CISSP（ドメイン6）

通報

問題一覧

ポートスキャン中に TCP 及び udp 137 ～139 TCP 445 および TCP 1433 上でサービスを実行しているシステムを発見したマシンに接続すると見つかる可能性が高いシステムは次のどれか

SQLサーバ

新しいソフトウェアテストの設計とテストの品質確認に使用する方法は次のどれかか

ミューテーションテスト

ポートスキャン中に TCP ポート 443 システムが開いてることを発見した。このポート上で実行する可能性が高いサービスをスキャンするのに適切ツールはどれか

Nikto

Web アプリケーションのフォームに記入する自動化ツールを使用してフォーマット文字列の脆弱性を診断したいと考えている。使用すべき数字はどれか

ファザー

システムの脆弱性をスキャンする必要性があり、リモートシステムを診断するためのオープンソースツールを使いたいと考えている。この要件を満たし脆弱性スキャンが可能なツールはどれか

OpenVAS

NIST SP 800-53 A には評価対象項目の特定に使用可能な4つのタイプの評価オブジェクトが記載されている。評価対象に IPS デバイスが含まれる場合、どのタイプの評価オブジェクトが評価されるか

メカニズム

RFP の回答として SOC1のレポート受け取った。運用の有効性との詳細を含むレポート入手したい場合、何をすべきか理由は何か

SOC2　タイプ2レポート。タイプ1は運用の有用性カバーしてないため

無線ネットワークのペネトレーションテスト中に、パスワードファイルを使ってネットワークに対してAircrack-ng実行する。このパスワードクラッキング操作が失敗する原因は次のどれか

エンタープライズモードの WPA 2 の実行

勤務時間中によく知られたアパッチウェブサーバーにゼロディ脆弱性があることが通知された。情報セキュリティアナリストとしての、ネットワークをすぐにスキャンして問題に対して脆弱性を判別することである。脆弱なシステムを速やかに特定するために行うべき最良の方法はどれか

影響を受けるバージョンを特定し自動スキャナーを使用してそのバージョン番号のシステムをチェックする

アクティブなワイヤレスキャンに関する潜在的な問題でないのはどれか

組織のワイヤレス IPS の警告を誘発する金利の組織に属するデバイスをスキャンする不正なデバイスを誤認識する

ベンが使用するファジングツールではデータモデルを開発し、アプリケーションでのデータの使用に関する情報に基づいてファジングデータを作成することにより、アプリケーションをテストする。ベンが行っているファジングのタイプは次のどれか

ジェネレーショナル

ネットワークの各部間のトラフィック情報をロギング及びレビューしたいと考えている。この分析をするためにルーターで有効にすべきネットワークロギングはどれか

フローロギング

組織は何年もの間はシステムバックアップを実施してきたが、頻繁にバックアップを使用することはなかった。最近のシステム停止時に管理者がバックアップから復元しようとすると、バックアップにエラーがあり復元できないことがわかった。次回組織のバックアップは確実に機能する方法を選択するとき、避けるべき選択肢はどれか

MTD検証

図に示されている各デバイスについてインフラストラクチャー全体でログを時系列化するにはどの技術を使用すべきか

NTP

ペネトレーションテスト中にシステムを特定する必要性があるが、”raw　packeet”を生成するための権限を保有していなかった。公開されているサービスを検証するために実行すべきスキャンはどれか

TCP接続スキャン

nmapを使用してポートスキャン中にシステムで次の2つのポートが開いている発見し、不安に恐れた。これらのポートで実行されると思われるサービスは次のどれかポート（21）、ポート（23）

FTPとTelnet

攻撃者が悪用できる広範な脆弱性がネットワークにあることを経営陣に納得させたいと考えている。ペネトレーションテストとして現実的な攻撃を行いたい場合、彼女はどのようなペネトレーションテストを実施すべきか

