CISSPドメインガイドブック2017年11月01日版

(ISC)2で公開されていたドメインガイドブック20171101版 の問題と回答。

公式回答は出ていないので本当に内容が正しいか保証はしかねます。

自己責任で活用をお願いします。

• 問い合わせはTwitter@yuki476 までどうぞ

---

1. インシデントレスポンスの最も重要な目的は次のうちどれか？
   • A. 犯人逮捕
   • B. 情報漏えいの阻止
   • C. ポリシー違反の発見
   • D. 被害の最小化

Ans. D 被害の最小化

インシデントレスポンスのシーケンスを覚えておくこと。
知らなくても"経済的合理性"を意識すれば分かりやすい。
金銭的被害を最小限に抑える為に最初にすべき行動を選ぶ。
Bも大事だが、Dのほうがより包括的。
インシデントは情報漏えい以外もある。

2. コンピュータインシデント下におけるフォレンジック手順で最初に取るべき行動は次のうちどれか？

   • A. メモリ情報の取得
   • B. システムの緊急停止
   • C. 記憶装置の複製
   • D. 事故現場の確保

Ans. A メモリ情報の取得

インシデントレスポンスのシーケンスを覚えておくこと。
Dの"事故現場の確保"は重要だが、その中でも特に揮発性の高い
"メモリ情報の取得"が重要。

3. BCP/DRPを策定する前にしておくべきことは何か？

   • A. 予算の配分
   • B. SLAの見直し
   • C. 自組織の事業の分析
   • D. バックアップシステムのアップデート

Ans. C 自組織の事業の分析

BCP/DRPに求められる最も重要な目的は"ビジネス機能の継続"。
会社のビジネス継続に支障を与えるクリティカルな要素が
明確になっていないと適切な計画は立案できない。
BCP/DRPに限らないが、大まかに"分析→評価→決定→文章化→実装"の
流れはどの分野でも重要になるシーケンス。

4. BCP/DRPに関する分析では、どんな要素に焦点をおくべきか？

   • A. 情報システムの完全生
   • B. 情報システムの可用性
   • C. ビジネス機能の有効性
   • D. ビジネス機能の可用性

Ans. D ビジネス機能の可用性

"情報システム"は"会社の機能を効率化する"ために存在する。
重要なのはシステムではなく、それによって成り立つ機能の方。
セキュリティの三要素を覚えてれば、有効性は除外できる。

• Confidentiality：機密性
• Integirity ：完全性
• Availability：可用性
  もっとも重視されるのは可用性。
  なぜか？システムは"効率化"するためのもので動いてないと効率落ちる
  ＝経済的合理性が失われる

5. 復旧(Recovery)計画では、何に焦点をおくべきか？

   • A. 通常活動の再開
   • B. クリティカル機能の再開
   • C. クリティカルな資産の保護
   • D. 代替サイトへの移行

Ans. B クリティカル機能の再開

BCPはビジネス機能の継続が目的。
そのために重要な機能から早急に復旧させる必要がある。
復旧段階なのですでに被害は出ており保護の段階ではない。
通常活動の再開も重要だが、最終段階で"焦点をおく"のは
ビジネス機能の復帰なので違う。
"代替サイトへの移行"も正しいかもしれないが、手段のうちの一つで
目的はBである

6. BCP/DRPに関するテストではどんな要素に焦点をおくべきか？

   • A. 基準への準拠性
   • B. 業務の効率化
   • C. 計画の有効性
   • D. 情報システムの可用性

Ans. C 計画の有効性

訓練は"本当に効果があるのか"を確認するためにやるもの。
基準に準拠しているか見ることは無意味。
基準は"ビジネスの継続性"を確保するために策定されるもので
それ自体が重要なものではない。履き違えないこと。
システムの可用性も重要だが、なぜ重要なのかを見失わないこと。

7. 以下の出入り口に関する物理的保護のうち、最も重要となる要素はどれか？

   • A. 緊急時の非常口の確保
   • B. 警備員の配置
   • C. 耐火性に優れた素材の使用
   • D. 入退出記録が自動的に収集できる仕組み

Ans. A 緊急時の非常口の確保

人命第一。
Dも大事だが人命より優先すべきものは無い。
B,Cが無いことよりも非常口が無い方が重大な欠陥
CISSPは物理セキュリティも範囲にあるので覚えておきましょう。

