CISSP（用語6）

通報

問題一覧

2.4GHz : 11Mbps

802.11b

2.4GHz : 54Mbps

802.11g

5GHz : 54Mbps

802.11a

2.4GHz/5GHz : 600Mbps (Wi-Fi 4)

802.11n

5GHz : 6.9Gbps (Wi-Fi 5)

802.11ac

2.4GHz/5GHz : 9.6Gbps (Wi-Fi 6)

802.11ax

匿名メッセージをBluetooth経由で端末に送る攻撃

ブルージャッキング

Bluetooth端末にある情報を本人に気づかれずにアドレス帳などにアクセスする攻撃

ブルースナーフィング

LAN 内で IP アドレスと MAC アドレスの対応付けに用いる ARP の応答を偽装することにより、ネットワーク上の他の機器になりすます攻撃手法

ARP スプーフィング

偽のMACソースアドレスを持つイーサネットフレームを大量に送信する攻撃IPV6

MACフラッディング

通常はアクセスできない他のVLAN上のトラフィックにアクセスすること

VLANホッピング

ループバックアドレス

127.0.0.1

IPアドレスの割り当てがない場合に、自分のIPアドレスを自動で割り当てるときに使用するIPアドレス

APIPAアドレス

OSIモデルの第2層と第3層の両方で動作するリンクステートルーティングプロトコル

MPLS

ATMやDSLなどのプロトコルを処理する

MPLS

ルーティングテーブルの計算を減らし、WANの効率化を目的とした広域ネットワークプロトコルの作成に役立つ

MPLS

IPとPortまたはMACアドレスで通信制限をする

ファイアウォール

WEPで使用される。保護機能に脆弱性があり危険

LEAP

トンネリング、VPNで使われる

PPTP

ビジネスアプリケーションへのAPIを提供する

アプリケーションプレーン

ネットワーク機能やプログラマビリティの制御をする

コントロールプレーン

スイッチやルータなどのインフラを含む

データプレーン

トラストアンカー（信頼の出発点）に依存することで、後続のアクションで作られたシステムはセキュアな状態であることを保証する

ルートオブトラスト (RoT)

複数の内部ローカルアドレスを1つの外部グローバルアドレスに変換することができます

PAT

無線通信する際の規格

WEP, WPA, WPA2

無線通信の暗号化方式

TKIP (RC4), CCMP (AES)

WEPの重大なセキュリティ問題を修正するために、ｘｘｘｘが使用された

TKIP

暗号化アルゴリズムにRC4を用い、一定の送受信回数ごとに切り替わる一時鍵や、MACアドレスを暗号キーに加える

TKIP

一見正規の SSID とみせかけて、新しい接続を誘うことを目的としたアクセスポイント

不正アクセスポイント

標的としたシステムのアクセス権を取得しようとしてキャプチャーした通信を再送信する攻撃。

リプレイ

無線ネットワークを見つけるために検出ツールを使用する一連の行為

ウォードライビング

レイヤ2フォワーディング(L2F)機能とPPTPを組みあわせたプロトコル

L2TP

GRE (ジェネリックルーティングカプセル化) によってエンドポイント間のトンネルを構築するレガシーなプロトコル

PPTP

人間用にデザインされたディスプレイ出力からデータを抽出するプログラム

スクリーンスクレーパー

1回決めたらずっと使い続ける

PVC

スイッチしながら使う

SVC

Spoofing (なりすまし)

真正性の侵害

Tampering (改ざん)

完全性の侵害

Information disclosure (情報漏洩)

否認防止を侵害

Elevation of Privilege (権限昇格)

間接的に機密性、完全性、可用性を侵害

Spoofing (なりすまし)

多要素認証や通信の暗号化で防止

Tampering (改ざん)

ファイルの暗号化やアクセス制御で防止

Repudiation (否認防止)　

デジタル署名が有効

Information disclosure (情報漏洩)　

多層防御が有効

Denial of Service (サービス妨害)　

防ぐのは困難。FWやCDNを利用

Elevation of Privilege (権限昇格)

