すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

最新のCompTIA CAS-004練習問題集&試験問題2024, CompTIA CASP+認定資格|SPOTO

弊社の2024年度版最新試験問題集を使ってCompTIA CASP+認定試験の準備を効率よく進めましょう。弊社の包括的なリソースはCAS-004試験のすべての側面をカバーし、リスクマネジメント、エンタープライズセキュリティオペレーションとアーキテクチャ、リサーチとコラボレーション、エンタープライズセキュリティの統合についての詳細な洞察を提供します。弊社の無料サンプルにアクセスして、あなたの知識と準備態勢を評価してください。弊社の試験問題集を利用して、主要な概念について詳しく説明し、理解を深めてください。模擬試験やオンライン試験問題で実際の試験状況をシミュレートし、自信を深めてください。SPOTOを利用すれば、最高品質の試験資料と専門家の指導で、君はCASP+認定試験に合格することができます。
他のオンライン試験を受ける

質問 #1
A社は、次のような契約を結んでいる。
B. 契約条件は、支払条件、責任制限、知的財産権などを含む文書で正式に規定されている。次の文書のうち、これらの要素が含まれている可能性が最も高いものはどれですか? A
B. A 社 OLA v1b
E. A-B社 NDA v03
回答を見る
正解: A
質問 #2
最高情報責任者(CIO)は、システム管理者に、以下の要件に基づいて会社の電子メールセキュリティーを改善するよう依頼する: * 権限のない個人からの取引要求。 * 顧客名、口座番号、投資情報に関する完全な裁量権。 * 悪意のある攻撃者によるマルウェアやランサムウェアのメール使用。 * 会社の機密情報の流出クラウドベースの電子メールソリューションは、マルウェア対策として、レピュテーションベースのスキャン、シグネチャベースのスキャンを提供します。
A. データ損失防止
B. エンドポイント検出レスポンス C
回答を見る
正解: A
質問 #3
ある企業が、新たなマルウェアによるエンドポイントでの複数のサービス停止に対処するため、セキュリティ・アーキテクトを雇った。最高経営責任者のノートパソコンが、自宅で作業中に影響を受けた。目標は、これ以上エンドポイントが停止しないようにすることである。エッジネットワークはウェブプロキシで保護されている。セキュリティアーキテクトが推奨すべきソリューションはどれか。
A. 現在のアンチウイルスをEDRソリューションに置き換える。
B. Webプロキシを削除し、UTMアプライアンスをインストールする。C
回答を見る
正解: C
質問 #4
企業は、パートナーとのNDAに従って、対象となるデータの処理および保存の制約を定義したデータ処理を行う。
A. 現在、契約では対象データをクラウドに移行することは認められていないため、同社は契約条件を再交渉したいと考えている。データをクラウドに移行するための合意形成に最も役立ちそうなのは、次のうちどれでしょうか。
A. マルチテナンシーによる損失リスクを軽減するデータ保護スキームの設計
B. 高可用性を実現するために、多様な CSP に冗長性のあるストアとサービスを実装する C
回答を見る
正解: D
質問 #5
ICSに出力する電力量を伝える制御メッセージに暗号を適用する場合、最も重要なセキュリティ目的はどれか。
A. メッセージの可用性のインポート
B. メッセージの否認防止 C
回答を見る
正解: D
質問 #6
あるセキュリティ・アナリストが、従業員からセキュリティ・チームに送られた一連の不審な電子メールを調査している。そのメールは、現在のビジネス・パートナーからのものと思われ、画像やURLは含まれていない。同社が使用しているセキュリティ・ツールでは、メッセージから画像やURLは削除されませんでした。セキュリティアナリストが実行すべきことは次のうちどれでしょうか。
A. ビジネスパートナーのセキュリティ部門に連絡し、電子メールイベントを警告する。
B. 境界ファイアウォールで取引先のIPアドレスをブロックする。C
回答を見る
正解: D
質問 #7
あるホームオートメーション企業は、同社が開発したソフトウェアに関するインシデントの特定と対応を可能にするツールを SOC 用に購入し、インストールしたばかりである。同社は、以下の攻撃シナリオに対する防御に優先順位をつけたいと考えている:アプリケーション開発環境への不正侵入 内部関係者による環境設定の不正変更 開発環境に対するこれらのタイプの攻撃を検知するために必要なデータフィードを可能にするアクションは、次のうちどれでしょうか?(
A. コミットされたコードの静的コード解析を実行し、要約レポートを生成する。
B. XMLゲートウェイを実装し、ポリシー違反を監視する。C
E. ユーザーの行動をモデル化し、通常からの逸脱を監視する。
F. リポジトリへのコードコミットを継続的に監視し、サマリーログを生成する。
回答を見る
正解: C
質問 #8
ある電子商取引会社は、社内でウェブサーバーを運用しており、リソースの使用率は通常30%未満です。過去 2 回のホリデーシーズンには、接続数が多すぎたためにサーバーのパフォーマンスに問題が発生し、複数の顧客が購入注文を確定できませんでした。同社は、このようなパフォーマンスの問題を回避するため、サーバー構成の変更を検討しています。次のうち、最も費用対効果の高いソリューションはどれでしょうか?
