すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

最新CompTIA CAS-004模擬試験と試験問題集2024、CompTIA CASP+認定資格|SPOTO

弊社の2024年度版最新模擬試験と試験問題集でCompTIA CASP+認定試験の成功への準備をしましょう。弊社の包括的なリソースはリスクマネジメント、エンタープライズセキュリティオペレーションとアーキテクチャ、リサーチとコラボレーション、エンタープライズセキュリティの統合を含むCAS-004試験のトピックを徹底的にカバーしています。弊社の無料サンプルにアクセスして、あなたの知識と準備態勢を評価してください。弊社の試験問題集を利用すれば、主要な概念について詳しい解説と理解を得ることができます。模擬試験やオンライン試験問題で実際の試験状況をシミュレートし、自信を深めてください。SPOTOを利用すれば、最高品質の試験資料と専門家の指導で、君はCASP+認定試験に合格することができます。
他のオンライン試験を受ける
質問 #1
ある組織が、パスポート番号のような機密性の高い個人情報や ID 情報を扱う新しい SaaS CRM システムのセキュリティ態勢を評価している。SaaS CRM システムは、組織の現在のセキュリティ基準を満たしていない。アセスメントでは、以下のことが明らかになった: * 1- システムの本番稼動が1日遅れるごとに、1日あたり2万ドルの収益損失が発生する。 * 2- 固有リスクは高い。 * 3- 残留リスクは低い。 * 4- ソリューションのロールアウトには段階的な展開がある。
A. リスクが高すぎて受け入れられないので、安全保障の免除を申請する。
B. クラウドサービスを利用しているため、リスクを SaaS CRM ベンダーに転嫁する。
C. リスクを管理するための代償的なコントロールが実施されているので、リスクを受け入れる。
D. SaaS CRM プロバイダーとの責任共有モデルを受け入れることで、リスクを回避する。
回答を見る
正解: D
質問 #2
あるエネルギー会社は、過去四半期に使用された天然ガスの平均圧力を報告する必要があります。PLCは、必要なレポートを作成するヒストリアンサーバにデータを送信します。次のヒストリアンサーバの場所のうち、IT環境で必要なレポートを取得できるのはどれですか。
A. 環境では、IT環境から環境へVPNを使用する。
B. 環境において、ITトラフィックを環境に入れる。
C. IT 環境では,PLC が環境から IT 環境にデータを送信できるようにする。
D. IT環境とIT環境の間にスクリーンされたサブネットを使用する。
回答を見る
正解: D
質問 #3
あるセキュリティアナリストが、最近発生したデータ消失事件の原因を特定しようとしている。そのアナリストは、データ損失が発生した時点のネットワーク上の全資産を特定するために、その時 間を取り巻くすべての情報をレビューした。アナリストは、ソースを見つけるための鍵がアプリケーションに難読化されていると疑っています。次のうち、分析者が次に使用すべきツールはどれですか。
A. ソフトウェア・デコンプラー
B. ネットワーク監視員
C. ログ削減・分析ツール
D. 静的コード解析
回答を見る
正解: B
質問 #4
あるセキュリティアーキテクトが、以下のような企業ファイアウォールのアーキテクチャと構成案を検討している:どちらのファイアウォールもステートフルで、レイヤー7のフィルタリングとルーティングを提供する。企業には以下の要件がある:Webサーバーは、企業ネットワークからHTTP/S経由ですべての更新を受信すること。ウェブサーバーはインターネットとの通信を開始してはならない。ウェブサーバーは、事前に承認された企業データベースサーバーにのみ接続する。従業員のコンピューティングデバイスは、HTTP/S経由でのみウェブサービスに接続する。
A. Firewall_Aに以下を追加する: 15 PERMIT FROM 10
B. Firewall_Aに以下を追加する: 15 PERMIT FROM 192
C. Firewall_A に以下を追加する: 15 PERMIT FROM 10
D. Firewall_Bに以下を追加する: 15 PERMIT FROM 0
E. Firewall_Bに以下を追加します。 15 PERMIT FROM 10
F. Firewall_Bに以下を追加する: 15 PERMIT FROM 192
回答を見る
正解: A
質問 #5
あるセキュリティアーキテクトは、高度に分散したリモートワーカーを抱える組織に CASB ソリューションを実装する必要がある。実装の要件の 1 つに、SaaS アプリケーションを検出し、未承認またはリスクがあると識別されたアプリケーションへのアクセスをブロックする機能が含まれています。この目的を達成するのに最適なものは、次のうちどれでしょうか?
