CISSP（用語3）

通報

問題一覧

AHやESPで暗号化する際に、両者が対象鍵を交換するためのプロトコル

インターネット鍵交換（IKE）

TCP/IPなどの標準的なプロトコルと、独自のプロトコルやその他の非標準なプロトコルを組み合わせること

コンバージドプロトコル

インフラをデバイスやハードウェアから仮想化する技術

ソフトウェア定義ネットワーク (SDN)

エンドユーザに高可用性と高パフォーマンスでコンテンツを提供することを目的とする

CDN

ネットワークに参加を希望するデバイスが、ポリシーの要件を満たしているときのみ接続できる仕組み

NAC (Network Access Control)

ポートベースのネットワークアクセスコントロール (PNAC) プロトコルで、LANやWLANに接続を試みる機器の認証制御を行う

802.1X

内部ホストと外部ホストの直接通信を防止する

プロキシ型ファイアウォール

通信のオーバーヘッドは少ないが、悪意のあるコンテンツは検出できない

サーキットレベルのプロキシ

通信に含まれる悪意のあるコンテンツを検出できるが、通信のオーバーヘッドは増加する

アプリケーションレベルのプロキシ

マルチメディア接続を管理するためのプロトコル

SIP

各端末の無線LANアダプタが、1対1で互いに直接通信する

アドホックモード

アクセスポイントを介して端末間の通信を行う

インフラストラクチャーモード

公共の場で使用される無線ネットワークの認証セーフガード

キャプティブポータル

OS、バージョン、ソフトウェア情報、システムを一意に識別できるデータを収集すること

デバイスフィンガープリンティング

ドメイン情報からゾンビ端末（野良IP、野良サブドメイン）を検出して診断します。

パッシブスキャン

実際に診断端末にハッカーの攻撃手法を仕掛けて診断する

アクティブスキャン

ファイアウォールの管理、侵入検知、NAT、名前解決などの機能を、ソフトウェアとして提供する技術

NFV

実行可能なコンテンツは、ｘｘｘｘとも呼ばれる

モバイルモード

ウォーターフォール型ソフトウェアライフサイクル開発 (SDLC) モデルで最初にすることは

ニーズの特定

システムが実行しなければならないタスクやプロセスを記述したもの

機能要件

システム全体の大まかな特徴を示すもの。安全性、セキュリティ、プライバシー、レジリエンスなど

非機能要件

1個1個のコンポーネントはテストはできるが、それが広がってきたときにその関連性をどう評価していくか

創発性（Emergent propeties):

コードが誤って他のデータにアクセスできなくする。データ隠蔽とも呼ばれる

カプセル化

同じメソッド名と異なる処理をする

ポリモーフィズム

アクセス制御、ユーザクラスの権限、組織単位　スーパークラスの特徴を共有するサブクラスを定義する

継承（Inheritance）

分類レベル毎にオブジェクトを分けることで、推論攻撃を防ぐことができる

ポリインスタンス化

セキュリティポリシーに違反する方法で情報を転送するもの

隠れチャネル（隠れ経路）

2つのサブジェクトがストレージを共有すること

隠れストレージチャネル (CSC; Covert Storage Channels)

動作タイミングを変化させることで観測しているプロセスに情報を伝達すること

隠れタイミングチャネル (CTC; Covert Timing Channel)

アルゴリズムの複雑さを利用して悪用する

TOC/TOU

テスト環境と実稼働環境に差分があると問題が見えなくなるおそれがある

レースコンディション (競合状態)

非機密情報を組み合わせて機密情報を作成すること。単一の情報源を利用する

集約

集約で組み合わせた情報から機密情報を推測すること。多数の情報源を利用する

推論

DBアプリケーションのフロントエンドのコントロールを迂回して情報にアクセスすること（DBを直で見るから、ACLとか関係ない）

バイパス攻撃

不正な形式を入力すること（間違った検査結果がでること）

データ汚染

2つのプロセスがお互いがロックしているリソースを要求して処理が停止すること

デッドロック

別のトランザクションによって値が上書きされてしまうこと

ロストアップデート

まだコミットされていない情報を読み込んでしまうこと

ダーティリード

やりとして、結果が決定されたら、それを維持する

トランザクションの永続化

トランザクションはすべてコミットされるか、すべてロールバックされる

原子性 (Atomicity)

