IT業界で注目を集めるCompTIA Security+資格。セキュリティの基礎から実践的なスキルまでをカバーするこの資格は、キャリアアップを目指す多くの人にとって重要な一歩となります。しかし、合格への道のりは決して平坦ではありません。定期的に問題を解き、実践的な知識を積み重ねることが成功への鍵となります。本記事では、最新の試験情報と効果的な学習方法を紹介し、あなたの合格への道筋を示します。まずは、試験の概要から見ていきましょう。
| 項目 | 内容 |
|---|---|
| 試験概要 | 90問の多肢選択問題と実技問題、90分の制限時間 |
| 試験の難易度 | 中級~上級(IT基礎知識必須) |
| 公式サイトURL | https://www.comptia.jp/certif/security/ |
脅威、攻撃、脆弱性の理解
CompTIA Security+試験では、現代のサイバーセキュリティ環境における様々な脅威、攻撃手法、そしてシステムの脆弱性について深く理解することが求められます。この分野では、マルウェアの種類、ソーシャルエンジニアリング攻撃、DDoS攻撃などの知識が重要です。
問題1
マルウェアの一種で、ファイルを暗号化し、解読のための身代金を要求する攻撃は何ですか?
A) フィッシング
B) スプーフィング
C) ランサムウェア
D) トロイの木馬
正解: C) ランサムウェア解説: ランサムウェアは、被害者のデータを暗号化し、解読キーと引き換えに身代金を要求するマルウェアの一種です。この攻撃は近年急増しており、組織に深刻な影響を与える可能性があります。
問題2
ソーシャルエンジニアリング攻撃の一種で、偽のウェブサイトや電子メールを使用して、ユーザーの機密情報を盗み取る手法は何ですか?
A) フィッシング
B) マルウェア
C) DoS攻撃
D) SQLインジェクション
正解: A) フィッシング解説: フィッシングは、攻撃者が信頼できる組織や個人を装い、ユーザーから機密情報を騙し取る手法です。主に偽のウェブサイトや電子メールを使用し、ユーザーを欺いてパスワードやクレジットカード情報などを入力させます。
問題3
正規のネットワークトラフィックを装って検出を回避する、最新のマルウェアの種類は何ですか?
A) ファイルレスマルウェア
B) ランサムウェア
C) アドウェア
D) ワーム
正解: A) ファイルレスマルウェア解説: ファイルレスマルウェアは、システムのRAMに直接ロードされ、ディスクに書き込まれないため、従来のアンチウイルスソリューションでは検出が困難です。正規のプログラムを悪用して悪意のある活動を実行するため、ネットワークトラフィックを装うことができます。
問題4
複数のコンピューターを使用してターゲットのシステムやネットワークを圧倒し、サービスを妨害する攻撃は何ですか?
A) マルウェア攻撃
B) フィッシング攻撃
C) DDoS攻撃
D) SQLインジェクション攻撃
正解: C) DDoS攻撃解説: DDoS(分散型サービス拒否)攻撃は、多数の感染したコンピューター(ボットネット)を使用して、ターゲットのシステムやネットワークに大量のトラフィックを送信し、正常なサービスを妨害する攻撃です。
問題5
攻撃者が正規のユーザーと標的システムの間に介入し、通信を傍受または改ざんする攻撃は何ですか?
A) フィッシング攻撃
B) マン・イン・ザ・ミドル攻撃
C) ブルートフォース攻撃
D) クロスサイトスクリプティング攻撃
正解: B) マン・イン・ザ・ミドル攻撃解説: マン・イン・ザ・ミドル(MitM)攻撃では、攻撃者が2つのエンティティ間の通信を傍受または改変します。この攻撃は、認証情報やその他の機密情報を盗むために使用されることが多く、特に安全でないWi-Fiネットワークで発生しやすいです。
問題6
ウェブアプリケーションの脆弱性を悪用し、悪意のあるスクリプトをユーザーのブラウザで実行させる攻撃は何ですか?