ブラックボックス

ソフトウェアテストがアプリケーションの潜在的なユースケースをどの程度まで網羅してるかを評価する方法として、一般的に使用されるのはどれか

テストカバレッジ分析

システムが許容してはならない機能に焦点を当てたテストのタイプは次のどれか

ミスユースケーステスト

パフォーマンスを監視するために、ウェブサイトのシミュレーションされたトラフィックを使用する監視タイプは次のどれか

シンセティックモニタリング

Web 脆弱性スキャナーで検出される可能性が低い脆弱性はどれか

レースコンディション

テスト対象の Web アプリケーションにデータを送信するスクリプトを作成する。このスクリプトは実行されるたびに、期待される要件に適合するデータを含む一連のトランザクションを送信して、典型的な顧客の振る舞いに Web アプリケーションが応答することを検証する。使用しているトランザクションの種類は次のどれか、またこのテストの種類はどれか

シンセティック、ユースケーステスト

アプリケーションまたはウェブサイトに対するユーザーの操作を記録して品質とパフォーマンスを保証するパッシブモニタリングの手法はどれか

リアルユーザーモニタリング

今年の初め、会社の情報セキュリティチームは、管理する Web サーバーの脆弱性を特定した。彼はすぐにパッチを適用し、それが正しくインストールされていることを確認しているにもかかわらず脆弱性スキャナーは、バージョン番号が原因でシステムが脆弱であるという誤ったフラグを立て続けている。この問題に対処するために選ぶべき最善の選択肢はどれか

システムにはパッチが適用済みであり脆弱ではないというフラグを立てることを情報的にチームに依頼する

Web ブラウザによる予期しないデータの処理を、自動化ツールを使用してテストしたいと考えている。どのツールを使用すべきか

zzuf

「STRIDE」とは「なりすまし (Spoofing)」、「改ざん (Tampering) 」、「否認(Repudiation) 」、「漏洩 (Information Disclosure) 」、サービス拒否「DoS (Denial of Service) 」、「権限昇格 (Elevation of Privilege)」を意味する。どの部分で約に立つか

脅威のカテゴリー化

無線侵入検知システムなどの無線セキュリティ技術を実装する前にパッシブスキャンを追加で実施すべきなのはなぜか

不正なデバイスの特定に役立つ

ペレストレーションテスト中に組織の Bluetooth セキュリティをテストするように依頼された。雇用主に説明すべき懸念事項でないものはどれか

Bluetooth のアクティブスキャンでは Bluetooth デバイスのセキュリティモードを評価できない

以下のソフトウェアテストのうちパッチの構成の変更によって取り込まれた新しいバグを明らかにするものはどれか

回帰テスト

組織の高リスク領域を予測する必要性がある。メトリックスを使用してリスクが発生する傾向を評価したいと考えている。これを取り扱うには何をすべきか

主要リスク指標を特定し、追跡する

シンセティックモニタリングとパッシングモニタリングの違いは何か

パッシングモニタリングは問題が発生した後のみ有効に働く

計画策定において最も重要なタスクはどれか

許可の取得

発見フィール中に使用される可能性が最も高いツールは次のどれか

Nmap

ペネトレーションテストの「報告」フェーズで、問題が発生しないように、「計画策定」フェーズ中に対処べき重要な懸念事項はどれか

脆弱性データの保存方法と送信方法

一連のコードテストの妥当性確認を行う際、一般的に使用される4つのカバレッジ基準は次のどれか

機能、ステートメント、分岐及び条件カバレッジ

セキュリティマネージャーとしての職務の一環として経営陣に以下のグラフを提出する。彼が提供する特定の種類は次のうちどれか

主要業績評価指標

ログレビューの時全てのユーザーに固有のユーザー ID で使用するのは何のためか

説明責任

ソフトウェアテストプロセスにおいて、通常はテスト対象とならないインターフェースはどれか

ネットワークインターフェース

セキュリティ設定共通化手順（SCAP)を使用して脆弱性管理プログラムを標準化している。各種のセキュリティ評価ツールによって生成される脆弱性の特定を調整するために使用できるSCAPコンポーネントはどれか

