CIPT 試験問題 151

システム開発ライフサイクル (SDLC) において、プライバシー保護の実践方法の中で最も効果が低いのはどれですか?
  • CIPT 試験問題 152

    シナリオ
    ここは、ヨーロッパ全体、いや世界一安全なデータ保管場所と言えるでしょう。グローバル・ファイナンス・データ・コレクティブ(GFDC)は、大手銀行、保険会社、多国籍企業、政府機関などの金融情報やその他の顧客データを保管しています。施設へと続く長い山道を登りきると、セキュリティブースに到着します。警備員が身分証明書を何度も確認し、パスポートと国民IDカードに記載されている本人であることを目視で確認します。
    長い廊下を進むと、両側にサーバールームが並び、ドアにはダイヤル錠が取り付けられています。階段を上ると、天窓から明るい光が差し込むオフィスに案内されます。そこでGFDCのセキュリティ責任者、モニーク・バッチ博士が出迎えます。奥の壁には、施設内の様々な部屋を映し出すビデオスクリーンが並んでいます。さらに奥の端には、山頂への道の様々なセクションを映し出すスクリーンがいくつか設置されています。バッチ博士は改めてあなたのミッションを説明します。データセキュリティ監査人兼コンサルタントである私にとって、これは夢のような任務です。GFDCが求めているのは、単に適切な管理ではなく、現在の技術で実現できる最高かつ最も効果的なセキュリティなのです。
    「昨年は2回ハッキングを受けました」とバッチ博士は言います。「盗まれた記録は少数でしたが、悪い報道が事業に影響を及ぼしました。お客様は、私たちが絶対に侵入不可能なセキュリティを、しかもそれを静かに提供することを信頼しています。二度とこのようなことがニュースにならないことを願っています。」彼女は、施設が関連するすべてのセキュリティ規制と基準を遵守することも不可欠だと指摘します。
    あなたは、コンプライアンスの検証に加え、データ暗号化方式、認証制御、施設内外へのデータ転送における最も安全な方法など、既存のすべてのセキュリティ管理策とセキュリティ対策を評価するよう求められています。分析を開始する準備をする中で、あなたはある興味深い疑問に気づきました。「これらの人々は、私が本人であると確信できるのだろうか?」
    利用可能なオフィスに案内され、無線ネットワーク名と無線キーを含むシステムログイン情報を受け取りました。まだ迷っている間に施設の無線ネットワークを検索しようとしましたが、無線ネットワークの一覧にネットワークが表示されませんでした。しかし、無線ネットワーク名で検索すると、すぐに見つかりました。
    GFDC に保存されているクライアント情報を保護するための対策は何ですか?
  • CIPT 試験問題 153

    シナリオ
    トムは、現在32州で事業を展開している米国に拠点を置く自動車リース会社(New Company)での新しい職務開始を心待ちにしていました。New Companyは、東部地域(East Company)と西部地域(West Company)の2つの有力企業が合併して最近設立されました。認定情報プライバシーテクノロジスト(CIPT)の資格を持つトムは、New Company初の情報プライバシー・セキュリティ責任者です。トムは本日、East CompanyのディックとWest Companyのハリーと面談しました。
    ディックとハリーは、それぞれの会社で情報プライバシーとセキュリティのベテラン上級専門家として活躍し、現在も新会社の東西部門を率いています。この会議の目的は、新会社のSWOT(強み/弱み/機会/脅威)分析を実施することでした。彼らのSWOT分析の結論は以下に要約されています。
    ディックは、クラウドサービスを通じて新会社がコストを削減し、コンピューティング能力と柔軟性を向上できる機会に熱意を持っていました。イースト・カンパニーはクラウドへの移行を検討していましたが、ウェスト・カンパニーにはすでにSaaS(Software as a Service)を提供しているベンダーがいました。ディックはこのサービスを東部地域に拡大することを楽しみにしていました。ハリーは、ウェスト・カンパニーがデータ保護をサードパーティに頼らざるを得なくなるため、これも脅威になると指摘しました。
    トムは、旧会社のいずれにも新会社の予測される成長に対応できる十分なデータストレージ容量がないこと、そしてそれが彼の弱点だと指摘しました。トムは、チームの最初のプロジェクトの一つは、新会社の統合データウェアハウスの構築であると述べました。トムはこのプロジェクトを自ら主導し、新データウェアハウスへの送信中または保存中に情報が変更された場合、責任を負うことになりました。
    トム、ディック、ハリーは、従業員のネットワークアクセスは強みにも弱みにもなり得るという点で意見が一致しました。イースト・カンパニーとウェスト・カンパニーは、この点において優れた実績を誇っていました。両社とも、設計通りに機能する堅牢なネットワークアクセス制御を備えていました。しかし、1年間の移行期間中、新会社の従業員はイースト・カンパニーとウェスト・カンパニーのネットワークへのアクセスを維持しながら、新会社のネットワークにも接続できる必要がありました。
    従業員がリモートワークをする場合、通常はWi-Fiネットワークに接続します。このような状況で会社のセキュリティを維持するために、ハリーはどのようなアドバイスをすべきでしょうか?
  • CIPT 試験問題 154

