CompTIA Cysa＋模試2

85問 • 2年前

問題一覧

セキュリティ業界では、AIを活用したセキュリティツールの利用が広まり、セキュリティ運用者の負荷を軽減できるようになってきました。AIを活用したセキュリティツールには、どのような機能がありますか。（2つ選択）

マルウェアシグニチャの自動生成, ホストやネットワークのふるまい検知

セキュリティアナリストは、大規模なEコマースのテストに使用されるパッチが適用されていないWebサーバーの脆弱性を発見しました。脆弱性が悪用されることでテストが滞り、組織の生産性が1億円失われる可能性があります。サーバーは、5%の確率で侵害されうる隔離されたネットワークセグメント上にあります。このリスクの価値は次のうちどれですか。

5,000,000円

セキュリティアナリストは、SIEMから組織が運営する顧客向けポータルサイトに対する多数のログイン試行に関するアラートを受信しました。不正アクセスを防ぐための最善の緩和策は次のうちどれですか。

多要素認証

セキュリティアナリストは、SIEMからアラートを受け取り、同時間帯に通常とは異なる多数のユーザーからのログイン試行を確認しました。ログは、すべてのドメインアカウントが同じ時間枠内に4回のログイン試行したことを示しています。この問題の原因として最も可能性が高いのは次のうちどれですか。

組織に対してパスワードスプレー攻撃が実行された

自動車メーカーのマーケティングチームが新製品の宣伝をメールで通知しようとしたところ、セキュリティ担当者より目的の制限に注意するよう示唆されました。目的の制限の説明として適切なのはどれですか。

メールアドレスなどあらゆる個人情報は、収集時に明示した利用目的の範囲で利用する

組織では、頻繁に行われるソフトウェアの変更のたびに脆弱性をテストし、本番環境にリリースできるバージョンを管理するための工数を確保するのが難しく、セキュリティ確保が難しくなっています。このような状態を改善し、効率よくセキュリティを向上するには何を導入しますか。

CI/CD

CISOは、セキュリティアナリストに対して、業界で袚害の増加しているランサムウェア攻撃を、攻撃者、能力、インフラストラクチャ、．害者を関連付けて分析し、自社の対応を検討するよう指示しました。セキュリティアナリストはどのモデルを使用して分析しますか。

侵入分析のダイヤモンドモデル

組織のSIEMでは、ファイアウォール、IPS、マルウェア対策ソフト、Syslogなど様々なソースからログを収集し、脅威の分析を行っています。SIEMではクエリによって膨大なログから興味の対象を絞り込むことができます。送信元IPと宛先ホスト名を検索するクエリに利用できるのはどれですか。（2つ選択）

フィールド文字列, 正規表現

セキュリティ製品の導入にあたり、セキュリティアナリストは、各ベンダーの製品を攻撃の戦術と手法にどのように対処できるのかという観点で比較したいと考えています。どのモデルを使用すると良いですか。

MITRE ATT&CK

最高情報セキュリティ責任者（CISO）は、内部および外部の脅威からの攻撃に関連する脅威ハンティングとして仮説の構築を行うことで組織のセキュリティ体制を強化したいと考えています。このような対策手法を説明したのはどれですか。

プロアクティブ

クレジットカード会社が加盟店に貸し出しているカード認証端末は、情報の改ざんや複製を難しくするよう保護されています。このような性質を何と言いますか。

耐タンパー性

セキュリティアナリストは、CISOから内部不正に関してユーザーの行動を中心とした組織内外の脅威を検出する高度なセキュリティシステムの導入を求められています。最適なソリューションはどれですか。

UEBA

インシデント対応プロセスの立ち上げのため、インシデント対応ポリシーを定め、コミュニケーション計画を策定します。コミュニケーション計画として適切なのはどれですか。

情報漏れがないように、信頼できる関係者だけでコミュニケーションする

セキュリティアナリストがインシデントの調査を行ったところ、悪用されたアプリケーションソフトウェアのバージョンは、クライアントとサーバーともに最新であったことが確認できました。どのような脅威であったと考えられますか。

ゼロデイ

セキュリティチームは、組織内のすべての公開サーバーに対して脆弱性スキャンを実行した結果、Com mon Vulnerabilities and Exposures (CVE) データベースで参照されているように、いくつかのホストに重大なOSの脆弱性があることを特定しました。重要な調査結果を最も効果的な方法で解決するために、セキュリティチームはどれを実行する必要がありますか。

必要なホストに適切なアップデートとホットフィックスを適用し、脆弱性がないか再スキャンする

セキュリティアナリストがインシデント調査の優先順位づけをするのに最も考慮するのはどれですか。 (2つ選択）

ダウンタイムコスト, 情報の機密性

情報セキュリティアナリストは、データ所有者と協力し、エンタープライズ環境内のデータの機密性を維持するための適切なコントロールを策定しています。対策としてDLPを導入する目的はどれですか。

機密データの漏洩リスクの軽減

SIEMアラートをもとに調査を行ったところ、長期にわたるAPT攻撃と判断されました。不正侵入はされていますが、情報流出など差し迫った脅威はなさそうです。CISOは攻撃の全貌を把握したいと考えています。セキュリティアナリストは最初に何をしますか。

インシデント範囲の特定を行う

セキュリティ担当者は、SCADA環境のセキュリティを強化しています。どのような対策が効果的ですか。

システムの未使用ポートや未使用の機能を無効にする

インシデントアナリストがフォレンジックイメージの完全性の検証に使用できるのはどれですか。

ハッシュ

スキャンツールはエージェントベースである

従業員がツイッターなどのSNSを利用する際に守るべきルールを定めたものはどれですか。

利用規約

ある証券会社では、オンプレミスの物理サーバーへのアクセスを外部コンサルタントへ与える契約に署名しました。このサーバーは顧客情報を格納するため、許可されたユーザーのみにアクセスを制限する必要があり、インターネットに接続することはできません。この要件を満たすソリューションはどれですか。

