問題一覧
1
システムの必要性が表明され、システムの目的が文書化されるとき
2
セキュリティ要件が決まるため
3
アプリケーション管理、構成管理 (CM)、電話管理の厳密な統合
4
Web アプリケーションを運用環境に導入する前に、セキュリティ担当者は複数の種類のテストを実行して、Web アプリケーションが期待どおりに動作することを確認します。ユーザー名フィールドをテストするために、セキュリティ担当者は、フィールドに許可されている文字数を超える文字を入力するテストを作成します。実行されたテストの種類を最も適切に説明しているものは次のうちどれですか。
ミスユースケーステスト
5
ある組織は、インターネット経由でパートナーとデータを安全に共有したいと考えています。この要件を満たすために通常どの標準ポートが使用されますか。
22
6
フェデレーションアクセス
7
スキルセットとトレーニング
8
Secure Shell (SSH) に関する次の記述のうち、正しいものはどれですか。
SSH はポート転送をサポートしており、安全性の低いプロトコルを保護するために使用できる。
9
ある組織は、外国でホストされている Web 電子メール サービスからなりすまし電子メールを受信しているのではないかと疑っています。加害者を特定するプロセスを開始するために、最も関連性の高い情報はどこで発見できますか。
受信メールのメッセージヘッダー
10
情報セキュリティ継続モニタリング (ISCM)
11
DNS サーバーは情報ソースを認証しない。
12
現在の検出戦略を見直し、シグネチャベースの技術を採用する。
13
SPI は、セッションのコンテキストでトラフィックを検査する
14
企業は、サードパーティのサービスプロバイダーがホストする旅行サービスへのアクセスを従業員に提供する必要があります。従業員エクスペリエンスは重要であり、ユーザーがすでに認証されている場合は、旅行ポータルへのアクセスがシームレスになります。情報を共有し、旅行ポータルへのユーザー アクセスを許可するために使用される方法は次のどれですか。
フェデレーションアクセス
15
メモリ収集
16
DLP
17
セキュリティ監査
18
EDR
19
ハイパーバイザー ホストとソフトウェア管理機能の保護を最大限に実現するにはどうすればよいですか。
個別の物理ネットワーク インターフェイス カード (NIC) とネットワークが必要である。
20
ある組織は、元ネットワーク管理者の悪意のある行為をシミュレートするペネトレーションテストを計画しています。どのようなペネトレーションテストが必要ですか。
グレイボックス
21
Add
22
最新のベンダーのパッチとアップデートを適用する
23
リファレンスモニター
24
プロジェクトの開始と管理
25
グレイボックス
26
なぜシステムは、異なるクラスの情報を相互に分離し、ユーザーの管轄区域ごとに分離するように構造化されているのでしょうか。
組織のインフラが明確に配置され、責任範囲が簡素化されるため
27
ブロードキャスト ドメインが大きすぎる
28
個別の物理ネットワーク インターフェイス カード (NIC) とネットワークが必要である。
29
医療保険組織は、ソフトウェア アプリケーションを開発するベンダーを選択しました。情報セキュリティ専門家は、契約草案を確認したところ、ソフトウェア セキュリティが取り上げられていないことに気づきました。この問題に対処する最善のアプローチは何ですか。
契約を更新する
30
最高情報セキュリティ責任者 (CISO)
31
固有のシリアル番号をワイヤレスで送信します。
32
インターネット プロトコル バージョン 6 (IPv6) アドレスを利用する分散キャンパス ネットワークに最も適したダイナミック ルーティング プロトコルはどれですか。
OSPF
33
使い慣れた構文、ネットワーク トポロジの抽象化、およびネットワーク プロトコルの抽象化
34
仮想化
35
公開鍵ベースの認証方式を使用する
36
コントロール評価者
37
企業のアプリケーションとデータ リポジトリを分析して、関連する制御要件を決定する。
38
SDNコントローラー
39
SOC 2
40
インシデントの疑いがある場合、インシデント対応チームが最初にとるべき行動はどれですか。
事件にかかわるすべての事実を記録する
41
ユーザー対サーバー認証を提供するクライアント サーバー インフラストラクチャは、次のどれを説明しますか。
keroberos
42
ワイド エリア ネットワーク (WAN) がボイス オーバー インターネット プロトコル (VoIP) などの統合アプリケーションをサポートしている場合、ネットワークの保証にとってさらに重要になるのは次のうちどれですか。
