Wondershare EdrawMind
マインドマップギャラリー CISSP 学習ノート - ドメイン 6 (セキュリティ評価とテスト)
- 24
CISSP 学習ノート - ドメイン 6 (セキュリティ評価とテスト)
これは、CISSP 学習ノート - ドメイン 6 (セキュリティ評価とテスト) に関するマインド マップです。主な内容は次のとおりです。復習の質問と知識ポイント。
2024-04-06 10:04:44 に編集されました
- おすすめ
- アウトライン
CISSP 学習ノート - ドメイン 6 (セキュリティ評価とテスト)
知識のポイント
6.1 評価、テスト、監査戦略を計画および検証する
6.1.1. 評価、テスト、監査
6.1.1.1テスト
システムを実行して、システムが特定の要件または期待される動作を満たしていることを確認することを含む技術的な活動。テストは、システム内の問題やエラーを見つけるためによく使用されます。セキュリティ分野におけるテストには、システムの潜在的なセキュリティリスクを発見し、評価するために使用される脆弱性スキャンや侵入テストなどが含まれます。
6.1.1.2評価
評価は、特定のオブジェクト、システム、またはプロセスの包括的な評価活動です。たとえば、リスク評価は、特定のリスクが発生する可能性を評価することも、品質を評価することもできます。組織の安全プロセス。
6.1.1.3監査
監査は、より正式で構造化されたプロセスであり、その主な目的は、定義された標準または仕様に従ってオブジェクトまたはシステムのコンプライアンスを検証および確認することです。監査は通常、監査結果の公平性と公平性を確保するために、独立した第三者機関によって実施されます。たとえば、システム監査では、システムが Payment Card Industry Data Security Standard (PCI DSS) に準拠しているかどうかを判断できます。
6.1.2. 内部監査
内部評価と監査は、組織の担当者によって実施される評価と監査活動です。このアクティビティは、組織のセキュリティ管理の一環として継続的に実行できます。
1. 内部監査のメリットとデメリット
• 利点: 内部関係者は組織の業務とビジネスを深く理解しているため、テストや評価をより正確かつ効率的に実行できます。さらに、内部監査もより柔軟になり、組織のニーズに応じていつでも実施できます。
• デメリット:「誰がポリシーを作成しても監査を受けるべきではない」など、利益相反の可能性があります。その結果、内部監査は独立性と公平性を欠く可能性があります。
2. 社内テストに適したテストの種類
•脆弱性スキャン: パッチが適用されていないソフトウェアや未知の資産を検出するために定期的に実施されます。
•プロセスおよび手順の監査: 変更管理、従業員トレーニングの完了など。
• フィッシング シミュレーション: フィッシング攻撃を認識して対応する従業員の能力をテストします。
3. 外部監査の準備をする
組織は、外部監査を実施する前に、内部準備監査を実施することを選択する場合があります。これは、正式な監査が始まる前に既存の問題や欠陥を特定して修正することで、外部監査の結果を向上させるのに役立ちます。
6.1.3. 外部監査
外部監査は通常、監査対象の組織に直接の利害関係を持たない独立した第三者組織によって実施されます。したがって、外部監査は、公平で独立した評価と監査結果を提供することができ、組織が見落としている可能性のある問題を特定し、改善するのに特に価値があります。ただし、より多くの時間とリソースの投資が必要になる場合もあります。したがって、組織は外部監査の実施を決定する際に、メリットとデメリットを比較検討し、特定のビジネス ニーズと条件を考慮する必要があります。
外部監査が適用される状況には次のようなものがあります。
• コンプライアンス監査: ペイメント カード業界データ セキュリティ標準 (PCI-DSS)、国際情報セキュリティ マネジメント システム標準 (IS0 27001) などの特定のコンプライアンス要件を満たすには、外部監査が必要です。
法的または規制上の要件: 場合によっては、組織は法的または規制上の要件により、外部監査の実施が必要となる場合があります。たとえば、特定のビジネス要件を満たすために、成熟度モデルに基づいた成熟度評価が必要になる場合があります。
6.1.4. 第三者監査
第三者の監査。サプライチェーン監査とも呼ばれます。これはサプライ チェーンのセキュリティ リスクを評価および管理する重要な手段であり、組織自体または第三者の監査人が実施できます。監査プロセスでは、サプライチェーン内のセキュリティ管理とポリシーを評価し、リスクを特定し、軽減策を提案します。一部のベンダーは、Service Organization Controls 2 (SOC2) レポートなどのサードパーティ監査レポートを提供している場合があります。これは、組織がサプライ チェーンのリスクをより深く理解し、管理するのに役立ちます。
6.2. セキュリティ管理テストの実施
6.2.1. 脆弱性の評価
1. 戦略の概要
脆弱性評価はリスク管理の重要なコンポーネントであり、ハードウェア資産とソフトウェア資産の脆弱性を特定して評価し、攻撃者による悪用を防ぐことに重点を置いています。
脆弱性評価の主な手順は次のとおりです。
1) 資産インベントリを作成する: 組織の重要な資産を特定し、脆弱性スキャンに優先順位を付けます。
2. スキャン ツールの選択: 法的、契約または規制上の要件、プラットフォームの互換性、コストなどの要素に基づいて、適切な脆弱性スキャン ツールを選択します。
2. 脆弱性評価に関するよくある質問
1. 過剰なトラフィックと DoS
説明: 脆弱性スキャナーは、情報の処理に苦労するため、大量のトラフィックを生成し、ネットワーク帯域幅を消費し、ネットワークやシステムに DoS 状態を引き起こす可能性があります。
解決:
1) 特定の期間内にスキャナーによって生成されるリクエストの数を制限するリクエスト スロットルの実装など、正しい構成
2) バウチャーベースのスキャンにより構成情報を取得し、ターゲットポートを正確にスキャンします
3) スキャンをスケジュールして、ユーザーのアクティビティが少ない時間帯にスキャンが行われるようにします。
2.アラートとイベント
説明: ホストをスキャンすると、攻撃者が一般的に使用する戦術がシミュレートされ、セキュリティ アラートが生成されます。
解決策: 独自のテスト トラフィックをフィルタリングし、脆弱性スキャナーの IP アドレスからのポート スキャンを不審としてマークするようにポリシーを構成します。
3. 部門を超えたオーナーシップ
説明: 事業部門が注意を払わない場合、セキュリティ アラームが無視される可能性があります。
解決策: チーム間の関係を育み、フィードバック結果を資産所有者が理解できる形式に整えます。
4.汚染
説明: 自動入力されたテスト データにより、オンライン環境が汚染される可能性があります。
解決策: 構成ポリシーを変更して、フォーム操作や電子メールの送信などの一部の破壊的な操作を減らすか無視します。スキャナーは、スキャン後に簡単に無視またはクリーンアップできる、認識されたテスト データ タイプを入力するように構成できます。
5. ネットワークのセグメンテーション
説明: ファイアウォールなどのアクセス制御手段を使用してネットワークのさまざまな部分をセグメント化または分離することはセキュリティのベスト プラクティスですが、スキャナーがターゲット アドレスに到達できなくなる可能性があります。
解決策: 分散スキャンでは、ネットワーク セグメント内にスキャン エージェントを配置し、ネットワーク セグメントのエンドポイントをスキャンして、その結果を中央制御ユニットに統合します。
6.2.2. 侵入テスト
脆弱性評価では、理論的に悪用できる弱点を探しますが、ペネトレーション テスト (ペネトレーション テストとも呼ばれます) はさらに一歩進んで、これらの弱点が悪用できることを証明します。
1侵入テストの種類
1) ホワイトボックスペネトレーションテスト (フルナレッジテストとも呼ばれます)
テスト チームは、オペレーティング システム、ネットワーク セグメンテーション、デバイス、およびそれらの脆弱性を含むインフラストラクチャとそのアーキテクチャを完全に理解しています。このタイプのテストは、テスト チームを特定の関心領域または特定の脆弱性に集中させるのに役立ちます。
2) ブラックボックス侵入テスト (ゼロ知識テストとも呼ばれます)
テストチームはインフラストラクチャに関する知識がなく、攻撃者の観点からネットワーク構造とその脆弱性を発見します。
3) グレーボックス侵入テスト (ローカルナレッジテストとも呼ばれます)
ホワイト ボックス テストとブラック ボックス テストの間を仲介するペネトレーション テスト。テスト チームはインフラストラクチャについて部分的な知識を持っています。
2. ペネトレーションテスター
1) ホワイトハッカー (倫理)
システムをテストしてその弱点を特定し、その弱点を軽減してシステムをより適切に保護するセキュリティの専門家。
2) ブラックハットハッカー (非倫理的)
悪意のある存在は、脅迫を通じてシステムに侵入し、機密データを取得したり、インフラストラクチャの運用を妨害したりします。
3) グレイハットハッカー
ホワイトハットとブラックハットの世界を行き来するハッカーたち。場合によっては、組織の利益のために専門知識を販売する
4) レッドチーム
セキュリティテストまたは演習中の攻撃グループ
5) ブルーチーム
セキュリティテストまたは演習中の守備側
6) 白チーム
安全テストまたは演習中に演習を管理するチーム
3 侵入テストのルール
侵入テストは、適切に許可されていない限り、決して実施してはなりません。テストの範囲の決定、参加者の特定、テスト方法と期待されるコミュニケーション方法の定義など、テストのルールも明確である必要があります。
通常、ルール ファイルで定義される内部顧客には次の側面が含まれます。
•どのようなシステム、オフィス、またはその他のターゲットがテストの範囲内にありますか?
•システム、オフィス、またはその他のターゲットがテストから特に除外されていますか?
。ソーシャル エンジニアリングやパスワード クラッキングなどのテスト方法は禁止されていますか?
。物理的なセキュリティはカバーされていますか?含まれている場合、どのような施設や目的が含まれますか?
•テスターにはどのレベルの権限が付与されますか?テスターには、内部関係者の脅威を評価したり、アクセスできる場合は検証活動を実施したりするためのアカウントを提供できます。
•期待されるコミュニケーションスタイルとリズムは何ですか?組織によっては、重大なセキュリティ問題が発生する可能性がある場合には直ちに通知する必要がある場合もありますが、最終レポートを待つだけで満足する組織もあるでしょう。
•誰がテストを実施するのか、どのような機器とソフトウェアが許可されるのか、いつテストが行われるのか?
•内部ネットワーク構成や顧客記録などの機密データを扱う場合、どのような手順が使用されますか?
•テスト後に機密データはどのように安全に扱われますか?
• 期待されるサービス レベルはどれくらいですか。たとえば、テスターは修正を実装した後すぐに再テストしますか? それとも、規定の再テスト時間まで待機しますか?
•文書化、特に見つかった問題の詳細、テスト結果を検証するために行われた作業の表示、およびレポートの形式にはどのような期待がありますか?
