CISSP模擬問題 1

CISSP模擬問題 1

1 / 52

ある企業は、災害発生時に事業継続計画(BCP)を発動する必要がないよう、
既存の施設そのものを強化して被害を未然に防ぐ対策を検討しています。

このような目的に最も適した対策はどれでしょうか。

2 / 52

ある製造業の企業が事業継続計画(BCP)を策定しています。
リスク分析の結果、地震による被害の可能性があることが判明しましたが、発生確率が低く影響も限定的であると判断されました。

経営陣は、このリスクに対して特別な対策は講じず、そのまま受け入れる方針を選択しました。

このリスク対応方針と一致する行動はどれでしょうか。

3 / 52

IPv4のクラスフルアドレッシングでは、アドレスはクラスA・B・Cなどに分類され、それぞれに標準のサブネットマスクが定義されています。
このうち、クラスBネットワークのデフォルトサブネットマスクとして正しいものはどれでしょうか。

4 / 52

ある企業では、以下のようなセキュリティ対策を導入しています。

  • 本人確認(アイデンティティの証明)を必須とする
  • 電話での依頼には折り返し確認(コールバック認証)を行う
  • 音声のみのやり取りでパスワード変更を行わない

これらの対策は、どのタイプの攻撃を防止する目的で実施されているでしょうか。

5 / 52

ある企業では、社内システムだけでなく外部サービスとも連携しながら、ユーザーアカウントの作成・変更・削除を自動化したいと考えています。
このため、組織内外で共通して利用できる、ユーザープロビジョニング情報を交換するための標準化されたマークアップ言語を検討しています。

この用途に最も適した、OASISによって策定された標準はどれでしょうか。

6 / 52

ある企業では、事業継続計画(BCP)において特定の役割を担う担当者に対し、定期的な再トレーニングを実施しています。
これらの担当者は、緊急時に重要な対応を行うため、継続的な教育と訓練が必要とされています。

一般的なベストプラクティスとして、これらの再トレーニングを実施する最小の間隔として最も適切なのはどれでしょうか

7 / 52

ある企業では1万人規模の従業員が在籍しており、任意のユーザー同士が安全に通信できる仕組みを検討しています。
管理者は、セキュリティを確保しつつ、鍵管理の負荷をできるだけ小さくしたいと考えています。

この要件に最も適した暗号方式はどれでしょうか。

8 / 52

ある企業では、重要な契約に関する電子メールのやり取りを行っています。
後日、送信者が「そのメールは自分が送信したものではない」と主張した場合でも、組織は送信者本人が送信したことを証明できる仕組みを導入したいと考えています。

この要件を満たすために必要なセキュリティ機能と、その実現手段の組み合わせとして最も適切なものはどれでしょうか。

9 / 52

ある企業では、各部門の責任者が自部門のファイルやデータへのアクセス権を管理しています。
これにより、各部門は業務内容に応じて柔軟にアクセス権を設定・変更できるようになっています。

このような分散型アクセス制御の主な利点はどれでしょうか。

10 / 52

ある企業では、ユーザーに対して定期的なパスワード変更を義務付けています。
しかし、多くのユーザーが過去に使用したパスワードを繰り返し使用していることが問題となっています。

この問題を防止するために最も適したパスワードポリシーの設定はどれでしょうか。

11 / 52

ある企業でセキュリティインシデントが発生しました。
対応チームは、インシデントの影響範囲や内容を分析し、法執行機関や規制当局への報告が必要かどうかを判断しています。

このような判断が行われるのは、インシデントレスポンスのどのフェーズでしょうか。

12 / 52

ある企業では、認証を受けた利用者のみが入室できるよう、2枚の扉で構成されたマントラップ(Mantrap)を設置しています。
この設備は、不正侵入や共連れ(Tailgating)を防止する目的で利用されています。

次のうち、マントラップの性質を表すコントロールとして最も適切でないものはどれでしょうか。

13 / 52

ある企業ではVPNを導入するにあたり、IP以外のプロトコルも扱える仕組みを検討しています。
さらに、PPPをカプセル化することで非IPプロトコルをトンネリングできる方式を選定したいと考えています。

