ISC2（ドメイン8）

通報

問題一覧

プロジェクトの開始と計画は、ソフトウェア開発ライフサイクル (SDLC) の最初のフェーズです。次のすべては、どれを除いて必須のセキュリティアクティビティですか?

ステップ4 - セキュリティ製品を選択する

プロジェクト計画のどの段階でセキュリティを導入する必要がありますか?

プロジェクトの開始と計画

少なくとも、データベースモデルは、セキュリティ制御、複数のユーザーによる共有機能、フォールトトレランスとリカバリなどを提供する必要があります。

トランザクションの永続性

データベースでは、データの内部整合性を維持するためにロック制御が必要です。しかし、データベース環境には別の要件があります。これらの要件は ACID テストと呼ばれます。次の 4 つのテストのうち、トランザクションが他のユーザーから見えないことを保証するものはどれですか。

独立性

すべての形式のソフトウェアに同じレベルのリスクがありますか?

必ずしもそうではありません。リスクが異なれば影響のレベルも異なります

次のどれが非機能要件として分類されないでしょうか?

これらはすべて非機能要件の例です

どのソフトウェアを保護しようとしていますか? すべてですか、それとも一部ですか?

すべてのソフトウェアはセキュリティリスクをもたらす可能性がある

オブジェクト指向開発を使用するプロジェクトに最適な方法論はどれですか?

Reuse model

システムが運用中に入力、作成、保存、変更、出力、破棄する必要があるすべてのデータ要素を識別するのは次のどれですか?

データモデリング

データ中心のシステムの脅威モデリングを正確に説明しているものはどれですか?

意思決定と変更計画を容易にします

データベースを考えるとき、「致命的な抱擁」とは何でしょうか?

デッドロック

コーディングガイドラインと標準を使用する理由は次のうちどれですか?

システムとアプリケーションは、組織のニーズに基づいて適切なセキュリティ要件を満たす必要があります。

継続的インテグレーション (CI) と継続的デリバリー (CD) の違いは何ですか?

継続的インテグレーションでは、コードの変更を頻繁にコードリポジトリに更新し、自動化されたプロセスを使用してテストする必要があります。継続的デリバリーは、変更を本番環境に移行することに重点を置いています。

ソフトウェア開発プロセスにおける継続的インテグレーションと継続的デリバリー (CI/CD) の目的は何ですか?

ソフトウェアのライフサイクル全体にわたって安全な進化を促進する

ソフトウェア開発プロセスにおける継続的インテグレーションと継続的デリバリー (CI/CD) の目的は何ですか?

ソフトウェアのライフサイクル全体にわたって安全な進化を促進する

次のどれが整合性制御の対象とならない可能性がありますか?

回帰テスト

ソフトウェアの欠陥やバグを制御および回避するために使用される方法論は何ですか?

クリーンルーム

リレーショナルデータベースのどのキーが、エンティティの特定のインスタンスを一意に識別する属性または属性セットを提供しますか?

主キー

アプリケーションプログラミングインターフェイス (API) は、モノのインターネット (IoT) や電子健康リストバンドなどのデバイスなど、さまざまなものの通信を可能にするコネクタです。APIの構造化され制御された開発と展開を可能にする包括的なセキュリティフレームワークとは何でしょうか。

データガバナンス

次のどれがプログラミング経験を示していますか? 該当しないものを選択してください。

コードには関数の複製が含まれている

DBMS テクノロジにおいて、ユーザー定義の整合性制約に違反しない有効なトランザクションのみを保証するプロパティは、次のように呼ばれます。

一貫性

DevOps と DevSecOps の違いは何ですか?

DevOpsは主に新規および更新されたコードを運用に迅速に提供することに重点を置いているため、セキュリティ上の考慮事項に対処するために他のプロセスに依存しています。DevSecOpsは、セキュリティのレビューと評価を設計、開発、展開のワークフロー全体に統合します。

以下のアクティビティはすべて、1 つを除いて、取得時のソフトウェア保証の基本的なフェーズです。どれが間違っていますか?

