HOME
Lv025

「Lv025」の記事一覧

「サイトツアー（現場確認）」を審査の初期に行う主なメリットはどれか。

現場を最初に見ることで、文書化された情報と実際の活動の整合性をイメージしやすくなる。

2026年3月13日

「監査証拠」の質を確保するために、審査員が避けるべきことはどれか。

証拠は検証可能な事実に基づく必要があり、不確かな伝聞に基づいてはならない。

2026年3月13日

「IaC (Infrastructure as Code)」のセキュリティスキャンにおいて、特に警戒すべき内容はどれか。

設定ファイルの中に認証情報を直接書き込んでしまうと、リポジトリを通じて情報が漏洩するリスクがある。

2026年3月13日

「多要素認証 (MFA)」の回避手法である「MFA疲労攻撃」への対策はどれか。

大量のプッシュ通知を送り、ユーザーがうっかり承認してしまうのを防ぐために、画面に表示された数字を入…

2026年3月13日

「SASE」モデルにおいて、ネットワークのエッジ部分で行われるセキュリティ処理の例はどれか。

クラウド上の拠点（PoP）において、ユーザーに近い場所でセキュリティ機能を一括適用する。

2026年3月13日

「リスク・レジスタ」に含まれるべき情報はどれか。

組織が直面している全てのリスクを一覧化し、管理状況を追跡するための台帳である。

2026年3月13日

インシデント後の「ポストインシデント・アクティビティ」の最大の目的はどれか。

発生した事象を振り返り、プロセスや対策の改善につなげることで再発を防止し対応力を向上させる。

2026年3月13日

「ソフトウェアサプライチェーン」のリスクとして、ビルドシステム自体が攻撃されるケースを何と呼ぶか。

開発環境やビルドツールが侵害されると、正規の署名が付いたマルウェアが配布される恐れがある。

2026年3月13日

「ゼロトラスト・アーキテクチャ」における「信頼の境界」はどこにあるか。

「内側は安全」という境界の概念を捨て、個別のリクエストごとに信頼を検証する。

2026年3月13日

「特権IDのクリーニング」において、長期間使用されていない特権アカウントはどうすべきか。

不要な特権アカウントは攻撃者にとって格好のターゲットとなるため、最小限の数に保つべきである。

2026年3月13日