8. 物理セキュリティの目標として、一番関連性が低いのは次のうちどれか？

   • A. 遅延
   • B. 検知
   • C. 分割
   • D. 判断

Ans. D 判断

物理A~Cは物理セキュリティの役割であるが判断は物理の範囲外。
例）
A：防火壁による延焼防止、鍵による侵入者に対する時間稼ぎ
B：赤外線センサ、火災検知器
C：重要区画の隔離、入り口の制限

9. 防犯環境の観点から最も効果が高いものは、次のうちのどれか？

   • A. 出入り口を目立たないようにする
   • B. フェンスで囲う
   • C. 窓に強化ガラスを使用する
   • D. 無停電電源装置(UPS)の設置

Ans. B フェンスで囲う

出入り口を目立たせなくするのは侵入者にも都合が良い。
入り口はなるべく一箇所で見通しが良くしておく。
窓は、壁やドアに比べて脆弱で高セキュリティ区画にはそもそも作るべきではない。
UPSはそもそも防犯に関係するものではない。

10. 火災を検知したときに、最初に取るべき措置は次のうちどれか？

    • A. 従業員に避難を勧告する
    • B. 火災抑止システムを起動する
    • C. 災害復旧担当者に知らせる
    • D. 防火扉の解除を起動する

Ans. A 従業員に避難を勧告する

人命第一。
"経済的合理性"に絡めた考え方をあえてするなら
"死者が出ると損害賠償やニュースになり損害が発生する。
そのため人的被害は発生しない状況にするべき" となる。

11. 検出できない不正行為が発生しないように、責任の分担を推奨している原則はつぎのうちどれか？

    • A. 職務の分離
    • B. 相互排除
    • C. 知る必要性
    • D. 最小特権

Ans. A 職務の分離

責任＝誰が何をやるか明確にすることで決まる → つまり職務
相互排除は責任に関係するものではなく、データ制御の方法。排他制御の別名。
知る必要性は職務に基づいて判断される情報参照の妥当性を判断するためのもの。
最小特権は職務に基づいて付与されるもので、職務分離の後の段階で実装されるもの。

12. 運用セキュリティの検知的制御で例外が発生したとき、何が考えられるか？

    • A. 誰かが印刷された機密レポートを不正に見ている
    • B. 誰かが秘密レポートを不正に廃棄している
    • C. 認可されたオペレータが、認可されていない作業を行っている。
    • D. 認可されたオペレータが、重要なコンソールのメッセージに対処してない。

Ans. A 誰かが印刷された機密レポートを不正に見ている

正直この問題は答えがわかりません。答えにあまり自信なし
"運用段階の検知制御で例外が発生"の意味をどう捉えるか。英語を参照したい問題。

物理データはアカンタビリィを確保できないため
"データはすべて電子化して管理下に置く"という考え方がCISSPにはある。
それを考慮して"検知制御に例外（引っかからない）が発生"を考えると
Aになる。
B、Cは電子データなら証跡が残せるので後からでも検知はできる。
Dもメッセージが発生した証拠は残る。

13. 構成管理は、コンピュータシステムに加えられる全ての変更が、特定可能で管理できる環境で行われるようにすると同時に、以下のどれを保証しているか？

    • A. アプリケーションソフトウェアへの変更は、システムのセキュリティ機能をバイパスしないようにする。
    • B. 変更がセキュリティポリシーに悪影響を及ぼさないようにする。
    • C. オペレーティング・システムへの変更は第三者の妥当性確認と検証を前提としている
    • D. 技術文章内の変更は、高信頼コンピュータ基盤を正確に保っている

Ans. B 変更がセキュリティポリシーに悪影響を及ぼさないようにする。

Aはメンテナンスフック（バックドア）を無効化するのでありだが、
構成管理でやるべきことかと言われると違う気がする。
Cも大事だが、いちいち第三者の検証まで前提とするのは行き過ぎ？
D、文章変更して高信頼になったら苦労はしない。
と、消去法でBを選択。

