CISA日本語問題集PDFでCISA日本語リアル試験問題解答
時間限定!今すぐ試そうCISA日本語試験 [2024] 問題集でISACAのPDF問題
質問 # 437
情報システム監査人が最近のセキュリティ インシデントをフォローアップし、インシデントへの対応が不十分であることに気付きました。次の調査結果のうち、最も重要と見なすべきものはどれですか?
- A. 侵入検知システム (IDS) によって攻撃が自動的にブロックされませんでした。
- B. 攻撃を助長するセキュリティ上の脆弱性は特定されませんでした。
- C. 攻撃は発信者にまでさかのぼることができませんでした。
- D. 適切な対応文書が整備されていませんでした。
正解:B
質問 # 438
次の調査結果のうち、組織の事業継続計画(BCP)をレビューする情報システム監査人にとって最も懸念すべきものはどれですか?
- A. エンドユーザーは最新バージョンのプランについてトレーニングを受けていません。
- B. 計画はここ数年更新されていません。
- C. 計画は経営幹部によって署名されていません。
- D. この計画では卓上演習は実施されていません。
正解:C
質問 # 439
セキュアシェル(SSH)を使用してネットワーク上のサーバーにアクセスする主な利点は、次のとおりです。
- A. 中間者攻撃を防止します
- B. プラットフォーム間の通信を容易にします。
- C. セッションの信頼性が向上します
- D. 送信データの機密性を提供します
正解:D
質問 # 440
IS監査マネージャーは、組織の給与アプリケーションのアップグレードに割り当てられたプロジェクトマネージャーを監督するという一時的な任務を負っていました。監査部門に戻ると、監査マネージャーは、給与アプリケーションの実装を検証するために監査を実行するように求められました。監査マネージャーは唯一です。 ITプロジェクト管理の経験を持つ監査部門に1人。最善の行動方針は何ですか?
- A. 適切な経験を持つ人は他にいないため、監査を管理します
- B. 上級IS監査人にプロジェクトを管理させ、IS監査マネージャーに最終レビューを実行させます
- C. 監査を独立した適格なリソースにアウトソーシングする
- D. ITプロジェクト管理の経験が不足しているにもかかわらず、割り当てを別の監査マネージャーに転送する
正解:C
質問 # 441
データ転送制御の目的は次のうちどれですか?
- A. データが定期的にバックアップされるようにするため
- B. 送信データの構造に従って受信データフィールドが構成されていることを確認します
- C. アクセス制御リストが正確かつ完全に維持されるようにするため
- D. データ転送を容易にするのに十分な専用リソースを確保するため
正解:B
質問 # 442
悪意のある内部関係者による機密データの流出を特定する最も効果的な方法は次のうちどれですか?
- A. 境界ファイアウォールのログを確認します。
- B. 行動分析モニタリングを確立します。
- C. データ損失防止 (DLP) ソフトウェアを実装する
- D. 継続的な情報セキュリティ意識向上トレーニングを提供する
正解:B
解説:
説明
悪意のある内部関係者による機密データの流出を特定する最も効果的な方法は、行動分析モニタリングを確立することです。行動分析は、内部関係者の脅威を検出して防止するために、ユーザーの行動のパターンと異常を分析するプロセスです。行動分析は、異常な時間帯の機密データへのアクセス、外部デバイスや場所への大量のデータの転送、未承認のアプリケーションやプロトコルの使用など、異常または不審なアクティビティを特定するのに役立ちます。行動分析は、ネットワーク ログ、ユーザー プロファイル、アクセス権などの複数のソースからのデータを関連付けて、ユーザーのアクティビティとリスクの全体像を提供するのにも役立ちます。
データ損失防止 (DLP) ソフトウェアは、悪意のある内部関係者による機密データの流出を防ぐのに役立つツールですが、機密データを特定する最も効果的な方法ではありません。DLP ソフトウェアは、事前定義されたルールとポリシーに基づいて、不正なデータ転送をブロックしたり警告したりできますが、暗号化、ステガノグラフィー、データ難読化などの高度な、またはステルスな抽出技術を検出できない場合があります。
境界ファイアウォールのログを確認することは、悪意のある内部関係者による機密データの流出を特定する方法ですが、最も効果的な方法ではありません。境界ファイアウォールのログには、データ転送のトラフィック量と宛先が表示されますが、データの内容やコンテキストは表示できない場合があります。境界ファイアウォールのログも、通常のトラフィックの量に圧倒され、悪意のある流出の信号を見逃す可能性があります。
情報セキュリティ意識向上トレーニングを継続的に提供することは、悪意のある内部関係者による機密データの流出のリスクを軽減する方法ですが、それを特定する方法ではありません。情報セキュリティ意識向上トレーニングは、機密データを保護することの重要性と、ポリシーや規制に違反した場合の影響についてユーザーを教育するのに役立ちますが、意図的または悪意を持ってデータを持ち出す人を阻止したり検出したりすることはできません。
参考文献:
ISACA、CISA レビューマニュアル、第 27 版、2019 年、p. 300
ISACA、CISA レビューの質問、回答、説明データベース - 12 か月のサブスクリプション 1 レガシー システム向けサイバーセキュリティ エンジニアリング: 6 つの推奨事項 - SEI ブログ 2 会社のレガシー アプリケーションを保護する方法 - iCorps
質問 # 443
情報システム監査人は、新しいWebサイトの展開に関するビジネス要件を検討しています。次の暗号化システムのうち、インターネット上での安全な通信の最良の証拠を提供するのはどれですか。
- A. Wi-Fi Protected Access 2 (WPA2)
- B. IP Security (IPSEC)
- C. Secure Shell (SSH)
- D. Transport Layer Security (TLS)
正解:D
質問 # 444
プライバシーに関連するVoice-overInternet Protocol(VoIP)に対する最大の脅威は次のうちどれですか?
