すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

CompTIA CAS-003試験準備に合格する:CompTIA CAS-003学習教材、CompTIA CASP+認定資格|SPOTO

SPOTOの包括的な学習教材でCompTIA CAS-003試験の準備をエースしましょう!CASP+認定資格は国際的に認められており、高度なサイバーセキュリティの専門知識を証明するものです。CompTIA (The Computing Technology Industry Association)公認の試験対策コースでは、リスクマネジメント、エンタープライズセキュリティオペレーションとアーキテクチャ、リサーチとコラボレーション、エンタープライズセキュリティの統合などのトピックを徹底的にカバーします。SPOTOの学習教材で、これらの分野を詳しく学び、理解を深めてください。試験問題と解答を含むSPOTOの専門的なリソースにより、試験当日に優れた結果を出すための十分な準備ができます。あなたのCompTIA CASP+認定資格取得への道のりに合わせた、最高品質の試験準備資料と試験戦略を提供いたします。さっそくSPOTOを利用して準備を開始し、見事CAS-003試験に合格するということを確実にしましょう!
他のオンライン試験を受ける
質問 #1
ある会社は、すべての Web アプリケーションを SAML を使用した SSO 構成に移行している。一部の従業員は、アプリケーションにサインインするときに、ユーザ名とパスワードを入力した後、 ログイン画面でエラー・メッセージが表示され、アクセスが拒否されると報告している。新しい SSO 認証モデルに変換された別のシステムにアクセスすると、ログインを要求されることなく正常に認証できます。次のうち、最も可能性の高い問題はどれですか?
A. 従業員は、新しい SAML 認証を使用しない古いリンクを使用している。
B. 問題のアプリケーションの XACML が適切な形式でないか、古いスキーマを使用している可能性がある。
C. Web サービスのメソッドとプロパティには、ログインページを表示した後に要求を完了するために必要な WSDL がありません。
D. 脅威行為者は、認証情報を採取するために MITM 攻撃を実行している。
回答を見る
正解: B
質問 #2
あるペネトレーションテストマネージャーが、新しいプラットフォーム購入のための RFP に貢献している。そのマネージャは、以下の要件を提示している:ウェブベースのプロトコルを MITM できること 一般的な設定ミスやセキュリティホールを発見できること テストプラットフォームに含めるべきテストの種類はどれか。(2つ選んでください)
A. リバースエンジニアリングツール
B. HTTP傍受プロキシ
C. 脆弱性スキャナー
D. ファイル整合性モニター
E. パスワードクラッカー
F. ファザー
回答を見る
正解: AB
質問 #3
資産管理のライフサイクルの一環として、ある会社は、認定された機器廃棄ベンダーに、使用されなくなった会社の資産を適切にリサイクルし、廃棄してもらうことにしている。この会社のベンダーのデューデリジェンスの一環として、ベンダーから入手することが最も重要なものは次のうちどれでしょうか?
