暗記メーカー

暗記メーカー

ログイン
CISSP(ドメイン6)
82問 • 2年前
  • エッグスンシングス
    • 通報

    問題一覧

  • 1

    ポートスキャン中に TCP 及び udp 137 ~139 TCP 445 および TCP 1433 上でサービスを実行しているシステムを発見したマシンに接続すると 見つかる可能性が高い システムは 次のどれか

    SQLサーバ

  • 2

    新しいソフトウェアテストの設計とテストの品質確認に使用する方法は 次のどれか か

    ミューテーション テスト

  • 3

    ポートスキャン中に TCP ポート 443 システムが開いてることを発見した 。このポート上で実行する可能性が高い サービスをスキャンするのに適切ツールはどれか

    Nikto

  • 4

    Web アプリケーションのフォームに記入する 自動化 ツールを使用してフォーマット 文字列 の脆弱性を診断したいと考えている。 使用すべき数字はどれか

    ファザー

  • 5

    システムの脆弱性をスキャンする必要性があり、 リモートシステムを診断するためのオープンソース ツールを使いたいと考えている。 この要件を満たし 脆弱性スキャンが可能なツールはどれか

    OpenVAS

  • 6

    NIST SP 800-53 A には評価対象項目の特定に使用可能な4つのタイプの評価 オブジェクトが記載されている。 評価対象に IPS デバイスが含まれる場合、 どのタイプの評価 オブジェクトが評価されるか

    メカニズム

  • 7

    RFP の回答として SOC1のレポート 受け取った 。運用の有効性との詳細を含む レポート 入手したい場合、 何をすべきか 理由は何か

    SOC2 タイプ2レポート。 タイプ1は運用の有用性 カバーしてないため

  • 8

    無線ネットワークのペネトレーションテスト中に、パスワードファイルを使ってネットワークに対してAircrack-ng実行する。 このパスワードクラッキング 操作が失敗する原因は 次のどれか

    エンタープライズモード の WPA 2 の実行

  • 9

    勤務時間中によく知られた アパッチ ウェブサーバーに ゼロディ脆弱性があることが通知された。 情報セキュリティ アナリストとしての、ネットワークをすぐにスキャンして問題に対して 脆弱性 を判別することである。 脆弱な システムを速やかに特定するために行うべき 最良の方法はどれか

    影響を受ける バージョンを特定し 自動 スキャナーを使用してそのバージョン番号のシステムをチェックする

  • 10

    アクティブなワイヤレスキャンに関する潜在的な問題でないのはどれか

    組織のワイヤレス IPS の警告を誘発する金利の組織に属するデバイスをスキャンする不正なデバイスを誤認識する

  • 11

    ベンが使用するファジング ツールではデータモデルを開発し、 アプリケーションでのデータの使用に関する情報に基づいて ファジング データを作成することにより 、アプリケーションをテストする。ベンが行っているファジングのタイプは次のどれか

    ジェネレーショナル

  • 12

    ネットワークの各部間のトラフィック情報をロギング及び レビューしたいと考えている。この分析をするために ルーターで有効にすべきネットワーク ロギングはどれか

    フローロギング

  • 13

    組織は何年もの間は システムバックアップを実施してきたが、頻繁にバックアップを使用することはなかった。最近のシステム停止時に管理者がバックアップから復元しようとすると、バックアップにエラーがあり 復元できないことがわかった。 次回 組織のバックアップは確実に機能する方法を選択するとき、 避けるべき選択肢はどれか

    MTD検証

  • 14

    図に示されている各デバイスについてインフラストラクチャー 全体でログを時系列化するにはどの技術を使用すべきか

    NTP

  • 15

    ペネトレーションテスト中にシステムを特定する必要性があるが 、”raw packeet”を生成するための権限を保有していなかった。 公開されているサービスを検証するために実行すべき スキャンはどれか

    TCP接続スキャン

  • 16

    nmapを使用してポートスキャン中にシステムで次の2つのポートが開いている 発見し、 不安に恐れた。 これらのポートで実行されると思われるサービスは 次のどれか ポート(21)、ポート(23)

    FTPとTelnet

  • 17

    攻撃者が悪用できる広範な脆弱性がネットワークにあることを 経営陣に納得させたいと考えている。ペネトレーションテストとして現実的な攻撃を行いたい場合、彼女はどのようなペネトレーションテストを実施すべきか

