「CISSP セキュリティプロフェッショナル」の記事一覧

クラウドネイティブ環境において、「不変のインフラ（Immutable Infrastructure）」を実現するために、コンテナやVMのイメージに対するパッチ適用はどう行うべきか。

OAuth 2.0のセキュリティベストプラクティス（OAuth 2.1等）において、認可レスポンスを返す「リダイレクトURI」の検証はどのように行うべきとされているか。

API開発において、クライアントから送信されたJSONオブジェクトを、そのまま内部のモデル（クラスやDBレコード）にマッピングしてしまうことで、意図しない属性（管理者フラグなど）まで書き換えられる脆弱性はどれか。

Wi-Fi 6 (802.11ax) で採用された技術で、チャネルを細かく分割して複数のユーザーに同時割り当てを行い、混雑環境下での通信効率と低遅延を実現するものはどれか。

ソフトウェアサプライチェーンにおいて、SBOM（部品表）と共に提供され、含まれる脆弱性が「その製品では実際に悪用可能か否か」というステータス情報をベンダーが伝達するための標準フォーマットはどれか。

Webアプリケーションにおいて、HTTPレスポンスヘッダに `X-Frame-Options: DENY` または `SAMEORIGIN` を設定することで防げる攻撃はどれか。

レッドチーム演習の終了後、攻撃側と防御側が合同で行う振り返りミーティングにおいて、攻撃の手順と防御の反応を時系列で突き合わせるプロセスを何と呼ぶか。

特権アクセス管理（PAM）において、ベンダーなどの外部業者が社内システムにリモートアクセスする際、VPNを使わずにブラウザ経由でセキュアに接続させる技術はどれか。

SOCにおける「トイル（Toil）」の削減を目指すSRE（Site Reliability Engineering）的なアプローチで、定型的なセキュリティ対応作業を自動化する概念はどれか。

重要情報の誤送信防止対策として、メールゲートウェイで実施される「添付ファイル自動暗号化（PPAP）」が現在推奨されない主な理由はどれか。