A. ベンダーの情報セキュリティ・ポリシーのコピー。
B. 業者が保有する最新の監査報告書および証明書の写し。
C. 企業システムに含まれるすべてのデータを対象とする、署名されたNDA。
D. 認証要件への準拠を証明するために使用される手順のコピー。
回答を見る
正解: C
質問 #4
ある企業の最高技術責任者(CTO)と最高情報セキュリティー責任者(CISO)が、現在進行中のキャパシティとリソース計画の問題を話し合うために会議を開いている。この企業は過去12ヶ月の間に急速な大成長を遂げ、技術部門のリソースは手薄になっている。企業の成長をサポートするために新しい会計サービスが必要だが、会計サービスの要件を満たす利用可能なコンピューティングリソースは、会計サービスをホスティングしている仮想プラットフォーム上にしかない。
A. キャパシティ・プランニングが不十分だと、ホストの利用が過剰になり、会社のウェブサイトのパフォーマンスが低下する可能性がある。
B. ウェブサイトのセキュリティ脆弱性が悪用されると、会計サービスが公開される可能性がある。
C. できるだけ多くのサービスをCSPに移管することで、リソースを解放することができる。
D. CTOには、必要なリソースを購入し、成長を管理するための予算がない。
回答を見る
正解: A
質問 #5
最近の買収により、セキュリティチームは、いくつかのレガシーアプリケーションをセキュア にする方法を見つけなければならない。アプリケーションのレビュー中に、以下の問題が文書化された:アプリケーションはミッションクリティカルである。アプリケーションは、現在開発スタッフがサポートしていないコード言語で書かれている。アプリケーションのセキュリティアップデートとパッチが提供されない。ユーザー名とパスワードが企業基準を満たしていない。アプリケーションに含まれるデータには、ボット
A. 会社のポリシーを更新し、アプリケーションの現状を反映させる。
B. パスワードの複雑さとユーザー名の要件を強制するグループポリシーを作成する。
C. ネットワークセグメンテーションを使用して、アプリケーションを分離し、アクセスを制御する。
D. パスワードとアカウントの基準を満たす仮想サーバーにアプリケーションを移動する。
回答を見る
正解: C
質問 #6
新しいセキュリティポリシーでは、すべての従業員が企業LAN内の内部リソースに接続する場合、すべての無線および有線の認証に証明書を使用する必要があります。新しいセキュリティポリシーに準拠するように構成されるべきは、次のうちどれですか。(2つ選びなさい)
A. SSO
B. 新しい事前共有鍵
C. 802
D. OAuth
E. プッシュ型認証
F. PKI
回答を見る
正解: D
質問 #7
あるセキュリティエンジニアが、企業のインターネットに面したDNSサーバーを保護するために実施されている管理を評価している。エンジニアは、セキュリティACLが存在するが、適切に使用されていないことに気づく。DNSサーバーは、どのような送信元に対しても応答すべきですが、権限を持つドメインに関する情報しか提供しません。さらに、DNS管理者は、DNSリクエストを行うことができない問題のあるIPアドレスをいくつか特定しました。以下のACLを考えます:セキュリティ管理者は次のうちどれをすべきでしょうか。
A.
B.
C.
D.
回答を見る
正解: A
質問 #8
あるフォレンジック・アナリストが、情報漏洩の発生を疑っている。セキュリティログは、会社のOSパッチシステムが侵害されている可能性があり、ゼロデイエクスプロイトとバックドアを含むパッチを提供していることを示しています。アナリストは、クライアントコンピュータとパッチサーバ間の通信のパケットキャプチャから実行可能ファイルを抽出します。 この疑いを確認するために、アナリストが使用すべきものは次のうちどれですか?
A. ファイルサイズ
B. デジタル署名
C. チェックサム
D. マルウェア対策ソフト
E. サンドボックス
回答を見る
正解: B
質問 #9
あるノートパソコンが、盗まれてから数日後に回収された。インシデントの可能な影響を判断するために、インシデント対応活動中に検証すべきはどれか。
A. フルディスク暗号化ステータス
B. TPM PCR値
C. ファイルシステムの完全性
D. UEFIの脆弱性の存在
回答を見る
正解: D
質問 #10
あるオンライン銀行が、銀行のウェブポータルのセキュリティアセスメントを実施するため、 コンサルタントと契約した。コンサルタントは、ログインページがメインページから HTTPS でリンクされているが、URLを HTTP に変更すると、ブラウザが自動的に HTTPS サイトにリダイレクトされることに気づいた。次のうち、コンサルタントが懸念しているのはどれですか?