14. クリッピングレベルは違反行為の追跡と分析にどのように役立つか？

    • A. クリッピングレベルは、通常のユーザエラーの基準を設定し、その閾値を超える違反行為は記録され、違法行為が発生した理由の分析に使われる。
    • B. クリッピングレベルを使用すると、セキュリティ管理者は監査証跡を変更して、セキュリティに関係しているとみなされる違反行為のみを記録することができる。
    • C. クリッピングレベルを使用すると、セキュリティ管理者は監査証跡を変更して、特権ステータスで利用者コードにアクセスしたユーザの活動のみを記録することができる。
    • D. クリッピングレベルを使用すると、セキュリティ管理者は違反行為を受けたユーザコードに対して設定されたすべてのセキュリティレベルの減少を見ることができる。

Ans. A しきい値を超える行為は記録され、違反行為が発生した理由の分析に使われる。

クリッピング＝切り出し。
"監査証跡を変更"はありえない。ログの真正性はRawで保証されるためB,Cは除外。
フォレンジックやログを証拠として扱う為に必要な知識はしっかり覚えておくこと。
クリッピングが何か知っていればDは違うことが分かるはず。

15. 効果的なアクセス制御を実施するために最も必要なものは、次のうちどれか？

    • A. 参照モニタ
    • B. 資産の分類
    • C. 適切なアクセス制御リストを設計する技術
    • D. 幅広い製品の知識

Ans. B 資産の分類

幅広い製品を知っていても、適切なACLを設計できても
正しい適用ができなければ効果を発揮しない。
そのためにはきちんと分析した上で"資産の分類"を行い
分類毎に適切な対策を施さなければならない。
参照（リファレンス）モニタはアクセス制御の技術の一つ。
XSSやオーバーフロー等を防ぐ為に、入力データを渡す前にチェックする機構。

16. 銀行のATMでは数字4桁を暗証番号として利用している。セキュリティの観点から最も適切に説明しているのはどれか？

    • A. 現在、認証方法や生体認証に切り替える活動を行っている。
    • B. 誕生日などを使わず、鍵空間を広く取ることでセキュリティを確保している
    • C. キャッシュカードとの併用に寄りセキュリティを確保している
    • D. 提供されるセキュリティは不十分なまま使われ続けている

Ans. D 提供されるセキュリティは不十分なまま使われ続けている

書いてある事実に基づき判断すること。
普通に考えたら数字四桁だけは無いが、問題文に他の対策は一切言及されていない。

17. 従業員が不正アクセスをしたことを特定するために必要なものは、次のうちどれか？

    • A. 当事者の犯罪歴
    • B. ログの取得
    • C. 他の社員による目撃証言
    • D. 当事者の業務報告

Ans. B ログの取得

フォレンジックとe-Discoveryの裁判に絡むログの扱いは必ず覚えておくこと。
ロカールの交換原理、電子データの伝聞証拠に関する扱いなども重要。
管理者が保証した生ログと、そこから派生した完璧な説明責任を持つ情報のみが
証拠として成立する。

18. セキュアであると信頼できるシステムは、次のうちのどれか。

    • A. システムの開発者が安全性を正確に説明できるもの
    • B. 組織の中で長い時間使われ続けたもの
    • C. 攻撃の対象にならないマイナーなもの
    • D. ペネトレーションテストの結果、欠陥や不備がなかったもの

Ans. A システムの開発者が安全性を正確に説明できるもの

B,Cは論外なのはすぐ判断可能。
Dが正解に見えるが、ペネトレーションテストは使うツールや、実装されているPlugin
により診断できる脆弱性が限られるので絶対ではない。
"開発者が安全性を正確に説明できる"のはセキュリティの
国際規格コモンクライテリアのSTが用意されていると考えられる。

19. サーバを攻撃されにくくするために、最も効果的な方法は次のうちのどれか？

    • A. OSの種類やバージョンを返さないようにする。
    • B. ワンタイムパスワードを利用する
    • C. ログの削除を行う
    • D. 脆弱性の分析を行う

