基本的なセキュリティ運用概念を適用する

従業員の安全とセキュリティの問題に対処する

リソースを安全に構成する

リソース保護を実装する

クラウドホスティングサービス

構成管理CMの実施

パッチを管理し、脆弱性を軽減する

知る必要があることと最小特権の原則の違いを理解します。必知事項と最小特権の原則は、安全なネットワーク環境で遵守される 2 つの標準的な IT セキュリティ原則です。知る必要があることと最小限の特権の原則により、ユーザーやその他の主体が必要なものにのみアクセスできるように、データとシステムへのアクセスが制限されます。この制限されたアクセスは、セキュリティ インシデントを防止し、インシデントが発生した場合の影響を制限するのに役立ちます。組織がこれらの原則に従わない場合、セキュリティ インシデントが組織に大きな損害を与えることになります。

職務の分離とジョブローテーションを理解します。職務の分離は、重要な機能や重要なシステム要素に 1 人もアクセスできないようにするためのセキュリティの基本原則です。ジョブローテーションを通じて、従業員を別の仕事にローテーションしたり、タスクを別の従業員に割り当てることができます。共謀とは、複数の人々が協力して何らかの権限のないまたは違法な行為を行うことです。共謀がない場合、これらの戦略は個人の行動を制限することで詐欺を防ぐことができます。

特権操作を監視することの重要性を理解します。特権ユーザーは信頼されていますが、特権を乱用する可能性があります。したがって、すべての権限の割り当てと使用を監視する必要があります。特権操作を監視する目的は、信頼できる従業員が付与された特権を乱用しないようにすることです。攻撃者は攻撃時に特権を使用することが多いため、特権操作を監視することで一部の攻撃を検出することもできます。高度な権限管理により、ユーザーが高度な権限を保持できる時間が制限されます。

サービス レベル アグリーメントを理解します。組織は、サプライヤーなどの外部団体とサービス レベル契約を締結します。 SLA は、最大ダウンタイムなどのパフォーマンスの期待値を指定します。 SLA には、サプライヤーが期待に応えられなかった場合に備えて、罰則条項が含まれることがよくあります。

従業員の安全に注意してください。強迫システムにより、警備員は緊急時に警報を鳴らすことができ、緊急管理計画は組織が災害に備えるのに役立ちます。従業員は旅行するとき、特に別の国に旅行するときはリスクを認識する必要があります。セキュリティ トレーニングと意識向上プログラムにより、従業員はこれらのリスクとリスクを軽減する方法を理解できるようになります。

セキュリティ構成の概念を理解します。リソースの安全な構成には、リソースが安全な方法でデプロイされ、ライフサイクル全体にわたって安全な方法で維持されることを保証することが含まれます。資産管理では、有形資産 (ハードウェアおよびソフトウェア) と無形資産 (特許、商標、会社のれん、著作権など) を追跡します。

メディアを管理および保護する方法を学びます。メディア管理テクノロジは、機密データを保持するメディアを追跡します。メディアはその存続期間中保護され、不要になった場合は破棄されます。

SaaS、PaaS、IaaS の違いを理解します。 Software as a Service (SaaS) モデルは、通常 Web 経由でアクセスされるフル機能のアプリケーションを提供します。 Platform as a Service (PaaS) モデルは、ハードウェア、実稼働システム、運用環境などのコンピューティング インフラストラクチャをユーザーに提供します。 Infrastructure as a Service (IaaS) モデルは、サーバー、ストレージ、ネットワーク リソースなどの基本的なコンピューティング リソースを提供します。

クラウド ホスティング サービスのセキュリティ問題を特定します。クラウド ホスティング サービスには、クラウド ストレージやクラウド経由でアクセスされるリソースが含まれます。データをクラウドに保存するとリスクが高まるため、データの価値によっては、データを保護するために追加の対策が必要になる場合があります。

クラウドベースのサービスをリースする場合、メンテナンスとセキュリティの責任者を理解することが重要です。クラウド サービス プロバイダーは、LaaS モデルで最小限のメンテナンスとセキュリティを提供します。

