暗記メーカー

暗記メーカー

ログイン
CISSP本番
100問 • 1年前
  • エッグスンシングス
    • 通報

    問題一覧

  • 1

    組織のビジネス影響分析 (BIA) で定義される物理資産には、次のどれが含まれますか?

    遠隔地の施設に保管されている備品

  • 2

    アプリケーションの監査機能を評価する場合、次のアクティビティのうちどれが最も重要ですか?

    監査ログに必要な情報が適切に記録されているかを確認する

  • 3

    オペレーティングシステム(OS)のどの部分が、ハードウェア、OS、およびコンピューティングシステムの他の部分間のセキュリティインターフェイスを提供する役割を担っていますか?

    セキュリティカーネル

  • 4

    クラウド環境における最小権限の原則を最もよく説明している記述は次のどれですか?

    インターネットへのアクセスが必要ない場合、ネットワークセグメントはプライベートのままにされます

  • 5

    情報セキュリティ専門家がコンテンツの変更、特に不正な変更を認識するために使用するものは次のどれですか

    ファイル整合性チェッカー

  • 6

    変更管理に含まれるのは次のどれですか?

    実装前のユーザー受け入れテスト(UAT)

  • 7

    企業データの取り扱いと処理に関するベンダー認定を確認する際、ベンダーが取得すべき最適な Service Organization Controls (SOC) 認定は次のどれですか?

    SOC 2 タイプ 2

  • 8

    ある組織では、より優れた追跡のために、資産管理システムにモバイルデバイスを組み込むことを検討しています。モバイルデバイスは、リファレンスアーキテクチャのどのシステム層で追跡されますか?

    1

  • 9

    組織のデータ資産を保護するための最良の方法はどれですか?

    最新の暗号化アルゴリズムを使用して、転送中および保存中のデータを暗号化します

  • 10

    施設内にマントラップを設置する主な目的は次のどれですか?

    ピギーバックを防ぐ

  • 11

    計画-実行-確認-改善モデルの「実行」フェーズでは、次のどれが実行されますか?

    ビジネス継続性ポリシー、コントロール、プロセス、および手順が実装されていることを確認します

  • 12

    データ セキュリティとビジネス オペレーション、またはセキュリティ評価の実施に関連するベースライン リファレンスとして使用できる、業界で認められたドキュメントは何ですか?

    サービス組織コントロール (SOC) 2 タイプ 1

  • 13

    犯罪組織が政府のネットワークへの攻撃を計画しています。次のシナリオのうち、組織にとって最もリスクが高いのはどれですか?

    組織はネットワーク デバイスの制御を失います。

  • 14

    インジェクション攻撃やオーバーフロー攻撃に対する安全なコーディング技術を検証するための最良の方法はどれですか?

    自動化プログラムを使用して最新の既知の脆弱性パターンをテストする

  • 15

    倫理的な対立を解決する場合、情報セキュリティ専門家は多くの要素を考慮する必要があります。どのような順序で考慮事項を優先すべきでしょうか?

    公共の安全、主権者に対する義務、個人に対する義務、職業に対する義務

  • 16

    情報技術 (IT) 組織のコスト削減、リスク緩和、顧客サービスの向上に最も役立つサービス管理プロセスはどれですか?

    情報技術インフラストラクチャライブラリ (ITIL)

  • 17

    ある会社が、ユーザー認証プロセスのセキュリティを強化しようとしています。いくつかのオプションを評価した後、会社は Identity as a Service (IDaaS) を利用することを決定しました。会社がソリューションとして IDaaS を選択する要因は次のどれですか。

    社内チームにはオンプレミス ソリューションをサポートするためのリソースが不足しています。

  • 18

    最近、ある組織が Web アプリケーション攻撃を受け、ユーザー セッション クッキー情報が盗まれました。攻撃者は、ユーザーが侵害された Web サイトにアクセスしたときにブラウザーがスクリプトを実行したときに、情報を取得できました。最も可能性が高い攻撃の種類は何ですか?

    クロスサイトスクリプティング (XSS)

  • 19

    ソーシャル エンジニアリングと悪意のある Uniform Resource Locator (URL) リンクを利用して、被害者の Web アプリケーションとの既存のブラウザー セッションを利用する攻撃は、次のどのタイプの攻撃の例ですか?

    クロスサイトリクエストフォージェリ(CSRF)

  • 20

    次の暗号化技術のうち、ストリーム暗号として機能するものはどれですか?

    暗号フィードバック (CFB)

  • 21

    災害復旧 (DR) テストでは、次のどれが危機管理の特性になりますか?

    プロセス

  • 22

    セキュリティ モデルを実施するためにアクセス制御を定義する際のリファレンス モニターの目的を最もよく説明しているのは次のどれですか

    組織ルールを検証するためのポリシー

  • 23

    セキュリティ制御が安定していないことを示すのは次のどれですか?

    セキュリティ管理の変更の可能性についての説明

  • 24

    セキュリティ制御が安定していないことを示すのは次のどれですか?

    セキュリティ管理の変更の可能性についての説明

  • 25

    ソフトウェア開発ライフサイクル (SDLC) を監査する場合、高レベルの監査フェーズの 1 つで最初に実施するのは次のどれですか?

