暗記メーカー

暗記メーカー

ログイン
ISC2(ドメイン8)
58問 • 1年前
  • エッグスンシングス
    • 通報

    問題一覧

  • 1

    プロジェクトの開始と計画は、ソフトウェア開発ライフサイクル (SDLC) の最初のフェーズです。次のすべては、どれを除いて必須のセキュリティ アクティビティですか?

    ステップ4 - セキュリティ製品を選択する

  • 2

    プロジェクト計画のどの段階でセキュリティを導入する必要がありますか?

    プロジェクトの開始と計画

  • 3

    少なくとも、データベース モデルは、セキュリティ制御、複数のユーザーによる共有機能、フォールト トレランスとリカバリなどを提供する必要があります。

    トランザクションの永続性

  • 4

    データベースでは、データの内部整合性を維持するためにロック制御が必要です。しかし、データベース環境には別の要件があります。これらの要件は ACID テストと呼ばれます。次の 4 つのテストのうち、トランザクションが他のユーザーから見えないことを保証するものはどれですか。

    独立性

  • 5

    すべての形式のソフトウェアに同じレベルのリスクがありますか?

    必ずしもそうではありません。リスクが異なれば影響のレベルも異なります

  • 6

    次のどれが非機能要件として分類されないでしょうか?

    これらはすべて非機能要件の例です

  • 7

    どのソフトウェアを保護しようとしていますか? すべてですか、それとも一部ですか?

    すべてのソフトウェアはセキュリティリスクをもたらす可能性がある

  • 8

    オブジェクト指向開発を使用するプロジェクトに最適な方法論はどれですか?

    Reuse model

  • 9

    システムが運用中に入力、作成、保存、変更、出力、破棄する必要があるすべてのデータ要素を識別するのは次のどれですか?

    データモデリング

  • 10

    データ中心のシステムの脅威モデリングを正確に説明しているものはどれですか? 

    意思決定と変更計画を容易にします

  • 11

    データベースを考えるとき、「致命的な抱擁」とは何でしょうか?

    デッドロック

  • 12

    コーディングガイドラインと標準を使用する理由は次のうちどれですか?

    システムとアプリケーションは、組織のニーズに基づいて適切なセキュリティ要件を満たす必要があります。

  • 13

    継続的インテグレーション (CI) と継続的デリバリー (CD) の違いは何ですか?

    継続的インテグレーションでは、コードの変更を頻繁にコードリポジトリに更新し、自動化されたプロセスを使用してテストする必要があります。継続的デリバリーは、変更を本番環境に移行することに重点を置いています。

  • 14

    ソフトウェア開発プロセスにおける継続的インテグレーションと継続的デリバリー (CI/CD) の目的は何ですか?

    ソフトウェアのライフサイクル全体にわたって安全な進化を促進する

  • 15

    ソフトウェア開発プロセスにおける継続的インテグレーションと継続的デリバリー (CI/CD) の目的は何ですか?

    ソフトウェアのライフサイクル全体にわたって安全な進化を促進する

  • 16

    次のどれが整合性制御の対象とならない可能性がありますか?   

    回帰テスト

  • 17

    ソフトウェアの欠陥やバグを制御および回避するために使用される方法論は何ですか?

    クリーンルーム

  • 18

    リレーショナル データベースのどのキーが、エンティティの特定のインスタンスを一意に識別する属性または属性セットを提供しますか?

    主キー

  • 19

    アプリケーション プログラミング インターフェイス (API) は、モノのインターネット (IoT) や電子健康リストバンドなどのデバイスなど、さまざまなものの通信を可能にするコネクタです。APIの構造化され制御された開発と展開を可能にする包括的なセキュリティ フレームワークとは何でしょうか。

    データガバナンス

  • 20

    次のどれがプログラミング経験を示していますか? 該当しないものを選択してください。

    コードには関数の複製が含まれている

  • 21

    DBMS テクノロジにおいて、ユーザー定義の整合性制約に違反しない有効なトランザクションのみを保証するプロパティは、次のように呼ばれます。

    一貫性

  • 22

    DevOps と DevSecOps の違いは何ですか?

    DevOpsは主に新規および更新されたコードを運用に迅速に提供することに重点を置いているため、セキュリティ上の考慮事項に対処するために他のプロセスに依存しています。DevSecOpsは、セキュリティのレビューと評価を設計、開発、展開のワークフロー全体に統合します。

  • 23

    以下のアクティビティはすべて、1 つを除いて、取得時のソフトウェア保証の基本的なフェーズです。    どれが間違っていますか?

