HOME
ISC2 SSCP (実務者)

「ISC2 SSCP (実務者)」の記事一覧

物理的なセキュリティにおける「テイルゲーティング」と「ピギーバッキング」の主な違いは何か。

どちらも共連れだが、ピギーバッキングは認証者が意図的に（親切心などで）未認証者を入れる行為を指す。

2026年3月13日

「サービス妨害 (DoS) 攻撃」の一種で、TCPの接続要求を完了させずにリソースを枯渇させる攻撃はどれか。

スリーウェイハンドシェイクの途中で応答を止め、サーバーに大量の「半開き」接続を保持させてパンクさせ…

2026年3月13日

「安全なAPI設計」における「べき等性 (Idempotency)」のセキュリティ上の意義はどれか。

ネットワークエラー等による再送時に、意図しない二重決済やデータの重複登録といった副作用を防止する。

2026年3月13日

「FIDO認証」において、生体情報（指紋など）が送信される先はどこか。

生体情報はローカルデバイス内で完結し、サーバーへは公開鍵ベースの署名結果のみが送られるためプライバ…

2026年3月13日

「スレット・モデリング」における「DREAD」手法で評価しない項目はどれか。

DREADはリスクの優先順位を付けるための指標であり、物理的な外見などは含まれない。

2026年3月13日

「ディザスタリカバリ・プラン (DRP)」をテストする際、実際の業務を予備拠点に切り替えて継続性を確認するテストはどれか。

本番系と待機系を同時に動かし、あるいは実際に切り替えて、目標時間内に復旧できるかを確認する。

2026年3月13日

「インフラストラクチャ・アズ・コード (IaC)」におけるセキュリティ上の利点はどれか。

設定をプログラムとして記述することで、構成の再現性を確保し、監査や修正を自動化・迅速化できる。

2026年3月13日

「ゼロトラスト・ネットワーク・アクセス (ZTNA)」において、通信の「最小権限」を実現する単位はどれか。

IPアドレスによる広範な許可ではなく、特定のユーザーが特定のアプリのみにアクセスできるよう細かく制御…

2026年3月13日

「認証連携 (Federation)」における「属性共有」のリスクはどれか。

属性フィルタリングを適切に行い、認可に必要な最小限の情報のみを渡すように設計する必要がある。

2026年3月13日

「物理的侵入テスト」で確認すべき項目として適切なものはどれか。

物理的な防御策が実際の攻撃に対して機能するか、人間系や設備の両面から評価する。

2026年3月13日