HOME
CISSP セキュリティプロフェッショナル

「CISSP セキュリティプロフェッショナル」の記事一覧

Javaや.NETなどのアプリケーションにおいて、信頼できないデータをオブジェクトに復元する際に発生し、リモートコード実行（RCE）につながる脆弱性はどれか。

デシリアライゼーション（直列化復元）の処理中に、悪意あるオブジェクトを生成・実行させる攻撃であり、O…

2026年3月3日

サードパーティリスクマネジメント（TPRM）のライフサイクルにおいて、契約終了時に最も重要となるセキュリティアクションはどれか。

契約終了時のオフボーディングプロセスでは、委託していたデータの確実な破棄や返還、およびシステムへの…

2026年3月3日

CSA（Cloud Security Alliance）の「STARレジストリ」において、独立した第三者監査人による評価に基づく認証レベルはどれか。

CSA STAR Level 1は自己評価、Level 2は第三者による監査（SOC 2やISO 27001ベース）、Level 3は継続的な…

2026年3月3日

CPUの投機的実行（Speculative Execution）機能を悪用し、アクセス権のないメモリ領域の内容を読み取るサイドチャネル攻撃の代表例はどれか。

SpectreとMeltdownは、CPUの高速化技術である投機的実行の脆弱性を突き、キャッシュのタイミング差異を利…

2026年3月3日

特権アクセス管理（PAM）において、常時特権を持たせるのではなく、必要な時だけ一時的に権限を付与する方式を何と呼ぶか。

JITアクセスは、申請承認ワークフローなどを経て、必要な時間枠に限って特権を付与することで、常時存在す…

2026年3月3日

公衆Wi-Fi（ホットスポット）において、パスワードなしでも個別の暗号化通信を提供し、盗聴を防ぐWi-Fi Allianceの規格はどれか。

OWE（Wi-Fi Enhanced Open）は、認証なしのオープンなWi-Fi環境でも、Diffie-Hellman鍵交換を用いて端末ご…

2026年3月3日

「スレットハンティング（Threat Hunting）」と従来のセキュリティ監視の主な違いはどれか。

スレットハンティングは、自動検知システムをすり抜けて潜伏している脅威を見つけ出すために、アナリスト…

2026年3月3日

コモンクライテリア（CC）において、特定の種類の製品（例：ファイアウォール）に対するセキュリティ要件のひな形を定義した文書はどれか。

プロテクションプロファイル（PP）は、特定の製品カテゴリに対して共通して求められるセキュリティ要件を…

2026年3月3日

KPI（重要業績評価指標）と異なり、将来のリスクイベントが発生する可能性の高まりを予兆として示す指標はどれか。

KRI（Key Risk Indicators）は、リスクが顕在化する前の予兆をモニタリングするための早期警戒指標である。

2026年3月3日

ISO/IEC 27001（ISMS）のアドオン規格であり、プライバシー情報マネジメントシステム（PIMS）の要件を規定しているのはどれか。

ISO/IEC 27701は、GDPRなどのプライバシー法規制への準拠を支援するために、ISMSを拡張してプライバシー保…

2026年3月3日