問題一覧
1
ある組織は、数年前に商用オフザシェルフ (COTS) ソフトウェアを購入しました。情報技術 (IT) ディレクターは、アプリケーションをクラウドに移行することを決定しましたが、クラウド サービス プロバイダーを使用した組織の専用環境におけるソフトウェアのアプリケーション セキュリティに懸念を抱いています。ソフトウェアのセキュリティ上の弱点を防ぎ、修正する最善の方法は何ですか。
ソフトウェアの更新とパッチ適用のプロセスを調査する
2
米国 (US) で電子医療記録 (EHR) を作成する場合、コンプライアンス要件に対する最良の情報源は次のうちどれですか。
HHS
3
物理的な境界保護を確保するための最良の設計は何ですか。
障壁、フェンス、門、壁
4
情報セキュリティ担当者は、新しいファイアウォールの導入を進めているところです。次の障害方法のうち、障害発生時のセキュリティを最も優先するのはどれですか。
フェールクローズ
5
National Vulnerability Database (NVD) をサポートするための脆弱性メトリックと特性を提供するフレームワークは次のどれですか。
CVSS
6
セキュリティ担当者は、災害前および災害中に何をすべきか、また復旧活動における役割について緊急管理担当者から訓練を受ける必要があります。担当者は、緊急対応手順と手順について必要な訓練を受ける必要があります。これは物理セキュリティ設計のどの部分に該当しますか。
緊急災害対策
7
ある組織は、ここ数カ月間に複数の分散型サービス拒否 (DDoS) 攻撃を経験しており、以前はすべてオンプレミスにあった公開 Web サイトや電子商取引サイトに影響を及ぼしました。問題を分析した後、ネットワーク エンジニアは、追加のネーム サービス プロバイダーと冗長ネットワーク パスを実装することを組織に推奨しました。 Web サイトや電子商取引サイトの将来の可用性を確保するために役立つもう 1 つの推奨事項は何ですか。
現在の検出戦略を見直し、シグネチャベースの技術を採用する。
8
Security Content Automation Protocol (SCAP) に依存する主な利点は何ですか。
ソフトウェアセキュリティ製品間の仕様を標準化する。
9
セキュリティ担当者の有効性に最も貢献しているのは次のうちどれですか。
セキュリティをビジネス戦略に組み込む
10
ソフトウェア開発用のオブジェクト指向プログラミングによって提供される優れた多層防御戦略に含めるべきものは次のうちどれですか。
カプセル化
11
データセンターのサイトを計画する際、人命に加えて、次の要素の保護が最も重要なのはどれですか。
データとハードウェア
12
伝送制御プロトコル/インターネット プロトコル (TCP/IP) モデルのネットワーク アクセス層に最もよく対応するオープン システム相互接続 (OSI) 層はどれですか。
データリンク層と物理層
13
最も強力な物理アクセス制御は次のうちどれですか。
生体認証、パスワード、バッジリーダー
14
ある組織は、顧客がウェアラブル デバイスからの情報を相互に共有する方法を開発しました。残念ながら、収集されたどのような情報が共有されるかについてはユーザーには知らされていませんでした。組織のビジネス目標を達成しながらプライバシー問題を解決するには、どのような技術的管理を導入する必要がありますか。
ユーザーはデフォルトで情報を共有しない。
15
セキュリティ テストの結果をレビューするときに期待値を設定する際に、レビュー担当者に伝えることが最も重要なのは次のステートメントのうちどれですか。
テストの結果は、ターゲットの特定時点の評価を表す。
16
ワイド エリア ネットワーク (WAN) がボイス オーバー インターネット プロトコル (VoIP) などの統合アプリケーションをサポートしている場合、ネットワークの保証にとってさらに重要になるのは次のうちどれですか。
決定論的ルーティング
17
開発者は、すべてのユーザー アクティビティの安全なログを必要とするアプリケーションを作成しています。要件が満たされていることを確認するために、開発者がログ ファイルに割り当てる必要がある最適な権限は何ですか。
Add
18
物理的なベースライン保護プロファイル (PP) を決定する前に、次のアクションのうちどれを実行する必要がありますか。
現地調査を実施する。
19
インターネット プロトコル バージョン 6 (IPv6) アドレスを利用する分散キャンパス ネットワークに最も適したダイナミック ルーティング プロトコルはどれですか。
OPSF v3
20
ある金融サービス組織は、セキュリティ コンサルタントを雇用して、さまざまなチームの従業員が使用するプロセスをレビューしました。コンサルタントはアプリケーション開発実務のメンバーにインタビューし、彼らの脅威モデルにギャップがあることを発見しました。脅威モデルを改訂する必要があるときのトリガーを正しく表しているのは次のうちどれですか。
新しいデータ リポジトリが追加されたとき
21
産業用制御システム (ICS) のセキュリティ上の弱点をテストする際の主な考慮事項は何ですか。
ICS は予期しないトラフィックに敏感になることがよくある。
22
ソフトウェア定義ネットワーク (SDN) のビルディング ブロックには、次のどれが必要ですか。
SDN は主に仮想マシン (VM) で構成される。
23
インターネット プロトコル セキュリティ (IPSec) を使用してリモート アクセス セッションを実行する場合、この接続ではどのオープン システム相互接続 (OSI) モデル層が使用されますか。
ネットワーク
24
Trusted Platform Module (TPM) によって提供される強力なセキュリティ保護は次のうちどれですか。
ストレージデバイスからの暗号化キーの分離
25
アクセス制御システムのアーキテクチャを設計する際には、機密性と情報へのアクセス制御が主な焦点であると判断されました。次のセキュリティ モデルのうち、組織にとって最良の選択はどれですか。