CVE

不適切な構成論理上および機能上の欠陥及び粗悪なプログラミングの行方が原因となるセキュリティ上の問題は次のうちどれか

セキュリティの脆弱性

脆弱性スキャナーによって特定された脆弱性を修復するために戦略として妥当でないものはどれか

バナーまたはバージョン番号を更新する

ペネトレーションテストに関する障害でないものは次のどれか

脆弱性の悪用

セキュリティ及びプライバシーコントロールの評価について記述されている NIST SP をどれか

800-53A

海外の組織全体で使用する監査基準の決定作業手伝っている組織が監査において使用する可能性が低い it 標準はどれか

ITIL

NIST SP 800-137の記述に従って。情報セキュリティの継続監視（ISCM)プログラムを構築、実装する一般的なプロセスとして最適なものは

定義、確立、実装、分析と報告、対応、レビューと更新

リリースする各パッチに対して回帰テストを実施している。テストの効果を測定するために彼らは維持するべき主要なパフォーマンス特定はどれか

欠陥再発率の測定

通常、人間が行わないコードレビューはどれか

静的プログラム分析

ソフトウェアテスターは、エラー条件が発生する場合のみ使用される行動を含む全てのコードパスをテストする必要性がある。コードカバレッジを完全なものにするために、チームは必要なテスト環境をどれか？

ホワイトボックス

新しいアプリケーションの継続的なテストの一環として、一連のブラックボックステスト用にテストケースを設計した。これらの機能テストが実行されると、テスト結果を説明するレポートが作成される。このテスト中にテストメトリックスを示すために、通常どのようなレポートが生成されるか

テストカバレッジレポート

コードカバレッジテストの一環として、ロギングツールとトレーシングツールを使用して非実稼働環境で分析を行う。運用環境の変化によって、テスト中に見落とされる可能性が高い行動の問題はどれか

レースコンディション

脆弱性スキャンを実施し、機密情報を取り扱うサーバーに重大な脆弱性を発見した次に取るべきプロセスはどれか

妥当性確認

アプリケーションコードのレビューをしている。レビューを計画し、レビューとともに概要セッションを実施して役割を割り当てた後、レビューとともに素材をレビューし、それぞれの役割の準備をする。次に行動のレビューと修正を行い、見つかった全ての欠陥を確実に取り除く。実施してるのはどのレビューか

Faganインスペクション

データセンターで発見した複数の脆弱性を悪用可能性エクスプロイドコードの有無、修復困難性に基づいて比較したいと考えている。このこれらの脆弱性メトリックスの比較に使用すべき評価システムはどれか

CVSS

ネットワークポートスキャン中に組織のオフィス全体において TCP ポート80、443、515、9100 上の多数のホストが応答してるの発見する。発見してる可能性が高いデバイスの種類はどれか

プリンター

Nikto、Brup Suite,Wapitiはすべてどのようなツールか

Webアプリケーション脆弱性スキャナー

ペネトレーションテスト作業にMetasploitを取り入れること提案している。このツールを使用することで発生を予期すべきことは次のどれか

システムの既知の脆弱性が侵害される

E コマースアプリケーションのコンポーネント間の相互作用が全て適切に処理されていることを確認する必要性がある。インストラクチャー全体の通信エラー処理およびセッション管理機能を検証しようとしている、どのようなテストを実行計画してるか

インターフェーステスト

組織のログ管理システム設計しており、組織のログデータの取り扱いを慎重に計画する必要があると認識している。懸念すべきでない要素はどれか

十分なログソースの欠如

組織内の様々なセキュリティチームから得られる情報を関連付けるのに苦労している特に一貫性のある形式でオペレーティングシステムを記述する方法を知りたいと思っている彼にとって役立つ SCAPコンポーネントはどれか

CPE

Windows のシステムをリブートするとき生成されるログのタイプはどれか

情報

アクセスログのレビュー中にダニエルがニューヨークで毎日8時にワークテーションログインしているが、毎日、午前3時過ぎにも部署のメイン Web アプリケーションに短時間ログインしていることが記録されているのに気づいた。可能性がある一般的なログインの問題はどれか

不整合なタイムスタンプ

ネットワーク経由で利用できるサービスを介してアクセス可能な情報に加えて、実行対象システムの構成情報にアクセスする脆弱性スキャンはどれか

認証スキャン

権限昇格の脅威につながる認可の問題に対処する必要性がある。次のコントロールのうちこのタイプの問題に最も適しているのはどれか

ロールベースのアクセス制御が特定の操作で使われている

複数のサーバーで共有されている対象鍵の使用によって引き起こされるトランザクション識別の問題をカテゴリー化しようとしている。これに対応該当する STRIDEカテゴリーはどれか