決定論的ーティング
43
ある組織は、ワイヤレス ネットワーク上での脅威検出の向上を目指しています。会社の目標は、アラートを自動化して対応作業を改善することです。次のベスト プラクティスのうち、最初に実装する必要があるものはどれですか。
IDSの実装
44
利益相反を回避しながらシステム、アプリケーション、および委託された情報の価値を維持する際に、(ISC) 倫理規定の規範のうち最も反映されているのはどれですか
当事者に対して、十分かつ適切なサービスを提供する
45
ある組織は、数年前に商用オフザシェルフ (COTS) ソフトウェアを購入しました。情報技術 (IT) ディレクターは、アプリケーションをクラウドに移行することを決定しましたが、クラウド サービス プロバイダーを使用した組織の専用環境におけるソフトウェアのアプリケーション セキュリティに懸念を抱いています。ソフトウェアのセキュリティ上の弱点を防ぎ、修正する最善の方法は何ですか。
ソフトウェアの更新とパッチ適用のプロセスを調査する
46
運用要件とセキュリティ要件の両方について、本番環境でエンドツーエンドのテストを実行するための最良の方法は次のうちどれですか。
静的コード分析
47
最高情報セキュリティ責任者 (CISO) は、セキュリティの弱点や脆弱性をソース コード レベルで評価するためのさまざまな提案を検討しています。 CISO が組織のために賢明な意思決定を行うために最も適しているのは、次の項目のうちどれですか。
CWRAF
48
用される属性に関して、属性ベースのアクセス制御 (ABAC) の特性とみなすべき要素は次のうちどれですか。
RBACとACL
49
セキュリティ アーキテクトは、実装されたセキュリティ フレームワークをレビューしています。レビューの後、セキュリティ アーキテクトは、不正行為に対する保護に対処するために職務分離(SoD) を実装することでセキュリティを強化したいと考えています。データの整合性を最もよく保護するセキュリティ モデルはどれですか
Clark-Wilson
50
情報システムへの変更がシステムのセキュリティ体制にどの程度影響するかを判断するには、次のプロセスのうちどれを使用するのが最適ですか。
セキュリティ影響分析
51
共通基準において、実装に依存しない一連のセキュリティ要件を表現する正式な文書は次のうちどれですか。
PP
52
National Vulnerability Database (NVD) をサポートするための脆弱性メトリックと特性を提供するフレームワークは次のどれですか。
CVSS
53
悪意のあるユーザーが、Web サーバー上の保護されていないディレクトリにアクセスしています。この情報漏洩の原因として最も考えられるのは次のうちどれです
セキュリティの構成ミス
54
産業用制御システム (ICS) のセキュリティ上の弱点をテストする際の主な考慮事項は何ですか。
ICSは予期しないトラフィックに敏感になることがよくある
55
ネットワーク管理をサードパーティに委託する場合、重要なデータ資産を保護する最も効果的な方法は次のうちどれですか。
強力なアクセス制御を採用する
56
大企業に雇用されている情報システム セキュリティ責任者 (ISSO) が、競合他社でフリーランスとして同様の役割を担っている場合、(ISC)2 職業倫理規定のどの規範に違反しますか。
当事者に対して、十分かつ適切なサービスを提供する
57
ユーザー資格情報に対して最も強力な保護を提供する方法は次のどれですか。
ダイジェストに認証
58
セキュリティ組織は、攻撃者がネットワークに侵入したことを強い確信を持って判断できるソリューションを探しています。成功したネットワーク侵害を発見するのに最も効果的なソリューションはどれですか。
ハニーボット
59
セキュリティ アーキテクトは、実装されたセキュリティ フレームワークをレビューしています。レビューの後、セキュリティ アーキテクトは、不正行為に対する保護に対処するために職務分離(SoD) を実装することでセキュリティを強化したいと考えています。データの整合性を最もよく保護するセキュリティ モデルはどれですか。
Clark-Wilson
60
物理的なベースライン保護プロファイル (PP) を決定する前に、次のアクションのうちどれを実行する必要がありますか。
現地調査を実施
61
ある組織は、社内データセンターの規模が大きくなりすぎたため、サードパーティのホスティング施設を評価しています。この評価において、選択の主な要素は次のうちどれですか。
