
2025年03月 ISACA CISA日本語実際にある問題と100%カバー率リアル試験問題
CISA日本語無料試験問題と解答PDF最新問題2025年03月
質問 # 727
IS監査リソースの使用を最適化するのに最も役立つ監査アプローチはどれですか?
- A. リスクベースの監査
- B. 継続的監査
- C. アジャイル監査
- D. 外部委託監査
正解:A
解説:
Explanation
Risk-based auditing is an audit approach that focuses on the analysis and management of risk within an organization. Risk-based auditing helps identify and prioritize the areas or processes that pose the highest risk to the organization's objectives and allocate audit resources accordingly. Risk-based auditing also helps provide assurance and advisory services related to the organization's risk management processes and controls.
By using risk-based auditing, internal auditors can optimize the use of their audit resources and add value to the organization.
Agile auditing, continuous auditing, and outsourced auditing are not audit approaches that are most helpful in optimizing the use of IS audit resources. Agile auditing is a flexible and iterative audit methodology that adapts to changing circumstances and stakeholder needs. Continuous auditing is a method of performing audit activities on a real-time or near-real-time basis using automated tools and techniques. Outsourced auditing is a practice of contracting external auditors to perform some or all of the internal audit functions. These audit methods may have some advantages or disadvantages depending on the context and objectives of the audit, but they do not necessarily optimize the use of IS audit resources.
質問 # 728
ある組織は最近、自社のすべてのプロセッサに影響を及ぼすチップレベルのセキュリティ脆弱性が広まっていることに気づきました。この脆弱性が悪用されるのを防ぐ最善の方法は次のどれですか。
- A. ベンダーのパッチをインストールします。
- B. セキュリティ ログ インシデントを確認します。
- C. ハードウェアベンダーの契約を確認します。
- D. セキュリティ意識向上トレーニングを実施します。
正解:A
質問 # 729
データセンター内の物理的な情報資産を保護するために最も重要な前提条件は次のどれですか?
- A. データ保護要件に関するITスタッフの知識
- B. 展開された情報資産の完全かつ正確なリスト
- C. オンサイトバックアップジェネレータの可用性とテスト
- D. 情報資産を発注するスタッフと受領するスタッフの職務の分離
正解:B
解説:
The most important prerequisite for the protection of physical information assets in a data center is a complete and accurate list of information assets that have been deployed. Information assets are any data, devices, systems, or software that have value for the organization and need to be protected from unauthorized access, use, disclosure, modification, or destruction4. A data center is a facility that houses various information assets such as servers, storage devices, network equipment, etc., that support the organization's IT operations and services5. A complete and accurate list of information assets that have been deployed in a data center can help to identify and classify the assets based on their importance, sensitivity, or criticality for the organization. This can help to determine the appropriate level of protection and security measures that need to be applied to each asset. A complete and accurate list of information assets can also help to track and monitor the location, status, ownership, usage, configuration, maintenance, etc., of each asset. This can help to prevent or detect any unauthorized or inappropriate changes or movements of assets that may compromise their security or integrity. Segregation of duties between staff ordering and staff receiving information assets, availability and testing of onsite backup generators, and knowledge of the IT staff regarding data protection requirements are also important prerequisites for the protection of physical information assets in a data center, but not as important as a complete and accurate list of information assets that have been deployed. These factors are more related to the implementation and maintenance of security controls and procedures that depend on having a complete and accurate list of information assets as a starting point. References: ISACA CISA Review Manual 27th Edition, page 308
質問 # 730
プロジェクト関連のリスクを特定して文書化すると、プロジェクト マネージャーは次のことが可能になります。
- A. 成果物を追跡します。
- B. プロジェクトを期限内に完了します。
- C. スコープを定義します。
- D. タスクに優先順位を付けます。
正解:D
質問 # 731
アプリケーションを監査する情報システム監査人の独立性は、監査人の役割が以下に制限されている場合に維持されます。
- A. アクセス制御ルールの設計。
- B. ユーザー要件の定義。
- C. システム拡張の推奨
- D. システム仕様の作成。
正解:C
質問 # 732
組織は、いくつかの外部コンポーネントを使用してWebポータルを開発しています。次のうちどれが情報システム監査人にとって最も懸念すべきであるか?