IDS/IPS/WAF

市販されている既製品のこと

商用オフザシェルフ

スーパークラスの特徴を共有するサブクラスを定義する

継承

ネットワーク上の異なるマシンに存在する製品間の相互運用性のニーズに対応する一連のスタンダード

CORBA

再初期化を行わないリソースの再利用（2次メモリの中をいじられる）

データ残留

やりとして、結果が決定されたら、それを維持する

トランザクションの永続化

やりとりして、途中で止まったらもとに戻す

フォールトトレランスと復旧

印刷物やスクリーン上でデータをどのようにフォーマットして配置するかを表現する方法（プログラム言語ではない）

マークアップ言語

企業内の情報と関連リソースを効率的かつ効果的に管理する方法

ナレッジマネジメント

信頼できないコードを実行させる攻撃

XSS (Cross Site Scripting)

認証されたリクエストを第三者のサイトに強制的に送信させる攻撃

CSRF (Cross Site Request Forgery）

Webアプリの安全な展開の焦点を当てた、複数の有用なフレームワークを提供している

OWASP

マルウェア（悪意のあるソフトウェア）は、価値のあるリソースや資産に害を及ぼすことを目的として作成されたアプリケーション（ｘｘｘを破壊）

完全性

疑わしいと思われる不審なコードを探す。誤検知が多い

ヒューリスティックスキャン

通信を監視し、当該アドレスからのアクセスを遮断する

NIPS

サーバと別のコンピュータの通信を監視し、遮断などを行う。また、ソフトウェアの脆弱性や異常動作を悪用した攻撃をOSレベルで防いだり、一般利用者のアカウントによる管理者権限の取得を禁止したり、アクセスログの改竄を防いだりする

HIPS

ランサム攻撃に対する戦略は、ｘｘ（バックアップを維持、バックアップが感染していないことを検証）

拒否

ランサム攻撃に対する戦略は、ｘｘ（ファイル1個1個単位の構成管理をしておく）

検出

最初から正確にコードを記述し、ソフトウェアの欠陥やバグを制御・防止すること（欠陥を取り除くことより、防止することに重点を置く）

クリーンルーム

開発と運用の組み合わせによって、改善が必要な製品をより短い期間でデプロイできる

DevOps

Webブラウザやモバイルの操作から検査する

インタラクティブテスト (IAST; Interactive Application Security Testing)

潜在的なセキュリティ違反が発生した際に、そのコードを終了させるために使用するセキュリティ保護ツール

ランタイムテスト (RASP; Runtime Application Security Testing)

DMBSでデータを読み書きできるユーザを制限すること（デッドロックしないように）

ロック制御メカニズム

データ汚染管理：入力コントロール

ハッシュサム、エラー検出・修正・自己チェックディジットなど

データ汚染管理：出力コントロールの例

トランザクションの妥当性確認、認可制御、監査証跡など

大量のトランザクションすべてをホストで処理すること

OLTP (OnLine Transaction Processing)

プログラムやドキュメントに対する変更を監視し管理すること

構成管理 (CM; Configuration Management)

変更が段階的に厳密に合意された方法で実行されることを保証するもの

構成管理計画

ソフトウェアを共有する場合は、ポリシー、開発管理、ライフサイクル管理を確実に行うことで、不正な変更から保護する必要がある

情報保護管理

コントロールの粒度が不十分な場合は、ｘｘｘｘや職務分離を適切に実施すること

最小権限

NISTやISOなど正式なリスク管理フレームワークを使うことでリスク管理と緩和の意思決定サイクルを網羅することができる

リスクマネジメントフレームワーク (RMF)

品質基準を満たすことも目的としたモデル

ソフトウェア能力成熟度モデル (CMM; Capabilities Maturity Model)

ソフトウェアが要求事項をどれだけ満たしているかを確認する

ソフトウェア品質保証またはソフトウェアアシュアランス

システムが受け入れ基準を満たしているかを判断し、オーナーや顧客がシステムを受け入れるかどうかを決定するために実施するテスト

受け入れテスト

多数のテストケースを繰り返し実施して、その結果をベースラインと比較する

回帰テスト

本番データはプライバシーや知る必要性のポリシー影響を及ぼす可能性があるため、使用しない。使用するなら、ｘｘｘｘと協議

データーオーナー

設計されたセキュリティ対策に焦点を当てて、それらが正しく動作しているか、環境全体がもたらす脅威に対応しているかを評価する

セキュリティ評価テスト

オープンソースソフトウェアとセキュリティのリスク

誠意のないプログラマが、脆弱性を見つけてもコミュニティ全体に報告しない可能性がある

独立したソフトウェアのリスクは

ソフトウェアやファームウェアは、メーカーやベンダのサポートを受けられなくなる可能性がある

コンプライアンススタンダードに対する評価（外部による個人よって行われる）

公式 (Formal)

コンプライアンススタンダードの一部分に対する評価。コンプライアンス要件を満たすものではない。（社内の人材、第三者などで行われる）

非公式 (Informal)

コンピュータセキュリティのための国際規格であり、IT 製品や情報システムに対して、情報セキュリティを評価し認証するための評価基準を定めている

CC (Common Criteria)

SOC 2, 3 で使われており、セキュリティ、可用性、処理の完全性、機密性、プライバシーなどを評価するための判断基準

トラストサービス基準 (Trust Services Criteria)

確立の法則に基づいて、母集団に対するコントロールの状況を推測

統計的サンプリング

専門的な知識に基づいて、評価対象を決めて、優先順位を決める

判断に基づくサンプリング　

コントロールが適切に運用されているかどうかを判断する

コンプライアンステスト

ソースコード解析技術によるテスト

静的アプリケーションテスト (SAST; Static Analysis and Security Testing)

ソフトウェア構造の何割がテストされたかを示すメトリクス (評価基準)

テストカバレッジ

関数や条件などを使った式で評価される

コードカバレッジ

アプリケーションとサーバ間のやり取りが正しく実行されているかどうかを確認する

インターフェーステスト

ペネトレーションテストをする前に、明確に定義されたｘｘｘｘｘを定めてから契約する

交戦規程 (RoE; Rules of Engagement)

セキュリティ研究者がシステムや製品の脆弱性を調査、探索、リバースエンジニアリングで検出すること

倫理的ハッキング

情報を保護する際に行われる最も重要なセキュリティ活動の一つ

アクセス管理

ユーザが行うであろう想定されるアクションのことを、ｘｘｘｘと呼ぶ。これはエミュレートしたり、または実際の記録された操作を利用する。

シンセティックトランザクション

100

シンセティックモニタリング（合成モニタリング）は、ｘｘｘｘｘな監視とも呼ばれ、シンセティックトランザクションを使用して、応答時間、機能、またはその他のパフォーマンスモニターにおけるパフォーマンスの変化を監視・検証する

プロアクティブ

CISSP_test1

CISSP_test1

CISSP_test2

エッグスンシングス · 77問 · 2年前

CISSP_test2

77問 • 2年前

CISSP_test3

CISSP_test3

CISSP_test4

CISSP_test4

CISSP_test5

CISSP_test5

CISSP_test6

エッグスンシングス · 57問 · 2年前

CISSP_test6

57問 • 2年前

CISSP（模擬テスト3）

エッグスンシングス · 30問 · 2年前

CISSP（模擬テスト3）

30問 • 2年前

CISSP本番

CISSP本番

CISS本番2

CISS本番2

Udemy

Udemy

CISSP本番3

CISSP本番3

CISSP本番4

CISSP本番4

CISSP本番5

エッグスンシングス · 14問 · 1年前

CISSP本番5

14問 • 1年前

ISC(Final Assessment )

エッグスンシングス · 40問 · 1年前

ISC(Final Assessment )

40問 • 1年前

CISSP　暗記（PORT）

エッグスンシングス · 85問 · 1年前

CISSP　暗記（PORT）

85問 • 1年前

CISSP(予想問題）

エッグスンシングス · 22問 · 1年前

CISSP(予想問題）

22問 • 1年前

ISC2（ドメイン1）

エッグスンシングス · 42問 · 1年前

ISC2（ドメイン1）

42問 • 1年前

ISC2（ドメイン2）

エッグスンシングス · 25問 · 1年前

ISC2（ドメイン2）

25問 • 1年前

ISC2（ドメイン3）

エッグスンシングス · 69問 · 1年前

ISC2（ドメイン3）

69問 • 1年前

ISC2（ドメイン4）

エッグスンシングス · 26問 · 1年前

ISC2（ドメイン4）

26問 • 1年前