CISSP　暗記（PORT）

85問 • 1年前

エッグスンシングス

通報

問題一覧

20,21/tcp

FTP

22/tcp

SSH, SCP

23/tcp

Telnet

SMTP

53/udp

DNS

88/udp

Kerberos

389/tcp

LDAP

636/tcp

LDAPS

445/tcp

Windows SMB

514/udp, 6514/tcp

syslog

1433/tcp

MSSQL

3389/tcp

RDP

515/tcp

LPR

物理どどれを扱うか？

ビット

データリンクはどれか？

フレーム

ネットワークはどれか

パケット

TCPはどれか

セグメント

UDPはどれか？

データグラム

サーキットゲートウェイ型ファイアーウォール

トランスポート層

パケットフィルタリング型のファイアウォール

ネットワーク層

MACアドレスなりすまし

データリンク層

転送するデータフィールドを検査しないので、通信のオーバーヘッドは少ないが、悪意のあるコンテンツは検出できない

サーキットレベルファイアウォール

バッファローオーバーフローなど発生率の高いさまざまな攻撃を検出できるるが、通信のオーバーヘッドは増加する

アプリケーションレベルのプロキシは

ダイナミックパケットファイアーウォールと呼ばれ、会話の状態を追跡し、通信を開始することが許可されいる内部システムに基づいてリモートシステムからの応答を許可できる

ステートフルパケットレベルゲートウェイファイアーウォール

ガバナンスはどこから生じるか

法律および規制当局

セキュリティの目標は以下の通りである

ビジネスの支援

GDPRに含まれないもの

真正性

知的財産の中で弱い保護は

著作権

データコンテンツ、コンテキスト、関連するビジネスルールの責任があるのはだれか？

データスチュアード

法律で5年と定めている場合、期間を無視できるか

はい、ただし、事前に定義された状況かであれば

どのような破棄が、データ残留の可能性が低くすることができるか

パージング

基本的な権利のセットと有限のコマンドのセットで構成される基本的なセキュリティモデルはどれか

Harrison、Ruzzo、Ullman

アクセス制御の実装では、ユーザをアプリケーションに、そしてロールにマッピングするモデルは？

制限付きRBAC

個々のユーザがITシステム、リソース、または資産を使用する網力を承認または拒否することができ、組織内での役割に応じて異なるユーザに割り当てる機能を持つのは、どのアクセス制御システムか