この要件を最も適切に満たすVPNプロトコルはどれでしょうか。

14 / 52

あるシステム管理者は、LDAPサーバのパフォーマンス低下の原因を調査しています。
問題の原因となっているクエリの種類を特定するために、実際の本番トラフィックをそのまま観測し、分析したいと考えています。

この要件を満たすために最も適した監視手法はどれでしょうか。

15 / 52

あるユーザーがシステムにログインする際、入力したパスワードはハッシュ化され、データベースに保存されているハッシュ値と比較されます。
この処理は、ユーザーが正当な本人であることを確認するために行われます。

このプロセスは何と呼ばれるでしょうか。

16 / 52

ある企業では、機密性の高い設計情報をインターネット経由で拠点間に送信しています。
セキュリティ担当者は、通信内容が第三者に盗み見られるリスクを低減するため、データを暗号化して送信する仕組みを導入しました。

この対策によって主に低減されるリスクの種類はどれでしょうか。

17 / 52

ある企業でリスクアセスメントを実施している担当者は、洪水が1回発生した場合に、施設や設備にどれだけの金銭的損害が発生するかを算出しました。

このとき担当者が特定したリスクメトリックはどれでしょうか。

18 / 52

ある企業ではBYODポリシーを導入し、従業員が持ち込む私物デバイスを業務ネットワークで利用できるようにしようとしている。
これらの端末は、Active Directoryのような集中管理基盤には参加しない。しかし、組織は各デバイスをできるだけ正確に識別し、不正な端末やなりすまし端末を見分けたいと考えている。

この目的に最も適した手法はどれか。

19 / 52

ある企業のメールサーバは、外部から受信したメールについて、送信元の正当性を確認せずにそのまま他の宛先へ転送してしまう設定になっています。
このような構成は、スパム送信などに悪用される可能性があります。

このセキュリティ上の問題は何と呼ばれるでしょうか。

20 / 52

企業が使用していたPCを廃棄または売却する際、内部のハードディスクを取り外してから処分する運用を行っています。
これは、保存されていたデータの漏えいを防ぐことを目的とした措置です。

このような対応は、どのカテゴリのセキュリティ対策に該当するでしょうか。

21 / 52

ある企業のIT管理者は、新しいネットワーク機器の導入を検討しています。
その機器には次の2つの機能が必要です。

  • 社内ネットワークを別のネットワーク(例:インターネットや別セグメント)に接続できること

  • 通過するトラフィックを制御・フィルタリングできること

これらの要件を満たす機器として最も適切なのはどれでしょうか。

22 / 52

企業が自社の技術やコンテンツを保護するために、さまざまな知的財産保護の仕組みを利用しています。これらの保護制度には、それぞれ有効期間が定められています。

次のうち、一般的に最も有効期間が短い知的財産保護の仕組みはどれでしょうか。

23 / 52

あるアプリケーションで生成されたデータは、ネットワークを通じて送信される前に、OSI参照モデルの各層でカプセル化されます。

このとき、データが通信制御のための情報を付加され、「セグメント」または「データグラム」という単位に変換されるのは、どのOSI参照モデルの層でしょうか。

24 / 52

情報セキュリティ専門家が遵守すべき倫理規範として、ISC2は複数の基本原則を定めています。
これらは専門家としての行動指針となる重要な規範です。

次のうち、ISC2の倫理規定(Code of Ethics)に含まれないものはどれでしょうか。

25 / 52

ある従業員がVPNを利用して社内ネットワークに接続し、リモートのファイルサーバへアクセスしようとしています。
このとき、ユーザーはログイン処理を行い、アクセスを開始します。

アクセス制御におけるサブジェクト/オブジェクトモデルを適用した場合、
このログイン処理における「サブジェクト」として最も適切なのはどれでしょうか。

26 / 52

あるネットワーク管理者がプロトコルアナライザーを使用して通信を調査していたところ、送信元IPアドレスと宛先IPアドレスが同一となっている不審なパケットを発見しました。

