2023-01-01から1年間の記事一覧
今回が「CISSP練習問題」の最終回です。途中からアドベントカレンダー風に毎日投稿してきました。ただコントロールの話はぜひ出題したいと思っていて、クリスマスをはみ出して投稿を続けていました。 最終回はセキュリティコントロールの5つのタイプの分類…
情報セキュリティのコントロールの3つの種類に関する問題です。この話はドメイン1に書かれるべきだと思うのですが、データセキュリティと絡めてドメイン2に書かれています。 管理コントロール(Administrative Control)は何を使用して組織の資産を守りますか…
ドメイン3からASLRの効果に関する問題を出題します。 攻撃者が自身のテストマシンで成功した悪用コードを対象システムで実行する際のASLR(Address Space Layout Randomization)の影響は何ですか? a. 悪用コードが失敗する可能性が高まる b. セキュリティポ…
暗号に関してはCBKにも結構専門的なことが記載されています。ここは頑張って勉強しなければなりません。 カウンター(CTR)モードの主な特徴は何ですか? a. フィードバックに前の暗号文を使用する b. 同じ平文は同じ暗号文を生成する c. 同じ平文は同じ暗号…
アドベントカレンダーはクリスマスまでのものですが、このシリーズは12月28日までは続けようと思います。 ドメイン1からの出題です。リスクが識別されて分析・評価された後に組織としての対応を決める必要があります。このリスク対応に関する問題です。 特定…
ドメイン7はセキュリティ運用に関するドメインです。すでにそれ以前のドメインで紹介されているセキュリティの概念やシステムを現場で運用する方法を述べています。パッチもドメイン3やドメイン6ですでに部分的に述べられています。ドメイン7では脆弱性管理…
個人的の感想ですが、ドメイン5は割とタフで勉強が大変な印象です。IAAAの基本概念、ID連携、シングルサインオン、LDAP, Kerberos, RADIUS, SAML, OAuthなど認証/認可のシステム、MAC, DAC, RBAC, ABACなどの認可の仕組み、type1〜3 の認証要素、ID管理とラ…
ドメイン5からフェデレーテッドアイデンティティ(ID連携)に関する問題を出します。 フェデレーテッドアイデンティティ管理(FIM)においてセキュリティ専門家が検討すべき重要な要素は? a. フェデレーションのビジネス利益 b. アイデンティティ管理の複雑性…
ドメイン2からデータ分類に関する問題です。データ分類は地味ですが重要なセキュリティ施策です。 データ分類ポリシーと手順を持つことは、情報を最も効率的かつ効果的に保護するためのどの段階で役立ちますか? a. データの分類を行う前 b. データの分類中…
CISSPのCBK (Common Body of Knowledge)のドメイン3には新しい技術もいくつか記載されておりIoT機器も取り上げられています。今回はそのIoT機器のセキュリティの問題です。 セキュリティ専門家がIoTデバイスの脆弱性を評価する際、最も重要な要因は何でしょ…
もう一問ドメイン1から出題します。現代では組織をつくり社会的な活動をするときには最初からセキュリティを考慮する必要があります。それを実際にやり始めるにはどうしたら良いか、考えてみて下さい。 組織にセキュリティ機能を実装する際にトップダウンア…
ドメイン1からの設問です。組織の中でのセキュリティ機能の位置付けに関する問題です。 セキュリティガバナンスにおいて、組織が最も行うべき活動には次のうちどれが含まれますか? a. 組織のセキュリティ機能を特定のプロジェクトにのみ適用すること b. 組…
ドメイン1からの出題です。情報セキュリティにおいて最も基本となる概念であるCIAに関する問題です。 情報が正確であること、妥当であること、および欠落がないこと、を維持する概念は何ですか? a. 完全性 b. 可用性 c. 信頼性 d. 機密性 正解:a 完全性 …
ソフトウェアの開発を理解しその中で必要なセキュリティ対策を実施していくことは非常に重要です。 SDLCのどのフェーズで、システムの要件が文書化され、システムの設計と必要なアーキテクチャが行われますか? a. 初期化 b. 開発 c. 配備と納品 d. 運用と保…
ドメイン7からインシデント対応プロセスにおける検知に関する問題です。 セキュリティインシデントを検知するために、組織はどのような手段を使用するべきですか? a. インシデントを手動で報告する b. SIEMツールを使用してログを監視する c. セキュリティ…
