Udemy2

33問 • 1年前

問題一覧

BLP (Bell-LaPadula) モデルの制限は次のうちどれですか。

データアクセス制御を変更するための規定やポリシーは含まれておらず、本質的に静的なアクセスシステムでのみ適切に機能する。

ネットワークセキュリティエンジニアは、セキュリティソリューションがプロトコル操作やさまざまな種類の一般的な攻撃についてトラフィックを分析していることを確認する必要があります。さらに、すべての URL (Uniform Resource Locator) トラフィックを検査し、ユーザーが不適切な Web サイトを閲覧するのを防ぐ必要があります。管理者がトラフィックを分析し、外部サイトをブラックリストに登録し、後で分析するためにユーザートラフィックをログに記録できるようにするには、次のソリューションのうちどれを実装する必要がありますか。

アプリケーションレベルのプロキシ

ルーターのアクセスコントロールリスト (ACL) は、どのタイプのファイアウォールに最もよく似た機能ですか。

パケットフィルタリングファイアウォール

新しい VoIP (Voice over Internet Protocol) ネットワークを設計する場合、組織の最大の関心事は、権限のないユーザーによる VoIP ネットワークへのアクセスを防ぐことです。 VoIP ネットワークのセキュリティを確保するのに最も効果的なのは次のうちどれですか。

802.1x

Statement on Standards for Attestation Engagements 18 (SSAE-18) の機密性カテゴリを満たす最適なコントロールはどれですか。

ストレージの暗号化

コモンクライテリアフレームワークのセキュリティターゲット (ST) を最も正確に説明しているものは次のうちどれですか。

製品固有の一連のセキュリティ基準を含む文書

効果的な情報セキュリティ戦略は主に次のどれに基づいていますか。

リスク管理の実践

インシデントの疑いがある場合、インシデント対応チームが最初にとるべき行動はどれですか。

事件に関するすべての事実を記録する。

次のサービスのうち、クラウドサービスまたはオンプレミスを介して展開して、ユーザー ID の信頼できるソースとして Identity as a Service (IDaaS) と統合できるものはどれですか。

ディレクトリ

組織のビジネスおよびミッションのリスクの増加を防ぐためにソフトウェアアシュアランスが重要である理由を最もよく説明しているものは次のうちどれですか。

意図したとおりに動作しないソフトウェアが悪用される可能性があり、攻撃に対して脆弱になる。

大企業に雇用されている情報システムセキュリティ責任者 (ISSO) が、競合他社でフリーランスとして同様の役割を担っている場合、(ISC)2 職業倫理規定のどの規範に違反しますか。

当事者に対して、十分かつ適切なサービスを提供する。

犯罪現場でのデジタル証拠収集の優先順位を決定する際、法医学検査官が最初に実行すべきアクティビティは次のうちどれですか

揮発性の順序を確立する。

静的分析は実行可能ファイルを分析するときに何を行うことを目的としていますか。

ファイルを逆アセンブルして、実行可能ファイルの機能に関する情報を収集する。

次のアウトソーシング契約条項のうち、セキュリティ運用の観点から最も優先度が高いのはどれですか。

インシデント発生時の問題解決のためのエスカレーションプロセス

ある組織は、インターネット経由でパートナーとデータを安全に共有したいと考えています。この要件を満たすために通常どの標準ポートが使用されますか。

TCPポート 22 にサーバーをセットアップする

ネットワーク管理をサードパーティに委託する場合、重要なデータ資産を保護する最も効果的な方法は次のうちどれですか。

強力なアクセス制御を採用する

使用される属性に関して、属性ベースのアクセス制御 (ABAC) の特性とみなすべき要素は次のうちどれですか。

ロールベースアクセス制御 (RBAC) とアクセス制御リスト (ACL)

Voice over Internet Protocol (VoIP) ネットワークを実装する際に主に考慮すべき点は次のうちどれですか。

音声ネットワークの分離の使用

どのような種類のデータベース攻撃を行うと、カスタマーサービスの従業員が四半期ごとの売上結果を公表前に決定できるようになるでしょうか。

推論

セキュリティアーキテクトは、実装されたセキュリティフレームワークをレビューしています。レビューの後、セキュリティアーキテクトは、不正行為に対する保護に対処するために職務分離（SoD）を実装することでセキュリティを強化したいと考えています。データの整合性を最もよく保護するセキュリティモデルはどれですか。

Clark-Wilson

利益相反を回避しながらシステム、アプリケーション、および委託された情報の価値を維持する際に、(ISC) 倫理規定の規範のうち最も反映されているのはどれですか。

当事者に対して、十分かつ適切なサービスを提供する。

ある組織は、社内データセンターの規模が大きくなりすぎたため、サードパーティのホスティング施設を評価しています。この評価において、選択の主な要素は次のうちどれですか。

施設には許容可能なレベルのリスクが提供されている。

盗難に遭った企業モバイルデバイス上のデータの盗難を軽減するのに最も効果的な機能は次のどれですか。

デバイスワイプを備えたMDM

なぜシステムは、異なるクラスの情報を相互に分離し、ユーザーの管轄区域ごとに分離するように構造化されているのでしょうか。

組織のインフラストラクチャが明確に配置され、責任範囲が簡素化されるため。

ユーザー資格情報に対して最も強力な保護を提供する方法は次のどれですか。

ダイジェスト認証

Web アプリケーションを運用環境に導入する前に、セキュリティ担当者は複数の種類のテストを実行して、Web アプリケーションが期待どおりに動作することを確認します。ユーザー名フィールドをテストするために、セキュリティ担当者は、フィールドに許可されている文字数を超える文字を入力するテストを作成します。実行されたテストの種類を最も適切に説明しているものは次のうちどれですか。

ミスユースケーステスト

「ゼロトラスト」という防御戦略が、次の Web ベースシステムの脆弱性のどれに対して最も効果的ですか。

インジェクションの脆弱性

運用要件とセキュリティ要件の両方について、本番環境でエンドツーエンドのテストを実行するための最良の方法は次のうちどれですか。

動的コード分析

病院には、制限なしで共有可能、制限付きで共有可能、内部使用のみの 3 つのデータ分類レベルがあります。優れた企業データ分類の原則に準拠していることを証明する最も優れたものは次のうちどれですか。

新たに発見されたデータ侵害に関するメモが「内部使用のみ」とマークされ、従業員の食堂の壁に貼られている。

情報を分類し、リスク管理、法的証拠開示、コンプライアンスのために資産をサポートする際に考慮しなければならない要素はどれですか。

データコントローラーの役割、データの処理と保管の標準、データのライフサイクル要件

共通基準において、実装に依存しない一連のセキュリティ要件を表現する正式な文書は次のうちどれですか。

プロテクションプロファイル(PP）

ソフトウェア定義ネットワーキング (SDN) で安全な設計原則を実装する場合、どの種類の依存関係を回避する必要がありますか。

循環

アプリケーションが実行不可能なメモリ領域からコードを実行するのを防ぐように設計されたオペレーティングシステム (OS) 機能の利点は何ですか。

コードをバッファに保存する特定のエクスプロイトの防止に役立つ。

CISSP_test1

エッグスンシングス · 100問 · 2年前

CISSP_test1