カテゴリー ISACA

ソフトウェアプロジェクトマネジメントに対するアジャイルアプローチの重要な信条は、チーム学習であり、プロジェクトが進行するにつれて、プロジェクトマネジメントとソフトウェア開発プロセスを洗練させるためにチーム学習を利用することである。これを達成する最良の方法の1つは、各反復の終わりに、チームは何がうまくいき、何がもっとうまくいったかを検討し、文書化することである。CMMとアジャイルは、正反対の極に位置している。CMMは、事前に定義された正式なプロセス、正式なプロジェクト管理、ソフトウェア開発の成果物を重視する。対照的に、アジャイルプロジェクトは、プロジェクトの特定のニーズとチームの力学によって指示されるプロセスの改良に依存する。さらに、正式な紙ベースの成果物はあまり重視されず、チーム内や外部の重要な貢献者との効果的なインフォーマルなコミュニケーションが優先される。アジャイルプロジェクトでは、通常4～8週間という短いイテレーションで、リリース可能なソフトウェアを作成する。このこと自体が、チーム内にかなりのパフォーマンス規律を植え付ける。このことと、チームの作業内容や障害の特定について合意するための毎日の短いミーティングを組み合わせることで、スケジュールに対するタスクレベルのトラッキングは冗長になる。アジャイルプロジェクトでは、適切な開発ツールを活用するが、ツールは生産性を達成するための主要な手段とは見なされない。チームの調和、効果的なコミュニケーション、課題を解決するための集団的な能力が重要である。

セクションITのガバナンスと管理

セクション情報システムの運用・保守・サポート
説明する：
カッパー・ケーブルは敷設が非常に簡単で、タップするのも簡単だ。主に短距離で使用され、音声とデータに対応している。
この試験のために、伝送メディアに関する以下の情報を知っておく必要がある：
銅ケーブル
カッパー・ケーブルは敷設が非常に簡単で、タップするのも簡単だ。主に短距離で使用され、音声とデータに対応している。
年に電磁石と電信が発明されて以来、銅は電気配線に使われてきた。
1820年代。1876年に電話が発明され、導電体としての銅線の需要がさらに高まった。
銅は、多くの電気配線の導体である。銅線は発電、送電、配電、電気通信、電子回路、その他無数の電気機器に使用されている。銅とその合金は、電気接点を作るためにも使われます。建物の電気配線は銅産業にとってもっとも重要な市場です。採掘される銅のおよそ半分は、電線やケーブルの導体の製造に使われます。
銅ケーブル

同軸ケーブル
同軸ケーブル、または同軸（「ko.aks」と発音）は、管状の絶縁層で囲まれた内部導体を、管状の導体シールドで囲んだケーブルの一種です。多くの同軸ケーブルには、絶縁性の外側シースまたはジャケットもある。同軸という言葉は、内部導体と外部シールドが幾何学的な軸を共有していることに由来する。同軸ケーブルは、イギリスのエンジニアで数学者のオリバー・ヘイビサイドによって発明され、1880年に設計特許を取得した。同軸ケーブルは、オーディオ信号などの低周波信号を伝送するために使用される他のシールドケーブルとは異なり、ケーブルの寸法が正確で一定の導体間隔になるように制御されており、無線周波数伝送線路として効率的に機能するために必要である。
同軸ケーブルは高価で、多くのLANをサポートしていない。同軸ケーブルはデータとビデオに対応している。

同軸ケーブル
光ファイバー
光ファイバーケーブルは、光を伝送するために使用される1本以上の光ファイバーを含むケーブルである。光ファイバーエレメントは通常、プラスチック層で個別に被覆され、ケーブルが敷設される環境に適した保護チューブに収められている。ケーブルの種類は用途によって異なり、例えば長距離電気通信や建物内の異なる場所間の高速データ接続などに使用される。
光ファイバーは長距離に使用され、スプライスしにくく、クロストークに弱く、タップしにくい。音声データ、画像、ビデオに対応。
光ファイバー