構成を解釈し、制御管理を変更します。ビジネスの中断やその他の多くのインシデントは、効果的な構成と変更管理計画によって防ぐことができます。構成管理により、システムが同様の構成を採用し、システム構成が既知で記録可能であることが保証されます。ベースライン化は、展開されたシステムが同じベースラインまたは同じ起動ポイントを持つことを保証しますが、ミラーリングは一般的なベースライン手法です。変更管理は、不正な変更を防ぐのに役立ち、それによってビジネスの中断を軽減し、セキュリティ侵害を防ぎます。変更管理プロセスでは、変更の要求、承認、テスト、および記録が定義されます。バージョン管理では、タグまたは番号付けシステムを使用して、ソフトウェア バージョンの変更を追跡します。

パッチ管理を理解します。パッチ管理により、システムが最新のパッチで常に最新の状態に保たれます。効果的なパッチ管理計画には、パッチの評価、テスト、承認、展開が含まれることを認識する必要があります。さらに、システム監査では、承認されたパッチがシステムに展開されていることを確認します。パッチ管理は多くの場合、変更および構成管理と組み合わせて、ドキュメントの内容に変更が確実に反映されるようにします。効果的なパッチ管理計画がなければ、組織は多くの場合、防止できたはずの既知の問題に起因する機能停止やインシデントを経験します。

脆弱性管理について説明します。脆弱性管理には、定期的な脆弱性スキャンと定期的な脆弱性評価が含まれます。脆弱性スキャナーは、パッチが適用されていないパスワードや脆弱なパスワードなど、既知のセキュリティ ホールや脆弱性を検出できます。脆弱性管理では、システム内の脆弱性を指摘するレポートを生成し、パッチ管理計画を効果的にチェックできます。脆弱性評価には、技術的なスキャンだけでなく、脆弱性検出のレビューと監査も含まれます。

職業上の側面として機密情報の知識と所有に対処するセキュリティ原則はどれですか? A. 最小特権の原則 B. 職務の分離 C. 必要に応じて知る D. オンデマンドベース

組織は、特定の作業タスクを実行するために必要なデータ、つまりユーザーが従う必要があるデータへのアクセスのみがユーザーに与えられることを保証します。 原則として？ A. 最小特権の原則 B. 職務の分離 C. 必要に応じて知る D.ジョブローテーション

ユーザーに職務責任を遂行するために必要な権利と許可のみを付与するという概念は何ですか? A. 必要に応じて知る B. 強制休暇 C. 最小特権の原則 D. サービス レベル アグリーメント (SLA)

知っておくべきこととは、特定の作業タスクを実行するためにデータにアクセスして所有する必要があることを指します。 最小特権の原則は、権利や許可などの IT セキュリティでは効果がありません

Microsoft ドメインを使用している大規模組織は、ユーザーが昇格された特権を保持できる期間を制限したいと考えています。この目標をサポートするセキュリティ運用の概念は次のうちどれですか? A. 最小特権の原則 B. 職務の分離 C. 必要に応じて知る D. 特権アカウントの管理

管理者がデータベース権限を割り当てています。管理者が新しいユーザーに組織に付与する必要があるデフォルトのアクセス レベルは何ですか? A. 読む B.修正 C．全権アクセス D. アクセス権がない

ソフトウェア開発部門で新しいアカウントを作成するときは、最小特権の原則を使用したいと考えています。次のうちどれをすべきですか? A. 従業員が職務を遂行するために必要な権限とアクセス許可のみを備えた各アカウントを作成します。 B. 各アカウントにソフトウェア開発部門のサーバーに対する完全な権限とアクセス許可を付与します。 C. いかなる権利も許可も持たずにアカウントを作成する。 D. 新しい従業員のコンピュータのローカル管理者グループにアカウントを追加します。

あなたの組織では、高レベルの監査機能を個別の作業タスクに分割し、これらのタスクを 3 人の管理者に割り当てています。 1 人の管理者がすべてのタスクを実行できるわけではありません。このアプローチはどのような安全原理を説明していますか? A. ジョブローテーション B. 強制休暇 C.職務の分離 D. 最小特権の原則

金融機関は通常、従業員を半年ごとに異動させます。彼らはどのようなセキュリティ原則を採用していますか? A. ジョブローテーション B. 職務の分離 C. 強制休暇 D. 最小特権の原則

