[Q446-Q463] リアルなCISA日本語は100%カバー試験問題をゲット [2024年03月]

リアルなCISA日本語は100%カバー試験問題をゲット [2024年03月]

問題集まとめ概要はCISA日本語試験問題集はここ

質問 # 446
組織のセキュリティ情報およびイベント管理 (SIEM) システムのログの有効性と整合性を示す最良の証拠は次のうちどれですか?

• A. コンプライアンステスト
• B. 実体試験
• C. ストップ・オア・ゴー・サンプリング
• D. 可変サンプリング

正解：B

解説：
Explanation
Substantive testing provides the best evidence of the validity and integrity of logs in an organization's security information and event management (SIEM) system, because it is a type of audit testing that directly examines the accuracy, completeness, and reliability of the data and transactions recorded in the logs. Substantive testing can involve various methods, such as re-performance, inspection, observation, inquiry, or computer-assisted audit techniques (CAATs), to verify the existence, occurrence, valuation, ownership, presentation, and disclosure of the log data1. Substantive testing can also detect any errors, omissions, alterations, or manipulations of the log data that may indicate fraud or misstatement2.
Compliance testing (A) is not the best evidence of the validity and integrity of logs in an organization's SIEM system, because it is a type of audit testing that evaluates the design and effectiveness of the internal controls that are implemented to ensure compliance with laws, regulations, policies, and procedures. Compliance testing can involve various methods, such as walkthroughs, questionnaires, checklists, or flowcharts, to assess the adequacy, consistency, and operation of the internal controls1. Compliance testing can provide assurance that the log data are generated and processed in accordance with the established rules and standards, but it does not directly verify the accuracy and reliability of the log data itself2.
Stop-or-go sampling (B) is not a type of audit testing, but a type of sampling technique that auditors use to select a sample from a population for testing. Stop-or-go sampling is a sequential sampling technique that allows auditors to stop testing before reaching the predetermined sample size if the results are satisfactory or conclusive. Stop-or-go sampling can reduce the audit cost and time by avoiding unnecessary testing, but it can also increase the sampling risk and uncertainty by relying on a smaller sample3. Stop-or-go sampling does not provide any evidence of the validity and integrity of logs in an organization's SIEM system by itself; it depends on the type and quality of the audit tests performed on the selected sample.
Variable sampling (D) is not a type of audit testing, but a type of sampling technique that auditors use to estimate a numerical characteristic of a population for testing. Variable sampling is a statistical sampling technique that allows auditors to measure the amount or rate of error or deviation in a population by using quantitative methods. Variable sampling can provide precise and objective results by using mathematical formulas and confidence intervals4. Variable sampling does not provide any evidence of the validity and integrity of logs in an organization's SIEM system by itself; it depends on the type and quality of the audit tests performed on the selected sample.
References:
Audit Testing Procedures - 5 Types and Their Use Cases
5 Types of Testing Methods Used During Audit Procedures | I.S. Partners Stop-or-Go Sampling Definition Variable Sampling Definition

質問 # 447
IS リソースの最も効率的な使用を効果的に促進する課金方法は次のとおりです。

• A. 料金を吸収する能力に基づいた割り当て。
• B. 特定の使用量に結び付けることができる特定の料金。
• C. フル稼働容量を達成するための合計使用率。
• D. 実際に発生したコストを超える残余収入。