サーバーにエアギャップを設置する

セキュリティアナリストは、インシデントの調査と復旧が完了した後、影響を受ける顧客に対してレポートを公開します。顧客へのインシデントサマリーレポートに含めるべき主な項目はどれですか。(2 つ選択）

インシデントの重大度, インシデントへの推奨される対策

CISOは、ユーザーが組織で許可されていないアプリケーションを勝手にインストールすることでマルウェアに感染し、機密情報が流出することを懸念しています。このような懸念を軽減するのはどれですか。

特権管理

データセンターで通信障害があり、ネットワークケーブルの交換を行いましたが、業務時間外に外部ストレージサービスへ大量のデータ転送を行う通信が、SIEMのアラートとしてSOC担当者へ通知されました。接続しているユーザーは正規のアカウントです。最初に行うことはどれですか。

対象アカウントのユーザーに確認の電話を行う

ある組織では、複数のユーザーの端末がランサムウェアに感染してしまいました。インシデント対応として、端末を復旧するために初期化して、バックアップデータからイメージを復元しました。セキュリティ管理者が次に行うのはどれですか。

最新のパッチの適用

組織のネットワークへのアクセスを許可されたユーザーが意図的に悪意のある攻撃を行うのは、どれですか。

内部脅威

セキュリティアナリストが脆弱性スキャンツールを実行した結果、次のようなレポートが出力されました。 +-. ーーーー・ I CVE-2017-9233 +---------- ---+---- + I Max Score 7.5 HIGH (nvd) nvd |7.5/CVSS:3.0/AV:N/AC:L/PR:N/UI: N/S:U/C:N/I:N/A:H HIGH | redhat_api | 6.5/CVSS:3.0/AV:N/AC:L/PR: N/UI:R/S:U/C:N/IN/A:HMODERATE Invd |5.0/AV:N/AC:L/Au:N/C:N/I:N/A:P MEDIUM Summary | XML External Entity vulnerability in libexpat 2.2.0 and earlier (Expat XML | Parser Library) allows attackers to put the parser in an infinite loop using a | malformed external entity definition from an external DTD. | Mitigation | Do not parse untrusted arbitrar y XML data using the expat package. I CWE I CWE I CWE-835: Loop with Unreachabl e Exit Condition ('Infinite Loop') (redhat_api) / | [OWASP Tp4] CWE-611: Improper Restriction of XML External Entity Referen ¡ ('XXE") (nvd) Affected PKG | expat-2.1.0-10.el7_3 -> Will n ot fix | Confidence 100 / RedHatAP|Match | Source https://nvd.nist.gov/vuln/detail/ CVE-2017-9233 CVSSv2 Calc https://nvd.nist.gov/vuln-metr ics/cvss/v2-calculator?name=CVE-2017-9233 CVSSv3 Calchttps://nvd.nist.gov/vuln-metr ics/cvss/v3-calculator?name=CVE-2017-9233 | RHEL-CVE | https://access.redhat.com/sec urity/cve/CVE-2017-9233 I CWE | https://cwe.mitre.org/data/defini tions/CWE-835.html I CWE https://cwe.mitre.org/data/defini tions/CWE-611.html | OWASP Top10 | https://github.com/OWASP/ Top10/blob/master/2017/en/Oxa4-xxe.md ---+ 出力からわかることは何ですか。

CVSSは算出する組織によって異なる場合がある

SMBの脆弱性を悪用したマルウェアに起因していると思われるネットワーク攻撃が検出されました。ログを確認したところ、攻撃は継続しています。サイバーセキュリティアナリストが最初に行うべきことはどれですか。

攻撃元のIPアドレスを一時的にブロックする

パラメータ化したクエリの利用や入力検証が有効な対策となるのはどれですか。

SQLインジェクション

仮想環境におけるインシデント調査を行った後、フオレンジック調査も依頼されました。どのように対応しますか。

仮想環境におけるフォレンジック調査ではV Mインスタンスの解析やログ調査などを行う

セキュリティアナリストはインシデントを分析した結果、システムに複数のソフトウェアの脆弱性があることを発見しました。幸い、脆弱性レポートがすでに公開されており、脆弱性の深刻度と推奨対策としてのパッチをダウンロードできるリンクが記載されていました。アナリストが脆弱性の深刻度を確認できるのはどれですか。

CVSS

インシデントアナリストが、インシデント対応中に発見した疑わしいマルウェアを解析し、読み解いて、活動開始から終了までの動作を明らかにする活動はどれですか。

リバースエンジニアリング

セキュリティアナリストがサーバーのログを解析しています。 Mar 6 20:21:19 appserver sshd[5876]: Failed p assword for root from 1.1.1.1 port 22 ssh2 Mar 6 20:21:21 appserver sshd[5876]: Failed p assword for root from 1.1.1.1 port 22 ssh2 Mar 6 20:21:22 appserver sshd[5876]: Failed p assword for root from 1.1.1.1 port 22 ssh2 Mar 6 20:21:25 appserver sshd[5876]: Failed p assword for root from 1.1.1.1 port 22 ssh2 出力からわかることは何ですか。

rootアカウントでのssh接続の試行にパスワードが異なるため失敗を繰り返している

一部のユーザーから、アプリケーションのログインページに移動するリンクが記載されたメールを受信したが、認証が成功すると別のログインページにリダイレクトされるという報告を受けました。セキュリティアナリストは、どのように対処しますか。

フィッシング対策保護を備えた電子メールフィルタリングを実装する

セキュリティアナリストは、オープンコミュニティからサイバー脅威インテリジェンスを自動提供する仕組みを利用したいと考えています。どれを使用しますか。

TAXII

コネクテッドカーは何百ものセンサーとコンピューターに接続されており、一部に脆弱な端末が接続されることで全体のセキュリティレベルが低下してしまいます。セキュリティアナリストが脆弱性診断を行う際に、最も確認すべき個所はどこですか。

