HOME
CSSLP (ISC2) ソフトウェアライフサイクル

「CSSLP (ISC2) ソフトウェアライフサイクル」の記事一覧

「OSS」の依存関係が「推移的（Transitive）」であるとはどういう意味か。

直接の管理外にある孫ライブラリの脆弱性も自社製品のリスクになることを意味する。

2026年3月5日

「レッドチーム」と「ブルーチーム」が協力し、情報を共有しながら行う演習を何と呼ぶか。

攻撃と防御の知見を融合させ、組織全体のセキュリティ能力を最大化させる。

2026年3月5日

「継続的モニタリング」において「ベースライン」を設定する目的はどれか。

何が「普通」かを知らなければ、攻撃による挙動の変化に気づくことができない。

2026年3月5日

「パスワードレス認証」が目指す究極の目的はどれか。

認証の弱点である「秘密の知識」への依存をなくし、より堅牢な認証手段へ移行する。

2026年3月5日

「STRIDE」における「権限昇格（Elevation of Privilege）」の具体例はどれか。

本来認められていない高い権限を不当に得ることは、システム全体の制御を失うリスクとなる。

2026年3月5日

「シークレット管理」において、APIキーを「環境変数」や「専用マネージャー」で扱うべき理由はどれか。

コードと秘密情報を分離することで、開発履歴からの機密情報の流出を防止する。

2026年3月5日

「サービス拒否（DoS）」攻撃に対する設計上の「緩和策（Mitigation）」はどれか。

特定のユーザーが資源を独占できないように制御することで、全体の可用性を守る。

2026年3月5日

「インタラクティブアプリケーションセキュリティテスト（IAST）」の利点はどれか。

アプリ内部から動作を監視するため、静的・動的解析の両方の長所を併せ持つ。

2026年3月5日

「セキュリティ教育」において「フィッシング模擬演習」を実施する目的はどれか。

理論だけでなく、実際に不審な点に気づけるかというスキルを体験を通じて強化する。

2026年3月5日

「リスク転嫁」の代表的な手法である「サイバー保険」がカバーしないものはどれか。

一度漏洩したデータの「秘密」は取り戻せないため、保険は主に金銭的損失を補填する。

2026年3月5日