A. サーバーをクラウドプロバイダーに移す。
B. オペレーティング・システムを変更する。C
回答を見る
正解: A
質問 #9
ある企業では、ワークステーション、サーバー、ノートパソコンなどの資産のフルディスク暗号化方式に見合うように、すべてのモバイルデバイスを暗号化することを求めています。この会社でモバイルデバイスマネージャーを選定する際、最も制限要因になりそうなものはどれですか?
A. ネットワーク遅延の増加
B. キーエスクローの利用不可 C
回答を見る
正解: A
質問 #10
ある開発者が次のコード・スニペットを実装した。このコード・スニペットが解決する脆弱性はどれか。A.SQLインジェクト
B. バッファオーバーフロー C
回答を見る
正解: D
質問 #11
ある企業は、接続文字列を確実に保護するために秘密鍵と公開鍵を利用するAPIを導入している。APIに接続するには、顧客は秘密鍵を使用する必要があります。要求文字列でハードコードされた文字列の使用を防止しながら、データベースへのREST API接続を保護する最善の方法は、次のうちどれでしょうか。A.すべてのAPIにVPNを実装する。B.キーをDSAで署名する。C.サービスアカウントにMFAを導入する。D.鍵にHMACを利用する。
ある企業は、接続文字列を確実に保護するために秘密鍵と公開鍵を利用するAPIを導入している。APIに接続するには、顧客は秘密鍵を使用する必要があります。要求文字列でハードコードされた文字列の使用を防止しながら、データベースへのREST API接続を保護する最善の方法は、次のうちどれでしょうか。A. すべてのAPIにVPNを実装する。B
回答を見る
正解: AF
質問 #12
ある金融サービス会社が、電子メールサービスをオンプレミスのサーバーからクラウドベースの電子メールソリューションに移行したいと考えている。最高情報セキュリティ責任者(CISO)は、取締役会に対し、この移行に関連する潜在的なセキュリティ上の懸念事項について説明しなければならない。取締役会は、以下の点を懸念している。 * 権限のない個人による取引要求 * 顧客名、口座番号、投資情報に関する完全な裁量権。 * 悪意のある攻撃者が電子メールを使ってマルウェアや不正プログラムを配布する。
A. データ損失防止
B. エンドポイント検出レスポンス C
回答を見る
正解: A
質問 #13
ある企業が、ミッションクリティカルなプロセスの運用に使用するソフトウェアのライセンス購入を決定した。サードパーティの開発者は、この業界では新参者ですが、現時点で会社が必要とするものを提供しています。サードパーティがアプリケーションのサポートを停止した場合に、ソースコードエスクローを利用することで会社の運用リスクを軽減できる理由を最もよく表しているのは、次のうちどれでしょうか?
A. 会社は開発を継続するために最新バージョンにアクセスできる。
B. サードパーティ開発者にサポートを継続させることができる。C
回答を見る
正解: A
質問 #14
ある衛星通信ISPは、非推奨のハードウェアとソフトウェアを使用しているため、レガシー衛星リンクの1つで頻繁に停電や動作モードの低下を経験している。平均して週に3日、契約会社は、公称パフォーマンスを回復するために連続して実行しなければならない16種類の高遅延コマンドのチェックリストに従わなければなりません。ISPはこのプロセスを自動化したいと考えています。この要件に最も適している技術は、次のうちどれでしょうか?