否認

データの改ざんを防止または検出しようとしている。次のうち適切な解決策ではないものどれか

フィルタリング

Web アプリケーションのテストプログラムにファジンググテストを使用することを検討している。ファジングテストの採用決定する上で考慮すべき事項はどれか

ファザーではコードが完全にカバーされない場合がある

チームは開発したソフトウェアのテストプロセスを設計している。設計しているテストでは、テスト中に全てのコード行が実行されたことを検証する。どんな分析を行っているか

ステートメントカバレッジ

ベネットレーションテストを実行している場合、これらの結果を受け取った後に彼が実行すべきステップは次のどれか

今後のスキャンのために対処ポートを特定する

コードを実行せずにレビューするには、どのような手法が必要か

静的分析

コードレビューの提案依頼書（RFP) を作成する必要性があり、組織のアプリケーションの背後にあるビジネスロジックをレビューアーに入れて欲しいと思っている。RDPに指定するべきコードレビューどれか

人手による

悪意あるユーザーのほか、低減策や脅威などの説明を含め含む、アプリケーション脅威モデリングで使用される図はどれか

ミスユースケース図

組織のペネトレーションテスト中に。IPS は URG、FIN、PSHフラグがセットされたボードスキャンを検出し、警告を発した。ベネデーションテスターが施行しているスキャンはどれか

Xmasスキャン

脆弱性スキャナーで発見されない脆弱性どれか

ゼロディ脆弱性

MITREのCVEデータベースはどのような情報を提供しているか？

脆弱性情報

NIST SP800-53Aに従って評価を設計する場合、ポリシーとプロシージャー含まれる評価要素はどれか

仕様

次のうち「発見」フェーズの一部でないものはどれか

権限昇格

NISTは、「攻撃」フェーズの4つのステップを規定している。これはアクセスの取得、権限の昇格、システムブラウジング、追加ツールのインストールである。攻撃者が追加ツールをインストールした後、ペネトレーションテスターが通常戻るフェーズはどれか

アクセス取得

ペネトレーションテスターが、ターゲットとするOSを特定できないツールはどれか？

sqlmap

「報告」フェーズで問題が発生しないように、「計画策定」フェーズ中に対処すべき最も重要な懸念事項はどれか？

脆弱性データの保存方法と送信方法

管理者は、バックアップの成功と失敗のログを毎日レビューし、報告された例外（異常）を解決するためにタイムリーに措置を講じる必要があると指摘された。最大の問題は何か？

バックアップを使用できない可能性がある

ペネトレーションテスト中に、IPSはURG、FIN、PSHフラグがセットされたポートスキャンを検出し、警告を発した。どのスキャンか？

Xmasスキャン

ペネトレーションテストレポートの典型的な一部でないものはどれか

テスト中に集められたすべての機密データ

CISSP_test1

CISSP_test1

CISSP_test2

エッグスンシングス · 77問 · 2年前

CISSP_test2

77問 • 2年前

CISSP_test3

CISSP_test3

CISSP_test4

CISSP_test4

CISSP_test5

CISSP_test5

CISSP_test6

エッグスンシングス · 57問 · 2年前

CISSP_test6

57問 • 2年前

CISSP（模擬テスト3）

エッグスンシングス · 30問 · 2年前

CISSP（模擬テスト3）

30問 • 2年前

CISSP本番

CISSP本番

CISS本番2

CISS本番2

Udemy

Udemy

CISSP本番3

CISSP本番3

CISSP本番4

CISSP本番4

CISSP本番5

エッグスンシングス · 14問 · 1年前

CISSP本番5

14問 • 1年前

ISC(Final Assessment )

エッグスンシングス · 40問 · 1年前

ISC(Final Assessment )

