CISSP（用語12）

通報

問題一覧

PATは何を可能にしますか？

1つの公開IPアドレスを使用して、複数のデバイスをインターネットに接続すること

システムを本番環境に移すための承認

認定 (Accreditation)

MPLSの主な機能は何ですか？

ネットワークの各デバイスでパケットを個別にルーティングする代わりに、ラベルに基づいたスイッチングを行う

ネットワークセキュリティにおいて、敵対的なインバウンドトラフィックを識別して阻止する可能性があるデバイスは何ですか？

ファイアウォール

SYNフラッド攻撃を防ぐために使用される一般的な手法は何ですか？

SYNクッキーの使用

次世代ファイアウォール（NGFW）が提供する機能は何ですか？

IAM（Identity and Access Management）や属性ベースのアクセスコントロール

PAPのセキュリティに関するどの記述が正しいですか？

パスワードを平文で送信し、セキュリティが低いと考えられています。

EAPが主に使用されるのはどのような環境ですか？

ワイヤレスネットワークでの認証

PEAPの利点とは何ですか？

TLSトンネルを使用してクライアント認証情報を保護します。

PPTPを使用する主な目的は何ですか？

インターネットを介してプライベートネットワークの拡張を実現する

IPsecの主な目的は何ですか？

インターネットプロトコルを利用した通信のセキュリティを強化する

IPsecにおいてセキュリティを提供するために必要な主要コンポーネントはどれですか？

セキュリティアソシエーションと暗号化キー

IPsecにおける安全な鍵交換を実現するために使用されるプロトコルはどれですか？

IKE (Internet Key Exchange)

IPsecのトランスポートモードとトンネルモードの主な違いは何ですか？

トランスポートモードはエンドツーエンドの通信で使用され、トンネルモードはゲートウェイ間の通信で使用される

マルチレイヤプロトコル（MLP）が提供する主な機能は何ですか？

ネットワーク上での単一のデータリンク接続を複数の物理リンクに分散させる

コンバージドプロトコルの例として適切なものはどれですか

FCoE (Fibre Channel over Ethernet)