    ブラックボックス

  • 18

    ソフトウェアテストがアプリケーションの潜在的なユースケースをどの程度まで網羅してるかを評価する方法として、一般的に使用されるのはどれか

    テストカバレッジ分析

  • 19

    システムが許容してはならない機能に焦点を当てたテストのタイプは 次のどれか

    ミスユースケーステスト

  • 20

    パフォーマンスを監視するために、 ウェブサイトのシミュレーションされた トラフィックを使用する監視タイプは 次のどれか

    シンセティックモニタリング

  • 21

    Web 脆弱性スキャナーで検出される可能性が低い 脆弱性はどれか

    レースコンディション

  • 22

    テスト 対象の Web アプリケーションにデータを送信するスクリプトを作成する。このスクリプトは実行されるたびに、期待される要件に適合するデータを含む 一連のトランザクションを送信して、 典型的な顧客の振る舞いに Web アプリケーションが応答することを検証する。 使用しているトランザクションの種類は 次のどれか、 また このテストの種類はどれか

    シンセティック、ユースケース テスト

  • 23

    アプリケーションまたはウェブサイトに対するユーザーの操作を記録して品質とパフォーマンスを保証する パッシブモニタリングの手法はどれか

    リアル ユーザーモニタリング

  • 24

    今年の初め 、会社の情報セキュリティ チームは 、管理する Web サーバーの脆弱性を特定した。彼はすぐにパッチを適用し、それが正しくインストールされていることを確認しているにもかかわらず 脆弱性スキャナーは、バージョン番号が原因でシステムが脆弱であるという誤ったフラグを立て続けている。この問題に対処するために選ぶべき最善の選択肢はどれか

    システムには パッチが適用済みであり脆弱ではない というフラグを立てることを 情報的にチームに依頼する

  • 25

    Web ブラウザによる予期しない データの処理を、自動化ツールを使用してテストしたいと考えている。 どのツールを使用すべきか

    zzuf

  • 26

    「STRIDE」とは「なりすまし (Spoofing)」、「改ざん (Tampering) 」、「否認(Repudiation) 」 、「漏洩 (Information Disclosure) 」 、サービス拒否「DoS (Denial of Service) 」、「権限昇格 (Elevation of Privilege)」を意味する。どの部分で約に立つか

    脅威のカテゴリー化

  • 27

    無線侵入検知システムなどの無線 セキュリティ技術 を実装する前にパッシブスキャンを追加で実施すべきなのはなぜか

    不正なデバイスの特定に 役立つ

  • 28

    ペレ ストレーションテスト中に組織の Bluetooth セキュリティをテストするように依頼された 。雇用主に説明すべき 懸念事項でないものはどれか

    Bluetooth のアクティブスキャンでは Bluetooth デバイスのセキュリティモードを評価できない

  • 29

    以下のソフトウェアテストのうち パッチの構成の変更によって取り込まれた 新しいバグを明らかにするものはどれか

    回帰テスト

  • 30

    組織の高リスク領域を予測する必要性がある。 メトリックスを使用してリスクが発生する傾向を評価したいと考えている。 これを取り扱うには何をすべきか

    主要リスク指標を特定し、追跡する

  • 31

    シンセティックモニタリングとパッシング モニタリングの違いは何か

    パッシング モニタリングは問題が発生した後のみ有効に働く

  • 32

    計画策定において最も重要なタスクはどれか

    許可の取得

  • 33

    発見 フィール中に使用される可能性が最も高い ツールは次のどれか

    Nmap

  • 34

    ペネトレーションテストの「報告」フェーズで、問題が発生しないように、「計画策定」フェーズ中に対処べき重要な懸念事項はどれか

    脆弱性データの保存方法と送信方法

  • 35

    一連のコード テストの妥当性確認を行う際、 一般的に使用される4つの カバレッジ 基準は 次のどれか

    機能 、ステートメント、 分岐 及び 条件 カバレッジ

  • 36

    セキュリティマネージャーとしての職務の一環として 経営陣に以下のグラフを提出する。彼が提供する 特定の種類は 次のうちどれか

    主要業績評価指標

  • 37

    ログレビューの時全てのユーザーに固有のユーザー ID で使用するのは何のためか

    説明責任

  • 38

    ソフトウェアテストプロセスにおいて、通常は テスト 対象とならない インターフェースはどれか

    ネットワークインターフェース

  • 39

    セキュリティ設定共通化手順(SCAP)を使用して脆弱性管理プログラムを標準化している。各種のセキュリティ評価ツールによって生成される 脆弱性の特定を調整するために使用できるSCAPコンポーネントはどれか

