収録問題 40問 / 10問ランダム出題
ランダムに出題・即時フィードバック・間違えた問題の復習機能付き
顧客データを許可された利用者だけが読める状態は、CIAのどの要素ですか?
答え: 機密性(Confidentiality)
機密性は情報を認可された主体だけへ開示する考え方です。
fileが変更されていないことを確認する主な手段はどれですか?
答え: 信頼済みhash値との比較
cryptographic hashは内容の変化を検出し、完全性確認に利用できます。
passwordとsecurity keyを組み合わせる認証は何ですか?
答え: 異なる要素を使う多要素認証
知識要素と所持要素を組み合わせるためMFAになります。
対称暗号が大量dataの暗号化に適する主な理由は?
答え: 一般に非対称暗号より高速だから
対称暗号は高速ですが、共有keyを安全に配布・保管する必要があります。
本番firewall rule変更前に最も重要なchange managementは?
答え: 影響評価、承認、test、rollback手順を用意する
管理された変更は可用性とsecurityへの影響を事前評価し、失敗時の復旧を可能にします。
経営者を装い緊急送金を要求する標的型messageは何ですか?
答え: Business Email Compromise
BECは信頼される人物や取引先を装い、送金や情報提供を誘導します。
fileを暗号化し復号と引換えに金銭を要求するmalwareは?
答え: ransomware
ransomware対策にはoffline backup、patch、権限制限、検知と対応訓練が重要です。
Web queryへ' OR 1=1 --のような入力が観測された。疑う攻撃は?
答え: SQL injection
parameterized queryと入力検証により、入力をSQL構文として解釈させないことが重要です。
利用者browserで攻撃者のscriptを実行させるWeb脆弱性は?
答え: Cross-Site Scripting
XSSはoutput encoding、安全なtemplate、CSP等で緩和します。
多数のsourceからserviceへtrafficを集中させる攻撃は?
答え: Distributed Denial of Service
DDoSは大量trafficで資源を枯渇させ、service可用性を低下させます。
patch公開前から悪用される未修正脆弱性は一般に何と呼ばれますか?
答え: zero-day vulnerability
zero-dayにはbehavior検知、segmentation、最小権限等の多層防御が重要です。
同じpasswordを他serviceへ試す攻撃は?
答え: credential stuffing
credential stuffingは使い回されたID/passwordを自動試行します。MFAと使い回し防止が有効です。
正規vendor updateへmalwareが混入するattack分類は?
答え: software supply-chain attack
署名検証、SBOM、依存固定、vendor評価等で供給網riskを低減します。
server設定不備を本番前に自動検出する有効な対策は?
答え: secure baselineとのconfiguration scan
baseline比較とpolicy-as-codeは設定driftや危険な値を早期検出できます。
Zero Trustの基本原則として適切なのは?
答え: 位置だけで信頼せず、継続的に検証して最小権限を与える
Zero Trustは明示的検証、最小権限、侵害前提を重視します。
侵害された端末から重要serverへの横移動を抑える設計は?
答え: network segmentationと厳格なaccess control
segmentationはtrust boundaryを分け、侵害範囲と横移動を制限します。
公開Web serverを内部DBから分離する代表的な配置は?
答え: Web tierをDMZ、DBを内部segmentへ配置する
tier分離と必要portだけの許可により、公開system侵害時の影響を抑えます。
保存dataと通信dataの両方を保護する組合せは?
答え: storage encryptionとTLS
at restとin transitは異なるcontrolで保護します。Base64は暗号化ではありません。
service停止時も業務を継続するため複数regionへ配置する狙いは?
答え: resilienceとavailabilityの向上
障害domainを分離することで単一region障害への耐性を高めます。
RPOが4時間とは何を意味しますか?
答え: 許容できるdata損失量が最大約4時間分
RPOは許容data損失、RTOは目標復旧時間を表します。
SIEMの主な役割は?
答え: 複数sourceのlogを集約・相関しalertと調査を支援する
SIEMはeventを集中分析し、検知・triage・調査のcontextを提供します。
EDRがendpointで提供する主な機能は?
答え: behavior監視、検知、調査、隔離などのresponse
EDRはendpoint telemetryを収集し、不審activityの検知と対応を支援します。
脆弱性scanでcriticalが検出された後の適切な流れは?
答え: 資産・露出・悪用可能性を検証し優先対応後に再scanする
risk-based vulnerability managementは検証、優先付け、修復、再確認を循環させます。
緊急patch適用前にも可能な限り行うべきことは?
答え: 影響確認、backup/rollback準備、承認記録、適用後monitoring
緊急時も簡略化したchange controlと復旧準備で二次障害を抑えます。
退職者accountへの最優先対応は?
答え: 承認済みoffboarding時刻にaccessを無効化しcredentialを回収する
joiner-mover-leaver processでaccess lifecycleを人事eventと同期させます。
特権accountの安全な運用として適切なのは?
答え: 通常作業用と分離しMFA・PAM・session記録を使う
特権利用を限定・承認・記録し、通常activityから分離します。
incident responseで封じ込め前に重要な初動は?
答え: scope・影響をtriageし、証拠保全と連絡経路を確立する
初動は状況把握、証拠chain、関係者連携を保ちつつ封じ込め判断につなげます。
感染端末をnetwork隔離する目的は?
答え: 横展開と外部通信を抑えつつ調査対象を保持する
isolationはcontainmentであり、eradicationとrecoveryは別工程です。
forensic image取得時にhashを記録する理由は?
答え: 取得後に証拠の完全性を検証するため
取得時と分析時のhash一致は証拠が変化していないことを示します。
SOARを導入する代表的な狙いは?
答え: 定型的なalert enrichmentとresponse手順を自動化する
SOARはplaybookで反復作業を自動化し、analystが高価値判断へ集中できるようにします。
資産inventoryがsecurity運用に重要な理由は?
答え: 所有者・重要度・software・patch状態を把握し対応範囲を決められる
守る対象を知らなければpatch、monitoring、incident scopeを適切に管理できません。
security logの時刻がsystemごとにずれる問題への対策は?
答え: 認証済みNTP等で時刻同期しtimezoneも標準化する
正確な時刻はevent correlation、timeline、証拠性に不可欠です。
riskを数値化する際のALEの基本式は?
答え: SLE × ARO
単一損失期待値SLEに年間発生率AROを掛け、年間損失期待値ALEを見積ります。
riskを移転する例は?
答え: cyber insuranceを契約する
保険は財務的影響の一部を第三者へ移しますが、責任や全損失が消えるわけではありません。
第三者vendor評価で最初に把握すべきことは?
答え: 扱うdata、接続範囲、下請け、control、incident通知義務
data flowとaccess、契約責任を把握して固有riskと残余riskを評価します。
policy・standard・procedureの関係として適切なのは?
答え: policyが方針、standardが必須基準、procedureが具体手順
階層を分けるとgovernance要求を実装可能なcontrolと作業へ落とせます。
data ownerの主な責任は?
答え: data分類とaccess要件を決定する
ownerはdataのbusiness価値とriskに基づき分類、利用、保護要件を承認します。
tabletop exerciseの目的は?
答え: scenarioを議論して役割・判断・連絡・手順のgapを発見する
tabletopは低riskでresponse planと関係者連携を検証します。
phishing訓練後の適切な改善は?
答え: 結果を集計し、責めずに対象別教育とreporting改善へ使う
awareness活動はbehavior改善と早期reportを促し、指標で継続改善します。
例外承認に必要な要素は?
答え: business理由、risk owner、代替control、期限、定期review
例外は透明にriskを受容・緩和し、恒久化しないよう期限と再評価を設けます。