[2024年03月18日] CISA日本語のPDF問題とテストエンジンには927問があります
更新された試験エンジンはCISA日本語試験無料お試しサンプル365日更新されます
質問 # 111
ビジネス影響分析(BIA)を実行するときに使用されるデータは、次のうちどれですか?
- A. 規制順守のコスト
- B. 事業を回復するために予想される費用
- C. 現在の事業を運営するための費用便益分析
- D. 現在のビジネスが将来のビジネスに与える影響の予測
正解:D
質問 # 112
IS監査人は、次の方法でシステム障害のビジネスへの影響を最もよく評価できます。
- A. ユーザー満足度の評価。
- B. 機器のメンテナンスログの分析。
- C. システムで生成されたログの確認
- D. セキュリティ管理者へのインタビュー
正解:A
質問 # 113
テスト用のサンプルを選択します。これには80の最大クライアントバランスと残りのランダムサンプルが含まれている必要があります。情報システム監査人は以下を推奨する必要があります。
- A. 一般化された監査ソフトウェアの使用。
- B. ソフトウェアを使用して属性サンプリングを適用します。
- C. ユーティリティリリース管理でファイルをソートする
- D. 統合テスト施設(ITF)の開発。
正解:A
質問 # 114
内部ネットワークへのアクセス制御の有効性を評価する最良の方法は次のうちどれですか。
- A. アクセス権を確認します。
- B. 操作手順のコンプライアンスをテストする
- C. システム浸透休憩を実行します
- D. ルーター構成テーブルの確認
正解:C
質問 # 115
特定されたビジネスリスクの管理において、内部監査機能の主な役割は次のうちどれですか?
- A. エンタープライズ リスク管理 (ERM) の検証
- B. リスク管理体制の運用
- C. リスク選好の確立
- D. リスク管理体制の確立
正解:A
解説:
Explanation
The primary role of an internal audit function in the management of identified business risks is to validate the enterprise risk management (ERM) process and provide assurance on its effectiveness. The internal audit function should evaluate whether the ERM process is aligned with the organization's objectives, strategies, policies and culture, and whether it covers all relevant risks and controls. The internal audit function should also assess whether the ERM process is operating as designed and producing reliable and timely information for decision making. The other options are not the primary role of an internal audit function, but rather the responsibilities of senior management, board of directors or risk owners. References:
ISACA, CISA Review Manual, 27th Edition, chapter 1, section 1.41
ISACA, IT Audit and Assurance Standards, Guidelines and Tools and Techniques for IS Audit and Assurance Professionals, section 12072
質問 # 116
次のうち、探偵コントロールはどれですか?
- A. ハッシュ合計の検証
- B. バックアップ手順
- C. データ入力のプログラムされた編集チェック
- D. 物理的な施設へのアクセスを得るためのパスカードの使用
正解:A
質問 # 117
ファイル転送後のデータの整合性を最も確実に保証するのは、次のうちどれですか?
- A. チェックディジット
- B. 合理性チェック
- C. ハッシュ値
- D. 金額単位のサンプリング
正解:C
解説:
Explanation
The best assurance of data integrity after file transfers is hash values. Hash values are unique strings that are generated by applying a mathematical function to the data. Hash values can be used to verify that the data has not been altered or corrupted during the transfer, as any change in the data would result in a different hash value. By comparing the hash values of the source and destination files, one can confirm that the data is identical and intact.
The other options are not as effective as hash values for ensuring data integrity after file transfers. Check digits are digits added to a number to detect errors in data entry or transmission, but they are not reliable for detecting intentional or complex modifications of the data. Monetary unit sampling is a statistical sampling technique used for auditing financial statements, but it is not applicable for verifying data integrity after file transfers. Reasonableness check is a validation method that checks whether the data falls within an expected range or format, but it does not guarantee that the data is accurate or consistent with the source.