    CVE

  • 40

    不適切な構成 論理上および機能上の欠陥 及び 粗悪なプログラミングの行方が原因となるセキュリティ上の問題は次のうちどれか

    セキュリティの脆弱性

  • 41

    脆弱性 スキャナーによって特定された 脆弱性を修復するために戦略として妥当でないものはどれか

    バナー または バージョン番号を更新する

  • 42

    ペネトレーションテストに関する障害でないものは次のどれか

    脆弱性の悪用

  • 43

    セキュリティ 及び プライバシー コントロールの評価について記述されている NIST SP をどれか

    800-53A

  • 44

    海外の組織全体で使用する監査基準の決定作業 手伝っている組織が監査において使用する可能性が低い it 標準はどれか

    ITIL

  • 45

    NIST SP 800-137の記述に従って。情報セキュリティの継続監視(ISCM)プログラムを構築、実装する一般的なプロセスとして最適なものは

    定義、確立、実装、分析と報告、対応、レビューと更新

  • 46

    リリースする各パッチに対して回帰 テストを実施している。テストの効果を測定するために彼らは維持するべき 主要な パフォーマンス 特定はどれか

    欠陥再発率の測定

  • 47

    通常、人間が行わない コードレビューはどれか

    静的プログラム分析

  • 48

    ソフトウェア テスターは、エラー 条件が発生する場合のみ使用される行動を含む全てのコード パスをテストする必要性がある。 コードカバレッジを完全なものにするために、チームは必要な テスト環境をどれか?

    ホワイトボックス

  • 49

    新しいアプリケーションの継続的なテストの一環として、一連のブラックボックス テスト用にテストケースを設計した。これらの機能テストが実行されると、テスト結果を説明するレポートが作成される。 このテスト中にテスト メトリックスを示すために 、通常 どのような レポートが生成されるか

    テストカバレッジレポート

  • 50

    コードカバレッジテストの一環として、ロギングツールとトレーシング ツールを使用して 非実稼働環境で分析を行う。運用環境の変化によって、テスト中に見落とされる可能性が高い 行動の問題はどれか

    レースコンディション

  • 51

    脆弱性スキャンを実施し、 機密情報を取り扱うサーバーに重大な脆弱性を発見した次に取るべき プロセスはどれか

    妥当性確認

  • 52

    アプリケーションコードのレビューをしている。レビューを計画し、 レビューとともに 概要 セッションを実施して役割を割り当てた後 、レビューとともに素材をレビューし、それぞれの役割の準備をする 。次に行動 のレビューと修正を行い、 見つかった全ての欠陥を確実に取り除く。 実施してるのはどのレビューか

    Faganインスペクション

  • 53

    データセンターで発見した複数の脆弱性を悪用 可能性 エクスプロイドコードの有無、 修復困難性に基づいて 比較したいと考えている。この これらの脆弱性 メトリックスの比較に使用すべき 評価システムはどれか

    CVSS

  • 54

    ネットワークポートスキャン中に組織のオフィス 全体において TCP ポート80、443、515、9100 上の多数のホストが応答してるの発見する 。発見してる可能性が高い デバイスの種類はどれか

    プリンター

  • 55

    Nikto、Brup Suite,Wapitiはすべてどのようなツールか

    Webアプリケーション脆弱性スキャナー

  • 56

    ペネトレーションテスト作業にMetasploitを取り入れること 提案している。 このツールを使用することで発生を予期すべきことは次のどれか

    システムの既知の脆弱性が侵害される

  • 57

    E コマースアプリケーションのコンポーネント間の相互作用が全て適切に処理されていることを確認する必要性がある。 インストラクチャー 全体の通信エラー処理およびセッション管理機能を検証しようとしている、 どのようなテストを実行計画してるか

    インターフェーステスト

  • 58

    組織のログ管理システム設計しており、 組織のログ データの取り扱いを慎重に計画する必要があると認識している。懸念すべきでない要素はどれか

    十分なログソースの欠如

  • 59

    組織内の様々なセキュリティ チームから得られる情報を関連付けるのに苦労している 特に一貫性のある形式で オペレーティングシステムを記述する方法を知りたいと思っている彼にとって役立つ SCAPコンポーネントはどれか

