すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CompTIA CASP+認定試験対策問題集|SPOTO

SPOTO の模擬試験と試験準備教材を使って CompTIA CASP+ 認定試験の準備を効率的に進めましょう!CAS-003試験は、高度なサイバーセキュリティスキルと知識を証明する重要なステップであり、当社の包括的なリソースは、あなたの成功を確実にするために調整されています。当社の準備コースでは、リスク管理、エンタープライズ・セキュリティの運用とアーキテクチャ、リサーチとコラボレーション、エンタープライズ・セキュリティの統合に焦点を当て、試験のトピックを詳細にカバーしています。模擬試験やサンプル問題で理解を深め、自信をつけてください。模擬試験を利用して実際の試験シナリオをシミュレートし、受験スキルを磨いてください。あなたのCompTIA CASP+認定資格取得の道のりに合わせた最も効果的な試験準備のリソースと戦略を提供するSPOTOを信頼してください。今すぐSPOTOで準備を始め、資格取得の目標達成に向けて大きな一歩を踏み出しましょう!
他のオンライン試験を受ける

質問 #1
ローカルPCから次のような出力があったとする: ステートフルホストベースのファイアウォール上の次のACLのうち、PCがイントラネットのウェブサイトにアクセスすることを許可するものはどれか。
A. 172
B. 172
C. 172
D. 172
回答を見る
正解: B
質問 #2
ある配備管理者が、ソフトウエア開発グループと協力して、社内で開発した ERP ツールの新バージョンのセキュリ ティを評価している。この組織は、配備後のアセスメント活動は行わず、ライフサイクル全体を通してセキュリティを評価することに重点を置きたいと考えている。製品のセキュリティを評価する方法として、最も適切なものはどれか。
A. IDE環境での静的コード解析
B. UAT環境の侵入テスト
C. 本番環境の脆弱性スキャン
D. 本番環境の侵入テスト
E. 単体テスト前のピアレビュー
回答を見る
正解: C
質問 #3
あるセキュリティ管理者が、最近、情報システムを分類した。その分類作業中に、そのマネジャーは、特定の情報タイプの完全性が失われると、 ビジネスに大きな影響を及ぼすと判断した。これに基づき、セキュリティマネジャーはいくつかのソリューションの導入を推奨する。次のうち、どれを組み合わせれば、このリスクを最も軽減できるか。(2つ選んでください)。
A. アクセス制御
B. ホワイトリスト
C. 署名
D. バリデーション
E. ブート認証
回答を見る
正解: AD
質問 #4
セキュリティ評価の後、最高情報セキュリティ責任者(CISO)が評価結果をレビューし、潜在的なリスク処理戦略を評価する。CISO の評価の一環として、特定されたリスクに基づく潜在的な影響の判断が行われる。対応措置の優先順位を決定するために、CISO は過去の経験を使用して、特定された弱点の外部からのアクセス可能性と同様に、暴露要因を考慮します。CISOが実施しているのは次のうちどれですか?
A. 教訓の文書化
B. 定量的リスク評価
C. リスクの定性的評価
D. ビジネスインパクト・スコアリング
E. 脅威モデリング
回答を見る
正解: B
質問 #5
ある保険会社は200万人の顧客を抱え、顧客ポータルの上位トランザクションを調査している。その結果、上位の取引は現在パスワードリセットであることが判明した。ユーザーが秘密の質問を覚えていないため、大量の電話が手動パスワードリセットのためにコンタクトセンターに転送されている。この企業は、将来的にモバイルアプリケーションを開発し、顧客エンゲージメントを向上させ、単一要素認証を継続し、パスワード再設定の管理オーバーヘッドを最小限に抑えたいと考えている。
A. 電子メールアドレスに送られる魔法のリンク
B. プッシュ通知で送信される顧客ID
C. 携帯電話番号に送信されるOTP付きSMS
D. 第三者のソーシャルログイン
E. デバイスにインストールするために送られる証明書
F. 顧客に送付されるハードウェア・トークン
回答を見る
正解: CE
質問 #6
あるエンジニアが、企業所有のモビリティインフラストラクチャを保守しています。この組織は、企業所有のリソースを使用するすべてのWebブラウジングを監視することを要求しています。次のうちどれを使用すれば、この組織は要件を満たすことができますか。(2つ選びなさい)
A. プライバシー侵害につながるため、モバイル機器を要件から除外する。
B. 常時接続のIPSec VPNを使用するようにデバイスを設定する
C. すべての管理トラフィックがTLS経由で企業内にトンネリングされるように設定する。
D. VDIソリューションを実装し、サポートするクライアントアプリをデバイスに展開する。
E. アプリケーションのアクセス許可を制限し、企業境界の外側にあるHTTPS接続のみを確立する。
回答を見る
正解: BE
質問 #7
ある侵入テスト実施者が、あるサイトの物理的アセスメントを請け負った。この契約中に実施されるソーシャルエンジニアリングの方法で、最も妥当なものはどれか。
A. 顧客の従業員に無作為に電話をかけ、問題を解決するためにユーザーパスワードを要求するヘルプデスク技術者を装う。
B. コピー機のサービス技術者を装い、機器が「自宅に電話をかけた」ことを示し、サービスコールのために技術者に警告する。
C. 顧客先でのセールスコール中に発病し、リスニング・デバイスが設置されると回復する。
D. 偽の政府証明書を入手し、法執行機関になりすまして会社施設にアクセスする。
回答を見る
正解: A
質問 #8
新システムの開発プロセスの一環として、組織は要件分析とリスク評価を実施する予定である。新システムは、組織がデータ分析を実行するために使用してきたレガシーシステムを置き換える。プロジェクトのこのフェーズでマネジメントが実施する活動の中で、最も可能性が高いものはどれか?