References:
5: On Windows, how to check that data is unchanged after copying? - Super User
6: Data integrity | Cloud Storage Transfer Service Documentation | Google Cloud
7: Checking File Integrity - HECC Knowledge Base
8: How to setup File Transfer Integrity Checks - Progress.com
質問 # 118
IS監査で特定された特権ユーザーに関連する問題に対処するために、管理者はセキュリティ情報およびイベント管理(SIEM)システムを実装しました。どのタイプのコントロール........。
- A. 探偵
- B. 指令
- C. 修正
- D. 予防
正解:A
質問 # 119
組織は深刻な影響を受け、Advanced Persistent Threat(APT)攻撃を変更しました。その後、攻撃の1か月前に最初の違反が発生したことが判明しました。経営陣の最大の関心事は
- A. 監視プロセスの有効性
- B. 過去の内部侵入テストの結果
- C. 外部ファイアウォールポリシー。
- D. 重要なセキュリティパッチのインストール
正解:A
質問 # 120
インシデント対応を成功させるために最も重要なのは次のうちどれですか?
- A. 攻撃のソースを追跡する機能
- B. 攻撃制御ツールによって記録されたデータの量
- C. 攻撃ルートをすぐにブロックする
- D. 攻撃認識の適時性
正解:B
質問 # 121
データセンターの環境制御レビューの一環として消火システムを検討する際に考慮すべきことは、次のうちどれですか?
- A. オンサイト交換の可用性
- B. メンテナンス手順
- C. 保険適用
- D. インストールマニュアル
正解:B
解説:
Explanation
The correct answer is D. Maintenance procedures should be considered when examining fire suppression systems as part of a data center environmental controls review. Fire suppression systems are critical for protecting the data center equipment and personnel from fire hazards. Therefore, they should be regularly maintained and tested to ensure their proper functioning and compliance with safety standards. Maintenance procedures should include inspection, cleaning, replacement, and repair of the fire suppression system components, as well as documentation of the maintenance activities and results. Installation manuals, onsite replacement availability, and insurance coverage are not directly related to the fire suppression system performance and effectiveness, and therefore are not relevant for the audit review. References: CISA Review Manual (Digital Version)1, page 403.
質問 # 122
アプリケーション プログラミング インターフェイス (API) クエリを介してデータを公開するリスクを軽減するため。次の設計上の考慮事項のうち、最も重要なものはどれですか?
- A. データ品質
- B. データ保持
- C. データ最小化
- D. データの完全性
正解:C
解説:
Explanation
The answer B is correct because data minimization is the most important design consideration to mitigate the risk of exposing data through application programming interface (API) queries. An API is a set of rules and protocols that allows different software components or systems to communicate and exchange data. API queries are requests sent by users or applications to an API to retrieve or manipulate data. For example, a user may query an API to get information about a product, a service, or a location.
Data minimization is the principle of collecting, processing, and storing only the minimum amount of data that are necessary for a specific purpose. Data minimization can help to reduce the risk of exposing data through API queries by limiting the amount and type of data that are available or accessible through the API. Data minimization can also help to protect the privacy and security of the data subjects and the data providers, as well as to comply with the relevant laws and regulations.
Some of the benefits of data minimization for API design are:
Privacy: Data minimization can enhance the privacy of the data subjects by ensuring that only the data that are relevant and essential for the API purpose are collected and processed. This can prevent unnecessary or excessive collection or disclosure of personal or sensitive data, such as names, addresses, phone numbers, email addresses, etc. Data minimization can also help to comply with the privacy laws and regulations that require data protection by design and by default, such as GDPR (General Data Protection Regulation) or CCPA (California Consumer Privacy Act).
Security: Data minimization can improve the security of the data providers by reducing the attack surface and the potential damage of a data breach. If less data are stored or transmitted through the API, there are fewer opportunities for attackers to access or compromise the data. Data minimization can also help to implement security controls such as encryption, access control, or logging more efficiently and effectively.
Performance: Data minimization can increase the performance of the API by optimizing the use of resources and bandwidth. If less data are stored or transmitted through the API, there are less storage space and network traffic required. Data minimization can also help to improve the speed and reliability of the API responses.
Some of the techniques for data minimization in API design are:
Define clear and specific purposes for the API and document them in the API specification or documentation.
Identify and classify the data that are needed for each purpose and assign them appropriate labels or levels, such as public, internal, confidential, or restricted.
Implement filters or parameters in the API queries that allow users or applications to specify or limit the data fields or attributes they want to retrieve or manipulate.