    CPE

  • 60

    Windows のシステムをリブートするとき 生成されるログのタイプはどれか

    情報

  • 61

    アクセスログのレビュー中にダニエルがニューヨークで毎日8時に ワークテーション ログインしているが、毎日、午前3時過ぎにも 部署のメイン Web アプリケーションに短時間 ログインしていることが記録されているのに気づいた。可能性がある一般的なログインの問題はどれか

    不整合なタイムスタンプ

  • 62

    ネットワーク経由で利用できるサービスを介して アクセス可能な情報に加えて、実行対象システムの構成情報にアクセスする脆弱性スキャンはどれか

    認証スキャン

  • 63

    権限昇格の脅威につながる 認可の問題に対処する必要性がある。 次のコントロールのうち このタイプの問題に最も適しているのはどれか

    ロールベースのアクセス制御が特定の操作で使われている

  • 64

    複数のサーバーで共有されている対象鍵の使用によって引き起こされるトランザクション 識別の問題をカテゴリー化しようとしている。これに対応 該当する STRIDEカテゴリーはどれか

    否認

  • 65

    データの改ざんを防止または検出しようとしている。次のうち 適切な解決策ではないものどれか

    フィルタリング

  • 66

    Web アプリケーションのテスト プログラムにファジンググテストを使用することを検討している。ファジングテストの採用決定する上で考慮すべき事項はどれか

    ファザーでは コードが完全にカバーされない場合がある

  • 67

    チームは開発したソフトウェアのテストプロセスを設計している。設計しているテストでは、テスト中に全てのコード 行が実行されたことを検証する 。どんな分析を行っているか

    ステートメントカバレッジ

  • 68

    ベネットレーションテストを実行している場合 、これらの結果を受け取った後に彼が実行すべき ステップは次のどれか

    今後のスキャンのために 対処 ポートを特定する

  • 69

    コードを実行せずに レビューするには、どのような手法が必要か

    静的分析

  • 70

    コードレビューの提案依頼書(RFP) を作成する必要性があり、 組織のアプリケーションの背後にあるビジネスロジックをレビューアーに入れて欲しいと 思っている。RDPに指定するべき コード レビュー どれか

    人手による

  • 71

    悪意あるユーザーのほか、低減策や脅威などの説明を含め 含む、 アプリケーション 脅威モデリングで使用される図はどれか

    ミスユースケース図

  • 72

    組織のペネトレーションテスト中に 。IPS は URG、FIN、PSHフラグがセットされたボード スキャンを検出し、警告を発した。ベネデーションテスターが施行しているスキャンはどれか

    Xmasスキャン

  • 73

    脆弱性スキャナーで発見されない 脆弱性 どれか

    ゼロディ脆弱性

  • 74

    MITREのCVEデータベースはどのような情報を提供しているか?

    脆弱性情報

  • 75

    NIST SP800-53Aに従って 評価を設計する場合 、ポリシーと プロシージャー 含まれる 評価要素はどれか

    仕様

  • 76

    次のうち 「発見」フェーズの一部でないものはどれか

    権限昇格

  • 77

    NISTは、「攻撃」フェーズの4つのステップを規定している。 これはアクセスの取得 、権限の昇格、システムブラウジング、 追加ツールのインストール である 。攻撃者が追加ツールをインストールした後 、ペネトレーションテスターが通常 戻る フェーズはどれか

    アクセス取得

  • 78

    ペネトレーションテスターが、ターゲットとするOSを特定できないツールはどれか?

    sqlmap

  • 79

    「報告」フェーズで問題が発生しないように、「計画策定」フェーズ中に対処すべき最も重要な懸念事項はどれか?

    脆弱性データの保存方法と送信方法

  • 80

    管理者は、バックアップの成功と失敗のログを毎日レビューし、報告された例外(異常)を解決するためにタイムリーに措置を講じる必要があると指摘された。最大の問題は何か?

    バックアップを使用できない可能性がある

  • 81

    ペネトレーションテスト中に、IPSはURG、FIN、PSHフラグがセットされたポートスキャンを検出し、警告を発した。どのスキャンか?