開始

次のオプションのうち、組織がサードパーティ経由でソフトウェアシステムを取得する活動のフェーズを表していないものはどれですか。

コンサルティングフェーズ

手続き型プログラミングとオブジェクト指向プログラミングは、複雑なソフトウェアセットの管理を処理する方法を提供します。次のどれが該当しないでしょうか?

改革

次のステップのうち、前のフェーズで概説したように、アプリケーションがセキュリティ要件と仕様を満たしていることを保証するのはどれですか?

受け入れ

プログラムを実行せずにソースコードを分析する評価手法はどれですか。

静的解析

API に推奨されるセキュリティプラクティスは次のどれですか。

ハッシュベースのメッセージ認証コードを使用する

どの世代のプログラミング言語が主要な命令の略語として記号を使用していますか?

アセンブリ言語

同じ機能を実行するためにソフトウェアセットを部分的または完全に書き直したものは次のどれですか。

リファクタリング

次の認証オプションのうち、実装が最も簡単なのはどれですか?

トランスポート層セキュリティによる基本認証

攻撃者が検証されていない情報を提供した場合にアプリケーションの誤動作を引き起こすソフトウェア設計エラーは、どのような弱点として最もよく説明されますか?

不正な入力

あなたは、会社で最近開発された金融アプリケーションのセキュリティ体制を確認する IT セキュリティアナリストです。分析中に、特定のフィールドに過度に長いデータ文字列を入力するとアプリケーションがクラッシュすることがわかりました。この動作は、アプリケーションが受け入れる入力のサイズを適切に制限していないという脆弱性を示しています。このような脆弱性により、攻撃者が任意のコードを実行したり、サービスを中断したりする可能性があります。アプリケーションのクラッシュを引き起こす可能性が高い脆弱性の種類は何ですか?

バッファオーバーフロー

ユーザーは、ヘルプデスクがユーザーのコンピューターに必要な構成の更新を行う必要があるという電話を受けます。ヘルプデスクの担当者は、構成の更新を完了できるようにユーザーにパスワードを提供するよう要求します。これはソーシャルエンジニアリングの一種です。ソーシャルエンジニアリングに対する最善の防御策は何でしょうか?

セキュリティ意識向上トレーニング

「中間者攻撃」とは何ですか?

通信回線が盗聴され、送信内容に偽のデータが挿入される状態

ソフトウェアセキュリティ有効性評価の主な目的は何ですか?

セキュリティ対策の評価と改善

2021 年の OWASP Top 10 における Web アプリケーションセキュリティリスクのトップは何ですか?

アクセス制御の不具合

Java、C++、Python、Delphi は、オブジェクト指向プログラミング (OOP) の例です。このプログラミング概念は、アクションではなくオブジェクトに重点を置いています。 OOP で推論が実行されるのを防ぐために使用されるのは次のどれですか?

多重インスタンス化

ポリインスタンス化の目的は、次のことを防ぐことです。

低レベルのユーザーが高レベルのデータの存在を推測するのを防ぐ

ファジーテストを最もよく表すのは次のどれですか?

「予想」データではなくランダムデータでテストする

機密性の高い本番データがテストメンバーに公開されないようにするために使用されるのは次のどれですか。

テストデータのサニタイズ

ソフトウェアの新しいビルドに誤って導入された可能性のあるコードやバグを検出するために使用されるテストの種類は次のどれですか?

回帰テスト

ソースコードとオブジェクトコードの違いは何ですか?

ソースコードは人間が読める文で構成されています。オブジェクトコードはCPU（中央処理装置）によって実行されるバイナリマシン言語です。

次のどれが秘密チャネルの種類を正確に説明していますか?

秘密ストレージチャネル (CSC)

攻撃者は、ネットワーク上のフレームのシーケンスを操作して、企業の機密データを送信しようとしています。攻撃者の意図は何でしょうか?