Use pagination or throttling in the API responses that limit the number or size of data items returned per request.
Use anonymization or pseudonymization techniques that remove or replace any identifying information from the data before sending them through the API.
Some examples of web resources that discuss data minimization in API design are:
Data Minimization in Web APIs - World Wide Web Consortium (W3C)
Adding Privacy by Design in Secure Application Development
Chung-ju/Data-Minimization: A repository of related papers. - GitHub
質問 # 123
IS 監査人は、物理的破壊の期限を過ぎたハードドライブの箱を安全な場所で発見しました。
このタスクを担当するベンダーは、これらのハードドライブについてまったく知らされていませんでした。
この問題に対処するための最善の行動方針は次のうちどれですか?
- A. ドライブをベンダーに送って破壊することをお勧めします。
- B. 潜在的なギャップについて企業の資産処理ポリシーを評価します。
- C. 発見結果を資産所有者にエスカレーションして修正を依頼します。
- D. ワークフローを調べて、資産処理の責任におけるギャップを特定します。
正解:D
解説:
説明
ワークフローを調査することで、情報システム監査人は、ハード ドライブについてベンダーに通知されなかった理由など、プロセスが失敗した場所を特定できます12。
参考文献:
ハードドライブを適切に破壊する方法 - 今日の技術ニュース
ハードディスクのデータを安全かつ確実に破壊する方法 - iFixit
質問 # 124
組織は最近、すべてのプロセッサに影響を与える広範なチップ レベルのセキュリティの脆弱性に気づきました。この脆弱性の悪用を防ぐ最善の方法は次のうちどれですか?
- A. セキュリティ意識向上トレーニングを実施します。
- B. ハードウェア ベンダー契約を確認します。
- C. ベンダー パッチをインストールする
- D. セキュリティ ログ インシデントを確認します。
正解:C
解説:
Explanation
The best way to prevent a chip-level security vulnerability from being exploited is to install vendor patches. A chip-level security vulnerability is a flaw in the design or implementation of a processor that allows an attacker to bypass the normal security mechanisms and access privileged information or execute malicious code. A vendor patch is a software update provided by the manufacturer of the processor that fixes or mitigates the vulnerability. Installing vendor patches can help to protect the system from known exploits and reduce the risk of data leakage or compromise.
Security awareness training, reviewing hardware vendor contracts, and reviewing security log incidents are not as effective as installing vendor patches for preventing a chip-level security vulnerability from being exploited. Security awareness training is an educational program that teaches users about the importance of security and how to avoid common threats. Reviewing hardware vendor contracts is a legal process that evaluates the terms and conditions of the agreement between the organization and the processor supplier.
Reviewing security log incidents is an analytical process that examines the records of security events and activities on the system. These methods may be useful for other security purposes, but they do not directly address the root cause of the chip-level vulnerability or prevent its exploitation. References: Protecting your device against chip-related security vulnerabilities, New 'Downfall' Flaw Exposes Valuable Data in Generations of Intel Chips
質問 # 125
IS 監査人は、物理的破壊の期限を過ぎたハードドライブの箱を安全な場所で発見しました。
このタスクを担当するベンダーは、これらのハードドライブについてまったく知らされていませんでした。
この問題に対処するための最善の行動方針は次のうちどれですか?
- A. ワークフローを調査して、資産処理責任におけるギャップを特定します。
- B. 潜在的なギャップについて企業の資産取扱いポリシーを評価します。
- C. ドライブをベンダーに送って破壊することをお勧めします。
- D. 発見結果を資産所有者にエスカレーションして修正を依頼します。
正解:A
解説:
Explanation
The issue seems to stem from a breakdown in the workflow or process for handling assets that are due for destruction12. By examining the workflow, the IS auditor can identify where the process failed, such as why the vendor was not notified about the hard drives12. This could involve reviewing procedures for inventory management, communication with vendors, and tracking of assets due for destruction12. The findings can then be used to improve the workflow and prevent similar issues in the future12.