ソフトウェア定義ネットワーク（SDN）の特徴として正しいものはどれですか？

ネットワークトラフィックの経路を動的に変更し、負荷分散と耐障害性を向上させる。

SD-WAN（ソフトウェア定義広域通信網）の利点として正しいものはどれですか？

WANのトラフィックを集中管理し、セキュリティポリシーを一貫して適用する。

コンテンツ配信ネットワーク（CDN）の主な目的は何ですか？

エンドユーザーに高可用性と高パフォーマンスでコンテンツを提供するため

ネットワークアクセス制御（NAC）デバイスの役割に関して正しいものはどれか選びなさい。

ネットワークに接続を希望するデバイスがポリシーの要件を満たしている場合にのみアクセスを許可する

ルートオブトラスト (RoT) が関与するセキュリティメカニズムの役割に関して正しいものはどれか。

トラストアンカーとして機能し、システムのセキュアな状態を保証する。

ネットワークアクセス制御（NAC）デバイスの例として最も適切なものはどれか。

モバイルデバイス

エンドポイントデバイス（コンピュータやサーバーなど）のセキュリティを維持するために、企業が採用すべき最も効果的な対策はどれか。

EDR（Endpoint Detection and Response）の導入

ポートアドレス変換（PAT）が提供する機能として正しいものはどれか

複数の内部デバイスからのトラフィックを一つのグローバルIPアドレスにマッピングする

プロキシ型ファイアウォールの特徴として正しいものはどれか。

内部ホストと外部ホストの間に中継役として存在し、直接通信を防止する

サーキットレベルプロキシの特徴について正しい説明はどれか。

エンドツーエンドのデータ転送を提供し、通信のオーバーヘッドは少ないが、悪意のあるコンテンツは検出できない。

アプリケーションレベルプロキシの特徴として正しいものはどれか。

アプリケーションプロトコルの内容を検査し、悪意のあるトラフィックをフィルタリングする

VoIP（Voice over Internet Protocol）通信においてセキュリティを強化するために用いられるプロトコルとして正しいものはどれか。

SIP (Session Initiation Protocol) によるダイジェスト認証と完全性保護

802.11ac はどの周波数帯で最大何Gbpsのデータ転送速度を達成しているか？

5GHzで6.9Gbps

802.11ax はどの周波数帯で最大何Gbpsのデータ転送速度を達成しているか？

2.4GHz/5GHzで9.6Gbps

キャプティブポータルは無線ネットワークにおけるどのような目的で使用されることが多いですか？

新しく接続されたデバイスを強制的に特定のWebページにリダイレクトさせ、認証を求めるため

リモートアクセスを提供する際に組織が取るべきセキュリティ対策として最も適切なものはどれか。

リモートアクセスを利用する全てのユーザーに対して多要素認証（MFA）を強制する

マルチメディアコラボレーション（音声通話やビデオ通話）ツールの使用においてセキュリティを確保するために重要な対策はどれか。

エンドツーエンドの暗号化を提供するコラボレーションツールを使用する

SSL VPNは、リモートアクセスのセキュリティを向上させるために、どのような仮想化技術を使用しているか？

セキュアソケットレイヤー

MPLS (MultiProtocol Label Switching) は何を使用してパケットの転送を効率化しているか？

ラベルスイッチング

NFVは主にどのような目的で使用されているか？

ハードウェア依存のネットワークデバイスの数を減らし、柔軟性を高めるため

NFVが提供する機能として適切なものはどれか？

ファイアウォールの管理、侵入検知、NAT、名前解決などの機能をソフトウェアとして提供する

実行可能なコンテンツ、しばしばモバイルコードとも呼ばれるものは、外部からダウンロードして実行されるプログラムやコードのことです。セキュリティ対策として、以下のうちどれが実行可能なコンテンツのリスクを軽減するための対策として適切ですか？

HTML5を使用して、古い技術に依存する代わりにより安全な標準に移行する。

ソフトウェア環境のセキュリティは、システムやアプリケーションの作成、使用、変更、破棄に影響を及ぼす全ての要素、活動、情報、人、およびシステムを指します。商用オフザシェルフ（COTS）ソフトウェアのセキュリティを考慮する際、以下のうちどのステートメントが正しいですか？

COTSソフトウェアは市販されている既製品であり、市場全体がソフトウェア環境となる

ウォーターフォール型ソフトウェア開発ライフサイクル（SDLC）モデルは、ソフトウェア開発プロセスを一連の段階として定義します。このモデルにおいて、各フェーズは直列に進行し、前のフェーズが完了してから次のフェーズに移行します。以下のうち、ウォーターフォールモデルに特有の特徴はどれですか？

プロジェクトの初期段階で定義された要件が変更されることは稀であり、計画に基づいて進行する

ソフトウェアの設計と作成において、機能要件は極めて重要な役割を果たします。機能要件とは何を記述したものでしょうか？

システムが実行しなければならないタスクやプロセス

オブジェクト指向プログラミング（OOP）は、オブジェクトを中心に構築されるプログラミング手法です。OOPの基本的な概念の一つにカプセル化があります。カプセル化とは何を指すのでしょうか？

コードが誤って他のデータにアクセスできなくするためのデータ隠蔽

オブジェクト指向プログラミングにおけるポリモーフィズムとは、どのような概念を指しますか？

同じメソッド名で異なるデータタイプまたはオブジェクトに対して異なる処理を行う能力

ソフトウェアのソースコード内で発見されることがある、悪用可能なエラーの一つとして、バッファオーバーフローがあります。バッファオーバーフローとは何を指すでしょうか？

プログラムが使用するメモリ領域を超えてデータを書き込むエラー

セキュリティシステム内において、隠れチャネル（コバートチャネル）とはどのようなものを指すでしょうか？

非公式または秘密の通信路で、セキュリティポリシーに違反して情報を転送する方法

バートチャネルは、セキュリティシステムにおいて未承認の情報伝達を可能にする潜在的な脅威です。以下のうち、コバートチャネルに関する課題として正しいのはどれでしょうか？