    計画

  • 26

    クラウド内でデータが地理的に保存される場所を定義するために使用される用語は何ですか?

    データ主権

  • 27

    システム開発ライフサイクル (SDLC) 内でセキュリティ設計プロセスによって確保されるのは次のどれですか?

    適切なセキュリティ制御、セキュリティ目的、およびセキュリティ目標が適切に開始されます。

  • 28

    組織の情報セキュリティ管理策を開発する際に従うべき最も重要なのは次のどれですか?

    適切な管理を行うために、すべてのリスク管理情報に関してデューデリジェンスを実施します

  • 29

    停止から回復する場合、データ回復の観点からの回復ポイント目標 (RPO) とは何ですか?

    RPO は、データの損失が許容される最大時間です

  • 30

    次の攻撃のうち、成功した場合、侵入者がソフトウェア定義ネットワーク (SDN) アーキテクチャを完全に制御できる可能性があるのはどれですか?

    ネットワーク内の侵害されたホストからファイアウォールを通過しないフローを開くための制御メッセージを送信する

  • 31

    システムのネットワーク攻撃対象領域を減らすための最適なオプションは次のどれですか?

    不要なポートとサービスを無効にする

  • 32

    セキュリティ アーキテクトは、全従業員のデジタル証明書を生成するための内部認証局を設計および実装しています。秘密鍵を安全に保存するための最適なソリューションは次のどれですか。

    トラステッド プラットフォーム モジュール (TPM)

  • 33

    物理的な障壁、カードと個人識別番号 (PIN) アクセス システム、カメラ、アラーム、警備員の存在は、このセキュリティ アプローチを最もよく表していますか?

    多層防御

  • 34

    病院では公正情報慣行規範を施行しています。Web ポータルから医療記録を要求する患者にはどのような慣行が適用されますか?

    個人参加

  • 35

    最近組織を辞めた同僚が、セキュリティ専門家に組織の機密インシデント管理ポリシーのコピーを要求しました。この要求に対する最適な対応は次のどれですか?

    ポリシーを配布しても問題ないことを確認するために、会社の公式チャネルを使用してリクエストを送信しま

  • 36

    組織が新しいソフトウェア保護に対してブラック ボックス セキュリティ監査を実施する必要がある場合を最もよく説明しているのはどれですか

    組織が最終的なソースコードが完成したと確信したとき

  • 37

    ソフトウェア開発において、コードの整合性を保護するためにコードに署名するのは通常次のどれですか?

    コードを開発する組織

  • 38

    次のテクノロジのうち、Web アプリケーション上の潜在的な脅威を監視し、動的に応答するために使用できるものはどれですか?

    ランタイムアプリケーション自己保護 (RASP)

  • 39

    セキュリティ アーキテクトがクライアント向けの情報システムを開発しています。要件の 1 つは、一般的な脆弱性と攻撃を軽減するプラットフォームを提供することです。バッファ オーバーフロー攻撃を防ぐために使用される最も効率的なオプションは何ですか?

    アドレス空間レイアウトのランダム化 (ASLR)

  • 40

    四半期ごとのシステム アクセス レビューで、実稼働システムでの前回のレビューでは存在しなかったアクティブな特権アカウントが発見されました。このアカウントは、前回のアクセス レビューの 1 時間後に作成されました。四半期ごとのアクセス レビューに加えて、全体的なリスクを軽減するための最適なオプションは次のどれですか?

    リスクベースのアラートを実装して確認します。

  • 41

    企業には正式なデータ破棄ポリシーがありません。刑事訴訟のどの段階でこれが最も大きな影響を与えるでしょうか?

    発見

  • 42

    サードパーティのセキュリティサービスにリモートネットワークアクセスを提供するかどうかを決定する際に、最も適切な説明とは何でしょうか。

    ビジネスニーズ

  • 43

    個人情報の取得が適法かつ公正な手段によって行われることは、どのような原則の例ですか?

    収集制限の原則

  • 44

    資産データのラベル付け手順に最も適切な制御は次のどれですか?

    使用されているメディアの種類を分類する

  • 45

    テスト環境で個人を特定できる情報 (PII) を匿名化する最適な方法は何ですか?

    データのランダム化

  • 46

    次の部門のうち、リクエスト、承認、プロビジョニングのビジネス プロセスを開始するのはどれですか?

    運用

  • 47

    システム設計者がシステムやアプリケーションの潜在的なセキュリティ上の懸念を考慮するのに役立つ手法はどれですか?

    脅威モデリング

  • 48

    セキュリティ専門家は、次のどの制御を実施してアプリケーションを展開することで、市販の既製品 (COTS) ソリューションを使用するリスクを最も効果的に軽減できますか?

    強化された構成

  • 49

    集中型 ID 管理を最もよく表すのは次のどれですか

    サービス プロバイダーは、信頼できる第三者 (TTP) に依存して、要求者に資格情報と識別子の両方を提供します。

  • 50

    ロールベースのアクセス制御 (RBAC) の最も重要な利点は何ですか?

    不適切なアクセスを減らす

  • 51

    モバイル デバイスの最も一般的なセキュリティ リスクは何ですか?

