PCI SSC - 最新のトレーニングダンプ

質問24
監査ログファイルの閲覧を制限すべきか？

記録された活動を行った個人

読み書き可能な個人

管理者権限を持つ個人

業務上必要な個人

説明
PCI DSS 要件 10.5.5 では、エンティティは監査ログへのアクセスを業務上必要な人に制限する必要があるとされています1。これは、権限のないユーザまたは悪意のあるユーザによる監査ログの改ざんまたは削除を防止するためで、ログの完全性および可用性が損なわれ、セキュリティインシデントの検出および調査が妨げられる可能性があります。監査ログには、カード会員データ、ユーザ ID、システムアクティビティ、セキュリティイベントなどの機密情報が含まれるため、不正な閲覧、変更、または削除から保護する必要があります2。職務上必要な個人とは、システム管理者、セキュリティ担当者、監査人、調査員など、監査ログにアクセスする正当かつ文書化された業務上の理由がある人です3。したがって、正解は選択肢Dである。
監査ログファイルのアクセス制御に関して、他の選択肢は正しくない。ログに記録されたアクティビティを実行した個人は、監査ログを閲覧する業務上の必要性がない可能性があり、ログを改ざんまたは消去する利益相反または悪意がある可能性があるため、オプションAは正しくない。読み取り／書き込みアクセス権を持つ個人は、監査ログにアクセスする職務上の必要性がない可能性があり、ログの不正または偶発的な変更または削除のリスクをもたらす可能性があるため、オプションBは正しくない。管理者権限を持つ個人は、監査ログにアクセスする業務上の必要性がない可能性があり、その権限を乱用したり、攻撃者に狙われてログを危険にさらす可能性があるため、オプション C は正しくない。参考文献
PCI DSS v3.2.1
効果的な日次ログ監視 - PCIセキュリティ基準協議会
PCI DSS準拠のためのロギング - Tueoris

質問25
カード会員データを含むメディアを分類する意図は何ですか？

メディアに含まれるデータの機密性に応じて、メディアを確実に保護すること。

カード会員データを含むメディアを四半期ごとに安全なエリアから移動させること。

メディアにカード会員データが含まれていることをすべての担当者が認識できるよう、メディアに「Confidential（機密）」のラベルを明確かつ目に見えるように貼付すること。

内容にかかわらず、すべてのメディアが同じスケジュールで一貫して破棄されるようにすること。

質問26
カード会員データを含むデータベースへのアクセスを制限するための PCI DSS 要件を満たすシナリオはどれですか?

ユーザーによるデータベースへのアクセスは、プログラムによる方法のみである。

データベースへのユーザーアクセスは、システム管理者とネットワーク管理者に制限されています。

データベースアプリケーションのアプリケーションIDは、データベース管理者のみが使用できます。

データベースへの直接クエリは、共有データベース管理者アカウントに制限される。

質問27
AES128ビットのデータ暗号鍵（DEK）を保護するために使用される鍵暗号化鍵（KEK）の適切な強度はどのくらいか。

DES256

RSA512

AES 128

ロット 13

質問28
PCI PTS 規格の対象は何ですか?

アカウント・データの保護に使用されるポイント・オブ・インタラクション・デバイス

商業決済アプリケーションのセキュアコーディングの実践

強力な暗号アルゴリズムの開発

口座データ伝送のためのエンド・ツー・エンド暗号化ソリューション

質問29
PCI DSS 評価中にテストのためにサンプリングできるのはどれですか?