- A. オープンソースコンポーネントは開発中に統合されました。
- B. スタッフは、cedeレビューを実行するために追加のトレーニングを必要とします。
- C. 一部の開発者は別の国にいます。
組織は既知のエクスプロイトのコンポーネントを確認していません。
正解:A
質問 # 733
アプリケーションのビジネス要件が満たされているかどうかを判断するためのインタビュー中に、IS 監査人に最も役立つ情報を提供できるのは誰でしょうか?
- A. ユーザー管理
- B. プロジェクトスポンサー
- C. プロジェクト管理
- D. 上級管理職
正解:B
質問 # 734
情報システム監査人は、ソフトウェアを選択しているアプリケーション開発チームのメンバーです。次のうちどれが監査人の独立性を損なうでしょうか?
- A. ベンダー選択プロセスの目撃
- B. 各選択基準の加重の検証
- C. ベンダー選択方法論の承認
- D. 提案依頼書(RFP)のレビュー
正解:C
質問 # 735
内部ネットワーク上の不正なワイヤレス アクセス ポイントの存在を検出するのに最も効果的なのは次のうちどれですか。
- A. 継続的なネットワーク監視
- B. 電子アクセスログの確認
- C. 物理的なセキュリティレビュー
- D. 定期的なネットワーク脆弱性評価
正解:A
解説:
The most effective method for detecting the presence of an unauthorized wireless access point on an internal network is A. Continuous network monitoring. This is because continuous network monitoring can capture and analyze all the wireless traffic in the network and identify any rogue or spoofed devices that may be connected to the network without authorization. Continuous network monitoring can also alert the system administrator of any suspicious or anomalous activities on the network and help to locate and remove the unauthorized wireless access point quickly.
Periodic network vulnerability assessments (B) can also help to detect unauthorized wireless access points, but they are not as effective as continuous network monitoring, because they are performed at fixed intervals and may miss some devices that are added or removed between the assessments. Review of electronic access logs can provide some information about the devices that access the network, but they may not be able to detect devices that use fake or stolen credentials or devices that do not generate any logs. Physical security reviews (D) can help to prevent unauthorized physical access to the network ports or devices, but they may not be able to detect wireless access points that are hidden or disguised as legitimate devices.
質問 # 736
組織のセキュリティポリシーでは、すべての新入社員が適切なセキュリティ意識向上トレーニングを受ける必要があります。次の指標のうち、このポリシーへの準拠を最も確実に保証するのはどれですか?
- A. インシデントを報告する新入社員の割合
- B. 企業のセキュリティポリシーに違反した新入社員の数
- C. トレーニングを完了した新入社員の割合。
- D. 新入社員による報告されたインシデントの数
正解:B
質問 # 737
すべてのシステムにシングルサインオンが実装されている場合に生じるリスクは、次のとおりです。
- A. ユーザーはすべてのシステムで同等のアクセス権を持っています。
- B. 承認されたユーザーはセキュリティレイヤーをバイパスできます。
- C. ユーザーtanは現在のアクセスセキュリティをバイパスします。
- D. 侵害されたパスワードはすべてのシステムへのアクセスを許可します。
正解:D
質問 # 738
公開鍵暗号システムにおいて、なりすましによる中間者攻撃のリスクに対処するための主な要件は次のどれですか?
- A. 登録機関
- B. 証明機関 (CA)
- C. Kerberos認証
- D. 強力な暗号化アルゴリズム
正解:B
解説:
A certificate authority (CA) is critical in a public key cryptographic system for mitigating man-in-the-middle (MITM) attacks. It ensures that public keys are authentic by issuing digital certificates, which bind a public key to an entity. The CA's role in verifying identities and providing trust anchors prevents attackers from spoofing keys.
