暗記メーカー

暗記メーカー

ログイン
CISSP(用語8)
100問 • 1年前
  • エッグスンシングス
    • 通報

    問題一覧

  • 1

    使用中のデータのリスクを軽減する方法

    DRMを使用する

  • 2

    組織の情報や資産がどれくらい保管しなければいけないか示すために使用

    記録保持ポリシー

  • 3

    ベースライン(基準)の入手先に関する以下の2つの選択肢から正しいものを選んでください。

    ベースラインは、国際的な標準規格団体から入手することが推奨される。

  • 4

    ベースラインとなるセキュリティコントロールを可能な限り環境に合わせるのはどんな決定を行う目的か?

    スコーピング

  • 5

    複雑なコストのかかる評価を回避しつつ、リスクマネジメントフレームワークの適用により確立された要件を満たすために何を実施しるか?

    テーラリング

  • 6

    プロビジョニングでは、誰がアカウントをアプリケーションに割り当てるか?

    データカストディアン

  • 7

    割り当てられた職務やタスクを実行するために必要な最小限のレベルのパーミッションを持つべきであり、それ以外のものは持たないというもの

    最小権限

  • 8

    法律、規則、契約で定められたスタンダード、その他のビジネス予測など、組織がその中で運営しなければならないコンプライアンスの義務に基づいている

    分類

  • 9

    スタンダードは、何に基づくべきか?

    法律、規則、契約

  • 10

    所有するデータの価値決定と保護を行う人

    データオーナー

  • 11

    組織が収集したクライアントや顧客に属する個人情報について「本当の」オーナーが不在の場合、保護をすべき人

    データーコントローラー

  • 12

    機密性の高いデバイスへのWebインターフェースは何を使用して安全に伝送するか

    TLS

  • 13

    機微データを電子メールで何を使用して安全に伝送するか

    PGP

  • 14

    電話回線、衛星回線は何を使用して経路を暗号化するか?

    リンク暗号化

  • 15

    教育、トレーニング、アウェアネスはどんなコントロールか?

    指示型

  • 16

    バックアップをとることは、どんなコントロールか?

    回復型

  • 17

    CSIRTはどんなコントロールか?

    修正型

  • 18

    防御可能な廃棄とは

    コントロールされ、法的に防御可能で、遵守に配慮した方法で廃棄すること

  • 19

    トランザクションレベルでの完全性に焦点を当てている完全性もモデル

    Clark-Wilson

  • 20

    不正ユーザ(匿名ユーザ)による変更を禁止することができるもモデルは?

    Biba

  • 21

    正規ユーザによる不正な変更ができるモデルは?

    Clark-Wilson

  • 22

    サブジェクトとオブジェクトの間にプログラム(リファレンスモニター)が存在し、アクセスが正しいものか検証することができるモデルは?

    Clark-Wilson

  • 23

    誰がどの資産に対してなにができるか記載しているもの

    ケイパビリティリスト

  • 24

    誰がどの資産に対してアクセスができるか記載しているもの

    アクセスコントロールリスト

  • 25

    ID連携するときには、IALx以上が必要

    IAL3

  • 26

    ID認証レベルとして、Google等フリーで提供されているものはレべルはいくつか?

    IAL2

  • 27

    ブロック処理

    Twofish

  • 28

    ストリーム処理

    RC4

  • 29

    同じハッシュ値になること

    衝突

  • 30

    Linaxで使われているハッシュ値

    MD5

  • 31

    MD5が安全ではないのはなぜか?

    衝突がおこることがあるから

  • 32

    SHA2は何ビットか?

    384

  • 33

    SHA3は何ビットか?

    224-256

  • 34

    メッセージを送信したと主張する人からのメッセージを保証するには、何を使うか?

    デジタル証明書

  • 35

    デジタル署名は

    改ざん検知ができる

  • 36

    鍵復旧のためにどうすべきか?

    デュアルコントロール

  • 37

    鍵の生成はどう作成すべきか?

    シーケンシャル

  • 38

    鍵の保存はどこにあるべきか

    ハードウェアセキュリティモジュール

  • 39

    適切な無線LAN機器(アクセスポイント)の設置数・設置位置・電波強度の決定、またチャネル設計のために行います

    サイトサーベイ

  • 40

    名前解決機能を悪用して、DNS(Domain Name System)やhostsを書き換えることで攻撃者のWebサイトに誘導しています。

    ファーミング

  • 41

    IPSECではどのようにして鍵を交換するか?

    IKE

  • 42

    IPsecの必要コンポーネントのうち、転送データが改ざんされていないことを保証するは?

    認証ヘッダ (AH)

  • 43

    IPsecの必要コンポーネントのうち、IPパケットを暗号化するものは?

    カプセル化セキュリティペイロード (ESP)

  • 44

    IPsecのうち、エンドポイントが相手と通信する際に使用するメカニズムを決めるものは?