A) SQLインジェクション
B) クロスサイトスクリプティング(XSS)
C) バッファオーバーフロー
D) ディレクトリトラバーサル
正解: B) クロスサイトスクリプティング(XSS)解説: クロスサイトスクリプティング(XSS)攻撃は、ウェブページ生成プロセス中にユーザー入力が適切に無害化されていない脆弱性を悪用します。攻撃者は悪意のあるスクリプトを注入し、それがエンドユーザーのブラウザで実行されることで、セッションの乗っ取りやマルウェアの配布などが可能になります。
問題7
暗号通貨のマイニングのために、被害者のコンピューターリソースを密かに使用する攻撃は何ですか?
A) ランサムウェア
B) クリプトジャッキング
C) フィッシング
D) スプーフィング
正解: B) クリプトジャッキング解説: クリプトジャッキングは、被害者のコンピューターリソースを密かに利用して暗号通貨をマイニングする攻撃です。この攻撃は直接的なデータ窃取や破壊を行わないため気づきにくく、システムのパフォーマンス低下やリソース使用率の増加として現れます。
問題8
攻撃者が正規のソフトウェアや通信を装って、ユーザーを欺く攻撃手法は何ですか?
A) フィッシング
B) スプーフィング
C) ワーム
D) ボットネット
正解: B) スプーフィング解説: スプーフィングは、攻撃者が信頼できる送信元を装って、ユーザーを欺く手法です。これには、電子メール、ドメイン、IPアドレス、ARPなどのスプーフィングが含まれ、ユーザーの信頼を悪用して機密情報を盗んだり、マルウェアをインストールしたりします。
問題9
組織内部の人間が、意図的または非意図的に組織に害を与える脅威は何ですか?
A) 外部脅威
B) インサイダー脅威
C) フィッシング
D) マルウェア
正解: B) インサイダー脅威解説: インサイダー脅威は、従業員や請負業者など、組織内部の人間がもたらす脅威を指します。これらの脅威は、意図的な悪意のある行動や、単純なミスや無知から生じる可能性があり、組織のセキュリティにとって重大なリスクとなります。
問題10
攻撃者がパスワードのリストを使用して、ユーザーアカウントへの不正アクセスを試みる攻撃は何ですか?
A) フィッシング攻撃
B) マルウェア攻撃
C) ブルートフォース攻撃
D) DDoS攻撃
正解:C) ブルートフォース攻撃解説: ブルートフォース攻撃は、攻撃者が一般的なパスワードや漏洩したパスワードのリストを使用して、ユーザーアカウントを侵害しようとする手法です。この攻撃には、パスワードスプレーやクレデンシャルスタッフィングなどの技術も含まれ、大量のアカウントを短時間で試行することができます。
セキュリティアーキテクチャとデザイン
ネットワークコンポーネント、クラウドコンピューティング、仮想化技術など、現代のIT環境を構成する要素について理解することが不可欠です。また、セキュアなシステム設計の原則や、暗号化技術の基礎知識も問われます。
問題1
ネットワークセグメンテーションの主な目的は何ですか?
A) ネットワークの速度を向上させる
B) セキュリティを強化し、攻撃の影響を制限する
C) ストレージ容量を増やす
D) ユーザーインターフェースを改善する
正解: B) セキュリティを強化し、攻撃の影響を制限する
解説: ネットワークセグメンテーションは、ネットワークを小さな部分に分割することで、セキュリティを強化し、攻撃が発生した場合にその影響を限定的にします。これにより、攻撃者がネットワーク全体にアクセスすることを困難にし、重要なデータやシステムを保護します。
問題2
次のうち、クラウドコンピューティングのサービスモデルではないものはどれですか?
A) IaaS (Infrastructure as a Service)
B) PaaS (Platform as a Service)
C) SaaS (Software as a Service)
D) HaaS (Hardware as a Service)
正解: D) HaaS (Hardware as a Service)
解説: IaaS、PaaS、SaaSは一般的なクラウドコンピューティングのサービスモデルです。HaaSは一般的なモデルではありません。IaaSは仮想化されたコンピューティングリソースを提供し、PaaSは開発プラットフォームを、SaaSはソフトウェアアプリケーションをサービスとして提供します。
問題3
暗号化において、公開鍵と秘密鍵のペアを使用する暗号方式は何ですか?
A) 対称暗号
B) 非対称暗号
C) ハッシュ関数
D) ストリーム暗号
正解: B) 非対称暗号
解説: 非対称暗号(公開鍵暗号とも呼ばれる)は、公開鍵と秘密鍵のペアを使用します。公開鍵は誰でも使用できますが、秘密鍵は所有者のみが保持します。この方式は、安全な鍵交換やデジタル署名に広く使用されています。
問題4
次のうち、ゼロトラストセキュリティモデルの主な原則ではないものはどれですか?
A) すべてのリソースへのアクセスを安全に認証、承認、暗号化する
B) 最小権限の原則を適用する
C) システムとユーザー行動を継続的に監視する
D) 一度認証されたユーザーに無制限のアクセスを許可する
正解: D) 一度認証されたユーザーに無制限のアクセスを許可する
解説: ゼロトラストモデルは「決して信頼せず、常に検証する」という原則に基づいています。一度認証されたユーザーに無制限のアクセスを許可することは、このモデルの原則に反します。代わりに、継続的な認証と承認、最小権限の適用、そしてシステムと行動の監視が重要な要素となります。
問題5
ハードウェアセキュリティモジュール(HSM)の主な目的は何ですか?
A) CPUの処理速度を向上させる
B) ネットワークトラフィックを監視する
C) 暗号鍵を安全に生成、保存、管理する
D) オペレーティングシステムを保護する
正解: C) 暗号鍵を安全に生成、保存、管理する
解説: ハードウェアセキュリティモジュール(HSM)は、暗号鍵の生成、保存、管理を安全に行うための専用のハードウェアデバイスです。HSMは、物理的および論理的なセキュリティ対策を備えており、鍵の漏洩や不正使用を防ぐために使用されます。
問題6
RAID(Redundant Array of Independent Disks)の主な目的は何ですか?
A) CPUの処理速度を向上させる
B) データの可用性とパフォーマンスを向上させる
C) ネットワークセキュリティを強化する
D) ユーザー認証を簡素化する
正解: B) データの可用性とパフォーマンスを向上させる
解説: RAIDは、複数のディスクドライブを組み合わせて使用することで、データの可用性、信頼性、パフォーマンスを向上させる技術です。RAIDの異なるレベル(RAID 0, RAID 1, RAID 5など)は、データの冗長性やパフォーマンスの向上に異なるアプローチを提供します。
問題7
次のうち、仮想化技術のセキュリティ上の利点ではないものはどれですか?
A) 迅速なシステム復旧
B) 分離された環境での実験
C) スナップショットとロールバック機能
D) 物理的なセキュリティの必要性の排除
正解: D) 物理的なセキュリティの必要性の排除
解説: 仮想化技術は多くのセキュリティ上の利点を提供しますが、物理的なセキュリティの必要性を完全に排除するものではありません。仮想マシンは依然として物理的なハードウェア上で動作するため、そのハードウェアの物理的なセキュリティは重要です。一方で、迅速なシステム復旧、分離された環境での実験、スナップショットとロールバック機能は、仮想化技術の主要な利点です。
問題8
セキュアなシステム設計において、「防御の深さ」(Defense in Depth)戦略とは何ですか?
A) 単一の強力なセキュリティ対策に依存する
B) 複数の層でセキュリティ対策を実装する
C) 物理的なセキュリティのみに焦点を当てる
D) すべてのセキュリティ対策を外部委託する
正解: B) 複数の層でセキュリティ対策を実装する
解説: 「防御の深さ」戦略は、複数の異なるセキュリティ層を使用してシステムを保護する手法です。これには、ファイアウォール、侵入検知システム、アンチウイルスソフトウェア、暗号化、アクセス制御など、様々な対策が含まれます。一つの層が突破されても、他の層が攻撃を阻止または検知することができます。
問題9
次のうち、セキュアなソフトウェア開発ライフサイクル(SDLC)の一部ではないものはどれですか?