Ans. A OSの種類やバージョンを返さないようにする。

まず、ログの削除は真っ先に除外できる。アカウンタビリティ確保のために
ログは絶対に必要なものなので削除は慎重に行うべきもの。脆弱性の分析も
大事だが、防御策の実装というより防御策を決めるためにやるためのもの。
AとBで考えると、Aの方がより"サーバ"に実装する対策として適切。
ペネトレーションテストの流れを考慮するとAは"偵察"の段階で
取れる対策であることが分かる。

20. 法体系と第一次法源の組み合わせが適切なものは、次のうちのどれか？

    • A. コモンロー：神が創ったとされる法典
    • B. シビルロー：有識者が作成した法典
    • C. 慣習法：宗教体系に基づく法典
    • D. 混合法：法典と過去の判例を混ぜたもの

Ans. D 混合法：法典と過去の判例を混ぜたもの

これは学生のときに真面目に勉強してたら分かるのでは。
覚えて無くても日本でも判例が重視されるのを知ってれば分かるはず。

21. 数年以上にわたる長期計画において、セキュリティ計画上で最も必要なものは、次のうちのどれか？

    • A. コーポレート・ガバナンス
    • B. セキュリティポリシー
    • C. エンタープライズ・アーキテクチャ
    • D.システム・セキュリティアーキテクチャ

Ans. A コーポレート・ガバナンス

答えにあまり自信なし
C、Dは重要だが、その2つが何に基づき決定されるかを考えるとAかBとなる。
"数年以上にわたる長期"となっているので、コーポレート・ガバナンスを選択した。
ただ、セキュリティポリシーが正解な気もする。
判断が難しい。

22. OSの機能で確実に保護しなければならない要素は、次のうちどれか。

    • A. コンピュータへのウイルス感染
    • B. メモリ内の情報漏えい
    • C. アプリケーションにおけるバッファオーバーフロー
    • D. 高可用性のハードディスク

Ans. B メモリ内の情報漏えい

ウイルスも千差万別なのでリスク度合いはものによる。
アプリケーションにおけるバッファオーバーフローは可用性に影響が出るので
正解に見えるが、Bの”メモリ内の情報”の方が、OSで扱うありとあらゆるデータが
格納されているため影響度が大きい。
どっちが保護しなければならないかとなるとBの方。

暗号化されていないビットがどこにあるか意識しておくこと。
コンピュータの基本アーキテクチャに関する知識と理解が必要。

23. セキュアなコンピューティングシステムで使用される論理的な分離を説明しているのは、次のうちのどれか。

    • A.プロセスは入力装置と出力装置に異なるレベルのセキュリティを使用する。
    • B. 各プロセスは許可されたドメイン外のオブジェクトにアクセスできないように制約されている。
    • C. 各プロセスは外部プロセスによるアクセスを禁止するために、データと計算処理を隠す。
    • D. プロセスは制御されているオブジェクトの粒度に基づき、アクセスを許可される。

Ans. B ドメイン外のオブジェクトにアクセスできないように制約されている

カーネルとかTCBとかの概念を知っていればすぐ分かるはず。

24. 導入を検討しているシステムのセキュリティについて信頼性が高いと判断するには、次のうちのどの要素が必要か？

    • A. システムの開発者が信頼性の高さを文章にまとめたもの
    • B. 世界中で最も多く使われたシステムであること
    • C. 組織のセキュリティポリシーに準拠していること
    • D. 共通の基準に基づく監査により保証されてること

Ans. D 共通の基準に基づく監査により保証されていること

Bは論外。Cはポリシーが適切とは限らないので除外。
No.18と同じ考えでAに行きそうだが、コモンクライテリア(CC)は
共通の基準に基づき監査するために策定されているもので、設問にある
"導入を検討している"段階で参考になる国際規格となる。
したがって、Dの方が適切。

25. 暗号の実装に関して最も注意すべき点は、次のうちのどれか？

    • A. AICのすべてを提供すること
    • B. アルゴリズムが公開されていない暗号を選択すること
    • C. 広い鍵空間を利用するものを提供すること
    • D. 最も長い鍵長を利用できるものを提供すること

