HOME
Lv005

「Lv005」の記事一覧

脆弱性を発見した順番ではなく、何に基づいてレポートの項目を並べるべきか。

修正の優先順位を判断しやすくするため、リスクの高いものから順に記載するのが一般的である。

2026年3月26日

レポートに記載すべき内容として、修正方法の提示（Remediation）は必要か。

単に脆弱性を指摘するだけでなく、その修正策を提示することがテストの価値を高める。

2026年3月26日

ペネトレーションテストの「スコープ」が意味するものはどれか。

スコープは診断を行うIPアドレスやドメイン、システムの範囲を明確に定義したものである。

2026年3月26日

侵入テストが許可なく行われた場合、法的にどのような扱いを受ける可能性があるか。

正当な許可（合意文書）のないテスト行為はサイバー犯罪として処罰の対象となる。

2026年3月26日

診断終了後、ターゲットシステムに残したツールやバックドアを削除するプロセスを何と呼ぶか。

プロフェッショナルな診断では実施後のシステム状態を元に戻すクリーンアップが必須である。

2026年3月26日

脆弱性（Vulnerability）とリスク（Risk）の違いについて、正しい説明はどれか。

リスクは特定の脆弱性が脅威によって悪用される可能性とその影響を指す。

2026年3月26日

レポートにおいて「Executive Summary」は主に誰を対象に書かれるべきか。

Executive Summaryは技術詳細よりもビジネスへの影響を重視し、経営層向けに書く。

2026年3月26日

発見された脆弱性の危険度を評価するために広く使われる標準的な指標はどれか。

Common Vulnerability Scoring System (CVSS) は脆弱性の深刻度を数値化する。

2026年3月26日

テスト中に機密情報を発見した場合、診断員が最初にとるべき行動はどれか。

機密情報の取り扱いは事前に合意されたプロトコルに従い、迅速にクライアントへ報告する。

2026年3月26日

ペネトレーションテストにおいて、テストの目的、範囲、禁止事項を定義した文書を何と呼ぶか。

Rules of Engagement (RoE) はテストの実施ルールを定めた重要な合意文書である。

2026年3月26日