* Strong Encryption Algorithms (Option A): Encryption ensures confidentiality but does not address spoofing risks.
* Kerberos Authentication (Option B): Useful for mutual authentication but not central to public key infrastructure (PKI).
* Registration Authority (Option C): Supports the CA but does not directly prevent MITM attacks.
Reference: ISACA CISA Review Manual, Job Practice Area 4: Protection of Information Assets.
質問 # 739
ソフトウェア開発を第三者にアウトソーシングする場合、組織がソフトウェア エスクロー契約に含めることが最も重要なのは次のどれですか。
- A. エスクロー エージェント リポジトリは、ソフトウェア製品の進化に合わせて更新されます。
- B. エスクロー エージェント リポジトリは、組織による定期的な監査の対象となります。
- C. エスクロー エージェント リポジトリは、ベンダーのアクセスから安全に保護されます。
- D. エスクロー エージェント リポジトリは、組織の自国で保持されます。
正解:A
質問 # 740
システムの制限により、買掛金システムでは職務の分離 (SoD) を実施できません。補償コントロールに関して情報システム監査人が推奨する最良の方法は、次のうちどれですか。
- A. 支払い取引履歴を確認します。
- B. すべての支払い取引に書面による承認が必要です。
- C. 支払い取引を請求書と照合します。
- D. 支払い承認を上級スタッフに制限します。
正解:C
質問 # 741
監査機能が基準と倫理規定に準拠していることを上級管理職と取締役会に最もよく示すのは次のどれですか?
- A. 自己評価(CSA)の制御
- B. 品質管理レビュー
- C. 監査スタッフのインタビュー
- D. 是正措置計画
正解:B
解説:
Quality control reviews are the best way to demonstrate to senior management and the board that an audit function is compliant with standards and the code of ethics. These reviews assess the efficiency and effectiveness of the audit function, ensure compliance with audit standards and ethics, and identify areas for improvement12. While audit staff interviews, control self-assessments (CSAs), and corrective action plans can provide valuable insights, they do not offer the same level of assurance as a comprehensive quality control review12.
References: The Institute of Internal Auditors1, AuditBoard2
質問 # 742
次のうちどれが、24時間年中無休でトランザクションを処理するグローバルな金融機関のセキュリティオペレーションセンターの有効性にリスクをもたらすでしょうか?
- A. インシデント対応機能はサードパーティプロバイダーにアウトソーシングされています。
- B. インシデント対応レポートはオープンソースソフトウェアに基づいています。
- C. インシデント対応は、通常の営業時間内に1か所から行われます。
- D. イベントの相関により、実稼働前システムのログは除外されます。
正解:C
質問 # 743
ソフトウェア開発のウォーターフォールライフサイクルモデルは、次のどの状況に最も適していますか?
- A. プロジェクトには新しいテクノロジーの使用が含まれます。
- B. このプロジェクトは、オブジェクト指向の設計アプローチを適用することを目的としています。
- C. 保護要件は壁で理解されています。
- D. プロジェクトは時間のプレッシャーにさらされています。
正解:C
解説:
Explanation
The waterfall life cycle model of software development is best suited for situations where the project requirements are well understood. The waterfall life cycle model is a sequential and linear approach to software development that consists of several phases, such as planning, analysis, design, implementation, testing, and maintenance. Each phase depends on the completion and approval of the previous phase before proceeding to the next phase. The waterfall life cycle model is best suited for situations where the project requirements are well understood, as it assumes that the requirements are clear, stable, and fixed at the beginning of the project, and do not change significantly throughout the project. The project is subject to time pressures is not a situation where the waterfall life cycle model of software development is best suited, as it may not be flexible or agile enough to accommodate changes or adjustments in the project schedule or timeline. The waterfall life cycle model may involve long delays or dependencies between phases, and may not allow for early feedback or delivery of software products. The project intends to apply an object-oriented design approach is not a situation where the waterfall life cycle model of software development is best suited, as it may not be compatible or effective with the object-oriented design approach. The object-oriented design approach is a technique that models software as a collection of interacting objects that have attributes and behaviors. The object-oriented design approach may require iterative and incremental development methods that allow for dynamic and adaptive changes in software design and functionality. The project will involve the use of new technology is not a situation where the waterfall life cycle model of software development is best suited, as it may not be able to cope with the uncertainty or complexity of new technology. The waterfall life cycle model may not allow for sufficient exploration or experimentation with new technology, and may not be able to handle changes or issues that arise from new technology.
質問 # 744
分散型ITガバナンスモデルを実装する理由は次のうちどれですか。
- A. ビジネスユニット間の整合性の向上
- B. 標準化された制御と規模の経済
- C. ビジネスユニット間のITシナジー
- D. ビジネスニーズへの応答性の向上
正解:D
質問 # 745
情報システム監査人は、監査の範囲を確認するために使用されたアプリケーションインベントリにクラウドベースのアプリケーションが含まれていないことを発見しました。ビジネスプロセスの所有者は、アプリケーションは翌年に第三者によって監査されると説明しました。監査人の次のステップは次のとおりです。
- A. 統制の不備を上級管理職に報告する
- B. 監査範囲を修正してクラウドベースのアプリケーションを含める
- C. 第三者による監査レポートのレビュー
- D. 監査範囲に対するクラウドアプリケーションの影響を評価する
正解:A
質問 # 746
情報情報監査人が被監査者との出口会議中に行うべき最も重要なことは次のうちどれですか?
- A. 推奨事項の実装日を指定します。
- B. レポートに示されている事実が正しいことを確認してください。
- C. 上級管理者に推奨事項を伝えます。
- D. 是正措置を決定する際の入力を要求します。
正解:B
解説:
The exit interview, conducted at the end of the audit, provides an IS auditor with the opportunity to discuss findings and recommendations with the auditee management. During the exit interview, an IS auditor should:
- Ensure that the facts presented in the report are correct and material.
- Ensure that the recommendations are realistic and cost-effective and, if not, seek alternatives through negotiation with auditee management.
- Recommend implementation dates for agreed-on recommendations.
質問 # 747
IS 監査人がネットワーク デバイス管理を監査する際に検証することが最も重要なのは次のうちどれですか?
- A. サービス アカウントを介してデバイスにアクセスすることはできません。
- B. すべてのデバイスは保護されたネットワーク セグメント内にあります。
- C. バックアップ ポリシーにはデバイス構成ファイルが含まれます。
- D. すべてのデバイスには、最新のセキュリティ パッチが評価されています。
正解:D
解説:
説明
IS 監査人がネットワーク デバイス管理を監査する際に検証する最も重要なことは、すべてのデバイスに最新のセキュリティ パッチが評価されていることです。これは、既知の脆弱性を修正し、ネットワーク デバイスに対する不正アクセス、データ侵害、サービス妨害攻撃を防ぐためにセキュリティ パッチが不可欠であるためです。ネットワーク デバイスに定期的にパッチが適用されていない場合、ネットワークがさまざまなサイバー脅威にさらされ、ネットワーク サービスとデータの機密性、完全性、可用性が損なわれる可能性があります12。
サービス アカウントは通常、ネットワーク デバイスへの特権アクセスを必要とする自動化されたタスクやプロセスに使用されるため、サービス アカウントを介してデバイスにアクセスできないことは、検証する最も重要なことではありません。サービス アカウントは、強力なパスワードを使用し、アクセス許可を制限し、アクティビティを監視することで保護できます。ただし、サービス アカウントだけでは、パッチが適用されていない脆弱性を悪用する外部または内部の攻撃からネットワーク デバイスを保護することはできません3。
バックアップ ポリシーには、主に障害、災害、または破損が発生した場合にネットワーク デバイスを復元するために使用されるため、デバイス構成ファイルが含まれるバックアップ ポリシーは検証する最も重要な項目ではありません。バックアップ ポリシーは、ネットワーク機能とデータの回復に役立ちますが、そもそもネットワーク デバイスの侵害や攻撃を防ぐことはできません。バックアップ ポリシーは、ネットワーク デバイスにパッチが適用され、保護されていることを保証するセキュリティ ポリシーによって補完される必要があります4。
ネットワーク セグメンテーションは、機能、セキュリティ レベル、アクセス制御などのさまざまな基準に基づいてネットワークを小さなサブネットまたはゾーンに分割する技術であるため、すべてのデバイスが保護されたネットワーク セグメント内に配置されていることを検証することが最も重要なわけではありません。ネットワークのセグメンテーションは、ネットワーク デバイスに対する潜在的な攻撃の影響を隔離して封じ込めるのに役立ちますが、攻撃の発生を防ぐことはできません。
ネットワーク デバイスの安全性を確保するには、ネットワーク セグメンテーションをセキュリティ パッチ適用やその他のセキュリティ対策と組み合わせる必要があります。
質問 # 748
エンドユーザー コンピューティング (EUC) によって生成されたレポートに依存する場合、最も大きなリスクは次のうちどれですか?
- A. 履歴データが利用できない可能性があります。
- B. レポートは効率的に機能しない可能性があります。
- C. レポートがタイムリーでない可能性があります。
- D. データが不正確である可能性があります。
正解:D
解説:
説明
エンドユーザー コンピューティング (EUC) は、通常ソフトウェア エンジニアが従う設計、構築、テスト、リリースという分割された開発プロセスとは別に、ユーザーが実用的なアプリケーションを作成できるシステムです1。EUC ツールの例には、スプレッドシート、データベース、ローコード/ノーコード プラットフォーム、生成 AI アプリケーションなどがあります2。EUC ツールは、ユーザーに柔軟性、効率性、革新性を提供しますが、適切に管理および制御されないと重大なリスクを引き起こすこともあります3。
EUC によって生成されたレポートに依存する場合の最大のリスクは、データが不正確である可能性があることです。データの精度とは、レポート内のデータが基礎となる情報の真の値をどの程度反映しているかを指します4。
不正確なデータは、誤った決定、誤解を招く分析、信頼性の低いレポート、コンプライアンス違反につながる可能性があります。EUC レポートのデータの不正確さを引き起こす可能性のある要因には、次のようなものがあります。
厳格なテストの欠如: EUC ツールは、IT 部門が開発したアプリケーションと同じレベルのテストと検証を受けていない可能性があり、その結果、データ処理と出力でエラー、バグ、または不一致が発生する可能性があります3。
バージョンおよび変更管理の欠如: EUC ツールには、時間の経過とともに加えられた変更の明確な記録が残されていない可能性があり、混乱、重複、またはデータの損失が発生する可能性があります。ユーザーは、適切な許可や文書化なしにデータを変更または上書きすることもあります3。
ドキュメントの欠如とそれを開発したエンドユーザーへの依存: EUC ツールには、その目的、機能、前提、制限、依存関係を説明するための十分なドキュメントが存在しない可能性があります。ユーザーは、元の開発者の知識や専門知識を信頼することもできますが、その開発者は利用できない場合や、ベスト プラクティスに従っていない可能性があります3。
メンテナンス プロセスの欠如: EUC ツールには、その機能とセキュリティを確保するための定期的な更新、バックアップ、またはレビューが行われていない可能性があります。ユーザーは、古いデータや冗長なデータの削除やアーカイブを怠る可能性もあります3。
セキュリティの欠如: EUC ツールには、不正なアクセス、変更、開示からデータを保護するための適切なアクセス制御、暗号化、または認証メカニズムが備わっていない可能性があります。ユーザーは、安全でない場所やデバイスにデータを保存または共有することもあります3。
監査証跡の欠如: EUC ツールには、データ ソース、入力、出力、計算、変換の追跡可能な履歴がない可能性があります。ユーザーは、検出や説明責任なしにデータを操作または改ざんすることもできます3。
手動制御への過度の依存: EUC ツールは、データの入力、検証、または修正を人間の介入に依存する場合があり、これによりエラー、遅延、バイアスが生じる可能性があります。ユーザーには、EUC ツールを効果的かつ効率的に使用するためのスキルやトレーニングが不足している場合もあります3。
EUC レポートに依存する場合、他のオプションはデータの不正確さほど大きくありません。レポートが効率的に機能しない可能性がある、レポートがタイムリーではない可能性がある、履歴データが利用できない可能性はすべて EUC ツールに関連する潜在的なリスクですが、これらはデータの不正確さよりも重大度も頻度も低くなります。さらに、これらのリスクは、EUC ツールのパフォーマンス、スケジュール、ストレージを改善することで軽減できます。ただし、データの不正確さは、レポートの品質と信頼性、およびレポートに基づく意思決定に広範かつ永続的な影響を与える可能性があります。したがって、選択肢 A が正解です。
参考文献:
データの精度とは何ですか?
