HOME
Lv019

「Lv019」の記事一覧

プライバシーエンジニアリングの目標の一つで、攻撃者がシステム内の対象（ユーザーやアイテム）に関心を持っているかどうか、あるいはシステムを利用しているかどうかを外部から区別できない性質を何と呼ぶか。

非観測性は、ユーザーがシステムを利用している事実や特定の行動を行っている事実が、第三者に知られない…

2026年3月5日

CPUの投機的実行（Speculative Execution）機能を悪用し、キャッシュのタイミング差異を観測することで、本来アクセス権のないメモリ領域の内容を推測するサイドチャネル攻撃の代表例はどれか。

MeltdownやSpectreは、CPUの性能向上機能を逆手に取り、投機的に実行された痕跡（キャッシュ状態）から機…

2026年3月5日

「属性交換ネットワーク（AXN）」の主な役割として適切なものはどれか。

AXNは、さまざまなソースからのIDや属性情報（年齢、資格、信用スコア等）を、サービス事業者が利用しやす…

2026年3月5日

Biba完全性モデルの動的バリエーションである「Low Water Mark」ポリシーでは、サブジェクトが自分より低い完全性レベルのオブジェクトを読み込んだ場合、サブジェクトの完全性レベルはどう変化するか。

Low Water Markポリシーでは、信頼性の低いデータに触れるとサブジェクト自身も汚染されたとみなされ、そ…

2026年3月5日

サードパーティリスク管理において「終了（Termination）フェーズ」が重要な理由はどれか。

契約が終わっても、委託先に預けたデータや貸与したIDがそのまま放置され、後日そこから侵害が発生するケ…

2026年3月5日

事業継続計画（BCP）において、代替サイトへの移動を決定する際の最大の阻害要因（心理的バイアス）はどれか。

サイト切り替え（フェイルオーバー）は業務上の混乱やコストを伴うため、判断が遅れ、結果として被害を拡…

2026年3月5日

情報セキュリティガバナンスが「機能していない」ことを示す最も明確な兆候はどれか。

特定の担当者がいなくなると崩壊する属人化された状態は、ガバナンス（仕組みによる統治）が欠如している…

2026年3月5日

DevOps環境において、セキュリティゲート（承認プロセス）がボトルネックにならないようにするための最良の策はどれか。

人間によるレビューを極力減らし、事前に定義したポリシーに適合していれば自動的に通過させる仕組みにす…

2026年3月5日

リスク評価において「専門家の判断（Delphi法など）」に依存せざるを得ないケースはどれか。

データがない領域では、複数の専門家の知見を集約し、匿名性を保ちながら合意形成を図る定性的手法が最も…

2026年3月5日

CISOが「セキュリティ運営委員会」で提示すべきダッシュボードにおいて、最も避けるべき指標はどれか。

「100万回ブロックしました」という数字は、脅威の活動量を示すだけで、組織が安全になったかどうかのビジ…

2026年3月5日