暗記メーカー

暗記メーカー

ログイン
CISSP(ドメイン8)
72問 • 2年前
  • エッグスンシングス
    • 通報

    問題一覧

  • 1

    オブジェクト指向モデルを設計する場合 理想的な状態は 次のどれか

    高凝集、低結合

  • 2

    攻撃がポット ネット使用する一般的な目的は 次のどれか

    すべて

  • 3

    コードレビューに関する記述で正しくないものは次のどれか

    コードレビューは設計フェーズで行う

  • 4

    ソフトウェアの変更に受け入れテストが確実に含まれるようにする責任がある プロレスはどれか

    リリースコントロール

  • 5

    ユーザーのブラウザが別のウェブサイトとの間に構築している信頼関係を悪用して、認証されたリクエストを第三者のサイトに調整的に送信させる攻撃は次のどれか

    CSRF

  • 6

    SDLCを用いる場合 他の手順 より先に行うべき 手順はどれか

    機能要件の決定

  • 7

    ソフトウェアの脅威モデリングの目的でないものは次のどれか

    脅威 ベクター 数を軽減する

  • 8

    次の表でメソッドの例はどれか

    AddFunds

  • 9

    ソースコードにアクセせずに実施されるテストの使用はどれか

    動的テスト

  • 10

    認可されたデータベースが、どのようにして彼の通常のクリアランス レベル外の情報にアクセスしてるかを調べている。 このユーザーが、データを要約する関数の一種を利用していると考えている。 このような関数を表す用語は 次のどれか

    集約

  • 11

    バッファオーバーフロー攻撃からアプリケーション 保護するのに最も適したコントロールはどれか

    入力の妥当性の確認

  • 12

    ソフトウェア能力成熟度モデル (SW-CMM)を利用して、あまり 適切に構成されていない。この会社は専属の開発チームがあるが、彼らは正式なプロセスもないソフトをリリースしている。これは現在どういう状態か?

    初期段階

  • 13

    ソフトウェア能力成熟度モデル (SW-CMM)を利用して、あまり 適切に構成されていない。この会社は専属の開発チームがあるが、彼らは正式なプロセスもないソフトをリリースしている。次に目標とすべきSWCMMの段階は

    反復可能段階

  • 14

    文書化された 正式な開発プロセスを使用し 、長年にわたる ソフトウェア開発を行ってきた会社である。 この会社はソフトウェア開発の標準化 標準的モデルを持っているが 、各プロセスの定量的管理を行っていない。ソフトウェア 能力成熟度モデルで評価した場合、 今どういう状況か

    定義段階

  • 15

    文書化された 正式な開発プロセスを使用し 、長年にわたる ソフトウェア開発を行ってきた会社である。 この会社はソフトウェア開発の標準化 標準的モデルを持っているが 、各プロセスの定量的管理を行っていない。ソフトウェア 能力成熟度モデルで評価した場合、 今どの到達目標をすべきか

    管理段階

  • 16

    テーブル間の参照整合性の関係を調整するために使用されるデータベースキ ー は 次のどれか

    外部キー

  • 17

    組織の従業員の情報を格納するデータベース テーブルを作成した 。このテーブルや 従業員の ID 、異なる3つの電話番号( 自宅 職場 携帯)、住所、 職名が格納されている。テーブルには 16個レコードがある。 このテーブルの次数はどれか

    6

  • 18

    自分の Web ベースアプリケーションのアプリケーション ログを分析している その過程で次の文字列を発見したアプリケーションに行われた可能性がある 攻撃の種類はどれ .../.../.../.../.../.../.../.../.../.../.../.../etc/Passrd

    ディレクトリトラバーサル

  • 19

    ソフトウェア開発の SDLCアプローチに従った場合、 設計レビューを行うタイミングは次のどれか

    機能要件の策定後

  • 20

    組織の ERPシステムにバッチューを適用する準備をしている。パッチによって 前のバージョンになかった欠陥が生じることを懸念している。そのため 入力に対する以前の応答とパッチ適用後の新しいアプリケーションで生成される 応答を比較するテストを行うつもりである計画しているテストの書類はどれか