    セキュリティアソシエーション(AS)

  • 45

    IPペイロードを保護するが、IPヘッダは保護(暗号化)しない

    トランスポートモード

  • 46

    異なるネットワーク間でもルーター同士でVPN接続を確立できる

    トンネルモード

  • 47

    ホスト同士がIPsecに対応していれば、ルーターがIPsecに対応していなくてもVPN接続を確立できる

    トランスポートモード

  • 48

    DDoS攻撃などの高負荷を仕掛けられる攻撃への耐性を期待

    CDN

  • 49

    コンテンツ配信ネットワーク (CDN) の主な目的は、何を低減することか?

    レイテンシー

  • 50

    VoIPで使用するプロトコル

    SIP

  • 51

    クライアントがユーザー認証を行うまで、ネットワークへアクセス出来ない環境を作る機能

    キャプティブ・ポータル

  • 52

    オブジェクト指向プログラミングにおけるポリモーフィズムとは何か最も正確に説明している選択肢を選んでください

    異なるクラスのオブジェクトが同じインターフェースを共有し、同じメソッド名で異なる動作をする能力

  • 53

    SDLCにおいて、認証と認定はどのフェーズで行われますか?

    テストフェーズ

  • 54

    SDLCにおける「認証」とは何を指しますか?

    ソフトウェアが要求仕様を満たしていることを確認すること

  • 55

    ソフトウェア能力成熟度モデル(CMM)は、どのような目的で使用されることが多いですか?

    ソフトウェア開発プロセスの評価と改善

  • 56

    ソフトウェア能力成熟度モデル(CMM)のレベル3について正しい記述はどれですか?

    プロセスの継続的な改善が行われている状態

  • 57

    セキュアコーディングのガイドラインは、主にどの目的で使用されますか?

    ソフトウェアの脆弱性とセキュリティリスクの軽減

  • 58

    セキュアコーディングのスタンダードの一つであるOWASP Top 10は、何に焦点を当てていますか?

    Webアプリケーションのセキュリティ

  • 59

    IDEを使用する利点は何ですか?

    ソフトウェア開発プロセスを効率化し、生産性を向上させる

  • 60

    ソースコード解析ツールを使用する利点は何ですか?

    開発初期段階での問題の特定と修正

  • 61

    状態マシンモデルがセキュリティシステムにおいて重要である理由は何ですか?

    システムが予測可能な一連の状態を持つことを保証し、セキュリティ違反を防ぐため

  • 62

    QA環境でのテストの目的は何ですか?

    システムが実際の運用に移行する前にバグや問題を識別し、修正するため

  • 63

    ランタイムシステムの主な役割は何ですか?

    アプリケーションが実行時に必要なリソースを提供し、管理するため

  • 64

    ランタイムシステムが実行する一般的な機能はどれですか?

    実行時にプログラムのメモリ管理とエラーハンドリングを行う

  • 65

    信頼性の高いコンピューティングベース(TCB)の主な目的は何ですか?

    システムのセキュリティ機能を統合し、セキュリティポリシーを実施するため

  • 66

    IoTデバイスが直面する主なセキュリティ上の課題は何ですか?

    セキュリティパッチの配布とデバイスの脆弱性への対応が困難であること

  • 67

    データベース管理システム(DBMS)における制御を実施する主な理由は何ですか?

    データの整合性とセキュリティを維持するため

  • 68

    データベースシステムにおいてデッドロックが生じる主な理由は何ですか?

    トランザクションがリソースを互いに排他的に保持し、相互にリソースの解放を待ち合わせる状況が発生するため

  • 69

    OLTPシステムにおいて、並行処理の管理と原子性を保つことはセキュリティ上どのような影響を与える可能性がありますか?

    並行処理の管理が不十分で原子性が確保されていない場合、データ整合性の問題が発生し、セキュリティ侵害の可能性が高まる

  • 70

    ソフトウェアセキュリティにおいて構成管理が果たす役割とは何ですか?

    ソフトウェアとハードウェアの資産を追跡し、セキュリティ上の脆弱性がないようにするため

  • 71

    情報保護管理において、組織が情報資産を脅威から保護するために最も重要なアプローチは何ですか

    リスクアセスメントを定期的に実施し、セキュリティポリシーと手順を継続的に見直す

  • 72

    継続的インテグレーション(CI)と継続的デリバリー(CD)における自動化の導入がもたらす主要な利益は何ですか?

    自動化により、ソフトウェアの品質を落とさずにデリバリー速度を向上させ、人間のエラーを減少させる

  • 73

    情報セキュリティにおけるコントロールの粒度が不十分な場合、どのようなセキュリティ上の問題が生じる可能性がありますか?

    ユーザーが必要以上のアクセス権限を持つことになり、最小権限の原則や職務分離の実施が不十分になる

  • 74

    構成管理が安全なソフトウェアとシステム環境の維持にとってなぜ重要なのか、以下の選択肢の中から正しいものを選びなさい。

    構成管理により、システムのすべての変更が記録され、監査可能となり、不正な変更や脆弱性の導入を防ぐことができる

  • 75

    変更監査とログ記録のプラクティスが情報セキュリティ管理においてどのように役立つのか、以下の選択肢から最も適切なものを選んでください

    変更監査とログ記録により、システムに生じた問題の原因を追跡し、セキュリティ違反の検出と分析を可能にする

  • 76

    ソフトウェアアシュアランスとは関連するセキュリティ評価と共に、どのような目的でソフトウェア開発プロセスに組み込まれるべきですか?

