HOME
Lv013

「Lv013」の記事一覧

「Non-interference Model（非干渉モデル）」が目的とするのは、どのような情報の流れを防ぐことか。

非干渉モデルは、高セキュリティレベルの入力や操作が、低セキュリティレベルのユーザーが見る出力に一切…

2026年3月5日

未使用の光ファイバーケーブル（ダークファイバー）を利用する際、物理的な盗聴（タッピング）のリスクに対抗するために最も効果的な技術的対策はどれか。

ダークファイバーは物理的にアクセス可能な場所を通る可能性があるため、光伝送レベル（レイヤ1）で強力な…

2026年3月5日

サーバーレスアーキテクチャ（FaaS）のセキュリティにおいて、各関数の権限を最小限に絞るために重要となる考え方はどれか。

サーバーレスでは、関数ごとに単一の目的を持たせ、その実行に必要な最小限のIAM権限のみを付与することで…

2026年3月5日

サイバー保険契約において、国家支援によるサイバー攻撃が補償対象外とされる際、一般的に適用される免責条項は何か。

「戦争行為」免責条項は、物理的な戦争だけでなく、国家が関与する大規模なサイバー攻撃（サイバー戦争）…

2026年3月5日

IPsecにおいて、ESP (Encapsulating Security Payload) は提供するが、AH (Authentication Header) は提供しない機能はどれか。

AHは認証と完全性のみを提供し暗号化は行わない。ESPは認証、完全性に加えて暗号化（機密性）を提供する。

2026年3月5日

SAMLのアサーションやOAuthのトークンにおいて、そのトークンが「誰のために」発行されたか（受信者）を示すクレームまたはフィールドは一般的にどれか。

`aud`（オーディエンス）フィールドは、そのトークンを受け取って処理すべき正当な受信者（サービスやアプ…

2026年3月5日

STRIDE脅威モデリングにおいて、「E (Elevation of Privilege)」に対応するセキュリティ特性はどれか。

特権昇格（Elevation of Privilege）は、ユーザーが本来持っていない権限を取得する脅威であり、これに対…

2026年3月5日

PCI DSS要件において、外部向けのIPアドレスに対して四半期ごとに実施が義務付けられているテストはどれか。

PCI DSSでは、認定されたスキャンベンダー（ASV）による外部脆弱性スキャンを少なくとも四半期に1回実施し…

2026年3月5日

C2サーバーとの通信において、一定の間隔で短い信号を送信し、攻撃者からの指令待ちであることを知らせる通信挙動を何と呼ぶか。

ビーコニングは、マルウェアが生存報告や指令受取のために定期的に外部サーバーへ行う通信であり、ジッタ…

2026年3月5日

Webページが ` 内に読み込まれることを制御し、クリックジャッキング攻撃を防ぐためのHTTPレスポンスヘッダーはどれか。

`X-Frame-Options`（またはCSPの `frame-ancestors`）を設定することで、自サイトのコンテンツが他サイト…

2026年3月5日