    回帰テスト

  • 21

    開発者がサービスに提供される 実運用コードの作成 で問題を抱えていることにすぐに気づいた。彼らは複数のプロジェクトで作業しているため、 実運用コードに加えた変更に矛盾が生じていたのである。 問題解決するために気をつけなければならない フプロセスはどれか

    変更コントロール

  • 22

    複数の技術を集めた結果が個々の事実がもともと持っていた 分類 レベルよりも高いレベル となる場合に生じるデータベース セキュリティ上の問題は次のうちどれか

    集約

  • 23

    ひそかに情報を取得しようとする 攻撃者に悪用されることが多い 2種類の隠れチャンネルは次のどれか

    タイミングとストレージ

  • 24

    新しい Web アプリケーションをユーザー視点で評価するため ソフトウェア テスターを採用することを考えているユーザーの視点で最も再現することができるテストは次のどれか

    ブラックボックス

  • 25

    ファイアウォール技術に再起動 再起動が発生することが 比較的多く、 一度使用不可能な状態になると10分間 続くことがある。会社の経費を最小限に抑えて その期間の可能性を維持するために検討する構成はどれか

    フェイルオープン

  • 26

    組織におけるマルウェイの感染拡大に対処している。彼は特殊なマルゲや分析ツールを使用して3つの異なる システムから マルウェアサンプルを取得し、 感染が繰り返されるたびに コードが少しずつ変化していることに気づいた。 これがウイルス対策ソフトウェアによる感染拡大を防止できてない理由だと考えている。 セキュリティインシデントの原因として疑うべき種類は 次のどれか

    ポリモーフィック型ウイルス

  • 27

    自社のウェブサイトのユーザーフォーラムへの投稿をレビューしているがある 投稿 閲覧した後 アラートとメッセージが書かれたダイヤボックスが画面上にバックアップが表示された彼女は 投稿のソースコードを確認し 以下のコード スリーペットを発見した <Script >alert(''Alert'):</Script> この掲示板に確実に存在する脆弱性はどれか

    クロスサイトスクリプティング

  • 28

    データベース トランザクションがデータベースにコミットされた後 その結果が保持されることを保証する リレーショナルデータベースの特性はどれか

    永続性

  • 29

    自分が担当するアプリケーションにソフトウェア レビュープロセスを使用したいと考えている。チームの他のメンバーと異なる時間帯に作業するリモートワーカーの場合、 最も効果的なプロセスは次のどれか

    バスアラウンド

  • 30

    ウイルス 作成者がマルウェア対策ソフト からウイルスの存在隠すために用いる技術でないものはどれか

    マルチパータイティズム

  • 31

    通常テストのシナリオに沿って一番最後の実施されるテストはどれか

    ユーザ受入テスト

  • 32

    Web ベースの攻撃 ベクターに関する情報ソースとして広く認められている組織は 次のどれか

    OWASP

  • 33

    アプリケーションのコードを記述するとき、彼はアジャイルプロセスのどのフェーズにいるか

    スプリント

  • 34

    自分のネットワークが IP スプーフィング 攻撃の標的にならないようにすると同時にそれらの送信元にはならないようにしている。自分のネットワークの境界に設定できるベストプラクティス ではないルールは次のどれか

    パブリック IP アドレスを持つ パケットがネットワークに入るのをブロックする

  • 35

    あるトラクションがデータベースに書き込んだ値が先行するトランザクションで必要となる値を上書きする場合に生じるデータベースの問題はどれか

    ロストアップデート

  • 36

    セッションハイジャック 攻撃に対して最も有効なコントローラー 次のどれか

    TLS

  • 37

    シャドウ パスワードを使用するように設定された ETC/Passwordファイルをシステム上で調べている。インタラクティブ ログイン許可を持つユーザーがいないか ファイル内の行を調べてる時 、パスワード フィールドには何が表示されているか

  • 38

    TOCTOU 攻撃が標的とする脆弱性は次のどれか

    レースコンディション

  • 39

    セキュリティインシデントの可能性を評価してる間に、 ユーザーが フォームフィールドに以下の入力を行ったことを示す Web サーバーのログエントリーを見つけた。施行された攻撃の種類はどれか CARROT' &1=1:””