    データ漏洩

  • 52

    高性能なデータの読み取りと書き込みを主に行うために、どのレベルの RAID (Redundant Array of Independent Disks) が構成されていますか?

    RAID-0

  • 53

    組織内で行われる一連の付加価値活動と管理活動に関連するリスクの種類は何ですか?

    プロセスリスク

  • 54

    ある組織では、ネットワークを不正な外部アクセスから保護するための保護戦略を実施しました。新しい最高情報セキュリティ責任者(CISO) は、不正な内部アクセスからネットワークをより適切に保護することで、セキュリティを強化したいと考えています。この目的に最も適したネットワーク アクセス制御 (NAC) 機能はどれですか。

    ポートセキュリティ

  • 55

    評価レポートのどのセクションで、個別の脆弱性、弱点、ギャップが説明されていますか?

    主な調査結果セクション

  • 56

    データ分類制御が組織にとって重要なのはなぜですか?

    セキュリティ管理が組織のリスク許容度と一致するようにする

  • 57

    施設の境界内に埋設されたデータ ラインのセキュリティを監視するために、最も効果的な制御は次のどれですか。

    地上センサーを設置し、セキュリティイベント管理(SEM)システムに報告する

  • 58

    ある企業は、契約を獲得する前にサプライヤーが満たさなければならないサイバーセキュリティのベースライン標準を開発しています。ベースライン サイバーセキュリティ標準に関する次の記述のうち正しいものはどれですか。

    技術要件として表現する必要があります。

  • 59

    システム リソースへのアクセス要求を発行するユーザー、それらのリソースに割り当てられた機能、運用または状況のコンテキスト、およびそれらの機能とコンテキストに関して指定された一連のポリシーに基づくアクセス制御方法はどれですか。

    属性ベースのアクセス制御 (ABAC)

  • 60

    ソフトウェア定義ネットワーク (SDN) の実装を検討する場合のセキュリティ上の懸念事項は何ですか?

    攻撃範囲が拡大します。

  • 61

    監査記録生成に適切な詳細レベルを選択する主な理由はどれですか?

    根本原因分析(RCA)を促進する

  • 62

    セキュリティ アーキテクチャの正しい実行順序は何ですか?

    ガバナンス、戦略およびプログラム管理、プロジェクト実施、運用

  • 63

    ある国際組織は、業務運営をサポートするために Software as a Service (SaaS) ソリューションを使用することを決定しました。組織は、ソリューションの国際コード セキュリティとデータ プライバシーを評価するために、次のどのコンプライアンス標準を使用する必要がありますか。

    サービス組織コントロール(SOC)2

  • 64

    チャレンジ アンド レスポンスを使用する認証システムが最近、組織のネットワークに実装されました。これは、組織が毎年実施している侵入テストで、テスト担当者が認証済みの資格情報を使用して横方向に移動できることが示されたためです。これを実現するために使用された可能性が最も高い攻撃方法はどれですか。

    チケットを渡す

  • 65

    ダンプスターダイビングは、侵入テスト方法論のどの段階で使用される手法ですか

    発見

  • 66

    ソーシャル エンジニアリング攻撃を防ぐために設計されたセキュリティ意識向上トレーニング プログラムの成功の尺度を決定するために実行されるのは次のどれですか。

    研修プログラムの有効性に関する内部評価

  • 67

    セキュリティ チームに、ネットワーク上のデバイスがマルウェアに感染していることが通知されました。デバイスを迅速に特定して修復するために最も効果的なのは次のうちどれですか。

    情報技術資産管理 (ITAM)

  • 68

    オープンソース ライブラリを含む資産の脆弱性を監視することで、最も軽減される可能性が高い脅威は次のどれですか。

    高度持続的脅威(APT)の試み

  • 69

    設計原則として、クラウド エコシステムにおけるデータ セキュリティ要件の特定と承認の責任は次のどれですか。

    クラウド消費者

  • 70

    リモート ユーザーが使用するエンドポイント デバイスがネットワークに接続する前に、組織の承認済みポリシーに準拠していることを確認する最も効果的な方法はどれですか。

    ネットワーク アクセス制御 (NAC)

  • 71

    緊急メンテナンスに使用されるベンダー アカウントを最もよく保護する方法は次のどれですか?

    ベンダーアクセスは必要になるまで無効にする必要があります

  • 72

    危険が人間の脆弱性と相互作用する場合、どのイベントの規模が致命的、破壊的、および混乱的であると定義されますか?

    災害

  • 73

    ソフトウェアフォレンジックの目的を最もよく表しているのはどれですか?

    コードの作成者と動作を決定する

  • 74

    取得したソフトウェアのセキュリティへの影響を評価するために使用する最適な方法は何ですか?

    脅威モデリング

  • 75

    古いログ データが上書きされないようにするには、次のどれを使用しますか?