A) 脅威モデリング
B) セキュアコーディング実践
C) ペネトレーションテスト
D) ユーザーインターフェースのデザイン
正解: D) ユーザーインターフェースのデザイン
解説: セキュアなSDLCには、脅威モデリング、セキュアコーディング実践、ペネトレーションテストなどのセキュリティ特有の活動が含まれます。ユーザーインターフェースのデザインは重要な開発活動ですが、直接的にはセキュリティに焦点を当てていません。セキュアなSDLCは、開発プロセス全体を通じてセキュリティを組み込むことを目的としています。
問題10
次のうち、最小権限の原則(Principle of Least Privilege)を最もよく表しているのはどれですか?
A) すべてのユーザーに管理者権限を与える
B) ユーザーに必要最小限の権限のみを付与する
C) すべてのリソースへのアクセスを禁止する
D) すべてのユーザーに同じレベルの権限を与える
正解: B) ユーザーに必要最小限の権限のみを付与する
解説: 最小権限の原則は、ユーザーやプロセスに対して、その役割を果たすために必要最小限の権限のみを付与することを意味します。これにより、不正アクセスや誤操作によるリスクを最小限に抑えることができます。この原則は、セキュリティを強化し、攻撃対象領域を縮小するために重要です。
セキュリティの実装
理論だけでなく、実際にセキュリティ対策を実装する能力も試験では評価されます。ファイアウォールの設定、アクセス制御リストの管理、セキュアなプロトコルの利用など、実践的なスキルが必要とされます。
問題1
ファイアウォールの主な機能は何ですか?
A) データの暗号化
B) ネットワークトラフィックの監視と制御
C) ウイルスの検出と削除
D) データのバックアップ
正解: B) ネットワークトラフィックの監視と制御解説: ファイアウォールは、ネットワーク間のトラフィックを監視し、事前に定義されたセキュリティルールに基づいて、特定のトラフィックの許可または拒否を行います。これにより、不正なアクセスや攻撃からネットワークを保護します。
問題2
次のうち、強力なパスワードポリシーに含まれないものはどれですか?
A) 最小文字数の要件
B) 複雑性の要件(大文字、小文字、数字、記号の組み合わせ)
C) パスワードの定期的な変更要求
D) 全ユーザーに同じパスワードを使用させる
正解: D) 全ユーザーに同じパスワードを使用させる解説: 強力なパスワードポリシーは、各ユーザーが一意で強力なパスワードを使用することを要求します。全ユーザーに同じパスワードを使用させることは、セキュリティリスクを大幅に増加させるため、決して推奨されません。
問題3
多要素認証(MFA)において、「知っているもの」の例は次のうちどれですか?
A) 指紋
B) パスワード
C) スマートカード
D) 顔認識
正解: B) パスワード解説: 多要素認証は通常、「知っているもの」(パスワードなど)、「持っているもの」(スマートカードなど)、「自分自身」(生体認証)の3つのカテゴリーから少なくとも2つを組み合わせます。パスワードは「知っているもの」の典型的な例です。
問題4
VPN(仮想プライベートネットワーク)の主な目的は何ですか?
A) インターネット速度の向上
B) ウェブサイトのブロック
C) セキュアな暗号化通信の提供
D) ウイルスの検出
正解: C) セキュアな暗号化通信の提供解説: VPNは、公共のインターネットを介して、プライベートネットワークの安全性を模倣するセキュアな暗号化トンネルを作成します。これにより、リモートユーザーや拠点間で安全にデータを送受信することができます。
問題5
データ暗号化の主な目的は何ですか?
A) データの圧縮
B) データの可用性の向上
C) 機密性の保護
D) データ処理速度の向上
正解: C) 機密性の保護解説: 暗号化の主な目的は、データの機密性を保護することです。暗号化されたデータは、適切な復号キーを持たない人には読み取れないため、データが傍受されたり、不正アクセスされたりした場合でも、その内容を保護することができます。
問題6
セキュアなソフトウェア開発において、入力検証の主な目的は何ですか?