    SQLインジェクション

  • 40

    SQL インジェクション 攻撃に対して有効ではない コントローラーは次のうちどれか

    クライアント側での入力の妥当性確認

  • 41

    ソフトウェアが変更されるたびに 評価者が非常に多くのシナリオを繰り返しテストし、結果が 標準的 ベースラインと一致してることを検証するソフトウェアの手法はどれか

    回帰テスト

  • 42

    クロスファイトスクリプティング(XSS)攻撃に対して アプリケーションが最も無防備になる可能性のある条件は 次のどれか

    反射された入力

  • 43

    ヒューリスティックベースのマルウェア対策ソフトウェアに関する記述で正しいものは次のどれか

    シグネチャ 検知よりゼロディ エクスプロイトを検知できる可能性が高い

  • 44

    ユーザーが異常なアクティビティを警告した。システム調査しているこのシステムではアイドル状態でにも関わらず 、ディスク アクティビティが検知されたり、 CPUとネットワークの異常が観測されたりしている。マルウェアを疑ったが スキャンでは不審な点は見つからない。 ここで使用されてる可能性があり、 スキャン結果で感染なしとなった理由の説明がつくマルウェア技術はどれか

    ステルス型ウイルス

  • 45

    攻撃者は、悪意のあるスクリプトが埋め込まれたメッセージを公開 ディスカッションフォーラムに投稿した。 このスクリプトは、ユーザーには表示されないが、読み込まれた時にユーザーのシステム上に実行される。この攻撃の処理が 次のどれか

    持続型XSS

  • 46

    エキスパートシステムを構成する2つの要素は 次のどれか

    ナレッジベースと推論エンジン

  • 47

    キーバリュー ストアを使用してデータ確認することができる。DynamoDB は どんなデータですか

    NoSQL

  • 48

    トランザクションで1番目と2番目のアップデート 分の間にデータベースの障害が発生した場合どうなるか

    両方のコマンド結果を無視し、トランザクション ロールバックする

  • 49

    ソフトウェアテストに関する記述で正しいものはどれか

    静的テストでは コード分析を行う

  • 50

    機密情報の取り扱いのため自社で使用しているアプリケーションのベネトレーションテストを行った。テスト中 攻撃者がタイミング 条件を悪用してソフトウェアを操り、 不正なアクションを実行することできる条件 発見した。 一致する攻撃の種類はどれか

    TOCTOU

  • 51

    次の3つの主なステップで構成されたアプリケーション セキュリティ プロセスは 次のどれか 1.アプリケーションの分解 2.脅威と特定のランク付け 3.対策と低減方法の決定

    脅威モデリング

  • 52

    セキュリティの観点から見て、最も 保守的な障害管理 手法 を次のどれか

    フェイルクローズ

  • 53

    RDBMSでデータベース テーブルの各行を一意に識別されるために使用されるデータベースキーはどれか

    主キー

  • 54

    一部の推論攻撃に対して有効な対策となる手法は 次のどれか

    ポリインスタンス化

  • 55

    IDEALモデルのフェーズのうち、組織が変更を実装するための具体的な行動計画を策定する フェーズが 次のどれか

    確立

  • 56

    複雑な計算を用いて 人間の心の機能の部分的な再現を試みる 人工知能の種類は 次のどれか

    ニューラルネットワーク

  • 57

    組織が基本的なライフサイクル管理プロセスを導入するには SW-CMM のどのレベルか

    反復可能段階

  • 58

    自社の会計システムを運用しているある 。主力社員が解雇された翌朝 、不可解な状況でシステムから情報が消失した 。解雇された社員が会社を取る前にシステム 回覧したのではないかと考えている 疑うべき 攻撃はどれか

    論理爆弾

  • 59

    API アクセスを、認可された個人やアプリケーション限定するために、 API 開発者が通常使用する技術は 次のどれか

    APIキー

  • 60

    データベースのトランザクションが All or Nothing 動作であることを保証するデータベース Acid モデルの要素は 次のどれか

    原子性

  • 61

    以下の問題の原因となる根本的なセキュリティ問題の次のどれか ・クロスサイトスクリティング ・SQL インジェクション ・バッファーオーバーフロー ・ クロスサイトリクエストフォージェリー