    ログの保持

  • 76

    アジャイル原則に従って業務を行っている金融機関が、外部の顧客ベースが信用枠をリクエストするための新しいアプリケーションを開発しました。セキュリティ アナリストは、最小限の実行可能な製品 (MVP) のセキュリティ リスクを評価するように依頼されました。アナリストが評価する必要がある最も重要なアクティビティはどれですか。

    ソフトウェアのコードレビューが完了しました。

  • 77

    アプリケーション開発者は、セキュリティ チームから、自動化ツールが組織の顧客サービス ポータルに予期しないデータを入力し、サイトをクラッシュさせたというレポートを受け取りました。これはどのタイプのテストの例ですか。

    ネガティブ

  • 78

    攻撃者がネットワークを無効にするのを防ぐための最も効果的な戦略は次のどれですか?

    適応、再構成、フェイルオーバーが可能なネットワークを設計します。

  • 79

    データ損失防止 (DLP) プログラムで考慮すべき最初のステップは何ですか?

    データ分類

  • 80

    プロジェクトの全体的な成功と組織全体の変更のサポートに責任を負う変更管理の役割はどれですか?

    プログラムスポンサー

  • 81

    ある企業は、クラウド ストレージ上の機密データへの共有アクセスを外部のビジネス パートナーに提供する必要があります。他の当事者の加入者リストが公開されないように、アイデンティティ プロバイダー (IdP) と証明書利用者 (RP) を盲目にするには、次のどのアイデンティティ モデルが最適ですか?

    プロキシフェデレーション

  • 82

    セキュリティ専門家は、エンドポイント上のデータを安全かつ効率的に暗号化する方法を見つける必要があります。どのソリューションにルート キーが含まれていますか?

    トラステッド プラットフォーム モジュール (TPM)

  • 83

    非レガシー システムの連邦情報処理標準 (FIPS) 出版物 140-2 に準拠している暗号化アルゴリズムの組み合わせはどれですか。

    Diffie-hellman (DH) 鍵交換: DH (>=2048 ビット) 対称鍵: Advanced Encryption Standard (AES) > 128 ビット デジタル署名: デジタル署名アルゴリズム (DSA) (>=2048 ビット)

  • 84

    セキュリティ意識向上、トレーニング、教育プログラムの指標を作成して報告する主な目的は何ですか?

    プログラムが組織の従業員に与える影響を測定します。

  • 85

    DevOps 環境では、行われる変更の品質に自信を持つために、次のアクションのうちどれが最も必要ですか?

    機能テストを自動化します。

  • 86

    セキュリティ評価計画の主な目的は何ですか?

    セキュリティおよびプライバシー管理評価の目的と、そのような評価を実施する方法の詳細なロードマップを提供します

  • 87

    効果的な物理的損失管理プロセスを実行する際に最初に作成される文書は何ですか?

    在庫リスト

  • 88

    電子メールやその他の電子記録に関連する情報ガバナンスの最終的な責任はどの組織部門にありますか?

    法務

  • 89

    クラウド サービス プロバイダーは、顧客組織に対して、データ ストレージ サービスに対する監査ログを最大限に有効にし、ログを 3 か月間保持することを要求しています。監査ログ ジーンには、非常に大量のログがあります。ログ保持に最も適切な戦略は何でしょうか。

    先週のログをオンライン ストレージに保存し、残りをニアライン ストレージに保存します

  • 90

    フェデレーション ID 管理 (FIM) において、フェデレーションの概念を表すのは次のどれですか。

    相互に信頼関係を確立したドメインの集合

  • 91

    ある組織が、ネットワーク境界を介したインスタント メッセージング (IM) 通信のセキュリティを確保しようとしています。次のうち、最も重要な課題はどれですか。

    IM クライアントはランダムなポート番号を利用できます

  • 92

    暗号文とその結果の平文メッセージを使用して単一アルファベットの暗号鍵を導出することは、どの暗号解読攻撃方法の例ですか?

    既知平文攻撃

  • 93

    組織の情報セキュリティ予算を策定する際には、次の点が重要です

    割り当てられた資金により、予想されるリスクを適切に管理できる。

  • 94

    国際標準化機構 (ISO) 27001 認証を取得している国際貿易組織は、セキュリティ監視をマネージド セキュリティ サービス プロバイダー (MSSP) にアウトソーシングしようとしています。貿易組織のセキュリティ担当者は、アウトソーシング契約に含める必要のある要件の草案を作成する任務を負っています。次のどれが契約に必ず含まれている必要がありますか?

    MSSPのセキュリティプロセスを監査する権利

  • 95

    デジタル署名された文書の否認不可性をサポートするために必要な暗号化の主なタイプは次のどれですか?

    非対称

  • 96

    重要なシステムとインターフェースするシングル サインオン (SSO) ソリューションのセキュリティを強化する最も効果的な方法は何ですか?

    2要素認証

  • 97

    品質保証 (QA) 部門の人員が不足しており、アプリケーションの予定リリース日までにすべてのモジュールをテストすることができません。最も違反される可能性が高いセキュリティ制御は何ですか?

    変更管理

  • 98

    組織にとっての重要性に応じて情報が保護されることを保証する基準は次のどれですか?

    法的要件、価値、重要性、および不正な開示または変更に対する感度

  • 99

    情報セキュリティ継続的監視 (ISCM) プログラムを開発する際の最初のステップは何ですか?

    リスク許容度に基づいて ISCM 戦略を定義します

  • 100

    すでにネットワークへのアクセス権を取得しており、他のリソースに方向転換しようとするハッカーに対する最も効果的な対応策は何でしょうか?

