HOME
Lv006

「Lv006」の記事一覧

APIセキュリティにおいて、クライアントが要求するデータの構造を柔軟に定義できる反面、ネストの深いクエリによるDoS攻撃のリスクがある技術はどれか。

GraphQLはクライアントが必要なデータを指定できるが、複雑または深い階層のクエリを送信されるとサーバー…

2026年3月5日

SABSAフレームワークにおいて、ビジネス属性（Attributes）を定義し、それをセキュリティ対策の指標として用いる手法は何か。

SABSAの属性プロファイリングは、ビジネス要件を「信頼性」「可用性」などの属性に翻訳し、アーキテクチャ…

2026年3月5日

米国政府機関向けのクラウドセキュリティ評価・認証プログラムであり、クラウドサービスの安全性を標準化するための枠組みはどれか。

FedRAMPは、米国連邦政府機関がクラウドサービスを採用する際のセキュリティ評価、認証、モニタリングの標…

2026年3月5日

ハニーポットの一種で、攻撃者の行動を詳細に記録するために、実際のOSやアプリケーションと同様の機能を提供する高度な環境を何と呼ぶか。

高対話型ハニーポットは、実際のシステムに近い環境を提供し、攻撃者の詳細な挙動や新しい攻撃手法を観測…

2026年3月5日

ハードウェアレベルで暗号鍵の生成・保管を行い、プラットフォームの整合性検証（ブートプロセスの測定など）に使用されるチップはどれか。

TPMはマザーボード等に実装され、システムのブート状態の測定値（PCR）を保持し、改ざん検知や鍵の安全な…

2026年3月5日

プライバシーバイデザイン（PbD）の7つの原則において、ユーザーの設定変更を必要とせず、初期状態でプライバシーが保護されることを指す原則はどれか。

「Privacy as the Default（デフォルトでのプライバシー）」は、ユーザーが何もしなくても自動的にプライ…

2026年3月5日

情報セキュリティアーキテクチャにおいて、「システムハイモード（System High Mode）」の特徴として正しいものはどれか。

システムハイモードでは、全てのユーザーがシステム内の最高機密レベルのクリアランスを持つ必要があるが…

2026年3月5日

サーバーサイドリクエストフォージェリ（SSRF）攻撃において、攻撃者がクラウド環境のメタデータサービス（IMDS）へアクセスすることで奪取を狙う情報は何か。

クラウド環境（AWS等）では、特定のIPへリクエストを送ることでインスタンスに付与されたIAMロールの一時…

2026年3月5日

BCP（事業継続計画）において、代替サイトへの切り替え時間を最小限にする必要があるが、コストも考慮する場合、機器は設置されているがデータ同期がリアルタイムではないサイト形態はどれか。

ウォームサイトは機器や回線は用意されているが、データやアプリケーションの最新化に一定の時間を要する…

2026年3月5日

OAuth 2.0において、SPA（シングルページアプリケーション）などのパブリッククライアントがアクセストークンを取得する際、セキュリティ上の理由から推奨されなくなったフローはどれか。

Implicit Flow（インプリシットフロー）はアクセストークンがURLフラグメントに含まれ漏洩リスクが高いた…

2026年3月5日