無線システム
無線システムは、近距離で、安価で傍受が容易な場合に使用される。
無線とは、大気圏や自由空間を通して電磁信号を放射（無線送信）することである。
音のような情報は、放射された波の振幅、周波数、位相、パルス幅などの特性を系統的に変化させる（変調する）ことによって伝達される。電波が導電体に当たると、振動する電界が導電体に交流電流を誘導する。電波に含まれる情報を取り出し、元の形に変換することができる。
マイクロ波無線システム
マイクロ波伝送とは、マイクロ波と呼ばれる波長の小さい電波を使って情報やエネルギーを伝送する技術のことである。
マイクロ波は波長が小さいため、便利なサイズのアンテナで狭いビームに向けることができ、受信アンテナに直接向けることができるため、ポイント・ツー・ポイント通信に広く使われている。このため、低周波の電波のように、近くにあるマイクロ波機器が互いに干渉することなく、同じ周波数を使うことができる。もう一つの利点は、マイクロ波の周波数が高いため、マイクロ波帯の情報伝達能力が非常に大きいことである。マイクロ波帯の帯域幅は、それ以下の残りのすべての電波スペクトルの30倍である。不利な点は、マイクロ波は見通し伝搬に制限されることである。低周波電波のように丘や山を避けて伝搬することはできない。
マイクロ波無線通信は、地表のポイント・ツー・ポイント通信システム、衛星通信、深宇宙無線通信によく使われている。マイクロ波無線帯域の他の部分は、レーダー、無線ナビゲーション・システム、センサー・システム、電波天文学に使用されている。
マイクロ波無線システムは音声データ信号のキャリアであり、安価で簡単に利用できる。
マイクロ波無線システム

衛星ラジオリンク
衛星ラジオは、主に自動車向けに人工衛星から放送されるラジオサービスで、地上波ラジオ局よりもはるかに広い地域にわたって全国に信号が放送される。衛星ラジオは、地上波ラジオよりも多くの放送局を持ち、幅広い番組オプションが用意されている。
衛星無線のリンクはトランスポンダーを使って情報を送信するため、傍受が容易である。
以下の答えは間違っている：
光ファイバー - 光ファイバーケーブルは長距離に使用され、スプライスが難しく、クロストークに弱く、タップが難しい。音声データ、画像、ビデオに対応している。
無線システム - 無線システムは短距離に使用され、安価でタップしやすい。
衛星ラジオリンク - 衛星ラジオリンクはトランスポンダーを使用して情報を送信し、簡単にタップできます。
参考までに：
CISAレビューマニュアル2014 ページ番号265

セクション情報資産の保護

特定のデータ形式で保存された個人を特定できる情報（PII）のような機密情報を保護しながら、ソフトウェア開発者が開発やテスト環境で使用できるようにする最善の方法は、データマスキングです。データマスキングとは、機密性の高いデータ要素を、元のデータの形式や特徴を保持したまま、架空のデータ要素や変更されたデータ要素に置き換えたり、見えなくしたりする技術です。データマスキングは、ソフトウェアやアプリケーションの機能や性能に影響を与えることなく、実際のデータ値の暴露や開示を防ぐことで、ソフトウェア開発者が開発やテスト環境で使用できるようにしながら、特定のデータ形式で保存されているPIIなどの機密情報を保護するのに役立ちます。他のオプションは、異なる制限や欠点があるため、ソフトウェア開発者が開発やテスト環境で使用できるようにしながら、特定のデータ形式で保存されたPIIのような機密情報を保護するには、データマスキングほど効果的ではありません。データトークナイゼーションは、センシティブなデータ要素を、本質的な価値や意味を持たない非センシティブなトークンに置き換える技術です。データ・トークナイゼーションは、PIIのような機密情報を不正アクセスや盗難から保護することができますが、データの元の形式や特性を保持しない可能性があり、ソフトウェアやアプリケーションの機能やパフォーマンスに影響を与える可能性があります。
データ暗号化とは、アルゴリズムとキーを使用して、機密性の高いデータ要素を読み取り不可能な暗号文または理解不能な暗号文に変換する技術である。データ暗号化は、PIIのような機密情報を不正アクセスや改ざんから保護することができるが、元のデータ値を復元するために復号化が必要であり、ソフトウェア開発プロセスにさらなる複雑さやオーバーヘッドをもたらす可能性がある。データ抽象化とは、簡略化された表現やインターフェースを提供することで、ユーザーやプログラマーからデータ構造や操作の詳細や複雑さを隠す技術である。データの抽象化は、ソフトウェアやアプリケーションの使いやすさや保守性を向上させるのに役立ちますが、PIIのような機密情報を暴露や開示から保護するものではありません。参考文献CISAレビュー・マニュアル(デジタル版)、第5章、セクション5.3.2

バリデーション・チェックはデータ品質管理の一種で、システム・インターフェースのデータの完全性を保証するのに役立つ。バリデーション・チェックは、システム間で入力または転送されたデータが正しく、一貫性があり、事前に定義されたルールや標準に準拠していることを検証する。バリデーション・チェックは、システムの機能性、パフォーマンス、またはセキュリティに影響を及ぼす可能性のあるデータのエラー、異常、または不整合を防止または検出することができる。
バリデーション・チェックは、システム・インターフェースのデータ完全性を確保するための一般的かつ効果的な方法であるため、オプションCは正しい。バリデーション・チェックは、入力、処理、出力、保管など、データ・ライフサイクルのさまざまな段階で実行できる。バリデーション・チェックは、データ型、コード、範囲、フォーマット、一貫性、一意性など、さまざまなタイプのデータにも適用できます。
システム・インターフェース・テストは、2つの別個のシステムまたはシステムのコンポーネント間の相互作用を検証するソフトウェアテストの一種であるため、選択肢Aは誤りである。システムインタフェーステストは、システムインタフェースのデータの完全性を直接保証するものではなく、インタフェース自体の機能性と信頼性を保証するものである。システムインタフェーステストは、テストケースの一部として検証チェックを使用することがあるが、検証チェックとは異なる。
ユーザー受入テスト（UAT）は、システムがユーザーの期待や要件を満たしているかどうかを評価するソフトウェアテストの一種であるため、オプションBは誤りです。UATは、システムインタフェースのデータの完全性を直接保証するものではなく、ユーザの視点からのシステムの使いやすさと受け入れやすさを保証するものです。UATは、テストシナリオの一部としてバリデーションチェックを使用することがあるが、バリデーションチェックとは異なる。
監査ログは、システムやネットワーク内で発生したイベントやアクティビティの記録であるため、オプションDは誤りです。監査ログは、システムインターフェースのデータの完全性を直接保証するものではなく、システムの運用とセキュリティの証拠と説明責任を提供するものである。監査ログは、分析または報告の一部として検証チェックを使用することがあるが、検証チェックとは異なる。
参考文献
* CISA Online Review Course1, Module 5: Protection of Information Assets, Lesson 4: Data Quality Management, slide 5-6.
* CISAレビュー・マニュアル(デジタル版)2、第5章 情報資産の保護、セクション5.3：データ品質管理, p. 281-282.
* CISAレビュー・マニュアル(印刷版)、第5章 情報資産の保護、セクション5.3：データ品質管理、p. 281-282.
* CISA Questions, Answers & Explanations Database3、質問ID：QAE_CISA_722。
* データバリデーション - 概要、種類、実例4
* データの妥当性ビジネスにおけるベストプラクティス5
* バリデーション - データ検証6
* データバリデーションとは？種類、テクニック、ツール7

マルウェア対策ツールの監査ログは、すべてのワークステーションが毎日マルウェアのスキャンを受けなけれ ばならないというグローバル組織のポリシーを継続的に遵守していることの最良の証拠をIS監査人に提供する。マルウェア対策ツールの監査ログは、スキャンスケジュール、スキャン結果、アップデート、アラート、および実行されたアクションなど、ワークステーションにインストールされたマルウェア対策ソフトウェアに関連するアクティビティおよびイベントを記録する記録である1。これらのログは、IS監査人がマルウェア対策ソフトウェアが適切に機能していること、スキャンが定期的かつ効果的に実行されていること、マルウェアインシデントが適時に検出され解決されていることを確認するのに役立ちます2。マルウェア対策ツールの監査ログは、IS監査人がマルウェア対策ポリシーまたは実装におけるギャップまたは弱点を特定し、改善のための推奨事項を提供するのにも役立ちます3。
他の選択肢は、マルウェア対策ポリシーに継続的に準拠していることを示す最良の証拠とはならない。侵入テストの結果は、外部または内部の攻撃者の視点からワークステーションとネットワークの脆弱性とリスクを示すレポートである4。ペネトレーションテストは、組織のセキュリティ態勢と回復力を評価するのに役立つが、日々のマルウェア対策スキャンやその結果に関する情報を提供するものではない。経営陣の証明とは、経営陣がマルウェア対策ポリシーを遵守していることを表明または宣言することである5。経営陣の証明は、コミットメントと説明責任を示すことができますが、遵守の客観的または検証可能な証拠を提供するものではありません。最近のマルウェアスキャンレポートは、ワークステーション上で実行された最新のマルウェア対策スキャンの概要または詳細を示す文書である。最近のマルウェアスキャンレポートは、マルウェア対策ソフトウェアの現在の状態およびパフォーマンスを示すことができますが、コンプライアンスに関する過去の証拠や包括的な証拠を提供するものではありません。
参考文献
* Malwarebytes Anti-Malware（MBAM）のログ収集と脅威レポート ...
* Windows監査ログを利用した悪意のある行動の検出
* PCI要件5.2 - すべてのアンチウィルスメカニズムが最新であることを確認します。
* 経営者認証 - 概要｜ScienceDirect Topics
* マルウェアスキャンレポートの読み方｜テックワラ