A) ユーザーエクスペリエンスの向上
B) データベースの最適化
C) 悪意のある入力やバグの防止
D) プログラムの実行速度の向上
正解: C) 悪意のある入力やバグの防止解説: 入力検証は、ユーザーやその他のソースからの入力が正しく、安全であることを確認するプロセスです。これにより、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を防ぎ、予期しない動作やクラッシュを引き起こす可能性のある不正な入力を防ぐことができます。
問題7
ネットワークセグメンテーションを実装する主な方法は次のうちどれですか?
A) アンチウイルスソフトウェアのインストール
B) VLANの使用
C) 強力なパスワードポリシーの実施
D) ファイアウォールの無効化
正解: B) VLANの使用解説: VLAN(仮想ローカルエリアネットワーク)は、物理的なネットワークインフラストラクチャを論理的に分割する効果的な方法です。これにより、異なるセグメント間のトラフィックを制御し、セキュリティを強化することができます。
問題8
セキュアなシステム設計において、「最小権限の原則」とは何を意味しますか?
A) すべてのユーザーに管理者権限を与える
B) ユーザーに必要最小限の権限のみを付与する
C) すべてのユーザーアカウントを無効にする
D) すべてのユーザーに同じレベルの権限を与える
正解: B) ユーザーに必要最小限の権限のみを付与する解説: 最小権限の原則は、ユーザーやプロセスに対して、その役割を果たすために必要最小限の権限のみを付与することを意味します。これにより、不正アクセスや誤操作によるリスクを最小限に抑えることができます。
問題9
セキュアなコーディング実践において、「サニタイズ」とは何を指しますか?
A) コードの最適化
B) ユーザー入力の検証と無害化
C) データベースのクリーンアップ
D) ソースコードの暗号化
正解: B) ユーザー入力の検証と無害化解説: サニタイズとは、ユーザー入力や外部データを検証し、潜在的に危険な要素を除去または無害化するプロセスを指します。これは、クロスサイトスクリプティングやSQLインジェクションなどの攻撃を防ぐために重要です。
問題10
セキュアなシステム設計において、「フェイルセーフ」の原則とは何を意味しますか?
A) システムが絶対に失敗しないようにする
B) 障害が発生した場合、システムを完全にシャットダウンする
C) 障害が発生した場合、システムを安全な状態に保つ
D) すべての障害を無視する
正解: C) 障害が発生した場合、システムを安全な状態に保つ解説: フェイルセーフの原則は、システムに障害が発生した場合でも、最小限の損害で安全な状態を維持することを目的としています。これは、予期せぬ状況下でもシステムやデータのセキュリティを確保するために重要です。
運用とインシデント対応
セキュリティインシデントの検知、分析、対応プロセスについての知識が問われます。ログ分析、フォレンジック調査の基礎、インシデント対応計画の策定など、実際の運用場面で必要となるスキルが重要です。
問題1
インシデント対応プロセスの最初のステップは何ですか?
A) 封じ込め
B) 準備
C) 検知と分析
D) 復旧
正解: B) 準備解説: インシデント対応プロセスの最初のステップは準備です。これには、インシデント対応計画の策定、チームの編成、必要なツールの準備、訓練の実施などが含まれます。適切な準備があれば、実際のインシデント発生時に迅速かつ効果的に対応することができます。
問題2
ログ分析の主な目的は何ですか?
A) ストレージ容量の最適化
B) システムパフォーマンスの向上
C) セキュリティイベントの検出と調査
D) ユーザーエクスペリエンスの改善
正解: C) セキュリティイベントの検出と調査解説: ログ分析の主な目的は、セキュリティイベントの検出と調査です。システムやアプリケーションのログを分析することで、不正アクセス、マルウェア感染、データ漏洩などの潜在的な脅威を特定し、インシデントの詳細を理解することができます。
問題3
フォレンジック調査において、「証拠の連鎖」(Chain of Custody)が重要な理由は何ですか?
