情報セキュリティマネジメント試験を受けてきた(本番編〜その5)

RTO

RTOとは、Recovery Time Objectiveの略であり、復旧目標時間を指します。 インシデント発生後に復旧されるまでの時間のことです。

RPOはRecovery Point Objectiveの略であり、復旧目標地点です。 インシデント発生後に復旧する際に、復旧できる点を示します。 例えば毎日0時にバックアップを取得しているシステムの復旧可能な点はその日の0時時点になります。

見える化

種類別件数と総件数の推移を1つの図で表す際に最も適した図を選択する問題。 総数の推移を見える化するのには棒グラフが妥当だと思います。

レスポンスタイムとターンアラウンドタイム

例えばECサイトの注文システムにおいて、入力フォームに入力させ購入が完了しました画面が表示されるまでの時間、つまり画面を操作し、目的を達成するまでのトータルの時間をターンアラウンドタイムと言います。 一方で、購入ボタンを押してから次の画面が開くまでのシステムの動作を待っている時間のことをレスポンスタイムと言います。

データウェアハウスについて

大量のデータを整理して何かの判断に役立てたりする際に利用するものをデータウェアハウスと呼びます。

ルータについて

ルーターネットワーク層でLAN同士やLANとWANを繋ぐ機器。 物理層で増幅するのはリピーターで、データリンク層を繋ぐものはブリッジです。

プロキシサーバー

ローカルネットワークからインターネットへのアクセスを中継し、コンテンツをキャッシュすることもできる仕組みは、プロキシサーバーと言います。 ファイアウォールはネットワークの前に設置された門みたいなもので、通信の取捨選択をします。DMZとは非武装地帯を示し、外部に公開するWebサーバーなどを置く場所です。

SaaSの説明

アプリケーションの機能をインターネット越しに必要な時に必要なだけ使用することができるサービス形態のことを指します。

情報システムの調達手順について

まず、ベンダーに情報システム化の目的などを説明し、ベンダーから情報をもらいます。これをRFI(Request for Information)と言います。 次に、調達したい情報システムの条件などを示し、ベンダーから提案をもらいます。これをRFP(Request for Proposal)と言います。 さらに、ベンダーからの提案を比較し、供給者の選定を行い、情報システムを調達するためのベンダーを決定します。 最後に、そのベンダーと契約を締結します。

リスクへの対応方針について

リスクへ対応する上では全てのリスクをゼロにすることは難しいので、優先順位をつけて対応をしていくことが大切です。 細かな内容やリスクを回避するために莫大なコストがかかる場合など様々な状況がある中で必要なものは対応してリスクを回避しますし、 ものによってはリスクを受容することも大切です。 リスクを受容する際にはリスク保有者の承認を得て、その後はリスクを監視し、レビューしていくことが必要です。

コーポレートガバナンスについて

企業経営の透明性を確保するために、企業の経営方針や経営の実態などを監視・監督する必要があります。