正解：B

解説：
説明
IS リソースの課金方法は、IS 機能がサービスを利用するユーザーまたはビジネス ユニットにコストを割り当てる方法です。課金方法は、ユーザーと IS 機能の行動とインセンティブ、および IS リソースの効率と有効性に影響を与える可能性があります。したがって、適切な課金方法を選択することは、IS 機能とその関係者にとって重要な決定となります。
考えられる課金方法の 1 つは、特定の使用量に関連付けることができる特定のコストを課金することです。これは、IS 機能が各 IS サービスに対する各ユーザーまたはビジネス ユニットの実際の消費量を追跡および測定し、それに応じて料金を請求することを意味します。たとえば、ユーザーが 10 GB のストレージ容量、5 時間の CPU 時間、および 100 MB のネットワーク帯域幅を使用する場合、IS 機能はこれらのリソースの単位コストに基づいて料金を請求します。この課金方法には、IS リソースの使用量とコストに関する明確かつ正確なフィードバックがユーザーに提供され、使用量を最適化し、無駄や過剰使用を避けるように動機づけられるため、IS リソースの最も効率的な使用を促進するという利点があります。この課金方法は、IS 機能とユーザーの利益も一致し、双方がコスト削減と効率向上の恩恵を受けることができます。
他の可能な充電方法は次のとおりです。
フル稼働容量を達成するための合計使用量: これは、IS 機能が、IS リソースの総稼働容量に対する割合に基づいて、各ユーザーまたはビジネス ユニットに固定金額を請求することを意味します。たとえば、ユーザーまたは事業部門に総コンピューティング能力の 10% が割り当てられている場合、IS コストの合計の 10% を支払うことになります。この課金方法には、各ユーザーまたはビジネス ユニットの実際の消費または使用状況が反映されず、コストの削減や効率の向上を図るインセンティブがまったくないため、IS リソースの効率的な使用を妨げるという欠点があります。また、この課金方法では、IS機能はコストや容量の増加により恩恵を受ける一方、ユーザーはその料金負担を負担するため、IS機能とユーザーの利益に不一致が生じます。
実際の発生コストを超える残余収入: これは、IS 機能が実際の発生コストに加えてマークアップまたは利益率を各ユーザーまたはビジネス ユニットに請求することを意味します。たとえば、ユーザーまたはビジネス ユニットが 100 ドル相当の IS リソースを消費した場合、IS 機能は 120 ドルを請求します。ここで、20 ドルは IS 機能の残余収入です。この課金方法には、ユーザーのコストが増加し、コストパフォーマンスが低下するため、IS リソースの効率的な使用が妨げられるという欠点があります。
また、この課金方法は、IS 機能とユーザーの利益の間に矛盾を生じさせます。IS 機能はコストと利益の増加によって利益を得る一方、ユーザーは必要以上の料金を支払うことで苦しむことになります。
料金を吸収する能力に基づく配分：これは、IS機能が、支払い能力または収益性に基づいて、異なるユーザーまたはビジネスユニットに異なる金額を請求することを意味します。たとえば、ユーザーまたはビジネスユニットの収益性が高い場合、または他のユーザーまたはビジネスユニットよりも高い予算がある場合、同じ量のISリソースに対してより多く支払うでしょう。この充電方法には、各ユーザーまたはビジネスユニットの実際の消費や使用を反映しておらず、コストを削減したり効率を改善するインセンティブを提供したりしないため、ISリソースの効率的な使用を妨げるという欠点があります。また、この充電方法は、ユーザーまたはビジネスユニットの間で不公平でarbitrary意的なコストの分布を作成します。参照：1：ITサービスの充電方法 - ITプロセスWiki 2：ITチャージバックメソッド-CIOWiki 3：IT ChargeBack -Wikipedia

質問 # 448
IT監査人がITセキュリティポリシーを検討するときに見つけることを期待すべきものは次のうちどれですか？

• A. システムのリスクベースの分類
• B. ウイルス対策の実装戦略
• C. 会社の資産を保護するための割り当てられた責任
• D. 情報資産の目録

正解：A

質問 # 449
組織の IT ポートフォリオを確認したところ、使用されていないアプリケーションがいくつか判明しました。この状況の再発を防ぐ最善の方法は、実装することです。

• A. ビジネス ケースの開発手順
• B. 情報資産の取得ポリシー
• C. 資産のライフサイクル管理。
• D. 正式な提案依頼書 (RFP) プロセス

正解：C

解説：
説明
資産ライフサイクル管理は、施設管理者が資産の計画、購入、使用、維持、処分を通じて資産の耐用年数を最大化する資産管理手法です1。資産ライフサイクル管理の主な目的は、資産のパフォーマンス、信頼性、寿命を最適化することでコストを削減し、生産性を向上させることです2。資産ライフサイクル管理は、アプリケーションがビジネス ニーズ、目的、戦略に適合し、必要に応じて定期的にレビュー、更新、または廃止されることを保証することで、未使用のアプリケーションが存在する状況を防ぐのに役立ちます3。
他のオプションは、未使用のアプリケーションを防ぐための資産ライフサイクル管理ほど効果的ではありません。正式な提案依頼書 (RFP) プロセスは、プロジェクトまたはサービスに対する潜在的なベンダーまたはサプライヤーから入札を募る方法です。RFP プロセスは、特定の要件に最適なアプリケーションを選択するのに役立ちますが、アプリケーションがライフサイクル全体にわたって使用または保守されることを保証するものではありません。ビジネス ケースの開発手順は、問題の定義、代替案の分析、プロジェクトまたはイニシアチブの解決策の提案を含む一連の手順です。ビジネス ケースの開発手順は、アプリケーションの必要性と価値を正当化するのに役立ちますが、アプリケーションが実装後に利用またはサポートされることを保証するものではありません。情報資産取得ポリシーとは、アプリケーションなどの情報資産を取得する際のルールや基準を定めた文書です。情報資産取得ポリシーは、アプリケーションが一貫性のある準拠した方法で取得されることを保証するのに役立ちますが、取得後のアプリケーションの管理または廃棄方法については言及しません。

