. ビジネス機能の重要性を評価する
A:BIA プロセスサイクルの4 つのステップは次のとおりである.
1. 情報を収集する
2. 脆弱性評価を実施する
3. 情報を分析する
4. 結果を文書化し,推奨事項を提示する BIA の最初のステップは,受け入れ可能なレベルの業務を継続するために,どの事業部門が不可欠であるかを特定することである.
12. 戦術的セキュリティ計画が最も利用されるのは次のうちどれか.
A. 高度なセキュリティポリシーの確立
B. 企業全体のセキュリティマネジメントの有効化
C. 停止時間の削減
D. 新しいセキュリティ技術の導入
D:戦術的計画は,指定された目標を支援し達成するための広範なイニシアチブを提供する. これらのイニシアチブには,コンピュータ制御ポリシーの開発と配布プロセスの確立,サーバー環境の堅牢な変更管理の実装, 脆弱性管理を使用したサーバー上の脆弱性の低減,「ホットサイト」災害復旧プログラムの実装,アイデンティティ管理ソリューションの実装などの展開を含む. これらの計画はより具体的であり,その対応を完了するための複数のプロジェクトで構成されている. 戦術的計画は,会社の具体的なセキュリティ目標を達成するために,6 ~18 カ月など期間を短く設定する.
13. 情報セキュリティの実装に責任を負う者は誰か.
A. 全員
B. 経営幹部
C. セキュリティ責任者
D. データオーナー
C:セキュリティ責任者は,開発の各フェーズ(分析,設計,開発,テスト,実装,実装後)でプロジェクトのコストを考慮してセキュリティを確保するために, アプリケーション開発マネージャーと協力しなければならない.独立性の観点から,これを最も有効に機能させるためには,セキュリティ責任者はアプリケーション開発部門の配下になるべきではない.
14. セキュリティは,どのフェーズで対処すると,最も費用がかかる可能性が高いか.
A. 設計
B. ラピッドプロトタイピング
C. テスト
D. 実装
D:セキュリティは,アプリケーション実装時または実装後に思いつきで追加する場合に比べ,設計時に組み込む場合の方がずっと安価である.
15. 情報システム監査人が組織を支援するものは次のうちどれか.
A. コンプライアンスの問題を緩和する
B. 有効なコントロール環境を確立する
C. コントロールギャップを特定する
D. 財務諸表の情報技術対応
C:監査人は,情報セキュリティの維持と改善に不可欠な役割を果たし,コントロールの設計,有効性,および実装について,独立した見解を提供する. 監査の結果として,問題を解決し,リスクを低減するための管理対応と是正措置計画を求める指摘事項を作成する.
16. ファシリテイテッドリスク分析プロセス(FRAP)が基本的な前提としているものは次のうちどれか.
A. 幅広いリスクアセスメントは,システム,事業セグメント,アプリケーションまたはプロセスにおけるリスクを決定する最も効率的な方法である
B. 狭いリスクアセスメントは,システム,事業セグメント,アプリケーションまたはプロセスにおけるリスクを決定する最も効率的な方法である
C. 狭いリスクアセスメントは,システム,事業セグメント,アプリケーションまたはプロセスにおけるリスクを決定する最も効率的な方法ではない
D. 幅広いリスクアセスメントは,システム,事業セグメント,アプリケーションまたはプロセスにおけるリスクを決定する最も効率的な方法ではない
B:ファシリテイテッドリスク分析プロセス(FRAP)は,狭いリスクアセスメントが, システム,事業セグメント,アプリケーションまたはプロセスにおけるリスクを決定する最も効率的な方法であるということが基本的な前提である. このプロセスにより,組織は,アプリケーション,システムまたはその他の対象を事前選別して,リスク分析が必要かどうかを判断することができる. 独自の事前選別プロセスを確立することにより,組織は,正式なリスク分析が本当に必要な課題に集中することができる. このプロセスは資本支出が少なく,優れたファシリテーションスキルを持つ人であれば,誰でも行うことができる.
17. セキュリティの役割を明確に設定することの利点は次のうちどれか.
