集約で組み合わせた情報から機密情報を推測すること。多数の情報源を利用する

拡張子の優先順位を利用する。MS-DOSではコマンドが与えられる

分野横断的なチームによる、すべての重要なプロキュアメントの統合

ウイルスに含まれる特徴的な文字列を探す

DBアプリケーションのフロントエンドのコントロールを迂回して情報にアクセスすること（DBを直で見るから、ACLとか関係ない）

ファイアウォールの管理、侵入検知、NAT、名前解決などの機能を、ソフトウェアとして提供する技術

トランザクションが終了したときの結果は、システムやメディアの障害に耐えられる（一度完了したら取り消すことができない）

TCP/IPなどの標準的なプロトコルと、独自のプロトコルやその他の非標準なプロトコルを組み合わせること

監査の結果を記載した所見

2つのサブジェクトがストレージを共有すること

攻撃者の指示に従って他のホストを攻撃する

コミュニケーションとフィードバックによって開発を進める。開発者は常にペアで作業を行う

ソフトウェアが要求事項をどれだけ満たしているかを確認する

ウォーターフォール方式をネストしたもの。ウォーターフォールの各フェーズでPDCAサイクルを回す

テスト環境と実稼働環境に差分があると問題が見えなくなるおそれがある

非機密情報を組み合わせて機密情報を作成すること。単一の情報源を利用する

ドメイン情報からゾンビ端末（野良IP、野良サブドメイン）を検出して診断します。

簡易バージョンをレビュー用にリリースして、ステークホルダのフィードバックからより優れた次のバージョンを作成すること。そしてこれらを繰り返すこと

システムが提供されるすべてのセキュリティ要求事項を満たしていることを確認すること

開発サイクルを何回も繰り返すこと。開発サイクルは優先度の高い順に行う

OS、バージョン、ソフトウェア情報、システムを一意に識別できるデータを収集すること

製品のセキュリティ要件を特定する文書（用語や概念、ひな形）

ソースコードやマシン語を解析するためのツール

APIを呼ぶときにhtmlのURLをみたいなものを呼んでくるようなやり方。ネットワークアーキテクチャを設計するためのアーキテクチャスタイル

開発と運用の組み合わせによって、改善が必要な製品をより短い期間でデプロイできる

プロセスや製品の定義を担当する分野横断的なグループ

定義されたプロセスや製品を達成するために協力する、様々なスキルを持ったステークホルダーや個人からなるチーム

アクセスポイントを介して端末間の通信を行う

インフラをデバイスやハードウェアから仮想化する技術

疑わしいアクティビティを監視する

Webアプリの安全な展開の焦点を当てた、複数の有用なフレームワークを提供している

コードを見る目があれば、そのソフトウェアのバグはすべて明らかになる

ソフトウェア能力成熟度モデル (SW-CMM)の最初のステップ

通信のオーバーヘッドは少ないが、悪意のあるコンテンツは検出できない

内部ホストと外部ホストの直接通信を防止する

状況と基準との違いと重要性

問題が発生した理由の説明

承認されたものだけインストールできる

ニーズや要件を分析し、必要な機能が正しく実装されていることを確認すること。ライフサイクルの早い段階で文書レビューや分析が重視される

不正な形式を入力すること（間違った検査結果がでること）

開発サイクルにおける反復の単位

ポートベースのネットワークアクセスコントロール (PNAC) プロトコルで、LANやWLANに接続を試みる機器の認証制御を行う

変更や追加によって既存の機能が影響されていないことを確認するテスト

動作タイミングを変化させることで観測しているプロセスに情報を伝達すること

公共の場で使用される無線ネットワークの認証セーフガード

マルチメディア接続を管理するためのプロトコル

システムを本番環境に移すための承認

フレームワークを使うことでリスク管理と緩和の意思決定サイクルを網羅することができる

ネットワークに参加を希望するデバイスが、ポリシーの要件を満たしているときのみ接続できる仕組み

