
[2025年06月02日] 完全版には更新されたのはIsaca Certification(CISA日本語)認定サンプル問題
最新のISACA CISA日本語リアル試験問題集PDF
質問 # 495
組織の海外におけるサイバーセキュリティ規制への準拠を監査する計画を立てる際に最も役立つのは次のどれですか?
- A. 各国の監査チームからの調査結果の報告を標準化するテンプレートを開発する
- B. 最も厳しい要件を持つ国のサイバーセキュリティ規制に従ってください。
- C. さまざまな規制要件を組織のITガバナンスフレームワークにマッピングする
- D. 監査の優先順位を決定し、運用リスクが最も大きい国に焦点を当てます。
正解:C
解説:
The most useful thing to do when planning to audit an organization's compliance with cybersecurity regulations in foreign countries is to map the different regulatory requirements to the organization's IT governance framework. This is because an IT governance framework is a roadmap that defines the methods used by an organization to implement, manage and report on IT governance within said organization1. IT governance helps align business and IT strategies using a solid and formal framework2. By mapping the different regulatory requirements to the IT governance framework, the auditor can:
* Identify the commonalities and differences among the various cybersecurity regulations that apply to the organization's operations in different countries.
* Assess the level of compliance and maturity of the organization's IT governance practices against each regulatory requirement.
* Evaluate the risks and gaps associated with non-compliance or partial compliance with any of the regulatory requirements.
* Recommend appropriate actions or improvements to enhance the organization's IT governance and cybersecurity posture.
Option D is correct because mapping the different regulatory requirements to the organization's IT governance framework is a systematic and effective way to plan and conduct an audit of compliance with cybersecurity regulations in foreign countries.
質問 # 496
ソフトウェア開発ライフサイクル(SDLC)中にバイナリコードへの悪意のある変更に関連するリスクを軽減するための最良の方法は次のうちどれですか?
- A. 暗号化ハッシュ
- B. 職務の分離
- C. デジタル封筒
- D. パリティチェック
正解:A
質問 # 497
小規模なIS部門で職務の分離が不足している場合、次のうちどれが最良の補償管理ですか?
- A. トランザクションログのレビュー
- B. 必須の休日
- C. ユーザー意識向上トレーニング
- D. 身元調査
正解:A
解説:
Explanation
The best compensating control when segregation of duties is lacking in a small IS department is transaction log review. Transaction log review can help detect any unauthorized or fraudulent activities performed by IS staff who have access to multiple functions or systems. Transaction log review can also provide an audit trail for accountability and investigation purposes. The other options are not as effective as transaction log review in compensating for the lack of segregation of duties. Background checks are preventive controls that can help screen potential employees for any criminal records or dishonest behavior, but they do not prevent existing employees from abusing their access privileges. User awareness training is a detective control that can help educate users on how to report any suspicious or abnormal activities in the IS environment, but it does not monitor or verify the actions of IS staff. Mandatory holidays are deterrent controls that can discourage IS staff from engaging in fraudulent activities by requiring them to take periodic leave, but they do not prevent or detect such activities when they occur. References: CISA Review Manual (Digital Version), Chapter 3, Section 3.2
質問 # 498
大きなマスタータイルと小さなトランザクションイオンアクティビティファイルを備えたアプリケーションシステムの場合、完全トランザクションファイルバックアップから増分バックアップに変更することの主な利点は次のとおりです。
- A. バックアップメディアの制御を強化
- B. ディスクシーク時間の増加
- C. より高速なディザスタリカバリ機能
- D. CPU処理時間の短縮
正解:D
質問 # 499
情報システム監査人は、いくつかのデスクトップコンピューターに無許可のソフトウェアが含まれていることを発見しました。次のうち、監査人の最善の行動方針はどれですか?
- A. 許可されていないソフトウェアの使用を法務部門に報告する
- B. 許可されていないソフトウェアをユーザーに通知する
許可されていないソフトウェアをコンピューターから削除します - C. 許可されていないソフトウェアの使用を被監査者の管理者に報告する
正解:A
質問 # 500
ITポートフォリオ管理のレビューを行う際に最も重要な考慮事項は次のうちどれですか?