    ネットワークをセグメント化します。

    • 問題一覧

  • 1

    組織のビジネス影響分析 (BIA) で定義される物理資産には、次のどれが含まれますか?

    遠隔地の施設に保管されている備品

  • 2

    アプリケーションの監査機能を評価する場合、次のアクティビティのうちどれが最も重要ですか?

    監査ログに必要な情報が適切に記録されているかを確認する

  • 3

    オペレーティングシステム(OS)のどの部分が、ハードウェア、OS、およびコンピューティングシステムの他の部分間のセキュリティインターフェイスを提供する役割を担っていますか?

    セキュリティカーネル

  • 4

    クラウド環境における最小権限の原則を最もよく説明している記述は次のどれですか?

    インターネットへのアクセスが必要ない場合、ネットワークセグメントはプライベートのままにされます

  • 5

    情報セキュリティ専門家がコンテンツの変更、特に不正な変更を認識するために使用するものは次のどれですか

    ファイル整合性チェッカー

  • 6

    変更管理に含まれるのは次のどれですか?

    実装前のユーザー受け入れテスト(UAT)

  • 7

    企業データの取り扱いと処理に関するベンダー認定を確認する際、ベンダーが取得すべき最適な Service Organization Controls (SOC) 認定は次のどれですか?

    SOC 2 タイプ 2

  • 8

    ある組織では、より優れた追跡のために、資産管理システムにモバイルデバイスを組み込むことを検討しています。モバイルデバイスは、リファレンスアーキテクチャのどのシステム層で追跡されますか?

    1

  • 9

    組織のデータ資産を保護するための最良の方法はどれですか?

    最新の暗号化アルゴリズムを使用して、転送中および保存中のデータを暗号化します

  • 10

    施設内にマントラップを設置する主な目的は次のどれですか?

    ピギーバックを防ぐ

  • 11

    計画-実行-確認-改善モデルの「実行」フェーズでは、次のどれが実行されますか?

    ビジネス継続性ポリシー、コントロール、プロセス、および手順が実装されていることを確認します

  • 12

    データ セキュリティとビジネス オペレーション、またはセキュリティ評価の実施に関連するベースライン リファレンスとして使用できる、業界で認められたドキュメントは何ですか?

    サービス組織コントロール (SOC) 2 タイプ 1

  • 13

    犯罪組織が政府のネットワークへの攻撃を計画しています。次のシナリオのうち、組織にとって最もリスクが高いのはどれですか?

    組織はネットワーク デバイスの制御を失います。

  • 14

    インジェクション攻撃やオーバーフロー攻撃に対する安全なコーディング技術を検証するための最良の方法はどれですか?

    自動化プログラムを使用して最新の既知の脆弱性パターンをテストする

  • 15

    倫理的な対立を解決する場合、情報セキュリティ専門家は多くの要素を考慮する必要があります。どのような順序で考慮事項を優先すべきでしょうか?

    公共の安全、主権者に対する義務、個人に対する義務、職業に対する義務

  • 16

    情報技術 (IT) 組織のコスト削減、リスク緩和、顧客サービスの向上に最も役立つサービス管理プロセスはどれですか?

    情報技術インフラストラクチャライブラリ (ITIL)

  • 17

    ある会社が、ユーザー認証プロセスのセキュリティを強化しようとしています。いくつかのオプションを評価した後、会社は Identity as a Service (IDaaS) を利用することを決定しました。会社がソリューションとして IDaaS を選択する要因は次のどれですか。

    社内チームにはオンプレミス ソリューションをサポートするためのリソースが不足しています。

  • 18

    最近、ある組織が Web アプリケーション攻撃を受け、ユーザー セッション クッキー情報が盗まれました。攻撃者は、ユーザーが侵害された Web サイトにアクセスしたときにブラウザーがスクリプトを実行したときに、情報を取得できました。最も可能性が高い攻撃の種類は何ですか?

    クロスサイトスクリプティング (XSS)

  • 19

    ソーシャル エンジニアリングと悪意のある Uniform Resource Locator (URL) リンクを利用して、被害者の Web アプリケーションとの既存のブラウザー セッションを利用する攻撃は、次のどのタイプの攻撃の例ですか?

    クロスサイトリクエストフォージェリ(CSRF)

  • 20

    次の暗号化技術のうち、ストリーム暗号として機能するものはどれですか?

    暗号フィードバック (CFB)

  • 21

    災害復旧 (DR) テストでは、次のどれが危機管理の特性になりますか?

    プロセス

  • 22

    セキュリティ モデルを実施するためにアクセス制御を定義する際のリファレンス モニターの目的を最もよく説明しているのは次のどれですか

    組織ルールを検証するためのポリシー

  • 23

    セキュリティ制御が安定していないことを示すのは次のどれですか?

    セキュリティ管理の変更の可能性についての説明

  • 24

    セキュリティ制御が安定していないことを示すのは次のどれですか?

    セキュリティ管理の変更の可能性についての説明

  • 25

    ソフトウェア開発ライフサイクル (SDLC) を監査する場合、高レベルの監査フェーズの 1 つで最初に実施するのは次のどれですか?

