暗記メーカー

暗記メーカー

ログイン
CISSP(用語10)
100問 • 1年前
  • エッグスンシングス
    • 通報

    問題一覧

  • 1

    保存データ(データアットレスト)の責任は通常、どのような役割が担うべきですか?

    ユーザー

  • 2

    移動中のデータ(データインモーション)を保護する一般的な方法は何ですか?

    リンク暗号化またはエンドツーエンド暗号化

  • 3

    使用中のデータ(データインユース)の保護責任は通常、どの役割にありますか?

    プロバイダー

  • 4

    データが移動中に暗号化されていない場合、どのようなセキュリティリスクが最も関連しますか?

    インターセプトや盗聴

  • 5

    データが使用中の場合、どのようなプロセスが通常行われていますか?

    データの追加、修正、削除

  • 6

    データライフサイクルの初期段階で最も重要なセキュリティ対策は何ですか?

    アクセス制御の確立

  • 7

    データの破棄プロセスにおけるセキュリティ上の最優先事項は何ですか?

    データが復元不可能であることを保証する

  • 8

    データサニタイズの主な目的は何ですか?

    機密情報を含むデータからの情報の完全な削除

  • 9

    セキュアなデータサニタイズにおいて、Degaussing(消磁)が有効なのは次のうちどれですか?

    磁気テープ

  • 10

    電子的なデータサニタイズプロセスにおいて、データの消去証明を提供するために何が必要ですか?

    消去認証書

  • 11

    次のうち、管理的セキュリティコントロールの例はどれですか?

    セキュリティポリシーの開発

  • 12

    技術的または論理的セキュリティコントロールに分類されるのは次のうちどれですか?

    暗号化

  • 13

    次のうち、予防的セキュリティコントロールに分類されるものはどれですか?

    アンチウイルスソフトウェア

  • 14

    検出的セキュリティコントロールの目的は何ですか?

    セキュリティ違反を特定して通知する

  • 15

    データセキュリティベースラインの確立において最も重要な最初のステップは何ですか?

    組織のリスク評価を行う

  • 16

    データセキュリティベースラインを策定する際、どの要素を考慮する必要がありますか?

    法的および規制上の要件

  • 17

    セキュリティベースラインを実施する際に適切な範囲を決定するプロセスは何と呼ばれますか

    スコーピング

  • 18

    セキュリティベースラインを確立する際に、どのようなタイプの情報を基準として使用することが一般的ですか?

    業界ベストプラクティス

  • 19

    セキュリティ評価におけるスコーピングの目的は何ですか?

    評価の範囲を特定して、適切なリソースを確保するため

  • 20

    テーラリングプロセスにおいて最も重要な要素は何ですか?

    組織の特定の状況やニーズに合わせたカスタマイズ

  • 21

    テーラリングにおける「知る必要性」の原則の重要性は何ですか?

    情報へのアクセスを最小限に制限するため

  • 22

    スコーピングとテーラリングにおいて、どのようなタイプのサンプリングが利用されますか?

    統計的サンプリングと判断に基づくサンプリング

  • 23

    多くの組織が職業倫理規約を作成する主な理由は何ですか?

    価値観やステークホルダーに対する義務を明記するため

  • 24

    職業上の倫理規範に沿った行動の例は何ですか?

    社会全体の利益を考えて行動する

  • 25

    もし(ISC)2 倫理規約に違反した場合、どのような処分が下される可能性がありますか?

    倫理委員会による認証の取り消し

  • 26

    機密性を確保するために、どのようなセキュリティ対策が推奨されますか?

    データ暗号化

  • 27

    情報の完全性を維持するためには、どのような手段が有効ですか?

    ハッシュ検証

  • 28

    可用性を確保するためにはどのような措置が必要ですか?

    RAIDシステムの導入

  • 29

    機密性の侵害の一例として何が挙げられますか?

    情報漏洩

  • 30

    完全性が侵害された例として、最も適切なものはどれですか?

    ウェブページの改ざん

  • 31

    デューデリジェンスに関する説明として適切なものはどれですか?

    責任を果たすための適切な努力

  • 32

    組織のガバナンスプロセスの主な目的は何ですか?

    組織の戦略的な目標とセキュリティ目標の整合性を確保すること

  • 33

    ガバナンス委員会の役割について正しい説明はどれですか?

    組織内の意思決定方法を決定す

  • 34

    プライバシーシールドが提供する保護の原則に含まれないものはどれですか?

    コンプライアンス (Compliance)

  • 35

    プライバシーシールド協定が2020年7月に破棄された理由は何でしたか?

    EU市民を保護するものではないとの主張を支持したため

  • 36

    プライバシーシールドにおける「データ完全性および目的外利用の禁止」とは、どのような概念を指しますか?

    データは信頼でき、収集された目的以外で利用されないこと

  • 37

    プライバシーシールドの原則に基づき、個人が自分に関わる情報にアクセスしたい場合、どのような権利が保障されていますか?

    アクセスする権利

  • 38

    特許の有効期限は通常何年ですか?

    20年

  • 39

    パブリックドメインにある知的財産はどのように使用できますか?

    目的を問わず誰でも無制限に使用できる

  • 40

    どのような状況でフェイルセーフの概念が特に重要ですか?

    緊急事態や異常事態の発生時

  • 41

    フェイルセーフメカニズムの例として適切なものはどれですか?

    ブルースクリーンが発生したときにシステムがシャットダウンする

  • 42

    フェイルセーフの概念が適用されるのは、主にどのタイプのシステムですか?

    重要なインフラストラクチャや安全に関連するシステム

  • 43

    金融機関における職務の分離の一例として、正しい組み合わせはどれですか?

    取引の入力を行う従業員と取引を承認する従業員が異なる

  • 44

    シンプルなシステムデザインが重要視される背景にある考え方は何ですか?

    エラーの発生を減らし、信頼性を高める

  • 45

    職務の分離は、以下のどのセキュリティ目標を達成するのに役立ちますか?

    不正行為やエラーによるリスクの軽減

  • 46

    職務の分離が不十分な場合、どのようなセキュリティ上の脅威が最も懸念されますか?

    内部における不正アクセスや横領

  • 47

    クラーク-ウィルソンモデルにおいて職務の分離は、以下のどの方式で実現されますか?

    特定の操作を行うためには複数のユーザーの認証が必要とされる

  • 48

    どの業務プロセスにおいて職務の分離が最も重要とされますか?

