HOME
CISSP セキュリティプロフェッショナル

「CISSP セキュリティプロフェッショナル」の記事一覧

APIセキュリティにおいて、過剰なデータ露出を防ぐために重要な対策はどれか。

クライアント側でのフィルタリングに依存せず、サーバー側で必要なフィールドのみを選択して返すことで、…

2026年3月3日

ネットワークアクセスコントロール（NAC）の主な機能として適切なものはどれか。

NACは、PC等の端末がネットワークに接続しようとした際、パッチ適用状況やウイルス対策ソフトの有無等を検…

2026年3月3日

インシデントレスポンスのプロセス（NIST SP800-61）において、「封じ込め、根絶、復旧」の次に行うフェーズはどれか。

インシデント対応の最終フェーズは「事後活動（Post-Incident Activity）」であり、対応の振り返り（Lesso…

2026年3月3日

STRIDEモデルにおいて、「S」が表す脅威はどれか。

STRIDEは脅威モデリングの手法であり、SはSpoofing（なりすまし）、つまり他人のIDやIPアドレスを騙る脅威…

2026年3月3日

OAuth 2.0において、ユーザー（リソース所有者）の代わりにリソースサーバーへアクセスするためにクライアントアプリに発行されるものはどれか。

OAuth 2.0では、認可サーバーがクライアントに対して「アクセストークン」を発行し、クライアントはこのト…

2026年3月3日

Bibaモデルが主に保護するセキュリティ要素はどれか。

Bibaモデルは「No Write Up, No Read Down」というルールを持ち、情報の完全性（Integrity）を維持するこ…

2026年3月3日

コードを実行せずにソースコードを解析して脆弱性を特定するテスト手法はどれか。

SAST（Static Application Security Testing）は、プログラムを実行せず、ソースコードやバイナリを解析し…

2026年3月3日

DNSキャッシュポイズニング攻撃の対策として、DNS応答の正当性を署名で検証する技術はどれか。

DNSSEC（Domain Name System Security Extensions）は、公開鍵暗号方式によるデジタル署名をDNSレコードに…

2026年3月3日

定性的リスク分析において使用される手法はどれか。

定性的リスク分析は、数値ではなく「高・中・低」などのレベルで評価する手法であり、リスクマトリクスが…

2026年3月3日

ハニーポットの主な導入目的はどれか。

ハニーポットは、あえて脆弱に見せかけた囮（おとり）システムであり、攻撃者を誘い込んで行動を記録し、…

2026年3月3日