HOME
CISSP セキュリティプロフェッショナル

「CISSP セキュリティプロフェッショナル」の記事一覧

SDN（Software Defined Networking）において、コントローラー（制御層）とアプリケーション（オーケストレーター等）の間で通信するためのインターフェースはどれか。

ノースバウンドAPI（REST API等）は、コントローラーの上位にあるアプリや管理ツールが、ネットワークのポ…

2026年3月3日

知的財産権のうち、製品やサービスの出所を表示する文字、図形、記号、立体的形状などを保護する権利はどれか。

商標権は、ブランド名やロゴマークなど、自社の商品・サービスを他社のものと区別するための標識（トレー…

2026年3月3日

Webアプリケーションにおいて、攻撃者がHTTPリクエストヘッダ（Hostヘッダ等）を操作し、パスワードリセットメール内のリンクを攻撃者のドメインに書き換える攻撃はどれか。

アプリケーションがHostヘッダの値を無条件に信頼してURLを生成している場合、攻撃者は不正なHostヘッダを…

2026年3月3日

暗号鍵管理において、実際のデータを暗号化する鍵（DEK: Data Encryption Key）をさらに暗号化して保護するための鍵を何と呼ぶか。

KEK（鍵暗号化鍵）またはマスターキーは、多数のDEKを安全に保管・管理するために、DEK自体を暗号化する（…

2026年3月3日

Kerberos認証プロトコルが抱える脆弱性または制約として、最も適切なものはどれか。

KerberosはKDCに依存する集中型システムであるため、KDCがダウンすると全認証が停止するリスクがあり、冗…

2026年3月3日

インシデント対応チーム（CSIRT）の構成モデルのうち、専任のメンバーはおらず、インシデント発生時のみ各部門から招集される形態はどれか。

仮想チームは、通常業務を持つメンバーが必要時のみ集まる形式で、リソースの制約がある組織で採用される…

2026年3月3日

ソフトウェアの脆弱性テスト手法「ファジング（Fuzzing）」において、ターゲットの内部構造を知らずに、ランダムまたは半ランダムなデータを送りつける手法はどれか。

ブラックボックスファジング（ダムファジングとも呼ばれる）は、仕様やコードを知らずに入出力のみを対象…

2026年3月3日

VoIPネットワークにおいて、音声パケットの到達時間のばらつき（ジッター）を吸収し、通話品質を安定させるために受信側に設けられるバッファはどれか。

ジッターバッファは、到着するパケットを一時的に蓄積して整列させ、一定の間隔で再生アプリケーションに…

2026年3月3日

定量的リスク分析において、コントロール（対策）導入後の「ROI（投資対効果）」を算出する式はどれか。

ROIは、対策によって削減できた損失額（効果）から対策コストを引き、それをコストで割ることで、投資効率…

2026年3月3日

「ISO/IEC 15408（コモンクライテリア）」において、最も一般的に商用製品（OSやFW等）に求められる、設計仕様のテストと脆弱性評定を含む評価保証レベルはどれか。

EAL4（Methodically Designed, Tested and Reviewed）は、商用製品として妥当なコストで最高レベルの保証…

2026年3月3日