ドメイン6からセキュリティテストの問題です。 コードの開発段階へのフィードバックが容易であるため、セキュリティの観点から最も望ましいとされるテストアプローチは何ですか? a. システムテスト b. グレーボックステスト c. ホワイトボックステスト d. …
ドメイン6からペンテストの実施手順(5つのフェーズ)に関する問題です。各フェーズとその目的がわかることが必要です。 ペネトレーションテスターが、Metasploitなどのツールを使用して、同定された脆弱性を悪用しアクセスを試みる際の目的は何ですか? a…
特定された脆弱性の評価には、組織の固有の構成や状況を考慮した何が含まれていますか? a. 攻撃者が実施する前の脆弱性スキャン b. 脆弱性に対する優先順位付けと対応策の評価 c. 組織のフィジカルセキュリティの評価 d. インシデント発生時の対応計画の構…
だんだんノリとしてはアドベントカレンダー的になってきました。このCISSP資格試験のための練習問題シリーズを、毎日少なくともクリスマスまで続けたいと思います。 定期的なアクセスレビューの目的は何ですか? a. アクセスの承認 b. データの暗号化 c. プ…
Mandatory Access Control (MAC) モデルにおいて、ラベルが使用される目的は何ですか? a. ユーザーの認証情報を表示するため b. オブジェクトの機密度を示し、アクセスを制御するため c. ネットワーク通信の暗号化を実現するため d. ファイルの物理的な保管…
もう一問ドメイン5からIAM関連の問題を出します。問題文に登場する物理的な証明書(IDカードなど)には顔写真と名前などが記載された組織発行のものを考えて下さい。単純のためにICチップなどの組み込まれていないものとして下さい。 IAMシステムにおいて、ユ…
IAM(Identity Access Management)の四つの基本要素は何ですか? a. 識別、認証、認可、説明責任 (IAAA) b. 情報セキュリティ、アクセス制御、ユーザー管理、コンプライアンス (IAUC) c. 完全性、可用性、機密性、非否認 (IACN) d. 暗号化、復号化、キー管理…
TPM(Trusted Platform Module)についての説明文から、TPMが担当する最も主要な機能は次のうちどれでしょうか? a. 機密データの暗号化 b. ハードウェアおよびソフトウェアの状態の暗号的ハッシュの生成 c. 攻撃からのデータのバックアップ d. デジタル署名…
メモリ保護に関する基本的なセキュリティコントロールとして、何が可能になるのでしょうか? a. プログラムの同時実行 b. メモリアクセスの拒否 c. 特権モードの制御 d. オペレーティングシステムの終了 正解:a メモリ保護は、オペレーティングシステムが複…
あちらこちらのブログではこの時期アドベントカレンダー記事が盛んですね。この練習問題シリーズは毎日は無理ですが、ある程度の量ができるまで継続的に出していくつもりです。 メモリ保護をサポートするために必要な関連ハードウェア機能は何でしょうか? …
なぜ、暗号技術においては、適切な暗号アルゴリズムが将来にわたり確認される必要がありますか? 暗号化の効果が低下する可能性があるため 複雑なアルゴリズムが使用されると理解が難しくなるため コンピューティングの進歩によりwork factorが減少するため …
非否認性(nonrepudiation)を実現するために、どの暗号学的概念が利用されますか? 公開鍵暗号 デジタル署名 ハッシュ関数 対称鍵暗号 回答 正解: b. デジタル署名 非否認性は通信当事者が行動やメッセージを否認できないことを指します。デジタル署名はメ…
情報資産の特定と分類に関して、どの記述が最も適切ですか? 機密性の高い情報は常に特定しやすく、簡単に分類できます. 情報特定と分類が行われない場合、すべての情報が同じセキュリティ対策で保護されることになります. データがクラウドに保存されている…
CISSPの練習問題を出題し、解説していくシリーズを始めます。各記事はまず問題文と選択肢が表示されています。「回答」ボタンを押すと正解とその理由が表示されます。 問題に対して色々コメントをいただけると嬉しいです。答えが変、こっちが正しい、意味不…
有界閉集合では連続関数に最大・最小が存在という良い性質があります。一方、有界であっても開集合の場合にはそのような性質はありませんし、有界でない閉集合にもそのような性質はありません。 ある有界閉集合$S\subset\mathbb{C}$で連続関数列$f_n$が各点…