A. すべてのアプリケーションコードの静的コード解析とピアレビュー
B. システムの性能とセキュリティに関する期待の検証
C. レスポンスタイムが関係者に受け入れられることを確認するためのシステムの負荷テスト
D. システムが適切に導入されたことを確認するための設計レビューとユーザー受入テスト
E. 配備中のレガシーシステムとの相互運用性を評価するための回帰テスト。
回答を見る
正解: C
質問 #9
新しく採用されたシステム管理者が、完全にアップデートされた、しかし非常にカスタマイズされた新しいAndroidデバイスを、企業リソースにアクセスするために接続しようとしている。しかし、MDMの登録プロセスが何度も失敗する。管理者は、セキュリティチームのメンバーにこの問題を調査するよう依頼します。MDMが登録を許可しない最も可能性の高い理由は次のうちどれですか。
A. OSのバージョンが互換性がない
B. OEMは以下の行為を禁止する。
C. デバイスは FDED をサポートしていません。デバイスがルート化されている。
回答を見る
正解: D
質問 #10
あるセキュリティアーキテクトは、企業内コラボレーションツール群の脆弱性を発見した外部監査を受けて、セキュリティ対策を実施している。レポートでは、ユーザー間の電子的な通信、およびユーザーとグループメールボックス間の電子的な通信に機密性を提供する仕組みがないことが指摘されました。特定された脆弱性を緩和する最善の対策はどれか。
A. グループメールボックスの所有者を含むすべてのユーザーにデジタル証明書を発行し、AES-256によるS/MIMEを要求する。
B. 既存の PKI プロバイダと連携し、署名されていない電子メールをすべて拒否する。
C. 二要素電子メール認証を実装し、すべての電子メールメッセージを受信時にハッシュ化することをユーザーに要求する。
D. すべてのシステムに電子証明書を提供し、ユーザーグループまたは共有メールボックスを削除する。
回答を見る
正解: A
質問 #11
あるエンジニアが、PII、財務、および専有データを含むシステムに割り当てる管理プロファイルを評価しています。上記のデータ分類表に基づき、全体的な分類を最もよく表しているのは次のうちどれですか?
A. 高い機密性、高い可用性
B. 高い機密性、中程度の可用性
C. 低い可用性、低い機密性
D. 高い完全性、低い可用性
回答を見る
正解: B
質問 #12
あるエンジニアが、会社の重要なサービスを収容し、データセンターの物理的なフットプリントを削減する新しい仮想化環境の設計を支援している。同社はオペレーティングシステムの完全性について懸念を表明しており、あるデータセンターセグメントで悪用された脆弱性が、他のすべてのデータセンターの侵害につながらないようにしたいと考えている。この企業の懸念を軽減するために、エンジニアが達成すべき設計目標は次のうちどれですか?(2つ選びなさい)
A. OOB管理ネットワークによる仮想デスクトップインフラの導入
B. ブート認証でvTPMを使用する
C. 機密性の高いサービスやデータには、個別の物理ハードウェアを活用する。
D. 独立して管理されるセキュリティ・サービスを備えたコミュニティ CSP を使用する。
E. 各物理マシンにハイパーバイザーをホストして、プライベート・クラウドにデプロイする。
回答を見る
正解: AC
質問 #13
あるフォレンジック・アナリストが、情報漏洩の発生を疑っている。セキュリティ・ログによると、会社のOSパッチ・システムが侵害されている可能性があり、ゼロデイ・エクスプロイトとバックドアを含むパッチを配信している。アナリストは、クライアントコンピュータとパッチサーバ間の通信のパケットキャプチャから実行可能ファイルを抽出します。この疑いを確認するために、アナリストが使用すべきものはどれか。
A. ファイルサイズ
B. デジタル署名
C. チェックサム
D. マルウェア対策ソフト
E. サンドボックス
回答を見る
正解: B
質問 #14
ある金融サービス会社の取締役会は、最近の連邦法を遵守するため、シニア・セキュリティ・アナリストにサイバーセキュリティ・アドバイザーとしての役割を要請した。このアナリストは、次回の取締役会で、金融サービス業界における現在のサイバーセキュリティと脅威の傾向について報告するよう求められている。この報告書を作成する方法として、最も適切なものは次のうちどれでしょうか。(2つ選んでください)。
