CISAを勉強した際の自分用のメモです。参考程度にとどめてください<(*_ _)>
関連記事はこちら⬇︎
ドメイン1
- 監査の優先順位をつけるためにはリスクアセスメントを行う
- システムリリース前に全体監査ができなかった場合は、テストができなかったことを報告書で強調する。それを受けてシステムをリリースするかどうか決めるのは監査人ではなく経営陣
- 内部監査手法の1つであるCSA(Control Self Assessment)を行う目的は、該当部門が自ら監査をして課題を見つけること
- 監査規定は、監査人の権限範囲について書かれている。監査委員会によって承認される
- 監査人とクライアントとの最初の打ち合わせでは監査範囲を話し合う
- 経営陣は監査結果に同意または却下できる
監査ツール
- 汎用監査ソフトウェア(Generalized Audit Software:GAS)には基本的計算機能が備わっている
- コンピュータ支援監査技法(Computer Assisted Audit Techniques:CATT)は様々なソフトウェア環境、レコードフォーマットの電子データにアクセスするために使われる
監査手法
- 継続的監査はリアルタイムで監査し、問題をタイムリーに解決するのに有効
- サンプル数が足りなければ、代替手段を検討する
- トランザクションの二人制御(デュアル・コントロール)の有効性確認には、観察が役立つ
- 実証性テストは、監査期間中のアクティビティやトランザクションの完全性・正確性・実在性について証拠を得るためのテスト
- 準拠性テストは、定められたコントロールが実装されているかの確認のテスト
- 発見抽出法は、監査人がある種のイベントが発生したかを調べるサンプリングのこと
- 判断サンプリングは、監査人の判断でサンプルを選ぶ方法
- 層化サンプリングは、母集団をある特徴を持つグループに分けておき、そこからサンプルを選ぶ方法
- 変数サンプリングは、実証性テストで用いられる、金銭的価値の変動する母集団で用いられるサンプリング方法
コントロール
- 発見的コントロールは、問題が起こったことを早い段階で検知するための管理策
- 予防的コントロールは、エラーや不正を予防するための管理策
- 是正的コントロールは、問題が起こった後に、それを元に戻すための管理策
リスク
- 統制上リスクは内部統制で発見されないリスク。経営陣の行動によってリスクの発現を抑えることができる
- 固有リスクは事業個々の取引そのものが有するリスク
ドメイン2
- 情報セキュリティポリシーの作成はIT管理部門/セキュリティ部門であり、承認は経営陣。1年に一度はレビューが必要
- ポリシーの維持において重要なことは、すべてのレベルの管理者・ユーザーにポリシーを浸透させること
- BPR(ビジネスプロセスリエンジニアリング)の懸念は、BPRを行うことによってコントロールがなくなってしまうこと
- 組織図は、従業員の責任・権限情報を提供する
- BSC(バランススコアカード)とは、財務・クライアント・内部処理・学習と成長(革新能力)でITパフォーマンスを測定し、ITと業務の架け橋になる
- 短期雇用の従業員のリスクを抑える方法(依存度を減らす)は、手順文書化・知識共有・クロストレーニング・後継者育成
- クロストレーニングは知りすぎることのリスクを高めるというデメリットがある
- FWポリシーの設計の手順は、対象の識別→脆弱性識別→保護方法の選択→トラフィックマトリクスの作成
ドメイン3
- ユーザ管理者はビジネスアプリケーションの完成と導入の責任者を担う
- プロジェクト運営委員会は、プロジェクトが期待される結果になるかの監視を担う
- IT運営委員会は、ITプロジェクトの審査(計画と予算の承認)を行う
- IT戦略委員会は、ITとビジネスの整合・コンプライアンスリスクの助言などを行う
- 本番データを開発環境で使う場合、基本的にはサニタイズすることが求められる。ただしサニタイズすることですべてのエラーやトランザクションが再現できなくなるというデメリットがある
テスト手法
- ストレステストとは実際の作業負荷をテスト環境で試すテスト方法のこと
- ソフトウェアテストのボトムアップアプローチは、重要なモジュールのコンポーネントエラーの早期検出に有効。一方、トップダウンアプローチは、インターフェースエラーの早期検出に役立つ
- ソーシャビリティテストとは、修正されたシステムが他のシステムの影響を受けずに機能するかの確認
- 統合テスト法(Integrated Test Facility)はダミーの口座情報を作って、正常な業務処理を行うテスト方法
- Run-To-Runとは、更新処理1件ごとに出力結果を検証し、入力データの正確性を確保する手続き
- 連番チェックでは、伝票が順番になっているかを確認し、重複を防止する
ドメイン4
- ライブラリ・コントロールソフトウェアとは、メインフレームの本番/クライアントからテストを分離するために使用されるソフトウェア
- ハッシュトータルは、データを数個に分け、それをハッシュ化したものの合計。データの誤り検出に使われる
- チェック・ディジットはデータの誤りがないかを確認するために付与された値のこと
- チェック・サム法は、ファイルの容量を比較してウイルス感染を判定する方法
- IT部のリソースキャパシティ管理の目的は組織内部のSLAを満たすこと
- バックアウト手順とは、システムの切り戻しに係る手順のこと
- ネットワーク監視ツールを用いると、可用性に影響を及ぼす可能性がある
- 多重ルーティングとはスプリットケーブル・重複ケーブル設備を利用してトラフィックをルーティングすること
DB関連
- DB正規化はデータの重複をなくして整合性をとること。非正規化をする場合にはその理由を文書化する
- DBの並行処理制御の目的は、トランザクションを同時にしつつデータの整合性を保つこと
- データベースの完全性制約とは、未定義データの入力防止のためのルールのこと
DR関連
- 2つの組織が相互援助協定で災害時にリソースを共有するのはリスク低減の一種。ただし最大のリスクは2社が共に災害にあうこと
- 最も効果的なDRのテストは準備テスト
BCP関連
- BCPの策定手順はビジネスインパクト分析(BIA)→業務継続戦略策定→BCP策定→トレーニング
バックアップ関連
- データバックアップ戦略はRPOに基づく
- 仮想テープライブラリは、ディスク装置上に擬似的にテープを再現する方法
- データミラーリングはRPOが短い場合に有効
- DisktoDiskバックアップはディスクに書き込まれたあとテープに書き込まれる。大量のデータを短い間にバックアップできる
ドメイン5
- GSM(Global System for Mobile Communications、第2世代の携帯電話の通信方式)には、盗聴・セッションハイジャック対策が実装されている
- データ分類の最初のステップは所有者の特定
- データ分類ポリシーを定義することの最大の利点はコントロールコストの削減
- スクリーンホスト構成は、スクリーニングルーターと要塞ホストの組み合わせ
- スクリーンサブネット構成とは、上記にDMZを加えた構成のこと
- アクセスコントロール確認の最初のステップは、アクセスコントロールの棚卸し
- USBを用いることの最大のリスクは紛失などによる情報漏洩
- 電子署名は、整合性・否認防止を提供する
- インシデント対応計画の第一目的はインシデントの影響を最小化すること
- VPNはスニファー(ネットワーク上の情報を盗聴する)から情報を隠すことが可能
- VoIPの攻撃は可用性の観点でDDoSが最も深刻。その保護にはセッション・ボーダーコントローラが有効
- セキュリティ要件が高い組織はFRRよりFARを優先する
- フリーアクセス床とは、床下にケーブルを収納できる床のこと