- A. ビジネスがITポートフォリオについて話し合う会議の頻度
- B. リスクを最小化し、ITポートフォリオの価値を最大化するためのコントロール
- C. ベストプラクティスと業界で承認された方法論の順守
- D. 各プロジェクトの責任をITチームメンバーに割り当てる
正解:B
解説:
Explanation
Controls to minimize risk and maximize value for the IT portfolio should be the most important consideration when conducting a review of IT portfolio management, because they ensure that the IT portfolio aligns with the business strategy, objectives, and priorities, and that the IT investments deliver optimal benefits and outcomes. Assignment of responsibility for each project to an IT team member, adherence to best practice and industry approved methodologies, and frequency of meetings where the business discusses the IT portfolio are also relevant aspects of IT portfolio management, but they are not as important as controls to minimize risk and maximize value. References: CISA Review Manual (Digital Version), Chapter 1, Section 1.2.3
質問 # 501
組織におけるシャドー IT の根本原因として最も可能性が高いのは次のどれですか?
- A. 技術投資の承認に時間がかかる
- B. ソフトウェアライセンス料を削減する機会
- C. 承認されたソフトウェアがユーザーの要件を満たしていない
- D. クラウドベースのアプリケーションとサービスの使いやすさ
正解:C
解説:
Shadow IT often arises when approved software does not meet user requirements (Option D), leading employees to seek alternative solutions.
ISACA CISA Reference: IT governance frameworks stress the need for user-centric IT policies to mitigate shadow IT risks.
Risk Implication: Shadow IT introduces security vulnerabilities, compliance risks, and potential data breaches.
質問 # 502
組織のネットワークセキュリティ手順と制御の有効性を評価するときに、最初に確認する必要があるのは次のうちどれですか?
- A. 承認されたデバイスのインベントリ
- B. マルウェア防御
- C. 脆弱性の修正
- D. データ回復機能
正解:A
質問 # 503
IS 監査人は、アプリケーションの監査証跡が次の状態であることを確認する必要があります。
- A. 十分なセキュリティを備えています。
- B. すべてのデータベース レコードを記録します。
- C. 運用効率に影響を与えない
- D. オンラインでアクセス可能
正解:A
解説:
An application's audit trail is a record of all actions or events that occur within or affect an application, such as user activities, system operations, data changes, errors, exceptions, etc. An audit trail can provide evidence and accountability for an application's functionality and performance, and support auditing, monitoring, troubleshooting, and investigation purposes. An IS auditor should ensure that an application's audit trail has adequate security, which means that it is protected from unauthorized access, modification, deletion, or disclosure. Adequate security can help ensure that an audit trail maintains its integrity, reliability, and availability, and prevents tampering or manipulation by attackers or insiders who want to hide their tracks or evidence of their actions. Logs all database records is a possible feature of an application's audit trail, but it is not the most important thing for an IS auditor to ensure, as logging all database records may not be necessary or feasible for some applications, and may generate excessive or irrelevant data that can affect the storage or analysis of the audit trail. Is accessible online is a possible feature of an application's audit trail, but it is not the most important thing for an IS auditor to ensure, as online accessibility may not be required or desirable for some applications, and may introduce security or privacy risks for the audit trail. Does not impact operational efficiency is a desirable outcome of an application's audit trail, but it is not the most important thing for an IS auditor to ensure, as operational efficiency may not be the primary objective or concern of an application's audit trail, and may depend on other factors or trade-offs such as storage capacity, performance speed, or data quality.
質問 # 504
外部レビュー中に、情報システム監査人は、組織内のシステムの重要度を分類する際の一貫性のないアプローチを観察します。システムの重要度を判断するための主要な要素として、次のうちどれを推奨する必要がありますか?