A. HTTPS サイトへのリダイレクト中に、ログイン・ページにコードを注入するために XSS が使用される可能性がある。コンサルタントは、これを防ぐためにWAFを導入すべきである。
B. コンサルタントは、このサイトがさまざまな攻撃に対して脆弱な古いバージョンのSSL 3
C. HTTPトラフィックはネットワーク・スニッフィングに対して脆弱であり、攻撃者にユーザー名とパスワードを開示する可能性がある。コンサルタントは、ウェブ・サーバー上でHTTPを無効にすることを勧めるべきである。
D. MITM攻撃が成功すると、リダイレクトを傍受し、sslstripを使用してさらにHTTPSトラフィックを解読する可能性がある。ウェブサーバにHSTSを実装すれば、これを防ぐことができる。
回答を見る
正解: D
質問 #11
ある開発者が、レビューのためにセキュリティ管理者に以下の出力を電子メールで送りました:セキュリティ管理者がこの問題のさらなるセキュリティ評価を行うために使用する可能性のあるツールはどれですか?
A. ポートスキャナー
B. 脆弱性スキャナー
C. ファザー
D. HTTPインターセプター
回答を見る
正解: B
質問 #12
監査チームには、ネットワークの物理アドレスと論理アドレスが提供されただけで、アクセス認証情報は一切提供されなかった。監査チームは、セキュリティ評価中に最初のアクセスを得るために、次のどの方法を使用すべきか?(2つ選んでください)。
A. 卓上エクササイズ
B. ソーシャル・エンジニアリング
C. ランタイム・デバッグ
D. 偵察
E. コードレビュー
F. リモートアクセスツール
回答を見る
正解: D
質問 #13
あるエネルギー企業のインフラチームは、調達プロセスの終盤に差し掛かり、サービスを提供するベンダーのSaaSプラットフォームを選択した。法的交渉の一環として、以下のような多くの未解決のリスクがある: 1.エネルギー組織のセキュリティポリシーに沿ったデータ保持期間を確認する条項がある。 2.データはエネルギー組織の地理的位置の外でホストされ、管理される。システムにアクセスするユーザーの数は、以下の通りである。
A. そのソリューションはエネルギー組織のセキュリティポリシーに適合していないため、セキュリティ免除を策定する。
B. エネルギー組織内のソリューション所有者に、特定されたリスクと結果を受け入れることを要求する。
C. ベンダーに国内のプライバシー原則を受け入れ、保存期間を変更するよう求めることで、リスクを軽減する。
D. 調達プロセスを見直し、プロセスの終盤におけるリスクの発見に関連する教訓を決定する。
回答を見る
正解: B
質問 #14
あるセキュリティ管理者が、会社所有のモバイルデバイスを堅牢化するための対策を実施したいと考えている。会社のポリシーでは、以下の要件が規定されている:OSによるアクセス制御が必須であること。デバイスはモバイルキャリアのデータ転送のみを使用しなければならない。セキュリティ管理者が実施すべき管理は次のうちどれですか。(3つ選びなさい)
A. DLPを有効にする
B. SEAndroidを有効にする
C. EDRを有効にする
D. セキュアブートを有効にする
E. リモートワイプを有効にする
F. Bluetoothを無効にする
G. 802
H. ジオタグを無効にする
回答を見る
正解: D
質問 #15
あるプロダクトマネージャーは、従業員がソーシャルメディアを利用することで、会社の知的財産が意図せず共有されることを懸念しています。このリスクを軽減するのに最も効果的なのはどれか?
A. 仮想デスクトップ環境
B. ネットワークのセグメンテーション
C. ウェブアプリケーションファイアウォール
D. ウェブコンテンツフィルタ
回答を見る
正解: BF
質問 #16
多数の本番 Web アプリケーションに重大な脆弱性と設定ミスが発見された後、あるセキュリ ティマネージャが、より良い開発管理策を導入する必要性を認識しました。検証すべき管理策は、次のうちどれですか?(2つ選んでください)。
A. 入力検証ルーチンはサーバー側で実施されます。
B. オペレーティングシステムはヌルセッションを許可していません。
C. システム管理者は、アプリケーションセキュリティのトレーニングを受ける。
D. VPN接続は定義された期間後に終了する。
E. エラー処理ロジックが確実に失敗する。
F. OCSPコールは効果的に処理される。
回答を見る
正解: D
質問 #17
銀行の目的のひとつは、セキュリティ意識の文化を浸透させることである。(つ選べ)
A. ブルー・チーミング
B. フィッシング・シミュレーション
C. ランチ・アンド・ラーン
D. 無作為監査
E. 継続的モニタリング
F. 職務の分離
回答を見る
正解: BE
質問 #18
あるインシデント対応者が、フォレンジック目的で、稼働中のマシンから揮発性メモリを包括的にキャプチャしたいと考えている。そのマシンはLinux OSの非常に新しいリリースを実行している。このキャプチャを達成するための最も実行可能な方法は、次の技術的アプローチのどれでしょうか?