A. 個人の説明責任を確立し,クロストレーニングの必要性を低減し,部門間の争いを低減する
B. 継続的な改善を可能にし,クロストレーニングの必要性を低減し,部門間の争いを低減する
C. 個人の説明責任を確立し,継続的な改善を確立し,部門間の争いを低減する
D. 部門間の争いを低減し,クロストレーニングの必要性を低減し,個人の説明責任を確立する
C:明確で具体的なセキュリティの役割を確立することは,役割により果たされる責任と誰が責任を果たすべきなのかの情報を提供する以外にも,組織にとって多くの利点がある.
18. よく練られたセキュリティプログラムポリシーは,いつレビューするのが最もよいか.
A. 少なくとも年1 回または事前に決められた組織変更の前
B. 主要なプロジェクトの実施後
C. アプリケーションまたはオペレーティングシステムが更新された時
D. プロシージャーを変更する必要がある時
A:ポリシーは少なくとも年に1 回はレビューされ,承認されなければならないが,2,3 年は使われるべきである.
19. 組織がリスクアセスメントを実施して評価するものは次のうちどれか.
A. 資産への脅威,環境に存在しない脆弱性,暴露を利用して脅威が実現する可能性,実現された暴露が組織に及ぼす影響,残存リスク
B. 資産への脅威,環境に存在する脆弱性,暴露を利用して脅威が実現する可能性,実現された暴露がほかの組織に及ぼす影響,残存リスク
C. 資産への脅威,環境に存在する脆弱性,暴露を利用して脅威が実現する可能性,実現された暴露が組織に及ぼす影響,残存リスク
D. 資産への脅威,環境に存在する脆弱性,暴露を利用して脅威が実現する可能性,実現された暴露が組織に及ぼす影響,トータルリスク
C:組織はリスクアセスメント(リスク分析という用語は,リスクアセスメントと入れ替わることがある)を実施し,以下を評価する.
・ 資産への脅威
・ 環境に存在する脆弱性
・ 脆弱性の暴露を利用して,脅威が実現される可能性(定量的アセスメントの場合は確率と頻度)
・ その暴露が組織に及ぼす影響
・ 脅威が暴露を悪用する可能性を低減させる対策または組織への影響を低減させる対策
・ 残存リスク(例えば,適切なコントロールが適用されて,脆弱性を低減または除去した時に残されるリスクの量) 組織は,証拠書類と呼ばれる成果物として,対策の証拠を文書化することを望む場合もあり,いくつかのフレームワークではこれを「エビデンス」と呼んでいる. 証拠書類は,組織の監査証跡を提供するために使用でき,同様に,組織の現在のリスク状態に疑問を抱くおそれのある内部監査人や外部監査人に対するエビデンスとしても使用できる. なぜそのような努力を払うのか? 組織内ではどのような資産が重要なのか,どれが最もリスクにさらされているのかを知らなければ,組織はその資産を適切に保護することができない.
20. 時間が経過しても意味があり,有用なセキュリティポリシーに含まれるものは次のうちどれか.
A. 「すべきである」「しなければならない」「したほうがよい」といった指示語,技術仕様,短文
B. 定義されたポリシー策定プロセス,短文,「すべきである」「しなければならない」「したほうがよい」といった指示語
C. 短文,技術仕様,「すべきである」「しなければならない」「したほうがよい」といった指示語
D. 「すべきである」「しなければならない」「したほうがよい」といった指示語,定義されたポリシー策定プロセス,短文
D:技術的な実装の詳細がポリシーに含まれるべきではない.ポリシーは技術に依存しない記述が必要である. 組織のリスクプロファイルが変更され,新しい脆弱性が発見されると,技術的なコントロールは時間とともに変化する可能性がある.
21. 財務部門の担当者が,1 人でベンダーをベンダーデータベースに追加し,その後ベンダーに支払いができてしまうという権限は,どのような概念に違反するか.
A. 適切なトランザクション
B. 職務の分離
C. 最小特権
D. データ機密性レベル
B:職務の分離は,2 人以上の当事者間の共謀がなければ,詐欺またはその他の望ましくない行動が起こらないことを確実にする. この例では,個人がベンダーとして自分自身を追加したあとに,自分自身に支払うことができてしまう.
22. 共謀のリスクを最も低減するのはどれか.