質問 # 450
ネットワークサービスのサービスレベルアグリーメント（SLA）を作成する際の課題は、次のうちどれですか？

• A. 適切に測定できるパフォーマンスメトリックを見つける
• B. ネットワークコンポーネントがクライアントによって変更されないようにする
• C. ネットワークサービスのための適切に設計されたフレームワークの確立
• D. ネットワークへのエントリポイントの数を減らす

正解：A

質問 # 451
スタッフローテーションポリシーがある組織では、最も適切なアクセス制御モデルは次のとおりです。

• A. discretionary.
• B. mandatory.
• C. lattice-based.
• D. role-based.

正解：D

質問 # 452
IS監査人は、IT部門が環境に展開されているハードウェアとソフトウェアの定期的な検出を実行していないことを発見しました。最も大きな関連リスクとは何ですか？

• A. サードパーティのライセンス監査の不完全なリスト
• B. ハードウェアとソフトウェアの不正確なインベントリ
• C. ハードウェアとソフトウェアの不正確なコスト見積もり
• D. 組織内の未使用ライセンスの増加

正解：A

質問 # 453
情報システム監査人は、オンラインの顧客支払いの処理に使用される公開Webサーバーにリスクの高い脆弱性を発見しました。情報システム監査人は最初にすべきです

• A. 監査委員会に通知します。
• B. セキュリティインシデントレポートを確認します。
• C. 補正コントロールを特定します。
• D. 例外を監査レポートに記録します。

正解：C

解説：
Explanation
The first action that an IS auditor should take when finding a high-risk vulnerability in a public-facing web server used to process online customer payments is to identify compensating controls. Compensating controls are alternative or additional controls that provide reasonable assurance of mitigating the risk of exploiting the vulnerability. The IS auditor should assess the effectiveness of the compensating controls and determine whether they reduce the risk to an acceptable level. If not, the IS auditor should recommend remediation actions to address the vulnerability. Documenting the exception in an audit report is an important action, but it should not be the first action, as it does not address the urgency of the situation. Reviewing security incident reports is a useful action, but it should not be the first action, as it does not provide assurance of preventing future incidents. Notifying the audit committee is a necessary action, but it should not be the first action, as it does not involve taking any corrective measures. References:
CISA Review Manual, 27th Edition, pages 295-2961
CISA Review Questions, Answers & Explanations Database, Question ID: 260

質問 # 454
情報システム監査人は、社内ソフトウェア開発ソリューションのリリース管理プロセスをレビューしています。ソフトウェアのバージョンが実稼働環境と同じである可能性が最も高いのはどの環境ですか?

• A. テスト中
• B. ステージング
• C. 統合
• D. 開発

正解：B

解説：
説明
ステージング環境は、ソフトウェアを実稼働環境に展開する前にテストおよび検証するために使用される実稼働環境のレプリカです。ステージング環境は、実稼働環境で遭遇する実際の条件と構成を模倣しているため、実稼働環境と同じソフトウェア バージョンを持つ可能性が最も高くなります。テスト環境は、機能テスト、パフォーマンス テスト、セキュリティ テストなど、ソフトウェアのさまざまな種類のテストを実行するために使用される別個の環境です。テスト環境は、頻繁に実行される可能性があるため、運用環境と同じソフトウェア バージョンを持たない場合があります。テスト結果やフィードバックに基づいた変更や更新。統合環境は、さまざまな開発者またはソースからのソフトウェア コンポーネントまたはモジュールを組み合わせてテストし、それらが期待どおりに動作することを確認するために使用される別個の環境です。
統合環境には、異なるソースからの異なるバージョンまたはブランチのソフトウェアが含まれる可能性があるため、運用環境と同じソフトウェア バージョンが存在しない場合があります。開発環境は、開発者がソフトウェア コードを作成および変更するために使用する別の環境です。開発環境には、まだリリースされていない未完成または未テストのコードが含まれている可能性があるため、本番環境と同じソフトウェア バージョンが存在しない場合があります。

質問 # 455
リスクベースの監査戦略を策定する際に情報システム監査人が最も重点を置く分野は次のうちどれですか?

