[2024-09-23更新,905問] 無料ISACA CISA試験問題集、CISA資格専門知識(ページ 85)

経営陣は、監査結果の残存リスクを受け入れ、推奨された措置を講じないことを決定しました。
内部監査チームは、この受け入れは不適切であると考えており、状況について協議した。
経営陣。この議論の後も、決定に関して意見の相違が残っています。
内部監査による最善の行動方針は次のうちどれですか?

A. 経営幹部に通知せずに、この問題を監査委員会に報告します。

B. 経営陣が残存リスクを受け入れ、それ以上の措置を講じないことを監査報告書に文書化する
アクション。

C. 経営幹部との合同会議で監査委員会に問題を報告し、解決を図ります。

D. 経営陣との別の会議をスケジュールし、行動を起こすよう説得する
推奨。

組織のインシデント対応プロセスの改善にとって最も重要なのは次のどれですか。

A. インシデント対応チームによる事後レビュー

B. ユーザー向けの継続的なインシデント対応トレーニング

C. インシデント対応手順の定期的なウォークスルー

D. インシデント管理ソフトウェアの定期的なアップグレード

組織の金融システムの災害復旧計画では、復旧ポイント目標 (RPO) としてデータ損失なし、復旧時間目標 (RTO) として 72 時間が指定されています。次のうち、最もコスト効率の高いソリューションはどれですか。

A. トランザクションログの非同期バックアップにより 8 時間以内に運用可能なホットサイト

B. 複数の場所にある分散データベースシステムが非同期的に更新される

C. ホットサイト内のデータとスタンバイアクティブシステムの同期更新

D. 48 時間以内に運用可能なウォームサイト内のデータの同期リモートコピー

次の生体認証方法のうち、最も高い精度を提供し、ユーザーに最も受け入れられないのはどれですか?