A. DLPおよび暗号化ポリシーを実施するために、ローカルのWebトラフィックを監視するエンドポイントエージェントを導入する。
B. DI-Pと暗号化ポリシーを実施するために、すべてのユーザーのWebトラフィックをプロキシするクラウドインフラストラクチャを実装する。
C. すべてのユーザーのウェブトラフィックをプロキシし、一元化されたポリシーに従ってアクセスを制御するクラウドインフラストラクチャを導入する。
D. ローカルのWebトラフィックを監視し、集中型ポリシーに従ってアクセスを制御するエンドポイントエージェントを導入する。
回答を見る
正解: C
質問 #6
デジタル・トランスフォーメーションを進めているある企業は、CSPの回復力を見直しており、CSPのインシデント発生時にSLA要件を満たすことを懸念しています。トランスフォーメーションを進めるには、次のうちどれがベストでしょうか?
A. バックアップとしてのオンプレミス・ソリューション
B. ラウンドロビン構成のロードバランサー
C. マルチクラウド・プロバイダー・ソリューション
D. 同一テナント内でのアクティブ・アクティブ・ソリューション
回答を見る
正解: B
質問 #7
ある企業が新しいビデオカードを発売した。供給が限られ、需要が高いため、攻撃者は自動化されたシステムを使用して、同社のウェブストアを通じてデバイスを購入し、二次市場で転売している。同社の顧客は不満を募らせている。あるセキュリティエンジニアは、自動システムで購入されるビデオカードの数を減らすために、ウェブストアにCAPTCHAシステムを導入することを提案します。次のうち、リスクのレベルを表すものはどれか?
A. 固有
B. 低い
C. 軽減
D. 残留。
E. 移籍
回答を見る
正解: C
質問 #8
ある小規模な地方銀行の最高情報セキュリティ責任者(CISO)は、コアバンキングアプリケーションの第三者侵入テストを毎年実施しなければならないというコンプライアンス要件を持っています。次のサービスのうち、最も少ないリソース使用量でコンプライアンス要件を満たすのはどれでしょうか?
A. ブラックボックステスト
B. グレーボックステスト
C. レッドチーム狩り
D. ホワイトボックステスト
E. 青学演習
回答を見る
正解: A
質問 #9
ある企業が、保管コストを削減するために、顧客の個人情報を含む過去のバックアップをクラウドサービスプロバイダーに送信することを検討しています。この決定を下す前に最も重要な考慮事項は次のうちどれですか?
A. 可用性
B. データ主権
C. 地理
D. ベンダーロックイン
回答を見る
正解: D
質問 #10
ある会社の財務部門が、システム上の暗号化されていないファイルにデータをエクスポートする新しい決済システムを導入した。同社は、適切な担当者のみにアクセスを許可するよう、ファイルに対する管理を実施した。このような状況で、財務部が使用したリスク技法はどれか。
A. 受け入れる
B. 避ける
C. 譲渡
D. 軽減する
回答を見る
正解: E
質問 #11
ある企業が、会社所有の携帯電話からモバイル・デバイスのBYOD戦略への移行を進めている。パイロット・プログラムは、経営陣から開始し、段階的に他の従業員にも展開する予定です。この会社の最高財務責任者は、年に何度も携帯電話を紛失します。紛失したデバイスのデータを最も安全に保護できるのは次のうちどれでしょうか?