- A. ルーティングが正しくありません
- B. 盗聴
- C. 通話録音
- D. サービス拒否(DoS)
正解:B
質問 # 445
IS 監査人は、管理者が任意のテーブルを直接変更できるオプションをデータベース内で発見しました。このオプションはソフトウェアのバグを克服するために必要ですが、ほとんど使用されません。テーブルへの変更は自動的に記録されます。情報情報監査人の最初のアクションは次のとおりです。
- A. データベースの変更には 2 人が関与する必要があるシステムを推奨します。
- B. テーブルへの変更のログがバックアップされているかどうかを決定します。
- C. データベースを直接変更するオプションを直ちに削除することをお勧めします。
- D. 監査証跡が保護され、レビューされているかどうかを判断します。
正解:D
解説:
説明
管理者が任意のテーブルを直接変更できるオプションをデータベース内で発見した後の情報システム監査人の最初のアクションは、監査証跡が保護され、レビューされているかどうかを判断することです。これは、データベース テーブルを直接変更すると、データの整合性、セキュリティ、説明責任に重大なリスクが生じる可能性があるためです。監査証跡は、データベース テーブルに対して行われたすべての変更 (変更者、変更内容、変更内容など) の記録です。監査証跡は、不正または誤った変更を検出し、調査または監査の証拠を提供し、データの回復または復元をサポートするのに役立ちます。IS 監査人は、監査証跡が改ざんや削除から保護されているかどうか、異常や例外がないか定期的にレビューされているかどうかを評価する必要があります。
質問 # 446
情報システム監査人は、1人の従業員が機密データに不正にアクセスしていることを発見しました。情報システム監査人の最善の推奨事項は次のとおりです。
- A. ユーザーに強力なパスワードスキーマを実装します。
- B. ビジネスオーナーに定期的なアクセスレビューを実施するように要求します。
- C. データをより低いレベルの機密性に再分類します
- D. セキュリティ管理者が講じる是正措置を推奨します。
正解:B
質問 # 447
IS監査人は、組織のIT戦略と計画を評価しています。次のうち、最も懸念されるのはどれですか?
- A. ITはビジネス戦略計画に関与していません。
- B. ビジネス戦略会議の議事録は配布されません。
- C. IT戦略計画の文書化が不十分です。
- D. 定義されたITセキュリティポリシーはありません。
正解:A
解説:
Explanation
The greatest concern for an IS auditor when evaluating an organization's IT strategy and plans is that IT is not engaged in business strategic planning, as this indicates a lack of alignment between IT and business objectives, which could result in inefficient and ineffective use of IT resources and capabilities. The absence of a defined IT security policy, the nondistribution of business strategy meeting minutes, and the inadequate documentation of IT strategic planning are also issues that should be addressed by an IS auditor, but they are not as significant as IT's noninvolvement in business strategic planning. References: CISA Review Manual (Digital Version), Chapter 3, Section 3.1
質問 # 448
ファイアウォールが組織のセキュリティ ポリシーに従って構成されていることを示す最良の監査証拠を提供するものは次のうちどれですか?
- A. 侵入テストの実行
- B. ログ ファイルを分析しています
- C. 構成変更がどのように実行されるかを分析します
- D. ルールベースの確認
正解:D
解説:
説明
ファイアウォールが組織のセキュリティ ポリシーに従って構成されていることを示す最良の監査証拠は、ルール ベースを確認することです。ルール ベースは、ファイアウォールを通過するネットワーク トラフィックを許可または拒否する基準を定義する一連のルールです。ルール ベースをレビューすることで、監査人はファイアウォール構成がセキュリティ ポリシーの要件および目的と一致しているかどうかを検証できます。構成変更がどのように実行されるかを分析し、ログ ファイルを分析し、侵入テストを実行することは有用な監査手法ですが、ファイアウォール構成のコンプライアンスを示す直接の証拠は得られません。参考文献: CISA レビューマニュアル (デジタル版)1、383 ページ。
質問 # 449
IS監査人が事業継続計画(BCP)監査を実行しており、計画が5年間テストされていないことを確認しましたが、最近の長時間の停電中に計画は正常にアクティブ化されました。次のうちどれが15監査人の最高の行動数ですか?
- A. 今後のギャップを特定するためにフォローアップBCP監査が必要かどうかを判断する
- B. 年次BCPトレーニングプログラムのレビューが必要かどうかを判断します
- C. アクティベーションから学んだ教訓が計画に組み込まれていたかどうかを判断します
- D. ビジネスインパクト分析(BIA)が依然として正確かどうかを判断します。
正解:C
質問 # 450
組織内のシャドウITを明らかにするための最良の方法は次のうちどれですか。
- A. ビジネスプロセスを確認します。
- B. 二次承認のしきい値を確認します。
- C. クラウドアクセスセキュリティブローカー(CASB)を使用します。
- D. ヘルプデスクチケットを分析します。
正解:A
質問 # 451
クロスサイトスクリプティング(XSS)のリスクを最小限に抑えるための最も効果的なコントロールは次のうちどれですか。
- A. ネットワーク侵入防止システム
- B. Webファイアウォールポリシー
- C. 安全なコーディング慣行
- D. 定期的な脆弱性評価
正解:C
質問 # 452
......
CISA日本語プレミアム試験エンジンとPDFダウンロード:https://www.jpntest.com/shiken/CISA-JPN-mondaishu