HOME
CISSP セキュリティプロフェッショナル

「CISSP セキュリティプロフェッショナル」の記事一覧

OAuth 2.0において、ユーザー（リソースオーナー）のデータが保存されているサーバーを何と呼ぶか。

リソースサーバーは、保護されたリソース（API、データ等）をホストしており、アクセストークンを受け取っ…

2026年3月3日

インシデントレスポンスの「事後活動（Lessons Learned）」フェーズで作成される報告書の主な目的はどれか。

事後レビューの目的は、責任追及ではなく、「何が起きたか」「何がうまくいき、何が失敗したか」を学び、…

2026年3月3日

Webサイトの可用性やパフォーマンスを監視するために、定期的にスクリプト化されたアクセスを行い、ユーザーの体感を模倣する監視手法はどれか。

シンセティックモニタリングは、ボット（プローブ）が定期的・自動的にトランザクションを実行し、死活監…

2026年3月3日

ファイアウォールアーキテクチャにおいて、外部ネットワークと内部ネットワークの間に緩衝地帯（DMZ）を設けるために、2台のファイアウォールを使用する構成を何と呼ぶか。

スクリーンサブネット構成は、外部FWと内部FWの間にDMZを挟むことで多層防御を実現し、最も安全性が高い構…

2026年3月3日

法制度の分類において、「不法行為（Tort）」はどの法体系に属するか。

不法行為（Tort）は、個人の権利侵害や過失による損害に対して、損害賠償などを求める民事訴訟（Civil Law…

2026年3月3日

XSS（クロスサイトスクリプティング）攻撃のうち、悪意あるスクリプトがWebサーバーのデータベース等に永続的に保存され、そのページを閲覧した全てのユーザーに被害が及ぶタイプはどれか。

格納型XSSは、掲示板やコメント欄などにスクリプトが保存されるため、被害者が特定のリンクを踏まなくても…

2026年3月3日

Diffie-Hellman鍵交換プロトコルの主な目的はどれか。

Diffie-Hellmanは、盗聴されている可能性のある通信経路上で、双方が数学的に合意した共通鍵（セッション…

2026年3月3日

セキュリティ基準（NIST SP 800-53など）を組織の特定の要件や環境に合わせて調整・選択するプロセスを何と呼ぶか。

テーラリングは、ベースラインのコントロールセットを、組織のミッションやリスク許容度に合わせてカスタ…

2026年3月3日

「職務の分離（SoD）」が正しく機能しているかを確認するために、定期的に実施すべきIAMプロセスはどれか。

SoD違反（例：発注権限と支払承認権限を同一人物が持っている等）がないか、定期的なアクセス権レビューで…

2026年3月3日

BCPテストの中で、実際の業務を完全に中断し、代替サイトへの切り替えを本番同様に行う最もリスクが高く、かつ包括的なテストはどれか。

フル中断テストは、本番システムを停止させてDRサイトへ切り替えるため、業務への影響リスクが最大となる…

2026年3月3日