Maxima で綴る数学の旅

紙と鉛筆の代わりに、数式処理システムMaxima / Macsyma を使って、数学を楽しみましょう

セキュリティ

-セキュリティ- CISSP練習問題を量産する

今年もこのブログをよろしくお願いします。 昨年の12月に最初は数日おきに、途中から毎日CISSPの練習問題を作成して投稿する、という企画を実行してみました。 CISSP資格試験の問題は巨大なテスト問題のバンクからほぼランダムに選んで各受験者に対して出題…

-セキュリティ- コントロールのタイプ CISSP練習問題 ドメイン1

今回が「CISSP練習問題」の最終回です。途中からアドベントカレンダー風に毎日投稿してきました。ただコントロールの話はぜひ出題したいと思っていて、クリスマスをはみ出して投稿を続けていました。 最終回はセキュリティコントロールの5つのタイプの分類…

-セキュリティ- ASLR CISSP練習問題 ドメイン3

ドメイン3からASLRの効果に関する問題を出題します。 攻撃者が自身のテストマシンで成功した悪用コードを対象システムで実行する際のASLR(Address Space Layout Randomization)の影響は何ですか? a. 悪用コードが失敗する可能性が高まる b. セキュリティポ…

-セキュリティ- ブロック暗号モード CISSP練習問題 ドメイン3

暗号に関してはCBKにも結構専門的なことが記載されています。ここは頑張って勉強しなければなりません。 カウンター(CTR)モードの主な特徴は何ですか? a. フィードバックに前の暗号文を使用する b. 同じ平文は同じ暗号文を生成する c. 同じ平文は同じ暗号…

-セキュリティ- リスク対応 CISSP練習問題 ドメイン1

アドベントカレンダーはクリスマスまでのものですが、このシリーズは12月28日までは続けようと思います。 ドメイン1からの出題です。リスクが識別されて分析・評価された後に組織としての対応を決める必要があります。このリスク対応に関する問題です。 特定…

-セキュリティ- パッチ管理 CISSP練習問題 ドメイン7

ドメイン7はセキュリティ運用に関するドメインです。すでにそれ以前のドメインで紹介されているセキュリティの概念やシステムを現場で運用する方法を述べています。パッチもドメイン3やドメイン6ですでに部分的に述べられています。ドメイン7では脆弱性管理…

-セキュリティ- LDAP CISSP練習問題 ドメイン5

個人的の感想ですが、ドメイン5は割とタフで勉強が大変な印象です。IAAAの基本概念、ID連携、シングルサインオン、LDAP, Kerberos, RADIUS, SAML, OAuthなど認証/認可のシステム、MAC, DAC, RBAC, ABACなどの認可の仕組み、type1〜3 の認証要素、ID管理とラ…

-セキュリティ- ID連携 CISSP練習問題 ドメイン5

ドメイン5からフェデレーテッドアイデンティティ(ID連携)に関する問題を出します。 フェデレーテッドアイデンティティ管理(FIM)においてセキュリティ専門家が検討すべき重要な要素は? a. フェデレーションのビジネス利益 b. アイデンティティ管理の複雑性…

-セキュリティ- データ分類 CISSP練習問題 ドメイン2

ドメイン2からデータ分類に関する問題です。データ分類は地味ですが重要なセキュリティ施策です。 データ分類ポリシーと手順を持つことは、情報を最も効率的かつ効果的に保護するためのどの段階で役立ちますか? a. データの分類を行う前 b. データの分類中…

-セキュリティ- IoTセキュリティ CISSP練習問題 ドメイン3

CISSPのCBK (Common Body of Knowledge)のドメイン3には新しい技術もいくつか記載されておりIoT機器も取り上げられています。今回はそのIoT機器のセキュリティの問題です。 セキュリティ専門家がIoTデバイスの脆弱性を評価する際、最も重要な要因は何でしょ…

-セキュリティ- 組織とセキュリティ CISSP練習問題 ドメイン1

もう一問ドメイン1から出題します。現代では組織をつくり社会的な活動をするときには最初からセキュリティを考慮する必要があります。それを実際にやり始めるにはどうしたら良いか、考えてみて下さい。 組織にセキュリティ機能を実装する際にトップダウンア…

-セキュリティ- セキュリティの目的 CISSP練習問題 ドメイン1

ドメイン1からの設問です。組織の中でのセキュリティ機能の位置付けに関する問題です。 セキュリティガバナンスにおいて、組織が最も行うべき活動には次のうちどれが含まれますか? a. 組織のセキュリティ機能を特定のプロジェクトにのみ適用すること b. 組…

-セキュリティ- CIA CISSP練習問題 ドメイン1

ドメイン1からの出題です。情報セキュリティにおいて最も基本となる概念であるCIAに関する問題です。 情報が正確であること、妥当であること、および欠落がないこと、を維持する概念は何ですか? a. 完全性 b. 可用性 c. 信頼性 d. 機密性 正解:a 完全性 …

-セキュリティ- SDLC CISSP練習問題 ドメイン8

ソフトウェアの開発を理解しその中で必要なセキュリティ対策を実施していくことは非常に重要です。 SDLCのどのフェーズで、システムの要件が文書化され、システムの設計と必要なアーキテクチャが行われますか? a. 初期化 b. 開発 c. 配備と納品 d. 運用と保…

-セキュリティ- インシデント対応 CISSP練習問題 ドメイン7

ドメイン7からインシデント対応プロセスにおける検知に関する問題です。 セキュリティインシデントを検知するために、組織はどのような手段を使用するべきですか? a. インシデントを手動で報告する b. SIEMツールを使用してログを監視する c. セキュリティ…