4. 侵入テストのプロセス
5. 物理的侵入試験
物理侵入テストとは、物理的なセキュリティ制御の潜在的な弱点を発見することを目的として、テスターがオフィスやデータセンターなどの施設への不正な侵入を試みることです。一般的なソーシャル エンジニアリング手法には、かさばる物品を持ち込んで誰かにドアを開けてもらうことや、役人に扮した格好で現れることが含まれます。
6.2.3. ログの確認
ログのレビューは、情報セキュリティ管理の重要な部分です。これには、システム、端末、デバイス、アプリケーションによって生成されたログの分析とレビューが含まれます。その目的は、セキュリティ インシデントの検出と対応を容易にするために、これらのログ内の重要な情報を取得して解析することです。 。
1 ログレビューの重要性
ログは、システムの動作、ユーザーの動作、セキュリティ イベント、システム エラーなどに関する詳細情報を提供します。ログのレビューと分析は、組織がシステムのステータスと動作、および潜在的なセキュリティ問題を理解するのに役立ちます。
2) ログ管理の監査・評価
ログ自体の生成、収集、保存、処理も監査し、評価する必要があります。これには、ログの整合性、可用性、機密性、およびコンプライアンスの確保が含まれます。これには、ログが準拠して管理されることを保証するために、適用される法的要件、業界規定、および国際標準への参照が必要になる場合があります。
3) ログレビュー戦略
組織は、ログレビューの有効性を確保するために、ログレビューのポリシー、手順、および技術的構成を開発する必要があります。これには、ログのレビューの頻度、レビューの深さ、使用するツールと手法、レビューの結果の処理方法の決定が含まれる場合があります。
6.2.4 合成トランザクション
合成トランザクションとは、特定のユーザーの動作やアクションをシミュレートして、アプリケーション、システム、またはネットワークのパフォーマンスと信頼性を検証する、システム パフォーマンスのテストと監視に使用される自動化されたプロセスを指します。
6.2.4.1 代理トランザクションの一般的な使用シナリオ:
•サービス レベル アグリーメント (SLA) の監視: 合成トランザクションを使用して、ホストまたはクラウドベースのサービスが合意されたサービス レベル標準を満たしているかどうかを監視できます。
•データ整合性の監視: ビジネス ロジック ルールをシミュレートし、テスト データを処理することにより、データ処理結果が期待を満たさない場合に合成トランザクションでアラートを生成できます。
• システムまたはサービスの監視: SLA がない場合でも、システムまたはサービスがオンラインで応答していることを確認するために、代理トランザクションを通じてシステムまたはサービスを監視できます。
6.2.4.2リアルユーザー監視(RUM)
RUM は、アプリケーションまたはサービスとのユーザーの対話をリアルタイムで監視する監視テクノロジーです。この監視を使用すると、遅いページや応答しないページなどの潜在的な問題を検出できます。ただし、RUM はプライバシー上の懸念を引き起こす可能性があるため、使用する場合は特別な注意が必要です。
6.2.5. コードのレビューとテスト
ソフトウェアはコードで構成されているため、コードをレビューおよびテストして欠陥を特定し修正することは、重要なセキュリティ管理です。
1. 試験の分類
ブラック ボックス テスト: テスターはソース コードやアプリケーションの内部動作原理には触れませんが、外部の攻撃者またはユーザーの観点からシミュレーションとテストを行います。
ホワイトボックス テスト: テスターはソース コードまたはアプリケーションの内部構造にアクセスし、詳細な分析を行うことで潜在的な欠陥やエラーを発見します。
2.試験方法
• コード ピア レビュー: これは、開発者が相互にコードをレビューして、考えられるエラーや改善点を見つける手動の方法です。
•静的コード分析: これは、専用のソフトウェアを使用してコードの実行をシミュレートし、バッファ オーバーフローなどの潜在的な脆弱性を特定する自動コード レビュー方法です。
• 動的分析テスト: これは、プログラムを実行し、その動作を観察して、考えられる問題や脆弱性を特定する実行時テスト方法です。
3.テストの目的
•カバレッジ: テストの目標は、欠陥やエラーが見落とされないように、できる限りすべてのコードと機能をカバーすることです。
•自動化: 開発速度とセキュリティのバランスをとるために、テストプロセスを可能な限り自動化する必要があります。たとえば、一部の一般的なテストおよび修復タスクは、セキュリティ オーケストレーションの自動化と応答 (SOAR) ツールを通じて自動化できます。
6.2.6. 誤用ケースのテスト
6.2.6.1 誤用ケース
ネガティブ テスト (ネオエイティブ テスト) とも呼ばれます。その目的は、予期しない入力または状況に対するシステムまたはアプリケーションの応答を評価し、予期しない状況で悪用される可能性のある脆弱性を特定することです。
たとえば、ユーザーがユーザー名を入力し、パスワードを空白のままにすると、アプリケーションがクラッシュしたり、システムに直接アクセスできたりする可能性があります。
6.2.6.2 悪用ケース
悪用ケースのテストは、脅威モデリングの不可欠な部分であり、システムまたは機能が悪用される可能性をモデル化し、攻撃者がこの脆弱性を悪用する方法を具体的に説明します。
6.2.7. テストカバレッジ分析
1. テストカバレッジ = (テストされたコンポーネントの数/コンポーネントの総数) x 100%
2. 6 つの共通規格:
1) 分岐カバレッジ: 制御ステートメント内のすべての分岐が実行されることを確認します。
2) 条件カバレッジ: コード内のすべてのブール式を true と false として検証する必要がある条件。
3) Western Digital カバレッジ (関数カバレッジ): プログラム内のすべての Western Digital 関数が呼び出されることを確認します。
4) ステートメント カバレッジ: プログラム内のコードの各行の実行を検証します。
5) 意思決定カバレッジ: さまざまな入出力状況をテストするために、西部カバレッジとブランチ カバレッジの組み合わせが検証されました。
6) パラメーター カバレッジ: パラメーター入力を受け入れる Western Digital の動作をテストします。
注: 理想的な状況は 100% カバレッジですが、コストの関係で、主要なシステム機能に対する十分なテスト カバレッジを確保するために一定期間内にすべてのテストを完了することは不可能です。
6.2.8. インターフェースのテスト
インターフェイス テストは、システムが他のシステム、ユーザー、プロセスなどの外部要素と対話する点に主に焦点を当てます。
主なインターフェイスの種類には次のものがあります。
• ユーザー インターフェイス (U): これはユーザーがシステムと対話する主な方法であり、グラフィカル ユーザー インターフェイス (GU) またはコマンド ライン インターフェイス (CLI) のいずれかになります。
•アプリケーション プログラミング インターフェイス (API): これは、システムが Web アプリケーション用の REST API、プロセス間通信 (IPC) およびリモート プロシージャ コール (RPC) 用の API など、他のソフトウェアと対話する方法です。
インターフェイス テストの目標は、データがエンティティ間で正しく転送および変換され、すべてのエラー状態が適切に処理されることを確認することです。これには、データが正しくフォーマットされているかどうかの検証、エラー処理メカニズムの有効性のチェック、送信中に正しいアクセス制御が適用されていることの確認などが含まれます。これにより、データの整合性、システムの安定性、セキュリティが確保され、インターフェイス エラーによるデータの損失や損傷を防ぐことができます。
6.2.9.脆弱性攻撃シミュレーション
6.2.9.1 侵害攻撃シミュレーション (BAS)
脆弱性攻撃シミュレーションは、新しい自動セキュリティ テスト テクノロジであり、その主な目的は、不正なシステム アクセスを試みる実際の攻撃者の行動をシミュレートすることです。脆弱性スキャンと自動侵入テストの要素を組み合わせ、最新の攻撃手法と新しく発見された脆弱性を使用して、新しい脅威に対する組織の防御能力をテストします。 BAS ソリューションを使用すると、このテストをより頻繁に実行して、従来の定期的な脆弱性スキャンや侵入テストよりも迅速に潜在的なセキュリティ脆弱性を発見できます。
6.2.9.2 BAS 攻撃のカテゴリ
•エンドポイント攻撃
BAS は、ネットワーク エンドポイントに対して、または既知のマルウェア シグネチャと一致するファイルやプロセスの作成などのアクションを実行して、エンドポイントの検出と応答 (EDR) 機能をテストします。これは、BAS デバイスまたはコントロール ユニットを介して、またはエンドポイントで実行されているソフトウェア エージェントを介して実行できます。
•ネットワーク攻撃
BAS は、ブロックされるべきネットワーク トラフィックを送信し、既知の悪意のあるトラフィックがファイアウォールやルーターなどのデバイスによってブロックされない場合にアラートをトリガーします。
•電子メール攻撃
BAS は、スパム フィルター、電子メール詐欺制御、およびコンテンツ フィルターの有効性をテストするためにテスト電子メールを生成して送信します。メッセージが受信箱に正常に到着するか、ユーザーによって開封された場合、電子メールのセキュリティ制御に脆弱性があることを示しています。
•行動ベースの攻撃
高度な BAS 機能では、悪意のあるネットワーク スキャン アクティビティや、通常は Web アプリケーション ファイアウォール (WAF) によってブロックされるべきアプリケーションとの複雑な相互作用の検出など、動作ベースのセキュリティ制御をテストすることもできます。
6.2.10. コンプライアンスチェック
コンプライアンスはセキュリティと同義ではありませんが、組織のリスク管理プログラムの重要な出発点です。コンプライアンスのフレームワークは通常、業界または地域固有の一連のリスクをカバーしており、実装されるセキュリティ管理はそれらのリスクを軽減するように設計されています。
コンプライアンスレビューは規制プロセスの一部であり、目標は、リスク環境の変化により不十分または無効になった管理、または正しく機能しなくなった管理を特定することです。通常、このレビューは次のような監査を通じて実行されます。
•PCI-DSS (Payment Card Industry Data Security Standard): クレジット カード情報を処理、保存、または送信する組織のためのセキュリティ標準です。 PCI-DSS では、組織に年次コンプライアンス監査を実施することが義務付けられています。
SOC2 (Service Organization Control 2): これは、セキュリティ、可用性、処理の完全性、機密性、プライバシーに対するサービス組織のコントロールを評価する標準です。 SOC 2 では、組織に年次コンプライアンス監査を実施することが義務付けられています。
- S027001 情報セキュリティ管理に関する国際規格です。 1S027001 では、組織に 3 年ごとにコンプライアンス監査を実施することが義務付けられています。
6.3. セキュリティ プログラム データの収集 (例: 技術的および管理的)
6.3.1. 技術的な管理と手順
1つのデータソース
技術的または論理的な制御は電子システムを通じて実現され、多くの場合、ネイティブの記録が得られます。この技術データには、組織のログ記録および監視ポリシーの一部を形成する情報や、そのようなログ データの分析から生成されたデータが含まれる場合があります。たとえば、アプリケーションのアクセス ログやネットワーク デバイス (ルーターやファイアウォールなど) のログです。
2. 収集段階
次の制御とプロセスを実装および監視することで、組織はセキュリティ体制に関する有用な指標とデータを収集し、データとシステムを保護するために必要な措置を講じることができます。
1) 損失防止プロセス: これらのプロセスの目的は、セキュリティ上の脅威を防止することです。これらには、データ暗号化、ネットワーク アクセス制御、エンドポイント制御などの技術的制御が含まれる場合があります。
2) 検出プロセス: これらのプロセスの目的は、セキュリティ インシデントまたは異常な動作を検出することです。これらには、エンドポイント検出および応答 (EDR) やセキュリティ情報およびイベント管理 (SIEM) などの技術的制御が含まれる場合があります。
3) 対応プロセス: これらのプロセスの目標は、セキュリティ問題を解決することです。これらには、エンドポイント検出と応答 (EDR) や侵入防御システム (IPS) などの技術的制御が含まれる場合があります。
6.3.2. 管理上の制御
管理制御は、ポリシーと手順を確立して強制することにより、従業員や他のユーザーの適切な行動を導きます。これらの管理には、さまざまな行動規範、作業プロセス、ガイドラインが含まれる場合があります。管理統制の有効性を測定するには、多くの場合、ポリシーの実施に関連するデータの収集と分析が必要になります。
たとえば、組織のデバイスでのソーシャル メディアの使用を禁止する組織ポリシーを考えてみましょう。データは以下から収集されます。
• ポリシーの範囲: 何人のユーザーがポリシーを読んで理解し、署名することで理解と遵守を確認しましたか?
