51. ジャックはATASMモデルを使いたいと考えています。 次のうち、ATASM評価の重要な要素の1つでないものはどれですか？

81. ジェームズは、アプリケーションのモニタリング計装を作成し、SDLC の QA の段階で、パフォーマンスと機能を評価するためにその計装を使用しています。 彼はどのようなタイプのソフトウェア検証方法論を使用していますか？

35. ソフトウェア開発ライフサイクル(SDLC)のテストフェーズでは、ソフトウェアの性能とxxxの両方をレビューすべきである。

37. フェデレーションで認証サービスを提供するエンティティは？

28. ヴァレリーの会社では最近、使用しているサードパーティ製アプリケーションに対するSQLインジェクション攻撃が成功しました。 ベンダはまだ SQL インジェクションの欠陥に対するパッチを提供していませんが、ヴァレリーは業務上の要件により、そのアプリケーショ ンを本番稼動させ続ける必要があります。 ヴァレリーは、自社のWebアプリケーションに対するSQLインジェクション攻撃から保護するために、どのような種類のツールを導入することができますか？

10. マリアは、既存のIDプロバイダをクラウドプロバイダのサービスと統合したいと考えている。 ほとんどのクラウドIDプロバイダーの統合には、どのような共通規格が使用されていますか？

59. サンドボックスはしばしばxxxに使われる。

19. ゲイリーのクラウドサービスは顧客にAPIへのアクセスを提供している。 次のうち、APIによくあるセキュリティ上の欠陥はどれですか？

27. 製品のすべてのソフトウェア・コンポーネントのリストを表す用語は？

100. タラさんの組織では、3 つのレベルのアプリケーション・セキュリティ検証標準を使用しており、最も安全なアプリケーションは、詳細な検証とテストによってレベル 3 に達する必要があります。 どのアプリケーションセキュリティ標準を使用していますか。

18. IAST は通常 SDLC のどのフェーズに関連しますか？

89. STRIDE脅威モデルを使用する際にチェックされないのは次のうちどれですか？

87. ピートは、OWASPクラウド・ネイティブ・アプリケーション・セキュリティ・トップ10に基づいて、自分の環境を見直している。 彼はコンテナ構成が最大の懸念事項であることを知っており、コンテナが現在ルートとして実行されていることを確認しました。 この問題をどのように修正すればよいでしょうか。

43. グレッチェンは、組織がソフトウェアライセンスを遵守していることを確認したいと考えています。 次のうち、ほとんどの組織にとって、ライセンスコンプライアンスを確保するための最も重要なステップはどれですか？

56. ヴァレリーは、クラウドサービスプロバイダー間の移行をより容易にするために、アプリケーションインフラを基盤となるオペレーティングシステムプラットフォームから切り離したいと考えています。 どのようなソリューションが彼女のニーズに最も適していますか？

75. ストレステストはどのようなテストですか？

50. イアン はCASBを使ってクラウドサービスの利用を管理している。 彼は、組織内のユーザーがそれぞれの役割に対して承認されたクラウドサービスのみを使用するようにしたいと考えています。 これを最も効果的に達成するために、彼はルールにどのような2つの要素を定義する必要がありますか？

80. リサはダウンロードしたオープンソースソフトウェアパッケージが正規のものであることを確認したい。 ソフトウェアのダウンロードサイトは、SHA2ハッシュ、暗号署名、ファイルサイズ、バージョン番号を提供しています。 これらのオプションのうち、最も確実性の高いものはどれか。

79. ジェイソンはTLSを使用して組織の本番ウェブトラフィックを保護したいと考えています。 誰が彼のウェブサイトのx.509証明書を生成する必要がありますか？

13. ブライアンは、開発プロセスにおいて OWASP トップ 10 のクラウドリスクを確実に考慮したいと考えている。 彼は、規制遵守がリストにあることを知っており、それを SDLC に含めたいと考えています。 SDLC のどのフェーズで規制コンプライアンスを考慮するのが最も理にかなっていますか？

