CompTIA Security+ 問題集 SY0-501
的中予想問題
日本語版
940設問数
PDF版
CompTIA Security+ SY0-501問題集はベンダー試験の過去の出題傾向を踏まえて作成されています。
IT認定試験は大多数が4択形式の設問となっています。
一般の公式テキスト、参考書、赤本などでは網羅されていない過去問を効果的に学習することにより、極めて短期間で資格認定試験に合格が可能になります。
一般の書店の書籍とことなり、本問題集はお支払い後、すぐにダウンロードしていただき、学習を開始していただけます。
紙媒体とことなり、本問題集は電子フォーマットとなっておりますので、PCラップトップ、タブレット、スマートフォンなど、時・場所に左右されることなく学習ができます。
多くの方から本番試験の合格のご報告を頂戴しています。
無料模擬試験問題
出題:11
セキュリティアナリストは、ディレクトリサービスの役割がインストールされたサーバーを強化しています。アナリストは、LDAPトラフィックを監視またはスニッフィングできないようにし、LDAPクライアントとの互換性を維持する必要があります。これらの要件を満たすために、アナリストは次のうちどれを実装する必要がありますか?
(2つ選択してください。)
(A). 信頼できるCAによって署名されたX.509準拠の証明書を生成します
(B). LDAPサーバーにSSHトンネルをインストールして構成します。
(C). 通信を使用して、クライアントとサーバー間でポート389が開いていることを確認します。
(D). 通信を使用して、クライアントとサーバー間でポート636が開いていることを確認します
(E). LDAPディレクトリサービスの役割をサーバーからリモートします。
解答: A、D
出題:12
次の脅威アクターのうち、市場での優位性を獲得し、市場投入までの時間を短縮するために企業の専有情報を盗む可能性が最も高いのはどれですか?
(A). 競合他社
(B). ハクティビスト
(C). インサイダー
(D). 組織犯罪。
解答: A
出題:13
ペネトレーションテスターは、一般に公開されているターゲットWebサイトをクロールしています。次のうち、侵入テスターが実行しているアクションを表すものはどれですか?
(A). URLハイジャック
(B). 偵察
(C). ホワイトボックステスト
(D). 特権の昇格
解答: B
出題:14
次の特徴のうち、レインボーテーブル攻撃とブルートフォース攻撃を区別するのはどれですか?
(2つ選択してください。)
(A). レインボーテーブル攻撃は、攻撃時の計算サイクルを大幅に短縮します。
(B). レインボーテーブルには、事前に計算されたハッシュが含まれている必要があります。
(C). レインボーテーブル攻撃では、ハッシュ化されたパスワードにアクセスする必要はありません。
(D). レインボーテーブル攻撃は、ネットワーク上で実行する必要があります。
(E). レインボーテーブル攻撃は、失敗したログインの最大制限をバイパスします。
解答: B、E
出題:15
次のうち、セミコロン、ダッシュ、引用符、およびコンマが文字列から削除されるルーチンを最もよく表しているのはどれですか?
(A). プログラムの悪用から保護するためのエラー処理
(B). XSRF攻撃から保護するための例外処理。
(C). SQLインジェクションから保護するための入力検証。
(D). 文字列バッファオーバーフローから保護するためのパディング。
解答: C
出題:16
セキュリティアナリストは、FTPサーバーのセキュリティを強化したいと考えています。現在、FTPサーバーへのすべてのトラフィックは暗号化されていません。FTPサーバーに接続するユーザーは、さまざまな最新のFTPクライアントソフトウェアを使用します。セキュリティアナリストは、暗号化されていない接続を許可しながら、同じポートとプロトコルを維持したいと考えています。次のうちどれがこれらの目標を最もよく達成するでしょうか?
(A). ファイルサーバーに接続するには、SFTPプロトコルが必要です。
(B). FTPサーバーで暗黙的なTLSを使用します。
(C). 接続には明示的なFTPSを使用します。
(D). SSHトンネリングを使用してFTPトラフィックを暗号化します。
解答: C
出題:17
ベンダーがクライアントにインターネット経由でダウンロードするためのソフトウェアパッチを提供するときにMD5値を公開する理由を説明しているのは、次のうちどれですか?