A) 調査の速度を上げるため
B) ストレージコストを削減するため
C) 証拠の法的有効性を確保するため
D) システムパフォーマンスを向上させるため
正解: C) 証拠の法的有効性を確保するため解説: 「証拠の連鎖」は、デジタル証拠の収集から分析、保管、そして最終的な処分に至るまでの全過程を文書化するプロセスです。これにより、証拠が改ざんされていないことを証明し、法的手続きにおいてその証拠の信頼性と有効性を確保することができます。
問題4
DDoS攻撃に対する最も効果的な即時対応策は次のうちどれですか?
A) サーバーの再起動
B) トラフィックのフィルタリングと分散
C) すべてのネットワーク接続の遮断
D) 攻撃者との交渉
正解: B) トラフィックのフィルタリングと分散解説: DDoS攻撃への即時対応として最も効果的なのは、トラフィックのフィルタリングと分散です。これには、悪意のあるトラフィックの識別と遮断、正当なトラフィックの許可、そしてCDNやロードバランサーを使用したトラフィックの分散が含まれます。これにより、サービスの可用性を維持しながら攻撃の影響を軽減することができます。
問題5
セキュリティ運用センター(SOC)の主な役割は何ですか?
A) ソフトウェア開発
B) ネットワークの設計
C) セキュリティ監視と対応
D) マーケティング戦略の立案
正解: C) セキュリティ監視と対応解説: セキュリティ運用センター(SOC)の主な役割は、組織のセキュリティ状況を24時間365日監視し、セキュリティインシデントを検知、分析、対応することです。SOCは、セキュリティ技術の運用、脅威インテリジェンスの活用、インシデント対応の調整など、組織の総合的なセキュリティ管理を担当します。
問題6
ビジネス継続計画(BCP)の主な目的は何ですか?
A) 利益の最大化
B) 従業員の生産性向上
C) 重大な中断後の事業運営の維持
D) マーケットシェアの拡大
正解: C) 重大な中断後の事業運営の維持解説: ビジネス継続計画(BCP)の主な目的は、災害、サイバー攻撃、その他の重大な中断事象が発生した際に、組織の重要な機能を維持または迅速に復旧することです。BCPは、リスク評価、影響分析、復旧戦略、テスト、訓練などを含む包括的な計画です。
問題7
セキュリティ情報イベント管理(SIEM)システムの主な機能は何ですか?
A) ウェブサイトの開発
B) ネットワークの設計
C) ログの集中管理と相関分析
D) 従業員の給与計算
正解: C) ログの集中管理と相関分析解説: SIEMシステムの主な機能は、組織全体のさまざまなソースからセキュリティログとイベントデータを収集し、それらを集中管理および相関分析することです。これにより、セキュリティ脅威のリアルタイム検出、インシデントの調査、コンプライアンス報告などが可能になります。
問題8
インシデント対応において、「封じ込め」フェーズの主な目的は何ですか?
A) 攻撃者の特定
B) システムの完全復旧
C) 被害の拡大防止
D) 法的措置の開始
正解: C) 被害の拡大防止解説: インシデント対応の「封じ込め」フェーズの主な目的は、セキュリティインシデントの影響を制限し、被害の拡大を防ぐことです。これには、感染したシステムの隔離、攻撃者のアクセス遮断、脆弱性の緊急パッチ適用などの措置が含まれます。封じ込めは、被害を最小限に抑え、組織の重要な資産を保護するために重要です。
問題9
ディザスタリカバリ計画において、RPO(Recovery Point Objective)は何を表しますか?
A) システム復旧にかかる時間
B) 許容可能なデータ損失量
C) バックアップの頻度
D) システムのダウンタイム
正解: B) 許容可能なデータ損失量解説: RPO(Recovery Point Objective)は、災害発生時に許容できるデータ損失の最大量を表します。これは通常、時間で表現され、最後のバックアップからディザスタ発生時点までの期間を指します。RPOは、バックアップ戦略を決定する際の重要な指標となり、組織のデータ保護ニーズを反映します。
問題10
セキュリティ意識向上トレーニングの主な目的は何ですか?
