HOME
CISSP-ISSAP アーキテクチャ専門家

「CISSP-ISSAP アーキテクチャ専門家」の記事一覧

STRIDE脅威モデリングにおいて、「E (Elevation of Privilege)」に対応するセキュリティ特性はどれか。

特権昇格（Elevation of Privilege）は、ユーザーが本来持っていない権限を取得する脅威であり、これに対…

2026年3月5日

PCI DSS要件において、外部向けのIPアドレスに対して四半期ごとに実施が義務付けられているテストはどれか。

PCI DSSでは、認定されたスキャンベンダー（ASV）による外部脆弱性スキャンを少なくとも四半期に1回実施し…

2026年3月5日

C2サーバーとの通信において、一定の間隔で短い信号を送信し、攻撃者からの指令待ちであることを知らせる通信挙動を何と呼ぶか。

ビーコニングは、マルウェアが生存報告や指令受取のために定期的に外部サーバーへ行う通信であり、ジッタ…

2026年3月5日

LDAPディレクトリに対するクエリを操作し、認証のバイパスや情報の盗取を行う「LDAPインジェクション」を防ぐための最良の対策はどれか。

LDAPの特殊文字（`*`, `(`, `)`, `\` 等）を正しくエスケープ処理し、入力値を厳格に検証することが、LDAP…

2026年3月5日

Webページが ` 内に読み込まれることを制御し、クリックジャッキング攻撃を防ぐためのHTTPレスポンスヘッダーはどれか。

`X-Frame-Options`（またはCSPの `frame-ancestors`）を設定することで、自サイトのコンテンツが他サイト…

2026年3月5日

セキュリティモデルにおける「Lattice-based Access Control（ラティスベースアクセス制御）」が、各リソースとユーザーに割り当てる2つの要素の組み合わせはどれか。

ラティスモデルでは、階層的なセキュリティレベル（Top Secret等）と非階層的なカテゴリ（Project X等）の…

2026年3月5日

Active Directory環境への攻撃手法「ゴールデンチケット」において、攻撃者が偽造するために必要な、ドメイン全体の認証を司る特別なアカウントのハッシュはどれか。

ゴールデンチケット攻撃では、KDCサービスのサービスアカウントである `krbtgt` のNTLMハッシュを奪取し、…

2026年3月5日

ビジネスインパクト分析（BIA）において、システムや業務が停止した際、組織が回復不能な致命的なダメージを受けるまでの限界時間を指す用語はどれか。

MTD（またはMTPD）は、組織が存続不可能な状態に陥るまでの最大許容停止時間であり、RTOはこの時間内に設…

2026年3月5日

EDR (Endpoint Detection and Response) とEPP (Endpoint Protection Platform) の主な違いとして適切な記述はどれか。

EPPはアンチウイルスなど感染を防ぐ予防的措置であり、EDRは侵入後の検知、調査、封じ込めなどの対応機能…

2026年3月5日

Webブラウザに対し、HTTPではなくHTTPSでの通信を強制し、中間者攻撃によるSSLストリッピングを防ぐためのヘッダーはどれか。

HSTSヘッダーを受け取ったブラウザは、指定期間中、そのドメインに対して自動的にHTTPSへのリダイレクトを…

2026年3月5日