(A). 受信者は、ソフトウェアパッチの整合性を確認できます。
(B). 受信者は、パッチのダウンロードに使用されたサイトの信頼性を確認できます。
(C). 受信者は、公開されたMD5値を使用して、ソフトウェアの将来の更新を要求できます。
(D). 受信者は、新しいソフトウェアパッチを正常にアクティブ化できます。
解答: A
出題:19
複数の従業員が、悪意のある添付ファイルが記載された電子メールを受信します。この電子メールは、開いたときにハードドライブとマップされた共有をデバイスに暗号化し始めます。ネットワークチームとセキュリティチームは、次のアクションを実行します。
•すべてのネットワーク共有をシャットダウンします。
•悪意のあるメッセージを受信したすべての従業員を特定する電子メール検索を実行します。。添付ファイルを開いたユーザーに属するすべてのデバイスのイメージを再作成します。
次に、チームはネットワーク共有を再度有効にします。次のうち、インシデント対応プロセスのこのフェーズを最もよく表しているのはどれですか?
(A). 根絶
(B). 封じ込め
(C). リカバリー
(D). 学んだ教訓
解答: C
出題:20
組織は、最大3時間のダウンタイムに耐えることができると判断しました。次のうちどれが指定されていますか?
(A). RTO
(B). RPO
(C). MTBF
(D). MTTR
解答: A
出題:21
キーエスクローにあるキーのタイプは次のうちどれですか?
(A). パブリック
(B). プライベート
(C). 共有
(D). セッション
解答: B
出題:23
パスワードポリシーを実装したにもかかわらず、ユーザーは引き続き同じ弱いパスワードを設定し、古いパスワードを再利用します。次の技術的管理のうち、これらのポリシー違反を防ぐのに役立つのはどれですか?
(2つ選択してください。)
(A). パスワードの有効期限
(B). パスワードの長さ
(C). パスワードの複雑さ
(D). パスワード履歴
(E). パスワードのロックアウト
解答: C、D
出題:24
次のタイプのクラウドインフラストラクチャのうち、同様の構造と関心を持つ複数の組織が共有ストレージとリソースのメリットを実現できるのはどれですか?
(A). プライベート
(B). ハイブリッド
(C). パブリック
(D). コミュニティ
解答: D
出題:25
会社は現在、次の構成を使用しています。
。証明書ベースのEAP-PEAPおよびMSCHAPを備えたIASサーバー。PAPによる暗号化されていない認証
セキュリティ管理者は、次の構成で新しいワイヤレスセットアップを構成する必要があります
。PAP認証方法。PEAPとEAPは2要素認証を提供します
次の認証形式のどれが使用されていますか?
(2つ選択してください。)
(A). PAP
(B). PEAP
(C). MSCHAP
(D). PEAP-MSCHAP
(E). EAP
(F). EAP-PEAP
解答: A、C
出題:26
監査人は、以下を表示するツールを実行して、組織のセキュリティ体制をテストしたいと考えています。
JIMS WORKGROUP
JIMS
<00> UNIQUE <00> GROUP <00> UNIQUE
Registered Registered Registered
次のコマンドのどれを使用する必要がありますか?
(A). nbtstat
(B). nc
(C). arp
(D). ipconfig
解答: A
出題:27
ある会社は、新しいクレジットカード規制に準拠するのに法外な費用がかかると判断しています。代わりに、会社は潜在的な損失の費用をカバーするために保険を購入することを決定します。次のうち、会社が行っているのはどれですか?
(A). リスクの移転
(B). リスクを受け入れる
(C). リスクの回避
(D). リスクの移行
解答: A
出題:28
ある会社は、従業員が自分の裁量で仕事に個人のデバイスを使用するモバイルデバイス展開モデルを使用しています。会社が直面している問題のいくつかは次のとおりです。
標準化はありません。従業員はデバイスの払い戻しを要求します。従業員は、デバイスを効率的に実行し続けるのに十分な頻度でデバイスを交換しません。同社はデバイスを十分に管理できていません。
会社がこれらの問題を克服するのに役立つ展開モデルは次のうちどれですか?
