HOME
CISSP エキスパート

「CISSP エキスパート」の記事一覧

ペネトレーションテストの「レッドチーム」演習において、攻撃者が検知を回避するために正規の管理ツール（PowerShell, WMI, PsExec等）のみを使用して攻撃を行う手法を何と呼ぶか。

Living off the Land LotL 攻撃が該当

2026年1月24日

CPUの投機的実行（Speculative Execution）を悪用したサイドチャネル攻撃（Spectre等）を緩和するために、ソフトウェア開発者がコードレベルで実装すべき対策はどれか。

投機的実行を抑制する命令の挿入や、条件分岐における配列インデックスの境界チェックを厳格化しが該当

2026年1月24日

5Gネットワークスライシングにおいて、あるスライスへのDDoS攻撃が他のスライスの可用性に影響を与えないようにするための分離要件（Isolation）を何と呼ぶか。

ハードスライシングまたはリソースの物理的/論理的な完全分離が該当

2026年1月24日

「三線防御（Three Lines of Defense）」モデルにおいて、リスク所有者（Risk Owner）としての役割と責任を担い、日常的なリスク管理と統制の実践を行うのはどのラインか。

第一線：事業部門・現場の運用管理者が該当

2026年1月24日

GDPRやCCPAなどのプライバシー法規制において、データの「仮名化（Pseudonymization）」と「匿名化（Anonymization）」の決定的な違いは何か。

仮名化は追加情報キーがあれば個人を再識別可能であり個人データが該当

2026年1月24日

セキュリティ運用における「トイル（Toil）」の削減（SREの概念）が、セキュリティチームにもたらすメリットはどれか。

手作業で反復的な低価値作業トイルを自動化することでが利点

2026年1月24日

デジタルフォレンジックにおいて「CoC (Chain of Custody: 証拠保管の連鎖)」を文書化する際に、法的に不可欠な記載事項はどれか。

証拠が「いつ」「誰が該当

2026年1月24日

APT（高度な持続的脅威）攻撃のライフサイクルにおいて、最初の侵入（Initial Access）の後に攻撃者が確立しようとする「C2（Command and Control）」の目的はどれか。

侵害した内部システムとの通信経路を確保し、遠隔操作、追加ツールのダウンロード、データ抽出を行うが目的

2026年1月24日

クラウドセキュリティにおける「CWPP（Cloud Workload Protection Platform）」と「CSPM（Cloud Security Posture Management）」の役割の違いはどれか。

CSPMはクラウド「インフラの設定コントロールプレーン」の不備を監視しが該当

2026年1月24日

セキュアコーディングにおいて、入力値検証に「ホワイトリスト（許可リスト）」方式が推奨される理由はどれか。

既知の安全なパターンのみを受け入れることでが該当

2026年1月24日