A. kフラグを付けてmemdumpユーティリティを実行する。
B. LiMEなどのローダブルカーネルモジュールキャプチャユーティリティを使用する。
C. dd on/dev/memを実行する。
D. FTK Imagerなどのスタンドアロンユーティリティを使用する。
回答を見る
正解: BC
質問 #19
ある組織の最高情報セキュリティ責任者(CISO)は、IDSベンダーが新しいルールをリリースする前に、カスタムIDSルールセットを迅速に開発したいと考えています。
A. IDSルールのサードパーティ製ソースを特定し、該当するIDSの設定を変更して、新しいルールセットを取り込む。
B. サイバーセキュリティ・アナリストに、オープンソースのインテリジェンス製品や脅威データベー スをレビューし、それらの情報源に基づいて新しい IDS ルールを生成するよう促す。
C. 最新のTCPおよびUDP関連のRFCを活用し、センサーとIDSを異常検知のための適切なヒューリスティックスで武装する。
D. 毎年開催されるハッキング大会を利用して、最新の攻撃や脅威を文書化し、それらの脅威に対抗するための IDS ルールを策定する。
回答を見る
正解: B
質問 #20
ある会社が、顧客向けWebポータルの侵入テストを実施するために、セキュリティエンジニアと契約した。 以下の活動のうち、最も適切なものはどれか?
A. サイトに対してプロトコルアナライザを使用し、データ入力がブラウザから再生できるかどうかを確認する。
B. 傍受プロキシを通してウェブサイトをスキャンし、コードインジェクションの箇所を特定する。
C. ポートスキャナーでサイトをスキャンし、ウェブサーバーで実行されている脆弱なサービスを特定する。
D. ネットワーク列挙ツールを使用して、サーバーがロードバランサーの後ろで動作しているかどうかを確認する。
回答を見る
正解: C
質問 #21
ある企業は現在、レガシー ERP システムと、グローバル PaaS プロバイダーを利用したクラウドベースの ERP ツールとの間でデータを移行するために、顧客と協力している。この業務の一環として、この組織は、規制要件へのコンプライアンスを確保するために、クライアントデータの重複排除とサニタイズを行っている。クライアントデータをサニタイズする必要がある最も可能性の高い理由は、次のうちどれですか?(2つ選んでください)。
A. データ集計
B. データ主権
C. データの分離
D. データ量
E. データ分析
F. データ精度
回答を見る
正解: B
質問 #22
セキュリティ管理者であるAnnは、PIIを含むネットワークの境界に設置された新しいファイアウォールの評価を行っている。Annはファイアウォールの背後にあるサーバ(10.0.1.19)で以下のコマンドを実行する:ファイアウォールの外側にある自分のワークステーション(192.168.2.45)から、アンはサーバーに対してポートスキャンを実行し、ポートスキャンの以下のパケットキャプチャを記録する:ファイアウォールの外からサーバーへの接続は、これらのコマンドを実行する前は期待通りに動作していた。これらのコマンドを実行する前は、ファイアウォールの外からサーバーへの接続は期待通りに動作していました。
A. サーバー宛てのパケットをすべて正しくドロップしている。
B. サーバーへのトラフィックをブロックしたりフィルタリングしたりはしていない。
C. Iptablesを再起動する必要がある。
D. ファイアウォールの IDS 機能は現在無効になっています。
回答を見る
正解: D
質問 #23
ある配備管理者が、ソフトウェア開発グループと協力して、社内で開発した ERP ツールの新バージョンのセキュリ ティを評価している。
A. IDE環境での静的コード解析
B. UAT環境の侵入テスト
C. 本番環境の脆弱性スキャン
D. 本番環境の侵入テスト
E. 単体テスト前のピアレビュー
回答を見る
正解: C
質問 #24
あるセキュリティー・アナリストが、ある企業についてオンライン・リサーチを行っていたところ、その企業が公開していない投資家向けウェブサイトに詳細な財務情報が掲載されているのを発見した。アナリストはこの情報を最高財務責任者(CFO)と共有し、CFOはその情報が最近取締役会で議論されたものであり、正確であることを確認する。詳細情報の多くは、取締役会の書記役が議事録に書き写すために書き写したものである。
A. リモートワイプ
B. FDE
C. ジオロケーション
D. eFuse
E. VPN
回答を見る
正解: BFG
質問 #25
あるセキュリティ・アプライアンス・ベンダーが、一連のウェブベース・アプリケーションの防御ソリューションを要求する RFP を検討している。この RFP は金融機関からのもので、性能要件が非常に厳しい。ベンダーは自社のソリューションで対応したいと考えています。回答する前に、次の要因のうち、ベンダーの資格に悪影響を及ぼす可能性が最も高いものはどれですか?
A. このソリューションは、独自のデータモデルを使用した脅威情報共有機能を採用している。
B. RFPは、ベンダーの国以外に本社を置く金融機関によって発行される。
C. ベンダーの提案するソリューション全体が、RFP の TCO パラメータを下回る。
D. ベンダーの提案するソリューションが、RFP に示された KPP を下回っている。
回答を見る
正解: A
質問 #26
スプリントの間、開発者は、変更の期待される結果がセキュリティに影響するかどうかを徹底的に評価することを確実にする責任がある。影響があれば、必ずチームリーダに報告しなければならない。ソースコードに変更を加える前に、チームリー ドに必要な情報を提供するために必ず実行しなければならないのは、次のうちどれ か?
A. リスク評価
B. 回帰テスト
C. ユーザーストーリーの開発
D. データの抽象化
E. 事業インパクト評価
回答を見る
正解: C
質問 #27
ある従業員が解雇された後、会社は、その従業員が解雇時に破棄されたはずの電子メールと添付コンテンツにまだアクセスしていたことを発見した。その従業員のノートパソコンと携帯電話は没収され、アカウントは速やかに無効化された。フォレンジック調査によると、同社のDLPは有効であり、問題のコンテンツは社外に送信されたり、リムーバブル・メディアに転送されたりしていなかった。個人所有のデバイスが会社のシステムや情報にアクセスすることは許可されていません。ウィ
A. モバイルデバイスにアプリケーションのホワイトリストをインストールする。
B. モバイルデバイスでのアプリケーションのサイドローディングを禁止する。
C. 会社のシステムへのアクセスを、予定された時間帯と地理的な場所に制限する。
D. 個人所有のコンピュータへのモバイルデバイスのバックアップを防止する。
E. リスクの高い従業員に対して、抜き打ちで内部脅威テストを実施する。
回答を見る
正解: A
質問 #28
法的機関より、ある企業に対し、ネットワークがこの2年間で2回目の侵害を受けたと通告があった。 調査の結果、攻撃者は両方の攻撃において、異なるシステム上で同じ脆弱性を利用できたことが判明した。セキュリティチームが2回目の攻撃から守るために過去の情報を利用できたとしたら、次のうちどれでしょうか?