(A). BYOD
(B). VDI
(C). COPE
(D). CYOD
解答: D
出題:29
ボットネットは、DDoS攻撃を実行するために、GREでカプセル化された大量のパケットで人気のあるWebサイトを攻撃しました。報道機関は、特定のタイプの冷蔵庫が悪用され、クラッシュしたWebサイトに送信パケットを送信するために使用されたことを発見しました。冷蔵庫は次のどのカテゴリーに属しますか?
(A). SOC
(B). ICS
(C). loT
(D). MED
解答: C
出題:30
ユーザーは、会社の安全なサイトを閲覧すると、次のメッセージが表示されると報告しています。
このウェブサイトは信頼できません。これらのメッセージを解決するためにセキュリティアナリストが実行する必要があるアクションは次のうちどれですか?
(2つ選択してください。)
(A). サーバーで証明書の有効期限が切れていないことを確認します。
(B). サーバー上で証明書の拡張子が.pfxであることを確認してください。
(C). ルート証明書をクライアントコンピューターの証明書ストアに更新します。
(D). 更新された秘密鍵をWebサーバーにインストールします。
(E). ユーザーに閲覧履歴をクリアして、セッションを再開してもらいます。
解答: A、C
出題:31
会社の新しいチケットシステムにログオンしようとすると、一部の従業員は次のメッセージを受け取ります。アクセスが拒否されました:同時セッションが多すぎます。チケットシステムは最近、推奨されるハードウェア仕様のみを備えた小さなVMにインストールされました。このエラーメッセージの原因として最も可能性が高いのは次のうちどれですか。
(A). ネットワークリソースを超えました。
(B). ソフトウェアのライセンスがありません。
(C). VMには十分な処理能力がありません。
(D). ファイアウォールが正しく構成されていません。
解答: C
出題:32
従業員のジョーは、スマートフォンについてどれだけ知っているかを同僚に示したいと考えています。Joeは、サードパーティから会社のスマートフォンにインストールした無料の映画アプリケーションをデモンストレーションします。Joeの同僚は、アプリストアでアプリケーションを見つけることができませんでした。次のうち、ジョーがアプリケーションをインストールすることを許可したのはどれですか?
(2つ選択してください。)
(A). 近距離無線通信。
(B). Rooting/jailbreaking
(C). アドホック接続
(D). テザリング
(E). サイドローディング
解答: B、E
出題:33
識別フェーズでAAAシステムに提供できるのは次のうちどれですか。
(A). ユーザー名
(B). 権限
(C). ワンタイムトークン
(D). プライベート証明書
解答: A
出題:34
次のうち、2要素認証を実装しているのはどれですか?
(A). 電話をかけるためにPINを必要とする電話システム
(B). クレジットカードとPINが必要なATMで
(C). ユーザー名とパスワードが必要なコンピューター
(D). 指紋とアイリススキャンを必要とするデータセンターのマントラップ
解答: B
出題:35
内部ネットワークからの悪意のあるトラフィックが、アプリケーションサーバーの無許可のポートで検出されました。エンジニアが考慮すべきネットワークベースのセキュリティ管理策は次のうちどれですか?
(A). ACLS
(B). HIPS
(C). NAT
(D). MACフィルタリング
解答: A
出題:36
ネットワーク管理者は、内部ルーティングを保護する方法を実装したいと考えています。管理者は次のうちどれを実装する必要がありますか?
(A). DMZ
(B). NAT
(C). VPN
(D). PAT
解答: C
出題:37
セキュリティ管理者は、監査証跡を作成し、PHIデータ侵害が発生するかどうかを追跡するためのコントロールを開発しています。管理者には、次の要件があります。
。すべてのアクセスは、ユーザーアカウントに関連付けられている必要があります。。すべてのユーザーアカウントは、1人の個人に割り当てる必要があります。
• PHIデータへのユーザーアクセスを記録する必要があります。
• PHIデータアクセスの異常を報告する必要があります。。ログとレコードは削除または変更できません。
上記の要件を満たすために、管理者は次のうちどれを実装する必要がありますか?
(3つ選択してください。)
(A). 共有アカウントを排除する
(B). アカウントの標準の命名規則を作成します。
(C). 使用状況の監査とレビューを実装します。
(D). アカウントロックアウトのしきい値を有効にします。
(E). 保護されたWORMドライブにリアルタイムでログをコピーします。
(F). 時刻制限を実装します。
(G). 定期的な許可の監査とレビューを実行します。
解答: A、C、E
出題:38
PKIがキーを安全に保護するために通常使用する暗号化方法は次のうちどれですか?
(A). 楕円曲線
(B). デジタル署名
(C). 非対称
(D). 難読化
解答: C
出題:39
組織はツールを使用してソースコードレビューを実行しています。ツールが脆弱性を誤って特定するケースを説明しているのは次のうちどれですか?
(A). 偽陰性
(B). 真のネガティブ
(C). 偽陽性
(D). 真のポジティブ
解答: C
出題:41
春学期初日に大学の学部長が辞任した。その後、キャンパスが閉鎖されている間に、部門長がサーバーベースのホームディレクトリから多数のファイルとディレクトリを削除したことが判明しました。次のポリシーまたは手順のうち、これを防ぐことができたのはどれですか?
(A). 時刻の制限
(B). 許可の監査とレビュー
(C). オフボーディング
(D). アカウントの有効期限
解答: C
出題:42
データベースのバックアップスケジュールは、毎週土曜日の午前12:00に実行される完全バックアップと、毎日の差分バックアップも午前12:00に実行されるもので構成されます。データベースが火曜日の午後に復元された場合、次のうちどれが個別のバックアップの数になりますか。データベースのリカバリーを完了するために適用する必要がありますか?
(A). 1
(B). 2
(C). 3
(D). 4
解答: B
出題:43
次のセキュリティ制御のうち、アイリススキャナーが提供するものはどれですか?
(A). Logical
(B). Administrative
(C). Corrective
(D). Physical
(E). Detective
(F). Deterrent
解答: D
出題:44
新しい業界規制の一環として、企業は安全で標準化されたOS設定を利用する必要があります。技術者は、OS設定が強化されていることを確認する必要があります。これを行うための最良の方法は次のうちどれですか?
(A). 脆弱性スキャナーを使用します。
(B). 構成コンプライアンススキャナーを使用します。
(C). パッシブインラインスキャナーを使用します。
(D). プロトコルアナライザを使用します。
解答: B
出題:45
ユーザーが、ユーザーのアカウントが現在アクセスを許可されているよりも高い分類レベルでデータにアクセスしようとしました。このユーザーのアカウントに適用されているアクセス制御モデルは次のうちどれですか?
(A). MAC
(B). DAC
(C). RBAC
(D). ABAC
解答: A
出題:46
セキュリティコンサルタントは、組織がPCLプロトコルを使用して、既定のドライバーと印刷設定を使用してドキュメントを印刷していることを発見しました。この状況で最も可能性の高いリスクは次のうちどれですか?
(A). 攻撃者はプリンタ構成にアクセスして変更できます
(B). プリンタを離れるSNMPデータは適切に暗号化されません。
(C). MITM攻撃は、機密情報を明らかにする可能性があります。
(D). 攻撃者は、悪意のあるコードをプリンタのファームウェアに簡単に挿入できます
(E). 攻撃者は、PCLプロトコルを使用して、クライアントコンピューターのファイアウォールをバイパスできます。
解答: B
出題:47
組織は、さまざまなシステムで実行されているさまざまなアプリケーションが原因で、ほとんどのヘルプデスクへの問い合わせがアカウントのロックアウトに関するものであることに気づきました。管理者は、セキュリティを向上させながら、アカウントのロックアウトの数を減らすソリューションを探しています。この組織に最適なソリューションは次のうちどれですか?
(A). ユーザーごとに複数のアプリケーションアカウントを作成します。
(B). 安全なトークンを提供します。
(C). SSOを実装します。
(D). ロールベースのアクセス制御を利用します。
解答: C
出題:49
ワークステーションでデータ収集を実行する場合、メモリの揮発性に基づいてキャプチャする必要があるのは次のうちどれですか?
(2つ選択してください。)
(A). USB接続のハードディスク
(B). スワップ/ページファイル
(C). マウントされたネットワークストレージ
(D). ROM
(E). RAM
解答: B、E
出題:50
セキュリティ管理者のAnnは、会社のアプリケーションでファズベースのテストを実行するように指示されました。
次のうち、彼女が何をするかを最もよく表しているのはどれですか?
