[CISSP学習記録] 第1章 (#11〜#20)
第1回(前回) 次回(近日公開予定)
はじめに
第1回の「はじめに」に記載のとおり学習記録です。引続き、問題集の著作権やフェアユースに配慮しておりますので、以下の問題集を購入された方がこの記事をご利用下さい。問題と回答は部分的に文面の変更又は内容を伏せています。
# 11 〜 # 20
# 11(スキップ)
政府契約業者として委託研究を実施する業務を請け負った.当契約に関して情報システムに適用される可能性が高い法律はどれか?
**(以下略)
* : 暗記問題のため省略
解説のとおり。以下にFISMAについての詳細解説。
# 12(スキップ)
(問題集原本側を訂正)
2002年以前に政府契約業者として委託研究を実施する業務を請け負った.当契約に関して情報システムに適用される可能性が高い法律はどれか?
**(以下略)
* : 暗記問題のため省略
解説のとおり。以下にGISRAの原文。
https://www.epa.gov/sites/default/files/2015-12/documents/gisra.pdf
# 13(スキップ)
A氏はセキュリティインシデントを調査している.通常ユーザーアカウントから開始した攻撃者が,システムの脆弱性を突いてそのアカウントに管理者権限を付与していることを発見した.STRIDE脅威モデルのどのタイプの攻撃か?
**(以下略)
* : 暗記問題のため省略
解説のとおり。一方、「STRIDE脅威モデル」はどのようなものかを確認します。内容を要約すると次のとおり。
・Microsoftが開発 / 使用している脅威分析ツールに採用されている分析モデル
・各脅威の頭文字をとって「STRIDE」と名付けている
- Spoofing of user identity(偽造)
- Tampering(改竄)
- Repudiation(否認)
- Information disclosure(情報漏洩)
- Denial of service(サービス拒否)
- Elevation of privilege(権限昇格要)
なお、STRIDEの意味は「大股」や「歩幅」といった意味で、特に関係はありません。
# 14
事業継続計画を作成する業務の完了段階にあり,1つのリスクを受容することに決めた.次に何をすべきか?
A. リスク低減のための新しいコントロールを実装
B. 災害復旧計画を設計
C. 事業影響度評価を再実施
D. 意思決定プロセスを文書化
解説では「監査人を納得させるため」と書かれているが、果たして本当でしょうか。「事業継続計画」(BCP)作成時のリスク受容の際に行うのはリスクが顕在化した場合の対処を準備することです。これは事業を継続し、事業停止による影響を最小限に抑えられるように計画するためだと思います。「意思決定プロセス」は誰が顕在化したリスクの影響を責任を持って対応するかを決めておくことを指していると考えました。
また、他の選択肢は以下の理由から除外されます。
A. リスクは受容済みなので、リスク低減策は打たないことが決定済みなので設問と矛盾します。
B. 「災害復旧計画」は事業継続計画と同じように語られるケースが多いですが、策定の目的が異なります。災害復旧計画は災害が発生した場合の対策を記載するものです。これらの違いでわかりやすいのは、災害復旧計画ではまず人命の安全確保が最初に語られるところかなと思います。
C. 「事業影響度評価」(BIA)は事業の停止の影響度を評価することなので、「事業継続計画」(BCP)のインプット情報を整理するプロセスです。実務においてもこれらのプロセスは評価結果が間違っていることがない限りは逆進することはあまり考えられません。
# 15(スキップ)
以下セキュリティコントロールのカテゴリーで,施設の周りのフェンスに該当しないものは?
**(以下略)
* : 暗記問題のため省略
解説のとおり。セキュリティコントロールの暗記によって回答できるため、省略。
# 16
事業継続計画を作成中,有形資産と無形資産の評価の組み合わせ検討が難しく,リソースの優先順位付けに苦労している.この場合、最も効果的なリスクアセスメント手法は何か?
A〜D 定量的リスク評価と定性的リスク評価、又はその組み合わせ
解説とおりですが、少し内容を掘り下げます。
有形資産の例は、現金・証券・預金・建物・商品 など
無形資産の例は、著作権・商標権・特許権・実用新案権・のれん など
有形資産は金額が変化しない又はしにくいものなので、定量的リスク評価(金額でリスクに対する影響を評価)が効果的であり、一方、無形資産は金額が見積もりにくいものなので、定性的リスク評価(AよりもBの資産がリスクに対する影響が大きいなどの評価)が有効であると考えられます。
# 17(スキップ)
営業秘密の保持者に知的財産の保護を与える法律は?
**(以下略)
* : 暗記問題のため省略
解説のとおり。暗記問題のため省略。なお、他の選択肢の内容は次のとおり。
著作権法:著作権を保護する
ランハム法:商標を保護する
グラス・スティーガル法:金融と証券売買の権利を分離する
# 18
常識人なら一般的に払うであろうと期待される注意を払うことは,どの原則に当たる?
A. 適切な注意
**
C. 妥当な注意
**
* : 暗記問題のため省略
一般用語の問題に見えますが、法律用語の問題。基本的に暗記ですが、違いが分かりにくい2つの選択肢を簡素に説明すると、
適切な注意(デュー・デリジェンス)
説明責任を明確に果たせるよう、業務にエビデンスや説明材料を付加するレベルでの注意。つまり、法的証拠として示すものがあるレベルの注意。
妥当な注意(デュー・ケア)
職務に応じて一般的に業務として処理するレベルでの注意くらいの意。
より詳しく理解しようとしている方の説明がありましたので、こちらに情報共有します。
# 19(スキップ)
システムにRAID5を実装するために必要な物理ハードディスクの最小数はいくつか?
**(以下略)
* : 暗記問題のため省略
解説のとおり。暗記なので、省略。
RAIDについて理解を深めたい方はこちらをどうぞ。
# 20(スキップ)
管理コントロールはどれ?
**(以下略)
* : 暗記問題のため省略
解説のとおり。暗記問題なので、省略。判断の仕方としては管理コントロール→組織のマネジメントで実現可能かが分かれば答えを導けるはず。
おまけ情報
今回も前回に引き続き、ガイド情報がまとまっている有益なページを見つけましたので、情報を共有します。
ここから先は
¥ 150
この記事が気に入ったらサポートをしてみませんか?