Ans. C 広い鍵空間を利用するものを提供すること

暗号化はAIC全てはカバーできない。
”隠蔽によるセキュリティ (security through obscurity) ”は代表的なダメな手段。
Dを選びそうになるが、暗号化は強力なほど計算時間が必要になる＝効率が落ちる。
大前提の経済的合理性を見失わないように。セキュリティは最適化。
無闇に強固するのはCISSPの考え方ではない。
鍵空間が広いということは、それだけ利用できる強度が選べるということ。

26. ネットワークを構築する際に、最も優先されるべき事項は次のうちのどれか？

    • A. 複数のファイヤーウォールを選択する
    • B. 単一障害点を少なくする
    • C. 高いスループット
    • D. 暗号化の実装

Ans. B 単一障害点を少なくする

NWは単一障害点になりやすいのを覚えていればすぐ分かる。
分からなくても、消去法で潰せる。
高いスループットも暗号化も複数FWも最適化の視点で考えると
最優先で取る手段ではない。

27. ネットワークを分割（ゾーニング）する主な理由は次のうちのどれか？

    • A. ネットワークアクセス制御を実装するため
    • B. 情報資産を分類するため
    • C. 異なるネットワークトポロジを接続するため
    • D. ビジネスユニットとしてまとめるため

Ans. A ネットワークアクセス制御を実装するため

情報資産を分類した上で、どのような制御を実装するかによりNWを分割するので
Bの"分類する"のが理由にはならない。
これが”情報資産の分類毎にアクセス制御を実装するため”なら正解。
C、異なるネットワークトポロジを接続しなくてもNWはゾーニングするべき。
D、ビジネスユニットとしてまとめる需要もあるだろうがゾーニングの
主な理由とは言い難い。

28. ルーティングプロトコルの主要な役割は次のうちのどれか？

    • A. 運用負荷を軽減する
    • B. ネットワーク機器をグループ化する
    • C. ネットワーク障害を回避する
    • D. パフォーマンスを向上させる

Ans. A 運用負荷を軽減する

スタティックで全部ルート書くとかドMすぎる（） Cも正解な気がするが、CIAの三要素で一番重要なのは可用性。
経済的合理性の大前提を忘れずに。効率化こそ正義

29. 共通鍵暗号AESと公開鍵暗号RSAは必ず解読できる。その理由は次のうちのどれか？

    • A. 解読はできない
    • B. 人類の技術は今後大きく進歩するから
    • C. すでに解読方法は見つかっているから
    • D. 暗号化は時間稼ぎに過ぎないから

Ans. D 暗号化は時間稼ぎに過ぎないから

暗号化の"ワークアラウンド"の概念は覚えておきましょう。

30. 信頼性をもって安全と言える暗号とは、次のうちのどれか？

    • A. 暗号アルゴリズムの作者が、安全な理由を公表したもの
    • B. 暗号解読の結果、解けなかったもの
    • C. 暗号アルゴリズムの利用者が、安全な理由を公表したもの
    • D. 法で定められた期間、事故が起きなかったもの

Ans. C 暗号アルゴリズムの利用者が、安全な理由を公表したもの

第三者の監査が最も信頼性が高い。
No.18、No.24と考え方は似ている。
作者が公表した理由は見落としがあるかもしれないのでCの方が正解。

31. デジタル署名だけを利用した場合の、最大の問題点は次のうちのどれか？

    • A. デジタル署名から秘密鍵を推測される
    • B. 選択暗号文攻撃に弱い
    • C. 処理に時間が掛かるため可用性に大きく影響する
    • D. デジタル署名の送り手が本人かどうか分からない

Ans. D デジタル署名の送り手が本人かどうか分からない

デジタル署名は認証局が保証することで電子的な証明書として確立する。 認証局が無い場合を言っていると判断してD。 Aが出来たら使われてないはず。Cは当たってるが、最大の問題点ではない気がする。 Bは選択暗号文攻撃が可能な状態が問題で、デジタル署名以前の問題な気がする。 という形で消去法で導くのもあり。

