HOME
CISSP セキュリティプロフェッショナル

「CISSP セキュリティプロフェッショナル」の記事一覧

NAC（Network Access Control）において、接続するPCに専用ソフトウェアをインストールせずに検査を行う方式を何と呼ぶか。

エージェントレス方式は、常駐ソフトを入れず、Active Directory連携やNmapスキャン等を用いてデバイスの…

2026年3月3日

Webアプリケーションに対する入力値を検証（Input Validation）する際、セキュリティ上最も推奨されるアプローチはどれか。

ホワイトリスト方式（Positive Security Model）は、予期される安全なパターンのみを許可し、それ以外をす…

2026年3月3日

パスワードをハッシュ化して保存する際、レインボーテーブル攻撃を防ぐためにハッシュ化の前に追加するランダムなデータを何と呼ぶか。

ソルトは、同じパスワードでも異なるハッシュ値を生成させるために付加するランダム値であり、既存の計算…

2026年3月3日

軍事・政府機関のデータ分類レベル（Classification Levels）において、「Top Secret（機密）」、「Secret（極秘）」の下に位置し、漏洩すると「損害」を与えるレベルはどれか。

一般的な軍事分類は、Top Secret（例外的に重大な損害）、Secret（重大な損害）、Confidential（損害）、U…

2026年3月3日

多要素認証（MFA）の「Something you are（生体情報）」に該当するものはどれか。

Something you areは、指紋、顔、虹彩、網膜、静脈などの身体的特徴（バイオメトリクス）を指す。

2026年3月3日

パッチ管理において、パッチ適用前に必ず実施すべき重要なステップはどれか。

パッチ自体にバグがあったり、既存システムと競合したりするリスクがあるため、本番適用前にテスト環境で…

2026年3月3日

LAN内のスイッチング環境において、攻撃者が偽のARP応答パケットを送り、被害者の通信を自分の端末経由にさせる攻撃はどれか。

ARPスプーフィングは、IPアドレスとMACアドレスの対応関係を偽装し、中間者攻撃（Man-in-the-Middle）を成…

2026年3月3日

クラウドベンダーを選定する際、そのベンダーのセキュリティコントロールが一定期間適切に運用されていたことを保証する第三者監査報告書はどれか。

SOC 2 Type 2は、セキュリティ、可用性などのトラストサービス規準に基づき、一定期間（例：6ヶ月）の運用…

2026年3月3日

「Infrastructure as Code (IaC)」のセキュリティリスクとして、設定ファイルにハードコードされがちな機密情報はどれか。

IaC（TerraformやAnsible等）のコード内にAWSキーやDBパスワードを直接記述してしまい、リポジトリ経由で…

2026年3月3日

x86アーキテクチャのCPU保護リングにおいて、OSカーネルが動作する最も特権レベルが高いリングはどれか。

Ring 0はカーネルモードであり、ハードウェアへの直接アクセスなど全ての命令が実行可能。ユーザーアプリ…

2026年3月3日