このようなパケットが悪用される攻撃として、最も適切なものはどれでしょうか。

27 / 52

ある企業では災害復旧計画(DRP)の有効性を確認するため、さまざまなテスト手法を検討しています。
その中で、実際にバックアップサイトや災害復旧環境を起動し、業務システムを稼働させるテストを実施したいと考えています。

この要件に最も適したテストの種類はどれでしょうか。

28 / 52

ペネトレーションテストの実施中、テスターはサーバーに接続し、サービスが返す識別情報(バナー)からソフトウェアの種類やバージョンを確認しました。
このような情報収集は、一般的にどのフェーズで実施される活動でしょうか。

29 / 52

ある企業では、外部サービスとの連携を目的としてフェデレーション型のID管理を導入しています。
ユーザーはブラウザを利用して複数のサービスにアクセスし、シングルサインオン(SSO)を実現する必要があります。

このとき、認証情報および認可情報を安全に交換するための標準技術として最も適切なものはどれでしょうか。

30 / 52

ある企業では、インシデントや災害発生時に迅速に対応できるよう、緊急事態レスポンスのガイドラインを整備しています。
このガイドラインには、対応手順だけでなく、実際に行動を起こすために必要な情報も含める必要があります。

次のうち、緊急事態レスポンスガイドラインに必ず含めるべき要素として最も適切なものはどれでしょうか。

31 / 52

ある企業では、まだ修正パッチが提供されていないゼロデイ脆弱性が発見されました。
完全な修正は難しい状況ですが、攻撃のリスクを低減し、被害の可能性を小さくしたいと考えています。

このように、重大な脆弱性をより危険性の低い攻撃経路に変えるための対応として、最も適切なものはどれでしょうか。

32 / 52

ある企業のデータセンターでは、瞬間的な電力低下や短時間の停電により、サーバの再起動やデータ損失が発生するリスクが懸念されています。
担当者は、このような短時間の電力障害からシステムを保護できる対策を導入したいと考えています。

この目的に最も適したコントロールはどれでしょうか。

33 / 52

ある企業では、攻撃者が侵入後にログを削除して痕跡を隠すインシデントが発生しました。
この対策として、複数システムのログを収集し、相関分析によって異常を検知できる仕組みを導入したいと考えています。

この要件を最も適切に満たすソリューションはどれでしょうか。

34 / 52

ある企業の管理者は、システム上で実行された操作について、
「誰が・いつ・何を行ったのか」を追跡できるようにしたいと考えています。
これにより、ユーザーの行動に対する説明責任を確保したいとしています。

この目的を達成するために最も適した仕組みはどれでしょうか。

35 / 52

経営層は、これらのコントロールが適切に機能しているかを評価し、その結果を客観的な立場から報告してほしいと考えています。

この目的に最も適した組織または部門はどれでしょうか。

36 / 52

あるユーザーがシステムにログインする際、入力したパスワードはハッシュ化され、データベースに保存されているハッシュ値と照合されます。
この処理によって、システムはユーザーが本人であるかを確認しています。

このプロセスは何と呼ばれるでしょうか。

37 / 52

ある企業では、ISPから割り当てられたグローバルIPアドレスがわずか5個しかありません。
一方で、社内には100台以上の端末があり、同時にインターネットへアクセスする必要があります。

ネットワーク管理者は、複数の内部端末が同時に、限られたグローバルIPアドレスを共有して通信できる仕組みを導入したいと考えています。

この要件を最も適切に満たす技術はどれでしょうか。

38 / 52

ある開発者は、Webアプリケーションの入力欄を悪用したSQLインジェクション攻撃を防ぐため、入力値の妥当性確認を実装しようとしています。
この入力検証処理は、どこに配置するのが最も適切でしょうか。

39 / 52

ある企業では仮想化基盤(VMware)上で複数のサーバを稼働させています。
管理者は、同一ホスト内の仮想マシン同士でやり取りされるネットワークトラフィックを監視したいと考えています。

この要件を最も適切に満たす方法はどれでしょうか。

40 / 52

ある企業のセキュリティマネージャーは、外部ベンダーに対してネットワークおよびシステムのペネトレーションテストを依頼する予定です。
彼は、テストの実施コストや実現の容易さよりも、実際の攻撃者に近い条件での評価精度を最大化することを重視しています。
この目的に最も適したペネトレーションテストの方式はどれでしょうか。