バートチャネルは、セキュリティメカニズムをバイパスすることで情報漏洩を引き起こす可能性がある

トラップドア（バックドア）とは、コンピューターシステムやソフトウェア内に意図的に設けられた秘密の入口のことです。これらは通常、どのような目的で使用されるでしょうか？

正規の認証プロセスを迂回してシステムにアクセスするため

データベースやデータウェアハウスにおいて、推論攻撃とはどのような脅威を指しますか？

多数の非機密情報を組み合わせて、機密情報を推測する攻撃

データベースやデータウェアハウスにおける「集約」とは、どのような脅威を指すでしょうか？

別々のソースから非機密情報を組み合わせて、機密情報を作成すること

データベースシステムにおける「デッドロック」とは、どのような状況を指しますか？

2つのプロセスが互いにロックしているリソースを要求し、結果として両方のプロセスが停止すること

データベース管理システムにおけるトランザクションの永続化（Durability）とは、どのような性質を指しますか？

トランザクションが完了したときの結果が、システムやメディアの障害に耐えられること

データベースシステムにおけるフォールトトレランスと復旧の概念について、以下のうち正しい説明はどれでしょうか？

データベースが障害から回復する能力を持つこと、および障害発生時に元の状態に戻すプロセス

セキュリティコントロールとは、組織の情報資産を保護するために設計された手段や手順のことです。以下のうち、セキュリティコントロールの目的として最も適切なものはどれでしょうか？

情報資産に対する不正アクセス、改ざん、損失を防止するために用いられる

マークアップ言語とデータベース接続技術に関する説明として正しいものはどれでしょうか？

アプリケーションからデータベースに接続する際に使用され、セキュリティと制御の強化を可能にする

WebアプリケーションにおけるXSS（Cross Site Scripting）攻撃とはどのようなものでしょうか？

撃者がウェブサイトに悪意のあるスクリプトを埋め込み、他のユーザーのブラウザで実行させる攻撃

WebアプリケーションにおけるCSRF（Cross Site Request Forgery）攻撃とはどのようなものでしょうか？

ユーザーのブラウザを悪用して、ユーザーの意図に反して別のサイトにリクエストを送信させる攻撃

Webアプリケーションを保護するために、開発者が実施すべき対策として最も適切なものはどれでしょうか？

入力値検証、アウトプットエンコーディング、セキュリティヘッダーの実装など、安全なコーディング手法を採用する

情報セキュリティにおいて、コンピューターシステムやネットワーク上で不正な活動を行い、データの破壊、情報の盗難、システムの乗っ取りなどを目的とする一連のソフトウェアは一般に何と呼ばれますか？

マルウェア

コンピューターセキュリティにおいて、外見上は正当なソフトウェアのように見えるが、実際には背後で悪意ある行為を行うマルウェアは一般に何と呼ばれますか？

トロイの木馬

コンピューターセキュリティの文脈において、自己増殖機能を持ち、ユーザーの介入なしにネットワーク経由で他のコンピュータへと拡散し、感染を広げるマルウェアは何と呼ばれますか？

ワーム

ランサムウェアやランサム攻撃からデータを守る最も重要な対策は何ですか？

定期的なデータバックアップとその復元テスト

ソフトウェア開発ライフサイクル（SDLC）においてセキュリティを最初から組み込むために重要なステップはどれですか？

システム仕様の設計を行い、設計テンプレートや設計検証ツールを導入・利用する。

ソフトウェア開発ライフサイクル（SDLC）の中で、認証（Certification）と認定（Accreditation）のプロセスは通常どの段階で実施されますか？

展開フェーズで、システムが本番環境に導入される直前

統合製品チーム（IPT）の目的に最も合致するのはどの記述ですか？

異なる専門分野のステークホルダーや個人が協力し、定義された製品やプロセスの達成を目指す

統合生産プロセス開発（IPPD）のアプローチが目指すのは何ですか？

異なる分野の代表者が協力して問題の特定と解決、迅速な判断を行う

ソフトウェア開発における再利用モデルの利点は何ですか？

コードの再利用により開発コストと時間を削減し、品質を向上させる。

スパイラルモデルの開発プロセスにおいて、どの特徴がこのモデルを他の開発モデルと区別しますか？

スパイラルモデルは、リスク評価を重視し、各イテレーションでリスクを特定し、解決する。

プロトタイピングアプローチにおいて、初期のプロトタイプの作成が開発プロセスにどのようなメリットをもたらしますか？

完全なシステムを構築することなく、ユーザーの要求を完全に理解する

エクストリームプログラミング（XP）の開発プラクティスに関して正しい記述はどれですか？

開発者は常にペアで作業を行い、シンプルな設計と頻繁なフィードバックを通じて開発を進める

ソフトウェア能力成熟度モデル（SW-CMM）において、組織が到達を目指す成熟度レベルとその特徴を正しく組み合わせたものはどれですか？

反復可能レベル - 基本的なプロジェクト管理プロセスが確立されている

Representational State Transfer (REST) APIの使用に関して正しい記述はどれですか？

単純なURLを使用してWebシステムと対話することを可能にするアーキテクチャスタイルです

統合開発環境（IDE）の主な機能として正しいものはどれですか？

ソースコードの編集、ビルド自動化、デバッグをサポートする。

ソースコード解析ツールを使用することの利点は何ですか？

開発初期段階でのコーディングエラーやセキュリティ脆弱性を特定し、修正する

動的アプリケーションセキュリティテスト（DAST）の特徴として正しいものはどれですか？

DASTはランタイム中のアプリケーションをテストし、外部からの攻撃に対する脆弱性を特定します。

静的アプリケーションセキュリティテスト（SAST）の特徴に関して正しい記述はどれですか？

SASTは未コンパイルのソースコードを対象とし、コードが実行される前にセキュリティ脆弱性を検出します

最小権限の原則の目的は何ですか？

ユーザーに与えられるアクセス権限を最小限に抑えることで、不正アクセスや権限の乱用を防止する。

ソフトウェア開発における環境の制御と分離の目的は何ですか？

開発、テスト、本番の各環境を分離することで、不正なアクセスやデータの漏洩を防止するため

Trusted Computing Base（TCB）を利用する主な目的は何ですか？

システムのセキュリティポリシーを実施し、セキュリティを担保するための要素を提供すること

セキュリティカーネルの重要な機能に関して正しい記述はどれですか？

リファレンスモニター概念を実装し、セキュリティポリシーを強制する役割を担います

リファレンスモニターの主な目的は何ですか

サブジェクトがオブジェクトにアクセスする際のセキュリティを強制する要素として機能する

データベース管理システム（DBMS）の制御機能の一つであるASICDテストについての説明として正しいものはどれですか？

データベース内のデータの整合性とトランザクションの信頼性を保証するために使用されます

オンライントランザクション処理（OLTP）システムのセキュリティに関する考慮事項として正しいものはどれですか？

トランザクションの妥当性確認、認可制御、監査証跡がセキュリティの主要な出力コントロールとなります

継続的インテグレーション（CI）と継続的デリバリー（CD）を適切に実装することのメリットとして最も適切なものはどれですか？

CI/CDにより、コーディングからデプロイまでのプロセスを自動化し、DevSecOpsアプローチにもつながります

構成管理（CM）と構成コントロール（CC）が、安全なソフトウェアとシステム開発に不可欠である理由は何ですか？

CMとCCにより、プログラムや設定の改ざんを防ぎ、組織のセキュリティ、安全性、回復力をサポートします

ソフトウェアアシュアランスとセキュリティ評価の活動がソフトウェア開発ライフサイクル（SDLC）のどの段階で最も重要となるのはなぜですか？

ソフトウェアアシュアランスとセキュリティ評価は計画段階から継続的に行われるべきであり、リスク管理が適切に機能しているかを評価するためです

システムが提供されるすべてのセキュリティ要求事項を満たしていることを確認すること

認証 (Assurance)