29. ジャッキーは、アプリケーションごとに独立したオペレーティングシステムを持つことなく、必要なライブラリやその他の依存関係を使用してアプリケーションを実行できるようにしたいと考えています。 異なるオペレーティング・システム間でアプリケーション・パッケージを簡単に移動できるようにするには、どのような技術を使用すればよいでしょうか？

83. PaaS（Platform as a Service）モデルでは、本番環境のアプリケーションのセキュリティに最も責任を持つのは誰でしょうか。

86. 組織がシステム開発にどのモデルを使用するかにかかわらず、ソフトウェア開発ライフサイクル(SDLC)のどのフェーズでユーザの意見を要求し、考慮しますか？

65. ヤリヴの悪用ケーステストでは、ボットによる自動的な攻撃を可能にするウェブアプリケーションの問題が特定されました。 このようなアクションを実行するボットの影響を制限するために、彼はどのような保護を実装できますか。

22. ローリは、ベンダーが提供するソフトウェア・コンポーネントが安全であることを確認したいと考えています。 これらのパッケージのアセスメントを実施するには、どのようなプロセスを使用する必要がありますか？

96. ヘンリーは SDLC の一部として IAST プロセスを使用している。 IAST はどの SDLC フェーズで発生する可能性が高いですか？

11. ジャックはチームがクラウドネイティブアプリケーションを開発できるようにしたいと考えています。 次のうち、クラウドネイティブアプリケーションの設計に共通しない要素はどれですか？

72. クリスティーナは典型的な SDLC プロセスに従っており、計画フェーズを完了した。 ほとんどの SDLC において、一般的に計画フェーズの次のフェーズは何ですか？

71. アンジェラは自分の組織に多要素認証（MFA）を導入したいと考えており、クラウドプロバイダーと統合したいと考えている。 次のMFAオプションのうち、クラウドプロバイダーが簡単にサポートする可能性が最も低いのはどれですか？

57. ゲイリーは、IaaSプロバイダーでホストしているMicrosoft SQL Server環境で、特権クレデンシャルの使用を監視したいと考えています。 ゲイリーは、このニーズに対応するために、どのようなタイプのツールを選択する必要がありますか？

53. Webアプリケーションファイアウォール（WAF）は、どのような種類のトラフィックを理解し、それに対処することができますか？

69. シングルサインオン（SSO）について、次のうち正しくないものはどれですか？

9. ニックはCI/CDパイプラインでよくある落とし穴を避けたいと考えています。 次のうち、クラウド開発の取り組みを害する可能性のあるCI/CDの落とし穴はどれですか？

77. ソフィアは自分のAPIに対して起こりそうな攻撃のリストを作成している。 次のうち、APIに対する一般的な攻撃でないものはどれですか？

93. ジョアンナが組織と連携しているサービス・プロバイダにログインすると、サービス・プ ロバイダはジョアンナの組織の ID プロバイダに要求を送信して、ジョアンナがすでに 認証されているかどうかを判断する。 認証されている場合、ID プロバイダは彼女が認証されていることを確認するトークンをサービスプロバイダに送信し、彼女のブラウザはサービスプロバイダが ID プロバイダと持つ信頼関係に基づいて検証されたトークンをサービスプロバイダに渡す。 ジョアンナが使用しているインフラの種類は？

85. フランキーは自分の組織にシングルサインオンを導入したいと考えています。 次のオプションのうち、クラウド環境のSSOで一般的にサポートされていないものはどれですか？

14. アンジーが所属する組織で使用しているテストプロセスには、設計仕様書、ソースコード、実行中のアプリケーションへのアクセスが含まれる。 彼女が使用しているセキュリティテスト手法はどのようなものですか？

48. セラは、自分のアプリケーションをクラウドサービスプロバイダーのコンテナ化サービスにデプロイするためのコンテナを準備している。 次のコンポーネントのうち、コンテナに含まれないものはどれですか？

40. ジェイソンは多要素認証を使用したいと考えています。 次のうち、有効な多要素セットはどれですか。

6. スーザンはデータ統合の問題を避けたいと考えている。 彼女は、OWASPクラウドトップ10にサービスとデータ統合のセキュリティ問題が含まれていることを知っています。 顧客は自分のサービスにアクセスするときに使うRESTベースのAPIを導入している。 彼女はAPIキーを使用していますが、第三者がデータを傍受してアクセスすることを懸念しています。 この懸念に対処するために、実装に何を含めるべきか。

24. OWASPのアプリケーションセキュリティ検証標準（ASVS）には、3つの主要な使用モデルがあります。 次のうち、設計目的に基づいて意図された使用モデルでないものはどれですか？

74. SDLC のどのフェーズで、ビジネス要求がどのようにソフトウェアを構築するかにマッピングされる可能性が最も高いですか？

31. ヘンリーは、認可された顧客だけが組織の公開APIを使用できるようにしたいと考えています。 この目的のために、どのような一般的なセキュリティ技術がありますか？

90. キャサリーンの組織は、主要なアプリケーションを提供するためにマイクロサービスアーキテクチャを使用している。 APIとサービスディスカバリーに依存するマイクロサービスのセキュリティを提供するのに最も適しているのは、どのタイプのセキュリティツールでしょうか。

88. ジェシカの品質保証テストプロセスには、ビジネスロジックの欠陥やその他のコーディングミスを含む、ソフトウェアの欠陥を特定することが含まれます。 根本的なコード品質の問題を最も効果的に特定するために、彼女はどのようなタイプのテストを実施すべきでしょうか？

23. クリスティンはソフトウェアテストのユーザーストーリーを文書化した： 「攻撃者として、私はフォーム送信の一部として、ユーザーの送信を読み取る解析ソフトウェアを悪用する悪意のあるソフトウェアをアップロードします。」 クリスティンはどのようなタイプのテストを準備していますか？

94. ベンのチームはセキュリティ脅威を特定するためにSTRIDEモデルを使用しています。 STRIDE モデルにおいて、改ざんはどのセキュリティ特性に影響しますか？

44. ローラは脅威モデリングツールを使って自分の環境の脅威を評価したいと考えています。 次のモデルのうち、マイクロソフトが放棄し、新しいモデルに置き換えたものはどれですか。

61. クワメは、自分の環境で漏洩した可能性のあるシークレットの影響を制限したいと考えています。 漏洩したシークレットが引き起こす可能性のある問題を最も効果的に制限するために、彼は何をすべきか。

30. チャールズは所属組織の認証情報を使ってログインし、そのログイン情報をさまざまなシステムやアプリケーションで使用することができます。 チャールズが使用しているテクノロジーは何ですか。

58. ポーラは、API に対するサービス拒否攻撃を避けたいと考えています。 このタイプのセキュリティを最も効果的に提供するために、彼女はどのようなコントロールを選択すべきでしょうか？

68. クリステンは、リクエストのレート制限やコンテンツの検証など、潜在的な攻撃のためにSAMLトラフィックをフィルタしたいと考えている。 次のソリューションのうち、このタイプのセキュリティ設計に特化したものはどれですか。

8. 保存時の暗号化は、クラウド環境のSDLCに含まれる保護設計要素である。 どのような一般的なクラウド設計の概念に起因していますか？

45. アイシャの組織はクラウドアプリケーションセキュリティブローカーを導入しました。 次のうち、CASBの典型的な導入目的でないものはどれですか？

41. キムは自分のソフトウェアにバージョン管理を使いたいと考えている。 この機能を実行するために、彼女の組織はどのような一般的なツールを使用できますか？

64. ベンは、自分の環境で使用されているオープンソースソフトウェアパッケージを検証したいと考えています。 次のうち、有効な動的テストのオプションでないものはどれですか。

16. ダナの組織は、配備するアプリケーションごとに SBOM を要求しています。 SBOM が回避に役立つ OWASP トップ 10 項目は何ですか？

34. メーガンは、インフラストラクチャにおける権限の使用に関する監査可能性を高めたいと考えています。 次のソリューションのうち、監査可能性に最も良い影響を与えるのはどれですか。

99. ジェームズは開発プロセスの中核でCI/CDパイプラインを使用しています。 QAプロセスが本番環境に影響を与えないようにするためには、どのようなデザインパターンを使うべきでしょうか？

76. ガブリエルの組織は、オープンソースソフトウェアが適切にライセンスされていることを確認したいと考えている。 彼らは何をすべきでしょうか？

20. ダンはクラウド環境で保存時のデータを暗号化したいと考えています。 保存時のデータを暗号化する場合、どのような暗号化規格を選ぶべきでしょうか。

42. ラモンの組織はOffice 365を使用していますが、O365にログインするために独自のActive Directory認証情報に依存しています。 このような構成を何と呼びますか。

26. ニックは、チームのソフトウェアのバージョン管理に共通のフォーマットを使いたいと考えています。 業界で一般的な形式を使用したい場合、どのようなバージョン管理形式を使用すればよいでしょうか。

49. オリビアはAPIキーを生成する準備をしており、安全であるためにはAPIキーに特定の特性が必要であることを知っている。 次のうち、セキュアとみなされるAPIキーについて最も適切なものはどれか。

60. ジェンは、アプリケーション設計で使用している暗号化モジュールが安全であることを確認したいと考えています。 どのようなタイプの検証や証明書を探すべきですか？

3. ジョアンナのソフトウェア・ベンダーは、顧客にソースコードを提供していない。 次のリストの中で、ベンダーのソフトウェアパッケージのセキュリティをテストするための最良のオプションはどれか。

33. アイザックは、クラウド・サービス・プロバイダーが広く受け入れられている標準に準拠した暗号システムを使用していることを確認したいと考えている。 プロバイダーが暗号システムに準拠することを期待すべき米国政府の基準は何か。

15. CWE/SANSの最も危険なソフトウェアエラーのトップ25には、ハードコードされた認証情報の使用が含まれています。 クラウドでホストされるソフトウェアやアプリケーションでこの問題を回避するために使用できる一般的なクラウドサービスコンポーネントは？

54. ヘンリーは、最も一般的なアプリケーションセキュリティの問題を防ぐために SDLC を設計したいと考えています。 アプリケーションアーキテクチャが安全であることを保証するために、SDLC のどこにコントロールを挿入すべきでしょうか？

63. オリビアの組織は多要素認証を採用したいと考えている。 次のMFAモデルのうち、安全性が低いと考えられるのはどれですか。

32. ナンシーは、自分の組織でソフトウェアのライセンスに関する問題が発生しないようにしたいと考えています。彼女は、各インストールがチェックインするライセンスサーバーを使用してベンダーがアクセスを制御していることを知っています。 将来のある時点でサービスが中断しないようにするために、彼女が特に注意を払うべきは次のうちどれですか?

91. ソフトウェア開発ライフサイクル（SDLC）のどのフェーズで、セキュリティ要員を最初に関与させるべきか？

52. 実行中のコードに対して行われるテストは、どのような種類のテストとして知られていますか？

78. セキュアなソフトウェア開発のための SAFECode Fundamental Practices（SAFECodeの基本的プラクティス）には、エラーの処理に関するセクションがある。 どのような一般的な開発ベストプラクティスを参照していますか?

46. キャスリーンは、悪意のある可能性のあるソフトウェアを安全な方法でテストしたいと考えています。 そのために、どのようなクラウドアプリケーションアーキテクチャの概念を適用できますか？

47. キーランのチームはCASBを導入し、データ保護に力を入れたいと考えている。 キーランのオンプレミス拠点とクラウドベンダーの間を行き来する間、第三者がデータにアクセスするのを防ぐのに最も効果的な機能は次のうちどれでしょうか？

36. クリスは、クラウドプロバイダーがホストする仕組みを使用して、組織のシークレットを保管・管理したいと考えている。 どのようなソリューションを探すべきか。

97. マリカは、人為的ミスが組織内のシークレットのセキュリティに影響を及ぼさないようにしたいと考えている。 人為的な問題がシークレットのセキュリティに影響するのを最も効果的に防止する方法はどれか。

55. ジャシンダの上司が、サードパーティのソフトウェアを実行する前に検証するためのサンドボックス環境をセットアップするよう彼女に依頼してきた。 ジャシンダは何を処理する環境を準備すべきですか。

70. 静的アプリケーション・セキュリティ・テスト（SAST）は何を検査するのか？

7. ベンはソフトウェア開発のためにビジネス要件を収集したいと考えており、アジャイル手法を使用しています。 次のうち、アジャイルプロセスでユーザー要件を収集する一般的な手段でないものはどれですか？

