[2025年04月] CISSP日本語 問題集完全版解答 ISC Certification 試験学習ガイド [Q307-Q325]

Share

[2025年04月]更新のCISSP日本語問題集完全版解答でISC Certification試験学習ガイド

試験問題と解答CISSP日本語学習ガイド

質問 # 307

  • A. Option C
  • B. Option A
  • C. Option D
  • D. Option B

正解:A


質問 # 308
セキュリティの観点からすると、アプリケーションへの入力に関して、次のどの前提条件を講じる必要がありますか。

  • A. 信頼できない
  • B. 検証済み
  • C. テスト済み
  • D. 記録されている

正解:A


質問 # 309

  • A. Option C
  • B. Option A
  • C. Option B
  • D. Option D

正解:C


質問 # 310
コンテンツ管理システム (CSM) を実装すると、次のうちどれが発生しますか?

  • A. システムへのパッチ適用はすぐに完了します
  • B. テスト システムと運用システムは同じソフトウェアを連携させます。
  • C. 本番環境に配置されたアプリケーションは安全です
  • D. 開発者は運用システムにアクセスできなくなります

正解:D

解説:
A content management system (CMS) is a software application that allows users to create, manage, and publish digital content, such as web pages, documents, images, or videos. A CMS typically consists of two components: a content management application (CMA) that provides the user interface and tools for creating and editing content, and a content delivery application (CDA) that stores and delivers the content to the end-users. A CMS can improve the security of the applications placed into production by implementing a separation of duties (SoD) principle, which means that different roles and responsibilities are assigned to different individuals or groups, and no one has complete control over the entire process. By using a CMS, developers would no longer have access to production systems, which are the systems that host the live applications and content. Instead, developers would only have access to test systems, which are the systems that host the applications and content for testing and debugging purposes. This reduces the risk of unauthorized changes, errors, or malicious code being introduced into the production systems, which could compromise the availability, integrity, or confidentiality of the applications and content. References: Official (ISC)2 CISSP CBK Reference, Fifth Edition, Chapter 8: Security Operations, Section: Secure Provisioning of Resources, Subsection: Change Management; CISSP All-in-One Exam Guide, Eighth Edition, Chapter 8:
Security Operations, Section: Change Management.


質問 # 311
ソフトウェア保証ライフサイクルのどのフェーズで、ソフトウェア取得戦略に関連するリスクを特定する必要がありますか?

  • A. 監視および受け入れフェーズ
  • B. 契約段階
  • C. 後続フェーズ
  • D. 計画段階

正解:D

解説:
The planning phase of the software assurance life cycle is the stage where the objectives, requirements, scope, and constraints of the software project are defined and analyzed. This is the phase where the risks associated with software acquisition strategies should be identified, as this will help to select the most appropriate and secure software solution, as well as to plan for the mitigation and management of the risks. The follow-on phase is the stage where the software product is maintained and updated after its deployment. The monitoring and acceptance phase is the stage where the software product is tested and verified against the requirements and specifications. The contracting phase is the stage where the software product is procured and delivered by the vendor or supplier.


質問 # 312
事業継続計画(BCP)はに基づいています

  • A. ポリシーと手順のマニュアル。
  • B. 同様の組織の既存のBCP。
  • C. ビジネスプロセスと手順のレビュー。
  • D. 必要な項目と目的の標準チェックリスト。

正解:D


質問 # 313

正解:

解説:

Explanation
Look-up secret token - A physical or electronic token that stores a set of secrets between the claimant and the credential service provider Out-of-Band Token - A physical token that is uniquely addressable and can receive a verifier-selected secret for one-time use Pre-registered Knowledge Token - A series of responses to a set of prompts or challenges established by the subscriber and credential service provider during the registration process Memorized Secret Token - A secret shared between the subscriber and credential service provider that is typically character strings


質問 # 314
コード内のバグを数えることによってサードパーティのリスクを評価することは、サプライチェーン内の攻撃対象領域の最良の尺度ではない場合があります。
次のうち、攻撃対象領域に最も関連性が低いのはどれですか?