A. SOARユーティリティとランブックを展開する。
B. 関連ハードウェアを交換する。C
回答を見る
正解: A
質問 #15
あるセキュリティエンジニアが、ある組織の現在のソフトウェア開発手法を監査していたところ、複数のオープンソースライブラリがその組織のソフトウェアに統合されていることを発見した。この組織は現在、開発するソフトウェアに対して SAST と DAST を実施しています。オープンソースライブラリのセキュリティを確保するために、この組織が SDLC に組み込むべきものはどれか?
A. オープンソースライブラリに対して追加のSAST/DASTを行う。
B. SDLC セキュリティガイドラインを実施する。C
回答を見る
正解: D
質問 #16
CIRTのメンバーであるアンは、数百の仮想サーバーと数千のエンドポイントとユーザーで構成されるネットワークでインシデントレスポンス活動を行っている。ネットワークは毎秒1万件以上のログメッセージを生成する。この企業は、ウェブベースの大規模な暗号通貨新興企業に属しており、アンは、関連情報を経営幹部向けの消化しやすいレポートにまとめました。しかし、彼女はまだインシデントの原因となった侵入の証拠を収集する必要があります。次のうちどれが正しいか?
A. トラフィック・インターセプターのログ分析
B. ログ削減・可視化ツール C
回答を見る
正解: C
質問 #17
ある企業が、ある仕事を複数の人間が同時に遂行することを要求する。これはその一例である:
A. 任務の分離。
B. デュアルコントロール C
回答を見る
正解: A
質問 #18
セキュリティ部門は、組織のソーシャルメディア・プラットフォームのセキュリティ確保でマーケティング部門を支援している。主な懸念は2つある:最高マーケティング責任者(CMO)の電子メールがユーザー名として部門全体で使用されている パスワードが部門内で共有されている アナリストが推奨する最善の管理策はどれか。
A. 他の認証への依存を減らすために、すべてのユーザーにMFAを設定する。
B. 各メディアプラットフォームにどのOAuth設定が設定されているか、定期的にスケジュールされたレビューを行う。C
回答を見る
正解: A
質問 #19
ある医療関連企業は、データセンターの物理的およびコンピューティング能力が限界に達しましたが、コンピューティング需要は増加の一途をたどっています。インフラは完全に仮想化されており、機密性の高い医療情報や決済情報を処理するカスタムおよび商用のヘルスケア・アプリケーションを実行しています。仮想化とクラウドコンピューティングに関するヘルスケア標準に準拠しながら、コンピューティング需要を満たすために、同社が実施すべきことは次のうちどれでしょうか?
A. シングルテナンシークラウドにおけるハイブリッドIaaSソリューション
B. マルチエンシークラウドにおけるパスソリューション C
回答を見る
正解: B
質問 #20
ある企業では、世界的な大流行により、全社員がリモートワークを開始した。リモートワークに移行するため、同社はSaaSコラボレーションツールに移行した。人事部門はこれらのツールを使って機密情報を処理したいと考えていますが、データが以下のような事態に陥ることを懸念しています:文書を印刷することでメディアに流出する 個人メールアドレスに送信される システム管理者にアクセスされ閲覧される ファイルストレージサイトにアップロードされる 次のうち、この部門の懸念を軽減できるものはどれでしょうか?
A. データ損失検出、リバースプロキシ、EDR、PGP B
回答を見る
正解: A
質問 #21
ある会社が、ウェブ・サーバーがライバル会社に侵入されたのではないかと疑っている。セキュリティエンジニアがウェブサーバのログを調べたところ、以下のことがわかった:セキュリティエンジニアは開発者とともにコードを調べ、以下の行が実行されたときにログエントリが作成されることを突き止めた:会社が実施すべきセキュリティ管理として適切なものはどれか。
A. ディレクトリのアクセス許可を読み取り専用に制限する。
B. パス入力のXSS脆弱性を避けるために、サーバーサイド処理を使用する。C
回答を見る
正解: C
質問 #22
ある企業が、顧客向けの本番システムの大半をクラウドに移行しようとしている。IaaSがそのサービスモデルである。最高経営責任者は、利用可能な暗号化の種類を懸念しており、ソリューションが最高レベルのセキュリティを備えていることを求めています。クラウドセキュリティエンジニアは、実装段階で次のどの暗号化方式を選択すべきでしょうか?
