「CISSP セキュリティプロフェッショナル」の記事一覧

個人情報保護において、特定の個人を識別できないように加工された「匿名加工情報（Anonymized Data）」であっても、再識別（Re-identification）のリスクが残る「モザイク効果」とは何か。

ISO 31000のリスクマネジメントプロセスにおいて、リスク対応（Treatment）を行った後の「残留リスク」が許容レベルを超えている場合、次に取るべきアクションはどれか。

脅威ハンティングにおいて、攻撃者が作成した隠しタスク（Scheduled Tasks）や、レジストリのRunキー、スタートアップフォルダなどを調査する主な目的は、攻撃のどの段階を見つけるためか。

Javaなどの言語における「逆シリアル化（Deserialization）」脆弱性に対し、ブラックリスト方式での対策が不十分とされる根本的な理由はどれか。

FIDO2 / WebAuthnにおいて、認証器（Authenticator）がクローンされたことをサーバー側で検知するために使用されるメカニズムはどれか。

ブロックチェーン（スマートコントラクト）のセキュリティにおいて、乱数生成にブロックのハッシュ値やタイムスタンプを使用することの脆弱性は何か。

DNS over HTTPS (DoH) を企業ネットワークで管理・統制しようとする際、ファイアウォールでポート443を単純にブロックできないため、推奨される対策アプローチはどれか。

レッドチーム演習において、Windowsの「AppLocker」や「Device Guard」などのアプリケーションホワイトリスト制御を回避するために、信頼された正規のバイナリ（MSBuild.exeなど）を利用して悪意あるコードを実行する手法はどれか。

サードパーティリスクにおいて、ソフトウェアベンダーが倒産したりサービス停止したりした場合に備えて、ソースコードや重要データを第三者の信頼できる機関に預けておく契約形態はどれか。

GDPR等の規制下で、AIモデルの学習データから特定の個人の影響を事後的に取り除く（学習しなかったことにする）技術的プロセスを何と呼ぶか。