PCI DSS 要件およびテスト手順。

補償コントロール

事業設備およびシステム構成部品

セキュリティ・ポリシーと手順

質問30
次のファイルタイプのうち、変更検出メカニズム（たとえば、ファイル整合性監視ツール）によって監視されなければならないものはどれですか？

アプリケーションベンダーマニュアル

定期的に変更されるファイル

セキュリティ・ポリシーと手順に関する文書

システム構成ファイルとパラメータファイル

質問31
次のうち、カスタマイズ・アプローチ*のコントロール・マトリックスを完成させる責任があるのはどの関係者ですか。

有資格セキュリティ評価者（QSA）のみ

QSA、AQSA、PClPのいずれか。

評価対象

カードブランドまたはアクワイアラー

質問32
インシデント対応計画に含める必要があるのはどれか。

セキュリティインシデントを PCI SSC に通知する手順

無許可の無線アクセスポイントが検出された場合の対応手順

インシデントの解決後、直ちにインシデント対応記録を安全に削除する手順

セキュリティインシデントの責任者を逆襲するための手順

質問33
エンティティが TPSP とカード会員データを共有する場合、エンティティはどのような活動を行う必要がありますか？

事業体は、少なくとも年 1 回、TPSP のシステムに対して ASV スキャンを実施しなければならない。

事業体は、少なくとも四半期に一度、TPSP の環境のリスク評価を実施しなければならない。

エンティティは、少なくとも四半期に一度、TPSP のインシデント対応計画をテストしなければならない。

エンティティは、TPSP の PCI DSS 準拠状況を少なくとも年 1 回監視する必要があります。

質問34
代償コントロールについて正しいのはどれか？

他の PCI DSS 要件がすべて満たされている場合は、補償コントロールは必要ありません。

代償コントロールは、PCI DSS 要件を遵守しないことに関連するリスクに対処する必要があります。

既存の PCI DSS 要件がすでに実装されている場合は、それを補償するコントロールとして使用できます。

買収者が補償支配を承認する場合、補償支配に関するワークシートは不要である。

質問35
アセスメントを受ける企業がカスタマイズ・アプローチを使用している場合、アセッサーが責任を負うステップはどれか。

コントロールを監視する。

試験手順を作成し、ROC の付属書 E に文書化する。

PCI DSS の付録 E に定義されているカスタマイズされた各コントロールに関する証拠を文書化し、維持する。

PCI DSS 要件 12.3.2 に従い、対象となるリスク分析を実行する。

質問36
ある小売業者のサーバルームには、暗号化された PAN データを保存するシステムがあります。この加盟店は、何月何日何時に誰が入退室したかを識別するバッジ入退室管理システムを導入しています。

バッジアクセスコントロールシステムは、改ざんや無効化から保護されていなければならない。

加盟店は、既存の入退室管理システムに加え、ビデオカメラを設置しなければならない。

入退室管理システムのデータは、毎月確実に削除すること。

加盟店は、既存の入退室管理システムに加え、人感センサー付きアラームを設置しなければならない。

質問37
PCI DSS 要件で使用される時間枠の説明で示されている「四半期ごと」の定義に合致するものはどれですか?

各四半期のいずれかの時期に発生

少なくとも95 97日に1回。

毎月15日

毎月1日

質問38
要件1によると、「ネットワーク・セキュリティ・コントロール」の目的は何か。

CDE全体のマルウェア対策を管理する。

2つ以上の論理的または物理的ネットワークセグメント間のネットワークトラフィックを制御する。

脆弱性の発見とランク付け

保存時にPANを暗号化

質問39
同じ要求事項を満たすために、カスタマイズド・アプローチとディファインド・アプローチの両方を使用することは可能か。

単一のアプローチを選択しなければならないからだ

なぜなら、定義されたアプローチで使用できるのは補償的コントロールのみだからである。

企業が代償統制を使用していない場合は、「はい

企業が両方のアプローチを使用する資格がある場合は、「はい

質問40
ある企業が、アセスメントにおいてソフトウェアセキュリティフレームワークを活用できるかどうかを知りたがっています。これは、次のどのソフトウェアタイプに該当しますか？

CDEに含まれるすべての支払いソフトウェア

PCI PTSデバイス上で動作するソフトウェアのみ

PCI SSCによってリストアップされ、PA-DSSアセスメントを受けた検証済みペイメントアプリケーション

セキュア SLC 基準に従って事業体が開発したソフトウェア

質問41
AES128ビットのデータ暗号鍵（DEK）を保護するために使用される鍵暗号化鍵（KEK）の強度として適切なものは何か。

DES256

RSA512

AES 128

ロット 13

質問42
脆弱性にリスクランクを付ける意図は何か？

すべての脆弱性が30日以内に対処されるようにする。

四半期ごとのASVスキャンの必要性を置き換える

リスクの高い項目に優先順位をつけ、より迅速に対処できるようにする。

重要なセキュリティパッチが少なくとも四半期ごとにインストールされるようにする

カテゴリー PCI SSC

オンライン問題集 -有効な練習あなたのAssessor_New_V4試験への (更新された62の質問) [Q24-Q42]