    入力の妥当性確認が不適切であるか、行われていない

  • 62

    いかに示す サイクル持ちでアプリケーション開発方法は 次のどれかいかに示す サイクル持ちでアプリケーション開発方法は 次のどれか

    RAD

  • 63

    組織のデータ用として公開されたRESTfulAPI を提供しているが、 その使用で信頼できるパートナーに限定したいと考えている。彼女は API キーを使用する予定であるこのほか サービスが乱用される可能性を制限するための手法として提案できるのはどれか

    リクエスト率を制限する

  • 64

    構築したWebアプリケーションには、ログインしているユーザが自分の役割では実行できないはずの操作を実行できてしまう欠陥がある。どの脆弱性として分類されるべきか

    認可

  • 65

    攻撃者が、低レベルに分類された複数の情報を分析し、より高レベルの機密情報を推測できる場合に生じるセキュリティ問題の種類はどれか

    推論

  • 66

    ベンダーとの話し合いで、ベンダーが問題を修正する意思はあるが、自社のソフトウェアの更新方法がわからないことに気づいた。この種の攻撃に対する脆弱性を軽減するのに有効ば手法はどれか?

    入力の妥当性確認

  • 67

    SQLインジェクション攻撃に対して有効でないコントロールはどれか?

    クライアント側での入力の妥当性確認

  • 68

    標準的なエンドユーザに近い環境でテストしているが、テスト中にソースコードを参照している。どのテストの種類か?

    グレーボックス

  • 69

    標的としたシステムの脆弱性を最も的確に特定するために攻撃者が使用するツールはどれか?

    Nessus

  • 70

    システムブートプロセスを変更し、OSが読み込まれる前にBIOSをリダイレクトしてマルウェアを読み込ませるものは

    MBR

  • 71

    ソフトウェアに意図的に設計された脆弱性や、ライフサイクルのいずれかの時点で誤って混入した脆弱性がないこと、またはソフトウェアが意図された通りに動作することの確かさの基準を表す用語はどれか?

    保証

  • 72

    通常、一番最後に実施されるソフトウェアのテストはどれか

    ユーザー受入テスト

    • CISSP_test1

    CISSP_test1

    エッグスンシングス · 100問 · 2年前

    CISSP_test1

    CISSP_test1

    100問 • 2年前
    エッグスンシングス

    CISSP_test2

    CISSP_test2

    エッグスンシングス · 77問 · 2年前

    CISSP_test2

    CISSP_test2

    77問 • 2年前
    エッグスンシングス

    CISSP_test3

    CISSP_test3

    エッグスンシングス · 100問 · 2年前

    CISSP_test3

    CISSP_test3

    100問 • 2年前
    エッグスンシングス

    CISSP_test4

    CISSP_test4

    エッグスンシングス · 100問 · 2年前

    CISSP_test4

    CISSP_test4

    100問 • 2年前
    エッグスンシングス

    CISSP_test5

    CISSP_test5

    エッグスンシングス · 100問 · 2年前

    CISSP_test5

    CISSP_test5

    100問 • 2年前
    エッグスンシングス

    CISSP_test6

    CISSP_test6

    エッグスンシングス · 57問 · 2年前

    CISSP_test6

    CISSP_test6

    57問 • 2年前
    エッグスンシングス

    CISSP(模擬テスト3)

    CISSP(模擬テスト3)

    エッグスンシングス · 30問 · 2年前

    CISSP(模擬テスト3)

    CISSP(模擬テスト3)

    30問 • 2年前
    エッグスンシングス

    CISSP本番

    CISSP本番

    エッグスンシングス · 100問 · 1年前

    CISSP本番

    CISSP本番

    100問 • 1年前
    エッグスンシングス

    CISS本番2

    CISS本番2

    エッグスンシングス · 100問 · 1年前

    CISS本番2

    CISS本番2

    100問 • 1年前
    エッグスンシングス

    Udemy

    Udemy

    エッグスンシングス · 100問 · 1年前

    Udemy

    Udemy

    100問 • 1年前
    エッグスンシングス

    CISSP本番3

    CISSP本番3

    エッグスンシングス · 100問 · 1年前

    CISSP本番3

    CISSP本番3

    100問 • 1年前
    エッグスンシングス

    CISSP本番4

    CISSP本番4

    エッグスンシングス · 100問 · 1年前

    CISSP本番4

    CISSP本番4

    100問 • 1年前
    エッグスンシングス

    CISSP本番5

    CISSP本番5

    エッグスンシングス · 14問 · 1年前

    CISSP本番5

    CISSP本番5

    14問 • 1年前
    エッグスンシングス

    ISC(Final Assessment )