    計画

  • 26

    クラウド内でデータが地理的に保存される場所を定義するために使用される用語は何ですか?

    データ主権

  • 27

    システム開発ライフサイクル (SDLC) 内でセキュリティ設計プロセスによって確保されるのは次のどれですか?

    適切なセキュリティ制御、セキュリティ目的、およびセキュリティ目標が適切に開始されます。

  • 28

    組織の情報セキュリティ管理策を開発する際に従うべき最も重要なのは次のどれですか?

    適切な管理を行うために、すべてのリスク管理情報に関してデューデリジェンスを実施します

  • 29

    停止から回復する場合、データ回復の観点からの回復ポイント目標 (RPO) とは何ですか?

    RPO は、データの損失が許容される最大時間です

  • 30

    次の攻撃のうち、成功した場合、侵入者がソフトウェア定義ネットワーク (SDN) アーキテクチャを完全に制御できる可能性があるのはどれですか?

    ネットワーク内の侵害されたホストからファイアウォールを通過しないフローを開くための制御メッセージを送信する

  • 31

    システムのネットワーク攻撃対象領域を減らすための最適なオプションは次のどれですか?

    不要なポートとサービスを無効にする

  • 32

    セキュリティ アーキテクトは、全従業員のデジタル証明書を生成するための内部認証局を設計および実装しています。秘密鍵を安全に保存するための最適なソリューションは次のどれですか。

    トラステッド プラットフォーム モジュール (TPM)

  • 33

    物理的な障壁、カードと個人識別番号 (PIN) アクセス システム、カメラ、アラーム、警備員の存在は、このセキュリティ アプローチを最もよく表していますか?

    多層防御

  • 34

    病院では公正情報慣行規範を施行しています。Web ポータルから医療記録を要求する患者にはどのような慣行が適用されますか?

    個人参加

  • 35

    最近組織を辞めた同僚が、セキュリティ専門家に組織の機密インシデント管理ポリシーのコピーを要求しました。この要求に対する最適な対応は次のどれですか?

    ポリシーを配布しても問題ないことを確認するために、会社の公式チャネルを使用してリクエストを送信しま

  • 36

    組織が新しいソフトウェア保護に対してブラック ボックス セキュリティ監査を実施する必要がある場合を最もよく説明しているのはどれですか

    組織が最終的なソースコードが完成したと確信したとき

  • 37

    ソフトウェア開発において、コードの整合性を保護するためにコードに署名するのは通常次のどれですか?

    コードを開発する組織

  • 38

    次のテクノロジのうち、Web アプリケーション上の潜在的な脅威を監視し、動的に応答するために使用できるものはどれですか?

    ランタイムアプリケーション自己保護 (RASP)

  • 39

    セキュリティ アーキテクトがクライアント向けの情報システムを開発しています。要件の 1 つは、一般的な脆弱性と攻撃を軽減するプラットフォームを提供することです。バッファ オーバーフロー攻撃を防ぐために使用される最も効率的なオプションは何ですか?

    アドレス空間レイアウトのランダム化 (ASLR)

  • 40

    四半期ごとのシステム アクセス レビューで、実稼働システムでの前回のレビューでは存在しなかったアクティブな特権アカウントが発見されました。このアカウントは、前回のアクセス レビューの 1 時間後に作成されました。四半期ごとのアクセス レビューに加えて、全体的なリスクを軽減するための最適なオプションは次のどれですか?

    リスクベースのアラートを実装して確認します。

  • 41

    企業には正式なデータ破棄ポリシーがありません。刑事訴訟のどの段階でこれが最も大きな影響を与えるでしょうか?

    発見

  • 42

    サードパーティのセキュリティサービスにリモートネットワークアクセスを提供するかどうかを決定する際に、最も適切な説明とは何でしょうか。

    ビジネスニーズ

  • 43

    個人情報の取得が適法かつ公正な手段によって行われることは、どのような原則の例ですか?

    収集制限の原則

  • 44

    資産データのラベル付け手順に最も適切な制御は次のどれですか?

    使用されているメディアの種類を分類する

  • 45

    テスト環境で個人を特定できる情報 (PII) を匿名化する最適な方法は何ですか?

    データのランダム化

  • 46

    次の部門のうち、リクエスト、承認、プロビジョニングのビジネス プロセスを開始するのはどれですか?

    運用

  • 47

    システム設計者がシステムやアプリケーションの潜在的なセキュリティ上の懸念を考慮するのに役立つ手法はどれですか?

    脅威モデリング

  • 48

    セキュリティ専門家は、次のどの制御を実施してアプリケーションを展開することで、市販の既製品 (COTS) ソリューションを使用するリスクを最も効果的に軽減できますか?

    強化された構成

  • 49

    集中型 ID 管理を最もよく表すのは次のどれですか

    サービス プロバイダーは、信頼できる第三者 (TTP) に依存して、要求者に資格情報と識別子の両方を提供します。

  • 50

    ロールベースのアクセス制御 (RBAC) の最も重要な利点は何ですか?

    不適切なアクセスを減らす

  • 51

    モバイル デバイスの最も一般的なセキュリティ リスクは何ですか?

    データ漏洩

  • 52

    高性能なデータの読み取りと書き込みを主に行うために、どのレベルの RAID (Redundant Array of Independent Disks) が構成されていますか?