- A. 最大許容ダウンタイム(MAD)
- B. 目標復旧時点(RPO)
- C. 主要業績評価指標(KPI)
- D. 平均修復時間(MTTR)
正解:A
解説:
Explanation
The primary factor to determine system criticality within an organization is the maximum allowable downtime (MAD). MAD is the maximum time frame during which recovery must become effective before an outage compromises the ability of an organization to achieve its business objectives and/or survival. MAD reflects the business impact of a system outage on the organization's operations, reputation, compliance, and finances.
MAD can help to prioritize system recovery efforts, allocate resources, and establish recovery objectives.
質問 # 505
Web ベースの取引を実装する計画がある組織の場合、組織の情報セキュリティ計画に次の内容が含まれていることを IS 監査人が確認することが最も重要です。
- A. 実装前のセキュリティトレーニング。
- B. 新しいアプリケーションのセキュリティ要件。
- C. システム パスワードの属性。
- D. Web サーバーのファイアウォール構成。
正解:B
解説:
For an organization that has plans to implement web-based trading, it would be most important for an IS auditor to verify that the organization's information security plan includes security requirements for the new application. Security requirements are statements that define what security features and functions are needed to protect the confidentiality, integrity, and availability of the web-based trading application and its data.
Security requirements should be identified and documented during the planning phase of the application development life cycle, before any design or coding activities take place. Attributes for system passwords, security training prior to implementation, and firewall configuration for the web server are also important aspects of information security, but they are not as essential as security requirements for ensuring that the web- based trading application meets its security objectives.
質問 # 506
ネットワークの脆弱性の外部評価中に検証することが最も重要なことは何ですか?
- A. ネットワーク資産インベントリの完全性
- B. セキュリティ情報イベント管理(SIEM)ルールの更新
- C. 侵入検知システム(IDS)の場所
- D. ネットワークセキュリティポリシーの定期的なレビュー
正解:A
質問 # 507
IS 監査人は、組織のソフトウェア開発ライフサイクル ポリシー内の欠陥を特定しました。
次に行うべきことはどれですか?
- A. 状況を主任監査人にエスカレートします。
- B. 観察結果を監査対象者に伝えます。
- C. 監査レポートに調査結果を文書化します。
- D. ポリシーを承認したユーザーを特定します。
正解:B
解説:
An IS auditor has identified deficiencies within the organization's software development life cycle (SDLC) policies. The SDLC is the process of planning, developing, testing, and deploying software applications1. SDLC policies are the guidelines and standards that govern the SDLC process and ensure its quality, security, and compliance2. Deficiencies in SDLC policies can lead to various risks, such as:
Software errors, bugs, or vulnerabilities that can affect the functionality, reliability, or security of the applications3 Software failures, delays, or overruns that can affect the delivery, performance, or customer satisfaction of the applications3 Software non-compliance that can result in legal, regulatory, or contractual violations or penalties3 The next step that the IS auditor should do after identifying deficiencies in SDLC policies is to communicate the observation to the auditee. The auditee is the person or entity that is subject to the audit and is responsible for the area being audited4. In this case, the auditee could be the software development manager, the project manager, or the senior management of the organization. Communicating the observation to the auditee is important for several reasons:
It allows the IS auditor to verify the accuracy and validity of the observation and gather additional evidence or information from the auditee4 It gives the auditee an opportunity to respond to the observation and provide their perspective, explanation, or justification for the deficiencies4 It enables the IS auditor to discuss with the auditee the potential impact, root cause, and remediation plan for the deficiencies4 It fosters a collaborative and constructive relationship between the IS auditor and the auditee and promotes transparency and accountability in the audit process4 The other options are not as appropriate as communicating the observation to the auditee. Documenting the findings in the audit report is a later step that should be done after communicating with the auditee and finalizing the observation. Identifying who approved the policies is not relevant for addressing the deficiencies and may imply blame or fault on a specific person or group. Escalating the situation to the lead auditor is not necessary unless there is a serious disagreement or conflict with the auditee that cannot be resolved by normal communication. Therefore, option D is the correct answer.