    開始

  • 24

    次のオプションのうち、組織がサードパーティ経由でソフトウェア システムを取得する活動のフェーズを表していないものはどれですか。

    コンサルティングフェーズ

  • 25

    手続き型プログラミングとオブジェクト指向プログラミングは、複雑なソフトウェア セットの管理を処理する方法を提供します。    次のどれが該当しないでしょうか?

    改革

  • 26

    次のステップのうち、前のフェーズで概説したように、アプリケーションがセキュリティ要件と仕様を満たしていることを保証するのはどれですか?

    受け入れ

  • 27

    プログラムを実行せずにソース コードを分析する評価手法はどれですか。

    静的解析

  • 28

    API に推奨されるセキュリティ プラクティスは次のどれですか。

    ハッシュベースのメッセージ認証コードを使用する

  • 29

    どの世代のプログラミング言語が主要な命令の略語として記号を使用していますか?

    アセンブリ言語

  • 30

    同じ機能を実行するためにソフトウェア セットを部分的または完全に書き直したものは次のどれですか。

    リファクタリング

  • 31

    次の認証オプションのうち、実装が最も簡単なのはどれですか?

    トランスポート層セキュリティによる基本認証

  • 32

    攻撃者が検証されていない情報を提供した場合にアプリケーションの誤動作を引き起こすソフトウェア設計エラーは、どのような弱点として最もよく説明されますか?

    不正な入力

  • 33

    あなたは、会社で最近開発された金融アプリケーションのセキュリティ体制を確認する IT セキュリティ アナリストです。    分析中に、特定のフィールドに過度に長いデータ文字列を入力するとアプリケーションがクラッシュすることがわかりました。この動作は、アプリケーションが受け入れる入力のサイズを適切に制限していないという脆弱性を示しています。このような脆弱性により、攻撃者が任意のコードを実行したり、サービスを中断したりする可能性があります。    アプリケーションのクラッシュを引き起こす可能性が高い脆弱性の種類は何ですか?

    バッファオーバーフロー

  • 34

    ユーザーは、ヘルプ デスクがユーザーのコンピューターに必要な構成の更新を行う必要があるという電話を受けます。ヘルプ デスクの担当者は、構成の更新を完了できるようにユーザーにパスワードを提供するよう要求します。    これはソーシャル エンジニアリングの一種です。ソーシャル エンジニアリングに対する最善の防御策は何でしょうか?

    セキュリティ意識向上トレーニング

  • 35

    「中間者攻撃」とは何ですか?

    通信回線が盗聴され、送信内容に偽のデータが挿入される状態

  • 36

    ソフトウェア セキュリティ有効性評価の主な目的は何ですか?

    セキュリティ対策の評価と改善

  • 37

    2021 年の OWASP Top 10 における Web アプリケーション セキュリティ リスクのトップは何ですか?

    アクセス制御の不具合

  • 38

    Java、C++、Python、Delphi は、オブジェクト指向プログラミング (OOP) の例です。このプログラミング概念は、アクションではなくオブジェクトに重点を置いています。    OOP で推論が実行されるのを防ぐために使用されるのは次のどれですか?

    多重インスタンス化

  • 39

    ポリインスタンス化の目的は、次のことを防ぐことです。

    低レベルのユーザーが高レベルのデータの存在を推測するのを防ぐ

  • 40

    ファジーテストを最もよく表すのは次のどれですか?

    「予想」データではなくランダムデータでテストする

  • 41

    機密性の高い本番データがテスト メンバーに公開されないようにするために使用されるのは次のどれですか。

    テストデータのサニタイズ

  • 42

    ソフトウェアの新しいビルドに誤って導入された可能性のあるコードやバグを検出するために使用されるテストの種類は次のどれですか?

    回帰テスト

  • 43

    ソースコードとオブジェクトコードの違いは何ですか?

    ソースコードは人間が読める文で構成されています。オブジェクトコードはCPU(中央処理装置)によって実行されるバイナリマシン言語です。

  • 44

    次のどれが秘密チャネルの種類を正確に説明していますか?

    秘密ストレージチャネル (CSC)

  • 45

    攻撃者は、ネットワーク上のフレームのシーケンスを操作して、企業の機密データを送信しようとしています。攻撃者の意図は何でしょうか?

    秘密のタイミングチャネルを使用するには

  • 46

    次のどれが「トラップドア/バックドア」ソフトウェア攻撃ベクトルを正確に説明していますか?

    アクセス制御手段を回避する隠れたメカニズム

  • 47

    オブジェクト指向プログラミング (OOP) は、アクションではなくオブジェクトに重点を置いています。そのため、開発者はオブジェクトを操作するために必要なロジックではなく、オブジェクト自体だけを考慮します。    OOP のどの特性により、コードが誤って他のデータにアクセスするのを防ぐことができますか?