A) 従業員の技術スキル向上
B) セキュリティ脅威に対する従業員の認識と対応能力の向上
C) 組織の利益増加
D) 新製品の開発
正解: B) セキュリティ脅威に対する従業員の認識と対応能力の向上解説: セキュリティ意識向上トレーニングの主な目的は、従業員がセキュリティ脅威を認識し、適切に対応できるようにすることです。これには、フィッシング攻撃の識別、安全なパスワード管理、機密情報の取り扱い、ソーシャルエンジニアリング攻撃への対処など、日常的なセキュリティ実践に関する教育が含まれます。従業員のセキュリティ意識を高めることで、組織全体のセキュリティ態勢を強化することができます。
ガバナンス、リスク、コンプライアンス
組織のセキュリティポリシー、リスク管理プロセス、法令遵守などの観点から、セキュリティ管理の全体像を理解することが求められます。プライバシー保護やデータ管理に関する規制についての知識も重要です。
問題1
情報セキュリティガバナンスの主な目的は何ですか?
A) 利益の最大化
B) 技術の最新化
C) セキュリティ戦略と事業目標の整合性確保
D) 従業員の生産性向上
正解: C) セキュリティ戦略と事業目標の整合性確保解説: 情報セキュリティガバナンスは、組織のセキュリティ戦略が全体的な事業目標と整合していることを確保することを目的としています。これには、リスク管理、資源配分、責任の明確化、そしてセキュリティ投資が事業価値を創出することの確認が含まれます。
問題2
リスクアセスメントプロセスの最初のステップは何ですか?
A) リスクの定量化
B) 資産の特定
C) 脆弱性の分析
D) 対策の実装
正解: B) 資産の特定解説: リスクアセスメントプロセスの最初のステップは、組織の重要な資産(情報、システム、プロセスなど)を特定することです。これにより、保護すべき対象を明確にし、それらに対するリスクを適切に評価することができます。資産の特定後、脆弱性の分析、脅威の評価、リスクの定量化などの後続ステップが続きます。
問題3
GDPRにおける「データポータビリティの権利」とは何を意味しますか?
A) データを永久に削除する権利
B) データの処理を制限する権利
C) 自分のデータを受け取り、他の管理者に転送する権利
D) データへのアクセスを拒否する権利
正解: C) 自分のデータを受け取り、他の管理者に転送する権利解説: GDPRのデータポータビリティの権利は、個人が自分の個人データを構造化された、一般的に使用され、機械可読な形式で受け取り、それを他のデータ管理者に妨げられることなく転送する権利を指します。これは、個人のデータ制御権を強化し、サービス間でのデータ移動を容易にすることを目的としています。
問題4
セキュリティポリシーの主な目的は何ですか?
A) 従業員の監視
B) 技術の最新化
C) 組織のセキュリティ要件と期待の明確化
D) コストの削減
正解: C) 組織のセキュリティ要件と期待の明確化解説: セキュリティポリシーの主な目的は、組織のセキュリティに関する要件、期待、責任を明確に定義し、文書化することです。これにより、全従業員がセキュリティの重要性を理解し、適切な行動をとるための指針を提供します。また、ポリシーは法的要件やベストプラクティスへの準拠を確保する上でも重要です。
問題5
「分離の原則」(Separation of Duties)の主な目的は何ですか?
A) 従業員の専門化
B) 作業効率の向上
C) 不正や誤りのリスク低減
D) コストの削減
正解: C) 不正や誤りのリスク低減解説: 分離の原則は、重要なプロセスや決定を複数の個人や部門に分散させることで、不正行為や重大な誤りのリスクを低減することを目的としています。例えば、財務取引の承認と実行を別々の人員が行うことで、単独の個人が不正を行うことを困難にします。これにより、内部統制が強化され、組織の資産と情報の保護が図られます。
問題6
リスク管理における「リスク受容」とは何を意味しますか?