秘密のタイミングチャネルを使用するには

次のどれが「トラップドア/バックドア」ソフトウェア攻撃ベクトルを正確に説明していますか?

アクセス制御手段を回避する隠れたメカニズム

オブジェクト指向プログラミング (OOP) は、アクションではなくオブジェクトに重点を置いています。そのため、開発者はオブジェクトを操作するために必要なロジックではなく、オブジェクト自体だけを考慮します。 OOP のどの特性により、コードが誤って他のデータにアクセスするのを防ぐことができますか?

カプセル化

プロトタイピングの洗練された形式であり、各フェーズに厳格な時間制限を必要とするソフトウェア開発方法論は何ですか?

RAD

次の記述のうち、TOCTOU 攻撃を正確に説明しているものはどれですか。

TOCTOU攻撃は、攻撃者が2つのプロセスの間に介入し、2番目のプロセスをリダイレクトして結果を制御することによって発生する可能性があります。

既存のソフトウェアアプリケーションをテストして、アプリケーションの変更や追加が既存の機能に悪影響を与えていないことを確認することを、次のように呼びます。

回帰テスト

OWASP SAMM モデルについて正しくないものは次のうちどれですか?

このモデルはCMMの考え方をDevSecOpsに導入します

ソフトウェアエンジニアリングインスティテュートのソフトウェア機能成熟度モデル (SW-CMM) のどのレベルで、定量的手法を使用して制御されるプロセスが定義されますか?

管理

ソフトウェアエンジニアリング協会のソフトウェア機能成熟度モデル統合 (SW-CMMI) は、次のどれに重点を置いていますか?

プロセス管理

中央処理装置 (CPU) を騙して、設計者が意図したものとは異なる命令セットを実行させることは、どのような種類のコード実行と呼ばれますか?

任意

市販の (COTS) ソフトウェアは、社内で作成された特注ソフトウェアよりも危険ですか?

はい、COTSはセキュリティ上の欠陥の可能性を高めます

英国の国立サイバーセキュリティセンター (NCSC) は、組織がサプライチェーンの効果的な管理と監視を確立できるように設計された 12 の原則を提案しました。次の回答のうち、これらの 12 の原則に当てはまらないものはどれですか。

セキュリティニーズに関する見解をサプライヤーに伝えない

マネージドサービスに関して真実ではないことは何ですか?

マネージドサービスでは、組織の機能を管理するために広範な社内 IT リソースが必要です。

2010 年に初めて発見された Stuxnet は、高度な持続的脅威 (APT) の一例です。APT は次のどれの別名ですか?

マルウェア

CISSP_test1

CISSP_test1

CISSP_test2

エッグスンシングス · 77問 · 2年前

CISSP_test2

77問 • 2年前

CISSP_test3

CISSP_test3

CISSP_test4

CISSP_test4

CISSP_test5

CISSP_test5

CISSP_test6

エッグスンシングス · 57問 · 2年前

CISSP_test6

57問 • 2年前

CISSP（模擬テスト3）

エッグスンシングス · 30問 · 2年前

CISSP（模擬テスト3）

30問 • 2年前

CISSP本番

CISSP本番

CISS本番2

CISS本番2

Udemy

Udemy

CISSP本番3

CISSP本番3

CISSP本番4

CISSP本番4

CISSP本番5

エッグスンシングス · 14問 · 1年前

CISSP本番5

14問 • 1年前

ISC(Final Assessment )

エッグスンシングス · 40問 · 1年前

ISC(Final Assessment )