許容可能なレベルのリスクを提供する施設
62
ビジネス影響度分析 (BIA) を実施する主な目的は何ですか。
ミッションクリティカルな情報システムの障害がコアビジネスに影響を及ぼすか判断するため
63
組織は、サードパーティ パートナーへのアクセスを提供する戦略を策定しています。情報技術 (IT) 部門は、クラウド サービスを活用してアクセスを提供する任務を負っています。タスクを完了するために最も一般的に使用されているテクノロジーは次のうちどれですか。
IDaaS
64
セキュリティ テストの結果をレビューするときに期待値を設定する際に、レビュー担当者に伝えることが最も重要なのは次のステートメントのうちどれですか。
テストの結果は、ターゲットの特定時点の評価を表す
65
情報セキュリティ担当者は、新しいファイアウォールの導入を進めているところです。次の障害方法のうち、障害発生時のセキュリティを最も優先するのはどれですか。
フェールクローズ
66
従業員の責任と ERP アクセス プロファイルを見直して、ミッション活動とシステム サポート活動を区別する
67
攻撃者は、別のユーザーとして認証するためのリクエストを偽造する。
68
新しいサプライヤーのサードパーティによるリスク評価を実施する場合、セキュリティ、可用性、機密性、およびプライバシーの信頼原則の運用有効性を確認するために、次のレポートのうちどれをレビューする必要がありますか。
SOC2 Type1
69
ネットワーク
70
X.509 デジタル証明書の失効ステータスを取得する
71
可用性
72
サードパーティ環境に保存されたデータ
73
収集の制限
74
ビジネスに大きな変化があったとき
75
ソフトウェアインベントリ
76
BLP (Bell-LaPadula)
77
強制アクセス制御 (MAC)
78
法廷での許容性
79
変更管理の欠如
80
サーキットレベルのファイアウォール
81
アプリケーションの脅威モデリング
82
サイトにホットDR環境を整備する
83
資産の識別 (ID) と在庫管理
84
カプセル化
85
トラフィックフィルタリング
86
次のサービスのうち、クラウド サービスまたはオンプレミスを介して展開して、ユーザー ID の信頼できるソースとして Identity as a Service (IDaaS) と統合できるものはどれですか。
ディレクトリ
87
「ゼロトラスト」という防御戦略が、次の Web ベース システムの脆弱性のどれに対して最も効果的ですか。
インジェクションの脆弱性
88
メモリ内のバッファ オーバーフロー攻撃に対して最適な保護を提供するメカニズムはどれですか。
ASLR
89
アプリケーションが実行不可能なメモリ領域からコードを実行するのを防ぐように設計されたオペレーティング システム (OS) 機能の利点は何ですか。
コードをバッファに保存する特定のエクスプロイトの防止に役立つ
90
Trusted Platform Module (TPM) によって提供される強力なセキュリティ保護は次のうちどれですか。
ストレージデバイスからの暗号化キーの分離
91
データ暗号化標準 (DES) の弱点は次のうちどれですか。
キーの長さが不十分
92
犯罪現場でのデジタル証拠収集の優先順位を決定する際、法医学検査官が最初に実行すべきアクティビティは次のうちどれですか。
揮発性の順序を確立する
93
静的分析は実行可能ファイルを分析するときに何を行うことを目的としていますか。
ファイルを逆アセンブルして、実行可能ファイルの機能に関する情報を収集する
94
攻撃者がルートキットを使用していると考えられ、迅速な分析が必要な場合、どの証拠収集手法が利用されますか。
メモリ収集
95
破壊的なイベントが発生した際、組織の情報セキュリティを所定のレベルに維持できるセキュリティ継続目標はどれですか。
情報セキュリティ継続計画
96
ソフトウェア定義ネットワーキング (SDN) で安全な設計原則を実装する場合、どの種類の依存関係を回避する必要がありますか。
循環
97
実装されたセキュリティ制御を通じて部分的に容易に入手可能な情報を利用して、事前に確立された指標に従って情報を収集するために確立されているのは次のうちどれですか
情報セキュリティ継続モニタリング
98
ルートキット攻撃に対処するための最も効果的な対策は次のうちどれですか。
信頼できるソースからシステムを再インストールする
99
効果的な情報セキュリティ戦略は主に次のどれに基づいて行うべきか?
リスク管理を実践
100
データ侵害への対処方法を規定する規制は次のどれですか。
GDPR