    ソフトウェアが設計通りの動作をし、潜在的なセキュリティ脆弱性や欠陥がないことを確認するために、その信頼性とセキュリティを評価する

  • 77

    認証(Certification)と認定(Accreditation)のプロセスが、情報セキュリティ管理にどのように貢献するのか、以下の選択肢から最も適切なものを選んでください。

    認証はシステムのセキュリティ要件への準拠を正式に評価するプロセスであり、認定は組織の責任者がそのシステムのリスクを受け入れる公式な決定である

  • 78

    ソフトウェア品質保証(SQA)のプロセスでは、ソフトウェアの品質を評価するために以下のどの要素を重視しますか?

    ソフトウェアの機能性、信頼性、使いやすさ、効率性、保守性、移植性

  • 79

    サードパーティ製のソフトウェアを組織内で使用する前に実施するセキュリティ評価において、以下のどの要素が最も重要ですか?

    ソフトウェアの脆弱性の存在、セキュリティパッチの利用可能性、セキュリティ対策の実装状況

  • 80

    独立したソフトウェアとシステムにおいてリスクを考慮したセキュリティ評価において、以下のうち何を最も重視すべきですか?

    既存のセキュリティ脆弱性への対応策と将来的なサポート終了後のリスク管理計画

  • 81

    コモディティシステムが多数の組織に採用されることで一般的に安全性が保証されると考える理由として、最も適切なのはどれですか?

    コモディティシステムは広範に普及しているため、セキュリティの脆弱性は即座に発見され、修正される傾向がある

  • 82

    公式(Formal)なセキュリティ監査・評価と非公式(Informal)なセキュリティ監査・評価の目的を比較した場合、どのような違いがありますか?

    公式な監査・評価はセキュリティ対策が組織のリスク管理戦略に適合していることを証明するために実施され、非公式な評価は日常的な運用の中で見落とされがちな問題を発見するために行われる

  • 83

    組織におけるセキュリティ監査のプロセスに関して、以下の記述のうちどれが正しいですか?

    監査はコンプライアンスカレンダーに基づいて事前に予定され、結果は発見事項として組織に正式に文書化して報告される

  • 84

    組織のセキュリティ評価プロセスについての以下の記述のうち、最も適切なものはどれですか?

    評価プロセスは、経営者の期待に対応するコントロールの有効性を評価し、テストは任意のレベルと環境で実施可能であり、監査前の環境の弱点特定に役立つ

  • 85

    組織が外部のサービスプロバイダーを利用する際に、異なるタイプのSOCレポートを選択する状況に関して、以下の記述のうち正しいものはどれですか?

    SOC 3レポートは、一般に公開されることを意図しており、サービスプロバイダーのコントロールに関する信頼性の高い概要情報を提供するときに使用される

  • 86

    ユーザー組織がプライバシーやデータの機密性に関するサービスプロバイダーのコントロールの評価を要求している場合、どのSOCレポートを要求するのが最も適切ですか?

    SOC 2タイプIIレポート

  • 87

    ある組織が、新たに外部のサービスプロバイダーと契約を結びました。この組織がサービスプロバイダーの内部コントロールが設計通りに構築されていることを確認したい場合、監査人が最初に要求するべきSOCレポートのタイプはどれですか?

    SOC 1タイプIレポート

  • 88

    組織内で実施される内部セキュリティ評価のプロセスについて、以下の記述のうち正しいものはどれですか?

    内部評価のプロセスは、経営陣のコミットメントと評価のポリシー定義から始まり、その後テスト、報告、そして修正のステップを経て、POM&Mに基づいた対応策の計画と実施に至る。

  • 89

    内部監査報告のプロセスにおいて、監査エビデンス(アーティファクト)は通常、経営陣には直接提供されません。この慣行に従う主な理由は何ですか?

    アーティファクトの保護を重視し、監査エビデンスが不適切に扱われることによるセキュリティリスクを防ぐため

  • 90

    組織が外部監査機関による評価を受けることになった場合、以下の記述のうち正しいものはどれですか?

    外部監査のプロセスは、目的とスタンダードの定義、関係者の特定、日程調整、報告形式の合意に関する憲章の作成から始まり、その後事前監査計画、監査実施、監査報告の順に進む

  • 91

    サプライチェーンセキュリティの管理において、進め方の確認および継続的な改善を適切に行うためには、以下の記述のうち正しいものはどれですか?

    サプライチェーン管理アプローチには保証活動を組み込み、サプライヤーとの信頼関係を構築することで、継続的な改善を図りつつ、不必要なコスト増加を避ける。

  • 92

    組織が内部コントロールの評価を実施する際に採用する監査手続きについて、以下の記述のうち正しいものはどれですか?

    コントロール評価は、テスト、検査、インタビューなどを組み合わせて行うことで、コントロールの設計と運用の有効性を総合的に判断する。

  • 93

    組織のコントロール評価プロセスのテーラリング(カスタマイズ)について、以下の記述のうち正しいものはどれですか?

    評価のテーラリングにおいては、現状を考慮したベースラインの更新やアップデートが必要であり、専門知識、サンプリング手法、および最小権限の原則に基づく「知る必要性」を確立することが重要である

  • 94

    組織における効果的なログ管理に関して、以下の記述のうち正しいものはどれですか?

    ログ管理においては、時間とリソースのバランスを考慮して優先順位を付け、組織全体で一貫したログポリシーとプロシージャを確立し、セキュアなログ管理インフラを構築・維持し、ログ管理の責任を負うスタッフに対して適切なサポートを提供することが重要である。

  • 95

    セキュリティコントロール評価の一環として行われるインタビューについて、以下の記述のうち正しいものはどれですか?

    インタビューは、セキュリティポリシーの文書化されたプロセスと実際の実務との間に存在する可能性のある違いを特定するために用いられる。また、組織内のセキュリティ意識啓発の程度を評価するのに役立つ。

  • 96

    セキュリティコントロールの効果を評価するために実施するテストについて、以下の記述のうち正しいものはどれですか?

    テストは、内部または外部の視点から行うことができ、外部テストと内部テストの両方を実施する場合には、外部テストを先に行い、その後でインサイダーの脅威を想定した内部テストを実施する。

  • 97

    セキュリティテスト戦略の策定において、脆弱性評価とペネトレーションテストに関する以下の記述のうち正しいものはどれですか?

    論理的ペネトレーションテストは、影響がない範囲で行い、Rule of Engagement (RoE) に基づいた制御のもとで実施されることがベストプラクティスとみなされる。

  • 98

    倫理ペネトレーションテストを実施する際のプロセスに関して、以下の記述のうち正しいものはどれですか?

    倫理ペネトレーションテストでは、検証(Chartering)を行い、交戦規定(RoE)を作成してテストの範囲・方法・条件を定義し、脆弱性データの保存方法と送信方法を決めておく。探索では情報収集と発見を行い、Nmapを使用する際にはデフォルトでスキャンされるポートに注意する。その後、認証スキャンや脆弱性スキャンを行い、最終的にはエクスプロイトを試みる。

  • 99

    以下の記述のうち、インターフェーステストに関して正しいものはどれですか?

    インターフェーステストは、アプリケーションの異なるコンポーネント間の相互作用とデータのやり取りをテストし、Webアプリケーションの場合、UIテストを含むことが多い。

  • 100

    ミスユースケーステストに関して正しい記述はどれですか?

    ミスユースケーステストは、ユーザがシステムを意図した使用方法から逸脱して使用することで生じるセキュリティの障害やシステムの誤動作を特定するテストである。

    • CISSP_test1

    CISSP_test1

    エッグスンシングス · 100問 · 2年前

    CISSP_test1

    CISSP_test1

    100問 • 2年前
    エッグスンシングス

    CISSP_test2

    CISSP_test2

    エッグスンシングス · 77問 · 2年前

    CISSP_test2

    CISSP_test2

    77問 • 2年前
    エッグスンシングス

    CISSP_test3

    CISSP_test3

    エッグスンシングス · 100問 · 2年前

    CISSP_test3

    CISSP_test3

    100問 • 2年前
    エッグスンシングス

    CISSP_test4

    CISSP_test4

    エッグスンシングス · 100問 · 2年前

    CISSP_test4

    CISSP_test4

    100問 • 2年前
    エッグスンシングス

    CISSP_test5

    CISSP_test5

    エッグスンシングス · 100問 · 2年前

    CISSP_test5

    CISSP_test5

    100問 • 2年前
    エッグスンシングス

    CISSP_test6

    CISSP_test6

    エッグスンシングス · 57問 · 2年前

    CISSP_test6

    CISSP_test6

    57問 • 2年前
    エッグスンシングス

    CISSP(模擬テスト3)

    CISSP(模擬テスト3)

    エッグスンシングス · 30問 · 2年前

    CISSP(模擬テスト3)

    CISSP(模擬テスト3)

    30問 • 2年前
    エッグスンシングス

    CISSP本番

    CISSP本番

    エッグスンシングス · 100問 · 1年前

    CISSP本番

    CISSP本番

    100問 • 1年前
    エッグスンシングス

    CISS本番2

    CISS本番2

    エッグスンシングス · 100問 · 1年前

    CISS本番2

    CISS本番2

    100問 • 1年前
    エッグスンシングス

    Udemy

    Udemy

    エッグスンシングス · 100問 · 1年前

    Udemy

    Udemy

    100問 • 1年前
    エッグスンシングス

    CISSP本番3

    CISSP本番3

    エッグスンシングス · 100問 · 1年前

    CISSP本番3

    CISSP本番3

    100問 • 1年前
    エッグスンシングス

    CISSP本番4

    CISSP本番4

    エッグスンシングス · 100問 · 1年前

    CISSP本番4

    CISSP本番4

    100問 • 1年前
    エッグスンシングス

    CISSP本番5

    CISSP本番5

    エッグスンシングス · 14問 · 1年前

    CISSP本番5

    CISSP本番5

    14問 • 1年前
    エッグスンシングス

    ISC(Final Assessment )

    ISC(Final Assessment )

    エッグスンシングス · 40問 · 1年前

    ISC(Final Assessment )

    ISC(Final Assessment )

    40問 • 1年前
    エッグスンシングス

    CISSP 暗記(PORT)

    CISSP 暗記(PORT)

    エッグスンシングス · 85問 · 1年前

    CISSP 暗記(PORT)

    CISSP 暗記(PORT)

    85問 • 1年前
    エッグスンシングス

    CISSP(予想問題)

    CISSP(予想問題)

    エッグスンシングス · 22問 · 1年前

    CISSP(予想問題)

    CISSP(予想問題)

    22問 • 1年前
    エッグスンシングス

    ISC2(ドメイン1)

    ISC2(ドメイン1)

    エッグスンシングス · 42問 · 1年前

    ISC2(ドメイン1)

    ISC2(ドメイン1)

    42問 • 1年前
    エッグスンシングス

    ISC2(ドメイン2)

    ISC2(ドメイン2)

    エッグスンシングス · 25問 · 1年前

    ISC2(ドメイン2)

    ISC2(ドメイン2)

    25問 • 1年前
    エッグスンシングス

    ISC2(ドメイン3)

    ISC2(ドメイン3)

    エッグスンシングス · 69問 · 1年前

    ISC2(ドメイン3)

    ISC2(ドメイン3)

    69問 • 1年前
    エッグスンシングス

    ISC2(ドメイン4)

    ISC2(ドメイン4)

    エッグスンシングス · 26問 · 1年前

    ISC2(ドメイン4)

    ISC2(ドメイン4)

    26問 • 1年前
    エッグスンシングス

    問題一覧

  • 1

    使用中のデータのリスクを軽減する方法

    DRMを使用する

  • 2

    組織の情報や資産がどれくらい保管しなければいけないか示すために使用

    記録保持ポリシー

  • 3

    ベースライン(基準)の入手先に関する以下の2つの選択肢から正しいものを選んでください。

    ベースラインは、国際的な標準規格団体から入手することが推奨される。

  • 4

    ベースラインとなるセキュリティコントロールを可能な限り環境に合わせるのはどんな決定を行う目的か?

    スコーピング

  • 5

    複雑なコストのかかる評価を回避しつつ、リスクマネジメントフレームワークの適用により確立された要件を満たすために何を実施しるか?

    テーラリング

  • 6

    プロビジョニングでは、誰がアカウントをアプリケーションに割り当てるか?

    データカストディアン

  • 7

    割り当てられた職務やタスクを実行するために必要な最小限のレベルのパーミッションを持つべきであり、それ以外のものは持たないというもの

    最小権限

  • 8

    法律、規則、契約で定められたスタンダード、その他のビジネス予測など、組織がその中で運営しなければならないコンプライアンスの義務に基づいている

    分類

  • 9

    スタンダードは、何に基づくべきか?

    法律、規則、契約

  • 10

    所有するデータの価値決定と保護を行う人

    データオーナー

  • 11

    組織が収集したクライアントや顧客に属する個人情報について「本当の」オーナーが不在の場合、保護をすべき人

    データーコントローラー

  • 12

    機密性の高いデバイスへのWebインターフェースは何を使用して安全に伝送するか

    TLS

  • 13

    機微データを電子メールで何を使用して安全に伝送するか

    PGP

  • 14

    電話回線、衛星回線は何を使用して経路を暗号化するか?

    リンク暗号化

  • 15

    教育、トレーニング、アウェアネスはどんなコントロールか?

    指示型

  • 16

    バックアップをとることは、どんなコントロールか?

    回復型

  • 17

    CSIRTはどんなコントロールか?

    修正型

  • 18

    防御可能な廃棄とは

    コントロールされ、法的に防御可能で、遵守に配慮した方法で廃棄すること

  • 19

    トランザクションレベルでの完全性に焦点を当てている完全性もモデル

    Clark-Wilson

  • 20

    不正ユーザ(匿名ユーザ)による変更を禁止することができるもモデルは?

    Biba

  • 21

    正規ユーザによる不正な変更ができるモデルは?

    Clark-Wilson

  • 22

    サブジェクトとオブジェクトの間にプログラム(リファレンスモニター)が存在し、アクセスが正しいものか検証することができるモデルは?

    Clark-Wilson

  • 23

    誰がどの資産に対してなにができるか記載しているもの

    ケイパビリティリスト

  • 24

    誰がどの資産に対してアクセスができるか記載しているもの

    アクセスコントロールリスト

  • 25

    ID連携するときには、IALx以上が必要

    IAL3

  • 26

    ID認証レベルとして、Google等フリーで提供されているものはレべルはいくつか?

    IAL2

  • 27

    ブロック処理

    Twofish

  • 28

    ストリーム処理

    RC4

  • 29

    同じハッシュ値になること

    衝突

  • 30

    Linaxで使われているハッシュ値

    MD5

  • 31

    MD5が安全ではないのはなぜか?

    衝突がおこることがあるから

  • 32

    SHA2は何ビットか?

    384

  • 33

    SHA3は何ビットか?

    224-256

  • 34

    メッセージを送信したと主張する人からのメッセージを保証するには、何を使うか?

    デジタル証明書

  • 35

    デジタル署名は

    改ざん検知ができる

  • 36

    鍵復旧のためにどうすべきか?

    デュアルコントロール

  • 37

    鍵の生成はどう作成すべきか?

    シーケンシャル

  • 38

    鍵の保存はどこにあるべきか

    ハードウェアセキュリティモジュール

  • 39

    適切な無線LAN機器(アクセスポイント)の設置数・設置位置・電波強度の決定、またチャネル設計のために行います

    サイトサーベイ

  • 40

    名前解決機能を悪用して、DNS(Domain Name System)やhostsを書き換えることで攻撃者のWebサイトに誘導しています。

    ファーミング

  • 41

    IPSECではどのようにして鍵を交換するか?

    IKE

  • 42

    IPsecの必要コンポーネントのうち、転送データが改ざんされていないことを保証するは?

    認証ヘッダ (AH)

  • 43

    IPsecの必要コンポーネントのうち、IPパケットを暗号化するものは?

    カプセル化セキュリティペイロード (ESP)

  • 44

    IPsecのうち、エンドポイントが相手と通信する際に使用するメカニズムを決めるものは?

    セキュリティアソシエーション(AS)

  • 45

    IPペイロードを保護するが、IPヘッダは保護(暗号化)しない

    トランスポートモード

  • 46

    異なるネットワーク間でもルーター同士でVPN接続を確立できる

    トンネルモード

  • 47

    ホスト同士がIPsecに対応していれば、ルーターがIPsecに対応していなくてもVPN接続を確立できる

    トランスポートモード

  • 48

    DDoS攻撃などの高負荷を仕掛けられる攻撃への耐性を期待

    CDN

  • 49

    コンテンツ配信ネットワーク (CDN) の主な目的は、何を低減することか?

    レイテンシー

  • 50

    VoIPで使用するプロトコル

    SIP

  • 51

    クライアントがユーザー認証を行うまで、ネットワークへアクセス出来ない環境を作る機能

    キャプティブ・ポータル

  • 52

    オブジェクト指向プログラミングにおけるポリモーフィズムとは何か最も正確に説明している選択肢を選んでください

    異なるクラスのオブジェクトが同じインターフェースを共有し、同じメソッド名で異なる動作をする能力

  • 53

    SDLCにおいて、認証と認定はどのフェーズで行われますか?

    テストフェーズ

  • 54

    SDLCにおける「認証」とは何を指しますか?

    ソフトウェアが要求仕様を満たしていることを確認すること

  • 55

    ソフトウェア能力成熟度モデル(CMM)は、どのような目的で使用されることが多いですか?

    ソフトウェア開発プロセスの評価と改善

  • 56

    ソフトウェア能力成熟度モデル(CMM)のレベル3について正しい記述はどれですか?

    プロセスの継続的な改善が行われている状態

  • 57

    セキュアコーディングのガイドラインは、主にどの目的で使用されますか?

    ソフトウェアの脆弱性とセキュリティリスクの軽減

  • 58

    セキュアコーディングのスタンダードの一つであるOWASP Top 10は、何に焦点を当てていますか?

    Webアプリケーションのセキュリティ

  • 59

    IDEを使用する利点は何ですか?

    ソフトウェア開発プロセスを効率化し、生産性を向上させる

  • 60

    ソースコード解析ツールを使用する利点は何ですか?

    開発初期段階での問題の特定と修正

  • 61

    状態マシンモデルがセキュリティシステムにおいて重要である理由は何ですか?

    システムが予測可能な一連の状態を持つことを保証し、セキュリティ違反を防ぐため

  • 62

    QA環境でのテストの目的は何ですか?

    システムが実際の運用に移行する前にバグや問題を識別し、修正するため

  • 63

    ランタイムシステムの主な役割は何ですか?

    アプリケーションが実行時に必要なリソースを提供し、管理するため

  • 64

    ランタイムシステムが実行する一般的な機能はどれですか?

    実行時にプログラムのメモリ管理とエラーハンドリングを行う

  • 65

    信頼性の高いコンピューティングベース(TCB)の主な目的は何ですか?

    システムのセキュリティ機能を統合し、セキュリティポリシーを実施するため

  • 66

    IoTデバイスが直面する主なセキュリティ上の課題は何ですか?

