HOME
Lv030

「Lv030」の記事一覧

ペネトレーションテスト終了時に必ず実施すべき「ポストエクスプロイト」タスクはどれか。

テスト中に設置したバックドアや作成した特権アカウントを放置すると、実際の攻撃者に悪用されるリスクが…

2026年3月10日

GIACの倫理規定（Code of Ethics）において、セキュリティ専門家が最優先すべき義務は何か。

セキュリティ専門家は、特定のクライアントへの忠実義務よりも、社会全体や公共の安全を損なわないことを…

2026年3月10日

Google Project Zeroなどの脆弱性研究チームが採用している、ベンダーへの報告から公開までの標準的な猶予期間（開示期限）は何日か。

90日ルールは、ベンダーに修正パッチを作成・配布する十分な時間を与えつつ、無期限に放置されることを防…

2026年3月10日

テスト実施中に、顧客のデータを全消去してしまうような「緊急かつ重大な（Critical）」脆弱性を発見した場合、テスターはどうすべきか。

即座に対処しなければ組織に壊滅的な被害を与える可能性がある脆弱性は、レポートの完成を待たずに、ホッ…

2026年3月10日

米国において、許可なくコンピュータシステムにアクセスすることを禁じる主要な連邦法はどれか。（日本の不正アクセス禁止法に相当）

CFAAは、コンピュータへの不正アクセスや権限を超えたアクセスを犯罪として定義しており、ペネトレーショ…

2026年3月10日

ペネトレーションテスト中に、まだパッチが存在しない未知の脆弱性（ゼロデイ）を発見した場合、テスターが取るべき倫理的な行動はどれか。

まずは契約しているクライアントに報告し、その後、ベンダーに連絡して修正の時間を与える「責任ある開示…

2026年3月10日

脆弱性の修正計画を立てる際、すべての脆弱性を即座に修正できない場合に、優先順位付けの基準となる最も適切な指標はどれか。

リソースは有限であるため、ビジネスへの影響が最も大きく、かつ悪用される可能性が高い脆弱性（Critical/…

2026年3月10日

ペネトレーションテスト実施中に、事前に合意したスコープ（範囲）を超えてテスト対象を拡大してしまうことを何と呼ぶか。

スコープクリープは、テストの進行に伴い対象範囲がなし崩し的に拡大することで、予算超過や法的トラブル…

2026年3月10日

脆弱性診断レポートにおいて、CVSSスコアだけでなく、実際のビジネス環境における「悪用のしやすさ」や「影響範囲」を加味してリスクを評価することを何と呼ぶか。

CVSSはあくまで技術的な深刻度であり、レポートでは「その組織にとってどれだけ危険か」というビジネスリ…

2026年3月10日

エグゼクティブサマリー（経営層向け要約）に含めるべきではない情報はどれか。

経営層は技術的な詳細よりも、ビジネス上のリスク、財務的影響、ブランドへの影響に関心があるため、細か…

2026年3月10日