A) リスクを完全に排除すること
B) リスクを他者に転嫁すること
C) リスクの影響を軽減すること
D) リスクを認識し、その結果を受け入れること
正解: D) リスクを認識し、その結果を受け入れること解説: リスク受容は、リスク管理戦略の一つで、特定のリスクに対して積極的な対策を講じず、その潜在的な影響を受け入れることを意味します。これは通常、リスクの影響が小さい場合や、対策のコストがリスクの潜在的な影響を上回る場合に選択されます。ただし、リスク受容を選択する際は、そのリスクを継続的に監視し、状況の変化に応じて戦略を再評価することが重要です。
問題7
コンプライアンスプログラムの効果を測定する主な方法は何ですか?
A) 収益の増加
B) 従業員の満足度
C) 監査と評価の実施
D) 新規顧客の獲得数
正解: C) 監査と評価の実施解説: コンプライアンスプログラムの効果を測定する主な方法は、定期的な監査と評価の実施です。これには、内部監査、外部監査、自己評価、コンプライアンス違反の追跡、トレーニング完了率の監視などが含まれます。これらの活動を通じて、組織はコンプライアンスプログラムの有効性を評価し、必要に応じて改善を行うことができます。
問題8
ベンダー管理において、「デューデリジェンス」の主な目的は何ですか?
A) ベンダーとの友好関係の構築
B) コストの削減
C) リスクの特定と評価
D) 契約期間の延長
正解: C) リスクの特定と評価解説: ベンダー管理におけるデューデリジェンスの主な目的は、潜在的なベンダーや既存のベンダーに関連するリスクを特定し、評価することです。これには、ベンダーの財務状況、セキュリティ態勢、コンプライアンス状況、業務能力などの調査が含まれます。適切なデューデリジェンスを行うことで、組織はベンダーとの関係に伴うリスクを理解し、適切に管理することができます。
問題9
情報分類ポリシーの主な目的は何ですか?
A) データ量の削減
B) 情報の適切な保護レベルの確保
C) ストレージコストの削減
D) データ処理速度の向上
正解: B) 情報の適切な保護レベルの確保解説: 情報分類ポリシーの主な目的は、組織の情報資産を重要度や機密性に基づいて分類し、それぞれに適切な保護レベルを確保することです。これにより、重要な情報には強力なセキュリティ対策を適用し、それほど重要でない情報には比較的緩やかな対策を適用することができます。適切な情報分類は、リソースの効率的な利用とコンプライアンス要件の遵守にも貢献します。
問題10
ビジネスインパクト分析(BIA)の主な目的は何ですか?
A) 新規事業の特定
B) 競合他社の分析
C) 重要な業務プロセスと中断の影響の特定
D) マーケティング戦略の立案
正解: C) 重要な業務プロセスと中断の影響の特定解説: ビジネスインパクト分析(BIA)の主な目的は、組織の重要な業務プロセスを特定し、それらが中断した場合の影響を評価することです。BIAでは、各プロセスの重要度、許容可能なダウンタイム、復旧の優先順位などを分析します。この情報は、効果的な事業継続計画(BCP)やディザスタリカバリ計画(DRP)の策定に不可欠です。BIAにより、組織はリソースを適切に配分し、重要な機能の迅速な復旧を確保することができます。
おすすめの学習グッズ
CompTIA Security+の学習には、「CompTIA Security+ Study Guide: Exam SY0-601」がおすすめです。この本は、試験の全範囲をカバーしており、実践的な例や演習問題が豊富に含まれています。また、オンラインの模擬試験にアクセスできるため、実際の試験形式に慣れることができます。さらに、「Professor Messer’s Security+ Course Notes」も非常に役立ちます。これは、無料のオンライン動画講座に対応したノートで、重要なポイントを簡潔にまとめています。これらの教材を組み合わせることで、効果的な学習が可能になります。
コメント