説明/参照:
競合状態攻撃は、Time of Check (TOC)/Time of Use (TOU) とも呼ばれます。
競合状態とは、プロセスが共有リソースに対して誤った順序でタスクを実行することです。競合状態は、変数内のデータなどの共有リソースを 2 つ以上のプロセスが使用する場合、発生する可能性があります。プロセスが正しい順序で機能を実行することが重要です。プロセス 2 がプロセス 1 より前にデータに対してタスクを実行した場合、プロセス 1 がプロセス 2 より前にデータに対してタスクを実行した場合とは結果が大きく異なります。
ソフトウェアでは、認証と承認のステップが 2 つの機能に分割されている場合、攻撃者が競合状態を利用して、認証ステップの前に承認ステップを完了させる可能性があります。これは、攻撃者が悪用する方法を解明したソフトウェアの欠陥です。競合状態は、2 つ以上のプロセスが同じリソースを使用し、ソフトウェア内の一連のステップが不適切な順序で実行される場合に発生し、出力に重大な影響を与える可能性があります。
そのため、攻撃者は認証ステップの前に承認ステップを強制的に実行し、リソースへの不正アクセスを取得することができます。
次の回答は間違っています。
盗聴は、ブラック法律辞典の定義によると、他人のプライベートな会話を本人の同意なく密かに聞く行為です。これは一般に非倫理的であると考えられており、「盗聴者は自分の良いことをほとんど聞かない...盗聴者は常に自分に関係のある事柄を聞こうとする」という古い格言があります。
トラフィック分析は、通信のパターンから情報を推測するためにメッセージを傍受して調査するプロセスです。メッセージが暗号化されていて解読できない場合でも実行できます。一般的に、観察されたメッセージの数、または傍受されて保存されたメッセージの数が多いほど、トラフィックから推測できる情報も多くなります。トラフィック分析は、軍事情報、対諜報活動、または生活パターン分析のコンテキストで実行でき、コンピューター セキュリティの懸念事項です。
マスカレード - マスカレード攻撃は、ネットワーク ID などの偽の ID を使用して、正当なアクセス ID を介して個人のコンピューター情報に不正にアクセスする攻撃です。認証プロセスが完全に保護されていない場合、マスカレード攻撃に対して非常に脆弱になる可能性があります。
なりすまし攻撃は、盗んだパスワードやログオン情報、プログラムの欠陥、認証プロセスを回避する方法などを利用して実行されます。この攻撃は、組織内の人物によって実行されるか、組織がパブリック ネットワークに接続されている場合は部外者によって実行される可能性があります。なりすまし攻撃者が取得するアクセスの量は、取得した認証レベルによって異なります。したがって、なりすまし攻撃者は、企業組織への最高レベルのアクセス権限を取得した場合、サイバー犯罪のあらゆる機会を得ることができます。個人攻撃は、それほど一般的ではありませんが、有害となる可能性があります。
この質問を作成するために、次の参考資料が使用されました:
CISA レビューマニュアル 2014 ページ番号 324
CISSP CBK 公式 ISC2 ガイド 第 3 版 ページ番号 66
CISSP オールインワン試験ガイド 第 6 版 ページ番号 161

セクション: 情報システムの監査プロセス

説明/参照:
データ マート レイヤー - データ マートは、特定のビジネス ユニットまたはビジネス ラインのニーズを満たすために選択および編成されたコア DW からの情報のサブセットを表します。データ マートは、リレーショナル データベースまたは何らかの形式のオンライン分析処理 (OLAP) データ構造になります。
CISA 試験では、ビジネス インテリジェンスに関する以下の情報を知っておく必要があります。
ビジネス インテリジェンス (BI) は、意思決定を支援し、組織のパフォーマンスを評価するための情報の収集と分析を含む、IT の広範な分野です。効果的な BI を実現するには、組織はデータ アーキテクチャを設計して実装する必要があります。完全なデータ アーキテクチャは、エンタープライズ データ フロー アーキテクチャ (EDFA) と論理データ アーキテクチャの 2 つのコンポーネントで構成されます。