    RAID-0

  • 53

    組織内で行われる一連の付加価値活動と管理活動に関連するリスクの種類は何ですか?

    プロセスリスク

  • 54

    ある組織では、ネットワークを不正な外部アクセスから保護するための保護戦略を実施しました。新しい最高情報セキュリティ責任者(CISO) は、不正な内部アクセスからネットワークをより適切に保護することで、セキュリティを強化したいと考えています。この目的に最も適したネットワーク アクセス制御 (NAC) 機能はどれですか。

    ポートセキュリティ

  • 55

    評価レポートのどのセクションで、個別の脆弱性、弱点、ギャップが説明されていますか?

    主な調査結果セクション

  • 56

    データ分類制御が組織にとって重要なのはなぜですか?

    セキュリティ管理が組織のリスク許容度と一致するようにする

  • 57

    施設の境界内に埋設されたデータ ラインのセキュリティを監視するために、最も効果的な制御は次のどれですか。

    地上センサーを設置し、セキュリティイベント管理(SEM)システムに報告する

  • 58

    ある企業は、契約を獲得する前にサプライヤーが満たさなければならないサイバーセキュリティのベースライン標準を開発しています。ベースライン サイバーセキュリティ標準に関する次の記述のうち正しいものはどれですか。

    技術要件として表現する必要があります。

  • 59

    システム リソースへのアクセス要求を発行するユーザー、それらのリソースに割り当てられた機能、運用または状況のコンテキスト、およびそれらの機能とコンテキストに関して指定された一連のポリシーに基づくアクセス制御方法はどれですか。

    属性ベースのアクセス制御 (ABAC)

  • 60

    ソフトウェア定義ネットワーク (SDN) の実装を検討する場合のセキュリティ上の懸念事項は何ですか?

    攻撃範囲が拡大します。

  • 61

    監査記録生成に適切な詳細レベルを選択する主な理由はどれですか?

    根本原因分析(RCA)を促進する

  • 62

    セキュリティ アーキテクチャの正しい実行順序は何ですか?

    ガバナンス、戦略およびプログラム管理、プロジェクト実施、運用

  • 63

    ある国際組織は、業務運営をサポートするために Software as a Service (SaaS) ソリューションを使用することを決定しました。組織は、ソリューションの国際コード セキュリティとデータ プライバシーを評価するために、次のどのコンプライアンス標準を使用する必要がありますか。

    サービス組織コントロール(SOC)2

  • 64

    チャレンジ アンド レスポンスを使用する認証システムが最近、組織のネットワークに実装されました。これは、組織が毎年実施している侵入テストで、テスト担当者が認証済みの資格情報を使用して横方向に移動できることが示されたためです。これを実現するために使用された可能性が最も高い攻撃方法はどれですか。

    チケットを渡す

  • 65

    ダンプスターダイビングは、侵入テスト方法論のどの段階で使用される手法ですか

    発見

  • 66

    ソーシャル エンジニアリング攻撃を防ぐために設計されたセキュリティ意識向上トレーニング プログラムの成功の尺度を決定するために実行されるのは次のどれですか。

    研修プログラムの有効性に関する内部評価

  • 67

    セキュリティ チームに、ネットワーク上のデバイスがマルウェアに感染していることが通知されました。デバイスを迅速に特定して修復するために最も効果的なのは次のうちどれですか。

    情報技術資産管理 (ITAM)

  • 68

    オープンソース ライブラリを含む資産の脆弱性を監視することで、最も軽減される可能性が高い脅威は次のどれですか。

    高度持続的脅威(APT)の試み

  • 69

    設計原則として、クラウド エコシステムにおけるデータ セキュリティ要件の特定と承認の責任は次のどれですか。

    クラウド消費者

  • 70

    リモート ユーザーが使用するエンドポイント デバイスがネットワークに接続する前に、組織の承認済みポリシーに準拠していることを確認する最も効果的な方法はどれですか。

    ネットワーク アクセス制御 (NAC)

  • 71

    緊急メンテナンスに使用されるベンダー アカウントを最もよく保護する方法は次のどれですか?

    ベンダーアクセスは必要になるまで無効にする必要があります

  • 72

    危険が人間の脆弱性と相互作用する場合、どのイベントの規模が致命的、破壊的、および混乱的であると定義されますか?

    災害

  • 73

    ソフトウェアフォレンジックの目的を最もよく表しているのはどれですか?

    コードの作成者と動作を決定する

  • 74

    取得したソフトウェアのセキュリティへの影響を評価するために使用する最適な方法は何ですか?

    脅威モデリング

  • 75

    古いログ データが上書きされないようにするには、次のどれを使用しますか?

    ログの保持

  • 76

    アジャイル原則に従って業務を行っている金融機関が、外部の顧客ベースが信用枠をリクエストするための新しいアプリケーションを開発しました。セキュリティ アナリストは、最小限の実行可能な製品 (MVP) のセキュリティ リスクを評価するように依頼されました。アナリストが評価する必要がある最も重要なアクティビティはどれですか。

    ソフトウェアのコードレビューが完了しました。

  • 77

    アプリケーション開発者は、セキュリティ チームから、自動化ツールが組織の顧客サービス ポータルに予期しないデータを入力し、サイトをクラッシュさせたというレポートを受け取りました。これはどのタイプのテストの例ですか。

    ネガティブ

  • 78

    攻撃者がネットワークを無効にするのを防ぐための最も効果的な戦略は次のどれですか?