CANバス

以下のスキャンデータを確認し、アプリケーションがデフォルトポート以外を使用するのはどれですか。スキャンデータは次の通りです： # curl --head appsrvl.example.com HTTP/1.1 200 OK Date: Sun, 14 Mar 2021 12:16:57 GMT Server: Apache/2.4.23 (FreeBSD) OpenSSL/O. 9.8zh-freebsd Last-Modified: Thu, 15 Dec 2020 12:30:46 GM T ETag: "2807-5b1c02515c123" Accept-Ranges: none Content-Length: 10247 Content-Type: text/html # map --top-ports 10 appsrvl.example.com Starting Nmap 6.40 ( http://nmap.org ) at 202 1-03-14 10:14 JST Nap scan report for appsrvl.example.com (1 92.168.1.201) Host is up (0.00064s latency). PORT STATE SERVICE 22/tcp open ssh 80/top open http 443/tcp open https Nap done: 1 IP address (1 host up) scanned i n 5.00 seconds # curl --head appsrv2.example.com HTTP/1.1 200 OK Date: Sun, 14 Mar 2021 12:52:23 GMT Server: Apache/2.4.1 1 (FreeBSD) OpenSSL/0.9. 8zh-freebsd Last-Modified: Thu, 15 Dec 2020 10:30:13 GM T ETag: "2807-62491c375c159" Accept-Ranges: none Content-Length: 10247 Content-Type: text/html # map --top-ports 10 appsrv2.example.com Starting Nmap 6.40 ( http://nmap.org ) at 202 1-03-14 20:12 JST Nap scan report for appsrv2.example.com (1 92.168.1.202) Host is up (0.00064s latency). PORT STATE SERVICE 80/tcp open http 443/tcp open https 2022/tcp open ssh Nap done: 1 IP address (1 host up) scanned i n 3.00 seconds # map -sV --script ssl-enum-ciphers -p 443 ap psrv3.example.com Starting Nmap 7.40 ( https://nmap.org ) at 202 1-03-14 15:32 JST Nap scan report for appsrv3.example.com (1 92.168.1.203) Host is up (0.016s latency). PORT STATE SERVICE VERSION 443/tcp open ssl/http Apache Tomcat/Coyote JSP engine 1.1 _http-server-header: Apache-Coyote/1.1 ssi-enum-ciphers: TLSv1.O: 1 ciphers: I TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_ SHA (seco192rl) - D TLS ECDHE RSA WITH AES 128 CBC S HA (secp192rl) - A TLS ECDHE RSA WITH AES 256 CBC S HA (seco192rl) - A TLS RSA WITH 3DES EDE CBC SHA (rsa 2048) - C TLS RSA WITH AES 128 CBC SHA (rsa 2048) - A TLS RSA WITH AES 256 CBC SHA (rsa 2048) - A compressors: NULL cipher preference: client warnings: 64-bit block cipher 3DES vulnerable to SW EET32 attack Key exchange (secp192rl) of lower stren gth than certificate key I_ least strength: D Service detection performed. Please report any incorrect results at https://nmap.org/submit/ Nap done: 1 IP address (1 Host up) scanned i n 24.51 seconds # curl --head appsrv4.example.com HTTP/1.1 200 OK Date: Sun, 14 Mar 2021 12:35:41 GMT Server: Apache/2.2.34(FreeBSD) OpenSSL/0.9. 8zh-freebsd Last-Modified: Thu, 15 Dec 2020 09:30:31 GM T ETag: "2807-62491c3914592" Accept-Ranges: none Content-Length: 10247 Content-Type: text/html # nmap -sV --script ssl-enum-ciphers -p 443 ap psrv4.example.com Starting Nmap 7.40 ( https://nmap.org ) at 202 1-03-14 11:51 JST Nap scan report for appsrv4.example.com (1 92.168.1.204) Host is up (0.016s latency). PORT STATE SERVICE VERSION 443/tcp open https ssi-enum-ciphers: | TLSv1.2: ciphers: TLS_ECDHE_RSA_WITH_AES_256_GCM_S HA384 (secp256rl) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_S HA384 (secp256rl) - A TLS ECDHE RSA WITH AES 128 GCM S HA256 (secp256rl) - A TLS_ECDHE_RSA_WITH_AES_256_CBC_S HA (secp256rl) - A compressors: NULL cipher preference: server I- least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/. Nmap done: 1 IP address (1 Host up) scanned i n 24.51 seconds

AppSrv2

組織のサイバーセキュリティ分析活動では、ほかの組織との情報共有が重要です。組織が異なっていても、同じ表現で製品の脆弱性情報を記述したり、脆弱性の深刻度を定義することができるよう定められているのはどれですか。

SCAP

CISOは、SOC環境をクラウド上へ移行した後も、OSやプラットフォームの管理を行う人材の育成と維持にコストがかかることを懸念しています。このような懸念を払しょくするサービスはどれですか。

サーバーレス

セキュリティアナリストがネットワーク入出力のログを調べたところ、組織ではモバイル機器の利用が増え、登録外の不正な端末をネットワークへ接続されるケースが増えていることを発見しました。CISO に報告したところ、このような端末が増えることで、マルウェアの流入につながることを懸念しています。不正に端末を接続されないようにするには、どのような対策が適していますか。セキュリティアナリストがネットワーク入出力のログを調べたところ、組織ではモバイル機器の利用が増え、登録外の不正な端末をネットワークへ接続されるケースが増えていることを発見しました。CISO に報告したところ、このような端末が増えることで、マルウェアの流入につながることを懸念しています。不正に端末を接続されないようにするには、どのような対策が適していますか。

NAC

インシデントレスポンス担当者は、営業担当者から業務用PCを電車に置き忘れたとの報告を受けました。最初に何をしますか。

シニアリーダーヘインシデントの発生を伝える

経営陣は、直近で発生している同業他社でのセキュリティ侵害が自社に影響する可能性があるかどうか懸念しています。セキュリティアナリストは、プロアクティブな脅威ハンティングを行うために、まず何をしますか。

同業他社の事例から攻撃手法を分析し、自社で発生した場合の仮説を立てる

セキュリティアナリストは、セキュリティ保守サービスを請け負っているクライアントの依頼で毎月クライアントのICS環境において脆弱性スキャンを行い対処していますが、この数か月間同じ脆弱性が検出されています。この脆弱性の修復を阻害している要因として最も考えられるのはどれですか。

クライアントとのSLAによりダウンタイムがほとんど許容されない

セキュリティアナリストは、クラウドでホストされるSIEMプラットフォームを使用して、監視およびアラート機能を一元化します。クラウドベンダーを選択する際の評価に最適なアプローチはどれですか。

データセンターの仕様や監査レポートのコピーなど、ベンダーから情報を収集する

セキュリティアナリストが、既知のC&Cサーバーへの通信が疑われるデバイスをユーザーに警告せずに監視して動作を特定するには、どうしますか。

疑わしい接続先ドメインをDNSシンクホールに追加し、ドメインが照会されたときにSIEMツールでアラートを作成する

インシデント対応を検討している際に、重要顧客からインシデントについて問い合わせがありました。どのように対応しますか。

対応策を検討中であることを伝える

セキュリティアナリストは、ソフトウェア開発の終盤に脆弱性検査を行うことで手戻りが多いことを懸念し、開発の早いタイミングからセキュリティを考慮してもらえるよう開発リーダーへ進言しました。このような取り組みに適しているのはどれですか。

DevSecOps

組織では、外部公開サーバーと開発用サーバーをクラウドへ移行することになりました。セキュリティアナリストは、外部公開サーバーにはインターネットからのアクセスを許可し、開発用サーバーはインターネットからのアクセスをブロックしたいと考えています。セキュリティアナリストが環境を保護するために行うべき設定はどれですか。

開発用VPCでインターネットアクセスをブロックするセキュリティルールを作成する

顧客のPlIを漏洩してしまうセキュリティインシデントが発生した際、インシデント対応担当者に含まれる可能性が最も高いのはどれですか。顧客のPlを漏洩してしまうセキュリティインシデントが発生した際、インシデント対応担当者に含まれる可能性が最も高いのはどれですか。

広報

以下のスキャンデータを確認し、TLSのバージョンが最も新しいバージョンを実行するのはどれですか。スキャンデータは次の通りです： # curl-head appsrvl.example.com HTTP/1.1 200 OK Date: Sun, 14 Mar 2021 12:16:57 GMT Server: Apache/2.4.23 (FreeBSD) OpenSSL/0. 9.8zh-freebsd Last-Modified: Thu, 15 Dec 2020 12:30:46 GM T ETag: "2807-5b1c02515c123" Accept-Ranges: none Content-Length: 10247 Content-Type: text/html # nmap --top-ports 10 appsrvl.example.com Starting Nmap 6.40 (http://nmap.org ) at 202 1-03-14 10:14 JST Nmap scan report for appsrvl.example.com (1 92.168.1.201) Host is up (0.00064s latency). PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https Nmap done: 1 IP address (1 host up) scanned i n 5.00 seconds # curl--head appsrv2.example.com HTTP/1.1 200 OK Date: Sun, 14 Mar 2021 12:52:23 GMT Server: Apache/2.4.11 (FreeBSD) OpenSSL/0.9. 8zh-freelbsd Last-Modified: Thu, 15 Dec 2020 10:30:13 GM T ETag: "2807-62491c375c159" Accept-Ranges: none Content-Length: 10247 Content-Type: text/html # nmap --top-ports 10 appsrv2.example.com Starting Nmap 6.40 (http://nmap.org ) at 202 1-03-14 20:12 JST Nmap scan report for appsrv2.example.com (1 92.168.1.202) Host is up (0.00064s latency). PORT STATE SERVICE 80/tcp open http 443/tcp open https 2022/tcp open ssh Nmap done: 1 IP address (1 host up) scanned i n 3.00 seconds # nmap -sV --script ssl-enum-ciphers -p 443 ap psrv3.example.com Starting Nmap 7.40 (https://nmap.org ) at 202 1-03-14 15:32 JST Nmap scan report for appsrv3.example.com (1 92.168.1.203) Host is up (0.016s latency). PORT STATE SERVICE VERSION 443/top open ssl/http Apache Tomcat/Coyote JSP engine 1.1 I_http-server-header: Apache-Coyote/1.1 I ssl-enum-ciphers: TLSv1.0: ciphers: TLS_ECDHE_RSA_WITH_3DES_ _EDE_CBC_ SHA (secp 192r1) - D 1 TLS_ECDHE_RSA_WITH_AES_128_CBC_S HA (secp 1921) - A 1 TLS_ECDHE_RSA_WITH_AES_ _256_CBC_S HA (secp192r1) - A 1 TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C — TLS_RSA_WITH_AES_128. _ CBC_SHA (rsa 2048) - A TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A compressors: NULL cipher preference: client warnings: 64-bit block cipher 3DES vulnerable to SW EET32 attack I Key exchange (secp192rl) of lower stren gth than certificate key I least strength: D Service detection performed. Please report any incorrect results at https://nmap.org/submit/ Nmap done: 1 IP address (1 Host up) scanned i n 24.51 seconds # curl-head appsrv4.example.com HTTP/1.1 200 OK Date: Sun, 14 Mar 2021 12:35:41 GMT Server: Apache/2.2.34(FreeBSD) OpenSSL/0.9. 8zh-freebsd Last-Modified: Thu, 15 Dec 2020 09:30:31 GM ETag: "2807-62491c3914592" Accept-Ranges: none Content-Length: 10247 Content-Type: text/html # nmap -sV --script ssl-enum-ciphers -p 443 ap psrv4.example.com Starting Nmap 7.40 (https://nmap.org ) at 202 1-03-14 11:51 JST Nmap scan report for appsrv4.example.com (1 92.168.1.204) Host is up (0.01 6s latency). PORT STATE SERVICE VERSION 443/tcp open https I ssl-enum-ciphers: • TLSv1.2: ciphers: TLS_ECDHE_RSA_WITH_AES. _256_GCM_ HA384 (secp256r1) - A TLS_ECDHE_RSA_WITH_AES_256_CBC_S HA384 (secp256r1) - A TLS_ECDHE_RSA_WITH_AES_128_ 3_GCM_ HA256 (secp256r1) - A I TLS_ECDHE_RSA_WITH_AES_256_CBC_S HA (secp2561) - A compressors: NULL cipher preference: server I least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 Host up) scanned i n 24.51 seconds

AppSrv4

組織では、包括的なインシデント対応ポリシーを作成し、経営幹部がポリシーとそれに関連する手順を承認しました。その後、全従業員による年次の情報セキュリティ意識向上トレーニングも完了しました。このようなトレーニングを実施する目的として適切なのはどれですか。

インシデント予防と発生時のコミュニケーション経路を確認する

最高情報セキュリティ責任者（CISO）は、請負業者で構成される開発チームとNDA契約を結ぶことを示唆しました。NDA契約の目的として適切なのはどれですか。

機密情報の漏洩や目的外の利用を法的に制限する

セキュリティアナリストは、フィッシングメールのリンクをクリックした後にマルウェアをダウンロードしたユーザーがマルウェア感染を引き起こしたと疑っています。他のコンピューターが同じマルウェアの亜種に感染するのを防ぐために、セキュリティアナリストはどこにどのようなルールを作成する必要がありますか。

電子メールサーバーに添付された実行可能フアイルやリンクを自動的に削除するルールを作成

インシデント対応チームは、後のフォレンジック分析のために、モバイルデバイスからアプリケーションバイナリを正常に取得しました。セキュリティアナリストは次にバイナリのハッシュを計算しました。ハッシュ計算の目的は何ですか。

アプリケーションが正規に配布されたものかどうかを検証する

組織では、マルウェア対策ソフトでは検知されなかった新種のマルウェアによる侵害が検知されました。アナリストは新種のマルウェアを検知しやすくするために、どうしますか。

ビーコニングや不規則なピアツーピア通信など異常なふるまいを自動検知する

SIEMがインシデントを検知し、アラートを通知しました。アナリストがログを調査したところ、検知されたホストから同じサブネットの複数のホストへTC P SYNパケットが送信される様子が観測されました。どのような攻撃が疑われますか。

ネットワークスキャン

セキュリティアナリストは、メールEnvelopeのFro mドメインと送信元のIPアドレスからそのメールが正なサーバーから送信されていることを確認する仕組みを取り入れ、簡単になりすましメールを検知したいと考えています。どの仕組みを使用しますか。

SPF

組織の脅威ハンティングチームでは、インシデント時の迅速な対応を促進するため、悪意のあるアクテイビティを特定するドメインやIPアドレスなどの情報を日常的に取得できるようにしたいと考えています。どのようにして実現しますか。

外部インテリジェンスを活用する

国家支援型ハッキンググループにおいて、よく知られたマルウェアを迅速に加工して攻撃する手法が採用されることが増えています。このような攻撃手法はどれですか。

コモディティマルウェア

DNSサーバーに以下のレコードが登録されています。 v=spf1 mx include:mail.example.com -all このときのメールサーバーの動作の説明として適切なのはどれですか。

mail.example.comドメインから受信したメールは MX レコードに登録されたメールサーバーのIPアドレスが送信元の場合にのみ送信される

インシデント対応チームは、検知されたインシデントを分析し、無事に封じ込めを行うことができました。セキュリティアナリストは次に何をしますか。

特定された脆弱性を軽減するパッチの適用

SPF認証に失敗したメールを迷惑メールフォルダーに振り分けるには、どのように設定しますか。

v=DMARC1; p=quarantine; rua=mailto:ma ilauth-reports@example.com

セキュリティアナリストは、ファイアウォールとVP Nサーバーを使用したネットワークを設計しています。それぞれの機器のパフォーマンスを損なうことなく、外部からの脅威だけでなく、社内の潜在的な攻撃者が不正にサーバーへアクセスすることがないようにするには、どのように配置しますか。

ファイアウォールの背後にVPNサーバーを設置

PSIRTチームでは、自社のアプリケーション開発の初期段階で脆弱性を発見することで、開発ライフサイクル後半の手戻りが発生しないようにしたいと考えています。コードの作成中にリアルタイムでテストし、フィードバックを受けられるのはどれですか。

静的解析ツール

セキュリティアナリストは、ユーザーがダウンロードした疑わしい実行ファイルをファイル名やハッシュなどから調査しましたが、既知のマルウェアとしては公開されていませんでした。さらに調査を行うため、仮想環境を利用して、実行ファイルの挙動をモニタします。このような手法を何と言いますか。

動的解析

セキュリティアナリストは、メールサーバーのログから送受信された電子メールのヘッダを確認しています。 Return-Path: ‹alice@malmail.com> Received: from mailsv.example.co.jp ([xxx.xxx.x xx.xxx]) by mailsv2.example.co.jp(Netscape Me ssaging Server 3.54） with ESMTP id AAA7D3 for «tsaito@example.co.jp>; Fri, 12 Mar 2021 12:24:31 +0900 Received: from mailsv.malmail.com (mailsv.mal mail.com [xxx.xxx.xxx.xxx]) by mailsv.example.co.jp (8.13.4/8.1 3.4/mx5082800) with ESMTP id j9C3xOSP003131 for ‹tsaito@e xample.co.jp>; Fri, 12 Mar 2021 12:21:13 +0900 (JST) ・・・・（省略）・・・・ From： "山田太郎"＜yamada@Acompany.com > To: "HI" < tsaito@example.co.jp > ログから得られるこのメールの説明として適切なのはどれですか。

電子メールはmalmail.comから発言された

サイバーセキュリティアナリストが検知アラートの分析と追加調査を迅速に行うために利用できる情報はどれですか。

脅威インテリジェンス

以下のスキャンデータを確認し、Apacheの最も新しいバージョンを使用するのはどれですか。スキャンデータは次の通りです：ーー # curl--head appsrvl.example.com Date: Sun, 14 Mar 2021 12:16:57 GMT Server: Apache/2.4.46 (FreeBSD) OpenSSL/0. 9.8zh-freebsd Last-Modified: Thu, 15 Dec 2020 12:30:46 GM T ETag: "2807-5b1c02515c123" Accept-Ranges: none Content-Length: 10247 Content-Type: text/html # nmap --top-ports 10 appsrvl.example.com Starting Nmap 6.40 (http://nmap.org ) at 202 1-03-14 10:14 JST Nmap scan report for appsrvl.example.com (1 92.168.1.201) Host is up (0.00064s latency). PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https Nmap done: 1 IP address (1 host up) scanned i n 5.00 seconds # curl--head appsrv2.example.com Date: Sun, 14 Mar 2021 12:52:23 GMT Server: Apache/2.4.11 (FreeBSD) OpenSSL/0.9. 8zh-freebsd Last-Modified: Thu, 15 Dec 2020 10:30:13 GM ETag: "2807-62491c375c159" Accept-Ranges: none Content-Length: 10247 Content-Type: text/html # nmap --top-ports 10 appsrv2.example.com Starting Nmap 6.40 (http://nmap.org ) at 202 1-03-14 20:12 JST Nmap scan report for appsrv2.example.com (1 92.168.1.202) Host is up (0.00064s latency). PORT STATE SERVICE 80/top open http 443/tcp open https 2022/tcp open ssh Nmap done: 1 IP address (1 host up) scanned i n 3.00 seconds # nmap -sV --script ssl-enum-ciphers -p 443 ap psrv3.example.com Starting Nmap 7.40 (https://nmap.org ) at 202 1-03-14 15:32 JST Nmap scan report for appsrv3.example.com (1 92.168.1.203) Host is up (0.01 6s latency). PORT STATE SERVICE VERSION 443/tcp open ssl/http Apache Tomcat/Coyote JSP engine 1.1 _http-server-header: Apache-Coyote/1.1 | ssl-enum-ciphers: | TLSv1.0: ciphers: TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_ SHA (secp 1921) - D TLS_ECDHE_RSA_WITH_AES_128_CBC_S HA (secp 1921) - A I TLS_ECDHE_RSA_WITH_AES_256_CBC_S HA (secp 1921) - A I TLS RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - С TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A TLS_RSA_WITHLAES_256_CBC_SHA (rsa 2048) - A compressors: NULL cipher preference: client warnings: 64-bit block cipher 3DES vulnerable to SW EET32 attack Key exchange (secp192r1) of lower stren gth than certificate key I least strength: D Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 Host up) scanned i n 24.51 seconds # curl-head appsrv4.example.com HTTP/1.1 200 OK Date: Sun, 14 Mar 2021 12:35:41 GMT Server: Apache/2.2.34(FreeBSD) OpenSSL/0.9. 8zh-freebsd Last-Modified: Thu, 15 Dec 2020 09:30:31 GM ETag: "2807-62491c3914592" Accept-Ranges: none Content-Length: 10247 Content-Type: text/html # nmap -sV --script ssl-enum-ciphers -p 443 ap psrv4.example.com Starting Nmap 7.40 (https://nmap.org ) at 202 1-03-14 11:51 JST Nmap scan report for appsrv4.example.com (1 92.168.1.204) Host is up (0.016s latency). PORT STATE SERVICE VERSION 443/tcp open https | ssl-enum-ciphers: • TLSv1.2: ciphers: TLS_ECDHE_RSA_WITH_AES_256_GCM_ HA384 (secp256r1) - A TLS_ECDHE_RSA_WITH_AES_256_CBC_S HA384 (secp256r1) - A TLS_ECDHE_RSA_WITH_AES_128_GCM_S HA256 (secp256r1) - A I TLS_ECDHE_RSA_WITH_AES_256_CBC_S HA (secp2561) - A compressors: NULL cipher preference: server least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 Host up) scanned i n 24.51 seconds

AppSrv1

サードパーティの運用担者が作業を行う部屋では、常時社員が監視しているわけではないため、担=者が不用意に私物のPCやワイヤレスルーターをネットワークへ接続し、マルウェア感染や情報漏洩が起こることを懸念しています。セキュリティアナリストは、このような脅威への対応策として何を使用しますか。

ポートセキュリティ

セキュリティアナリストが退職後のユーザーアカウントを追跡調査したところ、オンプレミスのシステムからは適切に削除されていましたが、Paas上で運用している製品開発システムからは退職後しばらく経っても削除されていないことを発見しました。この問題を解決するには、何を実装すれば良いですか。

フェデレーション現象

セキュリティアナリストは、各端末でのNmapスキャンとファイアウォールACLから次のような出力を確認しました。SrVIとSrV2はDMZに、pC1とpc2はLANに配置されています。この環境を適切に説明しているのはどれですか。 # nmap --top-ports 10 srvl.example.com Starting Nmap 6.40 (http://nmap.org ) at 202 1-03-20 10:03 JST Nmap scan report for srvl.example.com (172. 16.200.201) Host is up (0.00064s latency). PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https # nmap --top-ports 10 srv2.example.com Starting Nmap 6.40 (http://nmap.org ) at 202 1-03-20 10:05 JST Nmap scan report for srv2.example.com (172. 16.200.202) Host is up (0.00102s latency). PORT STATE SERVICE 53/udp open dns 3389/tcp open ms-wbt-server # nmap --top-ports 10 pcl.example.com Starting Nmap 6.40 (http://nmap.org ) at 202 1-03-20 10:11 JST Nmap scan report for pc2.example.com (192.1 68.1.2) Host is up (0.00062s latency). PORT STATE SERVICE 80/tcp open http 443/tcp open https Firewall ACL 10 permit tcp from:any to:srv1:www 15 permit udp from:lan to:srv2:ans 20 permit udp from:any to:srv2:dns 25 permit top from:any to:srv1:ssl 35 permit top from:any to:srvl:ssh 40 deny ip any any

