CompTIA Security+ 問題集・過去問対策クイズ

収録問題 40問 / 10問ランダム出題

セキュリティ概念 脅威と脆弱性 セキュアアーキテクチャ 運用 リスク・ガバナンス
CompTIA Security+の10問クイズに挑戦

ランダムに出題・即時フィードバック・間違えた問題の復習機能付き

クイズをはじめる →

CompTIA Security+のおすすめ教材を見る →

収録テーマ一覧(全40問)

Q1

顧客データを許可された利用者だけが読める状態は、CIAのどの要素ですか?

答え: 機密性(Confidentiality)

機密性は情報を認可された主体だけへ開示する考え方です。

Q2

fileが変更されていないことを確認する主な手段はどれですか?

答え: 信頼済みhash値との比較

cryptographic hashは内容の変化を検出し、完全性確認に利用できます。

Q3

passwordとsecurity keyを組み合わせる認証は何ですか?

答え: 異なる要素を使う多要素認証

知識要素と所持要素を組み合わせるためMFAになります。

Q4

対称暗号が大量dataの暗号化に適する主な理由は?

答え: 一般に非対称暗号より高速だから

対称暗号は高速ですが、共有keyを安全に配布・保管する必要があります。

Q5

本番firewall rule変更前に最も重要なchange managementは?

答え: 影響評価、承認、test、rollback手順を用意する

管理された変更は可用性とsecurityへの影響を事前評価し、失敗時の復旧を可能にします。

Q6

経営者を装い緊急送金を要求する標的型messageは何ですか?

答え: Business Email Compromise

BECは信頼される人物や取引先を装い、送金や情報提供を誘導します。

Q7

fileを暗号化し復号と引換えに金銭を要求するmalwareは?

答え: ransomware

ransomware対策にはoffline backup、patch、権限制限、検知と対応訓練が重要です。

Q8

Web queryへ' OR 1=1 --のような入力が観測された。疑う攻撃は?

答え: SQL injection

parameterized queryと入力検証により、入力をSQL構文として解釈させないことが重要です。

Q9

利用者browserで攻撃者のscriptを実行させるWeb脆弱性は?

答え: Cross-Site Scripting

XSSはoutput encoding、安全なtemplate、CSP等で緩和します。

Q10

多数のsourceからserviceへtrafficを集中させる攻撃は?

答え: Distributed Denial of Service

DDoSは大量trafficで資源を枯渇させ、service可用性を低下させます。

Q11

patch公開前から悪用される未修正脆弱性は一般に何と呼ばれますか?

答え: zero-day vulnerability

zero-dayにはbehavior検知、segmentation、最小権限等の多層防御が重要です。

Q12

同じpasswordを他serviceへ試す攻撃は?

答え: credential stuffing

credential stuffingは使い回されたID/passwordを自動試行します。MFAと使い回し防止が有効です。

Q13

正規vendor updateへmalwareが混入するattack分類は?

答え: software supply-chain attack

署名検証、SBOM、依存固定、vendor評価等で供給網riskを低減します。

Q14

server設定不備を本番前に自動検出する有効な対策は?

答え: secure baselineとのconfiguration scan

baseline比較とpolicy-as-codeは設定driftや危険な値を早期検出できます。

Q15

Zero Trustの基本原則として適切なのは?

答え: 位置だけで信頼せず、継続的に検証して最小権限を与える

Zero Trustは明示的検証、最小権限、侵害前提を重視します。

Q16

侵害された端末から重要serverへの横移動を抑える設計は?

答え: network segmentationと厳格なaccess control

segmentationはtrust boundaryを分け、侵害範囲と横移動を制限します。

Q17

公開Web serverを内部DBから分離する代表的な配置は?

答え: Web tierをDMZ、DBを内部segmentへ配置する

tier分離と必要portだけの許可により、公開system侵害時の影響を抑えます。

Q18

保存dataと通信dataの両方を保護する組合せは?

答え: storage encryptionとTLS

at restとin transitは異なるcontrolで保護します。Base64は暗号化ではありません。

Q19

service停止時も業務を継続するため複数regionへ配置する狙いは?

答え: resilienceとavailabilityの向上

障害domainを分離することで単一region障害への耐性を高めます。

Q20

RPOが4時間とは何を意味しますか?

