HOME
CISSP セキュリティプロフェッショナル

「CISSP セキュリティプロフェッショナル」の記事一覧

クラウド環境において、過剰な権限を持つID（特にマシンIDやサービスアカウント）を検出し、最小権限の原則に従って修正するためのソリューションはどれか。

CIEMは、マルチクラウド環境におけるIDと権限（Entitlement）を可視化・管理し、過剰な権限を削減してリス…

2026年3月3日

「TOCTOU（Time of Check to Time of Use）」攻撃、またはレースコンディション（競合状態）の説明として正しいものはどれか。

TOCTOUは、認証や権限チェック（Check）と実際の実行（Use）の間に隙間時間がある場合、その間にファイル…

2026年3月3日

定量的リスク分析において、ある資産が一度の災害で完全に破壊される（100%損失）と予測される場合、EF（露出係数）の値はいくつになるか。

EF（Exposure Factor）は、損失の割合を0から1（または0%から100%）で表す係数であり、全損の場合は1.0（1…

2026年3月3日

無線LANセキュリティ（WPA3）において、従来のPSK（Pre-Shared Key）に代わって導入された、辞書攻撃に強い鍵確立プロトコルはどれか。

WPA3-Personalでは、SAE（ドラゴンフライ鍵交換とも呼ばれる）を採用し、パスワードが弱くてもオフライン…

2026年3月3日

セキュリティモデル「Graham-Denningモデル」が主に定義しているものはどれか。

Graham-Denningモデルは、主体（Subject）と客体（Object）の作成や削除、アクセス権の付与（Grant）や削…

2026年3月3日

脆弱性管理プログラムの有効性を測る指標として、「パッチが公開されてから実際に適用されるまでの平均時間」を表すものはどれか。

MTTP（Mean Time To Patch）は、組織のパッチ適用プロセスのスピードと効率性を評価するための重要な指標…

2026年3月3日

LDAPインジェクション攻撃を防ぐために、アプリケーション側で実施すべき最も効果的な対策はどれか。

LDAPクエリに使用されるユーザー入力に含まれる特殊文字（( ) * \ など）を適切にエスケープまたは検証す…

2026年3月3日

Webアプリケーションの脆弱性の一つで、攻撃者がサーバーに対して、サーバーから見て内部ネットワークにある非公開システムへのリクエストを強制的に送信させる攻撃はどれか。

SSRFは、サーバー自体を踏み台にして、ファイアウォール内部のクラウドメタデータサービスやデータベース…

2026年3月3日

クラウド環境や仮想環境において、サーバーワークロード（OS、アプリケーション）を保護するために設計されたセキュリティソリューションのカテゴリ名はどれか。

CWPPは、仮想マシン、コンテナ、サーバーレスなどのワークロードに対して、脆弱性管理、マルウェア対策、…

2026年3月3日

事業影響度分析（BIA）において、ある業務プロセスの停止が他のプロセスに与える波及効果や依存関係を分析することを何と呼ぶか。

BIAでは、単独の業務だけでなく、システム間や業務間の依存関係を特定し、連鎖的な影響（カスケード効果）…

2026年3月3日