pc1はDNSサーバーとしてsrv2を利用する

以下のスキャンデータを確認し、HTTP通信にデフオルトポートを使用するのはどれですか。（2つ選択）スキャンデータは次の通りです： # curl--head appsvl.example.com HTTP/1.1 200 OK Date: Sun, 14 Mar 2021 12:16:57 GMT Server: Apache/2.4.23 (FreeBSD) OpenSSL/O. 9.8zh-freelbsd Last-Modified: Thu, 15 Dec 2020 12:30:46 GM T ETag: "2807-5b1c02515c123" Accept-Ranges: none Content-Length: 10247 Content-Type: text/html # nmap --top-ports 10 appsrvl.example.com Starting Nmap 6.40 (http://nmap.org ) at 202 1-03-14 10:14 JST Nmap scan report for appsrvl.example.com (1 92.168.1.201) Host is up (0.00064s latency). PORT STATE SERVICE 22/tcp open ssh 80/top open http 443/top open https Nmap done: 1 IP address (1 host up) scanned i n 5.00 seconds # curl--head appsrv2.example.com HTTP/1.1 200 OK Date: Sun, 14 Mar 2021 12:52:23 GMT Server: Apache/2.4.11(FreeBSD) OpenSSL/0.9. 8zh-freebsd Last-Modified: Thu, 15 Dec 2020 10:30:13 GM T ETag: "2807-62491c375c159" Accept-Ranges: none Content-Length: 10247 Content-Type: text/html # nmap --top-ports 10 appsrv2.example.com Starting Nmap 6.40 (http://nmap.org ) at 202 1-03-14 20:12 JST Nmap scan report for appsrv2.example.com (1 92.168.1.202) Host is up (0.00064s latency). PORT STATE SERVICE 80/tcp open http 443/tcp open https 2022/tcp open ssh Nmap done: 1 IP address (1 host up) scanned i n 3.00 seconds # nmap -sV --script ssl-enum-ciphers -p 443 ap psrv3.example.com Starting Nmap 7.40 (https://nmap.org ) at 202 1-03-14 15:32 JST Nmap scan report for appsrv3.example.com (1 92.168.1.203) Host is up (0.01 6s latency). PORT STATE SERVICE VERSION 443/tcp open ssl/http Apache Tomcat/Coyote JSP engine 1.1 _http-server-header: Apache-Coyote/1.1 I ssl-enum-ciphers: 1 TLSV1.0: ciphers: TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_ SHA (secp 192rl) - D TLS_ECDHE_RSA_WITH_AES_128_CBC_S HA (secp 1921) - A TLS_ECDHE_RSA_WITH_AES_256_CBC_S HA (secp 1921) - A TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C TLS_RSA_WITHAES _128_ _CBC_SHA (rsa 2040) - A TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A compressors: NULL cipher preference: client warnings: 64-bit block cipher 3DES vulnerable to SW EET32 attack I Key exchange (secp 1921) of lower stren gth than certificate key _ least strength: D Service detection performed. Please report any incorrect results at https://nmap.org/submit/ Nmap done: 1 IP address (1 Host up) scanned i n 24.51 seconds # curl--head appsrv4.example.com HTTP/1.1 200 OK Date: Sun, 14 Mar 2021 12:35:41 GMT Server: Apache/2.2.34(FreeBSD) OpenSSL/0.9. 8zh-freebsd Last-Modified: Thu, 15 Dec 2020 09:30:31 GM ETag: "2807-62491c3914592" Accept-Ranges: none Content-Length: 10247 Content-Type: text/html # nmap -sV --script ssl-enum-ciphers -p 443 ap psrv4.example.com Starting Nmap 7.40 (https://nmap.org ) at 202 1-03-14 11:51 JST Nmap scan report for appsrv4.example.com (1 92.168.1.204） Host is up (0.016s latency). PORT STATE SERVICE VERSION 443/tcp open https I ssl-enum-ciphers: TLSv1.2: ciphers: TLS_ECDHE_RSA_WITH_AES_256_GCM_S HA384 (secp256r 1) - A TLS_ECDHE_RSA_WITH_AES_ _256_CBC_S HA384 (secp256r 1) - A TLS_ECDHE_RSA_WITH_AES_128_GCM_S HA256 (secp256r 1) - A TLS_ECDHE_RSA_WITH_AES_256_CBC_S HA (secp2561) - A compressors. NULL cipher preference: server _ least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 Host up) scanned i n 24.51 seconds

AppSrv2, AppSrv1

セキュリティアナリストは、組織で使用されている既存のマルウェア対策ソフトでは検知できないランサムウェアやAPT攻撃など多様な脅威を、機械学習ベースのエンドポイントソフトで検知したいと考えています。どのようなツールが適していますか。

EDR

従業員がコロナウイルスへの感染を避けられるよう、在宅勤務を推奨している企業があります。この企業では、在宅勤務に使用するPCからの情報漏洩を気にしており、デスクトップ環境をサーバー上に集約して管理したいと考えています。この企業の期待を実現できるのはどれですか。

VDI

セキュリティ担当者は、ファイアウォールを使用して既知の悪意のある通信を禁止します。このようなセキュリティコントロールはどれですか。

予防

シニアリーダーの間では、在宅勤務者の増加でネットワークを介したコミュニケーションが増え、インサイダー脅威としての情報漏洩や不正アクセスへの懸念が強まっています。このような懸念に対するソリューションとして適切なのはどれですか。

監視とロギング

ソフトウェアメーカーでは、最近アジャイル開発を取り入れたソリューションを展開しています。アジャイル開発の特徴はどれですか。

小さなコードを短期間で繰り返し開発、テスト、および展開される

クライアントから社内Webサーバーへのアクセスを最も安全に提供するのはどれですか。

証明書管理サーバー

セキュリティアナリストは、運用メンバーがアクセスしないよう、顧客クレジットカードデータのトークン化を実現するために、安全な拡張ハードウェアを追加します。最適なハードウェアはどれですか。

HSM

新しいサービス開発のために、個人情報を含むデータを開発環境へコピーします。架空のデータに置き換えることで、個人情報の漏洩を防ぐのはどれですか。

データマスキング

最高情報セキュリティ責任者（CISO）は、セキュリティ調査のために脅威ハンティング手法を追加します。CISOが追加する目的として最も考えられるのはどれですか。

脅威を積極的に発見する

セキュリティエンジニアは、社内のセキュリティペネトレーションテストにおいて、攻撃者からの攻撃を検知、防、報告を行うよう指示されました。セキュリティエンジニアの役割はどれですか。

