試験CISA-JPN トピック2 問題218 スレッド
ISACA CISA-JPNのリアル試験問題集
問題 #: 218
トピック #: 2
問題 #: 218
トピック #: 2
IS 監査人は、アプリケーション サーバーのセキュリティ設定に一貫性がなく、潜在的な脆弱性につながることを発見しました。情報システム監査人による最良の推奨事項は次のうちどれですか?
おすすめの解答:D 解答を投票する
説明
潜在的な脆弱性につながる一貫性のないセキュリティ設定がアプリケーション サーバーにあることを発見した場合の IS 監査人による最善の推奨事項は、構成のレビューを実行することです。構成レビューは、事前に定義された標準またはベスト プラクティスに照らして、アプリケーション サーバーのセキュリティ設定とパラメータを調査および検証する監査手順です。構成のレビューは、アプリケーション サーバーを不正アクセス、悪用、侵害にさらす可能性のある逸脱、不一致、構成ミスを特定し、修正するのに役立ちます6。構成のレビューは、セキュリティ ポリシーや規制への準拠を確保し、アプリケーション サーバーのパフォーマンスと可用性を強化するのにも役立ちます。他のオプションは、次の理由から効果が低いか、正しくありません。
A: 変更管理プロセスの改善は、問題の根本原因に対処したり、特定の解決策を提供したりするものではないため、アプリケーション サーバーのセキュリティ設定に一貫性がなく、潜在的な脆弱性を引き起こしていることを発見した場合に IS 監査人が推奨する最善の方法ではありません。変更管理プロセスを改善することは、アプリケーション サーバー設定における将来の不整合や構成ミスの防止には役立ちますが、既存の設定が確実に検出され、修正されるわけではありません。
B: セキュリティ メトリックの確立は、問題の根本原因に対処したり、特定の解決策を提供したりするものではないため、アプリケーション サーバーのセキュリティ設定に一貫性がなく、潜在的な脆弱性を引き起こしていることを発見するために、IS 監査人が推奨する最善の方法ではありません。セキュリティ メトリックの確立は、アプリケーション サーバーのセキュリティ パフォーマンスと状態を測定および監視するのに役立ちますが、アプリケーション サーバー設定の既存の不整合や構成ミスが検出され、修正されることを保証するものではありません。
C: 侵入テストの実行は、問題の根本原因に対処したり、特定の解決策を提供したりするものではないため、アプリケーション サーバーのセキュリティ設定に一貫性がなく、潜在的な脆弱性を引き起こしていることを発見するために IS 監査人が推奨する最善の方法ではありません。侵入テストの実行は、アプリケーション サーバーに対する攻撃の影響をシミュレートして評価するのに役立ちますが、アプリケーション サーバー設定の既存の不整合や構成ミスが検出されて修正されることを保証するものではありません。参考資料: アプリケーション サーバー セキュリティを使用するためのシステムの構成 - IBM、アプリケーション セキュリティ リスク: 評価とモデリング - ISACA、アプリケーション セキュリティ プログラムの 5 つの主要コンポーネント - ISACA、監査人のための ISACA プラクティショナー ガイドライン - SSH、SCADA サイバーセキュリティ フレームワーク - ISACA
潜在的な脆弱性につながる一貫性のないセキュリティ設定がアプリケーション サーバーにあることを発見した場合の IS 監査人による最善の推奨事項は、構成のレビューを実行することです。構成レビューは、事前に定義された標準またはベスト プラクティスに照らして、アプリケーション サーバーのセキュリティ設定とパラメータを調査および検証する監査手順です。構成のレビューは、アプリケーション サーバーを不正アクセス、悪用、侵害にさらす可能性のある逸脱、不一致、構成ミスを特定し、修正するのに役立ちます6。構成のレビューは、セキュリティ ポリシーや規制への準拠を確保し、アプリケーション サーバーのパフォーマンスと可用性を強化するのにも役立ちます。他のオプションは、次の理由から効果が低いか、正しくありません。
A: 変更管理プロセスの改善は、問題の根本原因に対処したり、特定の解決策を提供したりするものではないため、アプリケーション サーバーのセキュリティ設定に一貫性がなく、潜在的な脆弱性を引き起こしていることを発見した場合に IS 監査人が推奨する最善の方法ではありません。変更管理プロセスを改善することは、アプリケーション サーバー設定における将来の不整合や構成ミスの防止には役立ちますが、既存の設定が確実に検出され、修正されるわけではありません。
B: セキュリティ メトリックの確立は、問題の根本原因に対処したり、特定の解決策を提供したりするものではないため、アプリケーション サーバーのセキュリティ設定に一貫性がなく、潜在的な脆弱性を引き起こしていることを発見するために、IS 監査人が推奨する最善の方法ではありません。セキュリティ メトリックの確立は、アプリケーション サーバーのセキュリティ パフォーマンスと状態を測定および監視するのに役立ちますが、アプリケーション サーバー設定の既存の不整合や構成ミスが検出され、修正されることを保証するものではありません。
C: 侵入テストの実行は、問題の根本原因に対処したり、特定の解決策を提供したりするものではないため、アプリケーション サーバーのセキュリティ設定に一貫性がなく、潜在的な脆弱性を引き起こしていることを発見するために IS 監査人が推奨する最善の方法ではありません。侵入テストの実行は、アプリケーション サーバーに対する攻撃の影響をシミュレートして評価するのに役立ちますが、アプリケーション サーバー設定の既存の不整合や構成ミスが検出されて修正されることを保証するものではありません。参考資料: アプリケーション サーバー セキュリティを使用するためのシステムの構成 - IBM、アプリケーション セキュリティ リスク: 評価とモデリング - ISACA、アプリケーション セキュリティ プログラムの 5 つの主要コンポーネント - ISACA、監査人のための ISACA プラクティショナー ガイドライン - SSH、SCADA サイバーセキュリティ フレームワーク - ISACA
永冈** 2024-04-09 01:47:12
コメント
他人の解答コメントを賛成するのも、その解答に一票を入れることになります。したがって、すでに同じ意見の投票コメントが存在する場合、新規コメントをする代わりに賛成することもできます。
コメントを通報する
コメント中
今すぐ 新規登録 / ログイン (無料です)。