A. 過去1年間の重大なエクスプロイトについて、CVEデータベースを確認する。
B. ソーシャルメディアを使って業界アナリストとコンタクトを取る
C. インターネット・リレー・チャット・チャンネルから収集した情報を利用する。
D. セキュリティベンダーや政府機関に情報を求める
E. 競合他社のネットワークの侵入テストを実施し、その結果を取締役会と共有する。
回答を見る
正解: AD
質問 #15
APIエンドポイントを持つ一連のウェブサービスに対する侵入テストが計画されている。API は、既存のウェブ・アプリケーション・サーバ上でホストされる。新しい API のいくつかは認証されていないユーザが利用できますが、いくつかは認証されたユーザだけが利用できます。侵入テスト者は、次のツールや活動のうち、最も使用しそうなもの、あるいは、実施しそうなものはどれですか?(2つ選んでください)
A. スタティック・コード・アナライザ
B. インターセプトプロキシ
C. ポートスキャナー
D. リバースエンジニアリング
E. 偵察収集
F. ユーザー受け入れテスト
回答を見る
正解: BE
質問 #16
あるセキュリティ・インシデント対応担当者が、攻撃者がネットワークにアクセスし、バックドア・ソフトウェアで主要なシステム・ファイルを上書きしていることを発見した。サーバは再イメージされ、オフラインでパッチが適用されました。同様の攻撃を検出するために実装すべきツールはどれか。
A. 脆弱性スキャナー
B. TPM
C. ホストベースファイアウォール
D. ファイル整合性モニター
E. ニップス
回答を見る
正解: D
質問 #17
あるセキュリティ・エンジニアが、オフショアの外注スタッフが開発環境から本番環境に安全にコードをプッシュできるシステムを設計している。セキュリティエンジニアはデータ損失を懸念しており、一方、ビジネスは開発プロセスを遅らせたくありません。次のソリューションのうち、セキュリティ要件とビジネスニーズのバランスが最も取れているものはどれですか?
A. 外注スタッフのローカルワークステーションへのコピー&ペーストを防止するVDI環境を設定する。
B. スタッフのノートPCにクライアントサイドVPNをインストールし、開発ネットワークへのアクセスを制限する。
C. 開発ネットワークから外部委託スタッフのオフィスまでのIPSec VPNトンネルを作成する。
D. オンラインコラボレーションツールを使用し、開発ネットワークにアクセスできる現地スタッフとのワークステーション共有セッションを開始する。
回答を見る
正解: D
質問 #18
新たに2つの技術的なSMBセキュリティ設定が施行され、安全な通信を増やすポリシーとなった。ネットワーク・クライアント:デジタル署名通信 ネットワークサーバーデジタル署名通信 ある遠隔地のストレージ管理者が、レガシーストレージアレイに時間的制約のあるデータを保存しています。情報セキュリティ管理者がデータ所有者に推奨すべき緩和策はどれか。
A. リスクを受け入れ、リモートロケーションの設定を逆にし、レガシーストレージデバイスをアップグレードできるまで、リモートロケーションにリスク例外を申請させる。
B. リモートロケーションのリスクを受け入れ、レガシーストレージデバイスがアップグレードされないため、無期限で設定を逆にする。
C. クラウドサービスプロバイダーへの移行を提案することで、遠隔地のリスクを軽減する。遠隔地に、クラウドストレージの使用に関する無期限のリスク例外を要求させる。
D. リスクを回避し、設定はそのままにして、レガシーストレージデバイスを廃棄する。
回答を見る
正解: A
質問 #19
次のうち、買収時に2つの企業を合併させることに関連するリスクとして最も適切なものはどれか。
A. 2つの異なるIT企業が統合されたことで、バックアップシステムが2つになったため、データ損失の可能性が高まった。
B. 2つの異なるITシステムを統合した場合、2つの企業間で脅威インテリジェンスが共有されなければ、データ侵害が成功する可能性がある。
C. 2つの企業ネットワークを統合すると、攻撃対象が拡大する可能性があり、信頼と許可の問題が慎重に処理されないと、障害が発生する可能性がある。
D. データ所有者のセットを拡大するには、すべてのデータ分類の決定について詳細なレビューが必要であり、レビュー中の可用性に影響を与える。
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: