すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CompTIA CASP+認定試験合格のためのCompTIA CAS-004認定試験解答集|SPOTO

弊社の更新された模擬試験を使って、効率よくCompTIA CASP+認定資格を準備しましょう。弊社の試験問題集は最新のCAS-004試験内容を反映するように細心の注意を払って作成されています。弊社の無料サンプルにアクセスして、あなたの準備状態を評価し、スキルを微調整してください。弊社の試験問題集は精確に実際試験の範囲を絞ります。サンプル問題と模擬試験で試験形式に慣れ、自信をつけましょう。弊社のオンライン試験問題集と試験シミュレータで、実際の試験シナリオをシミュレートして、試験の練習を強化することができます。一流の試験資料と専門家による指導でCASP+認定資格を成功に導きましょう。
他のオンライン試験を受ける
質問 #1
ある組織が、BCP 策定に関する NIST のベストプラクティスを参照しながら、ミッションエッセンシャル項目に関する現行の組織内プロセスを検討している。重要なシステムおよび機能の特定と優先順位付けを確立するフェーズは、次のうちどれですか。
A. 最近のギャップ分析を見直す。
B. 費用便益分析を行う。
C. ビジネスインパクト分析を行う。
D. 暴露要因マトリックスを作成する。
回答を見る
正解: D
質問 #2
ある最高情報セキュリティ責任者(CISO)は、社内ホストの脆弱性スキャンから得られた以下の内容に基づいて、是正処置計画を策定しています:この発見に対して文書化する是正処置として、最も適切なものはどれか。
A. プロダクトオーナーは、WAFを実装する能力に関するビジネスインパクト評価を実施する必要があります。
B. アプリケーション開発者は、静的コード解析ツールを使用して、アプリケーションコードがバッファオーバーフローに対して脆弱でないことを確認する必要があります。
C. システム管理者は、依存関係を評価し、必要に応じてアップグレードを実行する必要があります。
D. セキュリティオペレーションセンターは、このサーバに対するバッファオーバーフロー攻撃を防ぐためのカスタムIDSルールを開発する必要があります。
回答を見る
正解: C
質問 #3
ある災害復旧チームは、前回の災害復旧並行テストで犯したいくつかのミスを知った。重要なサービスの復旧の70%で計算リソースが枯渇しました。この問題の再発を防ぐために、次のうちどれを修正すべきですか?
A. リカバリーポイントの目標
B. 回復時間の目標
C. ミッションに不可欠な機能
D. 回復サービスレベル
回答を見る
正解: B
質問 #4
ある組織が、パスポート番号のような機密性の高い個人情報 I と ID 情報を扱う新しい SaaS CRM システムのセキュリティ態勢を評価している。SaaS CRM システムは、組織の現在のセキュリティ基準を満たしていない。この評価では、以下のことが確認された:1) システムの本番稼動が1日遅れるごとに、1日あたり52万円の収益損失が発生する。2) 固有リスクは高い。3) 残留リスクは低い。4) ソリューションの本番稼動には段階的な展開が必要である。
A. リスクが高すぎて受け入れられないので、安全保障の免除を申請する。
B. クラウドサービスを利用しているため、リスクを SaaS CRM ベンダーに転嫁する。
C. リスクを管理するための代償的なコントロールが実施されているので、リスクを受け入れる。
D. SaaS CRM プロバイダーとの責任共有モデルを受け入れることで、リスクを回避する。
回答を見る
正解: A
質問 #5
ある小規模企業では、運用コストを削減する必要がある。各ベンダーがソリューションを提案しているが、いずれも企業のウェブサイトやサービスの管理に重点を置いている。最高情報セキュリティ責任者(CISO)は、提案の中で利用可能なリソースはすべて専用でなければならないと主張していますが、プライベートクラウドを管理することは選択肢にありません。この会社にとって最適なソリューションはどれか。
A. コミュニティクラウドのサービスモデル
B. マルチエンシーSaaS
C. シングル・テナント型SaaS
D. オンプレミス・クラウド・サービス・モデル
回答を見る
正解: D
質問 #6
次のコントロールのうち、主に特権の乱用を検出するが、それを防止しないものはどれか。
A. オフボーディング
B. 職務の分離
C. 最小特権
D. ジョブ・ローテーション
回答を見る
正解: DE
質問 #7
ある企業が最近 SaaS プロバイダを買収し、そのプラットフォームを顧客のエクスペリエンスに影響を与えずに自社の既存インフラに統合する必要がある。SaaSプロバイダは成熟したセキュリティプログラムを持っていない SaaSプロバイダのシステムを最近脆弱性スキャンしたところ、非常に古く時代遅れのOssに起因する複数の重大な脆弱性が見つかった。これらの脆弱性が会社の既存インフラに侵入するのを防ぐソリューションは、次のうちどれでしょうか?