    財務報告および監査

  • 49

    プロビジョニングプロセスの導入が組織にとって重要である理由として、最も適切なものを選んでください

    プロビジョニングは、従業員に必要なアクセス権のみを付与し、セキュリティを強化するために使用される

  • 50

    帯域外のID証明(Out-of-band identity proofing)に関する次の記述のうち、正しいものを選んでください。

    帯域外のID証明は、最初に検証を要求した環境以外での検証を利用するID証明の手法である。

  • 51

    SPML(Service Provisioning Markup Language)に関する次の記述のうち、正しいものを選んでください。

    SPMLは、ユーザー、リソース、サービスのプロビジョニング要求の統合と相互運用を実現するために使用されるプロトコルである。

  • 52

    マスカレード(仮装)攻撃に関する次の記述のうち、正しいものを選んでください。

    マスカレード攻撃は、攻撃者が盗んだ、または偽りの認証資格情報を利用して認証メカニズムをバイパスするものである

  • 53

    リプレイ攻撃に関する次の記述のうち、正しいものを選んでください。

    リプレイ攻撃は、攻撃者がキャプチャした認証トークンやセッションIDを再送することで、認証メカニズムをバイパスする攻撃である。

  • 54

    アカウンティング(利用実績の記録)プロセスに関する次の記述のうち、正しいものを選んでください。

    アカウンティングは、全IDの全アクションを追跡し、ログイン成功や失敗の記録などを含むID管理機能である。

  • 55

    アカウントアクセスのレビューに関する次の記述のうち、正しいものを選んでください

    アカウントアクセスのレビューは、ユーザーのアクセス権限が適切かどうかを定期的に評価し、必要に応じて調整を行うプロセスである。

  • 56

    権限昇格攻撃に関する次の記述のうち、正しいものを選んでください。

    権限昇格攻撃は、攻撃者が正規のアカウントを利用してシステム上で自分の権限をより高いレベルに引き上げることです。

  • 57

    垂直方向の権限昇格に関する次の記述のうち、正しいものを選んでください。

    垂直方向の権限昇格は、攻撃者が現在使用中のアカウントでより高い権限レベルのアプリやサービスを実行することです。

  • 58

    水平方向の権限昇格に関する次の記述のうち、正しいものを選んでください。

    攻撃者が現在使用中のアカウントで発見、フィンガープリントの取得、別のサーバ上のデータやリソースにアクセスする攻撃です。

  • 59

    BLP(Bell-LaPadula)モデルの特徴についての記述として正しいものを選んでください。

    サブジェクトが自分のセキュリティレベルよりも高いレベルのオブジェクトへの書き込みを行うことを防ぐ("no write down"ルール)ことで、情報の機密性を保護することを特徴としています。

  • 60

    BibaモデルとClark-Wilsonモデルは、どちらも情報セキュリティに関するモデルですが、それぞれの焦点が異なります。以下の選択肢の中から、BibaモデルとClark-Wilsonモデルの主な違いを正しく説明しているものを選んでください

    Bibaモデルは情報の完全性を保護することを目的としており、"no read down"、"no write up"のルールに基づいています。Clark-Wilsonモデルはトランザクションの正確性と信頼性に焦点を当て、認証されたユーザーのみがデータを変更できるように設計されています。

  • 61

    BLP(Bell-LaPadula)モデルが実現することに関して正しい記述を選んでください。

    BLPモデルは、機密情報の不正な流出を防止するために、ユーザーが自分のセキュリティレベルより高い情報への書き込みを禁止することで、情報の機密性を保護します。

  • 62

    Bibaモデルが実現するセキュリティ目標について正しい記述を選んでください。

    Bibaモデルは、データの完全性を保護することを目標とし、情報が不正確あるいは不完全になることを防ぐためのポリシーを提供します。

  • 63

    Clark-Wilsonモデルの利点とそれが実現するセキュリティ目標について正しい記述を選んでください。

    Clark-Wilsonモデルは、商用アプリケーションにおけるトランザクションの正確性と信頼性を確保することで、データの完全性を向上させる利点を提供します。

  • 64

    Brewer-Nashモデルが実現するセキュリティ目標について正しい記述を選んでください。

    利益相反を防止し、機密性を保つために、サブジェクトが特定の情報セットにアクセスした後、競合する別の情報セットへのアクセスを制限するポリシーを提供します。

  • 65

    Clark-Wilsonモデルが実現するセキュリティ目標について正しい記述を選んでください

    データの完全性を保護することを目標とし、商用取引におけるデータの信頼性と正確性を確保するための制御を提供します。

  • 66

    リファレンスモニターを使用するセキュリティモデルについて正しい記述を選んでください。

    サブジェクトとオブジェクトの間のアクセス試行を監視し、適切な権限がある場合のみアクセスを許可することでセキュリティを強制します。

  • 67

    強制アクセス制御(Mandatory Access Control, MAC)について正しい記述を選んでください

    組織のポリシーやルールに基づいてアクセス権を集中管理し、ユーザーがオブジェクトにアクセスする際の権限を制御するアクセス制御方式です。

  • 68

    任意アクセス制御(Discretionary Access Control, DAC)について正しい記述を選んでください。

    オブジェクトのオーナーがオブジェクトへのアクセス権を他のユーザーに与えたり取り消したりすることができるアクセス制御方式です。

  • 69

    非任意アクセス制御(Non-Discretionary Access Control, NDAC)について正しい記述を選んでください。

    個々のユーザーやグループではなく、組織全体のポリシーに従ってアクセス権を中央管理するアクセス制御方式です。

  • 70

    ロールベースアクセス制御(Role-Based Access Control, RBAC)について正しい記述を選んでください

    ユーザーの職務や役割に基づいてアクセス権を割り当てるアクセス制御方式であり、特定の役割に割り当てられた権限に基づいてアクセスが許可されます。

  • 71

    ルールベースアクセス制御(Rule-Based Access Control, RuBAC)について正しい記述を選んでください。

    組織内のすべてのユーザーに一貫したセキュリティポリシーを適用するために、特定のルールやプロトコルに基づいてアクセス制御を行う方式です。

  • 72

    属性ベースアクセス制御(Attribute-Based Access Control, ABAC)について正しい記述を選んでください。

    ユーザー、リソース、および環境をポリシーとして利用し、これらの属性を満たす条件下でのみユーザーにアクセス権を付与するアクセス制御方式です。

  • 73

    リスクベースアクセス制御(Risk-Based Access Control, RBAC)について正しい記述を選んでください。

    アクセスする際のリスクレベルを動的に評価し、リスクレベルに応じてアクセス制御の基準を変更するアクセス制御方式

  • 74

    ある金融機関が内部不正を防ぐためのセキュリティ対策を強化しようとしています。従業員は長期間特定の職務を担当しており、同業他社で不正行為が発覚したことから、追加の予防措置が必要と考えられています。以下の選択肢の中から、この金融機関に最も適切な対策を選びなさい。

    従業員には定期的に少なくとも1週間から2週間の休暇を取らせ、別の従業員がその間に業務を引き継ぎます。これにより、隠蔽された不正行為を発見する機会が生まれます

  • 75

    あなたの会社は、機密性の高い情報を扱う新しいプロジェクトを開始しようとしています。セキュリティチームは、プロジェクトに適したIAM管理方式を選択するよう依頼されました。以下の情報に基づいて、集中管理、分散管理、またはハイブリッド管理のうち、どのアクセス制御管理方式が最も適しているかを選択してください。 プロジェクトは、データの一貫性とセキュリティが非常に重視されます。 プロジェクトチームは複数の地理的に分散した場所にいます。 応答性は重要ですが、不正アクセスに対するリスクを最小限に抑えることが最優先事項です

    ハイブリッド管理

  • 76

    ある企業が物理的アクセス制御システム(PACS)を導入することを検討しています。この企業は、重要なデータセンターとオフィススペースを持ち、セキュリティを強化しながら運用の効率を維持したいと考えています。以下の選択肢の中から、PACSを導入することの主な利点を選んでください

    特定の入り口を通る人や物の移動を管理し、組織の資産インベントリの一部として重要なデータが含まれるアプリケーションに対するアクセス制御を強化する

  • 77

    あなたの組織では、ユーザーの認証とアイデンティティ情報の管理を改善するためにIDストアを導入することを検討しています。次の選択肢の中から、IDストアの導入による主な利点を選んでください。

    IDストアは、IDに関するすべての情報の集中的なリポジトリを提供し、シングルサインオンやフェデレーションID管理などの技術の構成要素となります

  • 78

    企業が資格情報管理システム(CMS)を導入することを決定しました。CMSの主な機能として期待されるものを以下の選択肢から選んでください。

    複数の資格情報を管理し、様々な環境におけるIDサービスを標準化する

  • 79

    ある組織がフェデレーションID管理(FIM)を実装することを検討しています。この組織は複数のパートナー企業との間でシステムを共有し、ユーザーが異なるセキュリティドメインにまたがってサービスを利用できるようにしたいと考えています。FIMを導入することの主な利点は何でしょうか?

    異なるセキュリティドメイン間で信頼関係を構築し、別のシステムで認証済みであれば、それをもって認証完了とする仕組みです

  • 80

    グローバル企業であるABC社は、複数の子会社とパートナー企業があり、従業員が異なる組織のリソースにアクセスする必要がある状況に直面しています。セキュリティチームは、ユーザーのアイデンティティ情報を効率的に管理し、セキュリティを確保しながらユーザーの利便性を向上させるIAMソリューションの選定を求められています。この場合、次のどのIAMソリューションがABC社にとって最も適しているでしょうか?

    フェデレーションID管理(FIM)

  • 81

    XYZ社は、その多様なビジネスユニット内で従業員が使用する多くのプロプライエタリシステムとサードパーティのアプリケーションを持っています。それぞれのシステムは独自の認証メカニズムを持ち、ユーザーは多くの異なる資格情報を覚えておく必要があります。XYZ社のIT部門は、資格情報の管理を合理化し、セキュリティポリシーの一貫性を保ちつつ、ユーザーエクスペリエンスを向上させるソリューションを求めています。次の選択肢から、XYZ社に最適なIAMソリューションを選んでください。

    資格情報管理システム(CMS)

  • 82

    ある企業が新規従業員のアイデンティティ確認プロセスにおいて、アイデンティティ保証レベル(Identity Assurance Level, IAL)の概念を導入することにしました。新規従業員は企業のシステムアクセスの前に、公的機関が発行した身分証明書を用いて対面での身元確認を行う必要があります。このプロセスは、次のうちどのアイデンティティ保証レベルに該当しますか?

    IAL3

  • 83

    ABC株式会社では、従業員が複数の内部システムとクラウドベースのアプリケーションにアクセスする際の利便性向上を図るために、シングルサインオン(SSO)の導入を検討しています。SSOの実装により、従業員は一度の認証で全ての対象システムにアクセスすることができるようになります。SSOシステムにおけるトークンの役割は何でしょうか?

    従業員が一度ログインすると生成され、その後のシステム間の認証に使用される一時的な証明書として機能します。

  • 84

    情報セキュリティ部門のマネージャーであるあなたは、会社のアクセス制御システムのセキュリティ監査を行っています。監査の結果、認証システムの他人受入率(FAR)が業界標準よりも高いことが判明しました。このリスクが高いことが示す可能性がある状況として、最も適切なものはどれでしょうか?

    不正ユーザーが認証メカニズムをバイパスし、システムにアクセスできる可能性が高まっています。

  • 85

    ある企業は、アクセス権を効率的に管理し、セキュリティを向上させるためにジャストインタイムID(JIT ID)の導入を検討しています。JIT IDはどのような特徴を有しており、企業にどのような利点をもたらすでしょうか?

    オンデマンドでリアルタイムにユーザーIDの作成とプロビジョニング、権限昇格を行い、使用後にはアクセス権を削除します

  • 86

    セキュリティ意識の高い企業で、ウェブアプリケーションのセッション管理の強化を検討しています。セッション管理とは何を指し、どのような機能が含まれているべきでしょうか?

    ユーザーがアプリケーションにログインしてからログアウトするまでの期間、ユーザーのアクティビティを追跡し、そのセキュリティを保護するプロセスです

  • 87

    ネットワーク管理者は、企業のリモートアクセスサービスの認証プロセスを強化するためにRADIUSサーバーを導入することを計画しています。RADIUSプロトコルの主な特徴として正しいものはどれですか?

    デフォルトでUDPを利用し、認証と認可を提供するAAAプロトコルです

  • 88

    セキュリティ管理者は、ネットワーク機器へのアクセス制御を改善するために、TACACS+プロトコルを導入することを検討しています。TACACS+の利用が適しているシナリオとして最も正しいものはどれですか?

    ネットワーク機器に対してユーザーごとに異なるコマンドレベルのアクセス権を制御したい場合

  • 89

    ネットワークエンジニアが企業のディレクトリサービスを再設計しており、LDAPを採用することを検討しています。LDAPプロトコルが提供する機能として最も正しいものはどれですか?

    ディレクトリ情報ツリーを用いてネットワーク上のユーザーやリソースに関する情報を効率的に管理およびアクセスするためのプロトコルです

  • 90

    ネットワークセキュリティチームは、組織内の認証プロセスを改善するためにKerberosプロトコルを導入することを提案しています。Kerberos認証の特徴に関する説明として正しいものはどれですか?

    ユーザーの認証情報を一度だけ入力することで複数のサービスへのアクセスを可能にするシングルサインオン(SSO)プロトコルです

  • 91

    開発チームは、ウェブアプリケーションに外部のアイデンティティプロバイダを介して認証機能を実装することを計画しており、OpenID Connect(OIDC)の使用を検討しています。OpenID Connectに関する説明として正しいものはどれですか?

    OAuth 2.0プロトコル上に構築された認証層であり、IDトークンを通じてユーザー情報を提供します

  • 92

    組織がシングルサインオン(SSO)ソリューションを導入するにあたり、SAMLベースの認証を採用することを検討しています。SAMLを使用する主な目的は何ですか?

    Webサービス間でセキュリティアサーションを交換し、ユーザーのシングルサインオンを実現するためのXMLベースのオープンスタンダードです

  • 93

    ウェブアプリケーションの開発者は、外部サービスにユーザーのデータを安全にアクセスさせるための認可フレームワークとしてOAuth 2.0を実装しようとしています。OAuth 2.0の主な用途は何ですか?

    ユーザーに代わってアプリケーションがAPIサーバー等からアクセストークンを取得し、保護されたリソースへのアクセスを認可する仕組みです

  • 94

    セキュリティエンジニアが、企業のアプリケーション認証基盤の設計を行っています。以下の要件を満たすために最も適切な認証プロトコルはどれですか? 要件: 複数の異なる企業のウェブアプリケーション間でユーザーのシングルサインオン(SSO)を実現し、ユーザーが一度のログインで複数のアプリケーションを利用できるようにする必要があります。

    SAML

  • 95

    ある企業が新しいセキュリティアーキテクチャを設計する過程にあり、セキュリティポリシーとモデルを適用する必要があります。次のうち、セキュリティアーキテクチャ設計における重要な原則を最もよく表しているのはどれですか?

    リングモデルに基づいて、リング0からリング3までの各レベルにおいて、適切な権限を持つサブジェクトが対応するリングのリソースにのみアクセスできるようにする

  • 96

    組織がセキュリティ対策を強化するために状態マシンモデルを採用しようとしています。状態マシンモデルの主な目的と機能に関する説明として正しいものはどれですか?

    システムの振る舞いを状態と遷移の組み合わせで表現し、特定の条件を満たさない限り次の状態に遷移しないようにすることで、システムのセキュリティを保証します[

  • 97

    組織が情報フローモデルを適用して、システム内での情報の流れを分析しようとしています。情報フローモデルの目的に関する説明として正しいものはどれですか?

    システム内でのデータの流れを追跡し、潜在的な脅威や攻撃経路を特定するために使用されます

  • 98

    企業のITセキュリティチームは、社内で使用されているクライアント型システムの脆弱性を評価し、その対策を計画しています。次のうち、クライアント型システムに存在する一般的な脆弱性と、それに対する適切な対応策を組み合わせたものはどれですか?

    脆弱性: マルウェア感染のリスク。対応策: アンチウイルスソフトウェアの導入と定期的なアップデートを実施する。

  • 99

    ある企業のセキュリティマネージャーが、サーバベースシステムのセキュリティポストチャーを強化する計画を立てています。サーバベースシステムに特有の脆弱性とその対応策について正しい組み合わせはどれですか?

    脆弱性: サービス拒否(DoS)攻撃。対応策: ネットワークの冗長性を確保し、負荷分散を行う。

  • 100

    企業のデータベース管理者は、データベースシステムのセキュリティを評価し、強化するための戦略を立てています。データベースシステムに特有の脆弱性と、それに対する適切な対応策を選んでください

    脆弱性: SQLインジェクション攻撃。対応策: 入力値の検証とパラメータ化されたクエリの使用を徹底する。

    • CISSP_test1

    CISSP_test1

    エッグスンシングス · 100問 · 2年前

    CISSP_test1

    CISSP_test1

    100問 • 2年前
    エッグスンシングス

    CISSP_test2

    CISSP_test2

    エッグスンシングス · 77問 · 2年前

    CISSP_test2

    CISSP_test2

    77問 • 2年前
    エッグスンシングス

    CISSP_test3

    CISSP_test3

    エッグスンシングス · 100問 · 2年前

    CISSP_test3

    CISSP_test3

    100問 • 2年前
    エッグスンシングス

    CISSP_test4

    CISSP_test4

    エッグスンシングス · 100問 · 2年前

    CISSP_test4

    CISSP_test4

    100問 • 2年前
    エッグスンシングス

    CISSP_test5

    CISSP_test5

    エッグスンシングス · 100問 · 2年前

    CISSP_test5

    CISSP_test5

    100問 • 2年前
    エッグスンシングス

    CISSP_test6

    CISSP_test6

    エッグスンシングス · 57問 · 2年前

    CISSP_test6

    CISSP_test6

    57問 • 2年前
    エッグスンシングス

    CISSP(模擬テスト3)

    CISSP(模擬テスト3)

    エッグスンシングス · 30問 · 2年前

    CISSP(模擬テスト3)

    CISSP(模擬テスト3)

    30問 • 2年前
    エッグスンシングス

    CISSP本番

    CISSP本番

    エッグスンシングス · 100問 · 1年前

    CISSP本番

    CISSP本番

    100問 • 1年前
    エッグスンシングス

    CISS本番2

    CISS本番2

    エッグスンシングス · 100問 · 1年前

    CISS本番2

    CISS本番2

    100問 • 1年前
    エッグスンシングス

    Udemy

    Udemy

    エッグスンシングス · 100問 · 1年前

    Udemy

    Udemy

    100問 • 1年前
    エッグスンシングス

    CISSP本番3

    CISSP本番3

    エッグスンシングス · 100問 · 1年前

    CISSP本番3

    CISSP本番3

    100問 • 1年前
    エッグスンシングス

    CISSP本番4

    CISSP本番4

    エッグスンシングス · 100問 · 1年前

    CISSP本番4

    CISSP本番4

    100問 • 1年前
    エッグスンシングス

    CISSP本番5

    CISSP本番5

    エッグスンシングス · 14問 · 1年前

    CISSP本番5

    CISSP本番5

    14問 • 1年前
    エッグスンシングス

    ISC(Final Assessment )

