リモート サイトへのリアルタイム レプリケーションでは、2 つの別々の場所でデータが同時に更新されるため、1 つのサイトで災害が発生しても、リモート サイトにある情報は損傷しません。これは、両方のサイトが災害の影響を受けなかったことを前提としています。毎日のテープ バックアップ リカバリでは、最大 1 日分のデータ A が失われる可能性があります。選択肢 C と D は同じデータ センターで行われるため、同じ災害の影響を受ける可能性があります。

セクション: 情報資産の保護
Explanation:
脆弱性評価の目的は、コンピュータや要素のセキュリティホールを見つけることです。
侵入テストの目的は、インフラストラクチャにダメージを与えることではありません。侵入テストの目的は、
ハッカーの活動を把握し、ネットワークにどこまで侵入できるかを判断する。これらは同じではなく、
さまざまなアプローチがあります。脆弱性評価と侵入テストは、自動化または
手動ツールまたはプロセスであり、商用ツールまたは無料ツールで実行できます。

説明
取引の入力に対する個別の承認。この制御により、在庫品を扱う倉庫の従業員が在庫システムに調整を入力する権限を持たないようにすることで、小売環境でこの種の詐欺を最も効果的に防止できます。これにより職務の分離が実現し、共謀や盗難の隠蔽のリスクが軽減されます。
その他のオプションは、この種の不正行為を防止する上でオプション A ほど効果的ではありません。オプション B (調整トランザクションの統計的サンプリング) は、不正なトランザクションが発生した後にそれを特定するのに役立つ可能性のある検出コントロールですが、そもそも発生するのを防ぐことはできません。オプション C (紛失した在庫ラインの予定外の監査) も、物理的な在庫と記録された在庫の不一致を明らかにする可能性のある検出コントロールですが、不正行為の根本原因に対処することはできません。オプション D (在庫トランザクションの有効性に関する編集チェック) は、トランザクション データの正確性と完全性を確認するのに役立つ可能性のある予防コントロールですが、許可されていない調整や不正な調整を防ぐことはできません。
参考文献:
ISACA、CISA レビューマニュアル、第 27 版、2019 年
ISACA、CISA 復習問題、解答、解説データベース - 12 か月サブスクリプション 在庫詐欺のさまざまな種類とその防止方法1
ビジネスにおける在庫不正を防ぐ6つの方法2

説明
組織は、クラウドベースの Software as a Service (SaaS) モデルを使用してデータをバックアップする外部ベンダーに依存しています。SaaS は、ソフトウェアが集中的にホストされ、ユーザーがインターネットを使用して Web ブラウザー経由でアクセスするモデルです1。ベンダーがソフトウェアとデータを所有および管理し、組織はサブスクリプションまたは使用量ベースでサービスの使用料を支払います1。データのバックアップと取得に関連する組織にとって最大のリスクは、ベンダーが重要なデータを復元できない可能性があることです。
データのバックアップと取得は、データの損失、破損、損傷が発生した場合に、データの可用性、整合性、セキュリティを確保するために不可欠なプロセスです2。データのバックアップは、元のデータとは別の場所にデータのコピーを作成して保存するプロセスです2。データの取得は、必要に応じてバックアップされたデータにアクセスして復元するプロセスです2。重要なデータとは、組織の運用、継続性、回復に不可欠なデータです3。
ベンダーが重要なデータを復元できない場合、組織は次のような深刻な結果に直面する可能性があります。
事業の混乱: 組織は中核的な機能を遂行できず、製品やサービスを提供できず、顧客や利害関係者の期待に応えられなくなる可能性があります3。
収益損失: 売上減少、顧客不満、評判の低下により、組織は収益、市場シェア、競争上の優位性を失う可能性があります3。
法的責任: 組織は、データ保護、プライバシー、またはセキュリティに関連する契約、規制、または法定義務に違反した場合、訴訟、罰金、または罰則を受ける可能性があります3。
回復コスト: 組織は、失われたデータや破損したデータの修復や交換、システム機能の復元、影響を受けた当事者への補償のために追加の費用を負担する可能性があります3。
その他のオプションは、ベンダーが重要なデータを復元できないことほど大きなものではありません。組織はベンダーとの不利な契約に縛られる可能性があり、サービス品質、コスト、期間に関する柔軟性、制御、または選択が制限される可能性があります4。ただし、このリスクは、より良い条件を交渉したり、定期的に契約を見直したり、可能であれば別のベンダーに切り替えたりすることで軽減できます4。ベンダーは、中断後にデータを復元するための最大許容時間枠であるリカバリ時間目標 (RTO) 要件までにデータを復元できない可能性があります5。ただし、現実的で達成可能な RTO を設定し、ベンダーのパフォーマンスを監視したり、必要に応じて代替のリカバリ戦略を実装したりすることで、このリスクを軽減できます5。組織はベンダーのデータセンターを検査することを許可されない可能性があり、これにより、サービスプロバイダーのインフラストラクチャ、セキュリティ、またはコンプライアンスに関する可視性、透明性、または保証が制限される可能性があります。
ただし、このリスクは、ベンダーに業界標準とベスト プラクティスの遵守を証明するサードパーティの監査、認証、またはレポートを要求することで克服できます。したがって、オプション B が正解です。
参考文献:
SaaS とは? サービスとしてのソフトウェア | Microsoft Azure
データバックアップとは？ - Techopedia の定義
重要なデータの定義
クラウド コンピューティングのリスク | クラウド アカデミー
復旧時間目標 (RTO) の定義
[クラウド コンピューティングのセキュリティ リスク: 知っておくべきこと | VMware の CloudHealth]