トランザクションは完全性制約を満たすときのみ許可される

一貫性 (Consistency)

トランザクションが終了するまで、その結果は他のユーザから見えないようにする

独立性 (Isolation) :

トランザクションが終了したときの結果は、システムやメディアの障害に耐えられる（一度完了したら取り消すことができない）

永続性 (Durability)

Webアプリの安全な展開の焦点を当てた、複数の有用なフレームワークを提供している

OWASP

拡張子の優先順位を利用する。MS-DOSではコマンドが与えられる

コンパニオンウイルス

感染するたびにシグネチャ検知を回避するために内部コードを書き換える

ポリモーフィック型ウイルス

ユーザのアクションなしに拡散する。OSの脆弱性などを利用してネットワーク内で次々と感染する。ウイルスより迅速かつ効果的に拡散する

ワーム

デマの警告を表示し、ユーザに指示を与える

Hoax

正しい振る舞いをする一方で、別の望ましくない動作をする。ユーザのアクションで動作する

トロイの木馬

攻撃者の指示に従って他のホストを攻撃する

DDoSゾンビ

条件を満たしたときに動作するプログラム。開発者や管理者が解雇される際に、会社のリソースや資産に損害を与えるために使用される

論理爆弾

ウイルスに含まれる特徴的な文字列を探す

シグネチャースキャン (シグネチャーベースのIDS)

疑わしいアクティビティを監視する

アクティビティモニタ (ルールベースやアノマリーベースのIDS

プログラムや設定のファイルを定期的に比較して変更点を探す

変更検出 (統計学に基づいたIDS)

承認されたものだけインストールできる

ホワイトリスト

禁止されたソフトをブロックする

ブラックリスト

ソフトウェア開発プロジェクトの構想から機能要件の定義・実装までの各フェーズをガイドするフレームワーク

SDLC

プロセスや製品の定義を担当する分野横断的なグループ

統合製品チーム (IPT)　

分野横断的なチームによる、すべての重要なプロキュアメントの統合

統合生産プロセス開発 (IPPD)

定義されたプロセスや製品を達成するために協力する、様々なスキルを持ったステークホルダーや個人からなるチーム

IPT

システムプロジェクトにおいて、開発管理手法、製造アプローチ、試験・検証戦略の選択などの、未検討段階ではできないことを認識しようとするもの

IPPD

ウォーターフォール方式をネストしたもの。ウォーターフォールの各フェーズでPDCAサイクルを回す

スパイラル方式

簡易バージョンをレビュー用にリリースして、ステークホルダのフィードバックからより優れた次のバージョンを作成すること。そしてこれらを繰り返すこと

プロトライピング

コミュニケーションとフィードバックによって開発を進める。開発者は常にペアで作業を行う

エクストリームプログラミング

開発サイクルを何回も繰り返すこと。開発サイクルは優先度の高い順に行う

スクラム

開発サイクルにおける反復の単位

スプリント

開発と運用の組み合わせによって、改善が必要な製品をより短い期間でデプロイできる

DevOps

ソフトウェア能力成熟度モデル (SW-CMM)の最初のステップ

初期

安全なソフトウェア開発を測定・改善するためのフレームワーク

OWASPソフトウェア保証成熟度モデル (SAMM; Software Assurance Maturity Model)

CMMの考え方をDevSecOpsに取り入れたモデル

OWASPのDevSecOps成熟度モデル (DSOMM; DevSecOps Maturity Model)

APIを呼ぶときにhtmlのURLをみたいなものを呼んでくるようなやり方。ネットワークアーキテクチャを設計するためのアーキテクチャスタイル

Representational State Transfer (REST)

多くのツールや機能を1つの環境にまとめて、開発者が使用できるようにしたもの

統合開発環境 (IDE; Integrated Development Environment)