A. システムをセグメント化し、攻撃が発生した場合の攻撃対象領域を減らす。
B. サポートされ、パッチが適用されたOSを持つ新しいシステムにサービスを移行する。
C. システムを既存OSの最新バージョンにパッチする。
D. 反マルウォーを設置する
E. 各システムの HIPS、ホストベースのファイアウォール
回答を見る
正解: C
質問 #8
セキュリティ監査人が、ある娯楽機器の動作方法をレビューする必要がある。監査人は、セキュリティレビューの次のステップを決定するために、ポートスキャンツールの出力を分析している。次のログ出力がある。監査人が NEXT を使用するための最良の選択肢はどれか:
A. SCAP評価。
B. リバースエンジニアリング
C. ファジング
D. ネットワーク傍受。
回答を見る
正解: B
質問 #9
ある組織が、本番環境に導入される前にアプリケーションを審査する新しいソフトウェア保証プログラムを確立している。これらのアプリケーションを分析するために、次のうちどれを使用すべきですか?(2つ選択)。
A. 回帰テスト
B. SAST
C. サードパーティ依存関係管理
D. IDE SAST
E. ファズテスト
F. 国際標準化機構
回答を見る
正解: D
質問 #10
攻撃者がハードウェア・メーカーのコード・ベースに侵入し、コードがコンパイルされる前にマルウェアを挿入した。この悪意あるコードは、現在、多くの業界や部門でハードウェアレベルで実行されています。このようなベンダーのリスクを最もよく表すカテゴリーは次のうちどれでしょうか?
A. SDLC攻撃
B. サイドロード攻撃
C. リモート・コード署名
D. サプライチェーン攻撃
回答を見る
正解: D
質問 #11
あるセキュリティエンジニアが、従業員ユーザの Web トラフィックを保護するために CASB を実装する必要がある。重要な要件は、既存のオンプレミス・インフラストラクチャ・コンポーネントから関連イベン ト・データを収集し、トラフィックの可視性を拡大するために CASB で使用することである。このソリューションは、ネットワークの停止に夜間でも対応できなければなりません。これらの要件を満たすアーキテクチャ・コンポーネントは、次のうちどれが最適でしょうか?
A. ログ収集
B. リバースプロキシ
C. AWAF
D. APIモード
回答を見る
正解: A
質問 #12
技術者がログを確認していたところ、3ヶ月の間に大量のファイルがリモート・サイトに転送されていることに気づいた。その後、このアクティビティは停止しました。ファイルは、これらのサイトにトラフィックを送信していないシステムから、TLSで保護されたHTTPセッションを介して転送されていました。技術者はこの脅威を次のように定義する:
A. 時代遅れの弱体化した暗号化攻撃を使ってRSAを解読する。
B. ゼロデイ攻撃
C. 高度な持続的脅威
D. オンパス攻撃。
回答を見る
正解: A
質問 #13
ある銀行が、セキュリティ・アーキテクトと協力して、データベース管理システムの侵害を検知するための最良のソリューションを探している。そのソリューションは以下の要件を満たす必要があります:アプリケーション層で動作すること 特権ユーザと悪意あるユーザの両方からの攻撃に対してアラートを送信すること 誤検知が非常に少ないこと アーキテクトが推奨すべきはどれか?
