[2026-06-26更新,913問] 無料ISACA CISM試験問題集、CISM日本語対策(ページ 150)

CISM 試験問題 741

大規模な組織がネットワークプローブの対象になっていることを発見した場合、次のどのアクションを実行する必要がありますか。

A. DMZをファイアウォールに接続しているルータを再起動します

B. DMZセグメントにあるすべてのサーバーの電源をオフにします

C. プローブを監視し、影響を受けるセグメントを分離します

D. 影響を受けるセグメントのサーバートレースログを有効にする

CISM 試験問題 742

構造化クエリ言語 (SQL) インジェクションの脆弱性からアプリケーションを保護する効果的な方法は次のとおりです。

A. クライアント側の入力を検証し、サニタイズします。

B. データベースリスナーコンポーネントを強化します。

C. データベーススキーマを第 3 正規形に正規化します。

D. オペレーティングシステムのセキュリティパッチが更新されていることを確認します。

CISM 試験問題 743

インターネット経由で送信されるデータの機密性を保護するための最良の方法はどれですか?

A. ネットワークアドレス変換（NAT）

B. 多要素認証

C. メッセージのハッシュ

D. トランスポート層セキュリティ (TLS)

CISM 試験問題 744

組織内でセキュリティインシデントが報告されました。情報セキュリティ管理者は、いつ情報所有者に連絡すべきでしょうか？

A. インシデントが確認されました。

B. インシデントは封じ込められました。

C. 潜在的なインシデントが記録されました。

D. インシデントは軽減されました。

正解: A

説明
情報セキュリティ管理者は、インシデント発生を確認した後、情報オーナーに連絡する必要があります。これはインシデント対応プロセスの第一段階です。情報オーナーとは、インシデントの影響を受ける情報資産に対する権限と責任を負う人物です。情報オーナーは、情報資産の保護、復旧、または修復に関する意思決定や行動を取らなければならない可能性があるため、インシデント発生について可能な限り速やかに通知を受ける必要があります。また、インシデントの性質や影響度に応じて、事業部門、顧客、規制当局、メディアなどの他の利害関係者とのコミュニケーションが必要となる場合もあります。
その他の選択肢は、インシデント対応プロセスの後の段階で発生するため、情報所有者に連絡する適切なタイミングではありません。インシデントの封じ込め、軽減、またはログ記録後に情報所有者に連絡すると、インシデントの通知とエスカレーション、さらには情報所有者の関与と協力が遅れる可能性があります。さらに、インシデントの封じ込めまたは軽減後に情報所有者に連絡することは、インシデント対応チームが情報所有者の同意または承認なしに、情報資産に影響を与える可能性のある措置をすでに講じていることを意味する場合があります。潜在的なインシデントがログに記録された後に情報所有者に連絡すると、潜在的なインシデントが実際のまたは重大なインシデントではない可能性があり、情報所有者の資産に影響を与えない可能性があるため、不必要な警戒や混乱を引き起こす可能性があります。参考文献 = CISMレビューマニュアル、第16版、ISACA、2022年、pp. 219-220、226-227。
CISM の質問、回答、説明データベース、ISACA、2022 年、QID 1009。

CISM 試験問題 745

オフィス内でのカメラ使用を禁止するポリシーに違反し、従業員にウェブカメラ付きのスマートフォンとタブレットが支給されました。情報セキュリティ管理者が最初に取るべき行動は次のうちどれですか？

A. ポリシーを修正します。

B. 根本原因分析を実行します。

C. リスク評価を実施し、

D. 許容使用ポリシーを伝えます。

正解: C

このような状況において、情報セキュリティ管理者がまず行うべきことは、リスクアセスメントを実施することです。リスクアセスメントとは、オフィスでのカメラ使用を禁止するポリシー違反から生じる情報セキュリティリスクを特定、分析、評価するプロセスです。リスクアセスメントは、スマートフォンやタブレット端末のカメラが不正または不適切に使用される場合（機密情報の取得、送信、開示、従業員、顧客、パートナーのプライバシーやセキュリティの侵害、法的要件や規制要件への違反など）の発生確率と影響を判断するのに役立ちます。また、リスクアセスメントは、カメラの使用を無効化、制限、監視するための技術的、管理的、または物理的な制御の実装、ポリシーの遵守と認識の徹底、現在のビジネスニーズと環境を反映したポリシーの改訂など、適切なリスク対応オプションを特定し、優先順位を付けるのに役立ちます。さらに、リスクアセスメントは、リスクレベルと状況を上級管理職や関係者に伝達・報告し、ポリシーとリスク管理プロセスの改善と最適化のためのフィードバックと推奨事項を提供するのにも役立ちます。
ポリシーの改訂、根本原因分析の実施、そしてアクセプタブルユースポリシーの周知は、情報セキュリティマネージャーがリスクアセスメント実施後に実施できる様々なアクションですが、必ずしも最初に行うべきものではありません。ポリシーの改訂とは、ビジネス目標と戦略に整合させ、ビジネス環境と脅威環境の変化や課題に対応し、リスクアセスメントとステークホルダーからのフィードバックや提案を取り入れるために、ポリシーを更新・修正するプロセスです。
根本原因分析とは、ポリシー違反につながった根本的な原因や要因を調査・特定するプロセスです。例えば、認識、トレーニング、施行の不足、ポリシーの不一致や曖昧さ、ポリシーとビジネス要件や期待との矛盾や乖離などが挙げられます。利用規定の周知とは、従業員やスマートフォン・タブレット端末のその他のユーザーに、ポリシーの目的、適用範囲、内容、ユーザーの役割と責任、ポリシーの遵守または違反によるメリットと結果、ポリシーに関する問題やインシデントの報告・解決方法とチャネルについて情報提供・教育するプロセスです。参考文献：CISMレビューマニュアル第15版、51～531ページ、CISM練習クイズ、問題
1482

他のバージョン: 3630ISACA.CISM.v2024-11-15.q999; 1680ISACA.CISM.v2024-05-07.q456; 2652ISACA.CISM.v2023-07-03.q397; 3696ISACA.CISM.v2023-01-05.q433

最新アップロード: 277NCLEX.NCLEX-RN.v2026-06-27.q583; 132Juniper.JN0-232.v2026-06-27.q23; 143BICSI.INSTC_V8.v2026-06-27.q59; 277Cisco.300-710.v2026-06-26.q474; 330ISACA.CISM.v2026-06-26.q913; 178Salesforce.Integration-Architect.v2026-06-26.q116; 267Cisco.350-401.v2026-06-26.q363; 153Salesforce.MC-101.v2026-06-26.q44; 312CheckPoint.156-315.81.v2026-06-26.q678; 230Peoplecert.MSP-Practitioner.v2026-06-24.q75

CISM 試験問題 741

CISM 試験問題 742

CISM 試験問題 743

CISM 試験問題 744

CISM 試験問題 745

PDFファイルをダウンロード