最新 [2025年03月01日] リアルCompTIA CAS-004日本語試験問題集解答 [Q302-Q317]

最新 [2025年03月01日] リアルCompTIA CAS-004日本語試験問題集解答

CAS-004日本語問題集を使って一日でCompTIA CASP試験合格（最新の565解答)

質問 # 302
大規模な多国籍メーカーのセキュリティ アーキテクトは、トラフィックを監視するためのセキュリティ ソリューションを設計および実装する必要があります。
ソリューションを設計する際、ネットワークに対する攻撃を防ぐためにセキュリティ アーキテクトが注目すべき脅威は次のうちどれですか?

• A. 時間の経過とともに複数の要請された応答
• B. DNP3 ポートでの非 DNP3 通信の使用
• C. サポートされていない暗号化アルゴリズムの適用
• D. サイズまたは長さが間違っているパケット

正解：A

質問 # 303
ある企業は、ホリデー シーズンの準備として、小売販売を管理するシステムを再設計し、クラウド サービス プロバイダーに移行しました。新しいインフラストラクチャは、会社の可用性要件を満たしていませんでした。事後分析中に、次の問題が強調されました。
1. 海外のユーザーは、Web ページの画像が最初に読み込まれる際の遅延を報告しました。
2. レポートの処理中に、ユーザーが注文しようとすると在庫の問題が報告されました。
3. 10 台の新しい API サーバーが追加されたにもかかわらず、ピーク時にサーバー全体の負荷が高かった。
将来これらの問題を回避するために組織が実装するのに最適なインフラストラクチャ設計の変更は、次のうちどれですか?

• A. 画像を配信するサーバーの帯域幅を増やし、CDN を使用し、データベースを非リレーショナル データベースに変更し、10 台の API サーバーを 2 つのロード バランサーに分割します。
• B. 読み取り回数が少ないオブジェクト ストレージ バケットから画像を提供し、異なるリージョン間でデータベースを複製し、負荷に基づいて API サーバーを動的に作成します。
• C. 分散 CDN を介して静的コンテンツを提供し、中央データベースの読み取りレプリカを作成してそこからレポートをプルし、パフォーマンスに基づいて API サーバーを自動スケーリングします。
• D. さまざまなリージョンで静的コンテンツ オブジェクト ストレージを提供し、マネージド リレーショナル データベースのインスタンス サイズを増やし、10 台の API サーバーを複数のリージョンに分散します。

正解：C

質問 # 304
ある企業は、クラウドベースのインフラストラクチャを利用する完全にリモートの従業員を構築することを計画しています。最高情報セキュリティ責任者は、次の要件を満たすように接続を設計するようセキュリティ エンジニアに依頼します。
企業所有のデバイスを持つユーザーのみが、クラウド プロバイダーがホストするサーバーに直接アクセスできます。
企業は、個々のユーザーがアクセスできる SaaS アプリケーションを制御できます。
ユーザーのブラウザ アクティビティを監視できます。
次のソリューションのうち、これらの要件を最もよく満たすのはどれですか?

• A. API ゲートウェイ、UEM、およびフォワード プロキシ
• B. VPN、CASB、セキュア Web ゲートウェイ
• C. SSL トンネル、DLP、およびホストベースのファイアウォール
• D. IAM ゲートウェイ、MDM、およびリバース プロキシ

正解：B

解説：
A VPN (virtual private network) can provide secure connectivity for remote users to access servers hosted by the cloud provider. A CASB (cloud access security broker) can enforce policies and controls for accessing SaaS applications. A secure web gateway can monitor and filter user browser activity to prevent malicious or unauthorized traffic. Verified References:
https://partners.comptia.org/docs/default-source/resources/casp-content-guidehttps://www.comptia.org/blog/wha

質問 # 305
製品開発チームは、リリース前にレビューのためにコード スニペットを送信しました。
手順
コード スニペットを分析し、コード スニペットごとに脆弱性を 1 つ選択し、修正を 1 つ選択します。
コードのスニペット 1

コードスニペット 2

脆弱性 1:
SQLインジェクション
クロスサイトリクエスト偽造
サーバー側のリクエストフォージェリ
間接的なオブジェクト参照
クロスサイトスクリプティング
修正 1:
userid フィールドの入力サニタイズを実行します。
queryResponseの出力エンコーディングを実行し、
usex:ia がログイン ユーザーに属していることを確認してください。
URL を検査し、任意のリクエストを禁止します。
偽造防止トークンを実装します。
脆弱性 2
1) サービス拒否
2) コマンドインジェクション
3) SQLインジェクション
4) 認証バイパス
5) GET 経由で渡される認証情報
修正2
A) プリペアドステートメントを実装してバインドする
変数。
B)serve_forever 命令を削除します。
C) 「認証された」値が GET パラメータによって上書きされないようにします。
D) 機密パラメータには HTTP POST を使用する必要があります。
E) userid フィールドの入力サニタイズを実行します。