A. 会社のデータにアクセスするために、VPNをアクティブにすることを要求する。
B. その人のリスクに応じて異なるプロフィールを設定する。
C. リモートでデバイスをワイプする。
D. 会社のアプリケーションへのアクセスに MFA を要求する。
回答を見る
正解: C
質問 #12
あるセキュリティー・アナリストが、ハッカーがある鍵を発見し、それが公開ウェブサイトで公開されていることを知る。セキュリティ・アナリストは、そのウェブサイトの鍵を使ってデータを復号化することに成功した。被害を受けたデータを保護するために、セキュリティアナリストが推奨すべきはどれか。
A. キー回転
B. 鍵の失効
C. キーエスクロー
D. ゼロ化
E. 暗号の難読化
回答を見る
正解: A
質問 #13
サイバーセキュリティのアナリストが、潜在的なインシデントが発生していることを示すチケットを受け取った。お問い合わせ」フォームを含むウェブサイトから生成されたログファイルが大量にある。アナリストは、ウェブサイトのトラフィックの増加が最近のマーケティングキャンペーンによるものなのか、それとも潜在的なインシデントなのかを判断しなければなりません。次のうち、分析者を最も支援するものはどれか。
A. お問い合わせ''フォームに適切な入力バリデーションが設定されていることを確認する。
B. 公開ウェブサイトの前にWAFを配置する。
C. インバウンドネットワークIPSベンダーからの新しいルールのチェック
D. ウェブサイトのログファイルをログ削減・分析ツールにかける。
回答を見る
正解: B
質問 #14
CSPが複数のデータ・ストレージに暗号化を追加できる技術は、次のうちどれですか?
A. 対称暗号化
B. 同形暗号
C. データの分散
D. ビット分割
回答を見る
正解: D
質問 #15
あるセキュリティ・エンジニアが、最近発生したデータ漏えい事件後の記録を見直している:?ハッカーが偵察を行い、会社のインターネットに面したウェブアプリケーション資産の足跡を作成した。?サードパーティのホラリーの脆弱性がハッカーに悪用され、ローカルアカウントが侵害された。?ハッカーは、そのアカウントの過剰な特権を利用してデータストアにアクセスし、発見されることなくデータを流出させた。次のうちどれですか?
A. 動的解析
B. 安全なウェブゲートウェイ
C. ソフトウェア構成分析
D. ユーザー行動分析
E. ウェブアプリケーションファイアウォール
回答を見る
正解: C
質問 #16
組織は、以下の内容を含む契約文書を要求する。契約内容の概要 ?目標と目的 ?各当事者のパフォーマンス指標全当事者による契約管理方法のレビュー 次のうち、このタイプの契約文書を最もよく表しているのはどれか?
A. SLA
B. BAA
C. NDA
D. ISA
回答を見る
正解: A
質問 #17
ある会社の従業員は、海外出張中に会社のシステムにアクセスすることが許可されていません。会社の電子メールシステムは、地理的な場所に基づいてログインをブロックするように構成されていますが、一部の従業員は、彼らの携帯電話は、電子メールが旅行中も同期していると報告しています。次の説明のうち、最も可能性が高いものはどれですか?(2つ選んでください)
A. 時代遅れのエスカレーション攻撃
B. 特権昇格攻撃
C. モバイルデバイス上のVPN
D. 制限のない電子メール管理者アカウント
E. UDPプロトコルの主な使用
F. モバイル機器のGPSを無効にする
回答を見る
正解: C
質問 #18
情報漏えいの可能性が報告された直後、組織のインシデント対応手順の一環として、セキュリティエンジニアが問題のサーバーのフォレンジックイメージを作成します。このイメージの完全性を確保するために行わなければならないことはどれですか?
A. 画像を変更できないようにパスワードで保護する必要があります。
B. 画像のハッシュ値を計算しなければならない。
C. イメージの入ったディスクは、必ず座れる容器に入れなければならない。
D. 画像の複製を保持しなければならない。
回答を見る
正解: D
質問 #19
あるソフトウェア開発会社の管理者は、会社のアプリケーションの完全性を電子署名で保護したいと考えている。開発者は、すべてのアプリケーションで署名プロセスが失敗し続けていると報告している。しかし、署名に使用された同じ鍵ペアは、ウェブサイトでは正常に動作し、有効であり、信頼できる CA から発行されています。署名が失敗する原因として、最も可能性が高いのはどれか。
A. NTP サーバが開発者に正しく設定されていない。
B. CA はその証明書を CRL_ に含めている。
C. 証明書の鍵の使用方法が間違っている。
D. 各アプリケーションに、証明書の SAN またはワイルドカードのエントリがない。
回答を見る
正解: D
質問 #20
最近発生した情報漏えいは、クラウドベースの生産性向上スイートを使用する従業員の企業アカウントへの不正アクセスに起因するものでした。攻撃者は、機密情報を収集するためにサードパーティのOAuthアプリケーションに付与された過剰な権限を悪用しました。次のうち、不適切なアクセスやアクセス許可の問題を軽減する最善のものはどれですか?
