システム開発ライフサイクル (SDLC) プロセスにおいてセキュリティ担当者が関与する最も有益なフェーズは、要件定義フェーズです。このフェーズでは、セキュリティ担当者がシステムのセキュリティ ニーズ、目的、制約を特定して分析し、システムが満たすべきセキュリティ要件と仕様を定義できます。このフェーズにセキュリティ担当者を関与させることで、組織はセキュリティが最初からシステム設計に統合されていることを保証し、SDLC プロセスの後半でコストがかかったり複雑になったりする変更や修正を回避できます。その他のオプションは、セキュリティ担当者が SDLC プロセスの後半で関与する (A、B、D) か、システムのセキュリティ ニーズと目的に対応していない (D) ため、要件定義フェーズほど有益ではありません。参考資料: CISSP オールインワン試験ガイド、第 8 版、第 8 章、459 ページ、公式 (ISC)2 CISSP CBK リファレンス、第 5 版、第 8 章、459 ページ
551.

セクション: 通信とネットワークセキュリティ

説明/参照:
Explanation:
上級管理職は、計画のすべての段階に対して最終的な責任を負い、資産の保護について最も注意を払うべき人物です。上級管理職はすべてのポリシー問題に署名する必要があり、セキュリティ ソリューションの全体的な成功または失敗に対して責任を負うことになります。
誤った回答:
A: 可能であれば、BCP 計画は経営幹部によって承認される必要がありますが、経営幹部は時間的に重要なシステムを特定して優先順位を付ける責任はありません。
C: BCP 委員会は、システムの特定や優先順位付けは行いません。BCP 委員会は、BCP の監督、開始、計画、承認、テスト、監査を行います。また、BCP の実施、活動の調整、BIA 調査の承認も行います。BCP 委員会は、継続計画の作成も監督し、品質保証活動の結果を確認します。
D: 機能ビジネス ユニットは BCP 委員会の一部です。機能ビジネス ユニットは、時間的に重要なシステムを特定して優先順位を付ける責任はありません。
参考文献:
スチュワート、ジェームズ M.、エド ティッテル、マイク チャップル、「CISSP: 認定情報システム セキュリティ専門家学習ガイド」、第 5 版、Sybex、インディアナポリス、2011 年、55 ページ

WebSocket は、Web ブラウザとサーバー間の双方向の全二重通信チャネルを可能にするため、ネットワーク データ漏洩の防止や監視に関してセキュリティ上の課題となる HTML5 オプションです2。WebSocket は、従来の HTTP 要求応答モデルをバイパスし、リアルタイムでデータを交換できる永続的な接続を確立できます。WebSocket 経由で送信されるデータは、ファイアウォール、プロキシ、データ損失防止システムなどのネットワーク セキュリティ デバイスによって検査またはフィルタリングされない可能性があるため、データ漏洩のリスクが生じる可能性があります3。クロス オリジン リソース共有 (CORS)、ドキュメント オブジェクト モデル (DOM) ツリー、Web インターフェイス定義言語 (IDL) は、Web ブラウザとサーバー間の通信チャネルとは関係がないため、ネットワーク データ漏洩の防止や監視に関してセキュリティ上の課題となる HTML5 オプションではありません。参考文献: 2: CISSP For Dummies、第 7 版、第 4 章、ページ
973: 公式 (ISC)2 CISSP CBK リファレンス、第 5 版、第 4 章、211 ページ。

説明/参照:
Explanation:
Diffie-Hellman アルゴリズムは、Whitfield Diffie と Martin Hellman によって開発された最初の非対称鍵共有アルゴリズムです。
誤った回答:
A、B: Diffie-Hellman アルゴリズムは暗号化やデジタル署名機能を提供しません。
D: 否認防止にはデジタル署名機能が必要ですが、Diffie-Hellman アルゴリズムではこの機能は提供されません。
参考文献:
ハリス、ショーン、オールインワン CISSP 試験ガイド、第 6 版、McGraw-Hill、2013 年、812、813、830 ページ