ドメイン4

100問 • 2年前

問題一覧

1. ミカヤは、GitHub からダウンロードしたソフトウェアのコンポーネントを検証したいと考えています。ダウンロードしたコンポーネントが、統合プロセスの一環として、自分の環境に取り込まれたときに、そのソフトウェアにセキュリティ上の欠陥がないことを、どのように検証すればよいでしょうか？

D. ミカヤは、説明したオプションによってセキュリティ上の欠陥がないことを保証することはできない。

2. リンは、ユーザーが自分のサービスにアクセスするときに、サードパーティのIDプロバイダが提供する既存の認証情報を使用できるようにしたいと考えています。次のリストからどの要素を提供する必要がありますか。

C. 認可

3. ジョアンナのソフトウェア・ベンダーは、顧客にソースコードを提供していない。次のリストの中で、ベンダーのソフトウェアパッケージのセキュリティをテストするための最良のオプションはどれか。

D. 動的テストを実施する。

4. クラウド開発プロセスに最もよく関連する SDLC モデルは？

A. アジャイル

5. スーザンはクラウドアプリケーション開発でよくある落とし穴を避けたいと考えています。次のうち、クラウド環境によくある落とし穴はどれですか？

D. クラウドで構築されたアプリケーションのセキュリティ

6. スーザンはデータ統合の問題を避けたいと考えている。彼女は、OWASPクラウドトップ10にサービスとデータ統合のセキュリティ問題が含まれていることを知っています。顧客は自分のサービスにアクセスするときに使うRESTベースのAPIを導入している。彼女はAPIキーを使用していますが、第三者がデータを傍受してアクセスすることを懸念しています。この懸念に対処するために、実装に何を含めるべきか。

C. 転送時の暗号化

7. ベンはソフトウェア開発のためにビジネス要件を収集したいと考えており、アジャイル手法を使用しています。次のうち、アジャイルプロセスでユーザー要件を収集する一般的な手段でないものはどれですか？

B. ドキュメントレビュー

8. 保存時の暗号化は、クラウド環境のSDLCに含まれる保護設計要素である。どのような一般的なクラウド設計の概念に起因していますか？

B. マルチテナンシー

9. ニックはCI/CDパイプラインでよくある落とし穴を避けたいと考えています。次のうち、クラウド開発の取り組みを害する可能性のあるCI/CDの落とし穴はどれですか？

C. 複数のデプロイメントパスの使用

10. マリアは、既存のIDプロバイダをクラウドプロバイダのサービスと統合したいと考えている。ほとんどのクラウドIDプロバイダーの統合には、どのような共通規格が使用されていますか？

C. SAML

11. ジャックはチームがクラウドネイティブアプリケーションを開発できるようにしたいと考えています。次のうち、クラウドネイティブアプリケーションの設計に共通しない要素はどれですか？

A. 最適化されたアセンブリコード

12. ソフトウェア開発ライフサイクル(SDLC)のどのフェーズで、ユーザの関与が最も重要ですか？

A. 定義

13. ブライアンは、開発プロセスにおいて OWASP トップ 10 のクラウドリスクを確実に考慮したいと考えている。彼は、規制遵守がリストにあることを知っており、それを SDLC に含めたいと考えています。 SDLC のどのフェーズで規制コンプライアンスを考慮するのが最も理にかなっていますか？

A. 分析と要件定義

14. アンジーが所属する組織で使用しているテストプロセスには、設計仕様書、ソースコード、実行中のアプリケーションへのアクセスが含まれる。彼女が使用しているセキュリティテスト手法はどのようなものですか？

A. ホワイトボックス

15. CWE/SANSの最も危険なソフトウェアエラーのトップ25には、ハードコードされた認証情報の使用が含まれています。クラウドでホストされるソフトウェアやアプリケーションでこの問題を回避するために使用できる一般的なクラウドサービスコンポーネントは？

C. KMS

16. ダナの組織は、配備するアプリケーションごとに SBOM を要求しています。 SBOM が回避に役立つ OWASP トップ 10 項目は何ですか？

A. 脆弱で古いコンポーネント

17. ユンが勤める会社は顧客にAPIアクセスを提供している。ユンは、APIアクセスをレート制限し、中央認可およびアクセス管理システムを使用しながら請求情報を収集したいと考えています。これらの要件を満たすために、ユン氏はどのようなツールを導入すべきでしょうか。

A. APIゲートウェイ

18. IAST は通常 SDLC のどのフェーズに関連しますか？

B. テスト

19. ゲイリーのクラウドサービスは顧客にAPIへのアクセスを提供している。次のうち、APIによくあるセキュリティ上の欠陥はどれですか？

B. 認証の欠如

20. ダンはクラウド環境で保存時のデータを暗号化したいと考えています。保存時のデータを暗号化する場合、どのような暗号化規格を選ぶべきでしょうか。

B. AES-256

21. マークは、ソフトウェア・ベンダーがソフトウェア検証プロセスの一環として業界のベスト・プラクティスを使用していることを確認したいと考えている。彼は、NISTが開発者によるコードの検証のための推奨最低基準をいくつか定義していることを知っています。次のうち、NISTの推奨最小値でないものはどれか。ベンダーまたは開発者によるコード検証の標準はどれですか？

C. 内部で開発されたソフトウェアだけをチェックする。

22. ローリは、ベンダーが提供するソフトウェア・コンポーネントが安全であることを確認したいと考えています。これらのパッケージのアセスメントを実施するには、どのようなプロセスを使用する必要がありますか？

B. ソフトウェア構成分析

23. クリスティンはソフトウェアテストのユーザーストーリーを文書化した：「攻撃者として、私はフォーム送信の一部として、ユーザーの送信を読み取る解析ソフトウェアを悪用する悪意のあるソフトウェアをアップロードします。」クリスティンはどのようなタイプのテストを準備していますか？

A. アビュースケーステスト

24. OWASPのアプリケーションセキュリティ検証標準（ASVS）には、3つの主要な使用モデルがあります。次のうち、設計目的に基づいて意図された使用モデルでないものはどれですか？

B. 監査に使用する

25.イアンはクラウド固有のアプリケーション問題リストを使用したいと考えています。次のオプションのうち、どれを選ぶべきですか？

A. OWASPトップ10

26. ニックは、チームのソフトウェアのバージョン管理に共通のフォーマットを使いたいと考えています。業界で一般的な形式を使用したい場合、どのようなバージョン管理形式を使用すればよいでしょうか。

D. Major.minor.patch

27. 製品のすべてのソフトウェア・コンポーネントのリストを表す用語は？

B. SBOM

28. ヴァレリーの会社では最近、使用しているサードパーティ製アプリケーションに対するSQLインジェクション攻撃が成功しました。ベンダはまだ SQL インジェクションの欠陥に対するパッチを提供していませんが、ヴァレリーは業務上の要件により、そのアプリケーションを本番稼動させ続ける必要があります。ヴァレリーは、自社のWebアプリケーションに対するSQLインジェクション攻撃から保護するために、どのような種類のツールを導入することができますか？

B. WAF

29. ジャッキーは、アプリケーションごとに独立したオペレーティングシステムを持つことなく、必要なライブラリやその他の依存関係を使用してアプリケーションを実行できるようにしたいと考えています。異なるオペレーティング・システム間でアプリケーション・パッケージを簡単に移動できるようにするには、どのような技術を使用すればよいでしょうか？

B. コンテナ

30. チャールズは所属組織の認証情報を使ってログインし、そのログイン情報をさまざまなシステムやアプリケーションで使用することができます。チャールズが使用しているテクノロジーは何ですか。

B. SSO

31. ヘンリーは、認可された顧客だけが組織の公開APIを使用できるようにしたいと考えています。この目的のために、どのような一般的なセキュリティ技術がありますか？

A. APIキー

32. ナンシーは、自分の組織でソフトウェアのライセンスに関する問題が発生しないようにしたいと考えています。彼女は、各インストールがチェックインするライセンスサーバーを使用してベンダーがアクセスを制御していることを知っています。将来のある時点でサービスが中断しないようにするために、彼女が特に注意を払うべきは次のうちどれですか?