A. 手のひらスキャン

B. 手形

C. 指紋

D. 網膜スキャン

正解: D

説明/参照:
網膜ベースの生体認証では、目の奥にある血管の層を分析します。
確立された技術であるこの技術では、低強度の光源を光カップラーを通して使用し、網膜の固有のパターンをスキャンします。網膜スキャンは非常に正確ですが、ユーザーはレセプタクルを覗き込み、特定のポイントに焦点を合わせる必要があります。メガネをかけている場合や、読み取りデバイスに近づきすぎることを心配している場合は、特に便利ではありません。これらの理由から、網膜スキャンは、技術自体はうまく機能するにもかかわらず、すべてのユーザーに歓迎されるわけではありません。
試験を受けるには、以下の情報を知っておく必要があります。
生体認証
生体認証は、固有の個人属性または行動を分析することによって個人の身元を検証します。これは、身元を確認する最も効果的かつ正確な方法の 1 つですが、社会にはあまり受け入れられていません。
生体認証は非常に高度な技術であるため、他の種類の本人確認プロセスよりもはるかに高価で複雑です。生体認証システムは、署名のダイナミクスなど、個人の行動に基づいて認証の決定を行うことができますが、これらは時間の経過とともに変化し、偽造される可能性があります。
生体認証システムは、虹彩、網膜、指紋などの身体的特徴に基づいて認証を決定するため、外見を損なうような外傷がない限り身体的特徴は変化しないため、なりすましが困難で、より高い精度が得られます。
生体認証は、通常、2 つの異なるカテゴリに分類されます。1 つ目は生理的特性です。これは、特定の個人に固有の身体的属性です。指紋は、生体認証システムで使用される生理的特性の一般的な例です。生体認証の 2 番目のカテゴリは、行動的特性として知られています。
行動認証は継続的認証とも呼ばれます。行動/継続的認証はセッションハイジャック攻撃を防ぎます。これは個人の特性に基づいて本人確認を行います。例としては署名ダイナミクスがあります。生理学的とは「あなたが何者であるか」、行動的とは「あなたが何者であるか」です。
"あなたがすること。"
生体認証システムが認証された個人を拒否することを、タイプ I エラー (誤認拒否率) と呼びます。
システムが拒否すべき偽者を受け入れることを、タイプ II エラー (他人受入率) と呼びます。目標は各タイプのエラーの数値を低くすることですが、タイプ II エラーは最も危険であるため、回避することが最も重要です。
さまざまな生体認証システムを比較する場合、さまざまな変数が使用されますが、最も重要な指標の 1 つはクロスオーバーエラー率 (CER) です。この評価はパーセンテージで表され、本人拒否率が本人承認率と等しくなるポイントを表します。この評価は、システムの精度を判断する際に最も重要な測定値です。CER が 3 の生体認証システムは、CER が 4 のシステムよりも正確です。クロスオーバーエラー率 (CER) は、等エラー率 (EER) とも呼ばれます。
スループットは、生体認証システムへの認証プロセスを表します。これは、生体認証システムの応答時間とも呼ばれます。生体認証アクセス制御の購入と実装で考慮すべき主な点は、ユーザーの受け入れ、精度、および処理速度です。
生体認証に関する考慮事項
生体認証システムのアクセス制御要素に加えて、制御環境の整合性にとって重要な考慮事項がいくつかあります。これらは次のとおりです。
偽造に対する耐性
データ保存要件
ユーザーの承認
信頼性と
対象ユーザーとアプローチ
指紋
指紋は、摩擦隆起によって現れる隆起の終点と分岐、および特徴点と呼ばれるその他の詳細な特徴で構成されています。これらの特徴点の独自性により、各個人に固有の指紋が与えられます。個人は、指紋の詳細を読み取り、これを参照ファイルと比較するデバイスに指を置きます。2 つが一致した場合、個人の身元が確認されます。
手のひらスキャン
手のひらには豊富な情報が含まれており、個人を識別するために使用される多くの側面があります。手のひらには、特定の個人に固有のしわ、隆起、溝があります。手のひらのスキャンには、各指の指紋も含まれます。個人がバイオメトリックデバイスに手を置くと、デバイスがスキャンしてこの情報を取得します。この情報は参照ファイルと比較され、身元が検証されるか拒否されます。
手の幾何学
人の手の形状 (手と指の形、長さ、幅) は、手の形状を定義します。この特徴は人によって大きく異なり、一部の生体認証システムでは、身元を確認するために使用されます。人は、各指の溝があるデバイスに手を置きます。システムは、各指と手全体の形状を参照ファイルの情報と比較して、その人の身元を確認します。
網膜スキャン
人の網膜を読み取るシステムは、眼球の裏側にある網膜の血管パターンをスキャンします。このパターンは、人によって非常に異なることが分かっています。カメラを使用して眼球内にビームを投影し、パターンをキャプチャして、以前に記録した参照ファイルと比較します。
虹彩スキャン
虹彩スキャンは受動的な生体認証制御である
虹彩は瞳孔を囲む目の色のついた部分です。虹彩には独特の模様、裂け目、色、輪、冠状溝、溝があります。虹彩内のこれらの特徴のそれぞれがカメラで撮影され、登録段階で収集された情報と比較されます。
虹彩パターン生体認証システムを使用する場合、光学ユニットは開口部に太陽光が当たらないように配置する必要があります。したがって、実装時には施設内に適切に配置する必要があります。
シグネチャーダイナミクス
人が署名をするとき、通常は毎回同じ方法と速度で署名します。署名すると、生体認証システムで捕捉できる電気信号が生成されます。誰かが文書に署名するときの物理的な動作によって、これらの電気信号が生成されます。信号は、個人を区別するために使用できる固有の特性を提供します。署名の動態は静的署名よりも多くの情報を提供するため、個人の身元を確認するときに検証する変数が増え、この人が本人であるという確信が高まります。
キーストロークダイナミクス
署名ダイナミクスは、人が署名するときに電気信号をキャプチャする方法ですが、キーストロークダイナミクスは、人が特定のフレーズを入力するときに電気信号をキャプチャします。人が特定のフレーズを入力すると、生体認証システムはこの動作の速度と動きをキャプチャします。各個人には特定のスタイルと速度があり、それが独自の信号に変換されます。このタイプの認証は、パスワードを入力するよりも効果的です。パスワードは簡単に入手できるからです。人の入力スタイルを再現することは、パスワードを取得するよりもはるかに困難です。
音声プリント
人間の発声音とパターンには、微妙な違いが数多くあります。声紋をキャプチャし、それを参照ファイルに保存されている情報と比較するようにプログラムされた生体認証システムにより、個人を区別することができます。登録プロセスでは、個人はいくつかの異なる単語を言うように求められます。
顔スキャン
人の顔をスキャンするシステムは、多くの属性と特徴を考慮します。人によって骨格、鼻筋、目の幅、額の大きさ、あごの形は異なります。これらはすべて顔のスキャン中にキャプチャされ、参照レコード内に保存されている以前のスキャンと比較されます。情報が一致すれば、その人物が確実に識別されます。
手の地形図
手の形状は個人の手と指のサイズと幅に注目しますが、手のトポロジーは手のさまざまな山と谷、および全体的な形状と曲率に注目します。個人が認証を受けたい場合、システムは手を置きます。システムの片側で、カメラが手の形状を対象とするシステムとは異なるビューと角度から手の側面写真を撮影し、異なるデータを取得します。この属性は、個人を認証できるほど一意ではないため、手の形状と組み合わせて使用されるのが一般的です。
血管スキャン
血管スキャンでは、皮膚の最初の層の下の血管を使用します。
次の回答は間違っています。
指紋 - 指紋は、摩擦隆起によって現れる隆起の終点と分岐、および特徴点と呼ばれるその他の詳細な特徴で構成されています。これらの特徴点の独自性により、各個人に固有の指紋が与えられます。個人は、指紋の詳細を読み取り、これを参照ファイルと比較するデバイスに指を置きます。2 つが一致した場合、個人の身元が確認されます。
手の形状 - 人の手の形状 (手と指の形状、長さ、幅) によって手の形状が決まります。この特徴は人によって大きく異なり、一部の生体認証システムでは身元確認に使用されます。人は、各指の溝があるデバイスに手を置きます。システムは、各指と手全体の形状を参照ファイルの情報と比較し、その人の身元を確認します。
手のひらスキャン - 手のひらには豊富な情報が含まれており、個人を識別するために使用される多くの側面があります。手のひらには、特定の個人に固有のしわ、隆起、溝があります。手のひらスキャンには、各指の指紋も含まれます。個人がバイオメトリックデバイスに手を置くと、デバイスがスキャンしてこの情報を取得します。この情報は参照ファイルと比較され、身元が検証されるか拒否されます。
この質問を作成するために、次の参考資料が使用されました:
CISA レビューマニュアル 2014 ページ番号 330 および 331
CISSP CBK 公式 ISC2 ガイド第 3 版ページ番号 924

.______________ リスク分析は、情報システム監査人が定量化できない脅威と潜在的な損失を使用してリスクを計算しようとしているため、常に可能であるとは限りません。この場合は、______________ リスク評価の方が適切です。空欄を埋めてください。

A. 定量的; 定性的

B. 定性的; 定量的

C. 残差; 主観的

D. 定量的、主観的

CISA 試験問題 416

CISA 試験問題 417

CISA 試験問題 418

CISA 試験問題 419

CISA 試験問題 420

PDFファイルをダウンロード