  • A. 入力プロトコル
  • B. エラーメッセージ
  • C. 対象プロセス
  • D. アクセス権

正解:B


質問 # 315
新しく採用されたセキュリティ管理プロセスの有効性を測定する際に、最も望ましいレビューは次のどれですか?

  • A. セキュリティ管理者の生産性
  • B. アクセス制御インフラストラクチャと手順
  • C. 異常なアクティビティのシステムアクセスログ
  • D. セキュリティ運用メトリクス

正解:A


質問 # 316
機密性、整合性、可用性のトライアドを最もよく表すものは何ですか?

  • A. 組織のデータがどの程度保護されているかを確認するための脆弱性評価
  • B. 組織のリスクレベルを決定するための3段階のアプローチ
  • C. 組織のデータを保護する方法を理解するのに役立つツール
  • D. 組織のデータを保護するためのセキュリティシステムの実装

正解:D

解説:
The CIA triad is a common model that forms the basis for the development of security systems.


質問 # 317
セキュリティ専門家は、組織のビジネス影響分析 (BIA) を完了したところです。事業継続計画/災害復旧計画 (BCP/DRP) のベスト プラクティスに続いて、専門家の次のステップは何でしょうか?

  • A. 回復戦略を特定して選択します。
  • B. 資金調達のために経営陣に調査結果を提示します。
  • C. 組織が業務を回復できるかどうかをテストする計画を準備します。
  • D. 組織の復旧チームのメンバーを選択します。

正解:A

解説:
The next step after completing the organization's Business Impact Analysis (BIA) is to identify and select recovery strategies. A BIA is a process of analyzing the potential impact and consequences of a disruption or disaster on the organization's critical business functions and processes. A BIA helps to identify the recovery objectives, priorities, and requirements for the organization. Based on the BIA results, the organization should identify and select the recovery strategies that are suitable and feasible for restoring the critical business functions and processes within the acceptable time frame and cost. The recovery strategies may include technical, operational, organizational, or contractual solutions, such as backup systems, alternate sites, mutual aid agreements, or insurance policies . References: : Business Impact Analysis | Ready.gov : Business Continuity Planning Process Diagram


質問 # 318
犯罪組織が政府のネットワークへの攻撃を計画しています。次のうち、ネットワークの可用性に対する最も深刻な攻撃はどれですか?

  • A. オペレーターは攻撃者にネットワークデバイスの制御を失います
  • B. ネットワークは攻撃者による通信トラフィックで溢れています
  • C. 機密情報は攻撃者によってネットワークトポロジで収集されます
  • D. ネットワーク管理通信が攻撃者によって妨害されている

正解:B

解説:
A network availability attack is an attack that aims to disrupt or deny the normal functioning of a network or its resources. The most severe attack to the network availability is when the network is flooded with communication traffic by the attacker, which is also known as a denial-of-service (DoS) attack. A DoS attack can overwhelm the network bandwidth, consume the processing power of the network devices, or exhaust the memory or disk space of the servers, resulting in degraded performance, slow response, or complete shutdown of the network services. References: CISSP All-in-One Exam Guide, Eighth Edition, Chapter 4:
Communication and Network Security, page 202; [Official (ISC)2 CISSP CBK Reference, Fifth Edition, Chapter 4: Communication and Network Security, page 276]


質問 # 319
攻撃者はどのようにしてオーバーフローを悪用して任意のコードを実行できますか?

  • A. スタック内の要素を置換します。
  • B. 関数の戻りアドレスを変更します。
  • C. スタックのアドレスを変更します。
  • D. スタックポインターを移動します。

正解:B

解説:
An attacker can exploit a buffer overflow to execute arbitrary code by modifying a function's return address.
A buffer overflow is a condition that occurs when a program attempts to write more data to a fixed-length memory space, or buffer, than it can hold. A buffer overflow can corrupt the adjacent memory locations, which may contain important data or instructions for the program. A function's return address is the memory location that stores the address of the instruction that the program should return to after executing the function.
An attacker can overwrite the return address with the address of a malicious code, which can be injected into the buffer or another location, and redirect the program flow to execute the malicious code. References: CISSP All-in-One Exam Guide, Eighth Edition, Chapter 8: Software Development Security, page 427; [Official (ISC)2 CISSP CBK Reference, Fifth Edition, Chapter 8: Software Development Security, page 567]