A. ライセンス期間

33. アイザックは、クラウド・サービス・プロバイダーが広く受け入れられている標準に準拠した暗号システムを使用していることを確認したいと考えている。プロバイダーが暗号システムに準拠することを期待すべき米国政府の基準は何か。

B. FIPS 140-2

34. メーガンは、インフラストラクチャにおける権限の使用に関する監査可能性を高めたいと考えています。次のソリューションのうち、監査可能性に最も良い影響を与えるのはどれですか。

C. ダイナミックシークレットを使用する。

35. ソフトウェア開発ライフサイクル(SDLC)のテストフェーズでは、ソフトウェアの性能とxxxの両方をレビューすべきである。

D. セキュリティ

36. クリスは、クラウドプロバイダーがホストする仕組みを使用して、組織のシークレットを保管・管理したいと考えている。どのようなソリューションを探すべきか。

A. KMS

37. フェデレーションで認証サービスを提供するエンティティは？

A. IdP

38. Dockerはどのようなツールの例ですか？

C. コンテナ化プラットフォーム

39. ヤスミンはサービスとしてのソフトウェアベンダーと仕事をしています。ヤスミンの会社は環境のどの部分を担当していますか？

D. ベンダーは環境に責任を負う。

40. ジェイソンは多要素認証を使用したいと考えています。次のうち、有効な多要素セットはどれですか。

B. ユーザー名、パスワード、携帯電話のアプリで生成されたコード

41. キムは自分のソフトウェアにバージョン管理を使いたいと考えている。この機能を実行するために、彼女の組織はどのような一般的なツールを使用できますか？

C. Git

42. ラモンの組織はOffice 365を使用していますが、O365にログインするために独自のActive Directory認証情報に依存しています。このような構成を何と呼びますか。

A. Federated identity

43. グレッチェンは、組織がソフトウェアライセンスを遵守していることを確認したいと考えています。次のうち、ほとんどの組織にとって、ライセンスコンプライアンスを確保するための最も重要なステップはどれですか？

D. ソフトウェアのインベントリ

44. ローラは脅威モデリングツールを使って自分の環境の脅威を評価したいと考えています。次のモデルのうち、マイクロソフトが放棄し、新しいモデルに置き換えたものはどれですか。

A. DREAD

45. アイシャの組織はクラウドアプリケーションセキュリティブローカーを導入しました。次のうち、CASBの典型的な導入目的でないものはどれですか？

A. 利用ベースのコストを管理する

46. キャスリーンは、悪意のある可能性のあるソフトウェアを安全な方法でテストしたいと考えています。そのために、どのようなクラウドアプリケーションアーキテクチャの概念を適用できますか？

C. サンドボックス

47. キーランのチームはCASBを導入し、データ保護に力を入れたいと考えている。キーランのオンプレミス拠点とクラウドベンダーの間を行き来する間、第三者がデータにアクセスするのを防ぐのに最も効果的な機能は次のうちどれでしょうか？

A. 暗号化

48. セラは、自分のアプリケーションをクラウドサービスプロバイダーのコンテナ化サービスにデプロイするためのコンテナを準備している。次のコンポーネントのうち、コンテナに含まれないものはどれですか？

A. オペレーティングシステムのホストカーネル

49. オリビアはAPIキーを生成する準備をしており、安全であるためにはAPIキーに特定の特性が必要であることを知っている。次のうち、セキュアとみなされるAPIキーについて最も適切なものはどれか。

A. 一意で、ランダムで、推測不可能である。

50. イアンはCASBを使ってクラウドサービスの利用を管理している。彼は、組織内のユーザーがそれぞれの役割に対して承認されたクラウドサービスのみを使用するようにしたいと考えています。これを最も効果的に達成するために、彼はルールにどのような2つの要素を定義する必要がありますか？