    セキュリティパッチの配布とデバイスの脆弱性への対応が困難であること

  • 67

    データベース管理システム(DBMS)における制御を実施する主な理由は何ですか?

    データの整合性とセキュリティを維持するため

  • 68

    データベースシステムにおいてデッドロックが生じる主な理由は何ですか?

    トランザクションがリソースを互いに排他的に保持し、相互にリソースの解放を待ち合わせる状況が発生するため

  • 69

    OLTPシステムにおいて、並行処理の管理と原子性を保つことはセキュリティ上どのような影響を与える可能性がありますか?

    並行処理の管理が不十分で原子性が確保されていない場合、データ整合性の問題が発生し、セキュリティ侵害の可能性が高まる

  • 70

    ソフトウェアセキュリティにおいて構成管理が果たす役割とは何ですか?

    ソフトウェアとハードウェアの資産を追跡し、セキュリティ上の脆弱性がないようにするため

  • 71

    情報保護管理において、組織が情報資産を脅威から保護するために最も重要なアプローチは何ですか

    リスクアセスメントを定期的に実施し、セキュリティポリシーと手順を継続的に見直す

  • 72

    継続的インテグレーション(CI)と継続的デリバリー(CD)における自動化の導入がもたらす主要な利益は何ですか?

    自動化により、ソフトウェアの品質を落とさずにデリバリー速度を向上させ、人間のエラーを減少させる

  • 73

    情報セキュリティにおけるコントロールの粒度が不十分な場合、どのようなセキュリティ上の問題が生じる可能性がありますか?

    ユーザーが必要以上のアクセス権限を持つことになり、最小権限の原則や職務分離の実施が不十分になる

  • 74

    構成管理が安全なソフトウェアとシステム環境の維持にとってなぜ重要なのか、以下の選択肢の中から正しいものを選びなさい。

    構成管理により、システムのすべての変更が記録され、監査可能となり、不正な変更や脆弱性の導入を防ぐことができる

  • 75

    変更監査とログ記録のプラクティスが情報セキュリティ管理においてどのように役立つのか、以下の選択肢から最も適切なものを選んでください

    変更監査とログ記録により、システムに生じた問題の原因を追跡し、セキュリティ違反の検出と分析を可能にする

  • 76

    ソフトウェアアシュアランスとは関連するセキュリティ評価と共に、どのような目的でソフトウェア開発プロセスに組み込まれるべきですか?

    ソフトウェアが設計通りの動作をし、潜在的なセキュリティ脆弱性や欠陥がないことを確認するために、その信頼性とセキュリティを評価する

  • 77

    認証(Certification)と認定(Accreditation)のプロセスが、情報セキュリティ管理にどのように貢献するのか、以下の選択肢から最も適切なものを選んでください。

    認証はシステムのセキュリティ要件への準拠を正式に評価するプロセスであり、認定は組織の責任者がそのシステムのリスクを受け入れる公式な決定である

  • 78

    ソフトウェア品質保証(SQA)のプロセスでは、ソフトウェアの品質を評価するために以下のどの要素を重視しますか?

    ソフトウェアの機能性、信頼性、使いやすさ、効率性、保守性、移植性

  • 79

    サードパーティ製のソフトウェアを組織内で使用する前に実施するセキュリティ評価において、以下のどの要素が最も重要ですか?

    ソフトウェアの脆弱性の存在、セキュリティパッチの利用可能性、セキュリティ対策の実装状況

  • 80

    独立したソフトウェアとシステムにおいてリスクを考慮したセキュリティ評価において、以下のうち何を最も重視すべきですか?

    既存のセキュリティ脆弱性への対応策と将来的なサポート終了後のリスク管理計画

  • 81

    コモディティシステムが多数の組織に採用されることで一般的に安全性が保証されると考える理由として、最も適切なのはどれですか?

    コモディティシステムは広範に普及しているため、セキュリティの脆弱性は即座に発見され、修正される傾向がある

  • 82

    公式(Formal)なセキュリティ監査・評価と非公式(Informal)なセキュリティ監査・評価の目的を比較した場合、どのような違いがありますか?

    公式な監査・評価はセキュリティ対策が組織のリスク管理戦略に適合していることを証明するために実施され、非公式な評価は日常的な運用の中で見落とされがちな問題を発見するために行われる

  • 83

    組織におけるセキュリティ監査のプロセスに関して、以下の記述のうちどれが正しいですか?

    監査はコンプライアンスカレンダーに基づいて事前に予定され、結果は発見事項として組織に正式に文書化して報告される

  • 84

    組織のセキュリティ評価プロセスについての以下の記述のうち、最も適切なものはどれですか?

    評価プロセスは、経営者の期待に対応するコントロールの有効性を評価し、テストは任意のレベルと環境で実施可能であり、監査前の環境の弱点特定に役立つ

  • 85

    組織が外部のサービスプロバイダーを利用する際に、異なるタイプのSOCレポートを選択する状況に関して、以下の記述のうち正しいものはどれですか?

