組織がランサムウェア攻撃を受けた際に身代金の支払いを禁止するポリシーを定めている場合、このポリシーを遵守するための最も効果的な対策は、変更不可能なバックアップを作成することです。その理由は以下のとおりです。
* 不変のバックアップ:
* 定義：不変バックアップとは、作成後はいかなる形でも変更、削除、修正できないバックアップです。これにより、常にクリーンで改ざんされていないデータのコピーが利用可能になります。
* ランサムウェア対策：ランサムウェア攻撃は通常、データを暗号化し、復号と引き換えに身代金を要求します。変更不可能なバックアップがあれば、組織は身代金を支払うことなくバックアップを使用して影響を受けたシステムを復元できるため、ポリシーを遵守できます。
* 効果:
* 復元機能：変更不可能なバックアップは、ランサムウェア攻撃前の状態にデータを復元するための信頼性の高い手段を提供します。この復元機能により、暗号化されたデータへのアクセスを回復するために身代金を支払う必要がなくなります。
* ポリシーの遵守: 安全で変更不可能なバックアップを用意することで、組織は攻撃者と関わらず操作を回復できるため、身代金なしポリシーの遵守を確保できます。
* 他のオプションとの比較:
* 脆弱性スキャン: 重要ですが、これは主に脆弱性の特定に役立ち、ランサムウェア攻撃後のデータ復旧には直接役立ちません。
* パッチ適用: 定期的なパッチ適用によりランサムウェア感染のリスクは軽減されますが、攻撃が発生した場合の回復には役立ちません。
* 侵入検知: 継続的な監視によりランサムウェアの活動を検出できますが、攻撃後にデータを復元するためのソリューションは提供されません。
* 参考文献:
* CRISC レビュー マニュアルでは、データ バックアップの重要性を強調し、特に攻撃を受けた際にデータの整合性と可用性を維持する上での不変のバックアップの利点を強調しています。

セクション: 巻C
Explanation:
リスク評価とは、特定されたリスクを定量的および定性的に分析するプロセスです。定量的なリスク評価では、リスクの2つの要素、すなわち潜在的な損失の大きさと損失が発生する確率を計算する必要があります。一方、定性的なリスク評価では、リスクの重大性を評価します。したがって、リスク評価はリスクの現状を把握するのに役立ちます。
誤った回答:
B: 企業に対するリスクの影響を分析することは、リスク評価を実行するプロセスの一部ですが、それを実行する理由ではありません。
C: リスク評価を実行することで規制要件を満たすことはできますが、リスク評価を実行する理由にはなりません。
D: 適切な予算編成はリスク評価の結果の 1 つですが、リスク評価を実行する理由ではありません。

リスク評価でリスク増加が特定された場合、リスク管理担当者が取るべき最も重要な行動は、
ITリスクシナリオに関連する損失を管理するには、リスク評価を更新することです。リスク評価は、全体的なリスク評価の尺度です。
リスクシナリオの確率と影響度の組み合わせに基づいて、リスクのレベルが評価されます。リスク評価は、
リスクの優先順位付け、リスクへの露出の伝達、リスク対応の監視を行う。リスク評価の更新は
最も重要な行動です。なぜなら、それはリスクの現状と規模を反映し、
必要に応じてリスク対応計画の見直しと修正を行う。リスク評価を更新することで、リスクが
登録簿とリスクプロファイルが正確かつ完全であり、リスク管理プロセスが一貫しており、
効果的です。他の選択肢は、関連していたり、後続であったりするかもしれませんが、最も重要な行動ではありません。
リスク管理プロセスにおけるステップ。固有リスクの再評価はリスク分析プロセスの一部であり、
既存の制御を考慮する前に、リスクシナリオの確率と影響を推定します。
固有のリスクを再評価することで、リスクの根本原因と要因を特定し、
管理の有効性と効率性は変化するが、リスクの全体的なレベルやリスク対応は変化しない。
計画。新たなリスクシナリオの開発は、リスクを特定し、説明するリスク識別プロセスの一部です。
目標達成に影響を与える可能性のある潜在的な事象または状況。新たなリスクの開発
シナリオは、リスク管理プロセスの範囲と対象範囲を拡大し、
新たなリスクや変化するリスクに対応しますが、既存のリスクシナリオやリスク対応計画は更新しません。
追加の管理策の実施は、リスク対応プロセスの一部であり、
リスクを軽減、回避、共有、または活用するための適切な措置を講じる。追加の管理策を実施することで、
リスクを軽減し、望ましいリスクレベルを達成することはできるが、それは最初の選択肢でも唯一の選択肢でもない。
組織のリスク選好、許容度、能力、そしてコスト便益分析
管理。参考資料 = リスク登録簿のテンプレートと例 | リスクの優先順位付けと管理、書き方
強力なリスクシナリオとステートメント - ISACA、ITリスクリソース | ISACA

リスクレジスターのエントリを使用して、サーバー障害に関連する総合的なリスクを追跡することで、複数のサーバーが同時に障害を起こした場合の影響を包括的に把握できます。これは、サーバー障害が企業の目標と業務に及ぼす複合的な影響を考慮するためです。リスクレジスターは、特定されたリスク、その発生可能性、影響、および軽減戦略を記録および追跡する文書です。サーバー障害に関連するリスクを集約することで、リスクレジスターは最悪のシナリオを予測し、それに応じてリスク対応の優先順位付けを行うのに役立ちます。実装可能な制御オプションの費用対効果分析を提供し、サーバーの稼働時間を最大化するために制御を適用すべき場所を把握し、個々のサーバーの故障の影響に関する履歴情報を提供します。これらは、リスクレジスターのエントリを使用してサーバー障害に関連する総合的なリスクを追跡することの主な利点ではなく、リスクレジスターを使用することで生じる可能性のある結果またはアクションです。参考文献 = CRISC Certified in Risk and Information Systems Control - Question220; ISACA Certified in Risk and Information Systems Control (CRISC) Certification Exam Question and Answers、question 220。