A. SIEM
B. CASB
C. WAF
D. SOAR
回答を見る
正解: C
質問 #21
最高情報責任者(CIO)は、組織全体にエンタープライズモビリティを導入したいと考えている。目標は、従業員が会社のリソースにアクセスできるようにすることです。しかし、CIOは構成設定の強制、データの管理、会社所有のデバイスと個人所有のデバイスの両方を管理する機能を求めています。この目標を達成するために、CIOが導入すべきは次のうちどれでしょうか。
A. BYOO
B. CYOD
C. COPE
D. MDM
回答を見る
正解: D
質問 #22
あるセキュリティアナリストが、Android デバイスの MAC ポリシーを検証している。このポリシーは、クリティカルでないアプリケーションが特定のリソースにアクセスできないようにするためのものである。dmesgを確認すると、アナリストは以下のようなエントリが多数あることに気づく:拒否メッセージが表示されているにもかかわらず、このアクションは許可されています。
A. 気になるオブジェクトをデフォルトコンテキストに追加する。
B. デバイスを強制に設定する
C. irc 用に個別のドメインファイルとコンテキストファイルを作成する。
D. ポリシーを再構築し、再インストールしてテストする。
回答を見る
正解: D
質問 #23
ある企業が、コードを本番環境に移行する際の変更管理活動をレビューするための監査を受けている。監査の結果、以下のことが判明した:?一部の開発者はコードを本番環境に直接公開できる。?静的コードレビューが適切に行われている。?脆弱性スキャンは、ポリシーに従って定期的に行われている。次のうち、監査報告書内で推奨事項として指摘すべきものはどれか。
A. 短いメンテナンスウィンドウを導入する。
B. 定期的なアカウントレビューを実施する。
C. ジョブローテーションを実施する。
D. 職務の分離を改善する。
回答を見る
正解: B
質問 #24
リスク戦略の一環として、ある企業はサイバーセキュリティ事故に対する保険への加入を検討している。このようなリスク対応について、最も適切なものはどれか。
A. リスク拒否
B. リスクの軽減
C. リスク移転
D. リスク回避
回答を見る
正解: C
質問 #25
ある組織が災害復旧と事業継続の計画を立てている。指示 以下のシナリオと指示を確認してください。関連する各所見を、影響を受けるホストに一致させます。シナリオ3を適切なホストに関連付けた後、ホストをクリックして、その所見に対する適切な是正処置を選択します。各所見は複数回使用できます。シミュレーションの初期状態に戻したい場合は、Reset Allボタンをクリックしてください。
A. マスタード
B. マスターしていない
回答を見る
正解: C
質問 #26
あるセキュリティエンジニアが、ある組織の現在のソフトウェア開発手法を監査していたところ、複数のオープンソースライブラリがその組織のソフトウェアに統合されていることを発見した。この組織は現在、開発するソフトウェアに対して SAST と DAST を実施しています。オープンソースライブラリのセキュリティを確保するために、この組織が SDLC に組み込むべきものはどれか?
A. オープンソースライブラリに対して追加のSAST/DASTを行う。
B. SDLC セキュリティガイドラインを実施する。
C. ライブラリのバージョンを追跡し、関連する脆弱性についてCVEウェブサイトを監視する。
D. オープンソースライブラリの単体テストを行う。
回答を見る
正解: C
質問 #27
ランサムウェアが大手金融機関の人事ファイル共有全体を暗号化した。セキュリティ・オペレーション担当者は、手遅れになるまでこの活動に気づかなかった。復旧には約4時間かかり、最後のバックアップは48時間前に行われた。管理チームは、このデータ分類の災害復旧イベントのRPOは24時間であることを示している。RPO要件に基づき、管理チームが行うべき推奨事項は次のうちどれですか?