    Xmasスキャン

  • 82

    ペネトレーションテストレポートの典型的な一部でないものはどれか

    テスト中に集められたすべての機密データ

    • 問題一覧

  • 1

    ポートスキャン中に TCP 及び udp 137 ~139 TCP 445 および TCP 1433 上でサービスを実行しているシステムを発見したマシンに接続すると 見つかる可能性が高い システムは 次のどれか

    SQLサーバ

  • 2

    新しいソフトウェアテストの設計とテストの品質確認に使用する方法は 次のどれか か

    ミューテーション テスト

  • 3

    ポートスキャン中に TCP ポート 443 システムが開いてることを発見した 。このポート上で実行する可能性が高い サービスをスキャンするのに適切ツールはどれか

    Nikto

  • 4

    Web アプリケーションのフォームに記入する 自動化 ツールを使用してフォーマット 文字列 の脆弱性を診断したいと考えている。 使用すべき数字はどれか

    ファザー

  • 5

    システムの脆弱性をスキャンする必要性があり、 リモートシステムを診断するためのオープンソース ツールを使いたいと考えている。 この要件を満たし 脆弱性スキャンが可能なツールはどれか

    OpenVAS

  • 6

    NIST SP 800-53 A には評価対象項目の特定に使用可能な4つのタイプの評価 オブジェクトが記載されている。 評価対象に IPS デバイスが含まれる場合、 どのタイプの評価 オブジェクトが評価されるか

    メカニズム

  • 7

    RFP の回答として SOC1のレポート 受け取った 。運用の有効性との詳細を含む レポート 入手したい場合、 何をすべきか 理由は何か

    SOC2 タイプ2レポート。 タイプ1は運用の有用性 カバーしてないため

  • 8

    無線ネットワークのペネトレーションテスト中に、パスワードファイルを使ってネットワークに対してAircrack-ng実行する。 このパスワードクラッキング 操作が失敗する原因は 次のどれか

    エンタープライズモード の WPA 2 の実行

  • 9

    勤務時間中によく知られた アパッチ ウェブサーバーに ゼロディ脆弱性があることが通知された。 情報セキュリティ アナリストとしての、ネットワークをすぐにスキャンして問題に対して 脆弱性 を判別することである。 脆弱な システムを速やかに特定するために行うべき 最良の方法はどれか

    影響を受ける バージョンを特定し 自動 スキャナーを使用してそのバージョン番号のシステムをチェックする

  • 10

    アクティブなワイヤレスキャンに関する潜在的な問題でないのはどれか

    組織のワイヤレス IPS の警告を誘発する金利の組織に属するデバイスをスキャンする不正なデバイスを誤認識する

  • 11

    ベンが使用するファジング ツールではデータモデルを開発し、 アプリケーションでのデータの使用に関する情報に基づいて ファジング データを作成することにより 、アプリケーションをテストする。ベンが行っているファジングのタイプは次のどれか

    ジェネレーショナル

  • 12

    ネットワークの各部間のトラフィック情報をロギング及び レビューしたいと考えている。この分析をするために ルーターで有効にすべきネットワーク ロギングはどれか

    フローロギング

  • 13

    組織は何年もの間は システムバックアップを実施してきたが、頻繁にバックアップを使用することはなかった。最近のシステム停止時に管理者がバックアップから復元しようとすると、バックアップにエラーがあり 復元できないことがわかった。 次回 組織のバックアップは確実に機能する方法を選択するとき、 避けるべき選択肢はどれか

    MTD検証

  • 14

    図に示されている各デバイスについてインフラストラクチャー 全体でログを時系列化するにはどの技術を使用すべきか

    NTP

  • 15

    ペネトレーションテスト中にシステムを特定する必要性があるが 、”raw packeet”を生成するための権限を保有していなかった。 公開されているサービスを検証するために実行すべき スキャンはどれか

    TCP接続スキャン

  • 16

    nmapを使用してポートスキャン中にシステムで次の2つのポートが開いている 発見し、 不安に恐れた。 これらのポートで実行されると思われるサービスは 次のどれか ポート(21)、ポート(23)

    FTPとTelnet

  • 17

    攻撃者が悪用できる広範な脆弱性がネットワークにあることを 経営陣に納得させたいと考えている。ペネトレーションテストとして現実的な攻撃を行いたい場合、彼女はどのようなペネトレーションテストを実施すべきか