A. ジョブローテーション
B. データ分類
C. 職務の機密性レベルの定義
D. 最小特権
A:共謀は,複数の当事者が共謀して組織に有害な行為を行うことである. ジョブローテーションを行うことで,組織に害を与えるような行動をとるために共謀しないといけない人の数が増加し,共謀はより困難になる.
23. データアクセスを決定するのに最も適切な人は誰か.
A. ユーザーマネージャー
B. データオーナー
C. 経営幹部
D. アプリケーション開発者
B:データオーナーは最終的に情報に対する責任を負うため,アクセスの決定を判定する必要がある.
24. 組織が事業継続計画や災害復旧計画で対処すべき範囲を最も正しく記述しているステートメントはどれか.
A. 継続計画は重要な組織上の問題であり,会社のすべての部分または機能を含める必要がある.
B. 継続計画は重要な技術課題であり,技術の復旧を最優先事項とする必要がある.
C. 継続計画は,音声とデータの通信が複雑な場合にのみ必要である.
D. 継続計画は重要な経営課題であり,経営陣が定めた主要な機能を含めるべきである.
A:事業継続計画および災害復旧計画には,重大な機能停止が発生した際,大規模なシステムおよびネットワークの機能停止の影響から重大なビジネスプロセスを保護し, ビジネス運営のタイムリーな復旧を確実にするために必要となる賢明なプロセスと具体的なアクションの特定,選択,実装,テスト,更新が含まれる。
25. 事業影響度分析によって特定するものとして,最も適切なものは次のうちどれか.
A. 組織の運営に対する脅威の影響
B. 組織に対する損失の暴露係数
C. 組織におけるリスクの影響
D. 脅威を排除する費用対効果の高い対策
B:事業影響度分析は,会社にとって,何を復旧させる必要があり,どの程度迅速に復旧させる必要があるかを決定するために役立つ.
26. 計画策定におけるリスク分析フェーズにおいて,最も脅威を管理し,イベントの影響を低減できるアクションは次のうちどれか.
A. 演習シナリオの変更
B. 復旧手順の作成
C. 特定個人への依存度の増加
D. 手続き的コントロールの実装
D:リスクの第3 の要素は低減要因である.低減要因は,脅威の影響を低減するためにプランナーが実施するコントロールまたは保護手段である.
27. コントロールや保護手段を追加実施する最大の理由はどれか.
A. リスクを抑止または除去する
B. 脅威を特定し,除去する
C. 脅威の影響を低減する
D. リスクと脅威を特定する
C:災害を予防することは,災害から復旧させようとすることよりも常に勝る. 可能性の高いリスクが組織のビジネス能力に影響を及ぼさないように,プランナーがコントロールを推奨することができれば,プランナーが復旧させなければならないイベントは少なくなる.
28. 組織影響度分析の最適な記述は次のうちどれか.
A. リスク分析と組織影響度分析は,同じプロジェクトの取り組みを説明する2 つの異なる用語である.
B. 組織影響度分析は,組織に対する中断の可能性を計算する.
C. 組織影響度分析は,事業継続計画の策定に不可欠である.
D. 組織影響度分析は,組織に対する中断の影響を定める.
D:すべてのビジネス機能とそれをサポートする技術は,復旧優先度に基づいて分類する必要がある. ビジネス運営の復旧期間は,その機能が実行されない場合の影響によって決められる. 影響とは,ダウン期間中のビジネス損失,契約を履行できず罰金または訴訟を起こされること,顧客の信用を失うこと,などである.
29. 「災害復旧」とは,何を復旧させることか.
A. 組織運営
B. 技術環境
C. 製造環境
D. 人的環境
B:コンピュータがビジネス環境の一部になるに従い,コンピュータが故障した場合に手作業のプロセスに戻れないことが明らかになった. これらのコンピュータシステムが故障した場合に,作業を行う人の数は不十分で,手動で対応する能力もすでになくなっていた. これが災害復旧産業の始まりであった.今日でも,「災害復旧」または「DR」という用語は,通常,技術環境の復旧を意味する.
30. 災害による中断の結果を見極める取り組みを,最も適切に記述しているものはどれか.
A. 事業影響度分析
B. リスク分析
C. リスクアセスメント
D. プロジェクト問題定義
A:事業影響度分析は,会社にとって,何を復旧させる必要があり,どの程度迅速に復旧させる必要があるかを決定するために役立つ.
31. リスクの要素は次のうちどれか.
A. 自然災害および人為的災害
B. 脅威,資産,低減コントロール
C. リスクと事業影響度分析
D. 事業影響度分析と低減コントロール
B:リスクには,脅威,資産,低減要因という3 つの要素がある.
32. 事業継続計画の演習として好ましくないものは次のうちどれか.
A. 机上演習
B. 呼び出し演習
C. シミュレーション演習
D. 実稼働アプリケーションまたは機能の停止
D:シミュレーション演習と実際の演習の唯一の違いは,テストの第一のルールとして,プランナーがテストのために災害を作り出さないことである. プランナーは,テストの対象がビジネス環境か技術環境かに関わらず,実稼働環境に影響を与えないためにあらゆる努力をしなければならない.
33. 十分に計画された事業継続演習における,最も望ましい結果は次のうちどれか.
A. 計画の長所と短所を特定する
B. 経営の要件を満たす
C. 監査人の要求事項を遵守する
D. 株主の信頼を維持する
A:プランナーが実施する毎回の演習のあと,演習結果を公表し,演習によって明らかにされた問題に対処するためのアクション項目を特定する必要がある. アクション項目は,解決されるまで追跡され,必要に応じて計画が更新される.誰かが計画を更新しなかったというだけの理由で, その後のテストで組織が同じ問題を抱えていたとすれば,それは非常に嘆かわしいことである.
34. 事業継続計画を更新し,維持するのに最適な時期はどれか.
A. 毎年あるいは監査人から要請された時
B. 新しいバージョンのソフトウェアが導入された時のみ
C. 新しいハードウェアが導入された時のみ
D. 構成管理および変更管理プロセス中
D:計画文書および関連するすべてのプロシージャーは,各演習のあとや,実稼働環境,IT 環境,あるいはビジネス環境に何らかの変更が発生したあとに更新する必要がある.
35. 事業継続を成功させる上で最も重要なものは,次のうちどれか.
A. 上級リーダーシップの支援
B. 強力な技術サポートスタッフ
C. 広範囲の広域ネットワークインフラストラクチャー
D. 統合されたインシデントレスポンスチーム
A:上級リーダーシップの支援がなければ,事業継続プログラムが成功することはない.
36. サービスの目標復旧時点(RPO)はゼロである.最も要件を満たすことのできるアプローチはどれか.
A. 代替ホットサイトとRAID 6
B. 代替ウォームサイトとRAID 0
C. 代替コールドサイトとRAID 0
D.互恵協定とRAID 6
A:RAID 6 は非常に冗長性の高いストレージ状況を提供し,ホットサイトはプライマリーサイトに障害が発生した場合にフェールオーバーできるようになる.
※RAID6はデータを複数のハードディスクに分散して格納します。さらにパリティデータ(誤り訂正補正)を二重で書き込みを行うことで、耐障害性を大幅に高めた構成となっています。
37. (ISC) 2 の倫理規定は,以下のどれによって規律間の矛盾を解決しているか.
A. 規律の間に矛盾が起こることは決してない
B. 裁定を通じて解決する
C. 規律の順番
D. 取締役会を通じてすべての規律の矛盾を審査する
C:不一致は,規律の順番を通じて解決される
Q. 1 What is the final step of a quantitative risk analysis? D. Conduct a cost/benefit analysis.Your selection is incorrect The final step of a quantitative risk analysis is conducting a cost/benefit analysis to determine whether the organization should implement proposed countermeasure(s). Q. 1 定量的リスク分析の最終ステップは何ですか? D. 定量的リスク分析の最後のステップは、組織が提案された対抗策を実施すべきかどうかを決定するために費用便益分析を行うことです。 Q. 2 Match the following numbered wireless attack terms with their appropriate descriptions: Q. 2 次の番号の付いたワイヤレス攻撃の用語とその適切な説明を一致させます。 An attack that relies on an access point to spoof a legitimate access point's SSID and MAC address.The process of using detection tools to find wireless networks.An access point intended to attract new connections by using an apparently legitimate SSID.An attack that retransmits captured communication to attempt to gain access to a targeted system. Wireless attack terms <table border=1> <tr> <td>Wireless attack terms</td><td>Descriptions</td> </tr> <tr> <td>Rogue access point</td><td>An access point intended to attract new connections by using an apparently legitimate SSID.</td> </tr> <tr> <td>Replay</td><td>An attack that retransmits captured communication to attempt to gain access to a targeted system.</td> </tr> <tr> <td>Evil twin<td><td>An attack that relies on an access point to spoof a legitimate access point's SSID and MAC address.</td> </tr> <tr> <td>War driving</td><td>The process of using detection tools to find wireless networks.</td> </tr> </table> 不正アクセスポイント:明らかに正当なSSIDを使用して新しい接続を引き付けることを目的としたアクセスポイント。 リプレイ:標的のシステムへのアクセスを試みるためにキャプチャされた通信を再送信する攻撃。 Evil twin:正規のアクセスポイントのSSIDとMACアドレスを偽装するためにアクセスポイントに依存する攻撃。 ウォードライビング:無線ネットワークを見つけるために検出ツールを使用するプロセス。 Q. 3 Under the Digital Millennium Copyright Act (DMCA), what type of offenses do not require prompt action by an Internet service provider after it receives a notification of infringement claim from a copyright holder? C. The DMCA states that providers are not responsible for the transitory activities of their users. Transmission of information over a network would qualify for this exemption. The other activities listed are all nontransitory actions that require remediation by the provider. Q. 3 デジタルミレニアム著作権法(DMCA)の下で、著作権者からの侵害の申し立ての通知を受けた後、インターネットサービスプロバイダによる迅速な措置を必要としないのはどのような種類の違反ですか。 C. DMCAは、プロバイダーはユーザーの一時的な活動に対して責任を負わないと述べています。ネットワークを介した情報の送信はこの免除の対象となります。リストされている他のアクティビティはすべてプロバイダによる修正を必要とする非一時的なアクションです。 Q. 4 FlyAway Travel has offices in both the European Union and the United States and transfers personal information between those offices regularly. They have recently received a request from an EU customer requesting that their account be terminated. Under the GDPR, which requirement for processing personal information states that individuals may request that their data no longer be disseminated or processed? C. The right to be forgotten, also known as the right to erasure, guarantees the data subject the ability to have their information removed from processing or use. It may be tied to consent given for data processing; if a subject revokes consent for processing, the data controller may need to take additional steps, including erasure. Q. 4 FlyAway Travelは、欧州連合と米国の両方にオフィスを構え、それらのオフィス間で個人情報を定期的に転送します。