正解：

解説：
See the Explanation below for the solution
Explanation:
Code Snippet 1
Vulnerability 1: SQL injection
SQL injection is a type of attack that exploits a vulnerability in the code that interacts with a database. An attacker can inject malicious SQL commands into the input fields, such as username or password, and execute them on the database server. This can result in data theft, data corruption, or unauthorized access.
Fix 1: Perform input sanitization of the userid field.
Input sanitization is a technique that prevents SQL injection by validating and filtering the user input values before passing them to the database. The input sanitization should remove any special characters, such as quotes, semicolons, or dashes, that can alter the intended SQL query. Alternatively, the input sanitization can use a whitelist of allowed values and reject any other values.
Code Snippet 2
Vulnerability 2: Cross-site request forgery
Cross-site request forgery (CSRF) is a type of attack that exploits a vulnerability in the code that handles web requests. An attacker can trick a user into sending a malicious web request to a server that performs an action on behalf of the user, such as changing their password, transferring funds, or deleting dat a. This can result in unauthorized actions, data loss, or account compromise.
Fix 2: Implement anti-forgery tokens.
Anti-forgery tokens are techniques that prevent CSRF by adding a unique and secret value to each web request that is generated by the server and verified by the server before performing the action. The anti-forgery token should be different for each user and each session, and should not be predictable or reusable by an attacker. This way, only legitimate web requests from the user's browser can be accepted by the server.

質問 # 306
ネットワーク SLA 契約で最も一般的に見られるのは次のうちどれですか?

• A. サービスプロバイダーのみの責任
• B. 責任の制限
• C. 秘密保持および非開示
• D. 追加サービスの料金
• E. パフォーマンス指標

正解：E

解説：
Service Level Agreement (SLA)
A contractual agreement setting out the detailed terms under which a service is provided. SLAs typically govern services that are both measurable and repeatable and include an enforcement mechanism that typically includes financial penalties for non-compliance.
Operational-Level Agreement (OLA)
Operational-level agreements are typically internal documents established by an organization to define the essential operational needs of an organization in order for it to meet the {{performance metrics defined in a Service Level Agreement}}.

質問 # 307
過去 1 年間の攻撃パターンを振り返ると、攻撃者は侵害を受けやすいシステムを見つけた後、偵察を停止したことがわかります。同社は、貴重な攻撃情報を取得しながら、この情報を使用して環境を保護する方法を見つけたいと考えています。
次のうち、会社が実装するのに最適なものはどれですか?

• A. IDS
• B. SIEM
• C. WAF
• D. ハニーポット

正解：D

解説：
Reference: https://www.kaspersky.com/resource-center/threats/what-is-a-honeypot

質問 # 308
セキュリティ監査人は、エンターテイメント デバイスの動作方法を確認する必要があります。監査人は、ポート スキャン ツールの出力を分析して、セキュリティ レビューの次のステップを決定しています。次のログ出力が与えられます。
監査人が NEXT を使用するための最良のオプションは次のとおりです。

• A. リバースエンジニアリング
• B. SCAP 評価。
• C. ネットワーク傍受。
• D. ファジング

正解：B

質問 # 309
ある企業は、顧客向けに PHP ベースの外部 Web アプリケーションを作成しました。セキュリティ研究者は、アプリケーションに Heartbleed 脆弱性があると報告しています。問題を解決し、軽減するのに最も適したものは次のうちどれですか? (2 つ選択してください)。

• A. PHP コードの修正
• B. SSLv3 を使用する
• C. WAF シグネチャの導入
• D. WebサーバーをHTTPSからHTTPに変更する
• E. コードを PHP から ColdFusion に変更する
• F. OpenSSL ライブラリの更新

正解：C、F

解説：
B) Fixing the PHP code is not a way to resolve or mitigate the Heartbleed vulnerability, because the vulnerability is not in the PHP code, but in the OpenSSL library that handles the SSL/TLS encryption for the web server.
C) Changing the web server from HTTPS to HTTP is not a way to resolve or mitigate the Heartbleed vulnerability, because it would expose all the web traffic to eavesdropping and tampering by attackers. HTTPS provides confidentiality, integrity, and authentication for web communications, and should not be disabled for security reasons.
D) Using SSLv3 is not a way to resolve or mitigate the Heartbleed vulnerability, because SSLv3 is an outdated and insecure protocol that has been deprecated and replaced by TLS. SSLv3 does not support modern cipher suites, encryption algorithms, or security features, and is vulnerable to various attacks, such as POODLE.
E) Changing the code from PHP to ColdFusion is not a way to resolve or mitigate the Heartbleed vulnerability, because the vulnerability is not related to the programming language of the web application, but to the OpenSSL library that handles the SSL/TLS encryption for the web server.
https://owasp.org/www-community/vulnerabilities/Heartbleed_Bug
https://heartbleed.com/
Explanation:
Deploying a web application firewall (WAF) signature is a way to detect and block attempts to exploit the Heartbleed vulnerability on the web server. A WAF signature is a pattern that matches a known attack vector, such as a malicious heartbeat request. By deploying a WAF signature, the company can protect its web application from Heartbleed attacks until the underlying vulnerability is fixed.
Updating the OpenSSL library is the ultimate way to fix and mitigate the Heartbleed vulnerability. The OpenSSL project released version 1.0.1g on April 7, 2014, which patched the bug by adding a bounds check to the heartbeat function. By updating the OpenSSL library on the web server, the company can eliminate the vulnerability and prevent any future exploitation.