    ISC(Final Assessment )

    エッグスンシングス · 40問 · 1年前

    ISC(Final Assessment )

    ISC(Final Assessment )

    40問 • 1年前
    エッグスンシングス

    CISSP 暗記(PORT)

    CISSP 暗記(PORT)

    エッグスンシングス · 85問 · 1年前

    CISSP 暗記(PORT)

    CISSP 暗記(PORT)

    85問 • 1年前
    エッグスンシングス

    CISSP(予想問題)

    CISSP(予想問題)

    エッグスンシングス · 22問 · 1年前

    CISSP(予想問題)

    CISSP(予想問題)

    22問 • 1年前
    エッグスンシングス

    ISC2(ドメイン1)

    ISC2(ドメイン1)

    エッグスンシングス · 42問 · 1年前

    ISC2(ドメイン1)

    ISC2(ドメイン1)

    42問 • 1年前
    エッグスンシングス

    ISC2(ドメイン2)

    ISC2(ドメイン2)

    エッグスンシングス · 25問 · 1年前

    ISC2(ドメイン2)

    ISC2(ドメイン2)

    25問 • 1年前
    エッグスンシングス

    ISC2(ドメイン3)

    ISC2(ドメイン3)

    エッグスンシングス · 69問 · 1年前

    ISC2(ドメイン3)

    ISC2(ドメイン3)

    69問 • 1年前
    エッグスンシングス

    ISC2(ドメイン4)

    ISC2(ドメイン4)

    エッグスンシングス · 26問 · 1年前

    ISC2(ドメイン4)

    ISC2(ドメイン4)

    26問 • 1年前
    エッグスンシングス

    問題一覧

  • 1

    オブジェクト指向モデルを設計する場合 理想的な状態は 次のどれか

    高凝集、低結合

  • 2

    攻撃がポット ネット使用する一般的な目的は 次のどれか

    すべて

  • 3

    コードレビューに関する記述で正しくないものは次のどれか

    コードレビューは設計フェーズで行う

  • 4

    ソフトウェアの変更に受け入れテストが確実に含まれるようにする責任がある プロレスはどれか

    リリースコントロール

  • 5

    ユーザーのブラウザが別のウェブサイトとの間に構築している信頼関係を悪用して、認証されたリクエストを第三者のサイトに調整的に送信させる攻撃は次のどれか

    CSRF

  • 6

    SDLCを用いる場合 他の手順 より先に行うべき 手順はどれか

    機能要件の決定

  • 7

    ソフトウェアの脅威モデリングの目的でないものは次のどれか

    脅威 ベクター 数を軽減する

  • 8

    次の表でメソッドの例はどれか

    AddFunds

  • 9

    ソースコードにアクセせずに実施されるテストの使用はどれか

    動的テスト

  • 10

    認可されたデータベースが、どのようにして彼の通常のクリアランス レベル外の情報にアクセスしてるかを調べている。 このユーザーが、データを要約する関数の一種を利用していると考えている。 このような関数を表す用語は 次のどれか

    集約

  • 11

    バッファオーバーフロー攻撃からアプリケーション 保護するのに最も適したコントロールはどれか

    入力の妥当性の確認

  • 12

    ソフトウェア能力成熟度モデル (SW-CMM)を利用して、あまり 適切に構成されていない。この会社は専属の開発チームがあるが、彼らは正式なプロセスもないソフトをリリースしている。これは現在どういう状態か?