ソースコードやマシン語を解析するためのツール

ソースコード解析ツール

アーキテクチャ内でセキュリティを受け持つハードウェア、ソフトウェア、コンポーネントの集まり

TCB

サブジェクトとオブジェクトの間でセキュリティを強制する要素

リファレンスモニター

リファレンスモニターの概念を実装したもの

セキュリティカーネル

構成管理 (CM; Configuration Management) プロセスの流れで最初にすることは？

識別

変更が段階的に厳密に合意された方法で実行されることを保証するもの

構成管理計画

ニーズや要件を分析し、必要な機能が正しく実装されていることを確認すること。ライフサイクルの早い段階で文書レビューや分析が重視される

認証 (Certification) と認定 (Accreditation)

フレームワークを使うことでリスク管理と緩和の意思決定サイクルを網羅することができる

リスクマネジメントフレームワーク (RMF)

品質基準を満たすことも目的としたモデル

ソフトウェア能力成熟度モデル (CMM; Capabilities Maturity Model) :

ソフトウェアが要求事項をどれだけ満たしているかを確認する

ソフトウェア品質保証またはソフトウェアアシュアランス

システムが提供されるすべてのセキュリティ要求事項を満たしていることを確認すること

認証 (Assurance)

システムを本番環境に移すための承認

認定 (Accreditation)

開発者の視点からテストする。有効性の検証

ホワイトボックステスト

ユーザの視点からテストする。現実性の検証

ブラックボックステスト

ユーザの視点からテストするが、ソースコードにアクセスできる

グレーボックステスト

変更や追加によって既存の機能が影響されていないことを確認するテスト

回帰テスト

調達時のソフトウェアアシュアランスの最初の段階は？

計画フェーズ

コードを見る目があれば、そのソフトウェアのバグはすべて明らかになる

リーナスの法則

監査の結果は、以下のような発見事項として組織に正式に報告される。最初に実施されるのは？

状況

監査の結果を記載した所見

状況

問題が発生した理由の説明

原因

状況と基準との違いと重要性

影響

原因を修正するための取るべき行動

改善提案

組織がサイバーセキュリティの回復力を評価するためのツールセットを提供する

CSF (CyberSecurity Framework

米国公認会計士協会が定めた、受託業務（各種アウトソーシングサービス等）を行う会社の、内部統制の有効性を評価する保証基

SSAE

セキュリティ保証要件における評価保証レベルの　EAL1は？

機能テスト

形式的検証済み設計、およびテスト

EAL7

100

製品のセキュリティ要件を特定する文書（用語や概念、ひな形）

保護プロファイル (PP; Protection Profil

CISSP_test1

CISSP_test1

CISSP_test2

エッグスンシングス · 77問 · 2年前

CISSP_test2

77問 • 2年前

CISSP_test3

CISSP_test3

CISSP_test4

CISSP_test4

CISSP_test5

CISSP_test5

CISSP_test6

エッグスンシングス · 57問 · 2年前

CISSP_test6

57問 • 2年前

CISSP（模擬テスト3）

エッグスンシングス · 30問 · 2年前

CISSP（模擬テスト3）

30問 • 2年前

CISSP本番

CISSP本番

CISS本番2

CISS本番2

Udemy

Udemy

CISSP本番3

CISSP本番3

CISSP本番4

CISSP本番4

CISSP本番5

エッグスンシングス · 14問 · 1年前

CISSP本番5

14問 • 1年前

ISC(Final Assessment )

エッグスンシングス · 40問 · 1年前

ISC(Final Assessment )

40問 • 1年前

CISSP　暗記（PORT）

エッグスンシングス · 85問 · 1年前

CISSP　暗記（PORT）

85問 • 1年前

CISSP(予想問題）

エッグスンシングス · 22問 · 1年前

CISSP(予想問題）

22問 • 1年前

ISC2（ドメイン1）

エッグスンシングス · 42問 · 1年前

ISC2（ドメイン1）

42問 • 1年前

ISC2（ドメイン2）

エッグスンシングス · 25問 · 1年前

ISC2（ドメイン2）

25問 • 1年前

ISC2（ドメイン3）

エッグスンシングス · 69問 · 1年前

ISC2（ドメイン3）

69問 • 1年前

ISC2（ドメイン4）

エッグスンシングス · 26問 · 1年前

ISC2（ドメイン4）

26問 • 1年前