References:
How To Properly Destroy A Hard Drive - Tech News Today
How to safely and securely destroy hard disk data - iFixit
質問 # 126
サービスプロバイダーが顧客にセキュリティ違反を通知しなかったことを発見した場合、情報システム監査人は最初に何をすべきですか?
- A. 調査結果を法執行機関に通知します。
- B. 重要な発見を伴う監査報告書。
- C. サードパーティに顧客への通知を要求します。
- D. 調査結果を監査管理者に通知します。
正解:D
解説:
Explanation
The IS auditor should notify audit management of the finding first, as this is a significant issue that may affect the audit scope and objectives. The IS auditor should not notify law enforcement or require the third party to notify customers without consulting audit management first. The audit report with a significant finding should be issued after the audit is completed and the findings are validated. References: ISACA, CISA Review Manual, 27th Edition, 2018, page 247
質問 # 127
IS 監査中にできるだけ多くの異常を検出する最も効果的な方法は次のうちどれですか?
- A. データ分析ツールを使用して傾向を特定します。
- B. サンプリングされたレコードに対して実質的なテストを実行します。
- C. 主要なプロセスの判断サンプリングを実行します。
- D. プロセスのウォークスルーを実施します。
正解:A
解説:
Explanation
A data analytics tool is the most effective way to detect as many abnormalities as possible during an IS audit, as it can process large volumes of data, perform complex calculations, and generate visualizations that reveal patterns, outliers, anomalies, or deviations from expected results. A data analytics tool can also help the auditor to test the entire population of data, rather than a sample, and to perform continuous auditing and monitoring.
References
ISACA CISA Review Manual, 27th Edition, page 256
What is Problem Solving? Steps, Process & Techniques | ASQ
Data Analytics for Auditors - IIA
質問 # 128
ITスタッフの開発計画とIT戦略の整合を可能にするには、次のうちどれを最初に実行する必要がありますか?
- A. ITスタッフのパフォーマンス目標に戦略目標を含める
- B. 主要なビジネスプロセスをサポートする必要なITスキルセットを特定する
- C. ITスタッフの職務記述書を確認して調整する
- D. ITスタッフメンバーごとに四半期ごとのトレーニングを作成します。
正解:B
質問 # 129
モノのインターネット(loT)デバイスのデータ転送の整合性を確保するために、情報システム監査人が最初に行うべきことは次のうちどれですか?
- A. デバイスがローカルネットワークにどのように接続されているかを確認します。
- B. メッセージキューテレメトリトランスポート(MQTT)が使用されていることを確認します。
- C. 収集されたデータが保存されているデータベースへのアクセス制御リストを確認します。
- D. データ帯域幅の許容限界が各デバイスに定義されていることを確認します。
正解:A
質問 # 130
次のうち、継続的な検出制御の悪化の結果として、ST に大きな影響を与えているのはどれですか?
- A. セキュリティ ログの偽陰性の数の増加
- B. ログのストレージ スペースに対する需要の増加
- C. 屋根の原因分析の効果の低下
- D. 全体硬直時間を短縮
正解:A
質問 # 131
IS 監査人は、ベンダーの成果物に新しく取得した製品のソース コードが含まれていないと判断します。この問題に対処するには、監査人は次のうちどれを契約に含めるよう推奨する必要がありますか?
- A. ソフトウェアエスクロー契約
- B. サービス レベル アグリーメント (SLA)
- C. 監査権条項
- D. 機密保持およびデータ保護条項
正解:A
解説:
説明
正解はC. ソフトウェアエスクロー契約です。ソフトウェア エスクロー契約は、ソフトウェア開発者 (ライセンサー)、エンド ユーザー (ライセンシー)、およびエスクロー エージェントの 3 者間の法的取り決めです。この契約により、ソフトウェアのソース コードおよびその他の関連資産がエスクロー エージェントに安全に保管され、ライセンサーの破産、破産、サポートまたはメンテナンスの提供の失敗などの特定の条件下でライセンシーに解放されることが保証されます1。ソフトウェアエスクロー契約は、ライセンシーが依存するソフトウェアの保証と継続性をライセンシーに提供し、予期せぬ出来事やライセンサーとの紛争が発生した場合にアクセスや機能を失うことからライセンシーを保護することができます1。
質問 # 132
復元力に関して、新しい重要なシステムを導入した組織にとって最も大きなリスクは次のうちどれですか?
