上記のシナリオでKaisonが取得したデータは、アーカイブメディアと呼ばれる種類のデータです。アーカイブメディアとは、DVD-ROM、CD-ROM、テープ、フラッシュドライブなどのリムーバブルメディアに保存されるデータのことです。アーカイブメディアは、データのバックアップやシステム間の転送に使用できます。アーカイブメディアは、メディアからデータを読み取り、コピーできるフォレンジックツールを用いて取得できます4。参考：アーカイブメディア

PCI-DSS 要件 5.3 は、このシナリオで説明される PCI-DSS 要件です。
PCI-DSS（Payment Card Industry Data Security Standard）は、加盟店、サービスプロバイダー、決済代行業者など、ペイメントカード情報を保管、処理、または送信する事業体に適用される一連の標準規格です。PCI-DSSでは、カード会員データを不正アクセス、不正使用、または不正開示から保護することが求められています。PCI-DSSは12の要件で構成され、6つのカテゴリに分類されています。安全なネットワークとシステムの構築と維持、カード会員データの保護、脆弱性管理プログラムの維持、強力なアクセス制御手段の実装、ネットワークの定期的な監視とテスト、情報セキュリティポリシーの維持です。PCI-DSS要件5.3は「脆弱性管理プログラムの維持」カテゴリに属し、ウイルス対策メカニズムは常に稼働している必要があり、経営陣が個別に限られた期間のみ許可した場合を除き、ユーザーが無効化または変更してはならないと規定されています。このシナリオでは、エイデンは会社のノートパソコンを使って自宅で仕事をしています。勤務時間中に、彼はノートパソコンでウイルス対策ソフトウェアの更新通知を受け取りました。エイデンは更新ボタンをクリックしました。しかし、システムはアップデートを制限し、アップデートは許可された担当者のみ実行できるというメッセージを表示しました。これは、彼の会社のラップトップにはウイルス対策メカニズムがアクティブに動作しており、ユーザーが無効化または変更できないことを意味し、PCI DSS要件5.3を満たしています。

このシナリオにおいて、ステラの取引状況が彼女の銀行口座に即座に反映されることを保証する情報セキュリティ要素は、可用性です。情報セキュリティとは、情報および情報システムを不正アクセス、利用、開示、改ざん、または破壊から保護する取り組みです。情報セキュリティは、機密性、完全性、可用性という3つの基本原則に基づいています。
機密性は、情報へのアクセスを権限のある当事者のみに許可し、権限のない当事者には開示しないことを保証する原則です。完全性は、情報が正確、完全、かつ一貫しており、権限のない当事者によって改ざんまたは破損されないことを保証する原則です。可用性は、情報および情報システムが、権限のある当事者が必要なときにアクセスおよび使用できることを保証する原則です。このシナリオでは、ステラはデビットカードを使ってオンラインでスマートウォッチを購入しました。決済ゲートウェイを通じて商品の代金を支払った後、彼女は銀行から引き落とされた利用可能残高を記載した取引テキストメッセージを受け取りました。これは、彼女の取引状況が即座に銀行口座に反映されたことを意味し、銀行の情報システムによって可用性が確保されていることを示しています。

トランジット ゲートウェイは、このシナリオでウィルソンがクラウド ネットワーク セキュリティを実現するために使用した方法です。クラウド ネットワーク セキュリティは、クラウド環境内のネットワーク インフラストラクチャとトラフィックの保護とセキュリティ保護に重点を置いたサイバーセキュリティの一分野です。クラウド ネットワーク セキュリティには、暗号化、ファイアウォール、VPN、IDS/IPS など、さまざまな方法や技術が含まれます。トランジット ゲートウェイは、オンプレミスの消費者ネットワークと VPC (仮想プライベート クラウド) 間の通信を集中ユニット経由で確立および管理するネットワーク ルーティング ソリューションを提供するクラウド ネットワーク セキュリティの方法です。トランジット ゲートウェイを使用すると、クラウド環境内の異なるネットワークまたは VPC 間の接続を簡素化し、セキュリティを確保できます。このシナリオでは、ウィルソンはクラウド ネットワーク セキュリティを強化するように指示されました。これを実現するために、ウィルソンはオンプレミスの消費者ネットワークと VPC 間の通信を集中ユニット経由で確立および管理するネットワーク ルーティング ソリューションを導入しました。つまり、この目的でトランジット ゲートウェイを使用したことになります。仮想プライベートクラウド (VPC) は、クラウドネットワークセキュリティの手段ではなく、パブリッククラウドの分離されたプライベートセクションを表す用語であり、単一の組織またはエンティティにクラウドリソースへの排他的アクセスを提供します。 VPC は、クラウド環境で仮想ネットワークを作成および構成するために使用できます。 パブリックサブネットとプライベートサブネットは、クラウドネットワークセキュリティの手段ではなく、異なるレベルのアクセス性または可視性を持つ VPC のセグメントを表す用語です。 パブリックサブネットは、インターネットやその他のネットワークからアクセスできる VPC のセグメントです。 プライベートサブネットは、インターネットやその他のネットワークからアクセスできない VPC のセグメントです。 VPC エンドポイントは、クラウドネットワークセキュリティの手段ではなく、VPC とその他の AWS (Amazon Web Services) のサービスまたはリソースとの間のプライベート接続を可能にするインターフェイスを表す用語です。

正解は B です。これは、上記のシナリオで説明されている情報セキュリティ要素について説明しています。否認不可とは、メッセージの送受信やアクションの実行を当事者が否定できないことを保証する情報セキュリティ要素です。上記のシナリオでは、ケイデンが会社のメッセージを否定できず、会社がケイデンの署名を否定できなかったため、否認不可について説明されています。オプション A は不正解です。上記のシナリオで説明されている情報セキュリティ要素について説明されていません。可用性とは、許可されたユーザーが必要に応じて情報やリソースにアクセスして使用できることを保証する情報セキュリティ要素です。上記のシナリオでは、情報やリソースへのアクセスや使用について言及されていないため、可用性については説明されていません。オプション C は不正解です。上記のシナリオで説明されている情報セキュリティ要素について説明されていません。完全性とは、情報とリソースが正確かつ完全であり、権限のない第三者によって変更されていないことを保証する情報セキュリティ要素です。上記のシナリオでは、情報とリソースの正確性や完全性について言及されていないため、完全性については説明されていません。選択肢Dは不正解です。上記のシナリオで説明されている情報セキュリティ要素について言及されていません。機密性は、情報やリソースが不正アクセスや漏洩から保護されることを保証する情報セキュリティ要素です。上記のシナリオでは、情報やリソースの保護や漏洩について言及されていなかったため、機密性について説明されていません。
参考文献: 、セクション3.1