答え: 許容できるdata損失量が最大約4時間分

RPOは許容data損失、RTOは目標復旧時間を表します。

Q21

SIEMの主な役割は?

答え: 複数sourceのlogを集約・相関しalertと調査を支援する

SIEMはeventを集中分析し、検知・triage・調査のcontextを提供します。

Q22

EDRがendpointで提供する主な機能は?

答え: behavior監視、検知、調査、隔離などのresponse

EDRはendpoint telemetryを収集し、不審activityの検知と対応を支援します。

Q23

脆弱性scanでcriticalが検出された後の適切な流れは?

答え: 資産・露出・悪用可能性を検証し優先対応後に再scanする

risk-based vulnerability managementは検証、優先付け、修復、再確認を循環させます。

Q24

緊急patch適用前にも可能な限り行うべきことは?

答え: 影響確認、backup/rollback準備、承認記録、適用後monitoring

緊急時も簡略化したchange controlと復旧準備で二次障害を抑えます。

Q25

退職者accountへの最優先対応は?

答え: 承認済みoffboarding時刻にaccessを無効化しcredentialを回収する

joiner-mover-leaver processでaccess lifecycleを人事eventと同期させます。

Q26

特権accountの安全な運用として適切なのは?

答え: 通常作業用と分離しMFA・PAM・session記録を使う

特権利用を限定・承認・記録し、通常activityから分離します。

Q27

incident responseで封じ込め前に重要な初動は?

答え: scope・影響をtriageし、証拠保全と連絡経路を確立する

初動は状況把握、証拠chain、関係者連携を保ちつつ封じ込め判断につなげます。

Q28

感染端末をnetwork隔離する目的は?

答え: 横展開と外部通信を抑えつつ調査対象を保持する

isolationはcontainmentであり、eradicationとrecoveryは別工程です。

Q29

forensic image取得時にhashを記録する理由は?

答え: 取得後に証拠の完全性を検証するため

取得時と分析時のhash一致は証拠が変化していないことを示します。

Q30

SOARを導入する代表的な狙いは?

答え: 定型的なalert enrichmentとresponse手順を自動化する

SOARはplaybookで反復作業を自動化し、analystが高価値判断へ集中できるようにします。

Q31

資産inventoryがsecurity運用に重要な理由は?

答え: 所有者・重要度・software・patch状態を把握し対応範囲を決められる

守る対象を知らなければpatch、monitoring、incident scopeを適切に管理できません。

Q32

security logの時刻がsystemごとにずれる問題への対策は?

答え: 認証済みNTP等で時刻同期しtimezoneも標準化する

正確な時刻はevent correlation、timeline、証拠性に不可欠です。

Q33

riskを数値化する際のALEの基本式は?

答え: SLE × ARO

単一損失期待値SLEに年間発生率AROを掛け、年間損失期待値ALEを見積ります。

Q34

riskを移転する例は?

答え: cyber insuranceを契約する

保険は財務的影響の一部を第三者へ移しますが、責任や全損失が消えるわけではありません。

Q35

第三者vendor評価で最初に把握すべきことは?

答え: 扱うdata、接続範囲、下請け、control、incident通知義務

data flowとaccess、契約責任を把握して固有riskと残余riskを評価します。

Q36

policy・standard・procedureの関係として適切なのは?

答え: policyが方針、standardが必須基準、procedureが具体手順

階層を分けるとgovernance要求を実装可能なcontrolと作業へ落とせます。

Q37

data ownerの主な責任は?

答え: data分類とaccess要件を決定する

ownerはdataのbusiness価値とriskに基づき分類、利用、保護要件を承認します。

Q38

tabletop exerciseの目的は?

答え: scenarioを議論して役割・判断・連絡・手順のgapを発見する

tabletopは低riskでresponse planと関係者連携を検証します。

Q39

phishing訓練後の適切な改善は?

答え: 結果を集計し、責めずに対象別教育とreporting改善へ使う

awareness活動はbehavior改善と早期reportを促し、指標で継続改善します。

Q40

例外承認に必要な要素は?

答え: business理由、risk owner、代替control、期限、定期review

例外は透明にriskを受容・緩和し、恒久化しないよう期限と再評価を設けます。

certdrill.dev は、LPI Japan・IPA・AWS・Microsoft Azure その他各試験団体と一切関係のない独立した非公式学習サイトです。問題・解説はオリジナルコンテンツです。