AHやESPで暗号化する際に、両者が対象鍵を交換するためのプロトコル

TCP/IPなどの標準的なプロトコルと、独自のプロトコルやその他の非標準なプロトコルを組み合わせること

インフラをデバイスやハードウェアから仮想化する技術

エンドユーザに高可用性と高パフォーマンスでコンテンツを提供することを目的とする

ネットワークに参加を希望するデバイスが、ポリシーの要件を満たしているときのみ接続できる仕組み

ポートベースのネットワークアクセスコントロール (PNAC) プロトコルで、LANやWLANに接続を試みる機器の認証制御を行う

内部ホストと外部ホストの直接通信を防止する

通信のオーバーヘッドは少ないが、悪意のあるコンテンツは検出できない

通信に含まれる悪意のあるコンテンツを検出できるが、通信のオーバーヘッドは増加する

マルチメディア接続を管理するためのプロトコル

各端末の無線LANアダプタが、1対1で互いに直接通信する

アクセスポイントを介して端末間の通信を行う

公共の場で使用される無線ネットワークの認証セーフガード

OS、バージョン、ソフトウェア情報、システムを一意に識別できるデータを収集すること

ドメイン情報からゾンビ端末（野良IP、野良サブドメイン）を検出して診断します。

実際に診断端末にハッカーの攻撃手法を仕掛けて診断する

ファイアウォールの管理、侵入検知、NAT、名前解決などの機能を、ソフトウェアとして提供する技術

実行可能なコンテンツは、ｘｘｘｘとも呼ばれる

ウォーターフォール型ソフトウェアライフサイクル開発 (SDLC) モデルで最初にすることは

システムが実行しなければならないタスクやプロセスを記述したもの

システム全体の大まかな特徴を示すもの。安全性、セキュリティ、プライバシー、レジリエンスなど

1個1個のコンポーネントはテストはできるが、それが広がってきたときにその関連性をどう評価していくか

コードが誤って他のデータにアクセスできなくする。データ隠蔽とも呼ばれる

同じメソッド名と異なる処理をする

アクセス制御、ユーザクラスの権限、組織単位　 スーパークラスの特徴を共有するサブクラスを定義する

分類レベル毎にオブジェクトを分けることで、推論攻撃を防ぐことができる

セキュリティポリシーに違反する方法で情報を転送するもの

2つのサブジェクトがストレージを共有すること

動作タイミングを変化させることで観測しているプロセスに情報を伝達すること

アルゴリズムの複雑さを利用して悪用する

テスト環境と実稼働環境に差分があると問題が見えなくなるおそれがある

非機密情報を組み合わせて機密情報を作成すること。単一の情報源を利用する

集約で組み合わせた情報から機密情報を推測すること。多数の情報源を利用する

DBアプリケーションのフロントエンドのコントロールを迂回して情報にアクセスすること（DBを直で見るから、ACLとか関係ない）

不正な形式を入力すること（間違った検査結果がでること）

2つのプロセスがお互いがロックしているリソースを要求して処理が停止すること

別のトランザクションによって値が上書きされてしまうこと

まだコミットされていない情報を読み込んでしまうこと

やりとして、結果が決定されたら、それを維持する

トランザクションはすべてコミットされるか、すべてロールバックされる

トランザクションは完全性制約を満たすときのみ許可される

トランザクションが終了するまで、その結果は他のユーザから見えないようにする

トランザクションが終了したときの結果は、システムやメディアの障害に耐えられる（一度完了したら取り消すことができない）

Webアプリの安全な展開の焦点を当てた、複数の有用なフレームワークを提供している

拡張子の優先順位を利用する。MS-DOSではコマンドが与えられる

感染するたびにシグネチャ検知を回避するために内部コードを書き換える

ユーザのアクションなしに拡散する。OSの脆弱性などを利用してネットワーク内で次々と感染する。ウイルスより迅速かつ効果的に拡散する

デマの警告を表示し、ユーザに指示を与える

正しい振る舞いをする一方で、別の望ましくない動作をする。ユーザのアクションで動作する