A. FIM
B. WAF
C. NIPS
D. ダム
E. UTM
回答を見る
正解: C
質問 #14
ある脆弱性スキャナーが、ある企業のLinuxサーバー上でオープンソースのファイル共有アプリケーションの旧バージョンを検出した。このソフトウエアのバージョンは、もはや OSS コミュニティによってサポートされていないが、この企業の Linux ベンダーは、修正プログラムをバックポートし、現在のすべての脆弱性に対して適用し、将来にわたってこのソフトウエアをサポートすることに同意した。この合意に基づいて、この発見は BEST に分類される:
A. 真のポジティブ。
B. 真のネガティブ。
C. 偽陽性。
D. 偽陰性。
回答を見る
正解: A
質問 #15
ある組織が開発したソーシャルメディア・アプリケーションは、世界中の遠隔地にいる複数の顧客に利用されている。この組織の本社と唯一のデータセンターはニューヨークにある。最高情報セキュリティ責任者(CIO)は、ソーシャルメディア・アプリケーションについて、以下の要件が満たされていることを保証したいと考えている:すべてのモバイル・ユーザーに対する低遅延によるユーザー体験の向上 SSL オフロードによるウェブ・サーバー・パフォーマンスの向上 DoS 攻撃および DDoS 攻撃からの保護 高い可用性
A. データセンター内のキャッシュサーバーファーム
B. SSLアクセラレーションを持つ負荷分散されたリバースプロキシサーバ群
C. オリジンをデータセンターに設定したCDN
D. マネージドDDoS防御機能を備えたデュアルギガビットスピードのインターネット接続
回答を見る
正解: D
質問 #16
脅威のクラス全体を排除しようとしているある運送会社は、そのカスタムAndroidデバイスが荷物追跡のためだけに使用されることを保証するために、SELinuxポリシーを開発しています。ポリシーをコンパイルし、実装した後、同社はデバイスが実行するように構成されていることを次のどのモードで確認する必要がありますか?
A. 保護
B. 許可制
C. 施行
D. 必須
回答を見る
正解: A
質問 #17
ある企業が新しいビデオカードを発売した。供給が限られ、需要が高まっているため、攻撃者は自動化されたシステムを使い、同社のウェブストアを通じてデバイスを購入し、二次市場で転売している。同社の顧客は不満を募らせている。セキュリティエンジニアは、自動化システムで購入されるビデオカードの数を減らすために、ウェブストアにCAPTCHAシステムを導入することを提案します。次のうち、リスクのレベルを表すものはどれですか?
A. 固有の低さ
B. 軽減
C. 残留
D. 移籍
回答を見る
正解: D
質問 #18
あるエンジニアリングチームが、在庫管理に特化したモバイルデバイスを開発・導入している。これらのデバイスは次のようなものでなければならない: * オープンソースのAndroidをベースとし、ユーザーに親しみやすく使いやすいこと。 * 物理的資産の在庫管理用に単一のアプリケーションを提供すること。 * スキャンを目的としたインベントリアプリケーションのみで、カメラの使用を許可する。 * 必要なリソース以外のデバイス・リソースへのアクセスをすべて制限すること。
A. アプリケーションのラッピングポリシーを設定し、アプリケーションをラッピングし、MAMツールを介してインベントリAPKを配布し、アプリケーションの制限をテストする。
B. ルールを持つドメインを定義するMACセポリシーを作成し、インベントリアプリケーションにラベルを付け、ポリシーを構築し、強制モードに設定します。
C. AndroidのLinuxカーネルバージョンを>2,4,0に入れ替え、インターネットビルドのAndroidにし、MDL経由で不要な機能を削除し、ネットワークアクセスをブロックするように設定し、統合テストを行う。
D. 要件を追加したAndroidミドルウェアポリシーをビルドしてインストールし、ファイルを/user/initにコピーしてから、インベントリアプリケーションをビルドします。
回答を見る
正解: B
質問 #19
最高情報セキュリティ責任者(CISO)が銀行のリスク委員会に最新の指標を提供する目的は、以下を確実にすることである:
A. サイバーセキュリティに関する予算は年々増加している。
B. 委員会はどれだけの仕事がなされているかを知っている。
C. 事業部門は、それぞれの緩和策に責任を負う。
D. 銀行はサイバーセキュリティリスクの状況を把握している。
回答を見る
正解: A
質問 #20
あるセキュリティアナリストが、以下の脆弱性評価報告書をレビューしています:インターネットに面したホストに対する攻撃を最小限に抑えるために、最初にパッチを当てるべきはどれか。
A. サーバー1
B. サーバー2
C. サーバー3
D. サーバー
回答を見る
正解: D
質問 #21
あるアナリストが、セキュリティイベントを調査中に、ユーザが送信元不明の電子メールの添付ファイルを開いた証拠を発見した。ユーザが添付ファイルを開いた直後、サーバ群で大量のネットワークとリソースのアクティビティが発生した。そのサーバーを調査したところ、そのサーバーはランサムウェアによって暗号化されており、48時間以内の支払いを要求していることが判明した。同社はランサムウェアに対する対応策を持っていない。次のうち、次のステップはどれですか?
A. 48時間以内に身代金を支払う。
B. 拡散を防ぐためにサーバを隔離する。
C. 法執行機関に通知する。
D. 影響を受けたサーバーを直ちに復旧するよう要請する。
回答を見る
正解: C
質問 #22
ある最高情報責任者は、高価なSANストレージのコストを削減するため、会社の全データのクラウドへの移行を検討しています。次のうち、移行中に最も対処が必要と思われるセキュリティ上の懸念事項はどれですか?
A. 待ち時間
B. データ露出
C. データ損失
D. データの分散
回答を見る
正解: A
質問 #23
ある企業が知的財産を盗難から守りたいと考えている。同社はすでにACLとDACを適用している。データの盗難を防ぐには、次のうちどれを使用すべきでしょうか?
A. 電子透かし
B. DRM
C. NDA
D. アクセスログ
回答を見る
正解: B
質問 #24
あるセキュリティ・アナリストが、悪意のあるコードがLinuxシステムにダウンロードされたことを懸念している。いくつかの調査の後、アナリストは、疑わしいコード片がディスクドライブ上で多くの入出力(I/O)を実行していると判断した。上記の出力に基づき、アナリストが調査を開始できるプロセスIDはどれか。
A. 65
B. 77
C. 83
D. 87
回答を見る
正解: C
質問 #25
ある組織がディザスタリカバリプランを策定している。この要件に対処するために、組織が最初に検討すべきことはどれか?
A. 変更管理計画を実施し、システムが適切なバージョンを使用していることを確認する。
B. イベントが発生した場合に派遣されるオンコールスタッフを追加雇用する。
C. 事業継続のための適切なウォームサイトを設計する。
D. 重要なビジネスプロセスを特定し、関連するソフトウェアとハードウェアの要件を決定する。
回答を見る
正解: A
質問 #26
あるソフトウェア開発会社は、そのソフトウェア・バージョンをウェブ・ポータルから顧客に公開している。何度か、ハッカーがソフトウェアのリポジトリにアクセスして、ウェブサイトに自動的に公開されるパッケージを変更することができた。ユーザーがダウンロードするソフトウェアが、その会社がリリースした正式なソフトウェアであることを保証するための技術として、最も適切なものはどれか。
A. サードパーティのリポジトリ経由でソフトウェアを配布する。
B. ウェブリポジトリを閉じ、ソフトウェアを電子メールで配信する。
C. すべての顧客にソフトウェアのリンクを電子メールで送信する。
D. ウェブサイトにSHAチェックサムを表示する。
回答を見る
正解: D
質問 #27
ある脅威アナリストがHTTPログを調べていて、次のURLに気づきました。脅威アナリストが見ている攻撃タイプは次のどれですか。
A. SQLインジェクション
B. CSRF
C. セッションハイジャック
D. XSS
回答を見る
正解: A
質問 #28
過去1年間の攻撃パターンを見直すと、攻撃者は侵害しやすいシステムを見つけた後、偵察を中止していることがわかる。同社は、貴重な攻撃情報を得ながら環境を保護するためにこの情報を利用する方法を見つけたいと考えている。次のうち、同社が実施するのに最適なものはどれか。
A. WAF
B. IDS
C. SIEM
D. ハニーポット
回答を見る
正解: BC
質問 #29
セキュリティ・コンプライアンス要件では、機密データを扱う特定の環境は、need-to-knowの制限によって保護され、許可されたエンドポイントにのみ接続できなければならないとされている。また、この要件では、環境内のDLPソリューションを使用して、データが環境から出るのを制御しなければならないとしています。特権ユーザがワークステーションから環境をサポートできるように、コンプライアンスを維持しながら実装する必要があるのは、次のうちどれでしょうか。
A. 許可されたエンドポイントを制御するNAC
B. データを保存するサーバー上のFIM
C. スクリーンされたサブネット内のジャンプボックス
D. プライマリ・ネットワークへの一般的なVPNソリューション
回答を見る
正解: C
質問 #30
ある金融サービス会社が、電子メールサービスをオンプレミスのサーバーからクラウドベースの電子メールソリューションに移行したいと考えている。最高情報セキュリティ責任者(CISO)は、この移行に関連する潜在的なセキュリティ上の懸念事項について、取締役会に説明しなければならない。取締役会は以下の点を懸念している。 * 権限のない個人による取引要求 * 顧客名、口座番号、投資情報に関する完全な裁量権。 * 悪意のある攻撃者が電子メールを使ってマルウェアを配布すること。
A. データ損失防止
B. エンドポイント検出への対応
C. SSL VPN
D. アプリケーションのホワイトリスト化
回答を見る
正解: D
質問 #31
あるDevOpsチームが、新しい課金システムをサポートするPaaSソリューションとして、データベース、イベントドリブンサービス、APIゲートウェイをデプロイした。DevOpsチームが実行する必要があるセキュリティ責任は、次のうちどれでしょうか?
A. 認証メカニズムを安全に設定する
B. OSのインフラにパッチを当てる
C. サービスに対してポートスキャンを実行する
D. ライフサイクル管理の一環としてサービスをアップグレードする。
回答を見る
正解: AD
質問 #32
ある中小企業では、PSKやその他の認証情報を最初に配布せずに、モバイルデバイスを使用するゲストに暗号化されたWPA3アクセスを提供したいと考えています。この目的を達成できる機能は、次のうちどれでしょうか。
A. 同等者の同時認証
B. オープンの強化
C. 完全な前方秘匿
D. 拡張可能認証プロトコル
回答を見る
正解: A
質問 #33
最高情報責任者(CIO)は、以下の要件を満たすクラウドソリューションを導入したいと考えている:SDLC のすべてのフェーズをサポートする。カスタマイズされた Web サイトポータルソフトウェアを使用する。企業が独自のゲートウェイ・ソフトウェアを構築して使用できるようにする。独自のデータ管理プラットフォームを利用する。エージェントベースのセキュリティツールを使い続ける。CIOが導入すべきクラウドコンピューティングモデルはどれか?
A. SaaS
B. PaaS
C. MaaS
D. IaaS
回答を見る
正解: A
質問 #34
あるセキュリティ・アナリストが、第三者の侵入テスト実施者が最近実施したエクスプロイトの成功結果を読んでいる。テスト実施者は、特権実行ファイルをリバースエンジニアリングしました。レポートでは、テストのログとアウトプットを使用して、エクスプロイトの計画と実行が詳細に説明されています。次のような出力があるとします:ペネトレーションテスターが利用した可能性が最も高いのは、以下のものです:
A. TOC/TOUの脆弱性
B. 平文パスワードの漏洩
C. 整数オーバーフローの脆弱性
D. バッファオーバーフローの脆弱性
回答を見る
正解: A
質問 #35
ある開発者が、安全な外部向け Web アプリケーションを開発したいと考えています。この開発者は、Web アプリケーションセキュリティ分野のツール、方法論、記事、文書を作成するオンラインコミュニティを探しています。
A. ICANN
B. PCI DSS
C. OWASP
D. CSA
E. NIST
回答を見る
正解: D
質問 #36
組織がISO 27018規格を満たすために必要なものは、次のうちどれですか?
A. すべてのPllは暗号化されていなければなりません。
B. すべてのネットワークトラフィックを検査しなければならない。
C. GDPRと同等の基準を満たしていること
D. COBITと同等の基準を満たしていること
回答を見る
正解: B

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.