    SOC 3レポートは、一般に公開されることを意図しており、サービスプロバイダーのコントロールに関する信頼性の高い概要情報を提供するときに使用される

  • 86

    ユーザー組織がプライバシーやデータの機密性に関するサービスプロバイダーのコントロールの評価を要求している場合、どのSOCレポートを要求するのが最も適切ですか?

    SOC 2タイプIIレポート

  • 87

    ある組織が、新たに外部のサービスプロバイダーと契約を結びました。この組織がサービスプロバイダーの内部コントロールが設計通りに構築されていることを確認したい場合、監査人が最初に要求するべきSOCレポートのタイプはどれですか?

    SOC 1タイプIレポート

  • 88

    組織内で実施される内部セキュリティ評価のプロセスについて、以下の記述のうち正しいものはどれですか?

    内部評価のプロセスは、経営陣のコミットメントと評価のポリシー定義から始まり、その後テスト、報告、そして修正のステップを経て、POM&Mに基づいた対応策の計画と実施に至る。

  • 89

    内部監査報告のプロセスにおいて、監査エビデンス(アーティファクト)は通常、経営陣には直接提供されません。この慣行に従う主な理由は何ですか?

    アーティファクトの保護を重視し、監査エビデンスが不適切に扱われることによるセキュリティリスクを防ぐため

  • 90

    組織が外部監査機関による評価を受けることになった場合、以下の記述のうち正しいものはどれですか?

    外部監査のプロセスは、目的とスタンダードの定義、関係者の特定、日程調整、報告形式の合意に関する憲章の作成から始まり、その後事前監査計画、監査実施、監査報告の順に進む

  • 91

    サプライチェーンセキュリティの管理において、進め方の確認および継続的な改善を適切に行うためには、以下の記述のうち正しいものはどれですか?

    サプライチェーン管理アプローチには保証活動を組み込み、サプライヤーとの信頼関係を構築することで、継続的な改善を図りつつ、不必要なコスト増加を避ける。

  • 92

    組織が内部コントロールの評価を実施する際に採用する監査手続きについて、以下の記述のうち正しいものはどれですか?

    コントロール評価は、テスト、検査、インタビューなどを組み合わせて行うことで、コントロールの設計と運用の有効性を総合的に判断する。

  • 93

    組織のコントロール評価プロセスのテーラリング(カスタマイズ)について、以下の記述のうち正しいものはどれですか?

    評価のテーラリングにおいては、現状を考慮したベースラインの更新やアップデートが必要であり、専門知識、サンプリング手法、および最小権限の原則に基づく「知る必要性」を確立することが重要である

  • 94

    組織における効果的なログ管理に関して、以下の記述のうち正しいものはどれですか?

    ログ管理においては、時間とリソースのバランスを考慮して優先順位を付け、組織全体で一貫したログポリシーとプロシージャを確立し、セキュアなログ管理インフラを構築・維持し、ログ管理の責任を負うスタッフに対して適切なサポートを提供することが重要である。

  • 95

    セキュリティコントロール評価の一環として行われるインタビューについて、以下の記述のうち正しいものはどれですか?

    インタビューは、セキュリティポリシーの文書化されたプロセスと実際の実務との間に存在する可能性のある違いを特定するために用いられる。また、組織内のセキュリティ意識啓発の程度を評価するのに役立つ。

  • 96

    セキュリティコントロールの効果を評価するために実施するテストについて、以下の記述のうち正しいものはどれですか?

    テストは、内部または外部の視点から行うことができ、外部テストと内部テストの両方を実施する場合には、外部テストを先に行い、その後でインサイダーの脅威を想定した内部テストを実施する。

  • 97

    セキュリティテスト戦略の策定において、脆弱性評価とペネトレーションテストに関する以下の記述のうち正しいものはどれですか?

    論理的ペネトレーションテストは、影響がない範囲で行い、Rule of Engagement (RoE) に基づいた制御のもとで実施されることがベストプラクティスとみなされる。

  • 98

    倫理ペネトレーションテストを実施する際のプロセスに関して、以下の記述のうち正しいものはどれですか?

    倫理ペネトレーションテストでは、検証(Chartering)を行い、交戦規定(RoE)を作成してテストの範囲・方法・条件を定義し、脆弱性データの保存方法と送信方法を決めておく。探索では情報収集と発見を行い、Nmapを使用する際にはデフォルトでスキャンされるポートに注意する。その後、認証スキャンや脆弱性スキャンを行い、最終的にはエクスプロイトを試みる。

  • 99

    以下の記述のうち、インターフェーステストに関して正しいものはどれですか?

    インターフェーステストは、アプリケーションの異なるコンポーネント間の相互作用とデータのやり取りをテストし、Webアプリケーションの場合、UIテストを含むことが多い。

  • 100

    ミスユースケーステストに関して正しい記述はどれですか?

    ミスユースケーステストは、ユーザがシステムを意図した使用方法から逸脱して使用することで生じるセキュリティの障害やシステムの誤動作を特定するテストである。