• A. 最近の監査結果
• B. 既存の IT 管理
• C. ビジネスプロセス
• D. 重要なビジネス アプリケーション

正解：C

解説：
説明
ビジネス プロセスは、組織が目的を達成し、ステークホルダーに価値を生み出すための中心的な活動および機能であるためです。ビジネス プロセスは、組織のパフォーマンス、コンプライアンス、評判に影響を与える可能性のあるさまざまなリスクの発生源および推進要因でもあります。したがって、情報情報監査人は、組織の成功にとって最も重要、複雑、または脆弱なビジネス プロセスの理解、評価、優先順位付けに重点を置き、それに応じて監査の目的、範囲、リソースを調整する必要があります12。
重要なビジネス アプリケーション (A) は、リスクベースの監査戦略を策定する際に情報システム監査人にとって最も重要な焦点となる領域ではなく、むしろ注意が必要となる可能性のあるビジネス プロセスの特定の側面です。
重要なビジネス アプリケーションは、エンタープライズ リソース プランニング (ERP)、顧客関係管理 (CRM)、会計システムなどのビジネス プロセスの実行と自動化をサポートするソフトウェア システムです。重要なビジネス アプリケーションは、信頼性、安全性、効率性が低い場合、組織に重大なリスクをもたらす可能性があります。したがって、情報情報監査人は、監査を計画する際に、ビジネス アプリケーションの重要性、機能性、依存関係を考慮する必要がありますが、それを主な焦点として考慮する必要はありません12。
既存の IT 統制は、リスクベースの監査戦略を策定する際に情報システム監査人にとって最も重要な焦点となる領域ではなく、むしろリスク評価プロセスの結果または出力です。既存の IT 統制は、組織のビジネス プロセスと目標に影響を与える可能性のある IT 関連のリスクを管理および軽減するために導入されるポリシー、手順、実践、およびテクノロジーです。既存の IT コントロールは、その設計、有効性、成熟度が異なる場合があります。したがって、情報情報システム監査人は、監査の実行および報告プロセスの一部として既存の IT コントロールを評価およびテストする必要がありますが、主な焦点としてではありません12。
最近の監査結果 (D) は、情報システム監査人がリスクベースの監査戦略を策定する際に最も重要な焦点となる領域ではなく、むしろリスク評価プロセスへの入力または情報源です。最近の監査結果は、組織のビジネス プロセス、リスク、管理に関する洞察やフィードバックを提供する可能性のある以前の監査の結果、推奨事項、意見です。最近の監査結果は、組織のリスク プロファイルや環境の変化や傾向を示している場合もあります。したがって、情報情報監査人は、主な焦点としてではなく、監査計画および範囲設定プロセスの一部として、最近の監査結果をレビューおよび検討する必要があります12。

質問 # 456
次のBESTのうち、バッチ更新ジョブが正常に実行されたかどうかを判断するのはどれですか？

• A. トランザクションのサンプルをテストして、更新が適用されたことを確認します
• B. ジョブが完了したことを示すプロセス所有者の確認を取得する
• C. ジョブのスクリプトのコピーを確認する
• D. ジョブログからタイムスタンプを確認する

正解：A

質問 # 457
プロジェクト管理オフィス（PMO）によって実行された実装後のレビュー（PIR）が効果的であったかどうかを判断するのに最適なのは次のうちどれですか。

• A. 学んだ教訓が実装されました。
• B. プロジェクトの成果が実現されました。
• C. 経営陣はPIRレポートを承認しました。
• D. 外部プロバイダーによるレビュー。

正解：B

質問 # 458
次のうち、新しいアプリケーション システムの実装中にデータの変換と移行をレビューする |$ 監査人にとって、最も懸念すべきことはどれですか?

• A. 手動プロセスを使用してデータ変換が実行されました
• B. 変換中に不正なデータ変更が発生しました。
• C. 変更管理プロセスは正式に文書化されていませんでした
• D. 古いシステムとデータのバックアップはオンラインでは利用できません

正解：B

解説：
Explanation
The finding that should be of greatest concern to an IS auditor reviewing data conversion and migration during the implementation of a new application system is that unauthorized data modifications occurred during conversion. Data conversion and migration is a process that involves transferring data from one system to another, ensuring its accuracy, completeness, integrity, and usability. Unauthorized data modifications during conversion can result in data loss, corruption, inconsistency, or duplication, which can affect the functionality, performance, reliability, and security of the new system. Unauthorized data modifications can also have serious business implications, such as affecting decision making, reporting, compliance, customer service, and revenue. The IS auditor should verify that adequate controls are in place to prevent, detect, and correct unauthorized data modifications during conversion, such as access control, data validation, reconciliation, audit trail, and backup and recovery. The other findings (A, B and D) are less concerning, as they can be mitigated by documenting the change management process, restoring the backups of the old system and data from offline storage, or automating the data conversion process. References: CISA Review Manual (Digital Version), Chapter 3: Information Systems Acquisition, Development & Implementation, Section 3.4: System Implementation