    ブラックボックス

  • 18

    ソフトウェアテストがアプリケーションの潜在的なユースケースをどの程度まで網羅してるかを評価する方法として、一般的に使用されるのはどれか

    テストカバレッジ分析

  • 19

    システムが許容してはならない機能に焦点を当てたテストのタイプは 次のどれか

    ミスユースケーステスト

  • 20

    パフォーマンスを監視するために、 ウェブサイトのシミュレーションされた トラフィックを使用する監視タイプは 次のどれか

    シンセティックモニタリング

  • 21

    Web 脆弱性スキャナーで検出される可能性が低い 脆弱性はどれか

    レースコンディション

  • 22

    テスト 対象の Web アプリケーションにデータを送信するスクリプトを作成する。このスクリプトは実行されるたびに、期待される要件に適合するデータを含む 一連のトランザクションを送信して、 典型的な顧客の振る舞いに Web アプリケーションが応答することを検証する。 使用しているトランザクションの種類は 次のどれか、 また このテストの種類はどれか

    シンセティック、ユースケース テスト

  • 23

    アプリケーションまたはウェブサイトに対するユーザーの操作を記録して品質とパフォーマンスを保証する パッシブモニタリングの手法はどれか

    リアル ユーザーモニタリング

  • 24

    今年の初め 、会社の情報セキュリティ チームは 、管理する Web サーバーの脆弱性を特定した。彼はすぐにパッチを適用し、それが正しくインストールされていることを確認しているにもかかわらず 脆弱性スキャナーは、バージョン番号が原因でシステムが脆弱であるという誤ったフラグを立て続けている。この問題に対処するために選ぶべき最善の選択肢はどれか

    システムには パッチが適用済みであり脆弱ではない というフラグを立てることを 情報的にチームに依頼する

  • 25

    Web ブラウザによる予期しない データの処理を、自動化ツールを使用してテストしたいと考えている。 どのツールを使用すべきか

    zzuf

  • 26

    「STRIDE」とは「なりすまし (Spoofing)」、「改ざん (Tampering) 」、「否認(Repudiation) 」 、「漏洩 (Information Disclosure) 」 、サービス拒否「DoS (Denial of Service) 」、「権限昇格 (Elevation of Privilege)」を意味する。どの部分で約に立つか

    脅威のカテゴリー化

  • 27

    無線侵入検知システムなどの無線 セキュリティ技術 を実装する前にパッシブスキャンを追加で実施すべきなのはなぜか

    不正なデバイスの特定に 役立つ

  • 28

    ペレ ストレーションテスト中に組織の Bluetooth セキュリティをテストするように依頼された 。雇用主に説明すべき 懸念事項でないものはどれか

    Bluetooth のアクティブスキャンでは Bluetooth デバイスのセキュリティモードを評価できない

  • 29

    以下のソフトウェアテストのうち パッチの構成の変更によって取り込まれた 新しいバグを明らかにするものはどれか

    回帰テスト

  • 30

    組織の高リスク領域を予測する必要性がある。 メトリックスを使用してリスクが発生する傾向を評価したいと考えている。 これを取り扱うには何をすべきか

    主要リスク指標を特定し、追跡する

  • 31

    シンセティックモニタリングとパッシング モニタリングの違いは何か

    パッシング モニタリングは問題が発生した後のみ有効に働く

  • 32

    計画策定において最も重要なタスクはどれか

    許可の取得

  • 33

    発見 フィール中に使用される可能性が最も高い ツールは次のどれか

    Nmap

  • 34

    ペネトレーションテストの「報告」フェーズで、問題が発生しないように、「計画策定」フェーズ中に対処べき重要な懸念事項はどれか

    脆弱性データの保存方法と送信方法

  • 35

    一連のコード テストの妥当性確認を行う際、 一般的に使用される4つの カバレッジ 基準は 次のどれか

    機能 、ステートメント、 分岐 及び 条件 カバレッジ

  • 36

    セキュリティマネージャーとしての職務の一環として 経営陣に以下のグラフを提出する。彼が提供する 特定の種類は 次のうちどれか

    主要業績評価指標

  • 37

    ログレビューの時全てのユーザーに固有のユーザー ID で使用するのは何のためか

    説明責任

  • 38

    ソフトウェアテストプロセスにおいて、通常は テスト 対象とならない インターフェースはどれか

    ネットワークインターフェース

  • 39

    セキュリティ設定共通化手順(SCAP)を使用して脆弱性管理プログラムを標準化している。各種のセキュリティ評価ツールによって生成される 脆弱性の特定を調整するために使用できるSCAPコンポーネントはどれか