攻撃者の指示に従って他のホストを攻撃する

条件を満たしたときに動作するプログラム。開発者や管理者が解雇される際に、会社のリソースや資産に損害を与えるために使用される

ウイルスに含まれる特徴的な文字列を探す

疑わしいアクティビティを監視する

プログラムや設定のファイルを定期的に比較して変更点を探す

承認されたものだけインストールできる

禁止されたソフトをブロックする

ソフトウェア開発プロジェクトの構想から機能要件の定義・実装までの各フェーズをガイドするフレームワーク

プロセスや製品の定義を担当する分野横断的なグループ

分野横断的なチームによる、すべての重要なプロキュアメントの統合

定義されたプロセスや製品を達成するために協力する、様々なスキルを持ったステークホルダーや個人からなるチーム

システムプロジェクトにおいて、開発管理手法、製造アプローチ、試験・検証戦略の選択などの、未検討段階ではできないことを認識しようとするもの

ウォーターフォール方式をネストしたもの。ウォーターフォールの各フェーズでPDCAサイクルを回す

簡易バージョンをレビュー用にリリースして、ステークホルダのフィードバックからより優れた次のバージョンを作成すること。そしてこれらを繰り返すこと

コミュニケーションとフィードバックによって開発を進める。開発者は常にペアで作業を行う

開発サイクルを何回も繰り返すこと。開発サイクルは優先度の高い順に行う

開発サイクルにおける反復の単位

開発と運用の組み合わせによって、改善が必要な製品をより短い期間でデプロイできる

ソフトウェア能力成熟度モデル (SW-CMM)の最初のステップ

安全なソフトウェア開発を測定・改善するためのフレームワーク

CMMの考え方をDevSecOpsに取り入れたモデル

APIを呼ぶときにhtmlのURLをみたいなものを呼んでくるようなやり方。ネットワークアーキテクチャを設計するためのアーキテクチャスタイル

多くのツールや機能を1つの環境にまとめて、開発者が使用できるようにしたもの

ソースコードやマシン語を解析するためのツール

アーキテクチャ内でセキュリティを受け持つハードウェア、ソフトウェア、コンポーネントの集まり

サブジェクトとオブジェクトの間でセキュリティを強制する要素

リファレンスモニターの概念を実装したもの

構成管理 (CM; Configuration Management) プロセスの流れで最初にすることは？

変更が段階的に厳密に合意された方法で実行されることを保証するもの

ニーズや要件を分析し、必要な機能が正しく実装されていることを確認すること。ライフサイクルの早い段階で文書レビューや分析が重視される

フレームワークを使うことでリスク管理と緩和の意思決定サイクルを網羅することができる

品質基準を満たすことも目的としたモデル

ソフトウェアが要求事項をどれだけ満たしているかを確認する

システムが提供されるすべてのセキュリティ要求事項を満たしていることを確認すること

システムを本番環境に移すための承認

開発者の視点からテストする。有効性の検証

ユーザの視点からテストする。現実性の検証

ユーザの視点からテストするが、ソースコードにアクセスできる

変更や追加によって既存の機能が影響されていないことを確認するテスト

調達時のソフトウェアアシュアランスの最初の段階は？

コードを見る目があれば、そのソフトウェアのバグはすべて明らかになる

監査の結果は、以下のような発見事項として組織に正式に報告される。最初に実施されるのは？

監査の結果を記載した所見

問題が発生した理由の説明

状況と基準との違いと重要性

原因を修正するための取るべき行動

組織がサイバーセキュリティの回復力を評価するためのツールセットを提供する

米国公認会計士協会が定めた、受託業務（各種アウトソーシングサービス等）を行う会社の、内部統制の有効性を評価する保証基

セキュリティ保証要件における評価保証レベルの　EAL1は？

形式的検証済み設計、およびテスト

製品のセキュリティ要件を特定する文書（用語や概念、ひな形）