質問 # 459
成熟度モデルは、以下を特定することにより、ITガバナンスの実装を支援するために使用できます。

• A. 重要な成功要因。
• B. パフォーマンスドライバー。
• C. 説明責任。
• D. 改善の機会。

正解：D

質問 # 460
次のうち、情報システム監査人が見ることが最も重要なものはどれですか
プロジェクトの実現可能性調査で？

• A. 期待される効果が得られるかどうかの評価
  達成
• B. 要件が完全に満たされるかどうかの評価
• C. セキュリティ管理が機能することを示す評価
  効果的に
• D. 効果が実装を上回る評価

正解：A

解説：
Explanation
The most important thing for an IS auditor to look for in a project feasibility study is an assessment of whether the expected benefits can be achieved. A project feasibility study is a preliminary analysis that evaluates the viability and suitability of a proposed project based on various criteria, such as technical, economic, legal, operational, and social factors. The expected benefits are the positive outcomes and value that the project aims to deliver to the organization and its stakeholders. The IS auditor should verify whether the project feasibility study has clearly defined and quantified the expected benefits, and whether it has assessed the likelihood and feasibility of achieving them within the project scope, budget, schedule, and quality parameters. The other options are also important for an IS auditor to look for in a project feasibility study, but not as important as an assessment of whether the expected benefits can be achieved, because they either focus on specific aspects of the project rather than the overall value proposition, or they assume that the project will be implemented rather than evaluating its viability. References: CISA Review Manual (Digital Version)1, Chapter 4, Section 4.2.1

質問 # 461
組織内でプライバシー関連の制御を実装する主な目的は次のうちどれですか?

• A. 保存中のデータと転送中のデータを識別して暗号化するため
• B. データの使用に関するオプションを個人に提供するため
• C. 法的および規制要件を遵守するため
• D. 機密データの損失を防ぐため

正解：C

解説：
The primary objective of implementing privacy-related controls within an organization is B. To comply with legal and regulatory requirements. According to the ISACA Certified Information Systems Auditor (CISA) Study Guide [1], organizations must comply with laws and regulations that affect the handling of personal information. This includes laws related to the use, collection, storage, retention and disposal of personal data, as well as laws related to the privacy of personal data. Additionally, organizations must implement controls to ensure that they are in compliance with these laws and regulations.

質問 # 462
次の事業継続活動のうち、重要な機能の回復を優先するのはどれですか？

• A. リスク評価
• B. ビジネス影響分析（BIA）
• C. 事業継続計画（BCP）テスト
• D. ディザスタリカバリプラン（DRP）テスト

正解：B

解説：
Explanation
A business impact analysis (BIA) is a process that identifies and evaluates the potential effects or consequences of disruptions or disasters on an organization's critical business functions or processes. A BIA can help prioritize the recovery of critical functions by assessing their importance and urgency for the organization's operations, objectives, and stakeholders, and determining their recovery time objectives (RTOs), which are the maximum acceptable time for restoring a function after a disruption. A business continuity plan (BCP) testing is a process that verifies and validates the effectiveness and readiness of a BCP, which is a document that outlines the strategies and procedures for ensuring the continuity of critical business functions in the event of a disruption or disaster. A BCP testing does not prioritize the recovery of critical functions, but rather evaluates how well they are recovered according to the BCP. A disaster recovery plan (DRP) testing is a process that verifies and validates the effectiveness and readiness of a DRP, which is a document that outlines the technical and operational steps for restoring the IT systems and infrastructure that support critical business functions in the event of a disruption or disaster. A DRP testing does not prioritize the recovery of critical functions, but rather evaluates how well they are supported by the IT systems and infrastructure according to the DRP. A risk assessment is a process that identifies and analyzes the potential threats and vulnerabilities that could affect an organization's critical business functions or processes. A risk assessment does not prioritize the recovery of critical functions, but rather estimates their likelihood and impact of being disrupted by various risk scenarios.

質問 # 463
......

認定トレーニングはCISA日本語試験問題集テストエンジン：https://www.jpntest.com/shiken/CISA-JPN-mondaishu