模擬試験(ドメイン6)

ドメイン6の試験です。

70%以上で合格になります。

Results

すばらしい!

まだ見ていないコンテンツがあるかも。

#1. BtoC向けのアプリケーションに対するテストを行う際に、重要な観点はどれでしょうか。

BtoC向けのサービスであれば対象となるユーザーをより多くのサポートすべきであると考えられます。

#2. ソフトウェアをテストしたところ、10,000を超える欠陥が見つかりました。次のステップはどうあるべきですか?

ログレビューなどテストが完了している状態で、テストから取得したデータを分析する必要があります。膨大な量のデータになる可能性があり、最初に何を実行するか、何が許容でき何が許容できないかを優先する必要があります。定性的リスク分析について考え、可能性が低く影響が少ない場合は放置し、優先度の高い項目に焦点を当てることができます。

#3. フレッドは、割り当てられたアクセス権を悪用して権限を超過しようとするユーザーを検出および防止するためのコントロールを実装する新しいセキュリティ担当者です。 次のうちどれがこの必要性に最も適していますか?

この質問の目的は、管理や監督者の関与が、これらの種類のものが起こらないように、または行われた場合に適切に検出され、処理されることを確実にすることが重要であることを認識することです。 ユーザーが不正行為を行った場合、管理者が行動を起こすことをユーザーが知っている場合、これは本質的に予防的と見なすことができます。 これらの活動は行われた後にのみ知られることになります。つまり、セキュリティオフィスは何らかのタイプの探偵活動を実施し、管理職に知らせなければなりません。

 

×:2要素の識別と認証

識別と認証は探偵ではなく予防的であるため、間違っています。

 

×:監査ログから対象データのキャプチャ

監査ログは探偵であるが予防的ではないので、間違っている。 ただし、探知するには、監査ログをセキュリティ管理者が確認する必要があります。 最も強力なセキュリティ保護のいくつかは予防制御から来ていますが、監査ログのレビューなどの探知コントロールも必要です。

 

×:強力なセキュリティポリシーの実装

セキュリティポリシーが探偵ではなく予防的であるため、間違っています。 セキュリティポリシーは、ユーザーに予想される内容と、ポリシーの構成に従わない場合の潜在的な影響をユーザーに知らせるために開発され、実装されます。

#4. ジョンと彼のチームはクライアントのネットワークの侵入テストを実施しています。 チームは、Webから取得した知識だけで武装したテストを実施します。 ネットワークスタッフは、テストが行​​われることを認識していますが、侵入テストチームは公開されているデータとクライアントからの情報でのみ動作します。 チームの知識の程度は?チームはどのタイプのテストを実施していますか?

侵入テストチームは、テストが実際に実行される前に、侵入ターゲットに関する様々な程度の知識を持つことができます。 これらの知識の程度は、ゼロ知識、部分知識、完全な知識です。 ジョンと彼のチームは部分的な知識を持っています。 チームはターゲットに関する情報を持っています。 テストは、盲目、二重盲検、または対象となる可能性もあります。 Johnのチームはブラインドテストを実施しています。つまり、ネットワークスタッフはテストが行​​われることを知っています。

 

×:完全な知識; 盲検

ジョンと彼のチームは目標の完全な知識を持っていないので、間違っています。 完全な知識とは、チームが目標についての詳細な知識を持ち、ネットワーク、そのソフトウェア、および構成を完全に理解していることを意味します。 Johnのチームは、Webから情報を収集し、クライアントから部分的な情報を収集しました。 これは部分的な知識です。 残りの答えは正しいです。 チームはブラインドテストを実施しています。

 

×:部分的な知識; 二重盲検試験

ジョンと彼のチームは二重盲検検査を行っていないので、間違っている。 ステルスアセスメントとも呼ばれるダブルブラインドテストは、アセスメント担当者がセキュリティスタッフの知識なしにブラインドテストを実行するときに行われます。 これにより、テストでネットワークのセキュリティレベルとスタッフの対応、ログ監視、エスカレーションプロセスを評価することができ、攻撃の成功または失敗のより現実的なデモンストレーションです。

 

×:ゼロ知識; 対象となるテスト

ジョンと彼のチームはゼロ知識を持っておらず、対象テストを行っていないため、間違っています。 ゼロ知識とは、チームが目標の知識がなく、地上ゼロから始める必要があることを意味します。 ジョン氏のチームは、ターゲットについてオンラインで得た知識とクライアントから提供された情報でプロジェクトを開始しています。 対象となるテストには、一般的に、外部コンサルタントや社内スタッフが関心のある特定の分野について集中的なテストを実施することが含まれます。 たとえば、新しいアプリケーションが公開される前に、チームは運用環境にインストールする前に脆弱性をテストするかもしれません。 Johnのチームは、特定の1つの特定の領域にテストの取り組みを集中させていません。

#5. 開発したプログラムは机上で問題ないことを確認している。しかし、実際に動かす必要があると依頼を受けた。どのようなテストを行うべきか。

動的テストとは、開発したプログラムを実際に動かして行うテストです。 静的テストと比較され、実際にプログラムを動かして確認してみる実践的なテストです。

#6. ペネトレーションテスターがホワイトボックステストを行っているとき、彼らはターゲットについてどのくらいの知識を持っていますか?

ホワイトボックスソフトウェアテストでは、テスターはプログラムのソースコード、データ構造、変数などに完全に知っている状態で行います。

#7. ペネトレーションテストを行う前に行わければならないことはどれでしょうか。

計画段階で攻撃対象となる組織に許可を得ておく必要があります。侵入するのはシステムをきわめて詳細に理解する必要があるため、その情報自体が外部に漏れ出ないようにしなければいけません。また、侵入に成功した場合には、危険な状態であることがわかります。レポート作成まで待たずに一報するなど取り決めが必要です。

#8. 合成トランザクションとは何ですか?

通常、アプリケーションのテストには、通常のユーザー動作をエミュレートする必要があります。 ただし、テスト環境では、ユーザーアクティビティの一般的な負荷は利用できません。 したがって、共通のユーザトランザクションのスクリプトを構築して、さまざまな形式のテストを容易にすることができます。

 

×:許可されてはならない偽のユーザートランザクション

人為的なトランザクションが偽でもユーザー主導でもないため、不正です。 不適切なユーザーの振舞いは、人為的なトランザクションによって体系的にテストできますが、その振る舞いはスクリプトによって生成されます。

 

×:レコードを改ざんするためのユーザーの行動

ライブ攻撃は合成ではないため、間違っています。 整合性制御をバイパスする試みは、スクリプト化された一連のテストの一部である可能性がありますが、実際のユーザーには関係しません。

 

×:ポリシー違反に使用された攻撃者によるスクリプト処理

前の説明で述べた理由により、攻撃者によるスクリプト化されたプロセスが合成トランザクションではないため、間違っています。 スクリプト化された攻撃トラフィックをエミュレートすることは、人為的なトランザクションの目標になる可能性がありますが、実際のライブ攻撃はラボテストのコンテキスト外です。

#9. スケジュール上、単体テストが間に合わないと分かった。プロジェクト管理の観点からどのようにするべきか。

単体テストとは、開発したモジュールが単体で動くことを確認するテストです。受入テストとは、開発を発注してくれたお客様に実際に使ってもらって納得してもらうテストです。単体テストの代わりに、受入テストで行うことはできません。テストとして上位互換ではなく、観点が異なります。

#10. ペネトレーションテスターがブラックボックステストを行っているとき、彼らはターゲットについてどのくらいの知識を持っていますか?

ブラックボックステスト(ゼロ知識)では、攻撃者は公開されている情報以外に組織についての知識を持っていません。外部の攻撃者が行うことに焦点が当てられています。

#11. ペネトレーションテストを適切に実施した後、最後のプロセスとして行うことは何でしょうか。

ペネトレーションテスト(侵入テスト)とは、ネットワークに接続されているシステムに対して侵入を試みるテストです。侵入できればあらゆる操作が可能になり、サービス自体を停止に追いやることができます。そのため、侵入にフォーカスをした試験を行うのです。計画、事前調査、脆弱性を探索、評価、攻撃、レポート作成の順番で行われます。

#12. コードレビューとは何ですか?

