[2025-01-16更新,999問] 無料ISC CISSP試験問題集、CISSP資格難易度(ページ 153)

CISSP 試験問題 756

セキュリティポリシーが組織内で効果を発揮するためには、以下の内容を含める必要があります。

A. ポリシーに適用されるすべての標準のリスト。

B. 所有者情報と最終更新日。

C. 不遵守に対する懲戒処分。

D. 問題を明確に定義する強力なステートメント。

CISSP 試験問題 757

セキュリティアーキテクトが、シンクホールを指すデフォルトルートを内部ネットワークに挿入することを指定するのはなぜでしょうか?

A. ファイアウォールがすべてのネットワークトラフィックをルーティングするようにする

B. 存在しないネットワーク宛先へのトラフィックを検出する

C. ネットワーク部門に対する権限を行使する

D. ルートを外部ネットワークに再注入する

CISSP 試験問題 758

プロジェクト全体を通じて安全な開発を確実にするために、ソフトウェア開発ライフサイクル (SDLC) のどのセキュリティ手法を活用する必要がありますか?

A. 滝

B. 動的アプリケーションセキュリティテスト (DAST)

C. 静的アプリケーションセキュリティテスト (SAST)

D. シンプルオブジェクトアクセスプロトコル

CISSP 試験問題 759

セキュリティ専門家が国の文化に詳しくなく、疑わしいタスクの実行を求められた場合、倫理を維持するための最善のアプローチは何ですか?

A. ホスト政府の要求を回避することを決定する際には、十分な注意を払ってください。

B. 顧客の要望に基づいて課題を完了します。

C. 倫理規定が適用され、考慮される手段を理解します。

D. 倫理規定に対する専門家の許容レベルに応じて実行します。

CISSP 試験問題 760

有線テレビカメラを使用して記録された出来事を事後に閲覧することは、

A. 予防的制御。

B. 探偵コントロール

C. 補償制御

D. 是正制御

正解: B

検出型セキュリティ制御は、防犯アラームのようなものです。許可されていないイベントや望ましくないイベント (または望ましくないイベントの試み) を検出して報告します。検出型セキュリティ制御は、望ましくないイベントが発生した後に呼び出されます。検出型セキュリティ制御の例としては、ログの監視とレビュー、システム監査、ファイル整合性チェッカー、モーション検出などがあります。
視覚監視装置や閉回路テレビなどの記録装置は、警備員の監視能力を高め、将来の分析や訴追のために出来事を記録するために、警備員と連携して使用されます。
イベントが監視される場合、それは予防的なものとみなされますが、イベントの記録は本質的に検出的なものとみなされます。
以下は、James Purcell が作成した優れたガイドからの、他の種類のセキュリティ制御の説明です (下記の参考文献を参照)。
予防的セキュリティ制御は、機密情報の意図的または偶発的な開示、変更、または破壊 (DAD) を防ぐために導入されます。予防的制御の例を次に示します。
ポリシー - 許可されていないネットワーク接続は禁止されています。
ファイアウォール - 許可されていないネットワーク接続をブロックします。
ロックされた配線クローゼット - 許可されていない機器がネットワークスイッチに物理的に接続されるのを防ぎます。
前述の例では、予防的制御が、前述の管理、技術、および物理的なカテゴリにまたがっていることに注意してください。このセクションで説明する制御のいずれについても、同じことが当てはまります。
是正セキュリティ制御は、セキュリティインシデントに対応して修正するために使用されます。また、是正セキュリティ制御は、攻撃によるさらなる被害を制限または軽減します。次に例を示します。
感染したシステムからウイルスを除去する手順
不注意な従業員が施錠せずに放置したドアを警備員が点検し施錠している
攻撃IPアドレスをブロックするためにファイアウォールルールを更新する
多くの場合、是正セキュリティ制御は検出セキュリティ制御によってトリガーされることに注意してください。
リカバリセキュリティコントロールは、インシデント発生後にシステムを本番環境に戻すコントロールです。ほとんどの災害復旧アクティビティはこのカテゴリに該当します。たとえば、ディスク障害発生後、データはバックアップテープから復元されます。
指令型セキュリティ制御は、管理制御と同等です。指令型制御は、組織の機密情報を保護するために何らかの措置を講じることを指示します。指令は、ポリシー、手順、またはガイドラインの形式を取ることができます。
抑止セキュリティ制御は、セキュリティ違反を抑止する制御です。たとえば、「不正アクセス禁止」の標識は、不法侵入者がエリアに入るのを抑止する可能性があります。セキュリティカメラがあれば、従業員が機器を盗むのを抑止できます。サーバーへのアクセスを監視するポリシーは、不正アクセスを抑止する可能性があります。
補償セキュリティ制御は、何らかの理由で使用できない通常の制御の代替手段を提供する制御です。たとえば、重要なアプリケーションに干渉するため、特定のサーバーにウイルス対策ソフトウェアをインストールすることはできません。補償制御としては、そのサーバーの監視を強化するか、そのサーバーを独自のネットワークセグメントに分離することが挙げられます。
NIST によって開発され、NIST 特別刊行物 800-53「連邦情報システム向けの推奨セキュリティ管理」に記載されている 3 つ目の一般的な分類法があることに注意してください。NIST はセキュリティ管理法を 3 つのクラスに分類し、さらにクラス内の管理法を 17 のファミリに分類します。各セキュリティ管理ファミリには、数十の特定の管理法があります。NIST 分類法は CISSP 試験では扱われませんが、米国連邦政府の職員であれば CISSP が知っておくべき分類法の 1 つです。
出典: KRUTZ, Ronald L. & VINES, Russel D., The CISSP Prep Guide: Mastering the Ten Domains of Computer Security, John Wiley & Sons, 2001, Chapter 10: Physical security (page 340). および CISSP Study Guide By Eric Conrad, Seth Misenar, Joshua Feldman, page 50-52 および Security Control Types and Operational Security, James E. Purcell, http://www.giac.org/cissppapers/207.pdf