C. アイデンティティとサービス

51. ジャックはATASMモデルを使いたいと考えています。次のうち、ATASM評価の重要な要素の1つでないものはどれですか？

A. Attacks

52. 実行中のコードに対して行われるテストは、どのような種類のテストとして知られていますか？

A. 動的(Dynamic)

53. Webアプリケーションファイアウォール（WAF）は、どのような種類のトラフィックを理解し、それに対処することができますか？

D. ハイパーテキスト転送プロトコル（HTTP）

54. ヘンリーは、最も一般的なアプリケーションセキュリティの問題を防ぐために SDLC を設計したいと考えています。アプリケーションアーキテクチャが安全であることを保証するために、SDLC のどこにコントロールを挿入すべきでしょうか？

B. 設計(Design)

55. ジャシンダの上司が、サードパーティのソフトウェアを実行する前に検証するためのサンドボックス環境をセットアップするよう彼女に依頼してきた。ジャシンダは何を処理する環境を準備すべきですか。

C. 分析目的でマルウェアを実行する

56. ヴァレリーは、クラウドサービスプロバイダー間の移行をより容易にするために、アプリケーションインフラを基盤となるオペレーティングシステムプラットフォームから切り離したいと考えています。どのようなソリューションが彼女のニーズに最も適していますか？

B. アプリケーション用に構成されたコンテナを使用して、アプリケーションをホストする。

57. ゲイリーは、IaaSプロバイダーでホストしているMicrosoft SQL Server環境で、特権クレデンシャルの使用を監視したいと考えています。ゲイリーは、このニーズに対応するために、どのようなタイプのツールを選択する必要がありますか？

D. DAM

58. ポーラは、API に対するサービス拒否攻撃を避けたいと考えています。このタイプのセキュリティを最も効果的に提供するために、彼女はどのようなコントロールを選択すべきでしょうか？

D. 認証を必要とし、スロットリング制限とクォータを設定する。

59. サンドボックスはしばしばxxxに使われる。

C. 本番稼動前のソフトウェアのテスト

60. ジェンは、アプリケーション設計で使用している暗号化モジュールが安全であることを確認したいと考えています。どのようなタイプの検証や証明書を探すべきですか？

C. FIPS 140-2

61. クワメは、自分の環境で漏洩した可能性のあるシークレットの影響を制限したいと考えています。漏洩したシークレットが引き起こす可能性のある問題を最も効果的に制限するために、彼は何をすべきか。

B. シークレットをローテーションする。

62. 組織の SDLC の一部として、オリビアは新しいアプリケーションのビジネスロジックが正しい出力を生成するかどうかをテストしている。オリビアはどのようなタイプのテストを行っていますか？

B. 機能テスト

63. オリビアの組織は多要素認証を採用したいと考えている。次のMFAモデルのうち、安全性が低いと考えられるのはどれですか。

C. SMSファクター

64. ベンは、自分の環境で使用されているオープンソースソフトウェアパッケージを検証したいと考えています。次のうち、有効な動的テストのオプションでないものはどれですか。

C. ソースコードの手動セキュリティテストを使用する。

65. ヤリヴの悪用ケーステストでは、ボットによる自動的な攻撃を可能にするウェブアプリケーションの問題が特定されました。このようなアクションを実行するボットの影響を制限するために、彼はどのような保護を実装できますか。

B. ユーザーアクションを許可する前にCAPTCHAを使用する。

66. エミリーはGoogleの認証情報を使って第三者のウェブサイトにログインします。認証プロセスでGoogleはどのような役割を果たしていますか？

D. グーグルはIDプロバイダーです。

67. クラウド向けに保護された顧客情報へのアクセスを許可するアプリケーションを設計するソフトウェア開発者は、xxxを除く次のすべての機能を保証するオプションを含めることを期待すべきである。

D. 顧客データのランダム化

68. クリステンは、リクエストのレート制限やコンテンツの検証など、潜在的な攻撃のためにSAMLトラフィックをフィルタしたいと考えている。次のソリューションのうち、このタイプのセキュリティ設計に特化したものはどれですか。

C. XML ファイアウォール

69. シングルサインオン（SSO）について、次のうち正しくないものはどれですか？

C. 多要素認証の使用を防ぐ

70. 静的アプリケーション・セキュリティ・テスト（SAST）は何を検査するのか？

D. ソースコード

71. アンジェラは自分の組織に多要素認証（MFA）を導入したいと考えており、クラウドプロバイダーと統合したいと考えている。次のMFAオプションのうち、クラウドプロバイダーが簡単にサポートする可能性が最も低いのはどれですか？

B. バイオメトリクス・リーダ

72. クリスティーナは典型的な SDLC プロセスに従っており、計画フェーズを完了した。ほとんどの SDLC において、一般的に計画フェーズの次のフェーズは何ですか？

D. 要件収集

73. アニーの組織は SDLC にウォーターフォール手法を使用しています。ウォーターフォールの方法論に最も適した説明は何ですか？

B. 各フェーズの結果は、次のフェーズへのインプットとなる。

74. SDLC のどのフェーズで、ビジネス要求がどのようにソフトウェアを構築するかにマッピングされる可能性が最も高いですか？

B. 設計

75. ストレステストはどのようなテストですか？

D. 非機能テスト

76. ガブリエルの組織は、オープンソースソフトウェアが適切にライセンスされていることを確認したいと考えている。彼らは何をすべきでしょうか？

D. 各コンポーネントのライセンスをレビューし、ライセンスが遵守されていることを確認する。

77. ソフィアは自分のAPIに対して起こりそうな攻撃のリストを作成している。次のうち、APIに対する一般的な攻撃でないものはどれですか？

B. マルウェア

78. セキュアなソフトウェア開発のための SAFECode Fundamental Practices（SAFECodeの基本的プラクティス）には、エラーの処理に関するセクションがある。どのような一般的な開発ベストプラクティスを参照していますか?

B. 安全かつ円滑な方法でエラーを処理する

79. ジェイソンはTLSを使用して組織の本番ウェブトラフィックを保護したいと考えています。誰が彼のウェブサイトのx.509証明書を生成する必要がありますか？

C. ジェイソンは商用の認証局を使うべきである。

80. リサはダウンロードしたオープンソースソフトウェアパッケージが正規のものであることを確認したい。ソフトウェアのダウンロードサイトは、SHA2ハッシュ、暗号署名、ファイルサイズ、バージョン番号を提供しています。これらのオプションのうち、最も確実性の高いものはどれか。

B. 暗号化署名

81. ジェームズは、アプリケーションのモニタリング計装を作成し、SDLC の QA の段階で、パフォーマンスと機能を評価するためにその計装を使用しています。彼はどのようなタイプのソフトウェア検証方法論を使用していますか？

A. IAST

82. ミシェルは、組織の開発プラクティスの基礎として、SAFECode Fundamental Practices for Secure Software Development（セキュアソフトウェア開発のための SAFECode 基本プラクティス）を使用している。彼女は暗号化戦略を策定したいと考えており、SAFECode にその方法が記載されていることを知っている。次のうち、SAFECode に従ってアプリケーションの暗号化戦略を策定するためのベストプラクティスでないものはどれですか?

A. 暗号化アルゴリズムを簡単に変更できないようにする

83. PaaS（Platform as a Service）モデルでは、本番環境のアプリケーションのセキュリティに最も責任を持つのは誰でしょうか。

A. クラウド顧客

84. ジェームズは、知識豊富なユーザーが自分のソフトウェアを利用するために使用できるビジネスロジックの問題をテストしたいと考えています。どのようなタイプのテストに投資すべきでしょうか？

A. 不正使用事例テスト

85. フランキーは自分の組織にシングルサインオンを導入したいと考えています。次のオプションのうち、クラウド環境のSSOで一般的にサポートされていないものはどれですか？