セクション情報資産の保護
説明／参照
ネットワーク・セキュリティにおいて、スクリーンされたサブネットのファイアウォールは、デュアルホームド・ゲートウェイとスクリーンされたホストのバリエーションである。
ファイアウォールファイアウォールのコンポーネントを別々のシステムに分離することで、次のようなことが実現できる。
シンプルさの代償として、スループットと柔軟性が向上した。の各コンポーネント・システムは
スクリーンサブネットファイアウォールは、特定のタスクのみを実装する必要があります。
を構成する。
スクリーンされたサブネットのファイアウォールは、非武装地帯（DMZ）を確立するためによく使われる。
以下にファイアウォールの実装例をいくつか挙げる：
スクリーン付きホストファイアウォール
パケット・フィルタリング・ルーターとバスティオン・ホストを利用するこのアプローチは、基本的なネットワーク・レイヤーを実装している。
のセキュリティとアプリケーション・サーバーのセキュリティがある。
この構成では、侵入者は2つの別々のシステムに侵入しなければならない。
ネットワークが危険にさらされる可能性がある
このファイアウォール・システムは、プライベート・ネットワークに接続されたベイシオンのホストがパケット
インターネットと要塞ホストの間のフィルタリング・ルーター
デュアルホームファイアウォール
2つ以上のネットワーク・インターフェイスを持ち、それぞれが異なるネットワークに接続されているファイアウォール・システム。
ファイアウォール構成では、デュアルホームファイアウォールシステムは、通常、ファイアウォールの一部またはすべてをブロックまたはフィルタリングします。
ネットワーク間を通過しようとするトラフィック
デュアルホームファイアウォールシステムは、スクリーンホストファイアウォールシステムのより制限的な形態である。
非武装地帯（DMZ）またはスクリーン化サブネット・ファイアウォール
2台のパケットフィルタリングルーターとバスティオンホストを活用
このアプローチは、ネットワークとアプリケーションレベルをサポートするため、最も安全なファイアウォールシステムを構築します。
DMZネットワークを個別に定義しながら、セキュリティ
通常、DMZはインターネットや組織のプライベート・ネットワークからのアクセスを制限するように設定される。
以下は不正解だった：
オプションで言及されている他のタイプのファイアウォールは、2つのパケットフィルタリングルーターと要塞を利用しません。
ホストだ。
この問題を作成するために、以下の参考文献を使用しました：
CISAレビューマニュアル2014 ページ番号346

ネットワークを介して送信されるデータはすべて、盗聴されたり、悪意のある人物によって改ざんされたりする危険性がある。閉じたシステムとして動作する機械でさえ、TEMPESTのようなハードウェアから発生する微弱な電磁波の送信を監視することによって盗聴される可能性がある。

説明
IT戦略修正が有効であることの最良の証拠は、IT活動と企業目標との同期化である。IT戦略修正とは、IT戦略を見直し、調整することで、IT戦略が企業の戦略や目標に合致し、それを確実にサポートするようにするプロセスである。IT活動と企業目標との同期とは、IT活動が企業目標やビジョンの達成に合致し、貢献していることを意味する。IS監査人は、IT活動を企業目標と比較し、それらが整合し、統合され、調整されているかどうかを評価することによって、IT戦略修正の有効性を測定し、評価することができる。その他の選択肢は、ITとビジネスの整合性を反映していないか、成果や結果ではなくIT戦略修正プロセスのインプットまたはアウトプットであるため、IT戦略修正の有効性を示す証拠としては不十分である。参考文献CISAレビュー・マニュアル（デジタル版）1、第1章、セクション1.2.1

セクション情報資産の保護
説明する：
選択肢 A、B、C は、いずれも監査対象とは関係ないので不正解である。監査人は、提案されたアプリケーションのレビューにおいて、購入する製品が現在または計画中の OS と互換性があることを確認すべきである。選択肢Aについては、現在使用されているOSであれば、既存のハードウェアプラットフォームと互換性がある。選択肢Bでは、組織への悪影響を最小限に抑えるために、OSのアップデートを計画的に行うべきである。選択肢Cの場合、インストールされているOSは、（十分な歴史と安定性を備えた）最新のバージョンとアップデートが装備されているべきである。

ソースデータの正確さは、データウェアハウスのデータ品質の前提条件である。データソースの信頼性、正確な抽出プロセス、正確な変換ルーチンはすべて重要ですが、不正確なデータを質の高い（正確な）データに変えることはできません。

セクション情報資産の保護
説明する：
ネットワークバックボーンの障害は、ネットワーク全体の障害となり、すべてのユーザーがネットワーク上の情報にアクセスする能力に影響を与える。代替のPBXシステムが利用できない場合、ユーザーは電話やファックスの発着信ができなくなるが、携帯電話や電子メールなどの代替通信手段を利用することができる。ユーザーPCのバックアップシステムの欠如は、全ユーザーではなく、特定のユーザーだけに影響する。入退室カードシステムの故障は、指定された作業区域に入室する利用者の記録を管理する能力に影響を与える。

セクション情報資産の保護
説明する：
継続的モニタリングシステムを導入する場合、IS監査人の最初のステップは、組織内の高リスク領域を特定することである。