    初期段階

  • 13

    ソフトウェア能力成熟度モデル (SW-CMM)を利用して、あまり 適切に構成されていない。この会社は専属の開発チームがあるが、彼らは正式なプロセスもないソフトをリリースしている。次に目標とすべきSWCMMの段階は

    反復可能段階

  • 14

    文書化された 正式な開発プロセスを使用し 、長年にわたる ソフトウェア開発を行ってきた会社である。 この会社はソフトウェア開発の標準化 標準的モデルを持っているが 、各プロセスの定量的管理を行っていない。ソフトウェア 能力成熟度モデルで評価した場合、 今どういう状況か

    定義段階

  • 15

    文書化された 正式な開発プロセスを使用し 、長年にわたる ソフトウェア開発を行ってきた会社である。 この会社はソフトウェア開発の標準化 標準的モデルを持っているが 、各プロセスの定量的管理を行っていない。ソフトウェア 能力成熟度モデルで評価した場合、 今どの到達目標をすべきか

    管理段階

  • 16

    テーブル間の参照整合性の関係を調整するために使用されるデータベースキ ー は 次のどれか

    外部キー

  • 17

    組織の従業員の情報を格納するデータベース テーブルを作成した 。このテーブルや 従業員の ID 、異なる3つの電話番号( 自宅 職場 携帯)、住所、 職名が格納されている。テーブルには 16個レコードがある。 このテーブルの次数はどれか

    6

  • 18

    自分の Web ベースアプリケーションのアプリケーション ログを分析している その過程で次の文字列を発見したアプリケーションに行われた可能性がある 攻撃の種類はどれ .../.../.../.../.../.../.../.../.../.../.../.../etc/Passrd

    ディレクトリトラバーサル

  • 19

    ソフトウェア開発の SDLCアプローチに従った場合、 設計レビューを行うタイミングは次のどれか

    機能要件の策定後

  • 20

    組織の ERPシステムにバッチューを適用する準備をしている。パッチによって 前のバージョンになかった欠陥が生じることを懸念している。そのため 入力に対する以前の応答とパッチ適用後の新しいアプリケーションで生成される 応答を比較するテストを行うつもりである計画しているテストの書類はどれか

    回帰テスト

  • 21

    開発者がサービスに提供される 実運用コードの作成 で問題を抱えていることにすぐに気づいた。彼らは複数のプロジェクトで作業しているため、 実運用コードに加えた変更に矛盾が生じていたのである。 問題解決するために気をつけなければならない フプロセスはどれか

    変更コントロール

  • 22

    複数の技術を集めた結果が個々の事実がもともと持っていた 分類 レベルよりも高いレベル となる場合に生じるデータベース セキュリティ上の問題は次のうちどれか

    集約

  • 23

    ひそかに情報を取得しようとする 攻撃者に悪用されることが多い 2種類の隠れチャンネルは次のどれか

    タイミングとストレージ

  • 24

    新しい Web アプリケーションをユーザー視点で評価するため ソフトウェア テスターを採用することを考えているユーザーの視点で最も再現することができるテストは次のどれか

    ブラックボックス

  • 25

    ファイアウォール技術に再起動 再起動が発生することが 比較的多く、 一度使用不可能な状態になると10分間 続くことがある。会社の経費を最小限に抑えて その期間の可能性を維持するために検討する構成はどれか

    フェイルオープン

  • 26

    組織におけるマルウェイの感染拡大に対処している。彼は特殊なマルゲや分析ツールを使用して3つの異なる システムから マルウェアサンプルを取得し、 感染が繰り返されるたびに コードが少しずつ変化していることに気づいた。 これがウイルス対策ソフトウェアによる感染拡大を防止できてない理由だと考えている。 セキュリティインシデントの原因として疑うべき種類は 次のどれか

    ポリモーフィック型ウイルス

  • 27

    自社のウェブサイトのユーザーフォーラムへの投稿をレビューしているがある 投稿 閲覧した後 アラートとメッセージが書かれたダイヤボックスが画面上にバックアップが表示された彼女は 投稿のソースコードを確認し 以下のコード スリーペットを発見した <Script >alert(''Alert'):</Script> この掲示板に確実に存在する脆弱性はどれか