41 / 52

ある組織では、スマートカードによる入退室管理システムを導入しています。
しかし、従業員が利便性のためにドアを開けたまま固定してしまうケースがあり、セキュリティ担当者は対策を講じることにしました。

担当者は次のような対応を実施しました。

  • ドアを開けたままにすると問題が発生することを知らせる警告掲示を設置

  • ドアが一定時間以上開いたままの場合、警告音が鳴る仕組みを導入

これらの対策は、どのタイプのセキュリティコントロールに分類されるでしょうか。

42 / 52

ある情報システムでは、ファイルやデータの所有者が、自分のリソースに対して誰がアクセスできるかを自由に設定できます。
各ユーザーが、自身の所有するオブジェクトのアクセス権を個別に管理できる仕組みです。

このようなアクセス制御モデルはどれでしょうか。

43 / 52

ある企業では、機密情報を取り扱う職種の採用にあたり、応募者に対してバックグラウンドチェックを実施する予定です。

次のうち、一般的な採用前のバックグラウンドチェックには通常含まれないものはどれでしょうか。

44 / 52

ある従業員がシステム管理者に対し、「役員から依頼された業務を遂行するため、人事データへアクセスする必要がある」と説明し、アクセス権の付与を申請しました。

この従業員がアクセス権付与の根拠として示したものはどれでしょうか。

45 / 52

データを削除または消去した後でも、記憶媒体上に痕跡として残るデータが存在する場合があります。
このような現象は「残存データ(data remanence)」と呼ばれます。

この用語と最も近い意味を持つものはどれでしょうか。

46 / 52

あるシステム設計者は、複数ユーザー間で安全に通信できる暗号システムを設計しています。
対称鍵暗号方式を採用し、任意の2人のユーザーが、他のユーザーに内容を知られることなく通信できるようにしたいと考えています。

このとき、ユーザーが5人いる場合、必要となる対称鍵の総数はいくつでしょうか。

47 / 52

あるシステムでは、従来のDESよりも強力な暗号化を実現するために3DES(Triple DES)を導入することを検討しています。
3DESでは複数の鍵を組み合わせて暗号強度を高めます。

このとき、強力なセキュリティを実現するために必要な最小の鍵の数はいくつでしょうか。

48 / 52

ある企業のセキュリティ担当者は、災害復旧計画(DRP)を策定しています。
その中で、停電やシステム障害が発生した場合に「どの時点までのデータであれば失われても許容できるか」を定義しようとしています。

この担当者が決定しようとしている指標はどれでしょうか。

49 / 52

ある企業でセキュリティインシデントの調査を行ったところ、侵入した攻撃者がシステム上のログを削除して証拠を隠蔽していたことが判明しました。
今後、同様の手口によるログ改ざんや削除を防止したいと考えています。

この目的に最も適した対策はどれでしょうか。

50 / 52

あるシステム管理者は、ユーザーのパスワードをハッシュ化して保存しています。
しかし、攻撃者がハッシュ値を入手した場合でも、事前計算されたハッシュ一覧(レインボーテーブル)を利用してパスワードが簡単に特定されないように対策を講じたいと考えています。

この目的に最も適した対策はどれでしょうか。

51 / 52

ある企業では、新入社員が入社すると同時に、IT部門がユーザーアカウントを作成します。
作成されたユーザー情報は、社内のディレクトリサービスや業務システムに自動的に登録され、従業員が必要なシステムにアクセスできるようになります。

このように、ユーザーアカウントを作成し、各システムで利用可能にする一連のプロセスは何と呼ばれるでしょうか。

52 / 52

ある企業ではモバイル端末管理(MDM)を導入しており、紛失や盗難時の対策を検討しています。
セキュリティ担当者は、端末が盗難にあった場合でも、保存されているデータが第三者に読み取られないようにすることを最優先に考えています。

この目的に最も適した対策はどれでしょうか。

あなたのスコアは

平均スコアは 50%

0%

タイトルとURLをコピーしました