最新的CompTIA CAS-003日本語免費考試真題

問題1

セキュリティアナリストが企業のMDM設定を確認し、無効になっている設定に気付いたため、信頼できない開発者からプログラムをダウンロードして手動でインストールできるようになりました。会話の後、モバイルアプリケーションの内部開発をサポートするためにこれらの設定が無効になっていることが確認されました。セキュリティアナリストは現在、開発者とテスターがこれを可能にする個別のデバイスプロファイルを持ち、組織の他のユーザーが信頼できないアプリケーションを手動でダウンロードしてインストールすることはできないことを推奨しています。目標を達成するために切り替えるべき設定は次のうちどれですか。（2つ選んでください。）

A. OTAの更新

B. サンドボックス化

C. 署名済みアプリケーション

D. コンテナ化

E. リモートワイプ

F. サイドローディング

正確答案: C,D

問題2

資産管理ライフサイクルの一環として、企業は、認定された機器廃棄ベンダーと連携して、使用されなくなった企業資産を適切にリサイクルおよび破壊します。ベンダーのデューデリジェンスの一環として、ベンダーから入手するのに最も重要なものは次のうちどれですか？

A. ベンダーの情報セキュリティポリシーのコピー。

B. 企業システムに含まれるすべてのデータをカバーする署名付きNDA。

C. ベンダーが保持している現在の監査レポートと認証のコピー。

D. 認証要件への準拠を示すために使用される手順のコピー。

正確答案: B

問題3

地域ビジネスは来週深刻な冬の嵐を予想している。 ITスタッフは、さまざまな状況への対処方法に関する企業ポリシーを検討していますが、見逃しているものや不完全なものもあります。このドキュメントのギャップを情報セキュリティマネージャに報告した後、すぐに文書が作成され、運用のダウンタイムを回避するためにさまざまな担当者が他の場所に移動します。これは次の例です。

A. 災害復旧計画

B. リスク回避計画

C. 事業継続計画

D. 事件対応計画

正確答案: A

問題4

新しく採用されたセキュリティアナリストが、確立されたSOCチームに参加しました。企業指向を経てまもなく、Webベースのアプリケーションに対する新しい攻撃方法が一般に公開されました。セキュリティアナリストはすぐにこの新しい情報をチームリーダーにもたらしますが、チームリーダーはそれを心配していません。次のうちどれがチームリーダーの地位のための最も可能性の高い理由ですか？

A. Webベースのアプリケーションは、独立したネットワークセグメント上にあります。

B. 攻撃の種類が組織の脅威モデルを満たしていません。

C. 会社の方針では、NIPSの署名は1時間ごとに更新する必要があります。

D. 組織はWebベースの脅威に関連するリスクを受け入れています。

正確答案: D

問題5

ある組織の最高情報セキュリティ責任者（CISO）は、IDSベンダーによって新しいルールがリリースされる前に、カスタムIDSルールセットをより早く開発したいと考えています。次のベストのどれがこの目的を満たしていますか？

A. 最新のTCPおよびUDP関連のRFCを活用して、異常検出のための適切なヒューリスティックを備えたセンサーとIDSを起動します。

B. IDSルールのサードパーティソースを特定し、新しいルールセットを取り込むように該当するIDSの設定を変更します。

C. 年間のハッキング規約を使って最新の攻撃と脅威を文書化し、それらの脅威に対抗するためのIDSルールを作成する

D. サイバーセキュリティアナリストがオープンソースのインテリジェンス製品と脅威データベースをレビューして、それらの情報源に基づいて新しいIDSルールを作成するように促す

正確答案: D

問題6

IT変革プログラムを受けている大規模金融機関の最高情報セキュリティ責任者（CISO）は、迅速な勝利を達成し、組織のリスクを軽減するために、ビジネス全体およびできるだけ多くのビジネスレイヤー全体にセキュリティを組み込むことを望んでいます。 CISOは、目標を最もよく満たすために、次のうちどのビジネス領域を最初にターゲットにすべきですか？

A. プログラマーと開発者は、修正プロセスを使用した自動コードレビューを含む安全なコーディングプラクティスがすぐに実装されるようにターゲットを設定する必要があります。

B. プロジェクト管理オフィスは、セキュリティが確実に管理され、新しいプロジェクトおよび進行中のプロジェクトのプロジェクト管理サイクルのすべてのレベルで含まれるようにする必要があります。

C. リスク保証チームは、組織全体で集約して経営管理用のリスク態勢ダッシュボードを作成できる主要なビジネスユニットのセキュリティリスクを特定できるようにターゲットを絞る必要があります。

D. すべての新しい従業員がフィッシングおよびランサムウェア攻撃の影響を軽減するために、セキュリティに関する意識向上とコンプライアンストレーニングを確実に実施できるように、人的資源をターゲットにする必要があります。

正確答案: C

問題7

2社の競合企業が、さまざまな攻撃者によるネットワークへの同様の攻撃を受けました。応答時間を短縮するために、両社は攻撃の発生源と方法に関する脅威情報を共有したいと考えています。次のビジネス文書のどれが、このエンゲージメントを文書化するのに最適でしょうか？

A. 業務提携契約

B. 相互接続セキュリティ契約

C. 覚書

D. サービスレベル契約

正確答案: B

說明：（僅 Fast2test 成員可見）

問題8

主要な病院システムの最高財務責任者（CFO）は、大量の暗号通貨を匿名アカウントに転送することを要求する身代金の通知を受け取りました。転送が10時間以内に行われない場合、手紙は患者情報が暗いウェブ上に公開されることを述べています。最近の患者の部分的なリストは手紙に含まれています。これは違反が発生したことの最初の兆候です。次の手順のうちどれを最初に実行する必要がありますか？

A. ハッキング対策チームを使ってデータを取得する

B. 違反の程度を判断するために監査ログを確認する

C. 適切な法的機関および弁護士に通知する

D. すべての情報が破壊されたという条件下でハッカーに支払います。

正確答案: C

問題9

セキュリティ評価の後、最高情報セキュリティ責任者（CISO）が評価の結果を検討し、潜在的なリスク対策戦略を評価しています。 CISOの評価の一環として、識別されたリスクに基づいて潜在的な影響の判断が行われます。対応行動に優先順位を付けるために、CISOは過去の経験を用いてばく露因子ならびに識別された脆弱性の外部からのアクセス可能性を考慮に入れる。
次のうちどれがCISOを実行していますか？

A. 定量的リスク評価

B. 脅威のモデル化

C. リスクの定性的評価

D. 学んだ教訓の文書化

E. ビジネスインパクトスコア

正確答案: C

問題10

企業の設計チームは、知的財産の盗難についてますます懸念を抱いています。チームのメンバーは、多くの場合、サプライヤのオフィスに出向き、そこで共同作業を行い、機密データへのアクセスを共有します。次のうちどれを実装する必要がありますか？

A. すべての機密ファイルは、多因子認証されたVPNを介してのみアクセス可能な会社のファイル共有にのみ保存する必要があります

B. TOTPを使用して認証された地理的/制限された公開SFTPサーバーにすべての機密データを保存します

C. MOMを適用し、すべての設計チームのラップトップにフルディスク暗号化を適用します

D. 多要素認証されたVDI環境を介してのみ機密データへのアクセスを許可する

正確答案: C

問題11

侵入テスト担当のJoeは、クライアントから提供されたアプリケーションバイナリのセキュリティを評価しています。次の方法のどれがこの目的を達成するのに効果的でしょうか？

A. Run the binary in an application sandbox

B. Employ a fuzzing utility

C. Use a static code analyzer

D. Manually review the binary in a text editor

正確答案: A

問題12

あるソフトウェア会社が、さまざまな外部顧客に新しいモバイルアプリケーションをリリースしています。ソフトウェア会社は新機能を急速にリリースしているので、起動時に自動的にアプリケーションを更新することができる無線によるソフトウェア更新プロセスを組み込んでいます。次のセキュリティ管理策のうち、更新プロセスの整合性を保護するために会社のセキュリティ設計者が推奨すべきものはどれですか。（2つ選んでください。）

A. ソフトウェアの更新に適用された暗号化署名を検証する

B. ソフトウェアアップデートのダウンロードにHTTPS接続を要求する

C. 可用性のために複数のダウンロードミラーがあることを確認する

D. 関連付けられているコード署名キーの証明書固定を実行する

E. 新機能のためのユーザーオプトインでクリックスループロセスを強制する

正確答案: A,D

問題13

セキュリティ構成管理ポリシーでは、すべてのパッチは本番環境に移行する前にテスト手順を実行する必要があると述べています。セキュリティアナリストは、1つのWebアプリケーションサーバーが営業時間外にテストを行わずにパッチをダウンロードして適用していることに気付きました。明らかな悪影響はなく、サーバーの機能には影響がないようで、スキャン後にマルウェアは見つかりませんでした。アナリストは次のどのアクションを実行する必要がありますか？

A. 営業時間中に発生する自動パッチのスケジュールを変更します。

B. Webアプリケーションを監視して、パッチ適用によるサービスの中断を確認します。

C. 異常なアクティビティのインシデントチケットを作成します。

D. 帯域幅の異常な消費についてWebアプリケーションサービスを監視します。

正確答案: C

問題14

ある企業が、組み込み環境で使用されるカスタマイズされたOSビルドの要件を開発しています。実行可能ファイルの処理中にバッファオーバーランが成功する可能性を減らすことができるハードウェアを同社は調達しました。この重要なハードウェアベースの対策を利用するには、OSに次の機能のうちどれを含める必要がありますか？

A. ASLR

B. SCP

C. TrustZone

D. NX / XNビット

E. アプリケーションホワイトリスト登録

正確答案: D

問題15

セキュリティ研究者は、多国籍銀行に対する標的型攻撃の数に関する最近のスポークに関する情報を収集しています。スパイクは、銀行に対する攻撃をすでに上回っています。以前の攻撃の一部は機密データの損失をもたらしましたが、まだ攻撃者はまだ資金を盗むことに成功していません。
研究者が入手できる情報に基づいて、最も可能性の高い脅威プロファイルは次のうちどれですか？

A. 不正な目的で資金へのアクセスを求めるインサイダー。

B. 社会経済的要因のために政治的声明を出そうとしているハクティビスト。

C. 戦略的に利益を得るためにスパイ活動を行っている、国が後援する攻撃者。

D. 個人的な利益のために悪名と名声を求める機会主義者。

正確答案: C

問題16

企業は、パブリッククラウドプロバイダーを介したオンデマンドコンピューティングを活用するために、機密性の高いシステムインフラストラクチャを再構築中です。移行するシステムは、遅延の可用性と整合性に関して機密性があります。インフラストラクチャチームは次のことに同意しました。
*アプリケーションサーバーとミドルウェアサーバーはクラウドに移行します "データベースサーバーはオンサイトのままになります
*データバックアップはクラウドに保存されます
次のソリューションのうち、システムとセキュリティの要件を確実に満たすのはどれですか？

A. 会社からクラウドプロバイダーへの直接接続を実装する

B. クラウドオーケストレーションツールを使用して、適切な変更管理プロセスを実装します

C. 衛星リレーでマルチゾーン地理的分布を使用する

D. 保存データのセキュリティのためにCASBを使用してクラウドにスタンバイデータベースを実装する

正確答案: A

最新的CompTIA Advanced Security Practitioner (CASP+) Exam (CAS-003日本語版) - CAS-003日本語免費考試真題

聯系我們

站內鏈接

最新更新