論理的

一般的には、指定された一連の出入り口を通る人、材料、機器の移動や追加を管理する自動化されたシステムは？

物理的

資格情報管理システムはどのような機能を果たすか？

認証者と識別者を結びつける

暗号変数は以下のうちどれか

鍵

有限体上の離散対数は、以下のどの例か？

トラップドア関数

PKIのRAは何を行うか？

ユーザから署名を要求された証明書を受け取る際に、ユーザの識別情報を検証する

レイア２スイッチは、どのような情報をもとにフィルタリングや転送を判定するか

MACアドレス

IEEE802.1D（スパニングツリー）は何のために使われるか？

ブロードキャストストームの防止

ディスタンスベクタープロトコルを用いるのは？

RIP

マルチキャストに使用する

IGMP

コードが誤って他のデータにアクセスすることを防ぐ

カプセル化

対象のファイルを触らずに、システムの優先順位を利用するウイルスの種類は？

コンパニオン

洗練された形のプロトタイピングであり、各フェーズに厳格な時間制限を必要とする開発手法

RAD

データベース管理者がデータへのアクセスを確立し制御するために用いられるSQL言語の概念は

DCL

POM&Aとは

行動計画とマイルストーン

財務および会計慣行の入念なログの見直しの必要性を後押しする規制は

PCIDSS

既知の攻撃パターンを探す

シグネチャマッチング

デジタルフォレンジックの最初のステップ

証拠管理者の任命

イベントを引き起こす可能性のあるシステム、職場、環境の前提条件は

ハザード

災害復旧計画において、RTOを作成する際に考慮すべき最も重要な側面はなにか？

ビジネスの重要性

完全性を確保するために最適なアルゴリズムはどれか？

SHA256

データセンターの災害復旧計画を設計する場合、最も重要な考慮事項はどえｒか

バックアップデータセンターの地理的位置

クラウドコンピューティング環境でデータセキュリティとプライバシーを確保するために重要な要素は

強力なアクセス制御と認証

暗号化消去(Crypto-shredding ）が依存している暗号化はどですか？

対象暗号化

セキュリティインシデント対応では、インシデントの深刻さを決定する際に最も重要な考慮事項はどれか

組織の財政的影響

セキュイリティ脆弱性を防止するためにSecureソフトウェア開発ライフサイクル（SDLC)で最も重要なステップは？

要件の確認

DDOS攻撃の軽減戦略として、検出と対応の段階で最も重要な目標は何エスカ？

攻撃の軽減とサービスの復旧

特権エスカレーション攻撃を防ぐのに最も効果的なのは、どのコントロールを実施するときですか？

役割ベースのアクセス制御（RBAC)

セキュリティリスクの管理の文脈では、組織のリスクアペタイト外のリスクに対して、どれが適切ですか？

リスク回避

信頼できないソースから悪意のあるコードの実行を防ぐのに最適なものは

アプリケーションのホワイトリスト

バースデイ攻撃についてのべているものを選択する

２つの異なる入力値が同じハッシュ値を生成する

セキュイリティの意識トレーニングの目的はどれですか？

インサイダーの脅威とデータ侵害の可能性を減らすため

クラウドコンピューティングの文脈、それに関する懸念は何ですか？

データ主権と法的管轄

計算は遅いが暗号化効率がいい

RSA

セキュリティポリシーの主な目的は

セキュリティの取り組みに高レベルのガイダンスと方向性を提供する

悪意のあるメールの添付ファイルによるマルウェアを防ぐのに効果的なもの

EMAILコンテンツフィルタリング

インシデント対応計画では、セキュリティインシデントを検出した直後の最も重要な

封じ込めと緩和策の実施

モバイルデバイスに保存されている紛失または盗難の可能性のある機密データへの不正アクセスを防ぐのに最も効果的なものは

データの強力な暗号化

プライバシーデザインで最も重要な側面は？

プロジェクトの開始時からプライバシーの専門家を巻き込む

ICSのセキュリティを評価する場合、レッドチームの関与は何ですか？

現実的なサイバー攻撃をシュミレーションして、ICS防御テストを実施する

ベンダーを選択する際に考慮すべきものはどれか

データ分類

セキュリティガバナンスにおける「適切な注意」の概念を表すのは

資産を保護するための合理的なセキュリティ対策の実施

公開されていない未知の脆弱性を特定するのに最も効果的な対策

ペネトレーションテスト

管理の連鎖を維持する主目的は

証拠の完全性と信憑性を証明する

組織でユーザー認証が必要な場合は、非標準の独自のxxxxx実装を採用するか、xxxxxxxを使用する必要がある。

IPSec,IPSec over Layer 2 Tunneling Protocol (L2TP)

xxxxxxは、送信元のノードの身元を証明し、送信データが改ざんされていないことを保証するために使用される

認証ヘッダー（AH）

AHはxxxではなく、xxxとxxxを保証するのに役立つ。

AHは機密性ではなく、真正性と完全性を保証するのに役立つ。

IPパケットを暗号化し、その完全性を保証します。

カプセル化セキュリティ・ペイロード（ESP）

エンドポイント間のトンネルを構築するために Generic Routing Encapsulation (GRE) に依存するレガシーなプロトコルである。

PPTP

PPPを使用したシリアル回線経由の発信者が、インターネット経由でリモートネットワークに接続できるようになります。

L2TP

SQLインジェクション、クロスサイトスクリプティング、ユーザー権限の不正取得などに対する対応

ミスユースケーステスト

文字列フィールドに数値を入力する、必須フィールドを空にする、予期しないデータ形式を入力するなど

ネガティブテスト