QUIZ 30分

クイズの説明

Month 3「組織のセキュリティを強化しよう」の総合理解度を確認します。全10問、80%(8問)以上正解で合格です。

問題

Q1. STRIDEの「T(Tampering)」が対象とする脅威はどれですか?

  • A) 正当なユーザーになりすますこと
  • B) データや設定を不正に改ざんすること
  • C) サービスを利用不能にすること
  • D) 権限を不正に昇格させること
答えを見る

正解: B

Tampering(改ざん)は、データ、コード、設定ファイルなどを不正に変更する脅威です。対策としてはデジタル署名、ハッシュ検証、入力バリデーションなどがあります。

Q2. ゼロトラストアーキテクチャの基本原則として正しいものはどれですか?

  • A) 社内ネットワークは信頼し、外部のみ検証する
  • B) 全てのアクセスを検証し、暗黙的な信頼を排除する
  • C) ファイアウォールで境界防御を強化する
  • D) VPNを全通信に適用する
答えを見る

正解: B

ゼロトラストは「Never Trust, Always Verify」の原則に基づき、ネットワーク内外を問わず全てのアクセスを検証します。境界防御に依存するモデルとは対照的です。

Q3. SASTとDASTの違いとして正しいものはどれですか?

  • A) SASTはソースコードを解析し、DASTは実行中のアプリケーションをテストする
  • B) SASTは本番環境で実行し、DASTは開発環境で実行する
  • C) SASTは動的解析、DASTは静的解析である
  • D) SASTとDASTは同じ手法の異なる名称である
答えを見る

正解: A

SAST(Static Application Security Testing)はソースコードやバイナリを解析する静的手法です。DAST(Dynamic Application Security Testing)は実行中のアプリケーションに対してテストを行う動的手法です。

Q4. OWASP Top 10(2021)で最も上位の脆弱性カテゴリはどれですか?

  • A) インジェクション
  • B) 壊れたアクセス制御
  • C) クロスサイトスクリプティング
  • D) 暗号化の失敗
答えを見る

正解: B

OWASP Top 10 2021では、A01

(Broken Access Control)が最上位です。これは不適切なアクセス制御により、認可されていないデータや機能へのアクセスが可能になる脆弱性です。

Q5. mTLS(mutual TLS)の特徴として正しいものはどれですか?

  • A) サーバーのみがクライアントを認証する
  • B) クライアントとサーバーが相互に認証し合う
  • C) 通信を暗号化するが認証は行わない
  • D) パスワード認証の一種である
答えを見る

正解: B

mTLS(相互TLS)では、通常のTLS(サーバー認証のみ)に加えて、サーバーがクライアントの証明書も検証します。マイクロサービス間通信のセキュリティに広く使用されます。

Q6. DevSecOpsパイプラインで、シークレットスキャンの目的はどれですか?

  • A) パスワードの強度をテストする
  • B) ソースコードにハードコードされたAPIキーや認証情報を検出する
  • C) 暗号化アルゴリズムの強度を検証する
  • D) ユーザーのログイン情報を監視する
答えを見る

正解: B

シークレットスキャン(GitLeaks、TruffleHog等)は、ソースコードやコミット履歴にハードコードされたAPIキー、パスワード、トークンなどを検出するツールです。

Q7. SQLインジェクション対策として最も効果的なものはどれですか?

  • A) 入力文字列から特殊文字を除去する
  • B) プリペアドステートメント(パラメータバインディング)を使用する
  • C) エラーメッセージを非表示にする
  • D) データベースのポート番号を変更する
答えを見る

正解: B

プリペアドステートメント(パラメータバインディング)は、SQLクエリとデータを分離するため、SQLインジェクション攻撃を構造的に防止できます。文字列のサニタイズよりも確実な対策です。

Q8. インシデント対応で「封じ込め(Containment)」の目的はどれですか?

  • A) インシデントの根本原因を特定すること
  • B) 被害の拡大を防止し、影響範囲を限定すること
  • C) システムを完全に復旧すること
  • D) ポストモーテムを実施すること
答えを見る

正解: B

封じ込め(Containment)は、インシデントの被害拡大を防止するフェーズです。ネットワーク隔離、アカウント無効化、WAFルール追加など、影響範囲を限定する緊急措置を行います。

Q9. GDPRにおける「忘れられる権利」の意味として正しいものはどれですか?

  • A) ユーザーがサービスの存在を忘れる権利
  • B) ユーザーが自身の個人データの削除を要求できる権利
  • C) 企業がユーザーの問い合わせを忘れても良い権利
  • D) データのバックアップを削除する義務
答えを見る

正解: B

GDPR第17条の「消去の権利」(忘れられる権利)は、データ主体が管理者に対して自身の個人データの消去を要求できる権利です。

Q10. セキュリティ成熟度モデルで「レベル4: 管理」の特徴はどれですか?

  • A) セキュリティ対応が場当たり的
  • B) 基本的なプロセスが定義済み
  • C) メトリクスに基づく継続的改善が行われている
  • D) 組織全体で標準化されたプロセスがある
答えを見る

正解: C

レベル4「管理」は、セキュリティ活動がメトリクスで定量的に測定され、そのデータに基づいて継続的な改善が行われている段階です。レベル3が「標準化」、レベル5が「最適化」です。

結果

8問以上正解の場合

合格です。 Month 3のセキュリティ知識をしっかり習得しました。次のMonth 4「SREプラクティス」に進みましょう。

7問以下の場合

もう少し復習しましょう。 特にSTRIDE、ゼロトラスト、DevSecOps、インシデント対応の各分野を重点的に復習してください。