HOME
CISSP セキュリティプロフェッショナル

「CISSP セキュリティプロフェッショナル」の記事一覧

GDPRにおいて、個人データの侵害（漏洩など）が発生した場合、監督機関への通知期限は原則として何時間以内か。

GDPRでは、データ侵害に気づいてから72時間以内に管轄の監督機関へ通知することが義務付けられている（正…

2026年3月3日

SAMLを使用したシングルサインオン（SSO）において、ユーザーの認証成功情報をIdPからSPへ伝えるXML形式のデータを何と呼ぶか。

IdPは認証成功後、ユーザーIDや属性情報を含む「SAMLアサーション」を発行・署名し、SP（サービスプロバイ…

2026年3月3日

OWASP Top 10において、「安全でないデシリアライゼーション」が引き起こす可能性のある最悪の影響はどれか。

信頼できないデータをデシリアライズ（復元）すると、攻撃者が作成した悪意あるオブジェクトが生成され、…

2026年3月3日

「災害復旧（DR）計画」と「事業継続計画（BCP）」の関係として最も適切なものはどれか。

BCPはビジネスプロセス全体の継続を目的とする上位計画であり、DRはその中のITインフラ復旧を担う技術的な…

2026年3月3日

NIST CSF（サイバーセキュリティフレームワーク）の5つのコア機能に含まれないものはどれか。

NIST CSFのコア機能は「特定、防御、検知、対応、復旧」の5つ（Ver 2.0では統治が加わり6つ）であり、「攻…

2026年3月3日

無線LANのセキュリティにおいて、企業のゲスト用Wi-Fiと社内用Wi-Fiを分離するために使用する技術はどれか。

異なるSSID（Service Set Identifier）を異なるVLAN（Virtual LAN）にマッピングすることで、ゲスト端末が…

2026年3月3日

「セキュアバイデザイン（Secure by Design）」の原則に最も合致するアプローチはどれか。

セキュアバイデザインは、後付けの対策ではなく、設計・開発の根本から脆弱性を排除し、安全性を確保する…

2026年3月3日

ペネトレーションテストにおいて、攻撃者が内部ネットワークに侵入した後、さらに奥深くの重要なシステムへアクセス範囲を広げようとする行為を何と呼ぶか。

ピボッティングは、侵害したシステムを踏み台にして、そこからしかアクセスできない別のネットワークセグ…

2026年3月3日

インシデント対応プロセスの「準備（Preparation）」フェーズに含まれない活動はどれか。

封じ込め（Containment）は、インシデント発生後の対応フェーズの活動であり、事前の準備フェーズには含ま…

2026年3月3日

組織が保有するデータを「機密性」に基づいて分類する際、分類ラベルの数（階層）が多すぎることの弊害はどれか。

分類レベルが多すぎると（例：10段階など）、ユーザーにとって区別が難しくなり、運用コストが増大し、か…

2026年3月3日