HOME
CISSP エキスパート

「CISSP エキスパート」の記事一覧

APIセキュリティにおいて、「IDOR (Insecure Direct Object Reference)」脆弱性の根本原因は何か。

オブジェクトへのアクセス時に、ID番号等のみで対象を指定させが該当

2026年1月24日

NIST SP 800-63Bにおいて、SMSを使用した多要素認証（OTP）が「非推奨（Restricted）」またはより安全な手段への移行を推奨されている理由はどれか。

SIMスワップ攻撃やSS7ネットワークの脆弱性が該当

2026年1月24日

Web脆弱性診断ツール（スキャナ）を使用する際、スキャナが「ログイン状態」を維持するための設定（ログインマクロやセッションCookieの設定）が不適切な場合に起こる問題はどれか。

認証が必要な深層ページマイページ等をスキャンできずが該当

2026年1月24日

ゼロトラストアーキテクチャの構成要素「PDP (Policy Decision Point)」が、アクセス許可の判定を下す際に参照すべき動的な情報の組み合わせとして最も適切なものはどれか。

ユーザーID、デバイスのセキュリティ状態、アクセス元の位置情報、時刻、リソースの感度が該当

2026年1月24日

DNSSECの鍵管理において、「KSK (Key Signing Key)」と「ZSK (Zone Signing Key)」を分けて運用する主な理由はどれか。

頻繁に署名に使用されるZSKのロールオーバー更新を容易にしが該当

2026年1月24日

国際的なデータ移転に関する「APEC CBPR（Cross Border Privacy Rules）」システムの特徴はどれか。

APEC加盟国間でのデータ移転に関する企業のプライバシー保護体制を認証する仕組みでが該当

2026年1月24日

「データ毒入れ（Data Poisoning）」攻撃が、機械学習システムのライフサイクルのどの段階を標的とするか。

学習フェーズ：学習データに悪意のあるサンプルを混入させ、モデルの分類境界を歪めるが該当

2026年1月24日

DR（災害復旧）サイトへのデータ転送において、「非同期レプリケーション」を選択する場合のリスク許容度はどれか。

距離による遅延レイテンシを許容するが該当

2026年1月24日

Webアプリケーションにおいて「Clickjacking」攻撃を防ぐために、X-Frame-Optionsヘッダーで「DENY」または「SAMEORIGIN」を設定する意味はどれか。

ブラウザに対し、このページを＜frame＞や＜iframe＞内で表示するが該当

2026年1月24日

MITRE ATT&CKにおける「Atomic Red Team」のようなテストフレームワークの利点はどれか。

特定の攻撃テクニックに対応する小さな単体テストアトミックテストを実行しが利点

2026年1月24日