組織が一時帰休ポリシーを導入する主な理由は次のうちどれですか? A. 職務をローテーションする B. 不正行為の検出 C. 従業員の生産性を向上させる D. 従業員のストレスを軽減する

あなたの組織は、クラウドベースのサーバーをホストするサードパーティプロバイダーと契約しています。経営陣は、サードパーティプロバイダーが稼働時間とダウンタイムに関する契約上の責任を履行しない場合、罰金を科すことができると期待しています。この要件を満たすための最善の選択肢は次のどれですか? A.MOU B.ISA C.SLA D.SED

次のクラウド サービス モデルのうち、組織に最も多くの制御を提供し、オペレーティング システムとアプリケーションのすべてのメンテナンスを組織が実行する必要があるのはどれですか? A. サービスとしてのインフラストラクチャ (laas) B. サービスとしてのプラットフォーム (Paas) C. サービスとしてのソフトウェア (Saas) D.パブリック

ユーザーが Web ブラウザーを介して電子メールにアクセスできるクラウド サービス モデルは次のどれですか? A. サービスとしてのインフラストラクチャ (laaS) B. サービスとしてのプラットフォーム (Paas) C. サービスとしてのソフトウェア (SaaS) D.パブリック

IT 部門は、新しいシステムを展開するときにイメージを使用することがよくあります。ミラーを使用する主な利点は次のオプションのうちどれですか? A. 構成管理のベースラインを提供する B. パッチ管理の応答時間を改善する C. パッチが適用されていないシステムの脆弱性を軽減する D. 変更ドキュメントを提供する

サーバー管理者は最近、パフォーマンスを向上させるためにサーバーの構成を変更しました。残念ながら、自動化スクリプトが週に 1 回実行されると、変更によりサーバーが再起動されます。数時間のトラブルシューティングの後、問題はスクリプトではなくハンドオーバーにあることが最終的に判明しました。このようなことが起こらないようにするにはどのような対策を講じることができますか? A. 脆弱性管理 B. パッチ管理 C. 変更管理 D. すべてのスクリプトをブロックする

変更管理プロセスに含まれるステップは次のうちどれですか? (3つお選びください) A. 変更によりパフォーマンスが向上する場合は、すぐに実装してください。 B. 変更をリクエストする C. 変更のロールバック計画を作成する D. 変更を記録する

新しい CIO は、組織に変更管理計画が欠如していることを知りました。 CIO は、変更管理計画を直ちに実施するよう主張しました。変更管理プログラムの主な目標は次のオプションのうちどれですか? A. 人員の安全 B. 変更のロールバックを許可する C. 変更によってセキュリティが低下しないようにする D. 特権アクセスを監査する

組織内のシステムは、パッチを自動的に受信して更新するように構成されています。パッチを受信した後、55 台のシステムが自動的に再起動し、停止エラーが発生して起動しました。次の対策のうち、セキュリティを犠牲にすることなくこの問題を防止できるのはどれですか? A. パッチの自動適用設定を無効にする B. すべてのパッチを承認するためのパッチ管理プロセスを実装する C. システムが定期的にパッチを確認するようにする D. パッチ管理プロセスを実装し、パッチを展開する前にテストする

セキュリティ管理者は、既存のシステムに最新のパッチが適用されていることを確認したいと考えています。システムに必要なパッチが確実に適用されるようにするには、次のオプションのうちどれが最適ですか? A. パッチ管理システム B. パッチスキャナー C. ペネトレーションテスター D.ファズテスター

あなたの組織のサーバーが最近攻撃を受け、ビジネスに混乱が生じました。攻撃者がネットワーク上の他のシステムを攻撃するために悪用する可能性がある既知の問題がないか、システムをチェックする必要があります。この要件を満たす最適なオプションは次のうちどれですか? A. バージョン追跡 B. 脆弱性スキャナー C. セキュリティ監査 D. セキュリティのレビュー

次のプロセスのうち、システム内のすべてのセキュリティ リスクをリストする可能性が最も高いのはどれですか? A. 構成管理 B. パッチ管理 C. ハードウェア資産一覧 D. 脆弱性スキャン