暗記メーカー

暗記メーカー

ログイン
CISS本番2
100問 • 1年前
  • エッグスンシングス
    • 通報

    問題一覧

  • 1

    ログレビュー、合成トランザクション、コードレビューの一般的な用語は次のどれですか?

    セキュリティ管理テスト

  • 2

    金融アプリケーション用のデータベース サーバーを本番環境に導入する予定です。改ざんを最も効果的に防止できる制御は次のどれですか。

    データの検証

  • 3

    産業用制御システム (ICS) のコンピュータ緊急対応チーム (CERT) は、Windows ベースのビジネス ネットワークを通じて特に拡散している ICS を標的としたマルウェアに関する警告を発表しました。地元の水道事業者の技術者は、社内の監視制御およびデータ収集 (SCADA) システムによって制御されているダム、運河、水門が故障していることに気付きました。インシデント対応 (IR) と復旧について、デジタル フォレンジックの専門家に相談しました。 この調査で最も困難な点は、次のうちどれですか?

    システムへの物理的アクセス

  • 4

    構成管理データベース (CMDB) に保存されるハードウェアおよびソフトウェア資産を説明するために一般的に使用される用語は何ですか?

    構成項目

  • 5

    Voice over Internet Protocol (VoIP) サービス のみを提供する組織がインターネット サービス プロバイダー (ISP) のサービス レベル契約 (SLA) を交渉する場合、最も重要なことは何ですか。

    アプリケーション間のサービス品質 (QoS)

  • 6

    ある会社が、新しい給与計算システムの侵入テストを実行するために外部ベンダーを雇いました。会社の社内テスト チームは、すでにシステムの詳細なアプリケーション テストとセキュリティ テストを実行し、セキュリティ要件を満たしていることを確認していました。しかし、外部ベンダーは、機密性の高い個人データが暗号化されずに税務処理システムに送信されているという重大なセキュリティ上の弱点を発見しました。セキュリティ問題の原因として最も可能性が高いのは何でしょうか。

    インターフェーステストの実施の失敗

  • 7

    組織は物理的な境界を定義したいと考えています。組織の境界が偶発的な侵入者をコスト効率よく阻止する必要がある場合、この目的を達成するためにどの主要なデバイスを使用すればよいでしょうか

    高さ6~7フィートのフェンスと塗装された門

  • 8

    次の脆弱性のうち、自動分析を使用して最もよく検出できるのはどれですか?

    典型的なソースコードの脆弱性

  • 9

    大手ソフトウェア会社のプロジェクト マネージャーが、大量の管理非機密情報 (CUI) を生成する政府契約を獲得しました。組織の情報セキュリティ マネージャーは、プロジェクト関連の CUI をセキュリティ分類の異なるシステム間で転送するようにという要求を受けました。この転送に関する正式なガイダンスを提供する役割は何ですか?

    情報所有者

  • 10

    インフラストラクチャ層の状態に基づいてトラフィックの流れを決定するのは次のどれですか?

    コントロールプレーン

  • 11

    パスワードの強度をテストする場合、パスワードの総当たり攻撃に最適な方法はどれですか?

    ハッシュ化されたパスワード情報に対してオフライン攻撃を実行します

  • 12

    変更によって影響を受ける個人またはグループの名前は次のどれですか?

    ステークホルダー

  • 13

    欧州連合 (EU) の一般データ保護規則 (GDPR) では、組織がリスクに適したセキュリティ レベルを確保するために適切な技術的および組織的対策を実施することが義務付けられています。したがって、データ所有者は次の要件のどれを考慮する必要がありますか?

    個人データのマスキングと暗号化

  • 14

    インシデント報告とコンピュータ犯罪調査の主な利点は何ですか?

    被害の修復と将来の再発防止

  • 15

    次のどれがメモリ保護の最も一般的な方法でしょうか?

    セグメンテーション

  • 16

    どのようなテスト手法によって、設計者は潜在的な脆弱性を軽減する戦略を開発できるのでしょうか?

    脅威モデリング

  • 17

    個人がインターネット接続をプライベートに保つためのすべての手順を踏んでいると仮定すると、プライベートに Web を閲覧するには次のどれが最適ですか?

    閲覧アクティビティに関する情報がクラウドに保存されないようにします。

  • 18

    ソフトウェア エンジニアは、自動化ツールを使用してアプリケーション コードをレビューし、アプリケーションの欠陥、バック ドア、その他の悪意のあるコードを検索します。これが実行される最初のソフトウェア開発ライフサイクル (SDLC) フェーズは次のどれですか。

    開発

  • 19

    ある会社が、顧客に SaaS (Software as a Service) ソリューションとして販売される Web アプリケーションを開発しました。このアプリケーションは、仮想マシン (VM) 上の特定のオペレーティング システム (OS) で実行される Web サーバーによってホストされます。サービスの移行フェーズ中に、サポート チームがアプリケーション ログにアクセスする必要があることが判明しました。次の権限のうち、最も適切なものはどれでしょうか。

    アプリケーションフォルダの管理者権限

  • 20

    ある会社が、顧客に SaaS (Software as a Service) ソリューションとして販売される Web アプリケーションを開発しました。このアプリケーションは、仮想マシン (VM) 上の特定のオペレーティング システム (OS) で実行される Web サーバーによってホストされます。サービスの移行フェーズ中に、サポート チームがアプリケーション ログにアクセスする必要があることが判明しました。次の権限のうち、最も適切なものはどれでしょうか。

    アプリケーションフォルダの管理者権限

  • 21

    セキュリティ担当者が組織のネットワーク上でエンドポイント攻撃を検出しました。将来のエンドポイント攻撃を軽減するための最も合理的なアプローチは何ですか?

