HOME
Lv023

「Lv023」の記事一覧

内部不正対策において、職務分掌（SoD）と並んで重要とされる、不正の兆候やミスの隠蔽を防ぐための人事的な管理策はどれか。

強制休暇制度は、担当者を一定期間業務から離すことで、その間に代理の者が業務を行う際に不正や隠蔽工作…

2026年3月5日

Webアプリケーションにおいて、アップロードされたファイルが画像として処理される際に、メタデータ領域に埋め込まれたスクリプトが実行される攻撃はどれか。

ポリグロットファイル（例：画像でもありJARファイルでもある）を作成し、サーバーやブラウザに異なる形式…

2026年3月5日

VoIP（IP電話）環境において、SIP（Session Initiation Protocol）サーバーを標的とし、大量のINVITEリクエストを送りつけてサービス不能にする攻撃はどれか。

SIP Floodは、通話開始要求（INVITE）を大量に送信し、SIPサーバーの処理能力を枯渇させ、正規の通話確立…

2026年3月5日

TOGAFのADMサイクルにおいて、セキュリティアーキテクチャが特定のフェーズだけで完結せず、全フェーズに関わる性質を何と表現しているか。

セキュリティはビジネスアーキテクチャからテクノロジー、移行計画に至るまで、すべてのフェーズに影響を…

2026年3月5日

OAuth 2.0のセキュリティ拡張「DPoP (Demonstrating Proof-of-Possession)」が解決しようとする主な問題は何か。

DPoPは、トークンを特定のクライアント（の秘密鍵）に紐付けることで、万が一トークンが盗まれても、攻撃…

2026年3月5日

脅威インテリジェンスの共有プロトコル「TAXII」において、情報共有のモデルとしてサポートされている主な2つの方式はどれか。

TAXII 2.xでは、情報を保管する「Collection」と、リアルタイムで情報を流す「Channel」という概念を用い…

2026年3月5日

GDPRにおいて、EU域外の国へのデータ移転が認められるための条件の一つである「十分性認定（Adequacy Decision）」とは何か。

十分性認定を受けた国や地域に対しては、特別な手続きなしに個人データを移転することが許可される。

2026年3月5日

GraphQLのイントロスペクション（Introspection）機能が有効になっている場合、攻撃者にとってどのようなリスクとなるか。

イントロスペクションは開発者向けのドキュメント機能だが、外部公開されていると攻撃者がAPIの全仕様を知…

2026年3月5日

産業用制御システム（ICS）で使用されるModbus TCPプロトコルのセキュリティ上の主要な弱点はどれか。

Modbus TCPはレガシープロトコルであり、設計当初セキュリティが考慮されていないため、認証なしでコマン…

2026年3月5日

セキュリティ設計原則の一つ「Economy of Mechanism（メカニズムの経済性）」の意味として最も適切なものはどれか。

「メカニズムの経済性」は、設計を単純にすることで検証を容易にし、未知の脆弱性や実装ミスのリスクを減…

2026年3月5日