エネルギー組織内のインフラストラクチャチームは調達プロセスの最後にいて、サービスを提供するベンダーのSaaSプラットフォームを選択しました。法的交渉の一環として、次のようないくつかの未解決のリスクがあります。
*エネルギー組織のセキュリティポリシーの内容と一致するデータ保持期間を確認する条項があります。
*データは、エネルギー組織の地理的な場所の外でホストおよび管理されます。
システムにアクセスするユーザーの数は少なく、機密データはSaaSプラットフォームでホストされません。プロジェクトのセキュリティコンサルタントが次のステップとして推奨するのは次のうちどれですか。
A. 調達プロセスを確認して、プロセスの終わりに向けたリスクの発見に関連して学んだ教訓を判断します。
B. ソリューションがエネルギー組織のセキュリティポリシーを満たしていないため、セキュリティ免除を作成します。
C. 国内のプライバシー原則を受け入れ、保持期間を変更するようベンダーに依頼することにより、リスクを軽減します。
D. 識別されたリスクと結果を受け入れるために、エネルギー組織内のソリューション所有者を必要とします。
正解:D
質問 2:
最高情報セキュリティ責任者(CISO)が、さまざまな地方事務所からの技術文書を検討しており、これらのグループ間のいくつかの重要な違いに気付いています。 CISOはガバナンス文書を発見していません。 CISOは、使用されているネットワーキング間の違いを視覚化するために次のチャートを作成します。
次のうちどれがCISOの最も直接的な関心事でしょうか?
A. ネットワーク上で使用されているオープンスタンダードがあります。
B. ネットワークは使用中の競合する標準を持っています。
C. ネットワークエンジニアはSOPをフォローしていません。
D. ネットワークエンジニアは事実上の標準を無視しました。
正解:D
質問 3:
セキュリティエンジニアがソフトウェア開発チームと協力しています。エンジニアは、すべてのセキュリティ要件が開発者によって守られていることを確認することを任務としています。次のうちどれがエンジニアが作成しているサポートドキュメントの内容を説明しますか?
A. 全体として見ると、SRTMの各制約を検証して文書化するために使用できる一連の個別のタスク。
B. コードを確定する前に、開発されたコードの各単位に含まれる各セキュリティ管理策を検証する方法。
C. 開発プロジェクトで使用されている1つ以上のプログラミング言語に適用される一連の正式な方法。
D. それぞれがシステム全体のセキュリティ管理機能を一度に検証する一連のアドホックテスト。
正解:B
質問 4:
セキュリティ研究者は、多国籍銀行に対する標的型攻撃の数に関する最近のスポークに関する情報を収集しています。スパイクは、銀行に対する攻撃をすでに上回っています。以前の攻撃の一部は機密データの損失をもたらしましたが、まだ攻撃者はまだ資金を盗むことに成功していません。
研究者が入手できる情報に基づいて、最も可能性の高い脅威プロファイルは次のうちどれですか?
A. 社会経済的要因のために政治的声明を出そうとしているハクティビスト。
B. 個人的な利益のために悪名と名声を求める機会主義者。
C. 不正な目的で資金へのアクセスを求めるインサイダー。
D. 戦略的に利益を得るためにスパイ活動を行っている、国が後援する攻撃者。
正解:D
質問 5:
買収提案のBIAを実施している間、IT統合チームは、両社がCRMサービスを競合して互換性のないサードパーティのクラウドサービスに外部委託していることを発見しました。 CRMサービスを社内に導入することが決定され、ITチームは将来のソリューションを選択しました。 次のうちどれが最も重要な情報セキュリティ責任者(CISO)ですか? (2つ選んでください。)
A. データ移行
B. ストレージ暗号化
C. データの残り
D. 対応サービス
E. 監護権の連鎖
F. 主権
正解:A,C
質問 6:
組織は、スタッフに発行される新しいラップトップの要件を作成しています。会社の主要なセキュリティ目標の1つは、ラップトップが永続的なハードウェアIDに関連付けられたハードウェアで強制された保存データ保護を確実に維持することです。ラップトップは、安全なブートプロセスの証明も提供する必要があります。これらの要求を満たすために、次のベストのうち、要件セットに含める必要のある機能を表すものはどれですか。 (2つ選択してください。)
A. MicroSD token authenticator
B. TPM2.0e
C. TLS1.3
D. Shim and GRUB
E. ARMv7 with TrustZone
F. Opal support
正解:B,D
質問 7:
組織はICSを統合しており、システムがサイバー耐性を備えていることを確認したいと考えています。残念ながら、特殊なコンポーネントの多くは、パッチを適用できないレガシーシステムです。既存の企業は、99.9%の稼働時間を必要とするミッションクリティカルなシステムで構成されています。制約が与えられた場合のシステムの適切な設計を支援するために、次のうちどれを想定する必要がありますか?
A. システムの時間的重要性
B. 脆弱なコンポーネント
C. オープンソースソフトウェアの存在
D. 攻撃による運用上の影響
正解:B
質問 8:
組織がWebサーバーを強化し、潜在的な攻撃者によって開示される可能性のある情報を削減しようとしています。セキュリティの分析...最近のWebサーバースキャンの脆弱性スキャン結果を確認しています。
スキャン結果の一部を以下に示します。
検索番号5144322
初めて検出された2015年11月10日09:00 GMT_0600
最終検出日:2015年11月10日09:00 GMT_0600
CVSS base: 5
Access path: http://myorg.com/mailinglist.htm
Request: GET http://mailinglist.aspx?content=volunteer
Response: C:\Docments\MarySmith\malinglist.pdf
Which of the following lines indicates information disclosure about the host that needs to be remediated?
A. First Time detected 10 nov 2015 09:00 GMT_0600
B. Access path: http//myorg.com/mailinglist.htm
C. Response: C:\Docments\marysmith\malinglist.pdf
D. Request: GET http://myorg.come/mailinglist.aspx?content=volunteer
E. Finding#5144322
正解:C
質問 9:
開発者は、ユーザーが従業員の電話番号を姓で検索できるようにするWebサイトのコードを実行しました。ブラウザから送信されるクエリ文字列は次のとおりです。
http://www.companywebsite.com/search.php?q=SMITH
開発者は、よく知られているJavaScriptサニタイズライブラリとストアドプロシージャを実装していますが、侵入テストでは、WebサイトがXSSに対して脆弱であることが示されています。 XSSを防ぐために開発者がNEXTを実装する必要があるのは次のうちどれですか? (2つ選択してください。)
A. 入力のシリアル化
B. 出力エンコーディング
C. 安全なCookie
D. TLS暗号化
E. PUTフォームの送信
F. サニタイズライブラリ
正解:B,F
Masuda -
CAS-003日本語版の問題集、読みやすく わかりやすい解説が付き、これで受かる気がしたっと思って受験して本当に受かりました。すごい。