このデータ フロー アーキテクチャのさまざまなレイヤー/コンポーネントは次のとおりです。
プレゼンテーション/デスクトップ アクセス レイヤー - エンド ユーザーが情報を直接処理する場所です。このレイヤーには、スプレッドシートなどの使い慣れたデスクトップ ツール、直接クエリ ツール、Congas やビジネス オブジェクトなどのベンダーが提供するレポートおよび分析スイート、バランス ソース カードやデジタル ダッシュボードなどの専用アプリケーションが含まれます。
データ ソース レイヤー - エンタープライズ情報はさまざまなソースから取得されます。
運用データ - 組織の既存のシステムによって取得および維持され、通常はシステム固有のデータベースまたはフラット ファイルに保存されるデータ。
外部データ - 外部ソースから組織に提供されるデータ。これには、顧客の人口統計情報や市場シェア情報などのデータが含まれる場合があります。
非運用データ - エンド ユーザーが必要とする情報ですが、現在コンピューターでアクセス可能な形式で保持されていません。
コア データ ウェアハウス - 組織にとって重要なすべてのデータが収集され、レポート作成と分析を支援するために整理される場所です。DW は通常、大規模なリレーショナル データベースとして導入されます。DW を構成するプロパティは、3 つの基本的な形式の問い合わせをサポートする必要があります。
ドリルアップとドリルダウン - ビジネスに関係するディメンションを使用して、データを集約したりドリルダウンしたりできる必要があります。ウェアハウスのより詳細なレベルで利用可能な属性を使用して、分析を絞り込むこともできます。
ドリルアクロス - 共通属性を使用して、会社との提携期間に応じた顧客別および顧客グループ別の全製品ラインの合計売上など、倉庫内の横断的な情報にアクセスします。
履歴分析 - ウェアハウスは、履歴や時間変動データを保持することでこれをサポートする必要があります。履歴分析の例としては、月ごとの店舗売上を報告し、年初に既存していた顧客のみを使用して分析を繰り返すことで、有効な新規顧客と既存顧客とのリピートビジネスを生み出す能力を区別することが挙げられます。
データ マート レイヤー - データ マートは、特定のビジネス ユニットまたはビジネス ラインのニーズを満たすために選択および編成されたコア DW からの情報のサブセットを表します。データ マートは、リレーショナル データベースまたは何らかの形式のオンライン分析処理 (OLAP) データ構造になります。
データ ステージングおよび品質層 - この層は、データのコピー、DW 形式への変換、および品質管理を担当します。信頼性の高いデータのみがコア DW に取り込まれることが特に重要です。この層は、アカウント番号形式の変更や古いアカウントおよび顧客番号の再利用など、運用システムによって定期的に発生する問題に対処できる必要があります。
データ アクセス レイヤー - このレイヤーは、データ ストレージおよび品質レイヤーをデータ ソース レイヤーのデータ ストアに接続するために動作し、その過程で、これらのデータ ストアがどのように構成されているかを正確に知る必要性を回避します。テクノロジによって、リレーショナル データベースに保存されていない場合でも、データへの SQL アクセスが許可されるようになりました。
データ準備レイヤー - このレイヤーは、データ マートにロードするためのデータの組み立てと準備に関係します。通常、アクセス速度を上げるために、OLAP データ リポジトリにロードされる値は事前に計算されます。データ マイニングは、大量のデータを調査して情報のパターンと傾向を判断することに関係します。データ マイニングでは、データ関係の数と複雑さが原因で、直感に反するパターンが特定されることがよくあります。結果が損なわれないようにするには、データ品質を非常に高くする必要があります。
メタデータ リポジトリ レイヤー - メタデータはデータに関するデータです。メタデータ レイヤーに保持される情報は、ビジネス目的とコンテキストの詳細を提供するために、データ構造の名前と形式を超えて拡張する必要があります。メタデータ レイヤーは、変換と検証ルールの文書化を含め、さまざまなレイヤー間を流れるデータを網羅する包括的な範囲である必要があります。