(A). アプリケーションに障害を発生させるために、ランダムまたは無効なデータを入力します
(B). 開発者と協力して、水平方向の特権昇格の機会を排除します
(C). 開発者が残した組み込みのバックドアの存在についてアプリケーションをテストします
(D). アプリケーションをハッシュして、HIPSで誤検知が発生しないことを確認します。
解答: A
出題:51
攻撃者はパブリックCAを侵害し、Company.comに対して無許可のX.509証明書を発行します。将来的には、Company.comは同様のインシデントの影響を軽減したいと考えています。Company.comの目標を支援するのは次のうちどれですか?
(A). 証明書のピン留め
(B). 証明書ステープリング
(C). 証明書の連鎖
(D). 拡張検証付きの証明書
解答: A
出題:52
システム管理者は、データセンターの壊滅的な障害からのリカバリーを試みています。ドメインコントローラーをリカバリーするには、システム管理者がドメイン管理者の資格情報を提供する必要があります。システム管理者が使用しているアカウントのタイプは次のうちどれですか?
(A). 共有アカウント
(B). ゲストアカウント
(C). サービスアカウント
(D). ユーザーアカウント
解答: C
出題:54
小規模オフィスのネットワーク管理者は、暗号化されたワイヤレスネットワークに接続するモバイルクライアントの構成を簡素化したいと考えています。管理者がワイヤレスパスワードまたは証明書を従業員に提供したくない場合は、次のうちどれを実装する必要がありますか?
(A). WPS
(B). 802.1x
(C). WPA2-PSK
(D). TKIP
解答: A
出題:55
安全なWAPに接続する場合、WPA2-PSKに接続するときに構成される可能性が最も高い暗号化テクノロジーは次のうちどれですか。
(A). DES
(B). AES
(C). MD5
(D). WEP
解答: B
出題:56
ある会社には、「プライベート」と「パブリック」の定義を持つデータ分類システムがあります。同社のセキュリティポリシーは、タイプに基づいてデータを保護する方法を概説しています。同社は最近、データ型「Proprietary」を追加しました。会社がこのデータ型を追加した最も可能性の高い理由は次のうちどれですか?
(A). コスト削減
(B). より検索可能なデータ
(C). より良いデータ分類
(D). プライバシー責任者の権限の拡大
解答: C
出題:57
強制アクセス制御環境で設定を構成する場合、特定のデータオブジェクトにアクセスできるサブジェクトを指定するのは次のうちどれですか?
(A). オーナー
(B). システム
(C). 管理者
(D). ユーザー
解答: C
出題:58
最近、わずかな挑発で非常に大声で興奮して吠える大型の番犬を利用し始めた安全性の高い防衛施設があります。次のタイプのコントロールのうち、これを最もよく説明しているのはどれですか?
(A). 抑止力
(B). 予防
(C). 探知
(D). 補償
解答: A
出題:59
会社のユーザーロックアウトポリシーは、ログインに5回失敗すると有効になります。ヘルプデスクは、ユーザーが1週間の勤務中に繰り返しロックアウトされていることに気づきます。ユーザーがいると、ヘルプデスクは、ユーザーが休暇中であり、ネットワークにアクセスできないことを検出します。次のタイプの攻撃のうち、最も可能性が高いのはどれですか?
(2つ選択してください。)
(A). リプレイ
(B). レインボーテーブル
(C). Brute force
(D). ハッシュを渡す
(E). ディクショナリー
解答: C、E
出題:60
給与部門の従業員であるアンは、次のようなデバイスの複数の問題を理由にヘルプデスクに連絡しました。
。パフォーマンスが遅い
Word文書、PDF、および画像が開かなくなりました
•ポップアップ
アンは、ベンダーが彼女に電子メールで送信した請求書を開いた後に問題が始まったと述べています。彼女はワープロで表示するためにいくつかのセキュリティ警告をクリックする必要がありました。デバイスが感染している可能性が最も高いのは次のうちどれですか?
(A). スパイウェア
(B). 暗号マルウェア
(C). ルートキット
(D). バックドア
解答: D