彼らは最近、EUの顧客から、自分の口座の解約を要求する依頼を受けました。GDPRの下で、個人情報を処理するためのどの要件は、個人が自分のデータをもはや配布または処理しないように要求する可能性があることを示していますか? C. 消去される権利としても知られている忘れられる権利は、データ主体に彼らの情報を処理または使用から削除させる能力を保証します。それはデータ処理のために与えられた同意に結び付けられるかもしれません。被験者が処理の同意を取り消した場合、データ管理者は消去を含む追加のステップを踏む必要があるかもしれません。 Q. 5 Which one of the following is not one of the three common threat modeling techniques? D. The three common threat modeling techniques are focused on attackers, software, and assets. Social engineering is a subset of attackers. Q. 5 次のうちどれが、3つの一般的な脅威モデリング手法の1つではありませんか。 D. 一般的な3つの脅威モデリング手法は、攻撃者、ソフトウェア、および資産に焦点を当てています。ソーシャルエンジニアリングは攻撃者のサブセットです。 Q. 6 Which one of the following elements of information is not considered personally identifiable information that would trigger most U.S. state data breach laws? A. Most state data breach notification laws are modeled after California’s law, which covers Social Security number, driver’s license number, state identification card number, credit/debit card numbers, bank account numbers (in conjunction with a PIN or password), medical records, and health insurance information. Q. 6 次の情報のどの要素が、米国の州のデータ侵害に関する法律の大部分を引き起こす可能性のある個人を特定できる情報と見なされていませんか。 A. ほとんどの州のデータ侵害通知法は、社会保障番号、運転免許証番号、州識別カード番号、クレジットカード/デビットカード番号、銀行口座番号(PINまたはパスワードと組み合わせて)、医療記録を網羅するカリフォルニア州法に準拠しています。健康保険情報 Q. 7 In 1991, the Federal Sentencing Guidelines formalized a rule that requires senior executives to take personal responsibility for information security matters. What is the name of this rule? C. The prudent man rule requires that senior executives take personal responsibility for ensuring the due care that ordinary, prudent individuals would exercise in the same situation. The rule originally applied to financial matters, but the Federal Sentencing Guidelines applied them to information security matters in 1991. Q. 7 1991年に、連邦判決ガイドラインは、上級管理職が情報セキュリティ問題について個人的な責任を取ることを要求する規則を正式に定めました。このルールの名前は何ですか? C. 慎重な人の規則では、普通の慎重な人が同じ状況で行使するのに十分な注意を払うように上級管理職が個人的な責任を負うことを要求している。この規則はもともと金融問題に適用されていましたが、1991年には連邦判決ガイドラインが情報セキュリティ問題に適用しました。 Q. 8 Which one of the following provides an authentication mechanism that would be appropriate for pairing with a password to achieve multifactor authentication? D. A fingerprint scan is an example of a “something you are” factor, which would be appropriate for pairing with a “something you know” password to achieve multifactor authentication. A username is not an authentication factor. PINs and security questions are both “something you know,” which would not achieve multifactor authentication when paired with a password because both methods would come from the same category, failing the requirement for multifactor authentication. Q. 8 多要素認証を実現するためのパスワードとのペアリングに適した認証メカニズムは、次のうちどれですか。 D. 指紋スキャンは、「あなたが何か」という要素の一例です。これは、「何かを知っている」パスワードとペアにして多要素認証を行うのに適しています。ユーザー名は認証要素ではありません。PINとセキュリティに関する質問はどちらも「あなたが知っているもの」です。パスワードと組み合わせると、両方の方法が同じカテゴリに由来するため、多要素認証の要件を満たしていないため、多要素認証を実現できません。 Q. 9 What United States government agency is responsible for administering the terms of privacy shield agreements between the European Union and the United States under the EU GDPR? D. The U.S. Department of Commerce is responsible for implementing the EU-US Privacy Shield Agreement. This framework replaced an earlier framework known as Privacy Shield, which was ruled insufficient in the wake of the NSA surveillance disclosures. Q. 9 EU GDPRに基づくEUとアメリカ合衆国間のプライバシーシールド契約の条項の管理について、米国政府機関はどのような責任を負っていますか。 