質問 # 310
次のプロトコルのうち、PAN ネットワークの作成を可能にする低電力、低データ レートのプロトコルはどれですか?

• A. できます
• B. モドバス
• C. DNP3
• D. ジグビー

正解：D

解説：
Reference: https://urgentcomm.com/2007/11/01/connecting-on-a-personal-level/

質問 # 311
セキュリティ目標を達成するために企業が導入すべきテクノロジーは次のうちどれですか? (2 つ選択)_

• A. NIDS
• B. 要塞ホスト
• C. リバースプロキシ
• D. NGFW
• E. NAC
• F. WAF

正解：A、E

質問 # 312
重要度の低いサードパーティ ベンダーを組織が評価したところ、そのベンダーにはサイバーセキュリティ保険がなく、IT スタッフの離職率が高いことがわかりました。組織はベンダーを使用して、顧客のオフィス機器をあるサービス場所から別の場所に移動します。ベンダーは、API を介して顧客データとビジネスへのアクセスを取得します。
この情報が与えられた場合、次のうち注目すべきリスクはどれですか?

• A. ソフトウェア開発サイクルの延長による機能の遅延
• B. ベンダーの業務が停止する可能性
• C. ベンダーのデータ侵害による金銭的責任
• D. API 構成への技術的な影響

正解：A

解説：
Reference: https://legal.thomsonreuters.com/en/insights/articles/data-breach-liability

質問 # 313
個人のデバイスに未承認のアプリケーションをインストールした後、最高経営責任者がセキュリティ アナリストにインシデントを報告しました。BYOD ポリシーに記載されているように、このデバイスは MDM ソリューションによって制御されません。しかし、そのデバイスには重要な機密情報が含まれていました。サイバー インシデント対応チームがデバイスの分析を実行したところ、次のログが見つかりました。

攻撃が成功した理由として最も考えられるのは次のうちどれですか?

• A. サイドローディング
• B. アプリケーションのセグメント化の欠如
• C. MDM コントロールの欠如
• D. ホットスポットの自動参加が有効になっています

正解：C

解説：
A lack of Mobile Device Management (MDM) controls can lead to successful attacks because MDM solutions provide the ability to enforce security policies, remotely wipe sensitive data, and manage software updates, which can prevent unauthorized access and protect corporate data. Without MDM, personal devices are more vulnerable to security risks.

質問 # 314
金融サービス会社には独自の取引アルゴリズムがあり、開発者チームによって作成され、プライベート ソース コード リポジトリで維持されています。
この作戦の詳細が競合他社に知られれば、同社が取引から利益を得る能力は即座に失われるだろう。
同社が自社の取引アルゴリズムを保護するために使用する可能性が最も高いのは次のうちどれですか?

• A. 仮想デスクトップインフラストラクチャ
• B. シングルテナンシークラウド
• C. クラウドセキュリティブローカー
• D. マネージド セキュリティ サービス プロバイダー

正解：B

質問 # 315
組織の財務システムが最近攻撃されました。フォレンジック アナリストが、侵害されたクレジット カード データのファイルの内容を確認しています。
財務データが失われたかどうかを最もよく判断するために、アナリストが実行する必要があるコマンドは次のうちどれですか?

• A. オプション B
• B. オプション A
• C. オプション C
• D. オプション D

正解：C

質問 # 316
ある組織には、本社から約 10 マイル (16 km) 離れた安全な製造施設があります。組織の経営陣は、その施設を利用する従業員を追跡できるかどうかに懸念を抱いています。従業員の追跡を防ぐには、次のうちどれが最も効果的でしょうか。

• A. アクセス制御玄関や適切なフェンスなどの物理的なセキュリティ制御を実施します。
• B. より安全なアクセスを可能にするために、本部と施設の間にトンネルを構築します。
• C. スタッフ全員が屋根付きの駐車場を使用し、敷地外から見られないようにします。
• D. ジオフェンシングを構成して、安全な施設の近くでモバイル デバイスとウェアラブル デバイスを無効にします。

正解：D

解説：
Geofencing to disable mobile and wearable devices prevents the tracking of staff by disabling GPS and other location-based services. This measure aligns with CASP+ objective 3.2, which includes protecting sensitive facilities against surveillance and unauthorized tracking.

質問 # 317
......

CAS-004日本語試験正確な問題集で学習ノートと理論：https://www.passtest.jp/CompTIA/CAS-004-JPN-shiken.html