HOME
CISSP セキュリティプロフェッショナル

「CISSP セキュリティプロフェッショナル」の記事一覧

STRIDE脅威モデルの「E」は何を表し、それに対応するセキュリティ特性はどれか。

STRIDEのEは「Elevation of Privilege（特権昇格）」であり、攻撃者が本来持っていない権限を取得する脅威…

2026年3月3日

Kerberos認証において、ユーザーがパスワードを入力するのはどのタイミングか。

ユーザーは最初にASへ要求を送り、ASから返送された暗号化されたセッション鍵等を自身のパスワード由来の…

2026年3月3日

定量的リスク分析の計算問題：資産価値（AV）が100万円、露出係数（EF）が50%の資産に対し、脅威が10年に1回発生すると予測される場合、ALE（年間予想損失額）はいくらか。

SLE = 100万 × 0.5 = 50万円。ARO = 1/10 = 0.1。ALE = SLE × ARO = 50万 × 0.1 = 5万円となる。

2026年3月3日

SNMPv3（Simple Network Management Protocol version 3）で追加された主要なセキュリティ機能はどれか。

SNMPv1/v2cはコミュニティ名を平文で送る脆弱性があったが、SNMPv3ではUSM（User-based Security Model）…

2026年3月3日

メモリ保護技術の一つである「ASLR (Address Space Layout Randomization)」の主な効果はどれか。

ASLRは、プログラム実行ごとにメモリ配置をランダムに変えることで、エクスプロイトコードが特定のアドレ…

2026年3月3日

マルチスレッドプログラムにおいて、複数のスレッドが共有リソースへのアクセス順序に依存して予期しない結果を招くバグ（脆弱性）はどれか。

レースコンディションは、処理のタイミングや順序によって結果が変わってしまう状態で、セキュリティホー…

2026年3月3日

他のサイトから漏洩したIDとパスワードのリストを使い、自社のログイン画面で自動的に総当たりログインを試みる攻撃はどれか。

クレデンシャルスタッフィング（パスワードリスト攻撃）は、ユーザーのパスワード使い回しを悪用し、漏洩…

2026年3月3日

ペネトレーションテストを開始する前に、クライアントと合意形成しておくべき法的・運用的なルールをまとめた文書はどれか。

RoE（交戦規定）は、テストの範囲、許可される攻撃手法、実施時間、緊急連絡先などを詳細に定義し、予期せ…

2026年3月3日

「Need-to-Know（知る必要性）」の原則と「最小特権（Least Privilege）」の原則の違いとして適切なものはどれか。

Need-to-Knowは「業務上そのデータを見る必要があるか」という情報の機密性に焦点を当て、最小特権は「作…

2026年3月3日

リスクマネジメントにおいて、リスクが許容レベルを超えている場合に、対策を講じずにその活動自体を中止・停止する対応はどれか。

リスク回避は、リスクの原因となる活動（例：リスクの高い新事業や特定のWeb機能）そのものをやめることで…

2026年3月3日