A. インスタンスベース
B. ストレージベース C
回答を見る
正解: B
質問 #23
ADを使用しているある企業が、サービスをLDAPからセキュアLDAPに移行している。パイロット段階では、サービスがセキュアLDAPに正しく接続されません。ブロックは、トラブルシューティングセッションからの出力を除いたものです:セキュアLDAPが機能しない理由を説明する最も適切なものは次のうちどれですか?
A. クライアントはidaptをデフォルトでは信用していないかもしれません。
B. 安全なLDAPサービスが開始されていないため、接続ができない。C
E. 会社が間違ったポートを使っている。セキュアなLDAPにはポート389を使うべきである。
F. Secure LDAPはワイルドカード証明書をサポートしていない。G
回答を見る
正解: C
質問 #24
あるサイバーセキュリティアナリストが、電子メールフィルタリングシステムの改善にかけられる予算の上限を決めるために、次の表を作成した:次のうち、ビジネスの予算ニーズを満たすものはどれか。A.フィルタABC B.フィルタXYZ C.フィルタGHI D.フィルタTUV
あるサイバーセキュリティアナリストが、電子メールフィルタリングシステムの改善にかけられる予算の上限を決めるために、次の表を作成した:次のうち、ビジネスの予算ニーズを満たすものはどれか。A. フィルタABC B
回答を見る
正解: C
質問 #25
あるセキュリティ・エンジニアが、従業員が有線ネットワーク上の範囲内のIPアドレスを取得している問題をトラブルシューティングしている。エンジニアが別のPCを同じポートに接続すると、そのPCは正しい範囲のIPアドレスを取得しました。次に、エンジニアがその従業員のPCを無線ネットワークに接続したところ、そのPCはまだ適切な範囲のIPアドレスを取得していないことがわかりました。PCはすべてのソフトウェアとウイルス対策定義が最新で、IPアドレスはAPIPAアドレスではありません。次のうち、最も可能性が高いのはどれですか?
A. 会社がVLAN割り当てに802
B. DHCPサーバーが、有線インターフェース用のPCのMACアドレスを予約している。C
回答を見る
正解: B
質問 #26
あるセキュリティアナリストが、バッファオーバーフロー攻撃の可能性について調査している。次の出力がユーザーのワークステーションで見つかりました。graphic.linux_randomization.prg メモリセグメントの操作を緩和する技術はどれですか?A.NX ビット B.ASLR C.DEP D.HSM
あるセキュリティアナリストが、バッファオーバーフロー攻撃の可能性について調査している。次の出力がユーザーのワークステーションで見つかりました。graphic. inux_randomization
回答を見る
正解: B
質問 #27
ある脅威アナリストがHTTPログを調べていて、次のURLに気づきました。脅威アナリストが見ている攻撃タイプは次のどれですか。
A. SQLインジェクション
B. CSRF C
回答を見る
正解: BE
質問 #28
組織内のセキュリティチームと事業部門の間で期待値を設定する BEST はどれか。A.リスクアセスメント
B. 覚書 C
E. サービスレベル契約
回答を見る
正解: A
質問 #29
ある小規模企業では、運用コストを削減する必要がある。各ベンダーがソリューションを提案しているが、いずれも企業のウェブサイトやサービスの管理に重点を置いている。最高情報セキュリティ責任者(CISO)は、提案の中で利用可能なリソースはすべて専用でなければならないと主張していますが、プライベートクラウドを管理することは選択肢にありません。この会社にとって最適なソリューションはどれか。
A. コミュニティクラウドのサービスモデル
B. マルチテナント型SaaS C
回答を見る
正解: C
質問 #30
あるセキュリティアナリストが、ある組織でコンテナ化のコンセプトを研究しています。そのアナリストは、利用可能なリソースを過剰に消費する単一のアプリケーションのために、Dockerホスト上で潜在的なリソース枯渇シナリオを懸念しています。コンテナへのリソース割り当てを制限する機能を反映したLinuxのコアコンセプトBESTはどれですか?