References:
What Is The Software Development Life Cycle? | PagerDuty
Software Development Life Cycle (SDLC) Policy | StrongDM
What Is SDLC? Best Phases, Methodologies, and Benefits Revealed - Kellton Communicating Audit Findings
質問 # 508
監査計画中に、情報システム監査マネージャーは、ビジネス側からリスクが低いとみなされるエンティティの監査に予算を割くかどうかを検討しています。この状況で最善の行動方針は次のどれですか?
- A. リスク評価に異議を唱え、低リスクのエンティティを計画に含めます。
- B. 低リスクの監査を外部監査サービスプロバイダーに委託します。
- C. 低リスクの事業体に対して限定範囲の監査を実施します。
- D. 低リスクのエンティティ評価を検証し、専門的な判断を適用します。
正解:D
解説:
Audit planning is the process of developing an overall strategy and approach for conducting an audit. Audit planning involves identifying the objectives, scope, criteria, and methodology of the audit, as well as the resources, schedule, and reporting requirements. Audit planning also involves performing a risk assessment to identify and prioritize the areas of highest risk and significance for the audit1.
Risk assessment is a systematic process of evaluating the potential risks that may be involved in a projected activity or undertaking. Risk assessment involves identifying the sources and causes of risk, analyzing the likelihood and impact of risk, and determining the level of risk and the appropriate response2.
During audit planning, the IS audit manager is considering whether to budget for audits of entities regarded by the business as having low risk. The best course of action in this situation is C. Validate the low-risk entity ratings and apply professional judgment.
This is because validating the low-risk entity ratings can help to ensure that the risk assessment is accurate, reliable, and consistent with the business objectives and expectations. Validating the low-risk entity ratings can also help to identify any changes or developments that may affect the risk profile of the entities since the last assessment. Applying professional judgment can help to determine whether the low-risk entities should be included or excluded from the audit plan, based on factors such as materiality, relevance, significance, and assurance needs3.
質問 # 509
組織のバックアッププロセスの監査を実施する情報システム監査人にとって、最も懸念すべきことは次のうちどれですか。
- A. サービスレベルが達成されていません
- B. 書面によるバックアップポリシーは使用できません
- C. 接続の問題により、復元プロセスが遅くなります。
- D. バックアップの失敗はタイムリーに解決されません。
正解:B
質問 # 510
次のうちどれが職務の分離が不十分であることを反映していますか?
- A. サーバーの保守と構成を行う同じ従業員が、ネットワークイベントログも監視します。
- B. データベースの構築と監視を行う同じ従業員が、サーバーの保守と構成も行います。
- C. サーバーを保守、構成、およびバックアップする同じ従業員がバッチジョブも実行します。
- D. サーバーの保守と構成を行う同じ従業員が、アプリケーションソフトウェアも開発しています。
正解:B
質問 # 511
次のうち、組織におけるその役割の最も包括的な説明を提供するのはどれですか?
- A. IT職務記述書
- B. IT憲章
- C. ITプロジェクトポートフォリオ
- D. IT組織図
正解:C
質問 # 512
サードパーティの IT サービス プロバイダーが組織の人事 (HR) システムを外国でホストしていることを発見した場合、情報システム監査人の最善の推奨事項は何ですか?
- A. 変更管理レビューを実装します。
- B. バックグラウンド検証チェックを実行します。
- C. サードパーティの監査レポートを確認します。
- D. プライバシーへの影響分析を実施します。
正解:D
質問 # 513
容量計画に関連する次のプラクティスのうち、既存のサーバーのパフォーマンスに関連する将来のインシデントを防止できるという最大の保証を提供するものはどれですか?
- A. シミュレーションされた高需要ストレステストシナリオの結果を確認する
- B. 現在のサービスレベル契約(SLA)は変更されないと予想されます
- C. 過去のパフォーマンスインシデントの根本原因分析を実行する
- D. 既存のディスクドライブシステムを複製して冗長性とデータストレージを向上させる
正解:A
質問 # 514
スマートデバイスの使用によるデータ漏洩を防ぐためにセキュリティガイドラインを強化するための情報システム監査人の最善の推奨事項は何ですか?
- A. セキュリティ手順を正式に承認するよう従業員に要求します。
- B. セキュリティ手順にスマートデバイスの使用制限を含めます。
- C. スマートデバイスに強力なセキュリティ設定を適用します。
- D. 組織の機密データへのアクセスログをタイムリーに確認します。
正解:C
質問 # 515
多くのデスクトップPCを使用している組織は、シンクライアントアーキテクチャへの移行を検討しています。次のうちどれが主な利点ですか?
- A. クライアントに管理セキュリティを提供できます。
- B. デスクトップアプリケーションソフトウェアをアップグレードする必要はありません。
- C. システム管理をより適切に管理できます
- D. デスクトップPCのセキュリティが強化されています。
正解:B
解説:
Explanation
The major advantage of moving from many desktop PCs to a thin client architecture is that desktop application software will never have to be upgraded. A thin client architecture is a type of client-server architecture that uses lightweight or minimal devices (thin clients) as clients that connect to a central server that provides most of the processing and storage functions. A thin client architecture can offer several benefits over a traditional desktop PC architecture, such as lower cost, higher security, easier maintenance, etc. One of these benefits is that desktop application software will never have to be upgraded on thin clients, as all the applications are installed and updated on the server, and accessed by thin clients through a network connection. This can save time and money for installing and upgrading software on individual devices, and ensure consistency and compatibility among different devices. The security of the desktop PC is enhanced is a possible advantage of moving from many desktop PCs to a thin client architecture, but it is not the major one.
A thin client architecture can enhance the security of desktop PCs by reducing the exposure or vulnerability of data and applications on individual devices, and centralizing the security management and control on the server. However, this advantage may depend on other factors such as network security, server security, user authentication, etc. Administrative security can be provided for the client is a possible advantage of moving from many desktop PCs to a thin client architecture, but it is not the major one. A thin client architecture can provide administrative security for clients by allowing administrators to configure and manage client devices remotely from the server, and enforce policies and restrictions on client access or usage. However, this advantage may depend on other factors such as network reliability, server availability, user compliance, etc.
System administration can be better managed is a possible advantage of moving from many desktop PCs to a thin client architecture, but it is not the major one. A thin client architecture can improve system administration by simplifying and streamlining the tasks and activities involved in maintaining and supporting client devices, such as backup, recovery, troubleshooting, etc., and consolidating them on the server. However, this advantage may depend on other factors such as network bandwidth, server capacity, user satisfaction
質問 # 516
次のうち、予防的統制が検出的および是正的統制に置き換えられたことを知った場合の情報監査人の最善の行動方針はどれですか?
- A. 改訂されたコントロールが関連するビジネスプロセスの効率を高めることを確認します。
- B. 他のコントロールに加えて予防コントロールの実装を推奨します。
- C. 新しいコントロールがリスクを許容可能なレベルで管理しているかどうかを評価します。
- D. リスクレベルが上昇したため、問題を経営陣に報告してください。
正解:C
質問 # 517
次のアクティビティのうち、生産のピーク時に実行すると予期しないダウンタイムが発生する可能性が最も高いのはどれですか?
- A. アプリケーションを開発からステージング環境にプロモートする
- B. データ移行またはテープバックアップの実行
- C. データセンターのコアスイッチの故障した電源装置を交換する
- D. 電気システムの予防保守の実行
正解:C
質問 # 518
情報資産を保護するために、最初に行うべきことは次のうちどれですか。
- A. データを分類します。
- B. データを暗号化します。
- C. データをバックアップします。
- D. データへのアクセスを制限します。
正解:A
質問 # 519
サードパーティの IT サービス プロバイダーが組織の人事 (HR) システムを海外でホストしていることがわかった場合、情報システム監査人の最善の推奨事項は何でしょうか。
- A. 変更管理レビューを実装します。
- B. プライバシー影響分析を実施します。
- C. サードパーティの監査レポートを確認します。
- D. 背景検証チェックを実行します。
正解:B
質問 # 520
......
ISACA CISA日本語問題集で一発合格を目指すならこれ!:https://jp.fast2test.com/CISA-JPN-premium-file.html