D. LDAP

86. 組織がシステム開発にどのモデルを使用するかにかかわらず、ソフトウェア開発ライフサイクル(SDLC)のどのフェーズでユーザの意見を要求し、考慮しますか？

A. 定義

87. ピートは、OWASPクラウド・ネイティブ・アプリケーション・セキュリティ・トップ10に基づいて、自分の環境を見直している。彼はコンテナ構成が最大の懸念事項であることを知っており、コンテナが現在ルートとして実行されていることを確認しました。この問題をどのように修正すればよいでしょうか。

C. 非特権ユーザーをプロセス所有者に設定する。

88. ジェシカの品質保証テストプロセスには、ビジネスロジックの欠陥やその他のコーディングミスを含む、ソフトウェアの欠陥を特定することが含まれます。根本的なコード品質の問題を最も効果的に特定するために、彼女はどのようなタイプのテストを実施すべきでしょうか？

A. 静的テスト

89. STRIDE脅威モデルを使用する際にチェックされないのは次のうちどれですか？

B. 事業継続／災害復旧活動を誘発する内部要員の能力

90. キャサリーンの組織は、主要なアプリケーションを提供するためにマイクロサービスアーキテクチャを使用している。 APIとサービスディスカバリーに依存するマイクロサービスのセキュリティを提供するのに最も適しているのは、どのタイプのセキュリティツールでしょうか。

D. APIゲートウェイ

91. ソフトウェア開発ライフサイクル（SDLC）のどのフェーズで、セキュリティ要員を最初に関与させるべきか？

A. 定義

92. タヒールは自分の組織の QA 環境を、主要なウェブアプリケーションの最大使用率で、通常より 25%多いユーザのログインをシミュレートするように設定します。タヒールが実施しているテストのタイプを最もよく表す用語はどれか。

A. 動的な非機能テスト

93. ジョアンナが組織と連携しているサービス・プロバイダにログインすると、サービス・プロバイダはジョアンナの組織の ID プロバイダに要求を送信して、ジョアンナがすでに認証されているかどうかを判断する。認証されている場合、ID プロバイダは彼女が認証されていることを確認するトークンをサービスプロバイダに送信し、彼女のブラウザはサービスプロバイダが ID プロバイダと持つ信頼関係に基づいて検証されたトークンをサービスプロバイダに渡す。ジョアンナが使用しているインフラの種類は？

B. SSO

94. ベンのチームはセキュリティ脅威を特定するためにSTRIDEモデルを使用しています。 STRIDE モデルにおいて、改ざんはどのセキュリティ特性に影響しますか？

A. 完全性

95. カルメンの所属する組織は、コミュニティベースの Web アプリケーションセキュリティガイドを使用した意識向上トレーニングを実施したいと考えています。この種のトレーニングに最も適したコミュニティ標準は何ですか。

C. OWASP

96. ヘンリーは SDLC の一部として IAST プロセスを使用している。 IAST はどの SDLC フェーズで発生する可能性が高いですか？

D. テスト

97. マリカは、人為的ミスが組織内のシークレットのセキュリティに影響を及ぼさないようにしたいと考えている。人為的な問題がシークレットのセキュリティに影響するのを最も効果的に防止する方法はどれか。

C. パスフレーズをランダムに生成する。

98. フランクは、自分の組織がクラウドサービス環境の一部として統合IDを使用するつもりであることを知っている。これを支援するために、既存のオンサイトID管理システムがどの標準をサポートしていることを確認する必要がありますか。

A. SAML

99. ジェームズは開発プロセスの中核でCI/CDパイプラインを使用しています。 QAプロセスが本番環境に影響を与えないようにするためには、どのようなデザインパターンを使うべきでしょうか？

C. QAテスト用に本番環境を複製し、テスト後に本番環境に移行する。

100

100. タラさんの組織では、3 つのレベルのアプリケーション・セキュリティ検証標準を使用しており、最も安全なアプリケーションは、詳細な検証とテストによってレベル 3 に達する必要があります。どのアプリケーションセキュリティ標準を使用していますか。

A. ASVS

ドメイン1_①

麻生元気 · 100問 · 2年前

ドメイン1_①