    ISC(Final Assessment )

    エッグスンシングス · 40問 · 1年前

    ISC(Final Assessment )

    ISC(Final Assessment )

    40問 • 1年前
    エッグスンシングス

    CISSP 暗記(PORT)

    CISSP 暗記(PORT)

    エッグスンシングス · 85問 · 1年前

    CISSP 暗記(PORT)

    CISSP 暗記(PORT)

    85問 • 1年前
    エッグスンシングス

    CISSP(予想問題)

    CISSP(予想問題)

    エッグスンシングス · 22問 · 1年前

    CISSP(予想問題)

    CISSP(予想問題)

    22問 • 1年前
    エッグスンシングス

    ISC2(ドメイン1)

    ISC2(ドメイン1)

    エッグスンシングス · 42問 · 1年前

    ISC2(ドメイン1)

    ISC2(ドメイン1)

    42問 • 1年前
    エッグスンシングス

    ISC2(ドメイン2)

    ISC2(ドメイン2)

    エッグスンシングス · 25問 · 1年前

    ISC2(ドメイン2)

    ISC2(ドメイン2)

    25問 • 1年前
    エッグスンシングス

    ISC2(ドメイン3)

    ISC2(ドメイン3)

    エッグスンシングス · 69問 · 1年前

    ISC2(ドメイン3)

    ISC2(ドメイン3)

    69問 • 1年前
    エッグスンシングス

    ISC2(ドメイン4)

    ISC2(ドメイン4)

    エッグスンシングス · 26問 · 1年前

    ISC2(ドメイン4)

    ISC2(ドメイン4)

    26問 • 1年前
    エッグスンシングス

    問題一覧

  • 1

    保存データ(データアットレスト)の責任は通常、どのような役割が担うべきですか?

    ユーザー

  • 2

    移動中のデータ(データインモーション)を保護する一般的な方法は何ですか?

    リンク暗号化またはエンドツーエンド暗号化

  • 3

    使用中のデータ(データインユース)の保護責任は通常、どの役割にありますか?

    プロバイダー

  • 4

    データが移動中に暗号化されていない場合、どのようなセキュリティリスクが最も関連しますか?

    インターセプトや盗聴

  • 5

    データが使用中の場合、どのようなプロセスが通常行われていますか?

    データの追加、修正、削除

  • 6

    データライフサイクルの初期段階で最も重要なセキュリティ対策は何ですか?

    アクセス制御の確立

  • 7

    データの破棄プロセスにおけるセキュリティ上の最優先事項は何ですか?

    データが復元不可能であることを保証する

  • 8

    データサニタイズの主な目的は何ですか?

    機密情報を含むデータからの情報の完全な削除

  • 9

    セキュアなデータサニタイズにおいて、Degaussing(消磁)が有効なのは次のうちどれですか?

    磁気テープ

  • 10

    電子的なデータサニタイズプロセスにおいて、データの消去証明を提供するために何が必要ですか?

    消去認証書

  • 11

    次のうち、管理的セキュリティコントロールの例はどれですか?

    セキュリティポリシーの開発

  • 12

    技術的または論理的セキュリティコントロールに分類されるのは次のうちどれですか?

    暗号化

  • 13

    次のうち、予防的セキュリティコントロールに分類されるものはどれですか?

    アンチウイルスソフトウェア

  • 14

    検出的セキュリティコントロールの目的は何ですか?

    セキュリティ違反を特定して通知する

  • 15

    データセキュリティベースラインの確立において最も重要な最初のステップは何ですか?

    組織のリスク評価を行う

  • 16

    データセキュリティベースラインを策定する際、どの要素を考慮する必要がありますか?

    法的および規制上の要件

  • 17

    セキュリティベースラインを実施する際に適切な範囲を決定するプロセスは何と呼ばれますか

    スコーピング

  • 18

    セキュリティベースラインを確立する際に、どのようなタイプの情報を基準として使用することが一般的ですか?

    業界ベストプラクティス

  • 19

    セキュリティ評価におけるスコーピングの目的は何ですか?

    評価の範囲を特定して、適切なリソースを確保するため

  • 20

    テーラリングプロセスにおいて最も重要な要素は何ですか?

    組織の特定の状況やニーズに合わせたカスタマイズ

  • 21

    テーラリングにおける「知る必要性」の原則の重要性は何ですか?

    情報へのアクセスを最小限に制限するため

  • 22

    スコーピングとテーラリングにおいて、どのようなタイプのサンプリングが利用されますか?

    統計的サンプリングと判断に基づくサンプリング

  • 23

    多くの組織が職業倫理規約を作成する主な理由は何ですか?

    価値観やステークホルダーに対する義務を明記するため

  • 24

    職業上の倫理規範に沿った行動の例は何ですか?

    社会全体の利益を考えて行動する

  • 25

    もし(ISC)2 倫理規約に違反した場合、どのような処分が下される可能性がありますか?

    倫理委員会による認証の取り消し

  • 26

    機密性を確保するために、どのようなセキュリティ対策が推奨されますか?

    データ暗号化

  • 27

    情報の完全性を維持するためには、どのような手段が有効ですか?

    ハッシュ検証

  • 28

    可用性を確保するためにはどのような措置が必要ですか?

    RAIDシステムの導入

  • 29

    機密性の侵害の一例として何が挙げられますか?

    情報漏洩

  • 30

    完全性が侵害された例として、最も適切なものはどれですか?

    ウェブページの改ざん

  • 31

    デューデリジェンスに関する説明として適切なものはどれですか?

    責任を果たすための適切な努力

  • 32

    組織のガバナンスプロセスの主な目的は何ですか?

    組織の戦略的な目標とセキュリティ目標の整合性を確保すること

  • 33

    ガバナンス委員会の役割について正しい説明はどれですか?

    組織内の意思決定方法を決定す

  • 34

    プライバシーシールドが提供する保護の原則に含まれないものはどれですか?

