HOME
CSSLP (ISC2) ソフトウェアライフサイクル

「CSSLP (ISC2) ソフトウェアライフサイクル」の記事一覧

「SAST（静的解析）」が不向きな脆弱性の種類はどれか。

コードそのものを見るSASTは、実際の稼働環境（サーバー設定等）の問題検知が苦手である。

2026年3月5日

「SBOM」を活用して脆弱性管理を行う最大のメリットはどれか。

コンポーネントの可視化により、サプライチェーン上のリスクへの迅速な対応が可能になる。

2026年3月5日

「多層防御」における「管理的制御」の例はどれか。

ルールや手順、教育を通じてリスクを管理するソフト面の対策。

2026年3月5日

「要件トレーサビリティ」が確保されている状態とはどのようなものか。

要件の漏れを防ぎ、変更の影響範囲を正確に把握するために重要である。

2026年3月5日

「セキュアSDLC（SSDLC）」を成功させるために、開発者に提供すべき最も重要なものはどれか。

ツールだけでなく、安全なコードを書くための知識と基準を共有することが基盤となる。

2026年3月5日

「脆弱性スキャン」において、認証情報（ログイン権限）を用いて行うスキャンの利点はどれか。

外部スキャンでは見えない内部の設定不備や未適用のパッチを特定可能になる。

2026年3月5日

「TOCTOU（Time of Check to Time of Use）」脆弱性の主な原因はどれか。

確認後にデータが書き換えられる可能性がある不備を指す。

2026年3月5日

「ファジング」で、有効なデータ形式の仕様（プロトコル等）に基づいて入力を生成する手法はどれか。

仕様を理解して構造化された入力を生成するため、より深い論理バグを発見しやすい。

2026年3月5日

「STRIDE」における「情報の漏洩（Information Disclosure）」の直接的な対策はどれか。

許可されていない閲覧を防ぐためには、暗号化などの機密性保護策が不可欠である。

2026年3月5日

「特権の委譲（Delegation）」において、セキュリティを維持するための推奨事項はどれか。

最小権限の原則と時間制限を適用することで、悪用のリスクを抑制する。

2026年3月5日