A. 現在のバックアップスケジュールをそのままにし、身代金を支払ってデータを復号化する。
B. 現在のバックアップスケジュールをそのままにして、人事ファイル共有を読み取り専用にする。
C. バックアップの頻度を増やし、IOCのSIEMアラートを作成する。
D. バックアップの頻度を減らし、身代金を支払ってデータを復号化する。
回答を見る
正解: AE
質問 #28
ある組織が新しいオンライン・デジタル・バンクを展開することになり、可用性とパフォーマンスを確保する必要が出てきた。クラウドベースのアーキテクチャは、PaaSとSaaSソリューションを使用して展開され、以下の点を考慮して設計されています: - インフラとウェブ・アプリケーションに対するDoS攻撃からの保護。 - 可用性の高い分散DNSを実装。 - 静的コンテンツはCDNにキャッシュされる。 - WAFをインラインで導入し、ブロックモードにしている。 - 複数のパブリッククラウドを
A. パブリッククラウドプロバイダーは、顧客のインバウンドトラフィックにQoSを適用しています。
B. API ゲートウェイのエンドポイントが直接狙われている。
C. このサイトはブルートフォース・クレデンシャル攻撃を経験している。
D. DDoS攻撃はCDNを標的としています。
回答を見る
正解: C
質問 #29
最近のデータ流出事件で、ある企業がストレージ環境に顧客データを含む多数のファイルを保有していることが明らかになった。これらのファイルは従業員ごとに個別化されており、さまざまな顧客の注文、問い合わせ、問題の追跡に使用されている。ファイルは暗号化されておらず、誰でもアクセスできる。経営陣は、既存のプロセスを中断することなく、これらの問題に対処したいと考えています。セキュリティ・アーキテクトは、次のうちどれを推奨すべきでしょうか?
A. 顧客データが含まれるファイルを特定し、削除するDLPプログラム
B. 追跡が必要なプロセスを特定するためのERPプログラム
C. セキュリティベースラインに設定されていないシステムをレポートする CMDB
D. データを統合し、プロセスと必要性に基づいてアクセスを提供するCRMアプリケーション
回答を見る
正解: C
質問 #30
あるシステム管理者が、組織内の一連の情報システムに対して脆弱性スキャンを実行する準備をしている。システム管理者は、対象となるシステムから、特に構成設定に関する正確な情報が得られるようにしたいと考えています。次のスキャンタイプのうち、システム管理者に最も正確な情報を提供するものはどれか。
A. パッシブな認証スキャン
B. パッシブな非認証スキャン
C. アクティブな非認証スキャン
D. アクティブで信頼できるスキャン
回答を見る
正解: A
質問 #31
ある医療関連企業は、データセンターの物理的およびコンピューティング能力が限界に達しましたが、コンピューティング需要は増加の一途をたどっています。インフラは完全に仮想化されており、機密性の高い医療情報や決済情報を処理するカスタムおよび商用のヘルスケア・アプリケーションを実行しています。仮想化とクラウドコンピューティングに関するヘルスケア標準に準拠しながら、コンピューティング需要を満たすために、同社が実施すべきことは次のうちどれでしょうか?
A. シングルテナンシークラウドにおけるハイブリッドIaaSソリューション
B. マルチエンジェンシークラウドにおけるパスソリューション
C. コミュニティ・クラウドのSaaSソリューション
D. シングルテナンシークラウドのプライベートSaaSソリューション。
回答を見る
正解: B
質問 #32
最高情報責任者(CIO)は、形式的なパートナーシップを確立する前に、両組織間のデータ転送を扱う相互取り決めの目的を概説したノンバンディング契約を第三者と締結したいと考えています。次のうち、どれを使用する可能性が最も高いですか?
A. 覚書
B. オラ
C. NDA
D. SLA
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.