ユーザの視点からテストする。現実性の検証

やりとして、結果が決定されたら、それを維持する

実際に診断端末にハッカーの攻撃手法を仕掛けて診断する

品質基準を満たすことも目的としたモデル

リファレンスモニターの概念を実装したもの

通信に含まれる悪意のあるコンテンツを検出できるが、通信のオーバーヘッドは増加する

ユーザの視点からテストするが、ソースコードにアクセスできる

まだコミットされていない情報を読み込んでしまうこと

構成管理 (CM; Configuration Management) プロセスの流れで最初にすることは？

組織がサイバーセキュリティの回復力を評価するためのツールセットを提供する

アクセス制御、ユーザクラスの権限、組織単位　 スーパークラスの特徴を共有するサブクラスを定義する

システム全体の大まかな特徴を示すもの。安全性、セキュリティ、プライバシー、レジリエンスなど

安全なソフトウェア開発を測定・改善するためのフレームワーク

トランザクションが終了するまで、その結果は他のユーザから見えないようにする

ソフトウェア開発プロジェクトの構想から機能要件の定義・実装までの各フェーズをガイドするフレームワーク

コードが誤って他のデータにアクセスできなくする。データ隠蔽とも呼ばれる

多くのツールや機能を1つの環境にまとめて、開発者が使用できるようにしたもの

米国公認会計士協会が定めた、受託業務（各種アウトソーシングサービス等）を行う会社の、内部統制の有効性を評価する保証基

AHやESPで暗号化する際に、両者が対象鍵を交換するためのプロトコル

システムが実行しなければならないタスクやプロセスを記述したもの

分類レベル毎にオブジェクトを分けることで、推論攻撃を防ぐことができる

原因を修正するための取るべき行動

条件を満たしたときに動作するプログラム。開発者や管理者が解雇される際に、会社のリソースや資産に損害を与えるために使用される

アーキテクチャ内でセキュリティを受け持つハードウェア、ソフトウェア、コンポーネントの集まり

監査の結果は、以下のような発見事項として組織に正式に報告される。最初に実施されるのは？

1個1個のコンポーネントはテストはできるが、それが広がってきたときにその関連性をどう評価していくか

エンドユーザに高可用性と高パフォーマンスでコンテンツを提供することを目的とする

セキュリティポリシーに違反する方法で情報を転送するもの

形式的検証済み設計、およびテスト

調達時のソフトウェアアシュアランスの最初の段階は？

アルゴリズムの複雑さを利用して悪用する

サブジェクトとオブジェクトの間でセキュリティを強制する要素

開発者の視点からテストする。有効性の検証

各端末の無線LANアダプタが、1対1で互いに直接通信する

感染するたびにシグネチャ検知を回避するために内部コードを書き換える

CMMの考え方をDevSecOpsに取り入れたモデル

ウォーターフォール型ソフトウェアライフサイクル開発 (SDLC) モデルで最初にすることは

セキュリティ保証要件における評価保証レベルの　EAL1は？

実行可能なコンテンツは、ｘｘｘｘとも呼ばれる

禁止されたソフトをブロックする

正しい振る舞いをする一方で、別の望ましくない動作をする。ユーザのアクションで動作する

システムプロジェクトにおいて、開発管理手法、製造アプローチ、試験・検証戦略の選択などの、未検討段階ではできないことを認識しようとするもの

トランザクションはすべてコミットされるか、すべてロールバックされる

別のトランザクションによって値が上書きされてしまうこと

トランザクションは完全性制約を満たすときのみ許可される

2つのプロセスがお互いがロックしているリソースを要求して処理が停止すること

デマの警告を表示し、ユーザに指示を与える

同じメソッド名と異なる処理をする

ユーザのアクションなしに拡散する。OSの脆弱性などを利用してネットワーク内で次々と感染する。ウイルスより迅速かつ効果的に拡散する

プログラムや設定のファイルを定期的に比較して変更点を探す

変更が段階的に厳密に合意された方法で実行されることを保証するもの