1. ミカヤは、GitHub からダウンロードしたソフトウェアのコンポーネントを検証したいと考えています。 ダウンロードしたコンポーネントが、統合プロセスの一環として、自分の環境に取り込まれたときに、そのソフトウェアにセキュリティ上の欠陥がないことを、どのように検証すればよいでしょうか？

5. スーザンはクラウドアプリケーション開発でよくある落とし穴を避けたいと考えています。 次のうち、クラウド環境によくある落とし穴はどれですか？

82. ミシェルは、組織の開発プラクティスの基礎として、SAFECode Fundamental Practices for Secure Software Development（セキュアソフトウェア開発のための SAFECode 基本プラクティス）を使用している。 彼女は暗号化戦略を策定したいと考えており、SAFECode にその方法が記載されていることを知っている。 次のうち、SAFECode に従ってアプリケーションの暗号化戦略を策定するためのベストプラクティスでないものはどれですか?

39. ヤスミンはサービスとしてのソフトウェアベンダーと仕事をしています。 ヤスミンの会社は環境のどの部分を担当していますか？

4. クラウド開発プロセスに最もよく関連する SDLC モデルは？

66. エミリーはGoogleの認証情報を使って第三者のウェブサイトにログインします。 認証プロセスでGoogleはどのような役割を果たしていますか？

25.イアンはクラウド固有のアプリケーション問題リストを使用したいと考えています。 次のオプションのうち、どれを選ぶべきですか？

73. アニーの組織は SDLC にウォーターフォール手法を使用しています。 ウォーターフォールの方法論に最も適した説明は何ですか？

12. ソフトウェア開発ライフサイクル(SDLC)のどのフェーズで、ユーザの関与が最も重要ですか？

98. フランクは、自分の組織がクラウドサービス環境の一部として統合IDを使用するつもりであることを知っている。 これを支援するために、既存のオンサイトID管理システムがどの標準をサポートしていることを確認する必要がありますか。

95. カルメンの所属する組織は、コミュニティベースの Web アプリケーションセキュリティガイドを使用した意識向上トレーニングを実施したいと考えています。 この種のトレーニングに最も適したコミュニティ標準は何ですか。

84. ジェームズは、知識豊富なユーザーが自分のソフトウェアを利用するために使用できるビジネスロジックの問題をテストしたいと考えています。 どのようなタイプのテストに投資すべきでしょうか？

38. Dockerはどのようなツールの例ですか？

62. 組織の SDLC の一部として、オリビアは新しいアプリケーションのビジネスロジックが正しい出力を生成するかどうかをテストしている。 オリビアはどのようなタイプのテストを行っていますか？

2. リンは、ユーザーが自分のサービスにアクセスするときに、サードパーティのIDプロバイダが提供する既存の認証情報を使用できるようにしたいと考えています。 次のリストからどの要素を提供する必要がありますか。

67. クラウド向けに保護された顧客情報へのアクセスを許可するアプリケーションを設計するソフトウェア開発者は、xxxを除く次のすべての機能を保証するオプションを含めることを期待すべきである。

21. マークは、ソフトウェア・ベンダーがソフトウェア検証プロセスの一環として業界のベスト・プラクティスを使用していることを確認したいと考えている。 彼は、NISTが開発者によるコードの検証のための推奨最低基準をいくつか定義していることを知っています。 次のうち、NISTの推奨最小値でないものはどれか。 ベンダーまたは開発者によるコード検証の標準はどれですか？

92. タヒールは自分の組織の QA 環境を、主要なウェブアプリケーションの最大使用率で、通常より 25%多いユーザのログインをシミュレートするように設定します。 タヒールが実施しているテストのタイプを最もよく表す用語はどれか。

17. ユンが勤める会社は顧客にAPIアクセスを提供している。 ユンは、APIアクセスをレート制限し、中央認可およびアクセス管理システムを使用しながら請求情報を収集したいと考えています。 これらの要件を満たすために、ユン氏はどのようなツールを導入すべきでしょうか。