ソフトウェアテストの方法の中で、開発者の視点から実施され、ソフトウェアの内部構造、ロジック、およびコードの有効性を検証するものは何ですか？

ホワイトボックステスト

ソフトウェアテスト手法のうち、実際のユーザーの視点からプログラムの機能をテストし、入出力に基づいてソフトウェアの現実性を検証するものは何ですか？

ブラックボックステスト

ソフトウェアテスト技法の中で、ユーザーの視点からテストしつつも、テスターがソースコードに限定的なアクセス権を持つことで内部動作についての部分的な理解を持つことができるテストは何と呼ばれますか？

グレーボックステスト

開発者がその視点からソースコードを完全に理解し、システムの内部動作を詳細に検証するテスト手法で、有効性を確認することを目的としているのは次のうちどれですか？

クリスタルボックステスト

ソフトウェア開発において、変更や追加が行われた後、既存の機能に悪影響が出ていないかを確認するために実施されるテストは何ですか？

回帰テスト

組織が外部ベンダーからソフトウェアを調達する際に、そのソフトウェアがセキュリティ要件に適合し、信頼性が確保されていることを保証するためのプロセスは何と呼ばれますか？

ソフトウェアアシュアランス

オープンソースソフトウェアのセキュリティ評価に関して正しい記述はどれですか？

誠意のないプログラマが脆弱性を報告しないリスクもある

監査報告書には、様々な要素が含まれています。次の説明のうち、監査報告書において「問題が発生した理由」を説明するセクションはどれですか？

原因

次の説明のうち、監査報告書において「非監査人の活動またはパフォーマンスを測定するために使用されるスタンダード」として記載されるセクションはどれですか？

基準

次の説明のうち、監査報告書において「状況と基準との違いの重要性」を評価するセクションはどれですか？

影響

次の説明のうち、監査報告書において「問題を解決するために取るべき行動」を提案するセクションはどれですか？

改善提案

組織が監査活動を計画し、コンプライアンスタスクを追跡するために使用するツールは何ですか？

コンプライアンスカレンダー

事業継続性を監査するために実施されるSOCレポートはどれであり、そのレポートのタイプは何ですか？

SOC 1 Type 2

100

事業継続性のコントロールの設計と実装の時点での有効性を評価するために発行されるSOCレポートとそのタイプは何ですか？

SOC 1 Type 1

CISSP_test1

CISSP_test1

CISSP_test2

エッグスンシングス · 77問 · 2年前

CISSP_test2

77問 • 2年前

CISSP_test3

CISSP_test3

CISSP_test4

CISSP_test4

CISSP_test5

CISSP_test5

CISSP_test6

エッグスンシングス · 57問 · 2年前

CISSP_test6

57問 • 2年前

CISSP（模擬テスト3）

エッグスンシングス · 30問 · 2年前

CISSP（模擬テスト3）

30問 • 2年前

CISSP本番

CISSP本番

CISS本番2

CISS本番2

Udemy

Udemy

CISSP本番3

CISSP本番3

CISSP本番4

CISSP本番4

CISSP本番5

エッグスンシングス · 14問 · 1年前

CISSP本番5

14問 • 1年前

ISC(Final Assessment )

エッグスンシングス · 40問 · 1年前

ISC(Final Assessment )

40問 • 1年前

CISSP　暗記（PORT）

エッグスンシングス · 85問 · 1年前

CISSP　暗記（PORT）

85問 • 1年前

CISSP(予想問題）

エッグスンシングス · 22問 · 1年前

CISSP(予想問題）

22問 • 1年前

ISC2（ドメイン1）

エッグスンシングス · 42問 · 1年前

ISC2（ドメイン1）

42問 • 1年前

ISC2（ドメイン2）

エッグスンシングス · 25問 · 1年前

ISC2（ドメイン2）

25問 • 1年前

ISC2（ドメイン3）

エッグスンシングス · 69問 · 1年前

ISC2（ドメイン3）

69問 • 1年前

ISC2（ドメイン4）

エッグスンシングス · 26問 · 1年前

ISC2（ドメイン4）

26問 • 1年前