    カプセル化

  • 48

    プロトタイピングの洗練された形式であり、各フェーズに厳格な時間制限を必要とするソフトウェア開発方法論は何ですか?

    RAD

  • 49

    次の記述のうち、TOCTOU 攻撃を正確に説明しているものはどれですか。

    TOCTOU攻撃は、攻撃者が2つのプロセスの間に介入し、2番目のプロセスをリダイレクトして結果を制御することによって発生する可能性があります。

  • 50

    既存のソフトウェア アプリケーションをテストして、アプリケーションの変更や追加が既存の機能に悪影響を与えていないことを確認することを、次のように呼びます。

    回帰テスト

  • 51

    OWASP SAMM モデルについて正しくないものは次のうちどれですか?

    このモデルはCMMの考え方をDevSecOpsに導入します

  • 52

    ソフトウェア エンジニアリング インスティテュートのソフトウェア機能成熟度モデル (SW-CMM) のどのレベルで、定量的手法を使用して制御されるプロセスが定義されますか?

    管理

  • 53

    ソフトウェア エンジニアリング協会のソフトウェア機能成熟度モデル統合 (SW-CMMI) は、次のどれに重点を置いていますか?

    プロセス管理

  • 54

    中央処理装置 (CPU) を騙して、設計者が意図したものとは異なる命令セットを実行させることは、どのような種類のコード実行と呼ばれますか?

    任意

  • 55

    市販の (COTS) ソフトウェアは、社内で作成された特注ソフトウェアよりも危険ですか?

    はい、COTSはセキュリティ上の欠陥の可能性を高めます

  • 56

    英国の国立サイバーセキュリティセンター (NCSC) は、組織がサプライチェーンの効果的な管理と監視を確立できるように設計された 12 の原則を提案しました。 次の回答のうち、これらの 12 の原則に当てはまらないものはどれですか。

    セキュリティニーズに関する見解をサプライヤーに伝えない

  • 57

    マネージド サービスに関して真実ではないことは何ですか?

    マネージド サービスでは、組織の機能を管理するために広範な社内 IT リソースが必要です。

  • 58

    2010 年に初めて発見された Stuxnet は、高度な持続的脅威 (APT) の一例です。APT は次のどれの別名ですか?

    マルウェア

    • 問題一覧

  • 1

    プロジェクトの開始と計画は、ソフトウェア開発ライフサイクル (SDLC) の最初のフェーズです。次のすべては、どれを除いて必須のセキュリティ アクティビティですか?

    ステップ4 - セキュリティ製品を選択する

  • 2

    プロジェクト計画のどの段階でセキュリティを導入する必要がありますか?

    プロジェクトの開始と計画

  • 3

    少なくとも、データベース モデルは、セキュリティ制御、複数のユーザーによる共有機能、フォールト トレランスとリカバリなどを提供する必要があります。

    トランザクションの永続性

  • 4

    データベースでは、データの内部整合性を維持するためにロック制御が必要です。しかし、データベース環境には別の要件があります。これらの要件は ACID テストと呼ばれます。次の 4 つのテストのうち、トランザクションが他のユーザーから見えないことを保証するものはどれですか。

    独立性

  • 5

    すべての形式のソフトウェアに同じレベルのリスクがありますか?

    必ずしもそうではありません。リスクが異なれば影響のレベルも異なります

  • 6

    次のどれが非機能要件として分類されないでしょうか?

    これらはすべて非機能要件の例です

  • 7

    どのソフトウェアを保護しようとしていますか? すべてですか、それとも一部ですか?

    すべてのソフトウェアはセキュリティリスクをもたらす可能性がある

  • 8

    オブジェクト指向開発を使用するプロジェクトに最適な方法論はどれですか?

    Reuse model

  • 9

    システムが運用中に入力、作成、保存、変更、出力、破棄する必要があるすべてのデータ要素を識別するのは次のどれですか?

    データモデリング

  • 10

    データ中心のシステムの脅威モデリングを正確に説明しているものはどれですか? 

    意思決定と変更計画を容易にします

  • 11

    データベースを考えるとき、「致命的な抱擁」とは何でしょうか?

    デッドロック

  • 12

    コーディングガイドラインと標準を使用する理由は次のうちどれですか?

    システムとアプリケーションは、組織のニーズに基づいて適切なセキュリティ要件を満たす必要があります。

  • 13

    継続的インテグレーション (CI) と継続的デリバリー (CD) の違いは何ですか?