    コンプライアンス (Compliance)

  • 35

    プライバシーシールド協定が2020年7月に破棄された理由は何でしたか?

    EU市民を保護するものではないとの主張を支持したため

  • 36

    プライバシーシールドにおける「データ完全性および目的外利用の禁止」とは、どのような概念を指しますか?

    データは信頼でき、収集された目的以外で利用されないこと

  • 37

    プライバシーシールドの原則に基づき、個人が自分に関わる情報にアクセスしたい場合、どのような権利が保障されていますか?

    アクセスする権利

  • 38

    特許の有効期限は通常何年ですか?

    20年

  • 39

    パブリックドメインにある知的財産はどのように使用できますか?

    目的を問わず誰でも無制限に使用できる

  • 40

    どのような状況でフェイルセーフの概念が特に重要ですか?

    緊急事態や異常事態の発生時

  • 41

    フェイルセーフメカニズムの例として適切なものはどれですか?

    ブルースクリーンが発生したときにシステムがシャットダウンする

  • 42

    フェイルセーフの概念が適用されるのは、主にどのタイプのシステムですか?

    重要なインフラストラクチャや安全に関連するシステム

  • 43

    金融機関における職務の分離の一例として、正しい組み合わせはどれですか?

    取引の入力を行う従業員と取引を承認する従業員が異なる

  • 44

    シンプルなシステムデザインが重要視される背景にある考え方は何ですか?

    エラーの発生を減らし、信頼性を高める

  • 45

    職務の分離は、以下のどのセキュリティ目標を達成するのに役立ちますか?

    不正行為やエラーによるリスクの軽減

  • 46

    職務の分離が不十分な場合、どのようなセキュリティ上の脅威が最も懸念されますか?

    内部における不正アクセスや横領

  • 47

    クラーク-ウィルソンモデルにおいて職務の分離は、以下のどの方式で実現されますか?

    特定の操作を行うためには複数のユーザーの認証が必要とされる

  • 48

    どの業務プロセスにおいて職務の分離が最も重要とされますか?

    財務報告および監査

  • 49

    プロビジョニングプロセスの導入が組織にとって重要である理由として、最も適切なものを選んでください

    プロビジョニングは、従業員に必要なアクセス権のみを付与し、セキュリティを強化するために使用される

  • 50

    帯域外のID証明(Out-of-band identity proofing)に関する次の記述のうち、正しいものを選んでください。

    帯域外のID証明は、最初に検証を要求した環境以外での検証を利用するID証明の手法である。

  • 51

    SPML(Service Provisioning Markup Language)に関する次の記述のうち、正しいものを選んでください。

    SPMLは、ユーザー、リソース、サービスのプロビジョニング要求の統合と相互運用を実現するために使用されるプロトコルである。

  • 52

    マスカレード(仮装)攻撃に関する次の記述のうち、正しいものを選んでください。

    マスカレード攻撃は、攻撃者が盗んだ、または偽りの認証資格情報を利用して認証メカニズムをバイパスするものである

  • 53

    リプレイ攻撃に関する次の記述のうち、正しいものを選んでください。

    リプレイ攻撃は、攻撃者がキャプチャした認証トークンやセッションIDを再送することで、認証メカニズムをバイパスする攻撃である。

  • 54

    アカウンティング(利用実績の記録)プロセスに関する次の記述のうち、正しいものを選んでください。

    アカウンティングは、全IDの全アクションを追跡し、ログイン成功や失敗の記録などを含むID管理機能である。

  • 55

    アカウントアクセスのレビューに関する次の記述のうち、正しいものを選んでください

    アカウントアクセスのレビューは、ユーザーのアクセス権限が適切かどうかを定期的に評価し、必要に応じて調整を行うプロセスである。

  • 56

    権限昇格攻撃に関する次の記述のうち、正しいものを選んでください。

    権限昇格攻撃は、攻撃者が正規のアカウントを利用してシステム上で自分の権限をより高いレベルに引き上げることです。

  • 57

    垂直方向の権限昇格に関する次の記述のうち、正しいものを選んでください。

    垂直方向の権限昇格は、攻撃者が現在使用中のアカウントでより高い権限レベルのアプリやサービスを実行することです。

  • 58

    水平方向の権限昇格に関する次の記述のうち、正しいものを選んでください。

    攻撃者が現在使用中のアカウントで発見、フィンガープリントの取得、別のサーバ上のデータやリソースにアクセスする攻撃です。

  • 59

    BLP(Bell-LaPadula)モデルの特徴についての記述として正しいものを選んでください。

    サブジェクトが自分のセキュリティレベルよりも高いレベルのオブジェクトへの書き込みを行うことを防ぐ("no write down"ルール)ことで、情報の機密性を保護することを特徴としています。

  • 60

    BibaモデルとClark-Wilsonモデルは、どちらも情報セキュリティに関するモデルですが、それぞれの焦点が異なります。以下の選択肢の中から、BibaモデルとClark-Wilsonモデルの主な違いを正しく説明しているものを選んでください

    Bibaモデルは情報の完全性を保護することを目的としており、"no read down"、"no write up"のルールに基づいています。Clark-Wilsonモデルはトランザクションの正確性と信頼性に焦点を当て、認証されたユーザーのみがデータを変更できるように設計されています。

  • 61

    BLP(Bell-LaPadula)モデルが実現することに関して正しい記述を選んでください。

    BLPモデルは、機密情報の不正な流出を防止するために、ユーザーが自分のセキュリティレベルより高い情報への書き込みを禁止することで、情報の機密性を保護します。

  • 62

    Bibaモデルが実現するセキュリティ目標について正しい記述を選んでください。

    Bibaモデルは、データの完全性を保護することを目標とし、情報が不正確あるいは不完全になることを防ぐためのポリシーを提供します。

  • 63

    Clark-Wilsonモデルの利点とそれが実現するセキュリティ目標について正しい記述を選んでください。

    Clark-Wilsonモデルは、商用アプリケーションにおけるトランザクションの正確性と信頼性を確保することで、データの完全性を向上させる利点を提供します。

  • 64

    Brewer-Nashモデルが実現するセキュリティ目標について正しい記述を選んでください。

    利益相反を防止し、機密性を保つために、サブジェクトが特定の情報セットにアクセスした後、競合する別の情報セットへのアクセスを制限するポリシーを提供します。

  • 65

    Clark-Wilsonモデルが実現するセキュリティ目標について正しい記述を選んでください

    データの完全性を保護することを目標とし、商用取引におけるデータの信頼性と正確性を確保するための制御を提供します。

  • 66

    リファレンスモニターを使用するセキュリティモデルについて正しい記述を選んでください。

    サブジェクトとオブジェクトの間のアクセス試行を監視し、適切な権限がある場合のみアクセスを許可することでセキュリティを強制します。

  • 67

    強制アクセス制御(Mandatory Access Control, MAC)について正しい記述を選んでください

    組織のポリシーやルールに基づいてアクセス権を集中管理し、ユーザーがオブジェクトにアクセスする際の権限を制御するアクセス制御方式です。

  • 68

    任意アクセス制御(Discretionary Access Control, DAC)について正しい記述を選んでください。

    オブジェクトのオーナーがオブジェクトへのアクセス権を他のユーザーに与えたり取り消したりすることができるアクセス制御方式です。

  • 69

    非任意アクセス制御(Non-Discretionary Access Control, NDAC)について正しい記述を選んでください。

    個々のユーザーやグループではなく、組織全体のポリシーに従ってアクセス権を中央管理するアクセス制御方式です。

  • 70

    ロールベースアクセス制御(Role-Based Access Control, RBAC)について正しい記述を選んでください

    ユーザーの職務や役割に基づいてアクセス権を割り当てるアクセス制御方式であり、特定の役割に割り当てられた権限に基づいてアクセスが許可されます。

  • 71

    ルールベースアクセス制御(Rule-Based Access Control, RuBAC)について正しい記述を選んでください。

    組織内のすべてのユーザーに一貫したセキュリティポリシーを適用するために、特定のルールやプロトコルに基づいてアクセス制御を行う方式です。

  • 72

    属性ベースアクセス制御(Attribute-Based Access Control, ABAC)について正しい記述を選んでください。

    ユーザー、リソース、および環境をポリシーとして利用し、これらの属性を満たす条件下でのみユーザーにアクセス権を付与するアクセス制御方式です。

  • 73

    リスクベースアクセス制御(Risk-Based Access Control, RBAC)について正しい記述を選んでください。

    アクセスする際のリスクレベルを動的に評価し、リスクレベルに応じてアクセス制御の基準を変更するアクセス制御方式

  • 74

    ある金融機関が内部不正を防ぐためのセキュリティ対策を強化しようとしています。従業員は長期間特定の職務を担当しており、同業他社で不正行為が発覚したことから、追加の予防措置が必要と考えられています。以下の選択肢の中から、この金融機関に最も適切な対策を選びなさい。

    従業員には定期的に少なくとも1週間から2週間の休暇を取らせ、別の従業員がその間に業務を引き継ぎます。これにより、隠蔽された不正行為を発見する機会が生まれます

  • 75

    あなたの会社は、機密性の高い情報を扱う新しいプロジェクトを開始しようとしています。セキュリティチームは、プロジェクトに適したIAM管理方式を選択するよう依頼されました。以下の情報に基づいて、集中管理、分散管理、またはハイブリッド管理のうち、どのアクセス制御管理方式が最も適しているかを選択してください。 プロジェクトは、データの一貫性とセキュリティが非常に重視されます。 プロジェクトチームは複数の地理的に分散した場所にいます。 応答性は重要ですが、不正アクセスに対するリスクを最小限に抑えることが最優先事項です

    ハイブリッド管理

  • 76

    ある企業が物理的アクセス制御システム(PACS)を導入することを検討しています。この企業は、重要なデータセンターとオフィススペースを持ち、セキュリティを強化しながら運用の効率を維持したいと考えています。以下の選択肢の中から、PACSを導入することの主な利点を選んでください

    特定の入り口を通る人や物の移動を管理し、組織の資産インベントリの一部として重要なデータが含まれるアプリケーションに対するアクセス制御を強化する

  • 77

    あなたの組織では、ユーザーの認証とアイデンティティ情報の管理を改善するためにIDストアを導入することを検討しています。次の選択肢の中から、IDストアの導入による主な利点を選んでください。

    IDストアは、IDに関するすべての情報の集中的なリポジトリを提供し、シングルサインオンやフェデレーションID管理などの技術の構成要素となります

  • 78

    企業が資格情報管理システム(CMS)を導入することを決定しました。CMSの主な機能として期待されるものを以下の選択肢から選んでください。

    複数の資格情報を管理し、様々な環境におけるIDサービスを標準化する

  • 79

    ある組織がフェデレーションID管理(FIM)を実装することを検討しています。この組織は複数のパートナー企業との間でシステムを共有し、ユーザーが異なるセキュリティドメインにまたがってサービスを利用できるようにしたいと考えています。FIMを導入することの主な利点は何でしょうか?

    異なるセキュリティドメイン間で信頼関係を構築し、別のシステムで認証済みであれば、それをもって認証完了とする仕組みです

  • 80

    グローバル企業であるABC社は、複数の子会社とパートナー企業があり、従業員が異なる組織のリソースにアクセスする必要がある状況に直面しています。セキュリティチームは、ユーザーのアイデンティティ情報を効率的に管理し、セキュリティを確保しながらユーザーの利便性を向上させるIAMソリューションの選定を求められています。この場合、次のどのIAMソリューションがABC社にとって最も適しているでしょうか?

    フェデレーションID管理(FIM)

  • 81

    XYZ社は、その多様なビジネスユニット内で従業員が使用する多くのプロプライエタリシステムとサードパーティのアプリケーションを持っています。それぞれのシステムは独自の認証メカニズムを持ち、ユーザーは多くの異なる資格情報を覚えておく必要があります。XYZ社のIT部門は、資格情報の管理を合理化し、セキュリティポリシーの一貫性を保ちつつ、ユーザーエクスペリエンスを向上させるソリューションを求めています。次の選択肢から、XYZ社に最適なIAMソリューションを選んでください。

    資格情報管理システム(CMS)

  • 82

    ある企業が新規従業員のアイデンティティ確認プロセスにおいて、アイデンティティ保証レベル(Identity Assurance Level, IAL)の概念を導入することにしました。新規従業員は企業のシステムアクセスの前に、公的機関が発行した身分証明書を用いて対面での身元確認を行う必要があります。このプロセスは、次のうちどのアイデンティティ保証レベルに該当しますか?

