クイズの説明
Step 5「セキュリティレビュー体制を確立しよう」の理解度を確認します。全6問、80%以上正解で合格です。
問題
Q1. セキュリティコードレビューで最も優先度が高いチェック項目はどれですか?
- A) コードのフォーマットが統一されていること
- B) 全ての外部入力にバリデーションが適用されていること
- C) コメントが十分に記述されていること
- D) テストカバレッジが80%以上であること
答えを見る
正解: B
入力バリデーションの不備はSQLインジェクション、XSS等の重大な脆弱性に直結します。外部入力の検証は最も基本的かつ重要なセキュリティチェック項目です。
Q2. SOC2の5つの信頼原則に含まれないものはどれですか?
- A) セキュリティ
- B) 可用性
- C) パフォーマンス
- D) プライバシー
答えを見る
正解: C
SOC2の5つの信頼原則は、セキュリティ、可用性、処理の完全性、機密性、プライバシーです。パフォーマンスは含まれません。
Q3. NISTインシデント対応フレームワークの正しい順序はどれですか?
- A) 検知 → 準備 → 封じ込め → 復旧 → 根絶 → 教訓
- B) 準備 → 検知 → 封じ込め → 根絶 → 復旧 → 教訓
- C) 準備 → 検知 → 根絶 → 封じ込め → 復旧 → 教訓
- D) 検知 → 封じ込め → 準備 → 根絶 → 復旧 → 教訓
答えを見る
正解: B
NISTのインシデント対応フレームワークは、準備(Preparation)→ 検知(Detection)→ 封じ込め(Containment)→ 根絶(Eradication)→ 復旧(Recovery)→ 教訓整理(Lessons Learned)の順序です。
Q4. セキュリティチャンピオンプログラムの主な目的はどれですか?
- A) セキュリティチームの業務を外部委託すること
- B) 各開発チームにセキュリティの窓口を配置し、全体の意識を向上させること
- C) セキュリティエンジニアの採用コストを削減すること
- D) コンプライアンス監査の工数を削減すること
答えを見る
正解: B
セキュリティチャンピオンプログラムは、各チームにセキュリティの専門知識を持つ窓口を配置し、組織全体のセキュリティ意識と対応力を向上させることが主目的です。
Q5. P1(Critical)インシデント発生時、最初に行うべきアクションはどれですか?
- A) ポストモーテムを開始する
- B) 修正パッチをデプロイする
- C) インシデントコマンダーを任命し、War Roomを設置する
- D) 全顧客にメールを送信する
答えを見る
正解: C
P1インシデント発生時は、まずインシデントコマンダーを任命して指揮系統を確立し、War Roomを設置して対応チームを集結させることが最優先です。
Q6. 「Shift Left」セキュリティの意味として正しいものはどれですか?
- A) セキュリティテストを本番環境で実施すること
- B) セキュリティ対策を開発ライフサイクルのより早い段階に組み込むこと
- C) セキュリティチームを左側のオフィスに移動させること
- D) セキュリティ予算を前期に集中させること
答えを見る
正解: B
Shift Leftとは、セキュリティ活動を開発プロセスのより早い段階(設計、実装時)に組み込むアプローチです。後工程で発見するほど修正コストが増大するため、早期発見・早期修正が重要です。
結果
5問以上正解の場合
合格です。 セキュリティレビュー体制の設計をしっかり理解しています。総合演習に進みましょう。
4問以下の場合
もう少し復習しましょう。 インシデント対応フレームワーク、コンプライアンス、セキュリティ文化を重点的に確認してください。