BLP (Bell-LaPadula)
26
組織は、サードパーティ パートナーへのアクセスを提供する戦略を策定しています。情報技術 (IT) 部門は、クラウド サービスを活用してアクセスを提供する任務を負っています。タスクを完了するために最も一般的に使用されているテクノロジーは次のうちどれですか。
Identity as a Service (IDaaS)
27
ある組織は、十分な職務の分離(SoD) を実施するために、エンタープライズ リソース プランニング (ERP) ソフトウェアの構成を強化しようとしています。次のアプローチのうち、SoD の有効性を最も向上させるのはどれですか。
従業員の責任と ERP アクセス プロファイルを見直して、ミッション活動とシステム サポート活動を区別する
28
ソフトウェア開発会社は、ソフトウェア製品を納品するまでのスケジュールが短いです。ソフトウェア開発チームは、開発時間を短縮するためにオープンソース ソフトウェア ライブラリを使用することにしました。オープンソース ソフトウェア ライブラリを使用する際、ソフトウェア開発者はどのような概念を考慮する必要がありますか。
オープンソース ライブラリには既知の脆弱性が含まれており、攻撃者は定期的にこれらの脆弱性を悪用する。
29
破壊的なイベントが発生した際、組織の情報セキュリティを所定のレベルに維持できるセキュリティ継続目標はどれですか。
情報セキュリティ継続計画
30
ある組織は、外国でホストされている Web 電子メール サービスからなりすまし電子メールを受信しているのではないかと疑っています。加害者を特定するプロセスを開始するために、最も関連性の高い情報はどこで発見できますか。
受信メールのメッセージヘッダー
31
フルディスク暗号化 (FDE) の脆弱性の例は次のうちどれですか。
ユーザーがデバイスに認証されたときに、保存されているデータが侵害された。
32
次の攻撃タイプのうち、送信中にデータの整合性を侵害するために使用できるものはどれですか。
セッションハイジャック
33
適切なデータ保持ポリシーに関して、アーカイブされた情報の可用性に対する主なリスク要因は次のうちどれですか。
サードパーティ環境に保存されたデータ
34
ソフトウェア開発では、開発者は構造化照会言語 (SQL) インジェクションを防ぐためにどのタイプのクエリを使用する必要がありますか。
パラメータ化
35
BGP (Border Gateway Protocol)の目的を最もよく説明しているものは次のうちどれですか。
自律システム間の効率的なネットワーク パスのリストを維持する。
36
従業員が企業デバイスまたはユーザー アカウントからソーシャル メディアにアクセスできるようにする前に、組織が取るべき最初のステップは何ですか。
許容範囲内の使用ポリシー(AUP)を公開する。
37
組織は、開発サーバー用の仮想環境の展開を承認し、リソースへのアクセスを制限するための制御を確立しました。仮想環境のセキュリティのベスト プラクティスを実装するには、セキュリティ チームは次のどの手順も実装する必要がありますか。
ハイパーバイザー専用の管理ネットワークを実装する。
38
Voice over Internet Protocol (VoIP) ネットワークで Extensible Authentication Protocol (EAP) を構成する場合、最も安全な認証タイプは次のうちどれですか。
EAP-TLS
39
結果が標準を満たしているかどうかを判断するために、その結果を標準と比較するプロセスはどれですか。
セキュリティ監査
40
攻撃者が巧妙に作成された悪意のあるリクエストを、それを認識している認証済みユーザーに送信できる場合、次のタイプの Web ベース攻撃が発生しますか。
クロスサイト リクエスト フォージェリ (CSRF)
41
電力サージ保護装置が取り付けられていない場合の補償制御とは何ですか。
サイトにホットDR環境を整備する
42
ソフトウェア開発者は、意図したとおりにのみ安全に実行されるコードを作成したいと考えています。次のプログラミング言語タイプのうち、この目標を達成する可能性が最も高いのはどれですか。
厳密な型指定
43
IDEAL 暗号化システムでは、復号キーに単独でアクセスできるのは誰ですか。
データオーナー
44
最高情報セキュリティ責任者 (CISO) は、セキュリティの弱点や脆弱性をソース コード レベルで評価するためのさまざまな提案を検討しています。 CISO が組織のために賢明な意思決定を行うために最も適しているのは、次の項目のうちどれですか。
CWRAF
45
クラウド ホスティング プロバイダーは、自社のセキュリティ プログラムに関連する Service Organization Control (SOC) レポートを提供したいと考えています。このレポートは、自由に配布できる短縮レポートである必要があります。この要件を最もよく満たすレポートのタイプはどれですか。
SOC 3
46
上級管理者が正式な最大許容ダウンタイム (MTD) の決定を明確に伝えることが重要なのはなぜですか。
切な回復手段の選択について各マネージャーに正確な指示を提供するため
47
都市内の電話が 1 つの交換機で接続されている場合、発信者は交換機のオペレーターにのみ接続できます。その後、オペレーターが手動で通話を接続します。これは、どのタイプのネットワーク トポロジの例ですか。
スター型
48
アクティブ検出ツールを使用してスキャンを実行する主な目的は次のうちどれですか。
資産の識別 (ID) と在庫管理
49
開発チームは生体認証デバイスからデータを収集する任務を負っています。アプリケーションは、さまざまな収集データ ストリームをサポートします。テスト段階では、チームは安全なテスト環境で古い運用データベースのデータを利用します。チームはどのような原則を考慮しましたか。
生体認証データは開示から保護されなければならない。
50
中間者 (MITM) VoIP 攻撃に対する最良の軽減策は次のうちどれですか。
TLS プロトコルを使用する