D. 米国商務省は、EUとUSのプライバシーシールド契約を履行する責任を負います。このフレームワークは、NSAサーベイランスの開示を受けて不十分であると判断されていたプライバシーシールドと呼ばれる初期のフレームワークに代わるものです。 Q. 10 Yolanda is the chief privacy officer for a financial institution and is researching privacy issues related to customer checking accounts. Which one of the following laws is most likely to apply to this situation? A. The Gramm-Leach-Bliley Act (GLBA) contains provisions regulating the privacy of customer financial information. It applies specifically to financial institutions. Q. 10 ヨランダは金融機関の最高プライバシー責任者であり、顧客当座預金口座に関連するプライバシー問題を調査しています。次の法律のどれがこの状況に最も当てはまる可能性がありますか? A. Gramm-Leach-Bliley法(GLBA)には、顧客の財務情報のプライバシーを保護する規定が含まれています。特に金融機関に適用されます。
ほとんどの州のデータ侵害通知法は、社会保障番号、運転免許証番号、州識別カード番号、クレジットカード/デビットカード番号、銀行口座番号(PINまたはパスワードと組み合わせて)、 医療記録を網羅するカリフォルニア州法に準拠しています。学生情報は含まれない。 Prudent man rule(プルーデントマンルールは、日本語で「思慮ある者の原則」と呼ばれ、企業年金の運用関係者が遵守すべき行動基準(行動規範)のことをいいます。)では、 普通の慎重な人が同じ状況で行使するのに十分な注意を払うように上級管理職が個人的な責任を負うことを要求している。 この規則はもともと金融問題に適用されていましたが、1991年に連邦判決ガイドラインでは情報セキュリティ問題に適用されました。 米国商務省は、EUとUSのプライバシーシールド契約を履行する責任を負います。 このフレームワークは、NSAサーベイランスの開示を受けて不十分であると判断されていたプライバシーシールドと呼ばれる初期のフレームワークに代わるものです。 Gramm-Leach-Bliley法(GLBA)には、顧客の財務情報のプライバシーを保護する規定が含まれています。特に金融機関に適用されます。 ヨランダは、金融機関の最高プライバシー責任者であり、顧客当座預金口座に関連するプライバシー問題を調査しています。 連邦情報セキュリティ管理法(FISMA)は、政府の請負業者に特に適用されます。 政府情報セキュリティ改革法(GISRA)はFISMAの前身であり、2002年11月に失効しました。 HIPAAとPCI DSSは、それぞれヘルスケア情報とクレジットカード情報に適用されます。 特定の国への暗号化ソフトウェアの輸出は、米国の輸出管理法の下で規制されています。 STRIDE脅威モデル ・Spoofing(なりすまし) ・Tampering(改ざん) ・Repudiation(否認) ・Information Disclosure(サービス拒否) ・Denial of Service(サービス拒否) ・Elevation of Privolege(権限昇格) リスクを引き受けることを選択したときはいつでも、将来の監査人を満足させるために、リスク引き受けプロセスの詳細な文書を維持する必要があります。これは、セキュリティ管理策を実施する前、災害復旧計画を設計する前、またはビジネス影響分析(BIA)を繰り返す前に行うべきである 定量的リスク評価と定性的リスク評価の要素を組み合わせることによって最良の結果を得ます。定量的リスク評価は財務リスクの分析に優れていますが、定性的リスク評価は無形リスクの優れたツールです。この2つの手法を組み合わせることで、リスクを包括的に把握できます。 経済スパイ法は、米国の企業から企業秘密を盗んだ罪があると認められた者に罰金と懲役刑を科します。 意識訓練は行政統制の一例です。 特許と企業秘密はどちらも製造工程に関連する知的財産を保護することができます。企業秘密は、詳細が組織内で厳密に管理されている場合にのみ適切であるため、この場合は特許が適切な解決策となります。 RAIDテクノロジは、ハードドライブの障害に対するフォールトトレランスを提供し、ビジネス継続性アクションの一例です。バックアップテープからの復元、コールドサイトへの移動、および業務の再開はすべて、障害回復のための措置です。 資産のリストを作成した後、ビジネス影響分析チームは各資産に値を割り当てる必要があります。 「脅威」とは、組織に損害や影響を与える可能性であるリスクを引き起こす要因です。「リスク」と「脅威」は混同されがちですが、「リスク」は可能性であり、「脅威」は要因であることがその違いです。 リスク軽減戦略は、リスクが発生する可能性や影響を軽減しようとします。侵入防止システムは、攻撃が成功する可能性を減らそうとしているため、リスク軽減の一例です。 HIPAAは、医療提供者、医療情報クリアリングハウス、および健康保険プランの3種類の事業体、ならびにそれらの対象事業体のいずれかのビジネスアソシエートを規制しています。
目次に戻る
2章へ
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/15ad7a85.ca05defb.15ad7a86.6ce3d8dc/?me_id=1278256&item_id=17722824&m=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Frakutenkobo-ebooks%2Fcabinet%2F7865%2F2000006777865.jpg%3F_ex%3D80x80&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Frakutenkobo-ebooks%2Fcabinet%2F7865%2F2000006777865.jpg%3F_ex%3D240x240&s=240x240&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
|
新版 CISSP CBK 公式ガイド【電子書籍】[ アダム・ゴードン ]
楽天で購入
|
お気に入りの記事を「いいね!」で応援しよう
Re:1.セキュリティとリスクマネジメント(CISSP)(04/22)
ラッキー さん
Re[1]:1.セキュリティとリスクマネジメント(CISSP)(04/22)
kinada3
さん
Re[2]:1.セキュリティとリスクマネジメント(CISSP)(04/22)
ラッキー さん
【毎日開催】
15記事にいいね!で1ポイント