40問 • 1年前

CISSP　暗記（PORT）

エッグスンシングス · 85問 · 1年前

CISSP　暗記（PORT）

85問 • 1年前

CISSP(予想問題）

エッグスンシングス · 22問 · 2年前

CISSP(予想問題）

22問 • 2年前

ISC2（ドメイン1）

エッグスンシングス · 42問 · 1年前

ISC2（ドメイン1）

42問 • 1年前

ISC2（ドメイン2）

エッグスンシングス · 25問 · 1年前

ISC2（ドメイン2）

25問 • 1年前

ISC2（ドメイン3）

エッグスンシングス · 69問 · 1年前

ISC2（ドメイン3）

69問 • 1年前

ISC2（ドメイン4）

エッグスンシングス · 26問 · 1年前

ISC2（ドメイン4）

26問 • 1年前

ISC2（ドメイン5）

エッグスンシングス · 34問 · 1年前

ISC2（ドメイン5）

34問 • 1年前

エッグスンシングス · 6回閲覧 · 73問 · 2年前

CISSP（ドメイン2）

CISSP（ドメイン2）

6回閲覧 • 73問 • 2年前

CISSP（ドメイン3）

エッグスンシングス · 86問 · 2年前

CISSP（ドメイン3）

86問 • 2年前

CISSP（ドメイン4）

エッグスンシングス · 74問 · 2年前

CISSP（ドメイン4）

74問 • 2年前

エッグスンシングス · 5回閲覧 · 74問 · 2年前

CISSP（ドメイン5）

CISSP（ドメイン5）

5回閲覧 • 74問 • 2年前

CISSP(ドメイン7）

エッグスンシングス · 63問 · 2年前

CISSP(ドメイン7）

63問 • 2年前

CISSP（ドメイン8）

エッグスンシングス · 72問 · 2年前

CISSP（ドメイン8）

72問 • 2年前

CISSP（模擬テスト1）

エッグスンシングス · 79問 · 2年前

CISSP（模擬テスト1）

79問 • 2年前

ISC2（ドメイン6）

エッグスンシングス · 35問 · 1年前

ISC2（ドメイン6）

35問 • 1年前

CISSP（模擬試験2）

エッグスンシングス · 63問 · 2年前

CISSP（模擬試験2）

63問 • 2年前

ISC2（ドメイン7）

エッグスンシングス · 46問 · 1年前

ISC2（ドメイン7）

46問 • 1年前

CISSP（模擬テスト4）

エッグスンシングス · 21問 · 2年前

CISSP（模擬テスト4）

21問 • 2年前

ISC2（ドメイン8）

エッグスンシングス · 58問 · 1年前

ISC2（ドメイン8）

58問 • 1年前

エッグスンシングス · 3回閲覧 · 42問 · 2年前

CISSP（用語）

CISSP（用語）

3回閲覧 • 42問 • 2年前

CISSP(用語）

エッグスンシングス · 69問 · 2年前

CISSP(用語）

69問 • 2年前

エッグスンシングス · 3回閲覧 · 10問 · 1年前

CISSP(ISC2) ドメイン1

CISSP(ISC2) ドメイン1

3回閲覧 • 10問 • 1年前

Udemy2

エッグスンシングス · 33問 · 1年前

Udemy2

33問 • 1年前

CISSP(ｵﾌｨｼｬﾙｶﾞｲﾄﾞ）

エッグスンシングス · 12問 · 2年前

CISSP(ｵﾌｨｼｬﾙｶﾞｲﾄﾞ）

12問 • 2年前

CISSP（用語1）

CISSP（用語1）

CISSP（用語2）

CISSP（用語2）

CISSP（用語3）

CISSP（用語3）

CISSP（用語4）

CISSP（用語4）

CISSP（用語5）

CISSP（用語5）

CISSP（用語7）

CISSP（用語7）

CISSP（用語6）

CISSP（用語6）

CISSP（用語8）

CISSP（用語8）

CISSP（用語9）

CISSP（用語9）

CISSP（用語11）

CISSP（用語11）

CISSP（用語10）

CISSP（用語10）

CISSP（用語12）

CISSP（用語12）

CISSP（用語13）

エッグスンシングス · 76問 · 2年前

CISSP（用語13）

76問 • 2年前

補足問題（CISA）

補足問題（CISA）

補足問題2（CISA）

エッグスンシングス · 70問 · 1年前

補足問題2（CISA）

70問 • 1年前