    シナリオ
    あなたはAncillary.comに入社しました。同社は、プールフロート用の防水ステッカーやサングラス用の装飾バンド、ケースなど、あらゆるアクセサリーを販売しています。携帯電話ケース、電子タバコケース、ワインセラー、家庭用・車用吊り下げ式芳香剤、ブックエンド、キッチン用品、コンピューター画面用バイザーやシールド、パスポートホルダー、ガーデニングツール、芝生用オーナメント、そして健康・美容製品満載のカタログなど、その種類は無限大です。CEOがよく言うように、Ancillaryは間違いなく、単一企業として世界一幅広い低価格消費者向け製品を取り揃えています。
    アンシラリーの事業も同様に多岐にわたります。同社は、顧客の自宅で小規模なパーティーを開き、家庭用品や美容製品を販売するセールスコンサルタントチームから始まり、この基盤事業は今もなお好調です。
    しかし、同社は現在、自動車関連製品を扱う「My Cool Ride」や、若者向けギアを扱う「Zoomer」といった、業界や人口統計に特化した小売サイトを通じてオンライン販売を行っています。アンシラリーは、個人の自主性と柔軟性を重視しつつ、重要な資産も獲得する非中央集権型ビジネスモデルに基づいて構築されているため、同社の組織には多数の部門、ユニット、そして補助的な事業部が含まれています。小売サイトはそれぞれ機能が異なっており、規制や業界標準への準拠が疑問視されています。また、ログインや認証プロトコルが多様であることもあって、これらのサイトへの技術サポートの提供も課題となっています。
    あなたは、Ancilary で 3 つの重要な新規プロジェクトを主導するよう依頼されました。
    一つ目は、企業文化の統一に向けた多面的な取り組みにおける個人データ管理とセキュリティの要素です。このプロジェクトでは、従業員に企業データと承認済みアプリケーションを提供するために、複数のサードパーティ製サーバーの利用を検討しています。
    2 番目のプロジェクトは、在宅勤務担当者に POS テクノロジーを提供し、紙の小切手やクレジットカードの手作業による印刷から脱却できるようにすることです。
    最後に、あなたは、会社の全製品ラインと関連会社の製品を網羅する単一のウェブストアのプライバシー保護対策を構築するという任務を負っています。この新しいオムニバスサイトは、まさに「Under the Sun(太陽の下)」という名で呼ばれることになります。マーケティングディレクターは、このサイトでAncillary社の製品を販売するだけでなく、有料広告を通じて他の小売業者の製品にもリンクさせたいと考えています。このアプローチに伴うセキュリティ上の懸念について、経営陣に説明する必要があります。
    このシナリオの最初のプロジェクトではどのようなテクノロジが検討されていますか?
  • CIPT 試験問題 155

    プライバシーエンジニアがオンラインアカウントのログインページを確認するよう依頼されました。すると、ユーザーがオンラインアカウントにログインする際に、無効なログイン試行回数に制限がないことが判明しました。
    この弱点による潜在的なプライバシーリスクを最小限に抑えるための最善の推奨事項は何でしょうか?