HOME
CSSLP (ISC2) ソフトウェアライフサイクル

「CSSLP (ISC2) ソフトウェアライフサイクル」の記事一覧

「レッドチーム演習」の主な目的はどれか。

実際の攻撃者を模した高度な演習により組織のセキュリティ実効性を評価する。

2026年3月5日

「暗号の俊敏性（Cryptographic Agility）」を確保する設計とはどれか。

使用中のアルゴリズムに脆弱性が見つかった際、迅速に移行できるようにしておく。

2026年3月5日

「アタックサーフェス解析」において、攻撃対象領域を「減らす」手法はどれか。

攻撃可能な入り口を物理的・論理的に削減し守りやすくする。

2026年3月5日

脅威モデリングにおける「妥当性の確認（Validation）」とは何をすることか。

作成したモデルや分析結果が正確であり対策が適切であるかを評価する。

2026年3月5日

「安全なセッション管理」のためにクッキーに設定すべき属性はどれか。

JavaScriptからのアクセス禁止（HttpOnly）と暗号化通信限定（Secure）を強制する。

2026年3月5日

「セキュアSDLC」を組織に導入する際、最も重要な成功要因はどれか。

セキュリティ活動を組織の標準プロセスとして定着させるには経営層のバックアップが不可欠。

2026年3月5日

「SOC 2」レポートが主に評価する対象はどれか。

サービスプロバイダーの管理体制が基準を満たしているかを第三者が監査した結果。

2026年3月5日

「脆弱性開示ポリシー（VDP）」を策定する目的はどれか。

善意の報告者と協力してソフトウェアの安全性を高める仕組みを構築する。

2026年3月5日

「最小権限の原則」をプロセス間通信（IPC）に適用する方法はどれか。

コンポーネント間の通信経路を限定し侵害時の横移動（ラテラルムーブメント）を防ぐ。

2026年3月5日

ベンダーマネジメントにおいて「SLA（サービスレベル合意）」に含めるべきセキュリティ項目はどれか。

サービス品質の保証として脆弱性対応の時間枠などを合意しておく。

2026年3月5日