[CISSP学習記録] 第1章 (#1〜#10)
はじめに
このページは私のCISSPの学習の軌跡を紹介する記事です。昨今、日本の情報セキュリティが危ぶまれている中で、少しでも後続となる方々の助けになればと思います。
学習にあたって、下調べをしました。この方のサイトが肌に合いました。紹介されている次の問題集で学習を進めます。各章の単語の学習は同サイトで紹介されているので、このページでは、問題集の解説で私が理解できなかった部分や触れられていない背景部分を深掘りして噛み砕いて説明します。(つまり、暗記など説明不要な問題は飛ばします。)
問題集の著作権やフェアユースに配慮し、購入された方がこの記事をご利用下さい。問題と回答は部分的に文面の変更又は内容を伏せています。
#1〜#10
#1
定量的リスク分析の最後のステップを選べ
A. 資産価値の決定.
B. 年間発生頻度の評価.
C. 年間損失予測の導出.
D. 費用対効果分析の実施.
「定量的リスク分析」と問題文にあることからリスクマネジメント計画の策定(PMBOKに準拠)に関する問題と理解します。
PMBOKガイド第5版によれば、リスクマネジメント計画の策定は、
・「リスク特定」→
・「定性的リスク分析」→
・「定量的リスク分析」→
・「リスク対応計画」
の手順で行われます。
定量的リスク分析は、
・特定されたリスクを数量的に算定し、
・プロジェクト全体に与える影響を分析するプロセスです。
リスクマネジメント(リスク対応)計画の策定のための定量的リスク分析なので、定量的にリスクを見積もり、リスク対応計画のインプットとして必要な情報をまとめることを考えると、「D. 費用対効果分析の実施」が定量的リスク分析の最後のステップであることがわかります。
なお、A〜Cも定量的リスク分析のステップと考えられ、
「A. 資産価値の決定」 又は 「B. 年間発生頻度の評価」 → 「C. 年間損失予測の導出」と進むと考えられます。AとBは順不同で評価できますが、CはAとBが決定しないと決められないためです。
TIPS
CISSPは問題集と同様の問題があまり出題されない為、試験をパスするには、問題の背景を深掘りして、同じ思考回路をトレースできるようになるか公式ガイドブックを網羅的に読み込み学習することが重要と思います。
#2
以下の1~4番の無線攻撃の用語と該当する説明(A~D)を一致させよ
[無線攻撃の用語]
1.不正アクセスポイント
2.**
3.悪魔の双子
4.**
[説明]
A.正規のアクセスポイントのSSIDおよびMACアドレスになりすましたアクセスポイントによる攻撃
B.一見正規のSSIDとみせかけて,新しい接続を誘うことを目的としたアクセスポイント
C.**
D.**
* は用語の暗記なので省略
基本的に用語暗記ですのでCとDは省略します。Aは"攻撃"を指していて、Bは"アクセスポイント"を指しているので、1がB、3がAであることが導けます。
TIPS
この問題のように、用語の選択では、その選択肢が何を指している対象が重要です。試験本番では原文の英語でこれらは判断がつく可能性が高いです。
#3
デジタルミレニアム著作権法(DMCA)において,インターネットサービスプロバイダーが著作権保持者から侵害の申し立ての通知を受け取った後,直ちに対応することが要求されないのはどの違反か?
A.プロバイダーのサーバーに顧客が情報を保存する
B.プロバイダーが情報をキャッシュする
C.顧客がプロバイダーのネットワーク経由で情報を伝送する
D.プロバイダーの検索エンジンで情報をキャッシュする
この問題の判断基準は、データがストレージに一時的にでも保持されるかどうかです。Cはデータは1箇所にとどまることなくネットワークに流れるだけなので、DMCAの著作権の違反に該当しません。(DMCAの原本該当箇所が見つかりましたら、URLを追記します。)
#4(スキップ)
一般データ保護規則(GDPR)
**(以下略)
* : 暗記問題のため省略
暗記です。一般データ保護規則(GDPR)の特徴は「C. 忘れられる権利」です。
#5(スキップ)
3つの一般的な脅威モデリング手法
**(以下略)
* : 暗記問題のため省略
暗記。解説のとおり「ソーシャルエンジニアリング」は電話などでパスワードを聞き出すなどの盗みを指す言葉。
#6(スキップ)
米国のデータ侵害法における個人識別情報
**(以下略)
* : 暗記問題のため省略
日本でもほぼ同様で自明。解説のとおり、以下にソース。
#7(スキップ)
連邦量刑ガイドライン(1991)
**(以下略)
* : 暗記問題のため省略
解説のとおり。以下にソース。
#8(スキップ)
多要素認証でパスワードと組み合わせるもの
**(以下略)
* : 暗記問題のため省略
解説のとおり。パスワードとA〜Cは"知識"による認証。Dは"所持・存在"による認証。
#9(スキップ)
EU GDPRの下でEUと米国の間で結ばれたプライバシーシールド協定の条項の管理は,米国政府のどの機関が担当か?
**(以下略)
* : 暗記問題のため省略
解説のとおり。以下にソース。
#10(スキップ)
Y氏は,金融機関の最高プライバシー責任者であり,顧客の当座預金口座に関連したプライバシーの問題を調査している.次の法律で適用される可能性が最も高いものはどれか?
A. GLBA
B. SOX
C. HIPAA
D. FERPA
解説のとおり。以下にソース。
なお、B〜Dに関しても以下の通り。
SOX → 会計・財務、投資家を保護。
HIPPA → 医療機関に適用、プライバシー保護
FERPA → 家庭内の教育、プライバシー保護
おわりに
ここまでお読みいただきありがとうございます。今回はここまでとなります。改めて見るとCISSPは暗記が多いですね…
初めての記事作成で拙いですが、学習が進むに連れて続きを記載していきたいと思います。
おまけ情報
単語帳を作っている方がいらっしゃいましたので、情報共有しておきます。
ここから先は
¥ 150
この記事が気に入ったらサポートをしてみませんか?