    展開前にクライアント イメージを強化します

  • 22

    セキュリティ オペレーション センター (SOC) は、脅威アクターが破壊的なウイルスの複数の亜種を使用して攻撃を計画しているという信頼できる情報を受け取りました。このウイルスの亜種のサンプル セットを入手し、その動作を理解するためにリバース エンジニアリングを行った結果、共通点が見つかりました。すべての亜種は、特定のメモリ位置に書き込むようにコード化されています。すべてのエンドポイントでどの機能を有効にするという先見の明があったため、このウイルスは組織にとって脅威ではないと判断されました

    アドレス空間レイアウトのランダム化 (ASLR)

  • 23

    最高情報セキュリティ責任者 (CISO) は、ソフトウェアおよびハードウェア資産に関するすべての情報を保持するための単一の集中化されたリレーショナル リポジトリを構築する必要があります。次のオプションのうちどれが最善でしょうか。

    構成管理データベース (CMDB)

  • 24

    2 つの組織間で悪意のある行為が疑われる場合、どのような種類の調査が適用されますか?

    民事

  • 25

    次の技術のうち、ネットワークまたはソフトウェア アーキテクチャの安全な設計原則を評価するものはどれですか?

    脅威モデリング

  • 26

    ソフトウェア サプライ チェーン管理のどの要素が組織にとって最大のセキュリティ リスクをもたらしますか?

    サポートされていないライブラリが頻繁に使用されます。

  • 27

    災害現場でアイテムを撤去、修理、または交換する前に、次のどれを実行する必要がありますか?

    被害の写真を撮る

  • 28

    新しい Voice over Internet Protocol (VoIP) ネットワークを設計する場合、組織の最大の関心事は、権限のないユーザーが VoIP ネットワークにアクセスするのを防ぐことです。 次のどれが VoIP ネットワークのセキュリティ保護に最も役立ちますか?

    802.1x

  • 29

    アプリケーションのユーザーの資格情報は、リレーショナル データベースに保存されます。資格情報の保存中にその機密性を保護するコントロールはどれですか。

    パスワードのソルト付き暗号ハッシュを使用します。

  • 30

    次のフレームワークのうち、国家脆弱性データベース (NVD) をサポートするための脆弱性メトリックと特性を提供するものはどれですか?

    共通脆弱性評価システム (CVSS)

  • 31

    セキュリティ アーキテクトは、リカバリ ポイント目標 (RPO) が 15 分のアプリケーションの計画を見直しています。現在の設計では、すべてのアプリケーション インフラストラクチャが 1 つのコロケーション データ センター内に配置されています。アーキテクトが現在評価しているセキュリティ原則はどれですか。

    災害復旧(DR)

  • 32

    リスク管理、法的証拠開示、コンプライアンスのために情報を分類し、資産をサポートする際に考慮する必要がある要素は何ですか

    データ管理の役割、データの取り扱いと保管の標準、データのライフサイクルの要件

  • 33

    小規模組織の最高情報セキュリティ責任者 (CISO) が、セキュリティ オペレーション センター (SOC) の構築を検討しています。社内、完全アウトソーシング、またはハイブリッド機能の間で議論する場合、モデルに関係なく、次のどれが主な考慮事項になりますか?

    範囲とサービスカタログ

  • 34

    組織では、すべての新規ユーザーに作成時に定義済みの部門アクセス テンプレートが適用されるようにしたいと考えています。また、プロジェクトごとにユーザーに追加のアクセス権限を付与したいと考えています。組織のニーズを満たすには、どのようなタイプのユーザー アクセス管理が最適ですか?

    ハイブリッド

  • 35

    新製品の安全な設計原則は次のどれですか?

    適切なレベルのフォールトトレランスを組み込みます。

  • 36

    セキュリティ コンテンツ自動化プロトコル (SCAP) を利用する主な利点は何ですか?

    脆弱性評価機能を向上させる

  • 37

    アプリケーション開発者がソフトウェア定義ネットワーク (SDN) のノースバウンド アプリケーション プログラミング インターフェイス (API) から得るべき 3 つの主な利点は何ですか?

    使い慣れた構文、ネットワークトポロジの抽象化、ネットワークプロトコルの抽象化

  • 38

    属性ベースのアクセス制御 (ABAC) の独自の機能はどれですか?

    ユーザーには、特定の時間にシステムへのアクセスが許可されます

  • 39

    属性ベースのアクセス制御 (ABAC) の独自の機能はどれですか?

    ユーザーには、特定の時間にシステムへのアクセスが許可されます。

  • 40

    仮想システム上に複数のサーバーを実装するための最適なアプローチは次のどれですか?

    仮想サーバーごとに 1 つの主要機能を実装し、各仮想サーバーに個別のセキュリティ構成を適用します

  • 41

    システムまたはセキュリティ障害の最も一般的な原因は次のどれですか?

    変更管理の欠如

  • 42

    最高情報責任者 (CIO) は、ビジネス近代化の取り組みの一環として、組織をクラウド アーキテクチャに移行することを決定しました。ビジネスに不可欠なすべてのデータは、今後 2 年以内に社内または社外のクラウド サービスに移行されます。CIO には、クラウド移行中および移行後にデータを適切に保護するために、どの役割の担当者と協力する主な義務がありますか

    情報所有者

  • 43

    法的措置の可能性がある調査を実行する場合、アナリストが最初に考慮すべきことは何でしょうか?

    保管の連鎖

  • 44

    ソフトウェア定義ネットワーク (SDN) の構成要素には、次のどれが必要ですか?

    SDN は主に仮想マシン (VM) で構成されています。

  • 45

    災害復旧計画 (DRP) をテストするための最低基準は何ですか?

    環境の安定性とビジネス要件に応じて必要な頻度で

  • 46

    組織がベンダーの情報システム (IS) の機密性、整合性、可用性について理解するための最良の方法を提供するセキュリティ監査標準はどれですか?

    サービス組織コントロール(SOC)2

  • 47

    作成されるキーの数が原因で最も重大なキー管理の問題となるのはどれですか?

    対称鍵を使用した場合の指数関数的増加

  • 48

    使用される属性の観点から、属性ベースアクセス制御 (ABAC) の特性として考慮すべき要素は次のどれですか。

    ロールベースのアクセス制御 (RBAC) とアクセス制御リスト (ACL)

  • 49

    ID およびアクセス管理 (IAM) の責任を負うシステム セキュリティ プロフェッショナル (CISSP) は、最高情報セキュリティ責任者 (CISO) から、ペイメント カード インダストリー (PCI) 監査に合格するために Web アプリケーションの脆弱性評価を実行するように依頼されました。CISSP はこれまでこれを実行したことがありません。(ISC) 職業倫理規定によれば、CISSP は次のどれを実行する必要がありますか?