    クロスサイトスクリプティング

  • 28

    データベース トランザクションがデータベースにコミットされた後 その結果が保持されることを保証する リレーショナルデータベースの特性はどれか

    永続性

  • 29

    自分が担当するアプリケーションにソフトウェア レビュープロセスを使用したいと考えている。チームの他のメンバーと異なる時間帯に作業するリモートワーカーの場合、 最も効果的なプロセスは次のどれか

    バスアラウンド

  • 30

    ウイルス 作成者がマルウェア対策ソフト からウイルスの存在隠すために用いる技術でないものはどれか

    マルチパータイティズム

  • 31

    通常テストのシナリオに沿って一番最後の実施されるテストはどれか

    ユーザ受入テスト

  • 32

    Web ベースの攻撃 ベクターに関する情報ソースとして広く認められている組織は 次のどれか

    OWASP

  • 33

    アプリケーションのコードを記述するとき、彼はアジャイルプロセスのどのフェーズにいるか

    スプリント

  • 34

    自分のネットワークが IP スプーフィング 攻撃の標的にならないようにすると同時にそれらの送信元にはならないようにしている。自分のネットワークの境界に設定できるベストプラクティス ではないルールは次のどれか

    パブリック IP アドレスを持つ パケットがネットワークに入るのをブロックする

  • 35

    あるトラクションがデータベースに書き込んだ値が先行するトランザクションで必要となる値を上書きする場合に生じるデータベースの問題はどれか

    ロストアップデート

  • 36

    セッションハイジャック 攻撃に対して最も有効なコントローラー 次のどれか

    TLS

  • 37

    シャドウ パスワードを使用するように設定された ETC/Passwordファイルをシステム上で調べている。インタラクティブ ログイン許可を持つユーザーがいないか ファイル内の行を調べてる時 、パスワード フィールドには何が表示されているか

  • 38

    TOCTOU 攻撃が標的とする脆弱性は次のどれか

    レースコンディション

  • 39

    セキュリティインシデントの可能性を評価してる間に、 ユーザーが フォームフィールドに以下の入力を行ったことを示す Web サーバーのログエントリーを見つけた。施行された攻撃の種類はどれか CARROT' &1=1:””

    SQLインジェクション

  • 40

    SQL インジェクション 攻撃に対して有効ではない コントローラーは次のうちどれか

    クライアント側での入力の妥当性確認

  • 41

    ソフトウェアが変更されるたびに 評価者が非常に多くのシナリオを繰り返しテストし、結果が 標準的 ベースラインと一致してることを検証するソフトウェアの手法はどれか

    回帰テスト

  • 42

    クロスファイトスクリプティング(XSS)攻撃に対して アプリケーションが最も無防備になる可能性のある条件は 次のどれか

    反射された入力

  • 43

    ヒューリスティックベースのマルウェア対策ソフトウェアに関する記述で正しいものは次のどれか

    シグネチャ 検知よりゼロディ エクスプロイトを検知できる可能性が高い

  • 44

    ユーザーが異常なアクティビティを警告した。システム調査しているこのシステムではアイドル状態でにも関わらず 、ディスク アクティビティが検知されたり、 CPUとネットワークの異常が観測されたりしている。マルウェアを疑ったが スキャンでは不審な点は見つからない。 ここで使用されてる可能性があり、 スキャン結果で感染なしとなった理由の説明がつくマルウェア技術はどれか

    ステルス型ウイルス

  • 45

    攻撃者は、悪意のあるスクリプトが埋め込まれたメッセージを公開 ディスカッションフォーラムに投稿した。 このスクリプトは、ユーザーには表示されないが、読み込まれた時にユーザーのシステム上に実行される。この攻撃の処理が 次のどれか

    持続型XSS

  • 46

    エキスパートシステムを構成する2つの要素は 次のどれか

    ナレッジベースと推論エンジン

  • 47

    キーバリュー ストアを使用してデータ確認することができる。DynamoDB は どんなデータですか

    NoSQL

  • 48

    トランザクションで1番目と2番目のアップデート 分の間にデータベースの障害が発生した場合どうなるか

    両方のコマンド結果を無視し、トランザクション ロールバックする

  • 49

    ソフトウェアテストに関する記述で正しいものはどれか

    静的テストでは コード分析を行う

  • 50

    機密情報の取り扱いのため自社で使用しているアプリケーションのベネトレーションテストを行った。テスト中 攻撃者がタイミング 条件を悪用してソフトウェアを操り、 不正なアクションを実行することできる条件 発見した。 一致する攻撃の種類はどれか