- A. システムのダウンタイムを監視する計画はありません
- B. プロセス所有者がユーザー受け入れテスト (UAT) をサインオフしていません。
- C. ビジネス データは開発環境でサニタイズされていません
- D. ビジネス影響分析 (BIA) は実行されていません
正解:D
解説:
説明
レジリエンスとは、破壊的な出来事が発生しても、その後も効果的に業務を継続できる組織の能力です。
ビジネス影響分析 (BIA) は、組織の目標をサポートする重要なシステムとプロセスを特定し、それらの混乱による影響を判断するための重要なプロセスです。BIA がなければ、組織は最も重要なシステムやプロセスの回復に優先順位を付けることができない可能性があり、これが組織の回復力に最大のリスクをもたらします。他のオプションは、データ品質、システム監視、ユーザー受け入れテストに関連するため、BIA ほど重要ではありません。これらは重要ではありますが、回復力にとって必須ではありません。
参考文献: CISA 審査マニュアル (デジタル版)、ドメイン 4: 情報システム運用とビジネスの回復力、セクション 4.2 事業継続計画1
質問 # 133
Jiiimr復旧計画(DRP)を機密として分類する最も重要な理由は次のうちどれですか
- A. データ分類ポリシーに準拠していることを確認します。
- B. ビジネス継続性のビートプラクティスに準拠します。
- C. 不正な変更から計画を保護します。
- D. 攻撃につながる可能性のあるデータ漏洩のリスクを軽減します。
正解:D
質問 # 134
電子商取引 Web サイトのユーザーの認証に使用されるサーバーのパフォーマンスの低下を最小限に抑えるのは、次のどれが最適ですか?
- A. 各認証サーバーを構成し、その RAID の各ディスクがプライマリ コントローラーに接続されていることを確認します。
- B. 各認証サーバーを認証サーバーのクラスターに属するように構成します。
- C. 各認証サーバーを構成し、各サーバーのディスクが二重の一部を形成していることを確認します。
- D. 単一のサーバーをプライマリ認証サーバーとして構成し、2 番目のサーバーをセカンダリ認証サーバーとして構成します。
正解:B
解説:
説明
電子商取引 Web サイトのユーザーの認証に使用されるサーバーのパフォーマンスの低下を最小限に抑えるには、各認証サーバーを認証サーバーのクラスターに属するように構成することが最善の方法です。クラスターは、高可用性、負荷分散、およびフォールト トレランスを提供するために連携して動作するサーバーのグループです。1 つのサーバーに障害が発生したり過負荷になった場合、クラスター内の別のサーバーがサービスを中断することなくワークロードを引き継ぐことができます。単一サーバーをプライマリ認証サーバーとして使用し、2 台目のサーバーをセカンダリ認証サーバーとして使用する方法は、クラスターほど効率的ではありません。これは、セカンダリ サーバーはプライマリ サーバーに障害が発生した場合にのみ使用されるためです。つまり、ほとんどの時間はアイドル状態であり、セカンダリ サーバーは使用されません。性能を上げる。各認証サーバーを構成し、その RAID の各ディスクがプライマリ コントローラーに接続されていることを確認しても、パフォーマンスの低下の問題には対処できませんが、データの冗長性と信頼性の問題に対処できます。
RAID (独立ディスクの冗長アレイ) は、複数のディスクを 1 つの論理ユニットに結合するテクノロジーであり、ディスク障害に耐え、データ アクセス速度を向上させることができます。各認証サーバーを構成し、各サーバーのディスクが二重化の一部を形成するようにしても、パフォーマンスの低下の問題には対処できませんが、データのバックアップとリカバリの問題に対処できます。二重とは、データの同一のコピーを保存するディスクのペアであり、一方のディスクに障害が発生した場合に、もう一方のディスクを使用してデータを復元できます。参考文献: ISACA CISA レビューマニュアル第 27 版、310 ページ
質問 # 135
......
試験合格保証CISA日本語試験には正確な問題解答付き:https://www.jpntest.com/shiken/CISA-JPN-mondaishu