ウェアハウス管理レイヤー - このレイヤーの機能は、DW の構築と維持、およびデータ マートへのデータ入力に必要なタスクのスケジュール設定です。このレイヤーは、セキュリティの管理にも関与します。
アプリケーション メッセージング層 - この層は、さまざまな層間で情報を転送する役割を担います。ビジネス データに加えて、この層には制御メッセージの生成、保存、およびターゲットを絞った通信が含まれます。
インターネット/イントラネット層 - この層は基本的なデータ通信に関係します。ブラウザ ベースのユーザー インターフェイスと TCP/IP ネットワークが含まれます。
データ アーキテクト/分析で使用されるさまざまな分析モデルは次のとおりです。
アクティビティまたはスイムレーン図 - ビジネス プロセスを分解します。
エンティティ関係図 - データ エンティティとそれらの関係を示します。これらのデータ分析方法は、明らかにエンタープライズ データ モデルの開発において重要な役割を果たします。ただし、知識豊富なビジネス担当者がプロセスに関与することも重要です。この方法では、ビジネスの目的とデータのコンテキストを適切に理解できます。これにより、既存のシステムとデータベースから DW に、最適ではないデータ構成が複製されるリスクも軽減されます。
誤った回答は次のとおりです。
デスクトップ アクセス レイヤーまたはプレゼンテーション レイヤーは、エンド ユーザーが情報を直接処理する場所です。このレイヤーには、スプレッドシートなどの使い慣れたデスクトップ ツール、直接クエリ ツール、Congas やビジネス オブジェクトなどのベンダーが提供するレポートおよび分析スイート、バランス ソース カードやデジタル ダッシュボードなどの専用アプリケーションが含まれます。
データ アクセス レイヤー - このレイヤーは、データ ストレージおよび品質レイヤーをデータ ソース レイヤーのデータ ストアに接続するように動作し、その過程で、これらのデータ ストアがどのように構成されているかを正確に知る必要性を回避します。テクノロジによって、リレーショナル データベースに格納されていない場合でも、データへの SQL アクセスが許可されるようになりました。
この質問を作成するために、次の参考資料が使用されました:
CISA レビューマニュアル 2014 ページ番号 188

説明/参照:
質問ではキーワード PRIMARY が使用されています。重要なサーバーに共有ユーザー ID とパスワードを使用してのみアクセスできる場合、説明責任が最大の懸念事項になります。重要なサーバーで従業員が行った変更を追跡することは非常に困難です。
試験を受けるには、以下の情報を知っておく必要があります。
説明責任
結局のところ、強力な識別、認証、監査、セッション管理の推進力の 1 つは説明責任です。説明責任とは、基本的に、アクションの責任者が誰または何であるかを決定し、責任を問うことができることです。これに密接に関連する情報保証のトピックは否認防止です。
否認とは、アクション、イベント、影響、または結果を否定する機能です。否認防止とは、ユーザーがアクションを否認できないようにするプロセスです。説明責任は、ユーザー、プロセス、およびアクションが影響に対して責任を負うようにするために、否認防止に大きく依存しています。
以下のことは、行動の説明責任の確保に貢献します。
強力な識別
強力な認証
ユーザーのトレーニングと意識向上
包括的、タイムリーかつ徹底的な監視
正確で一貫性のある監査ログ
独立監査
説明責任を強化する政策
説明責任を支える組織行動
次の回答は間違っています。
他の選択肢も正当な懸念事項です。しかし、第一の懸念事項は説明責任であるべきです。
この質問を作成するために、次の参考資料が使用されました:
CISA レビューマニュアル 2014 ページ番号 328 および 329
CISSP CBK 第 3 版の ISC2 公式ガイド ページ番号 114

セクション: 情報資産の保護
Explanation:
閲覧するサイトを認証することが、Web 証明書の主な目的です。ユーザーの認証は、Web サイト証明書ではなく、パスワードによって行われます。サイト証明書はハッキングを防ぐことも、個人を認証することもできません。