    IAL3

  • 83

    ABC株式会社では、従業員が複数の内部システムとクラウドベースのアプリケーションにアクセスする際の利便性向上を図るために、シングルサインオン(SSO)の導入を検討しています。SSOの実装により、従業員は一度の認証で全ての対象システムにアクセスすることができるようになります。SSOシステムにおけるトークンの役割は何でしょうか?

    従業員が一度ログインすると生成され、その後のシステム間の認証に使用される一時的な証明書として機能します。

  • 84

    情報セキュリティ部門のマネージャーであるあなたは、会社のアクセス制御システムのセキュリティ監査を行っています。監査の結果、認証システムの他人受入率(FAR)が業界標準よりも高いことが判明しました。このリスクが高いことが示す可能性がある状況として、最も適切なものはどれでしょうか?

    不正ユーザーが認証メカニズムをバイパスし、システムにアクセスできる可能性が高まっています。

  • 85

    ある企業は、アクセス権を効率的に管理し、セキュリティを向上させるためにジャストインタイムID(JIT ID)の導入を検討しています。JIT IDはどのような特徴を有しており、企業にどのような利点をもたらすでしょうか?

    オンデマンドでリアルタイムにユーザーIDの作成とプロビジョニング、権限昇格を行い、使用後にはアクセス権を削除します

  • 86

    セキュリティ意識の高い企業で、ウェブアプリケーションのセッション管理の強化を検討しています。セッション管理とは何を指し、どのような機能が含まれているべきでしょうか?

    ユーザーがアプリケーションにログインしてからログアウトするまでの期間、ユーザーのアクティビティを追跡し、そのセキュリティを保護するプロセスです

  • 87

    ネットワーク管理者は、企業のリモートアクセスサービスの認証プロセスを強化するためにRADIUSサーバーを導入することを計画しています。RADIUSプロトコルの主な特徴として正しいものはどれですか?

    デフォルトでUDPを利用し、認証と認可を提供するAAAプロトコルです

  • 88

    セキュリティ管理者は、ネットワーク機器へのアクセス制御を改善するために、TACACS+プロトコルを導入することを検討しています。TACACS+の利用が適しているシナリオとして最も正しいものはどれですか?

    ネットワーク機器に対してユーザーごとに異なるコマンドレベルのアクセス権を制御したい場合

  • 89

    ネットワークエンジニアが企業のディレクトリサービスを再設計しており、LDAPを採用することを検討しています。LDAPプロトコルが提供する機能として最も正しいものはどれですか?

    ディレクトリ情報ツリーを用いてネットワーク上のユーザーやリソースに関する情報を効率的に管理およびアクセスするためのプロトコルです

  • 90

    ネットワークセキュリティチームは、組織内の認証プロセスを改善するためにKerberosプロトコルを導入することを提案しています。Kerberos認証の特徴に関する説明として正しいものはどれですか?

    ユーザーの認証情報を一度だけ入力することで複数のサービスへのアクセスを可能にするシングルサインオン(SSO)プロトコルです

  • 91

    開発チームは、ウェブアプリケーションに外部のアイデンティティプロバイダを介して認証機能を実装することを計画しており、OpenID Connect(OIDC)の使用を検討しています。OpenID Connectに関する説明として正しいものはどれですか?

    OAuth 2.0プロトコル上に構築された認証層であり、IDトークンを通じてユーザー情報を提供します

  • 92

    組織がシングルサインオン(SSO)ソリューションを導入するにあたり、SAMLベースの認証を採用することを検討しています。SAMLを使用する主な目的は何ですか?

    Webサービス間でセキュリティアサーションを交換し、ユーザーのシングルサインオンを実現するためのXMLベースのオープンスタンダードです

  • 93

    ウェブアプリケーションの開発者は、外部サービスにユーザーのデータを安全にアクセスさせるための認可フレームワークとしてOAuth 2.0を実装しようとしています。OAuth 2.0の主な用途は何ですか?

    ユーザーに代わってアプリケーションがAPIサーバー等からアクセストークンを取得し、保護されたリソースへのアクセスを認可する仕組みです

  • 94

    セキュリティエンジニアが、企業のアプリケーション認証基盤の設計を行っています。以下の要件を満たすために最も適切な認証プロトコルはどれですか? 要件: 複数の異なる企業のウェブアプリケーション間でユーザーのシングルサインオン(SSO)を実現し、ユーザーが一度のログインで複数のアプリケーションを利用できるようにする必要があります。

    SAML

  • 95

    ある企業が新しいセキュリティアーキテクチャを設計する過程にあり、セキュリティポリシーとモデルを適用する必要があります。次のうち、セキュリティアーキテクチャ設計における重要な原則を最もよく表しているのはどれですか?

    リングモデルに基づいて、リング0からリング3までの各レベルにおいて、適切な権限を持つサブジェクトが対応するリングのリソースにのみアクセスできるようにする

  • 96

    組織がセキュリティ対策を強化するために状態マシンモデルを採用しようとしています。状態マシンモデルの主な目的と機能に関する説明として正しいものはどれですか?

    システムの振る舞いを状態と遷移の組み合わせで表現し、特定の条件を満たさない限り次の状態に遷移しないようにすることで、システムのセキュリティを保証します[

  • 97

    組織が情報フローモデルを適用して、システム内での情報の流れを分析しようとしています。情報フローモデルの目的に関する説明として正しいものはどれですか?

    システム内でのデータの流れを追跡し、潜在的な脅威や攻撃経路を特定するために使用されます

  • 98

    企業のITセキュリティチームは、社内で使用されているクライアント型システムの脆弱性を評価し、その対策を計画しています。次のうち、クライアント型システムに存在する一般的な脆弱性と、それに対する適切な対応策を組み合わせたものはどれですか?

    脆弱性: マルウェア感染のリスク。対応策: アンチウイルスソフトウェアの導入と定期的なアップデートを実施する。

  • 99

    ある企業のセキュリティマネージャーが、サーバベースシステムのセキュリティポストチャーを強化する計画を立てています。サーバベースシステムに特有の脆弱性とその対応策について正しい組み合わせはどれですか?

    脆弱性: サービス拒否(DoS)攻撃。対応策: ネットワークの冗長性を確保し、負荷分散を行う。

  • 100

    企業のデータベース管理者は、データベースシステムのセキュリティを評価し、強化するための戦略を立てています。データベースシステムに特有の脆弱性と、それに対する適切な対応策を選んでください

    脆弱性: SQLインジェクション攻撃。対応策: 入力値の検証とパラメータ化されたクエリの使用を徹底する。