-セキュリティ- テスト CISSP練習問題 ドメイン6

ドメイン6からセキュリティテストの問題です。 コードの開発段階へのフィードバックが容易であるため、セキュリティの観点から最も望ましいとされるテストアプローチは何ですか? a. システムテスト b. グレーボックステスト c. ホワイトボックステスト d. …

-セキュリティ- ペンテスト CISSP練習問題 ドメイン6

ドメイン6からペンテストの実施手順(5つのフェーズ)に関する問題です。各フェーズとその目的がわかることが必要です。 ペネトレーションテスターが、Metasploitなどのツールを使用して、同定された脆弱性を悪用しアクセスを試みる際の目的は何ですか? a…

-セキュリティ- 脆弱性評価 CISSP練習問題 ドメイン6

特定された脆弱性の評価には、組織の固有の構成や状況を考慮した何が含まれていますか? a. 攻撃者が実施する前の脆弱性スキャン b. 脆弱性に対する優先順位付けと対応策の評価 c. 組織のフィジカルセキュリティの評価 d. インシデント発生時の対応計画の構…

-セキュリティ- アカウント管理 CISSP練習問題 ドメイン5

だんだんノリとしてはアドベントカレンダー的になってきました。このCISSP資格試験のための練習問題シリーズを、毎日少なくともクリスマスまで続けたいと思います。 定期的なアクセスレビューの目的は何ですか? a. アクセスの承認 b. データの暗号化 c. プ…

-セキュリティ- MAC CISSP練習問題 ドメイン5

Mandatory Access Control (MAC) モデルにおいて、ラベルが使用される目的は何ですか? a. ユーザーの認証情報を表示するため b. オブジェクトの機密度を示し、アクセスを制御するため c. ネットワーク通信の暗号化を実現するため d. ファイルの物理的な保管…

-セキュリティ- IAAA CISSP練習問題 ドメイン5

もう一問ドメイン5からIAM関連の問題を出します。問題文に登場する物理的な証明書(IDカードなど)には顔写真と名前などが記載された組織発行のものを考えて下さい。単純のためにICチップなどの組み込まれていないものとして下さい。 IAMシステムにおいて、ユ…

-セキュリティ- IAM CISSP練習問題 ドメイン5 ID管理

IAM(Identity Access Management)の四つの基本要素は何ですか? a. 識別、認証、認可、説明責任 (IAAA) b. 情報セキュリティ、アクセス制御、ユーザー管理、コンプライアンス (IAUC) c. 完全性、可用性、機密性、非否認 (IACN) d. 暗号化、復号化、キー管理…

-セキュリティ- TPM CISSP練習問題 ドメイン3

TPM(Trusted Platform Module)についての説明文から、TPMが担当する最も主要な機能は次のうちどれでしょうか? a. 機密データの暗号化 b. ハードウェアおよびソフトウェアの状態の暗号的ハッシュの生成 c. 攻撃からのデータのバックアップ d. デジタル署名…

-セキュリティ- メモリ保護、CISSP練習問題 ドメイン3 セキュリティアーキテクチャとエンジニアリング

メモリ保護に関する基本的なセキュリティコントロールとして、何が可能になるのでしょうか? a. プログラムの同時実行 b. メモリアクセスの拒否 c. 特権モードの制御 d. オペレーティングシステムの終了 正解:a メモリ保護は、オペレーティングシステムが複…

-セキュリティ- メモリ保護、CISSP練習問題 ドメイン3 セキュリティアーキテクチャとエンジニアリング

あちらこちらのブログではこの時期アドベントカレンダー記事が盛んですね。この練習問題シリーズは毎日は無理ですが、ある程度の量ができるまで継続的に出していくつもりです。 メモリ保護をサポートするために必要な関連ハードウェア機能は何でしょうか? …

-セキュリティ- CISSP練習問題 ドメイン3 セキュリティアーキテクチャとエンジニアリング

なぜ、暗号技術においては、適切な暗号アルゴリズムが将来にわたり確認される必要がありますか? 暗号化の効果が低下する可能性があるため 複雑なアルゴリズムが使用されると理解が難しくなるため コンピューティングの進歩によりwork factorが減少するため …

-セキュリティ- CISSP練習問題 ドメイン3 セキュリティアーキテクチャとエンジニアリング

非否認性(nonrepudiation)を実現するために、どの暗号学的概念が利用されますか? 公開鍵暗号 デジタル署名 ハッシュ関数 対称鍵暗号 回答 正解: b. デジタル署名 非否認性は通信当事者が行動やメッセージを否認できないことを指します。デジタル署名はメ…

-セキュリティ- CISSP練習問題 ドメイン2 資産のセキュリティ

情報資産の特定と分類に関して、どの記述が最も適切ですか? 機密性の高い情報は常に特定しやすく、簡単に分類できます. 情報特定と分類が行われない場合、すべての情報が同じセキュリティ対策で保護されることになります. データがクラウドに保存されている…

-セキュリティ- CISSP練習問題 ドメイン2 資産のセキュリティ

CISSPの練習問題を出題し、解説していくシリーズを始めます。各記事はまず問題文と選択肢が表示されています。「回答」ボタンを押すと正解とその理由が表示されます。 問題に対して色々コメントをいただけると嬉しいです。答えが変、こっちが正しい、意味不…

-セキュリティ- ドイツ政府がカスペルスキーのウィルス対策ソフトを脅威と見なす訳

2022年3月15日、ドイツの連邦情報セキュリティ庁(BSI)がカスペルスキーのウィルス対策ソフトを脅威と見なして、利用組織に対して代替品への置き換えを推奨する文書を公表しました。下記がそのページへのリンクです*1。 www.bsi.bund.de ロシアの企業がドイツ…