    継続的インテグレーションでは、コードの変更を頻繁にコードリポジトリに更新し、自動化されたプロセスを使用してテストする必要があります。継続的デリバリーは、変更を本番環境に移行することに重点を置いています。

  • 14

    ソフトウェア開発プロセスにおける継続的インテグレーションと継続的デリバリー (CI/CD) の目的は何ですか?

    ソフトウェアのライフサイクル全体にわたって安全な進化を促進する

  • 15

    ソフトウェア開発プロセスにおける継続的インテグレーションと継続的デリバリー (CI/CD) の目的は何ですか?

    ソフトウェアのライフサイクル全体にわたって安全な進化を促進する

  • 16

    次のどれが整合性制御の対象とならない可能性がありますか?   

    回帰テスト

  • 17

    ソフトウェアの欠陥やバグを制御および回避するために使用される方法論は何ですか?

    クリーンルーム

  • 18

    リレーショナル データベースのどのキーが、エンティティの特定のインスタンスを一意に識別する属性または属性セットを提供しますか?

    主キー

  • 19

    アプリケーション プログラミング インターフェイス (API) は、モノのインターネット (IoT) や電子健康リストバンドなどのデバイスなど、さまざまなものの通信を可能にするコネクタです。APIの構造化され制御された開発と展開を可能にする包括的なセキュリティ フレームワークとは何でしょうか。

    データガバナンス

  • 20

    次のどれがプログラミング経験を示していますか? 該当しないものを選択してください。

    コードには関数の複製が含まれている

  • 21

    DBMS テクノロジにおいて、ユーザー定義の整合性制約に違反しない有効なトランザクションのみを保証するプロパティは、次のように呼ばれます。

    一貫性

  • 22

    DevOps と DevSecOps の違いは何ですか?

    DevOpsは主に新規および更新されたコードを運用に迅速に提供することに重点を置いているため、セキュリティ上の考慮事項に対処するために他のプロセスに依存しています。DevSecOpsは、セキュリティのレビューと評価を設計、開発、展開のワークフロー全体に統合します。

  • 23

    以下のアクティビティはすべて、1 つを除いて、取得時のソフトウェア保証の基本的なフェーズです。    どれが間違っていますか?

    開始

  • 24

    次のオプションのうち、組織がサードパーティ経由でソフトウェア システムを取得する活動のフェーズを表していないものはどれですか。

    コンサルティングフェーズ

  • 25

    手続き型プログラミングとオブジェクト指向プログラミングは、複雑なソフトウェア セットの管理を処理する方法を提供します。    次のどれが該当しないでしょうか?

    改革

  • 26

    次のステップのうち、前のフェーズで概説したように、アプリケーションがセキュリティ要件と仕様を満たしていることを保証するのはどれですか?

    受け入れ

  • 27

    プログラムを実行せずにソース コードを分析する評価手法はどれですか。

    静的解析

  • 28

    API に推奨されるセキュリティ プラクティスは次のどれですか。

    ハッシュベースのメッセージ認証コードを使用する

  • 29

    どの世代のプログラミング言語が主要な命令の略語として記号を使用していますか?

    アセンブリ言語

  • 30

    同じ機能を実行するためにソフトウェア セットを部分的または完全に書き直したものは次のどれですか。

    リファクタリング

  • 31

    次の認証オプションのうち、実装が最も簡単なのはどれですか?

    トランスポート層セキュリティによる基本認証

  • 32

    攻撃者が検証されていない情報を提供した場合にアプリケーションの誤動作を引き起こすソフトウェア設計エラーは、どのような弱点として最もよく説明されますか?

    不正な入力

  • 33

    あなたは、会社で最近開発された金融アプリケーションのセキュリティ体制を確認する IT セキュリティ アナリストです。    分析中に、特定のフィールドに過度に長いデータ文字列を入力するとアプリケーションがクラッシュすることがわかりました。この動作は、アプリケーションが受け入れる入力のサイズを適切に制限していないという脆弱性を示しています。このような脆弱性により、攻撃者が任意のコードを実行したり、サービスを中断したりする可能性があります。    アプリケーションのクラッシュを引き起こす可能性が高い脆弱性の種類は何ですか?

    バッファオーバーフロー

  • 34

    ユーザーは、ヘルプ デスクがユーザーのコンピューターに必要な構成の更新を行う必要があるという電話を受けます。ヘルプ デスクの担当者は、構成の更新を完了できるようにユーザーにパスワードを提供するよう要求します。    これはソーシャル エンジニアリングの一種です。ソーシャル エンジニアリングに対する最善の防御策は何でしょうか?

    セキュリティ意識向上トレーニング

  • 35

    「中間者攻撃」とは何ですか?