エンド ユーザー コンピューティング (EUC) リスクとは何ですか?
エンドユーザーコンピューティング
エンドユーザー コンピューティング (EUC) のリスク: 包括的なガイド
質問 # 749
データ所有者が誤った分類レベルをデータに割り当てた場合に、情報システム監査人が最も懸念するのは次のうちどれですか?
- A. データを適切に保護するための管理が適用されていない可能性があります。
- B. システム管理者によってデータが暗号化されていない可能性があります。
- C. コントロール コストが IT 資産の本質的な価値を超える可能性があります。
- D. 競合他社がデータを閲覧できる可能性があります。
正解:A
解説:
Explanation
The answer A is correct because the greatest concern for an IS auditor when a data owner assigns an incorrect classification level to data is that controls to adequately safeguard the data may not be applied. Data classification is the process of categorizing data assets based on their information sensitivity and business impact. Data classification helps organizations to identify, protect, and manage their data according to their value and risk. Data owners are the individuals or entities who have the authority and responsibility to define, classify, and control the access and use of their data.
Data classification typically involves assigning labels or tags to data assets, such as public, internal, confidential, or restricted. These labels indicate the level of protection and handling required for the data.
Based on the data classification, organizations can implement appropriate controls to safeguard the data, such as encryption, access control lists, audit logs, backup policies, etc. These controls help to prevent unauthorized access, disclosure, modification, or loss of data, and to ensure compliance with relevant laws and regulations.
If a data owner assigns an incorrect classification level to data, it can result in either underprotection or overprotection of the data. Underprotection means that the data is classified at a lower level than it should be, which exposes it to higher risks of compromise or breach. For example, if a data owner classifies personal health information (PHI) as public instead of confidential, it may allow anyone to access or share the data without proper authorization or consent. This can violate the privacy rights of the data subjects and the compliance requirements of regulations such as HIPAA (Health Insurance Portability and Accountability Act).
Overprotection means that the data is classified at a higher level than it should be, which limits its availability or usability. For example, if a data owner classifies marketing materials as restricted instead of public, it may prevent potential customers or partners from accessing or viewing the data. This can reduce the business value and opportunities of the data.
Therefore, an IS auditor should be concerned about the accuracy and consistency of data classification by data owners, as it affects the security and efficiency of data management. An IS auditor should review the policies and procedures for data classification, verify that the data owners have adequate knowledge and skills to classify their data, and test that the data classification labels match with the actual sensitivity and impact of the data.
References:
Data Classification: What It Is and How to Implement It
What Is Data Classification? - Definition, Levels & Examples ...
Data Classification: A Guide for Data Security Leaders
質問 # 750
......
ISACA CISA日本語リアル2025年最新のブレーン問題集模擬試験問題集:https://jp.fast2test.com/CISA-JPN-premium-file.html