ブルーチーム

組織のオフィシャルサイトが改ざんされるインシデントの報告があり、セキュリティアナリストが調査したところ、サイトを訪問したユーザーにマルウェアが配布されている可能性があります。セキュリテイアナリストは次に何をしますか。

ウェブサイトを停止する

CompTIA Cloud＋模試2

CompTIA Cloud＋模試2

単語集

単語集

単語集2

単語集2

CmpTIA Cysa＋模試1

CmpTIA Cysa＋模試1

問題一覧

マルウェアシグニチャの自動生成, ホストやネットワークのふるまい検知

5,000,000円

多要素認証

組織に対してパスワードスプレー攻撃が実行された

メールアドレスなどあらゆる個人情報は、収集時に明示した利用目的の範囲で利用する

CI/CD

侵入分析のダイヤモンドモデル

フィールド文字列, 正規表現

MITRE ATT&CK

プロアクティブ

耐タンパー性

UEBA

情報漏れがないように、信頼できる関係者だけでコミュニケーションする

ゼロデイ

必要なホストに適切なアップデートとホットフィックスを適用し、脆弱性がないか再スキャンする

セキュリティアナリストがインシデント調査の優先順位づけをするのに最も考慮するのはどれですか。 (2つ選択）

ダウンタイムコスト, 情報の機密性

機密データの漏洩リスクの軽減

インシデント範囲の特定を行う

セキュリティ担当者は、SCADA環境のセキュリティを強化しています。どのような対策が効果的ですか。

システムの未使用ポートや未使用の機能を無効にする

インシデントアナリストがフォレンジックイメージの完全性の検証に使用できるのはどれですか。

ハッシュ

スキャンツールはエージェントベースである

従業員がツイッターなどのSNSを利用する際に守るべきルールを定めたものはどれですか。

利用規約

サーバーにエアギャップを設置する

インシデントの重大度, インシデントへの推奨される対策

特権管理

対象アカウントのユーザーに確認の電話を行う

最新のパッチの適用

組織のネットワークへのアクセスを許可されたユーザーが意図的に悪意のある攻撃を行うのは、どれですか。

内部脅威

CVSSは算出する組織によって異なる場合がある

攻撃元のIPアドレスを一時的にブロックする

パラメータ化したクエリの利用や入力検証が有効な対策となるのはどれですか。

SQLインジェクション

仮想環境におけるインシデント調査を行った後、フオレンジック調査も依頼されました。どのように対応しますか。

仮想環境におけるフォレンジック調査ではV Mインスタンスの解析やログ調査などを行う

CVSS

リバースエンジニアリング

rootアカウントでのssh接続の試行にパスワードが異なるため失敗を繰り返している

フィッシング対策保護を備えた電子メールフィルタリングを実装する

TAXII

CANバス

AppSrv2

SCAP

サーバーレス

NAC

インシデントレスポンス担当者は、営業担当者から業務用PCを電車に置き忘れたとの報告を受けました。最初に何をしますか。

シニアリーダーヘインシデントの発生を伝える

同業他社の事例から攻撃手法を分析し、自社で発生した場合の仮説を立てる

クライアントとのSLAによりダウンタイムがほとんど許容されない

データセンターの仕様や監査レポートのコピーなど、ベンダーから情報を収集する

セキュリティアナリストが、既知のC&Cサーバーへの通信が疑われるデバイスをユーザーに警告せずに監視して動作を特定するには、どうしますか。

疑わしい接続先ドメインをDNSシンクホールに追加し、ドメインが照会されたときにSIEMツールでアラートを作成する

インシデント対応を検討している際に、重要顧客からインシデントについて問い合わせがありました。どのように対応しますか。

対応策を検討中であることを伝える

DevSecOps

開発用VPCでインターネットアクセスをブロックするセキュリティルールを作成する

広報

AppSrv4

インシデント予防と発生時のコミュニケーション経路を確認する

機密情報の漏洩や目的外の利用を法的に制限する

電子メールサーバーに添付された実行可能フアイルやリンクを自動的に削除するルールを作成

アプリケーションが正規に配布されたものかどうかを検証する

ビーコニングや不規則なピアツーピア通信など異常なふるまいを自動検知する

ネットワークスキャン

SPF

外部インテリジェンスを活用する

コモディティマルウェア

mail.example.comドメインから受信したメールは MX レコードに登録されたメールサーバーのIPアドレスが送信元の場合にのみ送信される

特定された脆弱性を軽減するパッチの適用

SPF認証に失敗したメールを迷惑メールフォルダーに振り分けるには、どのように設定しますか。

v=DMARC1; p=quarantine; rua=mailto:ma ilauth-reports@example.com

ファイアウォールの背後にVPNサーバーを設置

静的解析ツール

動的解析

電子メールはmalmail.comから発言された

サイバーセキュリティアナリストが検知アラートの分析と追加調査を迅速に行うために利用できる情報はどれですか。

脅威インテリジェンス

AppSrv1

ポートセキュリティ

フェデレーション現象

pc1はDNSサーバーとしてsrv2を利用する

AppSrv2, AppSrv1

EDR

VDI

セキュリティ担当者は、ファイアウォールを使用して既知の悪意のある通信を禁止します。このようなセキュリティコントロールはどれですか。

予防

監視とロギング

ソフトウェアメーカーでは、最近アジャイル開発を取り入れたソリューションを展開しています。アジャイル開発の特徴はどれですか。

小さなコードを短期間で繰り返し開発、テスト、および展開される

クライアントから社内Webサーバーへのアクセスを最も安全に提供するのはどれですか。

証明書管理サーバー

HSM

データマスキング

脅威を積極的に発見する

ブルーチーム

ウェブサイトを停止する

CompTIA Cysa＋ 模試2

CompTIA Cysa＋ 模試2

CompTIA Cysa＋模試2

CompTIA Cysa＋模試2