質問 # 320
セキュリティ意識向上プログラムの主な目的は、

  • A. 全員が組織のポリシーと手順を理解していることを確認します。
  • B. 情報へのアクセスは、知る必要がある場合にのみ許可されることを伝えます。
  • C. すべてのシステムにアクセスするすべてのユーザーが毎日監視されることを警告します。
  • D. データおよび情報保護に関する規制を遵守します。

正解:A

解説:
The primary purpose of a security awareness program is to ensure that everyone understands the organization's policies and procedures related to information security. A security awareness program is a set of activities, materials, or events that aim to educate and inform the employees, contractors, partners, and customers of the organization about the security goals, principles, and practices of the organization1. A security awareness program can help to create a security culture, improve the security behavior, and reduce the human errors or risks. Communicating that access to information will be granted on a need-to-know basis, warning all users that access to all systems will be monitored on a daily basis, and complying with regulations related to data and information protection are not the primary purposes of a security awareness program, as they are more specific or secondary objectives that may be part of the program, but not the main goal. References: 1: CISSP All-in-One Exam Guide, Eighth Edition, Chapter 1, page 28.


質問 # 321
データセンターを構築する場合、物理的な脅威に対する脆弱性のレベルを高めるサイトの場所および建設要因には、次のものがあります。

  • A. 市内の犯罪多発地域に近い。
  • B. データセンターに近づく曲線道路。
  • C. 隣接する建物から十分な距離があり、隣接する建物へのアクセスがないこと。
  • D. 耐震要因を考慮した強化された建物構造。

正解:A

解説:
When building a data center, site location and construction factors that increase the level of vulnerability to physical threats include proximity to high crime areas of the city. This factor increases the risk of theft, vandalism, sabotage, or other malicious acts that could damage or disrupt the data center operations. The other options are factors that decrease the level of vulnerability to physical threats, as they provide protection or deterrence against natural or human-made hazards. Hardened building construction with consideration of seismic factors (A) reduces the impact of earthquakes or other natural disasters. Adequate distance from and lack of access to adjacent buildings (B) prevents unauthorized entry or fire spread from neighboring structures.
Curved roads approaching the data center slow down the speed of vehicles and make it harder for attackers to ram or bomb the data center. References: CISSP All-in-One Exam Guide, Eighth Edition, Chapter 10, page
637; Official (ISC)2 CISSP CBK Reference, Fifth Edition, Chapter 10, page 699.


質問 # 322

正解:

解説:

Explanation


質問 # 323
外部向けのWebベースのシステムを開発する場合、実装および本番前のセキュリティ評価の主な焦点は次のうちどれですか。

  • A. 入力検証が実施されていることを確認する
  • B. Secure Sockets Layer(SSL)証明書が内部で署名されていることを確認する
  • C. Secure Sockets Layer(SSL)証明書が認証局によって署名されていることを確認する
  • D. URI(Uniform Resource Locator)の評価

正解:A

解説:
SSL certificates are insecure. Injection/buffer overflow attacks are major attack vectors.


質問 # 324
ゼロデイマルウェアの脅威から防御する最も効果的な方法はどれですか?

  • A. クライアントファイアウォール
  • B. クライアントイベントのログ記録
  • C. クライアントアプリケーションのホワイトリスト
  • D. クライアントウイルス対策

正解:C


質問 # 325
......

Certified Information Systems Security Professional (CISSP日本語版)無料で更新される100%試験高合格率保証:https://jp.fast2test.com/CISSP-JP-premium-file.html


弊社を連絡する

我々は12時間以内ですべてのお問い合わせを答えます。

我々の働いている時間: ( GMT 0:00-15:00 )
月曜日から土曜日まで

サポート: 現在連絡 

English Deutsch 繁体中文 한국어