    通信回線が盗聴され、送信内容に偽のデータが挿入される状態

  • 36

    ソフトウェア セキュリティ有効性評価の主な目的は何ですか?

    セキュリティ対策の評価と改善

  • 37

    2021 年の OWASP Top 10 における Web アプリケーション セキュリティ リスクのトップは何ですか?

    アクセス制御の不具合

  • 38

    Java、C++、Python、Delphi は、オブジェクト指向プログラミング (OOP) の例です。このプログラミング概念は、アクションではなくオブジェクトに重点を置いています。    OOP で推論が実行されるのを防ぐために使用されるのは次のどれですか?

    多重インスタンス化

  • 39

    ポリインスタンス化の目的は、次のことを防ぐことです。

    低レベルのユーザーが高レベルのデータの存在を推測するのを防ぐ

  • 40

    ファジーテストを最もよく表すのは次のどれですか?

    「予想」データではなくランダムデータでテストする

  • 41

    機密性の高い本番データがテスト メンバーに公開されないようにするために使用されるのは次のどれですか。

    テストデータのサニタイズ

  • 42

    ソフトウェアの新しいビルドに誤って導入された可能性のあるコードやバグを検出するために使用されるテストの種類は次のどれですか?

    回帰テスト

  • 43

    ソースコードとオブジェクトコードの違いは何ですか?

    ソースコードは人間が読める文で構成されています。オブジェクトコードはCPU(中央処理装置)によって実行されるバイナリマシン言語です。

  • 44

    次のどれが秘密チャネルの種類を正確に説明していますか?

    秘密ストレージチャネル (CSC)

  • 45

    攻撃者は、ネットワーク上のフレームのシーケンスを操作して、企業の機密データを送信しようとしています。攻撃者の意図は何でしょうか?

    秘密のタイミングチャネルを使用するには

  • 46

    次のどれが「トラップドア/バックドア」ソフトウェア攻撃ベクトルを正確に説明していますか?

    アクセス制御手段を回避する隠れたメカニズム

  • 47

    オブジェクト指向プログラミング (OOP) は、アクションではなくオブジェクトに重点を置いています。そのため、開発者はオブジェクトを操作するために必要なロジックではなく、オブジェクト自体だけを考慮します。    OOP のどの特性により、コードが誤って他のデータにアクセスするのを防ぐことができますか?

    カプセル化

  • 48

    プロトタイピングの洗練された形式であり、各フェーズに厳格な時間制限を必要とするソフトウェア開発方法論は何ですか?

    RAD

  • 49

    次の記述のうち、TOCTOU 攻撃を正確に説明しているものはどれですか。

    TOCTOU攻撃は、攻撃者が2つのプロセスの間に介入し、2番目のプロセスをリダイレクトして結果を制御することによって発生する可能性があります。

  • 50

    既存のソフトウェア アプリケーションをテストして、アプリケーションの変更や追加が既存の機能に悪影響を与えていないことを確認することを、次のように呼びます。

    回帰テスト

  • 51

    OWASP SAMM モデルについて正しくないものは次のうちどれですか?

    このモデルはCMMの考え方をDevSecOpsに導入します

  • 52

    ソフトウェア エンジニアリング インスティテュートのソフトウェア機能成熟度モデル (SW-CMM) のどのレベルで、定量的手法を使用して制御されるプロセスが定義されますか?

    管理

  • 53

    ソフトウェア エンジニアリング協会のソフトウェア機能成熟度モデル統合 (SW-CMMI) は、次のどれに重点を置いていますか?

    プロセス管理

  • 54

    中央処理装置 (CPU) を騙して、設計者が意図したものとは異なる命令セットを実行させることは、どのような種類のコード実行と呼ばれますか?

    任意

  • 55

    市販の (COTS) ソフトウェアは、社内で作成された特注ソフトウェアよりも危険ですか?

    はい、COTSはセキュリティ上の欠陥の可能性を高めます

  • 56

    英国の国立サイバーセキュリティセンター (NCSC) は、組織がサプライチェーンの効果的な管理と監視を確立できるように設計された 12 の原則を提案しました。 次の回答のうち、これらの 12 の原則に当てはまらないものはどれですか。

    セキュリティニーズに関する見解をサプライヤーに伝えない

  • 57

    マネージド サービスに関して真実ではないことは何ですか?

    マネージド サービスでは、組織の機能を管理するために広範な社内 IT リソースが必要です。

  • 58

    2010 年に初めて発見された Stuxnet は、高度な持続的脅威 (APT) の一例です。APT は次のどれの別名ですか?

    マルウェア