•教育効果: 何人のユーザーが制限されたコンテンツにアクセスしようとしましたか?これは、従業員がポリシーをどの程度理解しているか、ポリシーの普及と教育効果を反映している可能性があります。
。技術的な利用可能性: ネットワーク トラフィックに基づいて、制限されたコンテンツにアクセスできるユーザーは何人ですか?これは、政策を実施する際の技術的管理の有効性を反映している可能性があります。
6.3.3. アカウント管理
アカウント管理は、アクセス制御の実装に直接影響するため、情報システム セキュリティの重要なコンポーネントです。アカウント管理データは、セキュリティ プロセスに関するデータを収集する際の重要な焦点です。
アカウント管理プロセス中に収集する必要がある重要なデータを以下に示します。
• タイムリーなアカウント管理: たとえば、ユーザーの役割が変更または退職した場合、指定された期間内にユーザーのアクセス権を調整または取り消しできるかどうか。
• アカウントのプロビジョニングまたはプロビジョニング解除の通知: たとえば、ユーザーが組織に参加または組織から脱退したときに 24 時間以内に通知を受け取ることができるかどうか。
• アカウント レビュー: すべてのアカウントが依然として必要であり、適切な権限レベルであることを確認するために、組織の定義されたスケジュールに従って適切なアカウント レビューが実施されます。
• 手順の正しい実行: たとえば、パスワードのリセットまたは送信中に適切な検証が行われたかどうか、またはネットワーク アクセス制御が正しく設定されているかどうか。
6.3.4. 管理者のレビューと承認
管理者のレビューと承認は、さまざまな安全関連文書の評価、報告、承認を伴う重要な安全プロセスです。この文書は監査と調整に重要であるだけでなく、経営陣の承認とセキュリティ プログラムへの関与を証明するものでもあります。さらに、これらの記録により、砂とセキュリティのプロセスに関連する問題に対するデューデリジェンスとデューケアを確立できます。
次のフレームワークは、セキュリティ関連の管理レビューと承認プロセスを正式に定義します。
• ISO 27001
経営者は、情報セキュリティプログラムの「継続的な適合性、適切性、有効性」を定期的にレビューする必要があります。
•NIST と FedRAMP
これらのフレームワークは、評価と認可、および継続的な監視のための管理役割を定義します。経営者は、情報システムの計画と評価結果を検討し、システムの使用を正式に決定する必要があります。経営陣はまた、継続的な監視データを使用して、リスク是正措置の有効性を確保します。
• 認証と認定
これには、同様の評価と認可のプロセスが含まれます。認定は、一連の標準に照らしてシステムまたはプロセスを正式に評価することですが、認定は、システムが指定された機能を実行するのに適しているかどうかについて正式に決定することです。このアプローチは、組織がセキュリティ機能とニーズに基づいてシステムを正式に評価および承認するためのガバナンス プロセスを開発するのに役立ちます。
• SOC 2
この枠組みでは、経営者に「業績評価基準」を確立し、「内部統制の運用をサポートする関連性の高い高品質の情報」を生成して使用することが求められます。
•情報技術の管理目標 (COBIT)
これは情報技術とサイバーセキュリティのための管理フレームワークであり、リソース、能力、監視タスクの計画、および組織管理計画のレビュータスクにおける経営者の責任を強調しています。
6.3.5.主要なパフォーマンス指標とリスク指標
主要業績評価指標 (KPI) と主要リスク指標 (KRI) は、組織のリスク管理の有効性を測定および追跡するための重要なツールです。 KPI は既存のリスク軽減策の有効性を監視するために使用されますが、KRI は組織が将来発生する可能性のあるリスクを予測して準備するのに役立ちます。さまざまな組織が、それぞれの特定の状況に応じて独自の KPI と KRl を設定します。
1. 重要業績評価指標 (KPI)
一般的かつ重要な KPI をいくつか示します。
•平均検出時間 (MTTD): セキュリティ インシデントまたは脅威の検出にかかる平均時間を測定します。
•平均復旧時間 (MTTR): セキュリティ インシデントの解決に必要な平均時間を測定します。
• セキュリティ スコア: 多くのベンダーは、組織のセキュリティ パフォーマンスの成熟度を示す重要な指標として使用できるセキュリティ スコアカードまたは評価を提供しています。
• 投資収益率 (ROI): リスクとコストの削減における管理の有効性を測定します。
2. 主要リスク指標 (KRI): いくつかの重要な KRI を次に示します。
• セキュリティ インシデントの数の増加は、脅威環境の変化を示している可能性があり、それに対処するためにより強力なセキュリティ ツールや追加の人員が必要になる可能性があります。
- 発見された問題の数: 監査および評価の結果の増加は、セキュリティ プログラムのギャップを示している可能性があり、修正するには追加の注意やリソースが必要になる可能性があります。
• 検出または報告されたフィッシング試行の数: フィッシング試行の増加は、攻撃者が組織のリソースにアクセスするための有効な資格情報を取得しようとする進行中の攻撃を示していることがよくあります。この点で、組織は監視システムの追加、多要素認証の採用、ユーザートレーニングの強化、その他の措置を必要とする場合があります。
6.3.6. 検証データのバックアップ
バックアップ検証データは、IT スタッフが手動で記録したバックアップ発生の書面ログから取得される場合もありますが、より一般的には、バックアップ アプリケーションまたはシステムによって生成されたログから取得されます。データが使用できなくなったり、システムが損傷したりする事故が発生した場合に備えて、すべての重要な情報をバックアップする必要があります。データ損失につながるイベントは、バックアップされたデータの完全な回復プロセスとともに十分に文書化する必要があります。バックアップ戦略については、第 7 章で詳しく説明します。
6.3.7. トレーニングと意識向上
ユーザーは攻撃に対する重要な防御線であると同時に、価値の高い攻撃対象でもあるため、セキュリティの意識向上、教育、トレーニングを提供するプログラムを確立し、維持することが重要です。
このようなプログラムの有効性を評価するための重要な指標は次のとおりです。
• トレーニング完了率: トレーニングを完了していない従業員は、潜在的な脅威を見落としがちになる可能性があります。
•情報の保持と行動の変化: トレーニングを成功させるには、従業員が学んだ知識を長期にわたって記憶し、適用する必要があります。
•継続的な更新: 脅威やリスクの変化に応じてトレーニングのコンテンツを更新する必要があります。
•対象者に適応する: トレーニングの教材と方法は、従業員のスキル レベルと学習ニーズに合わせてカスタマイズする必要があります。
6.3.8. 災害復旧 (DR) と事業継続性 (BC)
DR および BC データには、重要な目標復旧時点、目標復旧時間、最大許容ダウンタイムなどの詳細が含まれている必要があります。最も重要なことは、実際のイベント中に組織がこれらの目標をどの程度達成しているかを評価することです。
災害復旧 (DR) 計画と事業継続 (BC) 計画の有効性を評価および監視するときは、次の主要な質問を考慮する必要があります。
• 計画の適応性と適時性: 完全な BCDR および運用継続計画はありますか?組織の変更を反映するために定期的に更新されていますか?
• 担当者の認識と準備: 主要な担当者は計画における自分の役割と責任を理解していますか?
•プランのアクセシビリティ: プランの最新バージョンはすぐに入手でき、安全に保管されていますか?
• 計画の包括性: 計画は組織の現在の重要な機能をカバーしていますか?
計画のタイムリーな更新: IT 構造の大幅な変更や事業活動など、計画に反映されていない主要な組織変更はありますか?
計画されたテストと改善: 計画は定期的にテストされ、見つかった欠陥は修正されていますか?
• サードパーティの依存関係の管理: 組織が重要なサードパーティまたはサービスに依存している場合、これらの依存関係はテストされていますか?
• 他のプロセスとの統合: 組織への変更が適切に再評価されることを保証するために、引き継ぎ管理などの他のプロセスが BCDR 計画と統合されていますか?
6.4 テスト出力を分析してレポートを生成する
6.4.1. 典型的な監査レポートの内容
監査レポートには通常、次のセクションが含まれます。
•概要: テスト活動と結果の概要を示します。
- 仮定と制限: 評価プロセスにおける制約と前提を明らかにし、結果を理解するためのコンテキストを提供します。
・範囲:評価の対象となる範囲を明確にする。
•アクティビティの概要: 評価チームが実行するすべてのテストおよび監査アクティビティの概要を示します。
•所見と問題: すべての所見、欠陥、または問題をリストし、その場所、重大度、および関連する証拠を提供します。
• 提案: 発見された問題に対する解決策と提案を提供します。通常は、解決手順と必要になる可能性のある特定の構成コマンドが含まれます。
• 付録: 付録のパスバンドにはレポート本体以外の詳細情報が含まれているため、レポートが読みやすく理解しやすくなり、技術者に必要な詳細情報が提供されます。
6.4.2. 救済策
1. 是正措置のプロセス:
1) 問題の特定: セキュリティ管理のギャップや問題を発見します。
2) 計画の作成: 問題を解決するための修復計画を作成します。
3) 修復の実行: 計画に従って問題を解決します。
4) 再検査: 治療の有効性を確認するために再検査します。
2. 修復計画の要素:
•問題の詳細: 見つかった問題を詳細に説明します。
• 緩和策: 計画された是正措置または措置。
•優先順位: 重大度とリスクに基づいて問題に優先順位を付けます。
•解決時間: 問題の解決に必要と推定される合計時間。
• リソース要件: 修復アクションを実行するために必要なリソース。
••マイルストーンと期待: 主要な完了日と望ましい結果を設定します。
3. 再テストの重要性:
再テストは修復措置が有効であることを確認するための重要なステップであり、通常は定期的な脆弱性スキャンによって検証されます。
6.4.3. 例外処理
1. 定義:
監査またはセキュリティ評価中に発見され、従来の是正措置では解決できない問題の処理を指します。
2.目的:
直接解決できない問題に対処するために、一時的に例外を許可します。これらの例外は一時的にのみ許可されるべきであり、永続的な例外の要求があってはなりません。長期的に必要な場合は、新しいニーズに適応するために関連ポリシーを更新する必要があります。
3. 記録される情報:
• リスクの詳細: リスク、欠点、問題の具体的な詳細と、それがいつ、誰によって発見されたかを含めます。
•異常の理由: 管理者は、特定のリスクを軽減できない理由を説明する必要があります。
。補償コントロール: 組織のリスク値を達成するためにリスクに直接対処できない場合は、補償コントロール (モニタリングの強化など) を通じてリスクを部分的に軽減することを検討します。
。例外の承認: 経営陣は追加のリスクを取ることを明確に決定し、責任を明確にするためにレビューと承認のプロセスを文書化する必要があります。
•例外期間: ほとんどの例外は、例外権限の有効期間を明確にして、一時的に許可されるべきです。
6.4.4. 倫理的開示
1. 倫理的情報開示のベストプラクティス
組織は、脆弱性に関する倫理的な開示を受け入れる準備を整えておく必要があります。これには、開示ポリシーを策定すること、脆弱性の開示を受け取ること、敵対的な態度をとらないことが含まれます。セキュリティ研究者または倫理的ハッカーは、これらのポリシーを遵守し、法律の範囲内で行動する必要があります。
2. 開示された脆弱性の種類:
• 非開示: 契約上または法的義務により、脆弱性の開示が禁止される場合があります。たとえば、脆弱性の開示は進行中の犯罪捜査に悪影響を与える可能性があります。
•完全な開示: 脆弱性が発見された場合、修復を担当する組織にできるだけ早く完全かつ透過的に報告する必要があります。ただし、多くのベンダーは、脆弱性を報告しようとする研究者に対して敵対的になる可能性があります。
• 責任ある開示: この原則は、発見者が脆弱性を組織に速やかに報告し、一般公開する前に組織に脆弱性を修復する時間を与えるべきであると規定しています。
•報告の義務: 場合によっては、発見された脆弱性を法執行機関またはその他の機関に報告することが義務付けられる場合があります。
• 内部告発: セキュリティの脆弱性が発見された場合、内部告発者が適切なルートをたどって発見された脆弱性を開示すれば、著作権侵害またはその他の関連法による訴追から法的に保護される可能性があります。
6.5. セキュリティ監査の実施または推進
6.5.1. 共通の監査フレームワーク
セキュリティ専門家は、監査を使用して、組織のさまざまなセキュリティ標準への準拠を評価できます。監査計画には、経営陣のサポート、適切なリソース、効果的な監視、および現実的なスケジュールが必要です。一般的な監査フレームワークをいくつか示します。
1)SSAE 18 (SOC 2): セキュリティ、可用性、処理の整合性、機密性、プライバシーに対するサービス組織の制御に焦点を当てています。
2) ISO/EC 15408-1:2009: 情報技術製品およびシステムのセキュリティ機能を評価するための一般的な枠組みを提供します。
3) 1SO/EC 18045:2008: ISO/EC 15408 評価を実行する方法を提供します。
4) 1SO/EC 27006:2015: ISO/EC 27001 情報セキュリティ管理システム (ISMS) 認証を実行するための要件を指定します。
5) NIST SP 800-53A: 連邦情報システムのセキュリティ管理を評価する方法を提供します。
6) NIST CSF: 組織のネットワークと情報システムのセキュリティを強化するためのリスク管理フレームワークを提供します。
7 FedRAMP SAF: 連邦政府のクラウド製品およびサービスのための連邦リスクおよび認可管理プログラムのセキュリティ評価フレームワーク。
監査では、潜在的な欠陥を確実に把握しながら作業負荷を軽減するために、サンプリングが実行されることがよくあります。サンプルは監査対象全体を代表するものである必要があります。
6.5.2. 内部監査
内部監査は、組織内の人々によって実行される監査です。次のような特徴があります。
• 精通度: 内部監査人は組織のプロセス、ツール、人材について深い知識を持っているため、組織の内部統制と業務の有効性をよりよく理解し、評価することができます。
• 偏見のリスク: 内部監査人は、組織の業務に精通しすぎているため、組織の業務の特定の側面を見落としたり誤解したりする可能性があります。したがって、客観性を保つよう努めるか、外部の観察者の意見を求める必要があります。
。独立性の問題: 内部監査人は組織の一部であるため、独立した判断と公平な報告に影響を与える圧力にさらされる可能性があります。
• 外部監査の準備: 内部監査は、正式な外部監査でより良い結果を得るために、外部監査中に発見される可能性のある問題を事前に発見して解決するためによく使用されます。
6.5.3. 外部監査
外部監査とは、組織外の監査人によって行われる監査です。その主な機能は次のとおりです。
。独立性:外部監査人は組織内の圧力に影響されないため、客観的かつ公平に監査を実施できます。彼らは組織の運営と管理を偏見なく観察し、公平な意見を提供することができます。
・専門的スキル:社外監査人は公認会計士(CPA)などの高度な専門的スキルや経験を有する者が多い。 SOC 2 監査などの複雑な監査タスクを実行できます。
• コストと時間: 組織の業務とプロセスを理解するのに時間がかかることもあり、外部監査は通常、内部監査よりもコストがかかります。さらに、組織に不慣れなため、一部の詳細を見逃してしまう可能性があります。
• コンプライアンス要件: 多くのコンプライアンスの枠組みや規制では、組織が内部統制の有効性を実証するために定期的に外部監査を実施することが求められています。
6.5.4. 第三者監査
第三者監査は、組織の外部サプライヤーまたはパートナーに対するリスク評価プロセスであり、主に次のものが含まれます。
•リスク管理ツール: 第三者監査は、サプライヤー、パートナーなどの第三者との関係におけるリスクを管理するための重要なツールです。組織に影響を与える可能性のあるリスクを特定し、軽減するのに役立ちます。
• 機密データの保護: 組織の機密データにアクセスできる第三者のセキュリティ監査を実施することが非常に重要です。これは、組織がサードパーティによって引き起こされたセキュリティ インシデントに起因する法的責任を軽減するのに役立ちます。
• 一般的な第三者監査: 一般的な第三者監査には、SOC2 監査と CSA STAR 監査が含まれます。監査プロセス中は、監査基準、データ共有、リスク発見、サードパーティのリスク対応方法、およびその修復計画に注意を払う必要があります。
•サプライチェーンの複雑さ:現代のサプライチェーンの複雑さにより、サードパーティのリスク評価プロセスはますます複雑になっています。組織はサプライチェーン内のすべてのサプライヤーを特定し、サプライヤーが直面するリスクを最小限に抑えるために適切な監査と評価を受けていることを確認する必要があります。
レビュー質問
1. ポート スキャンの実行中に、スーザンは TCP および UDP ポート 137 ~ 189、TCP 445 および 1433 でサービスを実行しているシステムを発見しました。彼女がこのマシンに接続されている場合、どのようなタイプのシステムを見つける可能性がありますか? A. Linux 電子メール サーバー B. Windows SQL サーバー C. Linux ファイルサーバー D. ワンインワン Windows ワークステーション
B
139\445
2. 新しいソフトウェアのテストを自動的に設計し、テストの品質を確保する方法は次のうちどれですか? A. コード監査 B. 静的コード分析 C. 回帰テスト D.突然変異テスト
D
3. ポート スキャンの実行中に、Naomi は 1 つのシステムで TCP ポート 443 が開いていることを発見しました。このポートで実行されているサービスをスキャンするにはどのツールが最適ですか? A.ZZUf B.ニクト C. メタスプロイト D.sqlmap
B
WEB ペネトレーション: FireBug、Autoproxy、nmap、sqlmap、metasploit、Wireshark ファズ テストにより、ソフトウェアに無効な入力 (ランダムに生成された入力または特別に構築された入力) が提供されます。 sqlmap データベースの脆弱性スキャン Web 脆弱性スキャン: Nikto ネットワークポートスキャン: nmap
4. ネットワーク機器、Linux および Unix システム、その他多くの企業デバイスで一般的に使用されているメッセージ ログ標準はどれですか? A. シスログ B. ネットログ C. イベントログ D. リモート ロギング プロトコル (RLP)
あ
5 Alex は、自動ツールを使用して Web アプリケーション フォームに入力し、フォーマット文字列の脆弱性をテストしたいと考えています。どのような種類のツールを使用する必要がありますか? A. ブラックボックス B. ブルートフォースクラッキングツール C. ファザー D.静的解析ツール
C
P579 ファズテスト - ソフトウェア境界をテストし、最後に文字列を追加し、その他のデータ操作方法を実行します。
6. スーザンはシステムの脆弱性スキャンを実行する必要があり、オープンソース ツールを使用してシステムをリモートでテストしたいと考えています。次のツールのうち、彼女の要件を満たし、脆弱性スキャンを可能にするものはどれですか? A.Nmap B.OpenVAS C.MBSA D ネッスス
B
OpenVAS (OpenVulnerability AssessmentScanner の略) は、非常に信頼性の高いオープン ソース ツールです。その豊富な機能と使いやすいインターフェイスにより、ユーザーは既知のセキュリティ脆弱性を簡単に検出して修正できます。 Microsoft Baseline Security Analyzer (MBSA) は、オペレーティング システムと SQL Server の更新をチェックできます。 MBSA は、安全でない構成についてコンピュータをスキャンすることもできます。 Nessus は、世界で最も使用されているシステム脆弱性スキャンおよび分析ソフトウェアです。 2002 年、Renaud、Ron Gula、Jack Huffard は Tenable Network Security という組織を設立しました。 Nessus の 3 番目のバージョンがリリースされたとき、この団体は Nessus の著作権とプログラム ソース コード (元々はオープン ソース) を取り戻し、それを団体の Web サイトとして登録しました。この機関は米国メリーランド州コロンビアにあります。
7. モーガンは、標準ベースのコンポーネントを使用して発見された脆弱性をスコアリングおよび評価する脆弱性スコアリングおよび評価システムを実装しています。 マネジメントシステム。脆弱性の重大度スコアを提供する際に最も一般的に使用されるのは次のうちどれですか? A.CCE B.CVSS СРЕ ドーヴァル
B
• Common Vulnerabilities and Exposures (CVE): セキュリティの脆弱性を説明するための命名システムを提供します。 • Common Vulnerability Scoring System (CVSS): セキュリティ脆弱性の重大度を説明する標準化されたスコアリング システムを提供します。 • Common Configuration Enumeration (CCE): システム構成の問題に対する命名システムを提供します。 •Common Platform Enumeration (CPE): オペレーティング システム、アプリケーション、デバイスの命名システムを提供します。 •拡張可能な構成チェックリスト記述形式 (XCCDF): セキュリティ チェックリストを記述するための言語を提供します。 •Open Vulnerability and Assessment Language (OVAL): セキュリティ テスト プロセスを記述する言語を提供します。
脆弱性の説明 •セキュリティ コンテンツ オートメーション プロトコル (SCAP): SCAP は、NIST がセキュリティ コミュニティに提供する脆弱性の説明と評価の共通標準であり、異なるセキュリティ システム間の対話の自動化を促進します。 SCAP コンポーネントには次のものが含まれます。 • Common Vulnerabilities and Exposures (CVE): セキュリティの脆弱性を説明するための命名システムを提供します。 • Common Vulnerability Scoring System (CVSS): セキュリティ脆弱性の重大度を説明する標準化されたスコアリング システムを提供します。 • Common Configuration Enumeration (CCE): システム構成の問題に対する命名システムを提供します。 •Common Platform Enumeration (CPE): オペレーティング システム、アプリケーション、デバイスの命名システムを提供します。 •拡張可能な構成チェックリスト記述形式 (XCCDF): セキュリティ チェックリストを記述するための言語を提供します。 •Open Vulnerability and Assessment Language (OVAL): セキュリティ テスト プロセスを記述する言語を提供します。
8.ジムは、銀行本店の侵入テストの実施を依頼されました。テストを可能な限り現実的にするために、彼にはヘッドバンクに関する名前と住所以外の情報は与えられなかった。ジムはどのようなタイプの侵入テストを実行することに同意しますか? A. クリスタルボックス侵入テスト B. グレーボックス侵入テスト C. ブラックボックス侵入テスト D. ホワイトボックス侵入テスト
C
9. 提案依頼に応じて、Susen は SSAE 18 SOC レポートを受け取りました。スーザンが作戦の有効性についての詳細を報告書に含めたい場合、どのような根拠に基づいて、またなぜスーザンにフォローアップの質問をすべきでしょうか? A. タイプ I は運用上の有効性をカバーしていないため、SOC 2 タイプ II レポート B. SOC 2 は運用上の有効性をカバーしていないため、SOC 1 タイプ I レポート C. SOC2 Type II では運用上の有効性がカバーされていないため、SOC2 Type I レポート D. SOC1 レポートと SOC2 レポートは廃止されたため、sOC3 レポート
あ
P563 SSAE 18 および ISAE 3402 のステートメントは、一般にサービス組織管理 (SOC) 監査と呼ばれ、3 つの形式があります。 SOC1 ステートメント: 財務報告の正確性に影響を与える可能性のある組織の管理を評価します。 SoC2 ステートメント: システムに保存されている情報のセキュリティ (機密性、完全性、可用性) とプライバシーに影響を与える組織の管理を評価します。 SOC2 監査結果は機密情報であり、通常は機密保持契約に基づいてのみ共有されます。 SOC3 ステートメント: システムに保存されている情報のセキュリティ (機密性、完全性、可用性) とプライバシーに影響を与える組織の管理を評価します。ただし、SOC3 監査結果は一般公開を目的としています。
•タイプ I レポート タイプ I レポートには、監査対象組織によって提供される統制と、その記述に基づく監査人の意見が記述されます。 タイプ I レポートはある時点のものであり、監査人による統制の実際のテストは含まれません。 •タイプ II レポート タイプ II レポートは最低 6 か月をカバーし、実際のテスト結果に基づいたそれらの管理の有効性に関する監査人の意見も含まれます。 タイプ II レポートにはコントロールの独立したテストが含まれているため、タイプ II レポートは一般にタイプ I レポートよりも信頼性が高いと考えられています。 タイプ I レポートでは、サービス組織はコントロールが説明どおりに実装されていることを実証することができます。
10. ワイヤレス ネットワーク侵入テスト中に、Suson はパスワード ファイルを使用してネットワークに対して alrcrack-ng を実行します。彼女がコードを解読しようとして失敗した原因として、次の要因のうちどれが考えられますか? A. WPA2 暗号化を使用する B. WPA2 でエンタープライズ モードを実行する C. WEP暗号化を使用する WPA2 で PSK モードを実行しているポート。
C
11. ゼロデイ脆弱性が、営業時間中に人気の Apache Web サーバーに出現しました。 情報セキュリティ アナリストとして、ジェイコブはネットワークを迅速にスキャンして、どのサーバーが問題の影響を受けているかを判断する必要があります。ジェイコブ 脆弱性に対して脆弱なシステムを最も早く特定する方法は何ですか? A すべてのサーバーの Nessus スキャンを直ちに実行して、どのシステムが脆弱かを特定します。 B. CVE データベースで脆弱性情報とパッチ情報を確認します。 C. カスタム IDS または IPS 署名を作成します。 D. 影響を受けるバージョンを特定し、自動スキャン ツールを使用してシステムのバージョン番号を確認します。
D
12. 個別に開発されたソフトウェア モジュールがデータを正しく交換することを確認するには、どのような種類のテストが使用されますか? A.ファジング(ファジングテスト) B. 動的テスト C.インターフェーステスト D.API チェックサム
C
13. Salen は、地元組織のクラウド サービスの使用を希望する顧客にセキュリティ評価情報を提供したいと考えています。次のうちどれ できるだけ多くの顧客が評価情報に満足できるように、オプションを選択する必要がありますか? A は内部監査チーム 4 を使用して、内部指標に基づいて自己評価を実施します。 B. 第三者監査人を利用する。 C. システムを理解している社内の技術スタッフを採用する。 D. 内部監査チームを活用して、COBIT などの一般的に使用される標準に照らして自己評価を実施します。
B
14. ヤスミンは、侵入および攻撃のシミュレーション システムを検討するように依頼されました。彼女はどのようなタイプのシステムを探す必要がありますか? A. インシデントの管理を支援するために設計されたチケット発行および変更管理システム B. 青チームがスキルをテストするためにインシデント対応シミュレーションを実行するシステム C. レッドチームとブルーチームのテクノロジーを組み合わせた自動化システム D.セキュリティ運用および対応 (SOAR) システム
C
15.モニカは、組織のセキュリティ意識に関する情報を収集したいと考えています。セキュリティ意識を評価するための最も一般的な手法 それは何ですか? A. フィッシングシミュレータ B. ゲーム化されたアプリケーション C. 評価試験 D. アンケート
D
16.ジムはグレーボックス侵入テストの実施を依頼され、クライアントはスキャンできるようにネットワークに関する次の情報を彼に提供しました。 データセンター: 10.10.10.0/24 販売: 10.10.11.0/24 請求先: 10.10.12.0/24 ワイヤレスネットワーク: 192.168.0.0/16 外部からスキャンを任された場合、どのような問題が発生するでしょうか。 A. IP 範囲が大きすぎるため、効率的にスキャンできません。 B. 指定された IP アドレスはスキャンできません。 C. IP 範囲が重複すると、スキャンの問題が発生します。 D. 提供される IP アドレスは RFC 1918 アドレスです。
D
17. Mark の会社は、Web アプリケーションに脆弱性があると通知されました。匿名が彼に知らせた 、脆弱性の詳細とサンプルエクスプロイトコードを公開するまでに、修正に2週間かかります。接続する マークの会社の個人が違反したのはどの業界規範ですか? A. ゼロデイレポート B. 倫理的開示 C. エシカルハッキング D.(SC)2 脆弱性開示の倫理声明
B
質問 18 ~ 20 については、次のシナリオを考慮してください。 jennifer の会社は、次の図に示すように、集中ログ インフラストラクチャを実装しました。使用 この図とログ システムに関する知識を使用して、次の質問に答えてください。 18.ジェニファーは、すべての Windows システムが同じログ情報を SIEM に提供するようにする必要があります。すべての Windows デスクトップ システムが同じログ設定を持つようにするにはどうすればよいでしょうか? A. 定期的に構成監査を実施します。 B. グループ ポリシーを使用します。 C. ローカル ポリシーを使用する。 D. Windows syslog クライアントを展開します。 19. 通常の運用中、ジェニファーのチームは SIEM デバイスを使用して、syslog を通じて異常を監視します。 syslog イベントをサポートしない状況を示しているシステムはどれですか? A. エンタープライズ ワイヤレス アクセス ポイント B. Windows デスクトップ システム C.Linux Webサーバー D.エンタープライズファイアウォール機器 20. 図に示されている各デバイスについて、組織はインフラストラクチャ全体で時系列のロギングを確実に行うためにどのような手法を使用する必要がありますか? A. シスログ B.NTP C.ログ同期 D.スナップ
B
B
P582 Windows では、syslog、Windows グループ ポリシーをサポートするためにサードパーティ クライアントをインストールする必要があります
B
21. 侵入テスト中に、hetele はシステムを識別する必要がありますが、使用されているシステム上で生のパケットを生成するための十分な権限をまだ取得していません。最もオープンなサービスを確認するにはどのタイプのスキャンを実行する必要がありますか? A. TCP 接続のスキャン B. TCP SYN スキャン C. UDP スキャン D.ICMPスキャン
あ
22. Josezoh は、nmap を使用してポート スキャンを実行しているときに、2 つの開いたポートが表示されているシステムを発見しました。 その口はすぐに彼を心配させた。 21/オープン 23/オープン これらのポートではどのようなサービスが実行されている可能性がありますか? A.SSHとFTP B. FTP と Telnet C. SMTP と Telnet D. POP3 と SMTP
B
23.アーロンは、会社が PCI-DSS に準拠していることを確認したいと考えています。彼の会社は、年間数百万ドルの取引がある大規模な企業組織です。大規模な組織がこの種のテストを実施する最も一般的な方法は何ですか? A. 自己評価 B. COBIT の第三者評価を実施する C. 他の企業と提携し、2 つの組織間で評価交換を実施する D. 資格のあるセキュリティ評価者を使用して第三者評価を実施する
D
24. アプリケーションの潜在的な使用法に対するソフトウェア テストの範囲を評価するために使用される一般的な方法は何ですか? A. テストカバレッジ分析 B. ソースコードのレビュー C. ファジィ分析 D. コードレビューレポート
あ
25. システムが許可すべきではない機能に焦点を当てたテストは、どのようなタイプのテストの例ですか? A. ユースケースのテスト B. 手動テスト C. 誤用ケースのテスト D.動的テスト
C
26. Web サイトへのトラフィックをシミュレートしてパフォーマンスを監視する監視の種類は何ですか? A. ログ分析 B. 包括的なパフォーマンス監視 C. パッシブモニタリング D. シミュレートされたトランザクション分析
B
27.Perek は、組織がライフサイクル全体を通じてすべてのアカウントに対するすべての変更を確実に追跡したいと考えています。彼の組織はどの種類のツールに投資すべきでしょうか? A. LDAP などのディレクトリ サービス B.IAMシステム C. SIEM システム D.EDRシステム
B
Lightweight Directory Access Protocol(英語: Lightweight Directory Access Protocol、略称: LDAP)は、IP プロトコルを通じてアクセス制御を提供し、分散情報のディレクトリ情報を維持する、オープンで中立的な業界標準のアプリケーション プロトコルです。 統合 ID 認証管理プラットフォーム (IAM) セキュリティ情報およびイベント管理 (SIEM) は、組織が業務に支障をきたす前に、潜在的なセキュリティ上の脅威や脆弱性を特定して解決できるようにするセキュリティ ソリューションです。 SIEM システムは、企業のセキュリティ チームがユーザーの行動の異常を検出し、人工知能 (AI) を使用して脅威の検出とインシデント対応に関連する多くの手動プロセスを自動化するのに役立ちます。オリジナルの SIEM プラットフォームは、セキュリティ情報管理 (SIM) とセキュリティ イベント管理 (SEM) を組み合わせたログ管理ツールで、セキュリティ関連イベントのリアルタイム監視と分析、およびコンプライアンスまたは監査のためのセキュリティ データの追跡と記録を可能にします。目的。 (Gartner は、SIM と SEM テクノロジーの組み合わせを指す SIEM という用語を 2005 年に造語しました。) SIEM ソフトウェアは、ユーザーおよびエンティティの行動分析 (UEBA) やその他の高度なセキュリティ分析、人工知能、機械学習機能を組み込むために長年にわたって進化してきました。 、異常な動作と高度な脅威指標を特定するために使用されます。現在、SIEM は、セキュリティ監視とコンプライアンス管理のユースケースにおける最新のセキュリティ オペレーション センター (SOC) の定番となっています。 エンドポイントの検出と対応 (EDR) は、企業のネットワークやシステムに対する高度なサイバーセキュリティの脅威に対する継続的な監視と対応を提供するテクノロジーの一種です。 EDR はエンドポイント セキュリティのサブセットで、従業員がラップトップ、スマートフォン、その他のモバイル デバイスを介してネットワークにリモート アクセスする場合に、企業ネットワークとデータを保護するための総合的なアプローチを採用します。これらの資産は、ユーザーを企業のテクノロジー スタックに接続するチェーンの終端にあるため、エンドポイントと呼ばれます。
28.Jm は、ツールを使用してシステムをスキャンして利用可能なサービスを探し、それらのサービスに接続してバナー情報を収集し、サービスのバージョンを特定します。次に、サービス フィンガープリント、バナー情報、および同様の詳細に基づいて収集した内容を詳細に示すレポートを、結果の CVE 情報と組み合わせて提供します。ジムはどのような種類のツールを使用していますか? A. ポートスキャナ B. サービスバリデータ C. 脆弱性スキャナー D. パッチ管理ツール
C
29.エミリーは、テストしている Web アプリケーションにデータを送信するスクリプトを作成します。スクリプトが実行されるたびに、Web アプリケーションの予期される要件に一致する一連のデータ トランザクションが送信され、そのトランザクションが検証されます。 典型的な顧客行動への対応。彼女はどのような種類のトランザクションを使用していますか?また、これはどのような種類のテストですか? A. 包括的で受動的な監視 B. 包括的なユースケースのテスト C. 実際の動的なモニタリング D. 実際のファズテスト
B
30. 品質を確保するために、アプリケーションまたは Web サイトとのすべてのユーザー操作を記録するパッシブ モニタリング テクノロジーはどれですか? そしてパフォーマンスは? A. クライアント/サーバーのテスト B. 実際のユーザーの監視 C. 包括的なユーザー監視 D. パッシブなユーザー記録
B
31 今年の初め、ジムの雇用主の情報セキュリティ チームは、ジムが保守を担当していた Web サーバーの脆弱性を発見しました。彼はすぐにパッチを適用し、正しくインストールされたと確信していましたが、脆弱性スキャンでは依然としてシステムに脆弱であるという誤ったフラグが付けられました。この問題を解決して、誤ったラベルが付けられないようにするにはどうすればよいでしょうか? A. パッチをアンインストールして再インストールします。 B. 情報セキュリティ チームに、システムを修正され、その特定の脆弱性が存在しないものとしてマークするよう依頼します。 C. Web サーバー構成のバージョン情報を更新します。 D. 脆弱性レポートを確認し、他の修復オプションを使用します。
B
32 Anols は、自動化ツールを使用して、Web ブラウザによる外部データの処理をテストしたいと考えています。彼女は設定する必要があります どのツールを選択すればよいでしょうか? A.Nmap B.ズフ C. ネッスス D.ニクト
B
ネットワーク脆弱性スキャナ: •Nessus、広く使用されている脆弱性スキャナ。 ・QualysGuard、クアリス株式会社。 •NeXpose、Rapid7 企業。 •OpenVAS、オープンソース スキャナ。
一般的に使用される Web アプリケーションの脆弱性スキャン ツールには次のものがあります。 •ネッスス •商用スキャナーAcunetix •オープンソース スキャナ Nikto および Wapiti •オープンソーススキャナWapiti ・プロキシツールBurpSuite
ネットワークディスカバリスキャナ: Nマップ クリスマススキャン
データベースの脆弱性スキャン: sqlmap
侵入ツール: メタスプロイト
覚えて
33. STRIDE は、偽装、改ざん、拒否、情報開示、サービス拒否、特権昇格の略です。アプリケーション脅威モデリングのどの部分に役立ちますか? A. 脆弱性の評価 B. 誤用ケースのテスト C.脅威の分類 D. 侵入テストの計画
C
1. なりすましは偽装です。たとえば、他人の ID を使用して発言する場合、IP を変更することを考えました。これが IP Spoofing です。 2. 改ざんとは改ざんを意味します。たとえば、私が他人の ID を使用して話す方法は、正規のパッケージを改ざんすることですが、そのサーバーには対応するチェック手段がありません。 3. 否認とは、認めることを拒否することを意味します。たとえば、私がこれらの攻撃を実行し、彼らが私がそうしたことを知らなかった場合、そして私がやったという証拠がない場合、私はそれを認める必要はありません。 4. 情報漏洩とは、例えばデジタル写真群に何の保護もなく、他人がその写真の情報を容易に入手できることをいいます。 5. サービス拒否は、たとえば、私の自動投稿により、通常のユーザーがアクセスできなくなることです。 6. 権限の昇格とは、例えば管理者権限で何かをしようとする場合に該当します。
34. ワイヤレス侵入検知システムなどのワイヤレス セキュリティ テクノロジの実装に加えて、パッシブ スキャンを実行する必要があるのはなぜですか? A. 不正なデバイスを特定するのに役立ちます。 B. スクリプト攻撃を通じてワイヤレス ネットワークのセキュリティをテストできます。 C. 各ワイヤレス チャネルに短時間留まり、より多くのデータ パケットをキャプチャできます。 D.これらは、ワイヤレス IDS または IPS システムのテストに役立ちます。
あ
35.ポールは侵入テストの承認プロセスを見直しており、適切な管理レビューが確実に受けられるようにしたいと考えています。商用システムの侵入テストの実施要求を誰が承認したかを確認する必要がありますか? A. 変更諮問委員会 B. 上級管理職 C. システムのシステム管理者 D. サービス所有者
B
36. パッチや構成変更によってもたらされた新しいバグを明らかにすることを目的としたソフトウェア テストを表す用語はどれですか? A. 非回帰テスト B. 進化のテスト C. 発煙試験 D 回帰テスト
D
37.次のツールのうち、ペネトレーション テスターがターゲット オペレーティング システムを識別しないものはどれですか? A.Nmap B. ネッスス C.ニクト D.sqlmap
D
38 スーザンは、組織の高リスク領域を予測する必要があり、メトリクスを使用してリスクの傾向を評価したいと考えています。この問題に対処するには彼女は何をすべきでしょうか? A リスク評価を毎年実施します。 B. 侵入テスト会社を雇って、組織のセキュリティを定期的にテストします。 C. 主要なリスク指標を特定し、追跡する。 D. SIEM デバイスを使用してログとイベントを監視します。
C
39. 包括的モニタリングとパッシブモニタリングの主な違いは何ですか? A. 包括的な監視は、問題が発生した後にのみ機能します。 B パッシブ監視では機能上の問題を検出できません。 C. 受動的な監視は問題が発生した後にのみ機能します。 D. 包括的な監視では機能上の問題を検出できません。
C
質問 40 ~ 42 については、次のシナリオを考慮してください。 Chris は、ここに示す標準的な侵入テスト方法を使用しました。この方法と侵入テストの知識を使用して、侵入テスト中のツールの使用に関する質問に答えます。 40. フェーズ 1 の計画で最も重要なタスクは何ですか? A. テスト ラボを構築する B. 認可の取得 C. 適切なツールを集める D. テストがホワイト ボックス、ブラック ボックス、またはグレー ボックスのいずれであるかを判断する 41. 次のツールのうち、検出フェーズで使用される可能性が最も高いのはどれですか? A. ネッスス B.ジョン C.Nマップ D.ニクト 42. 報告段階で問題が発生しないようにするために、計画段階で対処することが最も重要な問題は次のうちどれですか? A. どの CVE 形式を使用するか B. 脆弱性データの保存方法と送信方法 C. どの目標が禁止されているか D. レポートにはどれくらい時間がかかりますか?
B
C
B
•計画段階には、テスト範囲とルールに関する合意が含まれます。計画段階は、テスト チームと経営陣がテストの性質について合意し、テストが承認されていることを明確にするための非常に重要な段階です。 •情報の収集と検出フェーズでは、手動ツールと自動ツールを組み合わせて、ターゲット環境に関する情報を収集します。このフェーズには、 システム機能 (システム上でホストされている Web サイトへのアクセスなど) を判断し、ネットワーク検出スキャンを実行してシステムの開いているポートを特定するための基本的な偵察。 •脆弱性スキャン段階では、ネットワーク脆弱性スキャン、Web脆弱性スキャン、データベース脆弱性スキャンを組み合わせて、システムの脆弱性を検出します。 • 悪用フェーズでは、手動および自動の脆弱性悪用ツールを使用して、システムのセキュリティ防御を突破しようとします。 •レポート段階では、侵入テストの結果を要約し、システムのセキュリティを向上させるための推奨事項を作成します。
43. コード テスト スイートの動作を検証するときに一般的に使用される 4 種類のカバレッジ基準は何ですか? A. 入力、ステートメント、分岐、条件のカバレッジ B. 西欧の数値、ステートメント、分岐および条件の適用範囲 C. AP、ブランチ、境界および条件のカバレッジ D. 境界、分岐、ループ、および条件カバレッジ
B
44. セキュリティマネージャーとしての役割の一環として、ジェイコブは組織の管理チームに次の表を提供します。彼はどのような種類の測定値を提供しますか? A. カバレッジ測定 B. 主要業績評価指標 C. 生存時間インジケーター D. ビジネス重要度指標
B
45. ログを確認するときに、すべてのユーザーに一意のユーザー ID を使用すると何が得られますか? A. 機密保持 B.誠実さ C. 可用性 D. 会計上の責任
D
46. ソフトウェアテスト中に、一般的にテストされないインターフェイスは次のうちどれですか? A.API B.ネットワークインターフェース C. ユーザーインターフェース D.物理インターフェース
B
P580 3 つのタイプ: API アプリケーション プログラミング インターフェイス UI 物理インターフェース
47.アランの組織は、セキュリティ コンテンツ オートメーション プロトコル (SCAP) を使用して脆弱性管理手順を標準化しています。 Alan は、SCAP のどのコンポーネントを使用して、さまざまなセキュリティ評価ツールによって生成された脆弱性の正体を照合できますか? A.オーバル B. XCCDF C.CVE D. SCE
C
脆弱性の説明 •セキュリティ コンテンツ オートメーション プロトコル (SCAP): SCAP は、NIST がセキュリティ コミュニティに提供する脆弱性の説明と評価の共通標準であり、異なるセキュリティ システム間の対話の自動化を促進します。 SCAP コンポーネントには次のものが含まれます。 • Common Vulnerabilities and Exposures (CVE): セキュリティの脆弱性を説明するための命名システムを提供します。 • Common Vulnerability Scoring System (CVSS): セキュリティ脆弱性の重大度を説明する標準化されたスコアリング システムを提供します。 • Common Configuration Enumeration (CCE): システム構成の問題に対する命名システムを提供します。 •Common Platform Enumeration (CPE): オペレーティング システム、アプリケーション、デバイスの命名システムを提供します。 •拡張可能な構成チェックリスト記述形式 (XCCDF): セキュリティ チェックリストを記述するための言語を提供します。 •Open Vulnerability and Assessment Language (OVAL): セキュリティ テスト プロセスを記述する言語を提供します。
48. スーザンはソフトウェア テスト カバレッジ データを確認しており、次のグラフに示されている情報を確認します。このテストプロセスについて彼女は何を判断できるでしょうか? (該当するものをすべて選択。) A. テストは完全にはカバーされていません。 B. テスト 4 は失敗しませんでした。 C テスト 2 は正常に実行されませんでした。 D. 5 回目のテスト実行が必要です。
紀元前
49. 脆弱性スキャナーによって発見された脆弱性を修正するための合理的なアプローチではない戦略は次のうちどれですか? A. パッチをインストールします。 B. 一時的な修正を使用する。 C. バナーまたはバージョン番号を更新します。 D. アプリケーション層を使用する
C
50. 侵入テスト中に、セラはターゲット企業のヘルプデスクに電話し、その会社の上級社員のアシスタントであると主張しました。彼女は、旅行中にラップトップに問題が発生したため、シニア アソシエイトのパスワードをリセットするようヘルプ デスクに依頼し、無事にそうするよう説得されました。彼女はどのような攻撃を成功させたのでしょうか? A. ゼロ知識攻撃 B. 助けることと騙すこと C. ソーシャル エンジニアリング攻撃 D. ブラックボックステスト
C
51. このイメージでは、ログ処理の設定によってどのような問題が発生する可能性がありますか? A. アーカイブ中にログが失われる可能性があります。 B. ログデータは上書きされる可能性があります。 C. ログデータには必要な情報が含まれていない可能性があります。 D. ログ データがシステム ディスクをいっぱいにする可能性があります。
D
52. 侵入テストに関連するリスクではないものは次のうちどれですか? A. アプリケーションがクラッシュする B. サービス妨害 C.停電 D.データの破損
C
53. セキュリティとプライバシー管理の評価を取り上げている NIST の特別出版物はどれですか? A. 800-12 B.800-53A C.800-34 D. 800-86
B
54 ミシェルは定量的なビジネス影響評価を実施しており、ダウンタイムのコストを決定するためにデータを収集したいと考えています。ビジネスに対するこれらの停止のコストを計算するには、前年の停止からどのような情報を収集する必要がありますか? (該当するものをすべて選択。) A. 総ビジネスダウンタイム B. 障害から回復するために必要なスタッフの時間数 C. 停止中の 1 時間あたりのビジネス損失 (米ドル) D. 従業員の平均時給
あいうえお
55. Kara の主な関心事が盗聴攻撃を防ぐことである場合、どのポートをブロックする必要がありますか? A.22 B.80 C.443 D.1433
B
56. Kara の主な関心事がサーバーへの管理接続を阻止することである場合、どのポートをブロックする必要がありますか? A.22 B.80 C.443 D.1433
あ
57. 第三者監査の過程で、ジムの会社は発見を受けました。 「管理者はバックアップの成功と失敗のログを毎日確認し、報告された異常を解決するために迅速な措置を講じる必要があります。この発見はどのような潜在的な問題を示していますか?」 A. 管理者には、バックアップが成功したか失敗したかを知る方法がありません。 B. バックアップが正しく記録されていない可能性があります。 C バックアップは利用できない可能性があります。 D. バックアップ ログが適切に確認されていない可能性があります。
C
58.ジムは、彼の組織が国際組織で使用する監査基準を決定するのを手伝っています。そうでないものは次のうちどれですか ジムの組織はレビューの際にどのような IT 標準を使用する可能性がありますか? A. コビット B.SSAE-18 C.ITIL D. ISO 27001
C
59 ニコールは、組織の標準に基づいた監査を実施したいと考えています。情報システムの一般的な要件を説明するために一般的に使用されるのは次のうちどれですか? A.IEC B. コビット C. FISA D.DMCA
B
60.Kely のチームは、リリースされるパッチごとに回帰テストを実施します。テストの有効性を測定するにはどの主要業績評価指標を維持する必要がありますか? A. 脆弱性の修正時間 B. 不良再発率指標 C. 重み付けされたリスク傾向 D. テストの特定の範囲の測定
B
61. 次のタイプのコード レビューのうち、通常は人間によって実行されないものはどれですか? A. ソフトウェアチェック B. ペアプログラミング C.静的プログラム解析 D. ソフトウェアのウォークスルー
C
質問 62 ~ 64 については、次のシナリオを考慮してください。 スーザンは会社の品質保証チームのリーダーです。このチームは、会社の中核ソフトウェア製品のメジャー リリースのテストを実施するよう依頼されました。 62.スーザンのソフトウェア テスト チームは、エラー状態が発生した場合にのみ使用されるパスを含む、すべてのコード パスをテストする必要があります。彼女のチームが完全なコード カバレッジを確保するには、どのような種類のテスト環境が必要ですか? A. ホワイトボックステスト B. グレーボックステスト C. ブラックボックステスト D. 動的テスト 63. 新しいアプリケーションの進行中のテストの一環として、スーザンの品質保証チームは、一連のブラックボックス テスト用の一連のテスト ケースを設計しました。これらの機能テストが実行され、何が起こったかを説明するレポートが作成されます。このテストプロセスでは、テスト指標を示すために通常どのようなタイプのレポートが生成されますか? A. テストカバレッジレポート B. 侵入テストレポート C. コードカバレッジレポート D.行カバレッジレポート 64. コード カバレッジ テストの一環として、スーザンのチームは非運用環境での分析にロギング ツールとトレース ツールを使用しています。動作環境の変化により見落とされる可能性が高いコーディングの問題は、次のタイプのうちどれですか? A. 不正な境界チェック B. 入力の検証 C 競合状態 Dポインタの操作
あ
あ
C
65.ロビンは最近脆弱性スキャンを実施し、機密情報を扱うサーバーに重大な脆弱性を発見しました。ボビンは次に何をすべきでしょうか? A.パッチ B. レポート C.訂正 D.検証
D
P574 検出---検証---修復
66.アンドレアが組織の CI/CD プロセスで実行する自動コード テストと統合は失敗します。会社がコードをすぐにリリースする必要がある場合、アンドレアは何をすべきでしょうか? A. テストを手動でバイパスします。 B. エラー ログを確認して問題を特定します。 C. テストを再実行して、正しく動作するかどうかを確認します。 D. 修正のためにコードを開発者に送り返します。
B
67. ミシェルは、脆弱性の悪用可能性、悪用コードの存在、修復の難易度などの指標に基づいて、データ センターで見つけた脆弱性を比較したいと考えています。これらの脆弱性指標を比較するにはどのようなスコアリング システムを使用する必要がありますか? A.CSV B. NVD C. VSS D.CVSS
D
SCAP コンポーネントには次のものが含まれます。 • Common Vulnerabilities and Exposures (CVE): セキュリティの脆弱性を説明するための命名システムを提供します。 • Common Vulnerability Scoring System (CVSS): セキュリティ脆弱性の重大度を説明する標準化されたスコアリング システムを提供します。 • Common Configuration Enumeration (CCE): システム構成の問題に対する命名システムを提供します。 •Common Platform Enumeration (CPE): オペレーティング システム、アプリケーション、デバイスの命名システムを提供します。 •拡張可能な構成チェックリスト記述形式 (XCCDF): セキュリティ チェックリストを記述するための言語を提供します。 •Open Vulnerability and Assessment Language (OVAL): セキュリティ テスト プロセスを記述する言語を提供します。
68. Alex は、ネットワーク上でポート スキャンを実行しているときに、社内のさまざまなオフィスにある複数のホストで TCP ポート 80、443、515、および 9100 が応答していることを発見しました。アレックスが発見した可能性のあるデバイスは何ですか? A. Webサーバー B. ファイルサーバー C. 無線アクセスポイント D.プリンター
D
69 Nito、Burp Sure、Woot とはどのようなツールですか? A.Webアプリケーション脆弱性スキャンツール B. コードレビューツール C.脆弱性スキャンツール D.Portスキャンツール
あ
70 Frank のチームは、同社の開発者がアプリケーション インフラストラクチャ用に構築している新しい API をテストしています。 Frank のチームが発見する可能性のある一般的な API の問題ではないものは次のうちどれですか? A. 不正な暗号化 B. オブジェクトレベルの認可の問題 C. ユーザー認証の問題 D. レート制限の欠如
あ
暗号化はアプリケーション層では行われません
71Jim は、次の使用を推奨する侵入テスト請負業者と協力しています。 メタスプロイト。ジムは Metasploit を使用するときに何が起こると予想する必要がありますか? A. システムの脆弱性をスキャンします。 B. システム内の既知の脆弱性を悪用する。 C. サービス内のバッファ オーバーフローやその他の未知の欠陥を検出します。 D. システムでゼロデイ脆弱性テストを実施します。
B
72 スーザンは、電子商取引アプリケーションのさまざまなコンポーネント間の対話が正しく処理されることを確認する必要があります。彼女は、インフラストラクチャ全体の通信、エラー処理、およびセッション管理機能を検証する予定です。彼女はどのような種類の検査を実行する予定ですか? A. 虐待ケースのテスト B. ファズテスト C. 回帰テスト D.インターフェーステスト
D
73. Jim は組織のログ管理システムを設計しており、組織のログ データの処理について慎重に計画する必要があることを認識しています。ジムが懸念すべき要素ではないのは次のうちどれですか? A. ログデータ量 B. 十分なログ ソースの欠如 C. データストレージのセキュリティ要件 D.ネットワーク帯域幅
B
74. ライアンの組織は、アカウントを適切に管理したいと考えていますが、一元化された ID およびアクセス管理ツールを持っていません。 Rvan 内部監査中にアカウント管理プロセスの検証を行う場合、最善の選択肢は何ですか? A過去 90 日間のすべてのアカウント変更を確認します。 B. 価値の高い管理者アカウントを検証する場合に選択します。 C. 過去 180 日以内のすべてのアカウント変更を確認します。 D. アカウントのランダムサンプリング検証を実施します。
D
75. Windows システムが再起動すると、どのような種類のログが生成されますか? A. エラー B. 警告 C. 情報 D.レビューに失敗しました
C
76. 調査中、アレックスは、ミシェルが毎朝午前 8 時にワークステーションにログインしていたが、その日の午前 3 時直後に部門のメイン Web アプリケーション サーバーにログインしていたことに気づきました。 Alex が経験している一般的なロギングの問題は何ですか? A. 一貫性のないログ形式 B. 変更されたログ C. 一貫性のないタイムスタンプ D. 複数のログソース
C
77. ネットワーク上で利用可能なサービスを通じて取得された情報だけでなく、スキャンが実行されるシステムから取得された構成情報にアクセスする脆弱性スキャンのタイプはどれですか? A. 認定スキャン B. Web アプリケーションのスキャン C. 認証されていないスキャン D.ポートスキャン
あ
どのような種類の脆弱性スキャンにより、実行中のシステムの構成情報やネットワーク経由で提供されるサービスへのアクセスが可能になりますか? 認証スキャン(正解) Web アプリケーションのスキャン 未認証のスキャン ポートスキャン 認証スキャンでは、構成ファイルへの読み取り専用アカウント アクセスが使用されるため、脆弱性をより正確にテストできます。 Web アプリケーション スキャン、非認証スキャン、およびポート スキャンでは、構成ファイルが誤って公開されない限り、構成ファイルにアクセスできません。
質問 78 ~ 80 については、次のシナリオを考慮してください。 ベンの組織は、STRIDE を使用してソフトウェアを評価し、脅威エージェントとこれらの脅威がビジネスに与える可能性のある影響を特定し始めました。彼らは現在、特定された問題に対処するための適切な管理を特定することに取り組んでいます。 78.Ben の開発チームは、特権昇格の脅威につながる可能性のある認証の問題を解決する必要があります。この種の問題に最も適したコントロールは次のうちどれですか? A. 監査とログを有効にします。 B. 特定の操作に対してロールベースのアクセス制御を使用します。 C. データ型と形式のチェックを有効にする。 D. ユーザー入力に対してホワイトリスト テストを実行します。 79.Ben のチームは、複数のサーバーで共有される対称キーによって引き起こされるトランザクション識別の問題を分類しようとしています。これは次の STRIDE カテゴリのどれに当てはまりますか? A. 情報漏洩 B. サービス妨害 C. 改ざん D. 否定する 80. Ben Xizhao は、サービス拒否攻撃中に最大のトラフィックでサインインし、サードパーティのサービスを使用してサービス拒否攻撃を評価しています。 絶対的なサービス攻撃の脆弱性。彼は組織にどのようなタイプの関与を推奨すべきでしょうか? A. ソーシャル エンジニアリングへの参加 B. 侵入テスト C. 負荷またはストレステスト D. ファズテストを使用したテスト
B
D
C
81 Chris は、組織のセキュリティ情報およびイベント管理 (SIEM) レポートの問題を解決しています。問題を分析した後、彼は、異なるシステムのログ エントリの時刻が一致していないのではないかと考えました。この問題を解決するにはどのようなプロトコルを使用できますか? A.SSH B.FTP C.TLS D.NTP
D
82.Ryan は、Web アプリケーションのテスト プロジェクトでファズ テストの使用を検討しています。決断を下す ファズ テストに関する次の記述のうち、Ryan が考慮すべきものはどれですか? A. ファジー テストでは、複雑な障害のみを検出できます。 B. テスターは入力を手動で生成する必要があります。 C. ファズテストはコードを完全にカバーしていない可能性があります。 D. ファズテストではエラーを再現できません。
C ファズ テストは通常、プログラムのすべてのコードを完全にカバーすることはできず、通常は複雑なビジネス ロジックを含まない単純な脆弱性の検出に限定されます。
83.ケンは、彼のチームが開発しているソフトウェアのテストプロセスを設計しています。彼は、テスト中にコードのすべての行が実行されたことを検証するテストを設計しました。 Ken はどのような分析を行っていますか? A. 支店のカバレッジ B. 条件の適用範囲 C. 機能範囲 D. ステートメントの対象範囲
D
質問 84 ~ 86 については、次のシナリオを考慮してください。ポート スキャンを実行するときに、Ben は nmap のデフォルト設定を使用し、次の結果を確認しました。 84. ベンが侵入テストを実施している場合、これらの結果を受け取った後、次のステップは何をすべきですか? A. Web ブラウザを使用して Web サーバーに接続します。 B. Telnet 接続を使用して、脆弱なアカウントをテストします。 C. さらにスキャンするために対象となるポートを特定します。 D. 開いているデータベースで sqlmap を使用します。 85. スキャン結果に基づいて、スキャンされたシステムが実行している可能性が最も高いオペレーティング システム (OS) は何ですか? A. Windows デスクトップ版 B. Linux C. ネットワーク機器 D. Windowsサーバー 86.ベンのマネージャーはスキャンの範囲を懸念しています。彼のマネージャーは何を心配しているでしょうか? A. Ben は UDP サービスをテストしていません。 B.Ben は、「既知のポート」以外のポートを見つけませんでした。 C. Ben は OS フィンガープリントを実行しませんでした。 D.Ben は限られた数のポートのみをテストしました。
C
B
D
87.Lucca さんは、組織の災害復旧プロセスに関するデータを確認しており、企業のメイン Web サイトが MTDは2時間です。テストと検証中に、サイトの RTO について何を学びましたか? A. 所要時間は 2 時間以内です。 B. 少なくとも 2 時間はかかります。 C. MTD 時間は短く、時間がかかります。 D. RTO 時間が短すぎるため、さらに時間がかかります。
あ
MTD は、許容される最大ダウンタイムです。 MTD 検証を実行する場合、検証結果はシステムがオフラインになれる最大時間のみを示します。
88.ダイアナは第三者の監査人を雇用しており、監査の詳細を含まない監査証明書を第三者に発行したいと考えています。どのタイプの SSAE 18 SOC レポートをリクエストする必要がありますか? A. SOC 1 B. SOC 2 C. SOC 3 D. SOC 4
C
89. Madhuri は、組織の新しいアプリケーションのソフトウェア テストの出力を確認しているときに、アプリケーションが Web アプリケーションのテスターに表示されるディレクトリとファイルの情報を含むエラーを生成していることに気付きました。 彼女のレポートにはどの質問を含めるべきですか? A. 適切な例外処理が実行されません。 B. ソフトウェアは誤使用ケースのテストを適切に処理しません。 C. デバッグステートメントを削除する必要がある。 D. エラーのため、コードは完全にはテストされていません。
あ
90. 侵入テストを実施する前に行うべき最初のステップは何ですか? A. データ収集 B. ポートスキャン C. 許可を得る D.プラン
C
91.JOHn CEO は、業界における暗号化マルウェアの深刻な増加を懸念しています。彼女は、マルウェアが実稼働システムに侵入して暗号化した場合に、会社のデータを復元できるという保証を求めました。会社の準備が整っていることを彼女に伝えるには、どのようなプロセスが必要ですか? A. すべての機密データを暗号化します。 B. 組織のすべてのデータをハッシュして、暗号化マルウェアを検出します。 C. バックアップ検証を実行します。 D. 暗号化対策テクノロジーを使用して、マルウェアによるドライブの暗号化を防ぎます。
C
92 Joanna は、組織の CISO であり、セキュリティ運用を監視する役割を担っています。彼女は、セキュリティ関連の変更を管理者が継続的に監視できるようにしたいと考えています。ほとんどの組織では、この種のデータの追跡に注力すべきシステムはどれでしょうか? A. SIEM システム B.IPSシステム C.CMSツール D.ITSMワークベンチ
D
93. ヘンリーは、バックアップが有効であることを確認したいと考えています。実際の災害復旧シナリオでバックアップが確実に役立つようにするための最良の方法は次のどれですか? A. バックアップが適切に機能していることを確認するために、ランダムなファイルを定期的に復元します。 B. 構成と設定を定期的にチェックして、バックアップ設定を確認します。 C. バックアップ ログをチェックして、エラーが発生していないことを確認します。 D. バックアップから完全な復元を定期的に実行して、成功したことを確認します。
D
94.スキャナーが検出できない脆弱性の種類は何ですか? A. ローカルの脆弱性 B. サービスの脆弱性 C. ゼロデイ脆弱性 D. 認証を必要とする脆弱性
C
95.ジャシンダは、安全指標の 1 つとして、安全トレーニングの有効性を測定したいと考えています。セキュリティ意識向上トレーニングの効果を評価するのに最も役立つ尺度は次のうちどれですか? (該当するものをすべて選択。) A.研修参加者数 B.訓練前後の安全意識レベル C. トレーニング期間 (時間単位) 口.各人が今年参加した研修イベントの数
AB
96 年、エレインは、組織で使用されている製品にこれまで知られていなかった重大な脆弱性を発見しました。彼女の組織は倫理的情報開示を非常に重視しており、エレインは一般的な倫理的情報開示慣行に従っています。彼女は最初に何をすべきですか A. 内部修復手段または管理を構築し、脆弱性を公的に公開して、ベンダーに脆弱性に迅速にパッチを適用するよう促します。 B. 内部の改善策または管理を構築し、サプライヤーに問題を通知します。 C. サプライヤーに通知し、問題を解決するための適切な時間を与えます。 D. ベンダーが適切な時期にパッチを適用できるように、脆弱性を公的に公開します。
C
質問 97 ~ 99 については、次のシナリオを考慮してください。 NIST Specral Puolircatton 800-115、侵入テストおよび侵入テストの技術ガイドでは、NIST による侵入テストのプロセスが提供されています。このイメージと侵入テストに関する知識を使用して質問に答えてください。 97.次のうち、発見フェーズに含まれないものはどれですか? A. ホスト名とIPアドレスの情報の収集 B. サービス情報の取得 C. ゴミ箱の検索 D. 権限の昇格 98. NIST は、アクセスの取得、権限の昇格、システムの閲覧、ツールの配布という 4 つの攻撃フェーズのステップを指定しています。攻撃者が追加のツールをインストールすると、ペネトレーション テスターは通常どの段階に戻りますか? A. 発見する B. アクセスを取得する C. 権限の昇格 D. システムの閲覧 99.次のうち、侵入テスト レポートの一般的な部分ではないものはどれですか? A. 特定された脆弱性のリスト B. テスト中に収集されたすべての機密データ C. 発見された各問題のリスク評価 D. 特定された問題に対する緩和ガイダンス
D
B
B
100. Alox は nmnao を使用してシステム上でポート スキャンを実行しており、結果として 3 つの異なるポート ステータス メッセージを受け取りました。番号付きの各ステータス メッセージを、適切なメッセージの説明と照合します。各アイテムは 1 回のみ使用できます。 ステータスメッセージ 1.開く 2.閉じる 3. フィルター 説明する A. リモート システムのポートにはアクセスできますが、そのポートでの接続を受け入れるアプリケーションはありません。 B. リモート システムのポートにアクセスできません。 C. リモート システムのポートにアクセス可能であり、アプリケーションはそのポートでの接続を受け入れます。
CBA