Security+のサンプル問題(本番形式・解説付き)
Security+(CompTIA・CompTIA Security+(SY0-701))の出題形式を、実際の問題で確かめられます。ここに掲載する5問は、無料の会員登録ですぐ解ける模試 第1回(90問)の冒頭から抜粋したオリジナル問題です。当サイトは全360問を本番CBT準拠の形式で収録しており、この5問はそのごく一部にあたります。
設問1
ファイアウォールのアクセス制御リストやディスク暗号化のように、ハードウェア・ソフトウェアの仕組みによってリスクを低減する統制は、どの統制カテゴリに分類されるか。
- 技術的統制(テクニカルコントロール)(正解)
- 管理的統制(マネジリアルコントロール)
- 運用的統制(オペレーショナルコントロール)
- 物理的統制(フィジカルコントロール)
解説
ファイアウォールや暗号化など、ハードウェア・ソフトウェアの仕組みによってリスクを低減する統制は技術的統制に分類されます。
他の選択肢が誤りである理由
- 「管理的統制(マネジリアルコントロール)」管理的統制はリスク評価やセキュリティ方針の策定など、経営・管理レベルの意思決定に関する統制であり、暗号化のような技術的仕組みそのものは含みません。
- 「運用的統制(オペレーショナルコントロール)」運用的統制は日々の業務手順や教育など、人が実施する運用面の統制であり、ソフトウェアによる自動的な制御とは区別されます。
- 「物理的統制(フィジカルコントロール)」物理的統制は施錠や柵など物理的な手段でアクセスを制限する統制であり、ネットワーク上のアクセス制御リストとは異なります。
設問2
「セキュアベースライン」の説明として最も適切なものはどれか。
- 組織が定めた最小限のセキュリティ設定を新規システムに統一的に適用するための基準構成(正解)
- 開発中のソフトウェアの機能要件だけをまとめた仕様書
- 特定のベンダー製品のみを対象とした販促資料
- ネットワーク帯域の契約上限を示す請求書の項目
解説
セキュアベースラインとは、OSやアプリケーション等に対して組織が定めた「最低限満たすべきセキュリティ設定」の標準構成です。新規導入システムに一律適用し、逸脱があれば是正することでセキュリティ水準を均一に保ちます。
他の選択肢が誤りである理由
- 「開発中のソフトウェアの機能要件だけをまとめた仕様書」機能要件仕様書は製品が何をすべきかを定義するもので、セキュリティ設定の最低基準を示すベースラインとは目的が異なります。
- 「特定のベンダー製品のみを対象とした販促資料」販促資料はセキュリティ基準とは無関係な営業目的の文書です。
- 「ネットワーク帯域の契約上限を示す請求書の項目」請求書の帯域上限はコスト管理の項目であり、セキュリティ設定の基準とは無関係です。
設問3
退職予定の従業員が、自分がアクセス権を持つ社内システムから機密の顧客リストを密かに持ち出し、転職先で利用しようとした。この脅威アクターの分類として最も適切なものはどれか。
- 国家支援型アクター(nation-state actor)
- インサイダー脅威(insider threat)(正解)
- ハクティビスト(hacktivist)
- スクリプトキディ(script kiddie)
解説
正規の権限を持つ内部関係者が、その権限を悪用または濫用して組織に損害を与える行為はインサイダー脅威に分類されます。退職予定者による情報持ち出しは典型例です。
他の選択肢が誤りである理由
- 「国家支援型アクター(nation-state actor)」国家支援型アクターは他国政府の支援を受けて諜報・妨害を行う高度な組織的主体を指し、個人的動機で情報を持ち出す退職予定の従業員には該当しません。
- 「ハクティビスト(hacktivist)」ハクティビストは政治的・思想的な主張を目的として攻撃を行う主体であり、私的な転職目的でのデータ持ち出しとは動機が異なります。
- 「スクリプトキディ(script kiddie)」スクリプトキディは既製の攻撃ツールを使う未熟な攻撃者を指す言葉で、正規のアクセス権を持つ内部関係者による行為とは分類が異なります。
設問4
IaaS(Infrastructure as a Service)を利用する企業がクラウド上に仮想マシンを構築した。責任共有モデルにおいて、クラウド事業者ではなく利用企業側が主体的に責任を負う項目として最も適切なものはどれか。
- 物理データセンターの入退室管理
- ホストサーバーを稼働させるハイパーバイザーの保守
- 物理ネットワーク配線とラックへの電源供給
- ゲストOS内のパッチ適用とアプリケーションの設定(正解)
解説
IaaSでは物理設備・ハイパーバイザーなど「クラウドを支える基盤」の管理はクラウド事業者側の責任で、ゲストOS以上(パッチ適用・アプリ設定・データ)は利用企業側の責任となります。
他の選択肢が誤りである理由
- 「物理データセンターの入退室管理」データセンターの物理入退室管理は、クラウド事業者が担う物理セキュリティの領域です。
- 「ホストサーバーを稼働させるハイパーバイザーの保守」ハイパーバイザーの保守はクラウド事業者側の責任範囲であり、IaaS利用企業が直接手を入れる項目ではありません。
- 「物理ネットワーク配線とラックへの電源供給」物理ネットワーク配線やラックへの電源供給は、クラウド事業者が管理するデータセンター設備の範囲です。
設問5
新入社員へのセキュリティ意識向上トレーニングや、日々のバックアップ確認手順のように、主に「人」が実施する日常的な手順に関する統制は、どの統制カテゴリに分類されるか。
- 技術的統制
- 運用的統制(正解)
- 物理的統制
- 是正的統制
解説
教育訓練やバックアップ確認などの日常的な手順は、人が実施する運用的統制に分類されます。
他の選択肢が誤りである理由
- 「技術的統制」技術的統制はソフトウェアやハードウェアによる仕組みそのものを指し、人が手順として行う日常業務とは区別されます。
- 「物理的統制」物理的統制は施錠や監視カメラなど物理的な手段によるものであり、教育訓練のような手順とは異なるカテゴリです。
- 「是正的統制」是正的統制は統制の『カテゴリ』ではなく『タイプ(機能)』の分類であり、この設問が問うカテゴリ軸とは異なります。
続きは無料の会員登録ですぐ解けます。第1回模試(90問)は、これから先もずっと無料です。
第1回模試(無料)を解く