    CISOに、十分な能力と資格を有するサービスのみを提供する必要があるため、タスクを実行できないことを通知します。

  • 50

    情報セキュリティ専門家が新製品のセキュリティ レビューを実行しているときに、組織の製品開発チームが顧客から政府発行の識別 (ID) 番号を収集して一意の顧客識別子として使用することを提案していることを発見しました。次の推奨事項のうち、製品開発チームに行うべきものはどれですか。

    ユーザーの政府発行の ID 番号に類似しない顧客識別子を使用する必要があります。

  • 51

    情報セキュリティの専門家は、新しいファイアウォールを実装しているところです。次の障害方法のうち、障害発生時にセキュリティを最も優先させる方法はどれでしょうか?

    フェイルクローズ

  • 52

    次のサービスのうち、クラウドサービスまたはオンプレミス経由で展開して、ユーザーIDの信頼できるソースとしてIdentity as a Service (IDaaS)と統合できるものはどれですか?

    シングルサインオン(SSO)

  • 53

    セキュア シェル (SSH) に関する次の記述のうち正しいものはどれですか?

    SSH はポート転送をサポートしており、これを使用してセキュリティの低いプロトコルを保護することができます。

  • 54

    電気サージプロテクタが設置されていない場合の補償制御とは何ですか?

    バックアップディーゼル発電機を現場に設置する

  • 55

    次のどれが隠れチャネルタイプですか?

    Storage

  • 56

    実行可能ファイルを分析する際の静的分析の目的は何ですか?

    ファイルを逆アセンブルして、実行可能ファイルの機能に関する情報を収集します

  • 57

    ネットワーク セキュリティ エンジニアは、セキュリティ ソリューションがトラフィックを分析してプロトコル操作やさまざまな一般的な攻撃を検出できるようにする必要があります。さらに、すべての Uniform Resource Locator (URL) トラフィックを検査し、ユーザーが不適切な Web サイトを閲覧できないようにする必要があります。管理者がトラフィックを分析し、外部サイトをブラックリストに登録し、後で分析できるようにユーザー トラフィックをログに記録できるようにするには、次のソリューションのうちどれを実装する必要がありますか。

    アプリケーションレベルプロキシ

  • 58

    産業用制御システム (ICS) のセキュリティ上の弱点をテストする際の主な考慮事項は何ですか?

    ICS は予期しないトラフィックに敏感であることが多いです。

  • 59

    セキュリティ チームは、企業のユーザー アクセス レビュー プロセスで自動アカウント調整を使用する予定です。監査の実行時にエラーを最小限に抑えて最良の結果を得るには、次のどれを実装する必要がありますか?

    明確なプロビジョニングポリシー

  • 60

    共通基準において、実装に依存しない一連のセキュリティ要件を表現する正式な文書は次のどれですか?

    保護プロファイル (PP)

  • 61

    次のどれがフルディスク暗号化 (FDE) の脆弱性の例ですか?

    ユーザーがデバイスに認証したときに、保存されているデータが侵害されました。

  • 62

    インターネット制御メッセージ プロトコル (ICMP) ベースの攻撃に対するネットワークの露出を減らすための最初のステップは何ですか?

    ネットワーク アクセス制御リスト (ACL) を実装します

  • 63

    大規模組織の人事およびセキュリティ チームは、手動によるユーザー アクセス レビューを排除し、コンプライアンスを向上させるテクノロジの導入を計画しています。次のオプションのうち、ユーザー アクセスに関連する問題を解決する可能性が最も高いのはどれですか。

    ID およびアクセス管理 (IAM) プラットフォームを実装します

  • 64

    クラウド サービスは、セキュリティ ドメイン間で認証および承認データを交換するために、ユーザーからの Security Assertion Markup Language (SAML) アサーションを受け入れます。しかし、攻撃者はネットワーク上の登録済みアカウントを偽装し、SAML プロバイダーにクエリを実行できました。この欠陥を悪用する最も一般的な攻撃は何ですか?

    攻撃者は別のユーザーとして認証するためのリクエストを偽造します。

  • 65

    インライン JavaScript の実行と eval() タイプの関数の実行を無効にするために使用できるハイパーテキスト転送プロトコル (HTTP) 応答ヘッダーは何ですか?

    コンテンツセキュリティポリシー

  • 66

    セキュリティ専門家が、会社のワイヤレス インフラストラクチャの再構築を任されました。展開するワイヤレス スペクトルを決定する際に考慮すべき最も重要な要素は次のどれですか。

    パフォーマンス、地理的位置、無線信号の干渉

  • 67

    ソフトウェア開発会社では、ソフトウェア製品を納品するまでの期限が短いです。ソフトウェア開発チームは、開発時間を短縮するためにオープンソース ソフトウェア ライブラリを使用することを決定しました。ソフトウェア開発者は、オープンソース ソフトウェア ライブラリを使用する際にどのような概念を考慮すべきでしょうか?

    オープンソース ライブラリには既知の脆弱性が含まれており、攻撃者はこれらの脆弱性を定期的に悪用しています

  • 68

    機密性、整合性、可用性の 3 つの要素を最もよく表すものは何ですか?

    組織のデータを保護するためのセキュリティシステムの実装

  • 69

    デバイスに対する Simple Power Analysis (SPA) 攻撃は、次のどれを直接観察しますか

    消費

  • 70

    セキュリティ情報およびイベント管理 (SIEM) システムの管理者が必ず確保しなければならないのは次のうちどれですか?

    すべてのソースは共通の時間基準で同期されます。

  • 71

    ある組織は、インターネットを介してパートナーとデータを安全に共有したいと考えています。この要件を満たすために通常使用される標準ポートはどれですか。

    伝送制御プロトコル (TCP) ポート 22 にサーバーをセットアップする

  • 72

    システム セキュリティ エンジニアリングにおいて、モジュール性のセキュリティ原則は何を提供しますか?

    分離された機能とデータ

  • 73

    ルーターのアクセス制御リスト (ACL) は、どのタイプのファイアウォールに最も類似した機能ですか?