40問 • 1年前

CISSP　暗記（PORT）

エッグスンシングス · 85問 · 1年前

CISSP　暗記（PORT）

85問 • 1年前

CISSP(予想問題）

エッグスンシングス · 22問 · 2年前

CISSP(予想問題）

22問 • 2年前

ISC2（ドメイン1）

エッグスンシングス · 42問 · 1年前

ISC2（ドメイン1）

42問 • 1年前

ISC2（ドメイン2）

エッグスンシングス · 25問 · 1年前

ISC2（ドメイン2）

25問 • 1年前

ISC2（ドメイン3）

エッグスンシングス · 69問 · 1年前

ISC2（ドメイン3）

69問 • 1年前

ISC2（ドメイン4）

エッグスンシングス · 26問 · 1年前

ISC2（ドメイン4）

26問 • 1年前

ISC2（ドメイン5）

エッグスンシングス · 34問 · 1年前

ISC2（ドメイン5）

34問 • 1年前

エッグスンシングス · 6回閲覧 · 73問 · 2年前

CISSP（ドメイン2）

CISSP（ドメイン2）

6回閲覧 • 73問 • 2年前

CISSP（ドメイン3）

エッグスンシングス · 86問 · 2年前

CISSP（ドメイン3）

86問 • 2年前

CISSP（ドメイン4）

エッグスンシングス · 74問 · 2年前

CISSP（ドメイン4）

74問 • 2年前

エッグスンシングス · 5回閲覧 · 74問 · 2年前

CISSP（ドメイン5）

CISSP（ドメイン5）

5回閲覧 • 74問 • 2年前

CISSP（ドメイン6）

エッグスンシングス · 82問 · 2年前

CISSP（ドメイン6）

82問 • 2年前

CISSP(ドメイン7）

エッグスンシングス · 63問 · 2年前

CISSP(ドメイン7）

63問 • 2年前

CISSP（ドメイン8）

エッグスンシングス · 72問 · 2年前

CISSP（ドメイン8）

72問 • 2年前

ISC2（ドメイン6）

エッグスンシングス · 35問 · 1年前

ISC2（ドメイン6）

35問 • 1年前

CISSP（模擬テスト1）

エッグスンシングス · 79問 · 2年前

CISSP（模擬テスト1）

79問 • 2年前

ISC2（ドメイン7）

エッグスンシングス · 46問 · 1年前

ISC2（ドメイン7）

46問 • 1年前

CISSP（模擬試験2）

エッグスンシングス · 63問 · 2年前

CISSP（模擬試験2）

63問 • 2年前

CISSP（模擬テスト4）

エッグスンシングス · 21問 · 2年前

CISSP（模擬テスト4）

21問 • 2年前

エッグスンシングス · 3回閲覧 · 42問 · 2年前

CISSP（用語）

CISSP（用語）

3回閲覧 • 42問 • 2年前

エッグスンシングス · 3回閲覧 · 10問 · 1年前

CISSP(ISC2) ドメイン1

CISSP(ISC2) ドメイン1

3回閲覧 • 10問 • 1年前

CISSP(用語）

エッグスンシングス · 69問 · 2年前

CISSP(用語）

69問 • 2年前

Udemy2

エッグスンシングス · 33問 · 1年前

Udemy2

33問 • 1年前

CISSP(ｵﾌｨｼｬﾙｶﾞｲﾄﾞ）

エッグスンシングス · 12問 · 2年前

CISSP(ｵﾌｨｼｬﾙｶﾞｲﾄﾞ）

12問 • 2年前

CISSP（用語1）

CISSP（用語1）

CISSP（用語2）

CISSP（用語2）

CISSP（用語3）

CISSP（用語3）

CISSP（用語4）

CISSP（用語4）

CISSP（用語5）

CISSP（用語5）

CISSP（用語7）

CISSP（用語7）

CISSP（用語6）

CISSP（用語6）

CISSP（用語8）

CISSP（用語8）

CISSP（用語9）

CISSP（用語9）

CISSP（用語11）

CISSP（用語11）

CISSP（用語10）

CISSP（用語10）

CISSP（用語12）

CISSP（用語12）

CISSP（用語13）

エッグスンシングス · 76問 · 2年前

CISSP（用語13）

76問 • 2年前

補足問題（CISA）

補足問題（CISA）

補足問題2（CISA）

エッグスンシングス · 70問 · 1年前

補足問題2（CISA）

70問 • 1年前