問題一覧
1
インターネット プロトコル バージョン 6 (IPv6) アドレスを利用する分散キャンパス ネットワークに最も適したダイナミック ルーティング プロトコルはどれですか。
OSPF
2
ある組織は、数年前に商用オフザシェルフ (COTS) ソフトウェアを購入しました。情報技術 (IT) ディレクターは、アプリケーションをクラウドに移行することを決定しましたが、クラウド サービス プロバイダーを使用した組織の専用環境におけるソフトウェアのアプリケーション セキュリティに懸念を抱いています。ソフトウェアのセキュリティ上の弱点を防ぎ、修正する最善の方法は何ですか。
ソフトウェアの更新とパッチ適用のプロセスを調査する
3
産業用制御システム (ICS) のセキュリティ上の弱点をテストする際の主な考慮事項は何ですか。
ICSは予期しないトラフィックに敏感になることがよくある
4
Trusted Platform Module (TPM) によって提供される強力なセキュリティ保護は次のうちどれですか。
ストレージデバイスからの暗号化キーの分離
5
組織は、サードパーティ パートナーへのアクセスを提供する戦略を策定しています。情報技術 (IT) 部門は、クラウド サービスを活用してアクセスを提供する任務を負っています。タスクを完了するために最も一般的に使用されているテクノロジーは次のうちどれですか。
IDaaS
6
破壊的なイベントが発生した際、組織の情報セキュリティを所定のレベルに維持できるセキュリティ継続目標はどれですか。
情報セキュリティ継続計画
7
ある組織は、外国でホストされている Web 電子メール サービスからなりすまし電子メールを受信しているのではないかと疑っています。加害者を特定するプロセスを開始するために、最も関連性の高い情報はどこで発見できますか。
受信メールのメッセージヘッダー
8
物理的なベースライン保護プロファイル (PP) を決定する前に、次のアクションのうちどれを実行する必要がありますか。
現地調査を実施
9
ワイド エリア ネットワーク (WAN) がボイス オーバー インターネット プロトコル (VoIP) などの統合アプリケーションをサポートしている場合、ネットワークの保証にとってさらに重要になるのは次のうちどれですか。
決定論的ーティング
10
セキュリティ テストの結果をレビューするときに期待値を設定する際に、レビュー担当者に伝えることが最も重要なのは次のステートメントのうちどれですか。
テストの結果は、ターゲットの特定時点の評価を表す
11
National Vulnerability Database (NVD) をサポートするための脆弱性メトリックと特性を提供するフレームワークは次のどれですか。
CVSS
12
情報セキュリティ担当者は、新しいファイアウォールの導入を進めているところです。次の障害方法のうち、障害発生時のセキュリティを最も優先するのはどれですか。
フェールクローズ
13
最高情報セキュリティ責任者 (CISO) は、セキュリティの弱点や脆弱性をソース コード レベルで評価するためのさまざまな提案を検討しています。 CISO が組織のために賢明な意思決定を行うために最も適しているのは、次の項目のうちどれですか。
CWRAF
14
攻撃者がルートキットを使用していると考えられ、迅速な分析が必要な場合、どの証拠収集手法が利用されますか。
メモリ収集
15
実装されたセキュリティ制御を通じて部分的に容易に入手可能な情報を利用して、事前に確立された指標に従って情報を収集するために確立されているのは次のうちどれですか
情報セキュリティ継続モニタリング
16
ある組織は、元ネットワーク管理者の悪意のある行為をシミュレートするペネトレーションテストを計画しています。どのようなペネトレーションテストが必要ですか。
グレイボックス
17
ある組織は、ワイヤレス ネットワーク上での脅威検出の向上を目指しています。会社の目標は、アラートを自動化して対応作業を改善することです。次のベスト プラクティスのうち、最初に実装する必要があるものはどれですか。
IDSの実装
18
企業は、サードパーティのサービスプロバイダーがホストする旅行サービスへのアクセスを従業員に提供する必要があります。従業員エクスペリエンスは重要であり、ユーザーがすでに認証されている場合は、旅行ポータルへのアクセスがシームレスになります。情報を共有し、旅行ポータルへのユーザー アクセスを許可するために使用される方法は次のどれですか。
フェデレーションアクセス
19
ユーザー対サーバー認証を提供するクライアント サーバー インフラストラクチャは、次のどれを説明しますか。
keroberos
20
データ暗号化標準 (DES) の弱点は次のうちどれですか。
キーの長さが不十分
21
効果的な情報セキュリティ戦略は主に次のどれに基づいて行うべきか?
リスク管理を実践
22
インシデントの疑いがある場合、インシデント対応チームが最初にとるべき行動はどれですか。
事件にかかわるすべての事実を記録する
23
次のサービスのうち、クラウド サービスまたはオンプレミスを介して展開して、ユーザー ID の信頼できるソースとして Identity as a Service (IDaaS) と統合できるものはどれですか。
ディレクトリ
24
メモリ内のバッファ オーバーフロー攻撃に対して最適な保護を提供するメカニズムはどれですか。
ASLR
25
利益相反を回避しながらシステム、アプリケーション、および委託された情報の価値を維持する際に、(ISC) 倫理規定の規範のうち最も反映されているのはどれですか
当事者に対して、十分かつ適切なサービスを提供する
26
ルートキット攻撃に対処するための最も効果的な対策は次のうちどれですか。
信頼できるソースからシステムを再インストールする
27
なぜシステムは、異なるクラスの情報を相互に分離し、ユーザーの管轄区域ごとに分離するように構造化されているのでしょうか。
組織のインフラが明確に配置され、責任範囲が簡素化されるため
28
ユーザー資格情報に対して最も強力な保護を提供する方法は次のどれですか。
ダイジェストに認証
29
Web アプリケーションを運用環境に導入する前に、セキュリティ担当者は複数の種類のテストを実行して、Web アプリケーションが期待どおりに動作することを確認します。ユーザー名フィールドをテストするために、セキュリティ担当者は、フィールドに許可されている文字数を超える文字を入力するテストを作成します。実行されたテストの種類を最も適切に説明しているものは次のうちどれですか。
ミスユースケーステスト
30
「ゼロトラスト」という防御戦略が、次の Web ベース システムの脆弱性のどれに対して最も効果的ですか。
インジェクションの脆弱性
31
データ侵害への対処方法を規定する規制は次のどれですか。
GDPR
32
運用要件とセキュリティ要件の両方について、本番環境でエンドツーエンドのテストを実行するための最良の方法は次のうちどれですか。
静的コード分析
33
ある組織は、社内データセンターの規模が大きくなりすぎたため、サードパーティのホスティング施設を評価しています。この評価において、選択の主な要素は次のうちどれですか。
許容可能なレベルのリスクを提供する施設
34
共通基準において、実装に依存しない一連のセキュリティ要件を表現する正式な文書は次のうちどれですか。
PP
35
ソフトウェア定義ネットワーキング (SDN) で安全な設計原則を実装する場合、どの種類の依存関係を回避する必要がありますか。
循環
36
医療保険組織は、ソフトウェア アプリケーションを開発するベンダーを選択しました。情報セキュリティ専門家は、契約草案を確認したところ、ソフトウェア セキュリティが取り上げられていないことに気づきました。この問題に対処する最善のアプローチは何ですか。
契約を更新する
37
情報システムへの変更がシステムのセキュリティ体制にどの程度影響するかを判断するには、次のプロセスのうちどれを使用するのが最適ですか。
セキュリティ影響分析
38
アプリケーションが実行不可能なメモリ領域からコードを実行するのを防ぐように設計されたオペレーティング システム (OS) 機能の利点は何ですか。
コードをバッファに保存する特定のエクスプロイトの防止に役立つ
39
悪意のあるユーザーが、Web サーバー上の保護されていないディレクトリにアクセスしています。この情報漏洩の原因として最も考えられるのは次のうちどれです
セキュリティの構成ミス
40
ある組織は、インターネット経由でパートナーとデータを安全に共有したいと考えています。この要件を満たすために通常どの標準ポートが使用されますか。
22
41
静的分析は実行可能ファイルを分析するときに何を行うことを目的としていますか。
ファイルを逆アセンブルして、実行可能ファイルの機能に関する情報を収集する
42
ビジネス影響度分析 (BIA) を実施する主な目的は何ですか。
ミッションクリティカルな情報システムの障害がコアビジネスに影響を及ぼすか判断するため
43
犯罪現場でのデジタル証拠収集の優先順位を決定する際、法医学検査官が最初に実行すべきアクティビティは次のうちどれですか。
揮発性の順序を確立する
44
大企業に雇用されている情報システム セキュリティ責任者 (ISSO) が、競合他社でフリーランスとして同様の役割を担っている場合、(ISC)2 職業倫理規定のどの規範に違反しますか。