スタティックコードレビューでは、作成者の目には明らかにならなかった、別のエンジニアによって行われるレビューです。

 

×:コーダーがコーディング中に互いの作品を見て並行して作業するようにする

並列またはチームコーディングはピアレビューを提供するための良い方法ですが、静的レビューとはみなされないため、間違っています。

 

×:チェックイン前に適切なQ / Aハーネスが適用されていることを確認する

良い習慣ですが、間違っています。

 

×:適切なQ / Aハーネスが存在することを確認する

間違っていますが、同様にベストプラクティスです。

#13. あなたはオープンソースを利用してアプリケーションを開発しました。テストはどうすべきでしょうか。

OSSTMM(Open Source Security Testing Methodology Manual)とは、オープンソースのペネトレーションテストの標準です。オープンソースは基本無料で驚くような機能を持ったものがたくさんあります。無料で誰でも使えることから信頼が低い見方があります。しかし、ちゃんとリスクを理解していればこれほど素晴らしいものはありません。そこで、オープンソースに対するテスト標準を作り、信頼を担保しようとしているのです。

#14. インターフェーステストと誤用ケーステストとの違いは何ですか?

すべてのアプリは、適切に機能し、使用できるように、インターフェイステストを受けなければなりません。 しかし、それらの意図的な悪用が、アプリケーションがアクセスを提供するデータの機密性、完全性、および可用性を害するエラーを引き起こす可能性があるかどうかを判断するために、誤用ケーステストを受けるべきである。

 

×:インターフェーステストは正しい機能を決定することを目的としていますが、誤用テストはエラー状態を判断することを意図しています。

エラー条件が発生する可能性があるため、必ずしも誤使用条件の結果としてではないため、誤りです。

 

×:インターフェーステストはユーザビリティを判断することを目的としていますが、誤用テストは誤用がいつ発生したかを判断するためのものです。

誤用の事象の検出が重要である一方で、意図的な誤用の結果をテストすることがより重要であるため、誤りである。

 

×:インターフェーステストと誤用ケーステストは本質的に同じです。

上記の議論された明確な違いのために間違っています。

#15. セキュリティ監査、脆弱性評価、および侵入テストに関して、以下の正しいものはどれですか?

内部的にまたは第三者による脆弱性評価の最も重要な側面は、企業が有するすべての潜在的な脆弱性を列挙し、是正措置を優先させることができることです。

 

×:第三者によるセキュリティ監査は、規制が要求する場合にのみ必要です。

たとえ一部の組織が独立したレビューを要求されなくても、しばしば見過ごされていたかもしれない軽い弱点を招くことになるからです。

 

×:脆弱性評価と侵入テストは本質的に同じです。

脆弱性評価はすべての弱点を列挙し、その対策が適切に優先されるようにするため、間違っています。 侵入テストは、実世界の攻撃者が目標を達成するために与えられた弱点を悪用する可能性を調べることを目指しています。

 

×:内部評価はほとんど価値がありません。

エンタープライズセキュリティの姿勢の内部監査は通常十分ではないため、第三者のレビューと連携して実施すると非常に有益です。

#16. ソフトウェアテストの一環として回帰テストでは何が実施されるでしょうか。

回帰テストでは、コード変更が発生した後の欠陥の発見を行います。古いバグを含む、機能の低下または消失を探します。

#17. 経営陣にセキュリティ報告書を提出する場合、以下のうち最も重要な要素はどれですか?

経営者への報告書がどれほど技術的に包括的であっても、要約は2ページを超えてはなりません。 ITセキュリティ専門家は、データ漏洩による企業のリスクは、上級管理職が理解し優先順位をつけなければならない多くの懸念の一つに過ぎないことを理解しなければなりません。 Cレベルのエグゼクティブは、多くのリスクに気を配らなければならず、よく知られていない高度な技術的脅威が適切に分類するのが難しい場合があります。 つまり、ITセキュリティ専門家の主な仕事は、リスクを管理に合った方法で、できるだけ短く要約することです。

 

×:脅威、脆弱性、および発生する可能性のリスト

経営陣に報告する際に最も重要な要素ではないため、間違っています。 このようなリストは包括的なセキュリティレポートにとって不可欠ですが、経営幹部に提供することは、巧みな幹部要約がなければ効果的な行動を起こすことはまずありません。

 

×:予想される有害事象の確率および影響の包括的なリスト

経営陣に報告する際に最も重要な要素ではないため、間違っています。このようなリストは技術レポートでは重要ですが、リスク軽減の目標を達成するためには要約が重要です。

 

×:技術的に包括的である必要があり、オプションAおよびBで参照されているリストを含む、要約書

管理者に報告する際に最も一般的で重大な障害となるものが記述されているため、間違っています。 エグゼクティブサマリーの読者は、1つのページまたは(多くても)2つの技術的な詳細を読んでいる可能性は低いです。 特に慣れていないトピックについては、あいまいな情報に対する許容度は低くなります。

終了