    CVE

  • 40

    不適切な構成 論理上および機能上の欠陥 及び 粗悪なプログラミングの行方が原因となるセキュリティ上の問題は次のうちどれか

    セキュリティの脆弱性

  • 41

    脆弱性 スキャナーによって特定された 脆弱性を修復するために戦略として妥当でないものはどれか

    バナー または バージョン番号を更新する

  • 42

    ペネトレーションテストに関する障害でないものは次のどれか

    脆弱性の悪用

  • 43

    セキュリティ 及び プライバシー コントロールの評価について記述されている NIST SP をどれか

    800-53A

  • 44

    海外の組織全体で使用する監査基準の決定作業 手伝っている組織が監査において使用する可能性が低い it 標準はどれか

    ITIL

  • 45

    NIST SP 800-137の記述に従って。情報セキュリティの継続監視(ISCM)プログラムを構築、実装する一般的なプロセスとして最適なものは

    定義、確立、実装、分析と報告、対応、レビューと更新

  • 46

    リリースする各パッチに対して回帰 テストを実施している。テストの効果を測定するために彼らは維持するべき 主要な パフォーマンス 特定はどれか

    欠陥再発率の測定

  • 47

    通常、人間が行わない コードレビューはどれか

    静的プログラム分析

  • 48

    ソフトウェア テスターは、エラー 条件が発生する場合のみ使用される行動を含む全てのコード パスをテストする必要性がある。 コードカバレッジを完全なものにするために、チームは必要な テスト環境をどれか?

    ホワイトボックス

  • 49

    新しいアプリケーションの継続的なテストの一環として、一連のブラックボックス テスト用にテストケースを設計した。これらの機能テストが実行されると、テスト結果を説明するレポートが作成される。 このテスト中にテスト メトリックスを示すために 、通常 どのような レポートが生成されるか

    テストカバレッジレポート

  • 50

    コードカバレッジテストの一環として、ロギングツールとトレーシング ツールを使用して 非実稼働環境で分析を行う。運用環境の変化によって、テスト中に見落とされる可能性が高い 行動の問題はどれか

    レースコンディション

  • 51

    脆弱性スキャンを実施し、 機密情報を取り扱うサーバーに重大な脆弱性を発見した次に取るべき プロセスはどれか

    妥当性確認

  • 52

    アプリケーションコードのレビューをしている。レビューを計画し、 レビューとともに 概要 セッションを実施して役割を割り当てた後 、レビューとともに素材をレビューし、それぞれの役割の準備をする 。次に行動 のレビューと修正を行い、 見つかった全ての欠陥を確実に取り除く。 実施してるのはどのレビューか

    Faganインスペクション

  • 53

    データセンターで発見した複数の脆弱性を悪用 可能性 エクスプロイドコードの有無、 修復困難性に基づいて 比較したいと考えている。この これらの脆弱性 メトリックスの比較に使用すべき 評価システムはどれか

    CVSS

  • 54

    ネットワークポートスキャン中に組織のオフィス 全体において TCP ポート80、443、515、9100 上の多数のホストが応答してるの発見する 。発見してる可能性が高い デバイスの種類はどれか

    プリンター

  • 55

    Nikto、Brup Suite,Wapitiはすべてどのようなツールか

    Webアプリケーション脆弱性スキャナー

  • 56

    ペネトレーションテスト作業にMetasploitを取り入れること 提案している。 このツールを使用することで発生を予期すべきことは次のどれか

    システムの既知の脆弱性が侵害される

  • 57

    E コマースアプリケーションのコンポーネント間の相互作用が全て適切に処理されていることを確認する必要性がある。 インストラクチャー 全体の通信エラー処理およびセッション管理機能を検証しようとしている、 どのようなテストを実行計画してるか

    インターフェーステスト

  • 58

    組織のログ管理システム設計しており、 組織のログ データの取り扱いを慎重に計画する必要があると認識している。懸念すべきでない要素はどれか

    十分なログソースの欠如

  • 59

    組織内の様々なセキュリティ チームから得られる情報を関連付けるのに苦労している 特に一貫性のある形式で オペレーティングシステムを記述する方法を知りたいと思っている彼にとって役立つ SCAPコンポーネントはどれか

    CPE

  • 60

    Windows のシステムをリブートするとき 生成されるログのタイプはどれか

    情報

  • 61

    アクセスログのレビュー中にダニエルがニューヨークで毎日8時に ワークテーション ログインしているが、毎日、午前3時過ぎにも 部署のメイン Web アプリケーションに短時間 ログインしていることが記録されているのに気づいた。可能性がある一般的なログインの問題はどれか

    不整合なタイムスタンプ

  • 62

    ネットワーク経由で利用できるサービスを介して アクセス可能な情報に加えて、実行対象システムの構成情報にアクセスする脆弱性スキャンはどれか

    認証スキャン

  • 63

    権限昇格の脅威につながる 認可の問題に対処する必要性がある。 次のコントロールのうち このタイプの問題に最も適しているのはどれか

    ロールベースのアクセス制御が特定の操作で使われている

  • 64

    複数のサーバーで共有されている対象鍵の使用によって引き起こされるトランザクション 識別の問題をカテゴリー化しようとしている。これに対応 該当する STRIDEカテゴリーはどれか

    否認

  • 65

    データの改ざんを防止または検出しようとしている。次のうち 適切な解決策ではないものどれか

    フィルタリング

  • 66

    Web アプリケーションのテスト プログラムにファジンググテストを使用することを検討している。ファジングテストの採用決定する上で考慮すべき事項はどれか

    ファザーでは コードが完全にカバーされない場合がある

  • 67

    チームは開発したソフトウェアのテストプロセスを設計している。設計しているテストでは、テスト中に全てのコード 行が実行されたことを検証する 。どんな分析を行っているか

    ステートメントカバレッジ

  • 68

    ベネットレーションテストを実行している場合 、これらの結果を受け取った後に彼が実行すべき ステップは次のどれか

    今後のスキャンのために 対処 ポートを特定する

  • 69

    コードを実行せずに レビューするには、どのような手法が必要か

    静的分析

  • 70

    コードレビューの提案依頼書(RFP) を作成する必要性があり、 組織のアプリケーションの背後にあるビジネスロジックをレビューアーに入れて欲しいと 思っている。RDPに指定するべき コード レビュー どれか

    人手による

  • 71

    悪意あるユーザーのほか、低減策や脅威などの説明を含め 含む、 アプリケーション 脅威モデリングで使用される図はどれか

    ミスユースケース図

  • 72

    組織のペネトレーションテスト中に 。IPS は URG、FIN、PSHフラグがセットされたボード スキャンを検出し、警告を発した。ベネデーションテスターが施行しているスキャンはどれか

    Xmasスキャン

  • 73

    脆弱性スキャナーで発見されない 脆弱性 どれか

    ゼロディ脆弱性

  • 74

    MITREのCVEデータベースはどのような情報を提供しているか?

    脆弱性情報

  • 75

    NIST SP800-53Aに従って 評価を設計する場合 、ポリシーと プロシージャー 含まれる 評価要素はどれか

    仕様

  • 76

    次のうち 「発見」フェーズの一部でないものはどれか

    権限昇格

  • 77

    NISTは、「攻撃」フェーズの4つのステップを規定している。 これはアクセスの取得 、権限の昇格、システムブラウジング、 追加ツールのインストール である 。攻撃者が追加ツールをインストールした後 、ペネトレーションテスターが通常 戻る フェーズはどれか

    アクセス取得

  • 78

    ペネトレーションテスターが、ターゲットとするOSを特定できないツールはどれか?

    sqlmap

  • 79

    「報告」フェーズで問題が発生しないように、「計画策定」フェーズ中に対処すべき最も重要な懸念事項はどれか?

    脆弱性データの保存方法と送信方法

  • 80

    管理者は、バックアップの成功と失敗のログを毎日レビューし、報告された例外(異常)を解決するためにタイムリーに措置を講じる必要があると指摘された。最大の問題は何か?

    バックアップを使用できない可能性がある

  • 81

    ペネトレーションテスト中に、IPSはURG、FIN、PSHフラグがセットされたポートスキャンを検出し、警告を発した。どのスキャンか?

    Xmasスキャン

  • 82

    ペネトレーションテストレポートの典型的な一部でないものはどれか

    テスト中に集められたすべての機密データ