    パケットフィルタリングファイアウォール

  • 74

    セキュリティ インシデントの結果に対処する際に、次のセキュリティ制御のうちどれが最も適切ですか?

    是正および回復管理

  • 75

    サードパーティのフェデレーション ID サービスを使用している組織の場合、次のどれが当てはまりますか?

    組織は他の組織との信頼関係を確立する

  • 76

    組織内のソフトウェアとハ​​ードウェアの在庫を管理するための最良の方法はどれですか?

    システム構成、ネットワーク管理、ライセンス管理ツールを組み合わせて在庫を管理する

  • 77

    セキュリティ運用の観点から、次のアウトソーシング契約条項のうち最も優先度が高いのはどれですか?

    インシデント発生時の問題解決のためのエスカレーションプロセス

  • 78

    次のどれが最も包括的なビジネス継続性 (BC) テストですか?

    完全な中断

  • 79

    セキュリティ担当者は、エンドポイントのセキュリティ保護とオペレーティング システム (OS) のバージョンを確認するソリューションを実装する必要があります。実装するのに最適なソリューション は次のうちどれですか?

    ネットワーク アクセス制御 (NAC)

  • 80

    組織の情報セキュリティ管理システム (ISMS) の内部監査中に、不適合が特定されます。組織は、次のどの管理段階で不適合をレビュー、評価、および/または修正しますか?

    改善

  • 81

    外部向けの Web ベース システムを開発する場合、実装と運用前のセキュリティ評価の主な焦点は次のどれですか。

    入力検証を確実に実施する

  • 82

    ある金融サービス組織は、さまざまなチームの従業員が使用するプロセスを確認するためにセキュリティ コンサルタントを採用しました。コンサルタントは、アプリケーション開発部門のメンバーにインタビューし、脅威モデルに欠陥があることを発見しました。脅威モデルを修正する必要があるきっかけとして正しいのは次のうちどれですか。

    新しいデータリポジトリが追加された場合

  • 83

    ある組織は最近、VoIP (Voice over Internet Protocol) 電話システムにアップグレードしました。経営陣は、電話の不正使用を懸念しています。セキュリティ コンサルタントは、これらの電話を保護するための計画をまとめる責任があります。管理者は、組織内の各人に固有の個人識別番号 (PIN) コードを割り当てました。最善の解決策は何でしょうか?

    管理者に PIN を定期的に変更するポリシーを適用してもらいます。使用状況を追跡するために、通話詳細記録 (CDR) レポートを実装します。

  • 84

    認証ヘッダー (AH) を備えた仮想プライベート ネットワーク (VPN) を使用する場合、次の保護のうちどれが提供されますか?

    送信者の否認防止

  • 85

    ある組織がコンサルタントと契約し、社内のセキュリティ管理に関するシステム組織統制 (SOC) 2 監査を実施します。監査人は、システムの範囲または目的と一致しないアクションを実行するアプリケーション プログラミング インターフェイス (API) に関する発見事項を文書化します。この状況に最も当てはまる信頼サービス原則はどれでしょうか。

    処理の整合性

  • 86

    新しいソフトウェアを取得する際にセキュリティを考慮する必要があるプロセスはどれですか?

    提案依頼書(RFP)

  • 87

    ネットワークベースのファイアウォールとホストベースのファイアウォールの主な違いは次のどれですか?

    ネットワークベースのファイアウォールはデバイスを通過するトラフィックを制御し、ホストベースのファイアウォールはデバイス宛てのトラフィックを制御します。

  • 88

    高リスク国に旅行する際に、コンピューター、スマートフォン、外部ストレージ デバイス上のデータを保護するための最良の手段となる対策は次のどれですか。

    渡航先の国の適用法を確認し、渡航前にデバイスを科学的にクリーニングし、目的地に到着したら、仮想プライベート ネットワーク (VPN) 経由でのみ機密データをダウンロードします。

  • 89

    ネットワーク管理を第三者にアウトソーシングする場合、重要なデータ資産を保護する最も効果的な方法はどれですか?

    強力なアクセス制御を採用する

  • 90

    データ侵害の処理方法を規定する規制は次のどれですか?

    一般データ保護規則(GDPR)

  • 91

    ソフトウェア開発において、構造化クエリ言語 (SQL) インジェクションを防ぐために、開発者はどのタイプのクエリを使用する必要がありますか?

    Parameterised

  • 92

    どのタイプのアクセス制御に、type=managers および department=sales のユーザーのみが従業員レコードにアクセスできるようにするシステムが含まれていますか?

    属性ベースのアクセス制御 (ABAC)

  • 93

    顧客の個人情報に対する攻撃対象領域を最小限に抑えるのに最適な例は次のどれですか?

    収集の制限

  • 94

    攻撃者がルートキットを使用していると考えられ、迅速な分析が必要な場合、どの証拠収集手法が利用されますか?

    ライブレスポンス

  • 95

    アプリケーションは、組織と第三者間の資金移動に使用されます。セキュリティ監査中に、監査人はこのアプリケーションのビジネス継続性災害復旧ポリシーと手順に問題があることを発見しました。監査人は次のどのレポートを組織に提出する必要がありますか?

    サービス組織コントロール(SOC)2

  • 96

    データと情報資産の取り扱いを決定する際に、使用されている特定のツールセットに関係なく、次のどれがビッグデータの共通コンポーネントの 1 つになりますか?

    分散された保管場所

  • 97

    クラウドへの移行を決定した企業の最高情報セキュリティ責任者 (CISO) には、最適なレベルのセキュリティを確保するという任務が課せられています。次のどれが最初に検討すべきでしょうか。

    企業のアプリケーションとデータ リポジトリを分析して、関連する制御要件を決定します

  • 98

    ボーダー ゲートウェイ プロトコル (BGP) の目的を最もよく説明しているのは次のどれですか。

    自律システム間の効率的なネットワークパスのリストを維持します

  • 99

    物理的な境界保護を確保するための最適な設計は何ですか?

    障壁、フェンス、門、壁

  • 100

    セキュリティ組織は、攻撃者がネットワークに侵入したことを高い確信度で判断できるソリューションを探しています。

    ハニーポットの導入

    • 問題一覧

  • 1

    ログレビュー、合成トランザクション、コードレビューの一般的な用語は次のどれですか?

    セキュリティ管理テスト

  • 2

    金融アプリケーション用のデータベース サーバーを本番環境に導入する予定です。改ざんを最も効果的に防止できる制御は次のどれですか。

    データの検証

  • 3

    産業用制御システム (ICS) のコンピュータ緊急対応チーム (CERT) は、Windows ベースのビジネス ネットワークを通じて特に拡散している ICS を標的としたマルウェアに関する警告を発表しました。地元の水道事業者の技術者は、社内の監視制御およびデータ収集 (SCADA) システムによって制御されているダム、運河、水門が故障していることに気付きました。インシデント対応 (IR) と復旧について、デジタル フォレンジックの専門家に相談しました。 この調査で最も困難な点は、次のうちどれですか?

    システムへの物理的アクセス

  • 4

    構成管理データベース (CMDB) に保存されるハードウェアおよびソフトウェア資産を説明するために一般的に使用される用語は何ですか?

    構成項目

  • 5

    Voice over Internet Protocol (VoIP) サービス のみを提供する組織がインターネット サービス プロバイダー (ISP) のサービス レベル契約 (SLA) を交渉する場合、最も重要なことは何ですか。

    アプリケーション間のサービス品質 (QoS)

  • 6

    ある会社が、新しい給与計算システムの侵入テストを実行するために外部ベンダーを雇いました。会社の社内テスト チームは、すでにシステムの詳細なアプリケーション テストとセキュリティ テストを実行し、セキュリティ要件を満たしていることを確認していました。しかし、外部ベンダーは、機密性の高い個人データが暗号化されずに税務処理システムに送信されているという重大なセキュリティ上の弱点を発見しました。セキュリティ問題の原因として最も可能性が高いのは何でしょうか。

    インターフェーステストの実施の失敗

  • 7

    組織は物理的な境界を定義したいと考えています。組織の境界が偶発的な侵入者をコスト効率よく阻止する必要がある場合、この目的を達成するためにどの主要なデバイスを使用すればよいでしょうか

    高さ6~7フィートのフェンスと塗装された門

  • 8

    次の脆弱性のうち、自動分析を使用して最もよく検出できるのはどれですか?

    典型的なソースコードの脆弱性

  • 9

    大手ソフトウェア会社のプロジェクト マネージャーが、大量の管理非機密情報 (CUI) を生成する政府契約を獲得しました。組織の情報セキュリティ マネージャーは、プロジェクト関連の CUI をセキュリティ分類の異なるシステム間で転送するようにという要求を受けました。この転送に関する正式なガイダンスを提供する役割は何ですか?

    情報所有者

  • 10

    インフラストラクチャ層の状態に基づいてトラフィックの流れを決定するのは次のどれですか?

    コントロールプレーン

  • 11

    パスワードの強度をテストする場合、パスワードの総当たり攻撃に最適な方法はどれですか?

    ハッシュ化されたパスワード情報に対してオフライン攻撃を実行します

  • 12

    変更によって影響を受ける個人またはグループの名前は次のどれですか?

    ステークホルダー

  • 13

    欧州連合 (EU) の一般データ保護規則 (GDPR) では、組織がリスクに適したセキュリティ レベルを確保するために適切な技術的および組織的対策を実施することが義務付けられています。したがって、データ所有者は次の要件のどれを考慮する必要がありますか?

    個人データのマスキングと暗号化

  • 14

    インシデント報告とコンピュータ犯罪調査の主な利点は何ですか?

    被害の修復と将来の再発防止

  • 15

    次のどれがメモリ保護の最も一般的な方法でしょうか?

    セグメンテーション

  • 16

    どのようなテスト手法によって、設計者は潜在的な脆弱性を軽減する戦略を開発できるのでしょうか?

    脅威モデリング

  • 17

    個人がインターネット接続をプライベートに保つためのすべての手順を踏んでいると仮定すると、プライベートに Web を閲覧するには次のどれが最適ですか?

    閲覧アクティビティに関する情報がクラウドに保存されないようにします。

  • 18

    ソフトウェア エンジニアは、自動化ツールを使用してアプリケーション コードをレビューし、アプリケーションの欠陥、バック ドア、その他の悪意のあるコードを検索します。これが実行される最初のソフトウェア開発ライフサイクル (SDLC) フェーズは次のどれですか。

    開発

  • 19

    ある会社が、顧客に SaaS (Software as a Service) ソリューションとして販売される Web アプリケーションを開発しました。このアプリケーションは、仮想マシン (VM) 上の特定のオペレーティング システム (OS) で実行される Web サーバーによってホストされます。サービスの移行フェーズ中に、サポート チームがアプリケーション ログにアクセスする必要があることが判明しました。次の権限のうち、最も適切なものはどれでしょうか。

    アプリケーションフォルダの管理者権限

  • 20

    ある会社が、顧客に SaaS (Software as a Service) ソリューションとして販売される Web アプリケーションを開発しました。このアプリケーションは、仮想マシン (VM) 上の特定のオペレーティング システム (OS) で実行される Web サーバーによってホストされます。サービスの移行フェーズ中に、サポート チームがアプリケーション ログにアクセスする必要があることが判明しました。次の権限のうち、最も適切なものはどれでしょうか。

    アプリケーションフォルダの管理者権限

  • 21

    セキュリティ担当者が組織のネットワーク上でエンドポイント攻撃を検出しました。将来のエンドポイント攻撃を軽減するための最も合理的なアプローチは何ですか?