32. 情報を分離し、特定の保護手段をとる最終的な責任は誰にあるか？

    • A. セキュリティ管理者
    • B. 経営陣
    • C. データオーナー
    • D. データ管理者

Ans. A セキュリティ管理者

"特定の保護手段をとる"とあるので管理者が適切。
問題とはあまり関係ないが、データオーナーの特権もきちんと
決められているので覚えておくこと。

33. Due Careの説明として、適切なものは次のうちのどれか？

    • A. 競合会社よりも高いレベルのセキュリティを維持すること
    • B. AIC三要素をバランスよく向上させること
    • C. 他者が同じ立場に立ったときに行うと考えられる行動をとること
    • D. 組織としてのベストプラクティスを常に選択すること

Ans. C 他者が同じ立場に立ったときに行うと考えられる行動をとること。

Due CareとDue Diligenceをどちらも重要な概念なので覚えておくこと。

34. セキュリティ計画を作成する組織が最初に行うことは、次のうちのどれか？

    • A. 組織の目標と目的の理解
    • B. 組織の情報資産の洗い出し
    • C. 組織の既存のセキュリティ対策の確認
    • D. 組織が準拠しなければならない法律の理解

Ans. B 組織の情報資産の洗い出し

保護対象の洗い出しを真っ先に行うべき。
"分析→評価→決定→文章化→実装"の流れは常に意識しておくと良い。
Aも引っかかるが計画の前提として組織の目標・目的が必要になるので多分Bの方。

35. 特定のリスク軽減コントロールを実施すべきかどうかを最も明確に示すことができる手法は次のうちのどれか？

    • A. 脅威および脆弱性の分析
    • B. リスク評価
    • C. 年次損失予測（ALE）の計算
    • D. 対策の費用対効果分析

Ans. D 対策の費用対効果分析

大前提の"経済的合理性"を忘れずに。儲からないならやらない。
費用対効果が大きければやる。

36. セキュリティ意識向上プログラムの一つの目的は、何を修正することであるか？

    • A. 従業員の態度とアプローチ
    • B. 経営陣のアプローチ
    • C. 機密データを所持する従業員の態度
    • D. データ保護に関する企業の態度

Ans. A 従業員の態度とアプローチ

教育はDue Careを促すためのもの。
意識向上プログラムはメンバ全員が受講するものなので
特定メンバに限定する話ではない。これがトレーニングとか言葉になると変わってくる。
トレーニング：特定分野に関する処理や手続きのための教育

37. システム開発ライフサイクル(SDLC)において、最初の段階からセキュリティ活動が必要とされるのはなぜか？

    • A. セキュリティ活動の必要性を特定するため
    • B. 要件定義を有効にするため
    • C. 正確な実装をするため
    • D. SDLCを効率的、効果的にするため

Ans. B 要件定義を有効にするため CISSPではセキュリティは機能要件
セキュリティが考慮されていない要件定義は意味がない。
→ 一番最初に処理を洗い出して機能として実装するのが一番安いから

38. ソフトウェアの変更管理が、厳格なプロセスで実施されるべき理由は何か？

    • A. 変更の効果の最大化
    • B. 変更の効果の保証
    • C. 変更による影響の緩和
    • D. 変更管理プロセスの確率

Ans. C 変更による影響の緩和

無作為な変更による影響をコントロールできる状態にするのが変更管理。
どの分野にでも言えるが、アン・コントローラブルにならないように
きちんと把握して制御下に置くのがセキュリティのあるべき姿となる。

39. DBMSにおけるセキュリティのテストは、どのような目的で実施されるべきか？

    • A. デッドロックの回避
    • B. アクセスコントロールの評価
    • C. トランザクションの記録
    • D. 変更管理の評価

Ans. A デッドロックの回避 A~Cどれも大事だが、AIC三要素の中で一番大事なのは可用性。 この中で可用性を侵害するのはデッドロック。 変更管理の評価はDBMSに限らない。

40. Webアプリケーションが攻撃のターゲットとされやすい理由は、次のうちのどれか？

    • A. 攻撃が比較的用意である
    • B. 痕跡が全く残らない
    • C. ファイアウォールやIDSを回避できる
    • D. 脆弱性の解決手段がない

Ans. A 攻撃が比較的用意である。
最近の傾向として情報を調べてればすぐ分かる選択肢。
FWやACL等で守られた部分より表に出ており、とりあえずアクセスは可能。
入り口をこじ開ける必要がない分、Webアプリが標的になるのは想像しやすい。