「CISSP セキュリティプロフェッショナル」の記事一覧

NIST SP 800-207（ゼロトラスト）における「動的な認可（Dynamic Authorization）」の実装において、アクセスのたびにリアルタイムで評価されるべき「コンテキスト属性」に含まれないものはどれか。

世界経済フォーラム（WEF）のグローバルリスク報告書などで指摘される「システミックリスク」としてのサイバー攻撃の特徴はどれか。

IPsecのIKEv2プロトコルにおいて、DoS攻撃対策として導入された、イニシエータ（接続開始者）のIPアドレス確認が完了するまで高負荷な計算を行わない仕組みはどれか。

組織が保有する「知的財産（IP）」の評価において、市場価値が存在しない（売買されない）独自技術やノウハウの価値を算定する際によく用いられる手法はどれか。

APIゲートウェイにおける「JWT検証」のパフォーマンス問題（検証のたびにIdPへ鍵を取りに行くと遅い）を解決しつつ、セキュリティを維持するためのキャッシュ戦略はどれか。

Kubernetes環境における「Pod Security Admission (PSA)」または旧「Pod Security Policy (PSP)」の役割はどれか。

「準同型暗号」の実用化に向けた課題の一つである「ノイズの蓄積」に対し、ブートストラップ（Bootstrapping）技術が解決する問題はどれか。

OAuth 2.0の「デバイスフロー（Device Authorization Grant）」において、ユーザーがスマートTVなどの入力困難なデバイスでログインする際、攻撃者がユーザーを騙して自分のデバイスを承認させるフィッシング手法への対策はどれか。

TCP/IPスタックに対する攻撃で、フラグメント化されたパケットのオフセット値を操作し、再構築時にバッファオーバーフローやシステムクラッシュを引き起こす古典的かつ基本的な攻撃（Ping of Death, Teardrop等）を総称して何と呼ぶか。

Webアプリケーションの脆弱性「SSRF (Server-Side Request Forgery)」の影響として、AWSやGCPなどのクラウド環境で特に深刻な被害をもたらす攻撃シナリオはどれか。