A. ユニオン・ファイルシステム・オーバーレイ
B. Cgroups C
回答を見る
正解: C
質問 #31
ある脆弱性アナリストが、ある企業の社内開発ソフトウェアにゼロデイ脆弱性を発見した。現在の脆弱性管理システムにはこの脆弱性をチェックする機能がないため、エンジニアが脆弱性管理システムの構築を依頼された。これらの要件を満たすために最も適しているのはどれか。A.ARF B.ISACs C.Node.js D.OVAL
ある脆弱性アナリストが、ある企業の社内開発ソフトウェアにゼロデイ脆弱性を発見した。現在の脆弱性管理システムにはこの脆弱性をチェックする機能がないため、エンジニアが脆弱性管理システムの構築を依頼された。これらの要件を満たすために最も適しているのはどれか。A. ARF B
回答を見る
正解: B
質問 #32
ある会社のクレーム処理部門はモバイルワーカーを抱え、個人の電子メールアドレスから大量の電子メール送信を受けます。最近、ある従業員がクレームフォームとして承認されたメールを受け取ったが、そのメールを開くと、その従業員のノートパソコンに悪意のあるソフトウェアがインストールされた。
A. アプリケーションのホワイトリストを廃止し、電子メールクライアントのみをクレーム処理部門のノートパソコン用のホワイトリストに追加する。
B. 電子メールにアクセスする前に、すべてのノートPCにVPNへの接続を義務付ける。C
回答を見る
正解: C
質問 #33
ある企業が、マネージド検知・応答サービスを行うMSSPにアウトソーシングしている。MSSPは、ログアグリゲーターとしてネットワーク内にサーバーを設置することを要求し、MSSPアナリストへのリモートアクセスを許可している。クリティカルなデバイスはログアグリゲータにログを送信し、データはマルチテナントのクラウドにアーカイブされる前にローカルに12ヶ月間保存される。その後、データはログアグリゲートからMSSPデータセンターのパブリックIPアドレスに送信され、分析されます。あるセキュリティ・エンジニアは、MSSPのデータセンターのセキュリティに懸念を抱いています。
A. ログ集計サーバーがもたらすハードウェアの脆弱性
B. リモートアクセスVPNからのネットワークブリッジング C
回答を見る
正解: A
質問 #34
複数の第三者機関を利用してサービスを提供している大手銀行の最高情報責任者(CIO)は、第三者機関による顧客データの取り扱いとセキュリティに懸念を抱いている。このリスクを管理するために、次のうちどれを実施すべきでしょうか?
A. サプライヤーの重要性を評価し、契約更新に応じてランク付けを行う審査委員会を設置する。契約更新時に、設計と業務管理を契約に組み込み、監査権条項を盛り込む。専任のリスク管理チームにより、サプライヤーの契約更新後の評価を定期的に行う。
B. 第一線のリスクチーム、事業部門、ベンダーマネジメントメンバからなる チームを設置し、全サプライヤの設計セキュリティ管理のみを評価する。レビューの結果をデータベースに保存し、他のすべての事業部門とリスク チームが参照できるようにする。C
回答を見る
正解: D
質問 #35
ある組織が最近、顧客のクレジットカード情報の処理、送信、保管を開始した。そうして1週間も経たないうちに、その組織は大規模な情報漏洩に見舞われ、顧客の情報が流出した。このような情報を保護するためのガイダンスとして、最も適切なものはどれか。a.nist b.gdpr c.pci dss d.iso
ある組織が最近、顧客のクレジットカード情報の処理、送信、保管を開始した。そうして1週間も経たないうちに、その組織は大規模な情報漏洩に見舞われ、顧客の情報が流出した。このような情報を保護するためのガイダンスとして、最も適切なものはどれか。a. ist b
回答を見る
正解: C
質問 #36
ある会社のセキュリティ・エンジニアは、競合他社が新製品を市場に投入してきたため、最近の挫折を軽減するためのシステムを設計している。いくつかの製品には、エンジニアの会社が開発した独自の拡張機能が組み込まれている。ネットワークにはすでにSEIMとNIPSが含まれており、すべてのユーザーアクセスに2FAが必要である。関連するリスクを軽減するために、エンジニアがNEXTを検討すべきシステムはどれか。
A. DLP B
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: