Domain 6

#1. セキュリティ評価（Assessment）とセキュリティテスト（Testing）の主な違いは何か？

評価は技術的、テストは運用上のリスクを確認する

テストは脆弱性発見、評価はリスク分析プロセス

テストは手動、評価は自動

違いはない

#2. Jimは銀行の主要な支店でペネトレーションテストを実施するように委託された．できるだけ現実に近いテストを行うため，彼には，銀行名と住所以外の銀行に関する情報が与えられなかった．Jimが実施を同意しているペネトレーションテストのタイプはどれか？

クリスタルボックスペネトレーションテスト

グレーボックスペネトレーションテスト

ブラックボックスペネトレーションテスト

ホワイトボックスペネトレーションテスト

#3. 管理者権限を持つユーザーが行った操作のログを監視する主な目的は何ですか？

管理者の作業効率を測定するため

権限の濫用や不正な変更を検知するため

ストレージの空き容量を管理するため

ユーザーパスワードを特定するため

#4. ソフトウェアのソースコードを読み、論理的な誤りやセキュリティ上の欠陥を特定する手法はどれか？

動的テスト（DAST）

静的テスト（SAST）

ファジング

ペネトレーションテスト

#5. Susanはシステムの脆弱性をスキャンする必要があり，リモートでシステムを診断するためのオープンソースツールを使いたいと考えている．この要件を満たし，脆弱性スキャンが可能なツールはどれか？

Nmap

OpenVAS

MBSA

Nessus

#6. バックアップデータが正しく復元できるか確認するために行うべき活動は？

暗号化

リストアテスト

オフサイト保管

重複排除

#7. 監査において「サンプリング」を使用する主な理由は何か？

全調査はコストがかかりすぎるため

精度が高いため

基準で禁止されているため

隠蔽するため

#8. ペネトレーションテストの「ゼロナレッジテスト」の説明として正しいものは？

内部情報が提供される

内部情報が一切提供されない

誰にも知らせない

特権アカウントを使う

#9. 緊急のセキュリティパッチが必要な場合でも、変更管理プロセスにおいて省略してはならないステップはどれですか？

パッチの承認

詳細なドキュメント作成

ロールバック（切り戻し）計画の策定

全社員への事前説明会

#10. Laurenはポートスキャン中に，TCPポート443がシステム上で開いていることを発見した．このポートで実行実行されている可能性が高いサービスをスキャンするのに適したツールはどれか？

zzuf

Nikto

Metasploit

sqlmap

Results