A. 主なリスク指標
B. 教訓
C. 回復ポイントの目標
D. 卓上エクササイズ
回答を見る
正解: A
質問 #29
SaaSベースの電子メールサービスプロバイダは、正規の顧客から、彼らのIPネットブロックがブラックリストに登録され、電子メールを送信できないという報告をしばしば受けます。正規顧客への影響を最小限に抑えるために、SaaSプロバイダが実行すべきアクションはどれか。
A. サービスプロバイダーは第三者のブラックリストエントリーを管理できないことを顧客に知らせる。
B. ブラックリストに登録されている顧客アカウントを削除する。
C. 法務部門と協力し、合法的なトラフィックに影響を及ぼしているため、ネットブロックが削除されない場合は、ブラックリスト運営者に対して法的措置を取ると脅す。
D. 広範なエントリをより詳細なエントリに置き換え、不正なエントリを迅速に削除できるように、ブラックリストオペレータとの関係を確立する。
回答を見る
正解: D
質問 #30
あるセキュリティコンサルタントは、ある会社のパスワードとアカウントポリシーの監査を依頼された。その会社は、以下の管理を実施している: パスワードの最小長さ:16 パスワードの最大年齢:0 パスワードの最小年齢:0 パスワードの複雑さ:無効 パスワードをプレーンテキストで保存する:無効 試行失敗によるロックアウト:無効:3 ロックアウトのタイムアウト:1 時間 パスワードデータベースは塩漬けハッシュとPBKDF2を使用している。次のうち、最も短時間で最も多くのプレーンテキストのパスワードが得られる可能性が高いのはどれか?
A. オフラインハイブリッド辞書攻撃
B. オフラインブルートフォース攻撃
C. オンライン・ハイブリッド辞書パスワード・スプレー攻撃
D. レインボーテーブル攻撃
E. オンラインブルートフォース攻撃
F. パスザハッシュ攻撃
回答を見る
正解: CF
質問 #31
ある企業のホスト VM 環境に、新しいデータベース・アプリケーションが追加された。ファイアウォールのACLは、データベース・ユーザーがリモートでサーバーにアクセスできるように変更されました。その後、同社のクラウド・セキュリティ・ブローカーが、オンサイトのデータベース・ユーザーからの異常を特定しました。さらに調査を進めると、セキュリティチームは、そのユーザがハイパーバイザーに直接アクセスし、他の機密データにアクセスできるコードをVM上で実行していることに気づいた。 この VM 内での今後の攻撃を軽減するために、セキュリティチームが行うべきことは次のうちどれでしょうか。
A. 適切なパッチをインストールする。
B. 境界NGFWを設置する。
C. VM分離を設定する。
D. データベースVMをデプロビジョンする。
E. ユーザーのアクセス権を変更する。
F. すべてのエンドポイントのウイルス定義を更新する。
回答を見る
正解: A
質問 #32
ある侵入テスト者がリモートシステムにアクセスしようとしている。テスト者は安全なログインページを見ることができ、1つのユーザアカウントと電子メールアドレスを知っているが、まだパスワードを発見していない。既知のアカウントのパスワードを入手する最も簡単な方法はどれか。
A. 中間者
B. リバースエンジニアリング
C. ソーシャル・エンジニアリング
D. ハッシュクラッキング
回答を見る
正解: A
質問 #33
ある組織は、802.11で動作するIoTロック、センサー、カメラを、従来の入退室管理システムの代わりに導入している。これらのデバイスは、ドアやゲートの施錠・解錠を含む物理的なアクセス変更をトリガーすることができる。残念ながら、このデバイスには既知の脆弱性があり、ベンダーはまだファームウェアのアップデートを提供していません。このリスクを軽減する最善の方法はどれか?
A. IoTデバイスを物理スイッチに直接配線し、排他的VLANに配置する。
B. 送信される解錠制御メッセージにすべてデジタル署名を付けることをセンサーに義務付ける。
C. デバイスをWPA2とEAP-TLS用に設定された隔離されたワイヤレスネットワークに関連付けます。
D. メッセージの注入と試みを検出するために、帯域外の監視ソリューションを実装する。
回答を見る
正解: D
質問 #34
ある金融コンサルティング会社は最近、ルートキット経由でインストールされたマルウェアに関連したいくつかの被害インシデントから回復しました。 インシデント後の分析が進行中であり、インシデント対応者とシステム管理者は再発のリスクを低減するための戦略の決定に取り組んでいます。次の技術オプションのうち、最も予防効果が高いものはどれか。
A. GPOの更新と展開
B. 測定されたブートの設定と使用
C. パスワードの複雑さの要件を強化する
D. ウイルス対策ソフトウェアと定義ファイルを更新する
回答を見る
正解: D
質問 #35
ある金融機関の情報セキュリティ担当者は、リスク管理担当者と協力して、すべてのセキュリ ティ対策が実施された後に金融機関に残存するリスクをどう処理するかを決定している。この金融機関のリスク許容度が非常に低いことを考慮すると、次の戦略のうちどれがベストでしょうか?
A. リスクを移転する。
B. リスクを回避するC
D. リスクを受け入れる。
回答を見る
正解: AE
質問 #36
ある企業が最近、新しいクラウド・ストレージ・ソリューションを導入し、必要な同期クライアントを社内の全デバイスにインストールした。数カ月後、機密データの漏洩が発覚した。根本原因の分析によると、このデータ漏洩は個人のモバイルデバイスの紛失が原因であった。同様の情報漏えいのリスクを低減するために、組織が実施できる管理策は次のうちどれでしょうか?
A. バイオメトリクス認証
B. クラウドストレージの暗号化
C. アプリケーションのコンテナ化
D. ハードウェア改ざん防止
回答を見る
正解: BF
質問 #37
ある Web 開発者が、レガシー Web アプリケーションに HTML5 最適化を実装した。この Web 開発者が行った修正の 1 つは、次のようなクライアント側の最適化である。
A. SessionStorage を使用し、許可されたクッキーがセッション終了後に失効するようにする必要があります。
B. クッキーは "セキュア "と "HttpOnly "としてマークされるべきです。
C. クッキーは関連するドメイン/パスにスコープされるべきである。
D. クライアントサイドのクッキーは、サーバーサイドのメカニズムに置き換えるべきである。
回答を見る
正解: C
質問 #38
会社の重役であるアンは、最近、競合他社が高度で資金力のある手段を使って企業機密を入手しようとする動きが活発化しており、その標的となっている。アンは出張中のホテルの部屋で、ノートパソコンを無人で物理的に安全でない場所に放置することが多い。セキュリティエンジニアは、ユーザートレーニングの必要性を最小限に抑える、アンのための実用的なソリューションを見つけなければなりません。このシナリオで最良の解決策はどれか。
A. フルディスク暗号化
B. バイオメトリクス認証
C. eFuseベースのソリューション
D. 二要素認証
回答を見る
正解: B
質問 #39
会社のリーダーシップは、従業員がサイバー攻撃を受ける件数が増加していると考えているが、指標はこれを示していない。現在、同社はKRIとして「フィッシング攻撃の成功数」を使用しているが、増加を示していない。最高情報セキュリティ責任者(CISO)が報告書に含めるべき追加情報は、次のうちどれですか?
A. フィッシングメールと非フィッシングメールの比率
B. 従業員一人当たりのフィッシング攻撃数
C. 失敗したフィッシング攻撃の数
D. フィッシング攻撃の成功率
回答を見る
正解: D
質問 #40
ある企業は、倉庫内で市販のタブレット数台で動作するアプリケーションを使用しており、倉庫内でのみアクセスできる。サポート部門は、より良いサポートを提供し、スペアを確実に手元に置くために、タブレットの選択を3つのモデルに限定することを望んでいる。利用者の多くは個人的なメディアアイテムを保存しているため、部署を離れた後もタブレットを保管していることが多い。これらの要件を満たすために、セキュリティエンジニアが推奨すべきは次のうちどれでしょうか。
A. ジオフェンシングによるCOPE
B. コンテナ化によるBYOD
C. リモートワイプ付きMDM
D. CYODとVPN
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.