当事者に対して、十分かつ適切なサービスを提供する
45
ネットワーク管理をサードパーティに委託する場合、重要なデータ資産を保護する最も効果的な方法は次のうちどれですか。
強力なアクセス制御を採用する
46
用される属性に関して、属性ベースのアクセス制御 (ABAC) の特性とみなすべき要素は次のうちどれですか。
RBACとACL
47
セキュリティ組織は、攻撃者がネットワークに侵入したことを強い確信を持って判断できるソリューションを探しています。成功したネットワーク侵害を発見するのに最も効果的なソリューションはどれですか。
ハニーボット
48
セキュリティ アーキテクトは、実装されたセキュリティ フレームワークをレビューしています。レビューの後、セキュリティ アーキテクトは、不正行為に対する保護に対処するために職務分離(SoD) を実装することでセキュリティを強化したいと考えています。データの整合性を最もよく保護するセキュリティ モデルはどれですか
Clark-Wilson
49
新しいサプライヤーのサードパーティによるリスク評価を実施する場合、セキュリティ、可用性、機密性、およびプライバシーの信頼原則の運用有効性を確認するために、次のレポートのうちどれをレビューする必要がありますか。
SOC2 Type1
50
セキュリティ アーキテクトは、実装されたセキュリティ フレームワークをレビューしています。レビューの後、セキュリティ アーキテクトは、不正行為に対する保護に対処するために職務分離(SoD) を実装することでセキュリティを強化したいと考えています。データの整合性を最もよく保護するセキュリティ モデルはどれですか。
Clark-Wilson
51
従業員の責任と ERP アクセス プロファイルを見直して、ミッション活動とシステム サポート活動を区別する
52
Add
53
カプセル化
54
現在の検出戦略を見直し、シグネチャベースの技術を採用する。
55
資産の識別 (ID) と在庫管理
56
サイトにホットDR環境を整備する
57
セキュリティ監査
58
サードパーティ環境に保存されたデータ
59
ネットワーク
60
BLP (Bell-LaPadula)
61
Secure Shell (SSH) に関する次の記述のうち、正しいものはどれですか。
SSH はポート転送をサポートしており、安全性の低いプロトコルを保護するために使用できる。
62
メモリ収集
63
情報セキュリティ継続モニタリング (ISCM)
64
収集の制限
65
個別の物理ネットワーク インターフェイス カード (NIC) とネットワークが必要である。
66
グレイボックス
67
フェデレーションアクセス
68
アプリケーション管理、構成管理 (CM)、電話管理の厳密な統合
69
企業のアプリケーションとデータ リポジトリを分析して、関連する制御要件を決定する。
70
法廷での許容性
71
SPI は、セッションのコンテキストでトラフィックを検査する
72
コントロール評価者
73
アプリケーションの脅威モデリング
74
システムの必要性が表明され、システムの目的が文書化されるとき
75
ハイパーバイザー ホストとソフトウェア管理機能の保護を最大限に実現するにはどうすればよいですか。
個別の物理ネットワーク インターフェイス カード (NIC) とネットワークが必要である。
76
強制アクセス制御 (MAC)
77
変更管理の欠如
78
仮想化
79
トラフィックフィルタリング
80
公開鍵ベースの認証方式を使用する
81
DLP
82
最高情報セキュリティ責任者 (CISO)
83
DNS サーバーは情報ソースを認証しない。
84
X.509 デジタル証明書の失効ステータスを取得する
85
ビジネスに大きな変化があったとき
86
ソフトウェアインベントリ
87
最新のベンダーのパッチとアップデートを適用する
88
可用性
89
攻撃者は、別のユーザーとして認証するためのリクエストを偽造する。
90
EDR
91
サーキットレベルのファイアウォール
92
固有のシリアル番号をワイヤレスで送信します。
93
プロジェクトの開始と管理
94
リファレンスモニター
95
SDNコントローラー
96
SOC 2
97
セキュリティ要件が決まるため
98
スキルセットとトレーニング
99
ブロードキャスト ドメインが大きすぎる
100
使い慣れた構文、ネットワーク トポロジの抽象化、およびネットワーク プロトコルの抽象化