    適応、再構成、フェイルオーバーが可能なネットワークを設計します。

  • 79

    データ損失防止 (DLP) プログラムで考慮すべき最初のステップは何ですか?

    データ分類

  • 80

    プロジェクトの全体的な成功と組織全体の変更のサポートに責任を負う変更管理の役割はどれですか?

    プログラムスポンサー

  • 81

    ある企業は、クラウド ストレージ上の機密データへの共有アクセスを外部のビジネス パートナーに提供する必要があります。他の当事者の加入者リストが公開されないように、アイデンティティ プロバイダー (IdP) と証明書利用者 (RP) を盲目にするには、次のどのアイデンティティ モデルが最適ですか?

    プロキシフェデレーション

  • 82

    セキュリティ専門家は、エンドポイント上のデータを安全かつ効率的に暗号化する方法を見つける必要があります。どのソリューションにルート キーが含まれていますか?

    トラステッド プラットフォーム モジュール (TPM)

  • 83

    非レガシー システムの連邦情報処理標準 (FIPS) 出版物 140-2 に準拠している暗号化アルゴリズムの組み合わせはどれですか。

    Diffie-hellman (DH) 鍵交換: DH (>=2048 ビット) 対称鍵: Advanced Encryption Standard (AES) > 128 ビット デジタル署名: デジタル署名アルゴリズム (DSA) (>=2048 ビット)

  • 84

    セキュリティ意識向上、トレーニング、教育プログラムの指標を作成して報告する主な目的は何ですか?

    プログラムが組織の従業員に与える影響を測定します。

  • 85

    DevOps 環境では、行われる変更の品質に自信を持つために、次のアクションのうちどれが最も必要ですか?

    機能テストを自動化します。

  • 86

    セキュリティ評価計画の主な目的は何ですか?

    セキュリティおよびプライバシー管理評価の目的と、そのような評価を実施する方法の詳細なロードマップを提供します

  • 87

    効果的な物理的損失管理プロセスを実行する際に最初に作成される文書は何ですか?

    在庫リスト

  • 88

    電子メールやその他の電子記録に関連する情報ガバナンスの最終的な責任はどの組織部門にありますか?

    法務

  • 89

    クラウド サービス プロバイダーは、顧客組織に対して、データ ストレージ サービスに対する監査ログを最大限に有効にし、ログを 3 か月間保持することを要求しています。監査ログ ジーンには、非常に大量のログがあります。ログ保持に最も適切な戦略は何でしょうか。

    先週のログをオンライン ストレージに保存し、残りをニアライン ストレージに保存します

  • 90

    フェデレーション ID 管理 (FIM) において、フェデレーションの概念を表すのは次のどれですか。

    相互に信頼関係を確立したドメインの集合

  • 91

    ある組織が、ネットワーク境界を介したインスタント メッセージング (IM) 通信のセキュリティを確保しようとしています。次のうち、最も重要な課題はどれですか。

    IM クライアントはランダムなポート番号を利用できます

  • 92

    暗号文とその結果の平文メッセージを使用して単一アルファベットの暗号鍵を導出することは、どの暗号解読攻撃方法の例ですか?

    既知平文攻撃

  • 93

    組織の情報セキュリティ予算を策定する際には、次の点が重要です

    割り当てられた資金により、予想されるリスクを適切に管理できる。

  • 94

    国際標準化機構 (ISO) 27001 認証を取得している国際貿易組織は、セキュリティ監視をマネージド セキュリティ サービス プロバイダー (MSSP) にアウトソーシングしようとしています。貿易組織のセキュリティ担当者は、アウトソーシング契約に含める必要のある要件の草案を作成する任務を負っています。次のどれが契約に必ず含まれている必要がありますか?

    MSSPのセキュリティプロセスを監査する権利

  • 95

    デジタル署名された文書の否認不可性をサポートするために必要な暗号化の主なタイプは次のどれですか?

    非対称

  • 96

    重要なシステムとインターフェースするシングル サインオン (SSO) ソリューションのセキュリティを強化する最も効果的な方法は何ですか?

    2要素認証

  • 97

    品質保証 (QA) 部門の人員が不足しており、アプリケーションの予定リリース日までにすべてのモジュールをテストすることができません。最も違反される可能性が高いセキュリティ制御は何ですか?

    変更管理

  • 98

    組織にとっての重要性に応じて情報が保護されることを保証する基準は次のどれですか?

    法的要件、価値、重要性、および不正な開示または変更に対する感度

  • 99

    情報セキュリティ継続的監視 (ISCM) プログラムを開発する際の最初のステップは何ですか?

    リスク許容度に基づいて ISCM 戦略を定義します

  • 100

    すでにネットワークへのアクセス権を取得しており、他のリソースに方向転換しようとするハッカーに対する最も効果的な対応策は何でしょうか?

    ネットワークをセグメント化します。