    TOCTOU

  • 51

    次の3つの主なステップで構成されたアプリケーション セキュリティ プロセスは 次のどれか 1.アプリケーションの分解 2.脅威と特定のランク付け 3.対策と低減方法の決定

    脅威モデリング

  • 52

    セキュリティの観点から見て、最も 保守的な障害管理 手法 を次のどれか

    フェイルクローズ

  • 53

    RDBMSでデータベース テーブルの各行を一意に識別されるために使用されるデータベースキーはどれか

    主キー

  • 54

    一部の推論攻撃に対して有効な対策となる手法は 次のどれか

    ポリインスタンス化

  • 55

    IDEALモデルのフェーズのうち、組織が変更を実装するための具体的な行動計画を策定する フェーズが 次のどれか

    確立

  • 56

    複雑な計算を用いて 人間の心の機能の部分的な再現を試みる 人工知能の種類は 次のどれか

    ニューラルネットワーク

  • 57

    組織が基本的なライフサイクル管理プロセスを導入するには SW-CMM のどのレベルか

    反復可能段階

  • 58

    自社の会計システムを運用しているある 。主力社員が解雇された翌朝 、不可解な状況でシステムから情報が消失した 。解雇された社員が会社を取る前にシステム 回覧したのではないかと考えている 疑うべき 攻撃はどれか

    論理爆弾

  • 59

    API アクセスを、認可された個人やアプリケーション限定するために、 API 開発者が通常使用する技術は 次のどれか

    APIキー

  • 60

    データベースのトランザクションが All or Nothing 動作であることを保証するデータベース Acid モデルの要素は 次のどれか

    原子性

  • 61

    以下の問題の原因となる根本的なセキュリティ問題の次のどれか ・クロスサイトスクリティング ・SQL インジェクション ・バッファーオーバーフロー ・ クロスサイトリクエストフォージェリー

    入力の妥当性確認が不適切であるか、行われていない

  • 62

    いかに示す サイクル持ちでアプリケーション開発方法は 次のどれかいかに示す サイクル持ちでアプリケーション開発方法は 次のどれか

    RAD

  • 63

    組織のデータ用として公開されたRESTfulAPI を提供しているが、 その使用で信頼できるパートナーに限定したいと考えている。彼女は API キーを使用する予定であるこのほか サービスが乱用される可能性を制限するための手法として提案できるのはどれか

    リクエスト率を制限する

  • 64

    構築したWebアプリケーションには、ログインしているユーザが自分の役割では実行できないはずの操作を実行できてしまう欠陥がある。どの脆弱性として分類されるべきか

    認可

  • 65

    攻撃者が、低レベルに分類された複数の情報を分析し、より高レベルの機密情報を推測できる場合に生じるセキュリティ問題の種類はどれか

    推論

  • 66

    ベンダーとの話し合いで、ベンダーが問題を修正する意思はあるが、自社のソフトウェアの更新方法がわからないことに気づいた。この種の攻撃に対する脆弱性を軽減するのに有効ば手法はどれか?

    入力の妥当性確認

  • 67

    SQLインジェクション攻撃に対して有効でないコントロールはどれか?

    クライアント側での入力の妥当性確認

  • 68

    標準的なエンドユーザに近い環境でテストしているが、テスト中にソースコードを参照している。どのテストの種類か?

    グレーボックス

  • 69

    標的としたシステムの脆弱性を最も的確に特定するために攻撃者が使用するツールはどれか?

    Nessus

  • 70

    システムブートプロセスを変更し、OSが読み込まれる前にBIOSをリダイレクトしてマルウェアを読み込ませるものは

    MBR

  • 71

    ソフトウェアに意図的に設計された脆弱性や、ライフサイクルのいずれかの時点で誤って混入した脆弱性がないこと、またはソフトウェアが意図された通りに動作することの確かさの基準を表す用語はどれか?

    保証

  • 72

    通常、一番最後に実施されるソフトウェアのテストはどれか

    ユーザー受入テスト