    展開前にクライアント イメージを強化します

  • 22

    セキュリティ オペレーション センター (SOC) は、脅威アクターが破壊的なウイルスの複数の亜種を使用して攻撃を計画しているという信頼できる情報を受け取りました。このウイルスの亜種のサンプル セットを入手し、その動作を理解するためにリバース エンジニアリングを行った結果、共通点が見つかりました。すべての亜種は、特定のメモリ位置に書き込むようにコード化されています。すべてのエンドポイントでどの機能を有効にするという先見の明があったため、このウイルスは組織にとって脅威ではないと判断されました

    アドレス空間レイアウトのランダム化 (ASLR)

  • 23

    最高情報セキュリティ責任者 (CISO) は、ソフトウェアおよびハードウェア資産に関するすべての情報を保持するための単一の集中化されたリレーショナル リポジトリを構築する必要があります。次のオプションのうちどれが最善でしょうか。

    構成管理データベース (CMDB)

  • 24

    2 つの組織間で悪意のある行為が疑われる場合、どのような種類の調査が適用されますか?

    民事

  • 25

    次の技術のうち、ネットワークまたはソフトウェア アーキテクチャの安全な設計原則を評価するものはどれですか?

    脅威モデリング

  • 26

    ソフトウェア サプライ チェーン管理のどの要素が組織にとって最大のセキュリティ リスクをもたらしますか?

    サポートされていないライブラリが頻繁に使用されます。

  • 27

    災害現場でアイテムを撤去、修理、または交換する前に、次のどれを実行する必要がありますか?

    被害の写真を撮る

  • 28

    新しい Voice over Internet Protocol (VoIP) ネットワークを設計する場合、組織の最大の関心事は、権限のないユーザーが VoIP ネットワークにアクセスするのを防ぐことです。 次のどれが VoIP ネットワークのセキュリティ保護に最も役立ちますか?

    802.1x

  • 29

    アプリケーションのユーザーの資格情報は、リレーショナル データベースに保存されます。資格情報の保存中にその機密性を保護するコントロールはどれですか。

    パスワードのソルト付き暗号ハッシュを使用します。

  • 30

    次のフレームワークのうち、国家脆弱性データベース (NVD) をサポートするための脆弱性メトリックと特性を提供するものはどれですか?

    共通脆弱性評価システム (CVSS)

  • 31

    セキュリティ アーキテクトは、リカバリ ポイント目標 (RPO) が 15 分のアプリケーションの計画を見直しています。現在の設計では、すべてのアプリケーション インフラストラクチャが 1 つのコロケーション データ センター内に配置されています。アーキテクトが現在評価しているセキュリティ原則はどれですか。

    災害復旧(DR)

  • 32

    リスク管理、法的証拠開示、コンプライアンスのために情報を分類し、資産をサポートする際に考慮する必要がある要素は何ですか

    データ管理の役割、データの取り扱いと保管の標準、データのライフサイクルの要件

  • 33

    小規模組織の最高情報セキュリティ責任者 (CISO) が、セキュリティ オペレーション センター (SOC) の構築を検討しています。社内、完全アウトソーシング、またはハイブリッド機能の間で議論する場合、モデルに関係なく、次のどれが主な考慮事項になりますか?

    範囲とサービスカタログ

  • 34

    組織では、すべての新規ユーザーに作成時に定義済みの部門アクセス テンプレートが適用されるようにしたいと考えています。また、プロジェクトごとにユーザーに追加のアクセス権限を付与したいと考えています。組織のニーズを満たすには、どのようなタイプのユーザー アクセス管理が最適ですか?

    ハイブリッド

  • 35

    新製品の安全な設計原則は次のどれですか?

    適切なレベルのフォールトトレランスを組み込みます。

  • 36

    セキュリティ コンテンツ自動化プロトコル (SCAP) を利用する主な利点は何ですか?

    脆弱性評価機能を向上させる

  • 37

    アプリケーション開発者がソフトウェア定義ネットワーク (SDN) のノースバウンド アプリケーション プログラミング インターフェイス (API) から得るべき 3 つの主な利点は何ですか?

    使い慣れた構文、ネットワークトポロジの抽象化、ネットワークプロトコルの抽象化

  • 38

    属性ベースのアクセス制御 (ABAC) の独自の機能はどれですか?

    ユーザーには、特定の時間にシステムへのアクセスが許可されます

  • 39

    属性ベースのアクセス制御 (ABAC) の独自の機能はどれですか?

    ユーザーには、特定の時間にシステムへのアクセスが許可されます。

  • 40

    仮想システム上に複数のサーバーを実装するための最適なアプローチは次のどれですか?

    仮想サーバーごとに 1 つの主要機能を実装し、各仮想サーバーに個別のセキュリティ構成を適用します

  • 41

    システムまたはセキュリティ障害の最も一般的な原因は次のどれですか?

    変更管理の欠如

  • 42

    最高情報責任者 (CIO) は、ビジネス近代化の取り組みの一環として、組織をクラウド アーキテクチャに移行することを決定しました。ビジネスに不可欠なすべてのデータは、今後 2 年以内に社内または社外のクラウド サービスに移行されます。CIO には、クラウド移行中および移行後にデータを適切に保護するために、どの役割の担当者と協力する主な義務がありますか

    情報所有者

  • 43

    法的措置の可能性がある調査を実行する場合、アナリストが最初に考慮すべきことは何でしょうか?

    保管の連鎖

  • 44

    ソフトウェア定義ネットワーク (SDN) の構成要素には、次のどれが必要ですか?

    SDN は主に仮想マシン (VM) で構成されています。

  • 45

    災害復旧計画 (DRP) をテストするための最低基準は何ですか?

    環境の安定性とビジネス要件に応じて必要な頻度で

  • 46

    組織がベンダーの情報システム (IS) の機密性、整合性、可用性について理解するための最良の方法を提供するセキュリティ監査標準はどれですか?

    サービス組織コントロール(SOC)2

  • 47

    作成されるキーの数が原因で最も重大なキー管理の問題となるのはどれですか?

    対称鍵を使用した場合の指数関数的増加

  • 48

    使用される属性の観点から、属性ベースアクセス制御 (ABAC) の特性として考慮すべき要素は次のどれですか。

    ロールベースのアクセス制御 (RBAC) とアクセス制御リスト (ACL)

  • 49

    ID およびアクセス管理 (IAM) の責任を負うシステム セキュリティ プロフェッショナル (CISSP) は、最高情報セキュリティ責任者 (CISO) から、ペイメント カード インダストリー (PCI) 監査に合格するために Web アプリケーションの脆弱性評価を実行するように依頼されました。CISSP はこれまでこれを実行したことがありません。(ISC) 職業倫理規定によれば、CISSP は次のどれを実行する必要がありますか?

    CISOに、十分な能力と資格を有するサービスのみを提供する必要があるため、タスクを実行できないことを通知します。

  • 50

    情報セキュリティ専門家が新製品のセキュリティ レビューを実行しているときに、組織の製品開発チームが顧客から政府発行の識別 (ID) 番号を収集して一意の顧客識別子として使用することを提案していることを発見しました。次の推奨事項のうち、製品開発チームに行うべきものはどれですか。

    ユーザーの政府発行の ID 番号に類似しない顧客識別子を使用する必要があります。

  • 51

    情報セキュリティの専門家は、新しいファイアウォールを実装しているところです。次の障害方法のうち、障害発生時にセキュリティを最も優先させる方法はどれでしょうか?

    フェイルクローズ

  • 52

    次のサービスのうち、クラウドサービスまたはオンプレミス経由で展開して、ユーザーIDの信頼できるソースとしてIdentity as a Service (IDaaS)と統合できるものはどれですか?

    シングルサインオン(SSO)

  • 53

    セキュア シェル (SSH) に関する次の記述のうち正しいものはどれですか?

    SSH はポート転送をサポートしており、これを使用してセキュリティの低いプロトコルを保護することができます。

  • 54

    電気サージプロテクタが設置されていない場合の補償制御とは何ですか?

    バックアップディーゼル発電機を現場に設置する

  • 55

    次のどれが隠れチャネルタイプですか?

    Storage

  • 56

    実行可能ファイルを分析する際の静的分析の目的は何ですか?

    ファイルを逆アセンブルして、実行可能ファイルの機能に関する情報を収集します

  • 57

    ネットワーク セキュリティ エンジニアは、セキュリティ ソリューションがトラフィックを分析してプロトコル操作やさまざまな一般的な攻撃を検出できるようにする必要があります。さらに、すべての Uniform Resource Locator (URL) トラフィックを検査し、ユーザーが不適切な Web サイトを閲覧できないようにする必要があります。管理者がトラフィックを分析し、外部サイトをブラックリストに登録し、後で分析できるようにユーザー トラフィックをログに記録できるようにするには、次のソリューションのうちどれを実装する必要がありますか。

    アプリケーションレベルプロキシ

  • 58

    産業用制御システム (ICS) のセキュリティ上の弱点をテストする際の主な考慮事項は何ですか?

    ICS は予期しないトラフィックに敏感であることが多いです。

  • 59

    セキュリティ チームは、企業のユーザー アクセス レビュー プロセスで自動アカウント調整を使用する予定です。監査の実行時にエラーを最小限に抑えて最良の結果を得るには、次のどれを実装する必要がありますか?

    明確なプロビジョニングポリシー

  • 60

    共通基準において、実装に依存しない一連のセキュリティ要件を表現する正式な文書は次のどれですか?

    保護プロファイル (PP)

  • 61

    次のどれがフルディスク暗号化 (FDE) の脆弱性の例ですか?

    ユーザーがデバイスに認証したときに、保存されているデータが侵害されました。

  • 62

    インターネット制御メッセージ プロトコル (ICMP) ベースの攻撃に対するネットワークの露出を減らすための最初のステップは何ですか?

    ネットワーク アクセス制御リスト (ACL) を実装します

  • 63

    大規模組織の人事およびセキュリティ チームは、手動によるユーザー アクセス レビューを排除し、コンプライアンスを向上させるテクノロジの導入を計画しています。次のオプションのうち、ユーザー アクセスに関連する問題を解決する可能性が最も高いのはどれですか。

    ID およびアクセス管理 (IAM) プラットフォームを実装します

  • 64

    クラウド サービスは、セキュリティ ドメイン間で認証および承認データを交換するために、ユーザーからの Security Assertion Markup Language (SAML) アサーションを受け入れます。しかし、攻撃者はネットワーク上の登録済みアカウントを偽装し、SAML プロバイダーにクエリを実行できました。この欠陥を悪用する最も一般的な攻撃は何ですか?

    攻撃者は別のユーザーとして認証するためのリクエストを偽造します。

  • 65

    インライン JavaScript の実行と eval() タイプの関数の実行を無効にするために使用できるハイパーテキスト転送プロトコル (HTTP) 応答ヘッダーは何ですか?

    コンテンツセキュリティポリシー

  • 66

    セキュリティ専門家が、会社のワイヤレス インフラストラクチャの再構築を任されました。展開するワイヤレス スペクトルを決定する際に考慮すべき最も重要な要素は次のどれですか。

    パフォーマンス、地理的位置、無線信号の干渉

  • 67

    ソフトウェア開発会社では、ソフトウェア製品を納品するまでの期限が短いです。ソフトウェア開発チームは、開発時間を短縮するためにオープンソース ソフトウェア ライブラリを使用することを決定しました。ソフトウェア開発者は、オープンソース ソフトウェア ライブラリを使用する際にどのような概念を考慮すべきでしょうか?

    オープンソース ライブラリには既知の脆弱性が含まれており、攻撃者はこれらの脆弱性を定期的に悪用しています

  • 68

    機密性、整合性、可用性の 3 つの要素を最もよく表すものは何ですか?

    組織のデータを保護するためのセキュリティシステムの実装

  • 69

    デバイスに対する Simple Power Analysis (SPA) 攻撃は、次のどれを直接観察しますか

    消費

  • 70

    セキュリティ情報およびイベント管理 (SIEM) システムの管理者が必ず確保しなければならないのは次のうちどれですか?

    すべてのソースは共通の時間基準で同期されます。

  • 71

    ある組織は、インターネットを介してパートナーとデータを安全に共有したいと考えています。この要件を満たすために通常使用される標準ポートはどれですか。

    伝送制御プロトコル (TCP) ポート 22 にサーバーをセットアップする

  • 72

    システム セキュリティ エンジニアリングにおいて、モジュール性のセキュリティ原則は何を提供しますか?

    分離された機能とデータ

  • 73

    ルーターのアクセス制御リスト (ACL) は、どのタイプのファイアウォールに最も類似した機能ですか?

    パケットフィルタリングファイアウォール

  • 74

    セキュリティ インシデントの結果に対処する際に、次のセキュリティ制御のうちどれが最も適切ですか?

    是正および回復管理

  • 75

    サードパーティのフェデレーション ID サービスを使用している組織の場合、次のどれが当てはまりますか?

    組織は他の組織との信頼関係を確立する

  • 76

    組織内のソフトウェアとハ​​ードウェアの在庫を管理するための最良の方法はどれですか?

    システム構成、ネットワーク管理、ライセンス管理ツールを組み合わせて在庫を管理する

  • 77

    セキュリティ運用の観点から、次のアウトソーシング契約条項のうち最も優先度が高いのはどれですか?

    インシデント発生時の問題解決のためのエスカレーションプロセス

  • 78

    次のどれが最も包括的なビジネス継続性 (BC) テストですか?

    完全な中断

  • 79

    セキュリティ担当者は、エンドポイントのセキュリティ保護とオペレーティング システム (OS) のバージョンを確認するソリューションを実装する必要があります。実装するのに最適なソリューション は次のうちどれですか?

    ネットワーク アクセス制御 (NAC)

  • 80

    組織の情報セキュリティ管理システム (ISMS) の内部監査中に、不適合が特定されます。組織は、次のどの管理段階で不適合をレビュー、評価、および/または修正しますか?

    改善

  • 81

    外部向けの Web ベース システムを開発する場合、実装と運用前のセキュリティ評価の主な焦点は次のどれですか。

    入力検証を確実に実施する

  • 82

    ある金融サービス組織は、さまざまなチームの従業員が使用するプロセスを確認するためにセキュリティ コンサルタントを採用しました。コンサルタントは、アプリケーション開発部門のメンバーにインタビューし、脅威モデルに欠陥があることを発見しました。脅威モデルを修正する必要があるきっかけとして正しいのは次のうちどれですか。

    新しいデータリポジトリが追加された場合

  • 83

    ある組織は最近、VoIP (Voice over Internet Protocol) 電話システムにアップグレードしました。経営陣は、電話の不正使用を懸念しています。セキュリティ コンサルタントは、これらの電話を保護するための計画をまとめる責任があります。管理者は、組織内の各人に固有の個人識別番号 (PIN) コードを割り当てました。最善の解決策は何でしょうか?

    管理者に PIN を定期的に変更するポリシーを適用してもらいます。使用状況を追跡するために、通話詳細記録 (CDR) レポートを実装します。

  • 84

    認証ヘッダー (AH) を備えた仮想プライベート ネットワーク (VPN) を使用する場合、次の保護のうちどれが提供されますか?

    送信者の否認防止

  • 85

    ある組織がコンサルタントと契約し、社内のセキュリティ管理に関するシステム組織統制 (SOC) 2 監査を実施します。監査人は、システムの範囲または目的と一致しないアクションを実行するアプリケーション プログラミング インターフェイス (API) に関する発見事項を文書化します。この状況に最も当てはまる信頼サービス原則はどれでしょうか。

    処理の整合性

  • 86

    新しいソフトウェアを取得する際にセキュリティを考慮する必要があるプロセスはどれですか?

    提案依頼書(RFP)

  • 87

    ネットワークベースのファイアウォールとホストベースのファイアウォールの主な違いは次のどれですか?

    ネットワークベースのファイアウォールはデバイスを通過するトラフィックを制御し、ホストベースのファイアウォールはデバイス宛てのトラフィックを制御します。

  • 88

    高リスク国に旅行する際に、コンピューター、スマートフォン、外部ストレージ デバイス上のデータを保護するための最良の手段となる対策は次のどれですか。

    渡航先の国の適用法を確認し、渡航前にデバイスを科学的にクリーニングし、目的地に到着したら、仮想プライベート ネットワーク (VPN) 経由でのみ機密データをダウンロードします。

  • 89

    ネットワーク管理を第三者にアウトソーシングする場合、重要なデータ資産を保護する最も効果的な方法はどれですか?

    強力なアクセス制御を採用する

  • 90

    データ侵害の処理方法を規定する規制は次のどれですか?

    一般データ保護規則(GDPR)

  • 91

    ソフトウェア開発において、構造化クエリ言語 (SQL) インジェクションを防ぐために、開発者はどのタイプのクエリを使用する必要がありますか?

    Parameterised

  • 92

    どのタイプのアクセス制御に、type=managers および department=sales のユーザーのみが従業員レコードにアクセスできるようにするシステムが含まれていますか?

    属性ベースのアクセス制御 (ABAC)

  • 93

    顧客の個人情報に対する攻撃対象領域を最小限に抑えるのに最適な例は次のどれですか?

    収集の制限

  • 94

    攻撃者がルートキットを使用していると考えられ、迅速な分析が必要な場合、どの証拠収集手法が利用されますか?

    ライブレスポンス

  • 95

    アプリケーションは、組織と第三者間の資金移動に使用されます。セキュリティ監査中に、監査人はこのアプリケーションのビジネス継続性災害復旧ポリシーと手順に問題があることを発見しました。監査人は次のどのレポートを組織に提出する必要がありますか?

    サービス組織コントロール(SOC)2

  • 96

    データと情報資産の取り扱いを決定する際に、使用されている特定のツールセットに関係なく、次のどれがビッグデータの共通コンポーネントの 1 つになりますか?

    分散された保管場所

  • 97

    クラウドへの移行を決定した企業の最高情報セキュリティ責任者 (CISO) には、最適なレベルのセキュリティを確保するという任務が課せられています。次のどれが最初に検討すべきでしょうか。

    企業のアプリケーションとデータ リポジトリを分析して、関連する制御要件を決定します

  • 98

    ボーダー ゲートウェイ プロトコル (BGP) の目的を最もよく説明しているのは次のどれですか。

    自律システム間の効率的なネットワークパスのリストを維持します

  • 99

    物理的な境界保護を確保するための最適な設計は何ですか?

    障壁、フェンス、門、壁

  • 100

    セキュリティ組織は、攻撃者がネットワークに侵入したことを高い確信度で判断できるソリューションを探しています。

    ハニーポットの導入