100%無料CAS-004日本語試験問題集リアルCompTIA CASP問題集565解答を掴み取れ！ [Q132-Q156]

100%無料CAS-004日本語試験問題集リアルCompTIA CASP問題集565解答を掴み取れ！

あなたを余裕でCAS-004日本語試験合格させます！100%試験高合格率保証 [2025]

質問 # 132
経理チームのメンバーが、最高財務責任者 (CFO) のような人物からボイスメール メッセージを受け取りました。ボイスメール メッセージでは、発信者が組織がこれまで使用したことのない銀行口座への電信送金を要求していました。このタイプの攻撃を最もよく表しているのは次のうちどれですか。

• A. 攻撃者は発信者IDのなりすましを使用して、CFOの内線電話番号を模倣しました。
• B. 攻撃者はディープフェイク技術を使用して CFO の声をシミュレートしました。
• C. 攻撃者は買掛金部門の誰かをフィッシングすることに成功しました。
• D. CFO は横領を試みた。

正解：B

解説：
In this scenario, the voicemail requesting a wire transfer from an unfamiliar bank account is indicative of a deepfake attack, where attackers use advanced technology to simulate a person's voice or likeness. Deepfake technology is increasingly being used in social engineering attacks to impersonate executives or trusted individuals. This attack attempts to manipulate employees by making them believe they are receiving legitimate requests from high-ranking personnel. CASP+ discusses advanced threats like deepfakes, which leverage AI to bypass traditional security awareness defenses.
References:
* CASP+ CAS-004 Exam Objectives: Domain 2.0 - Enterprise Security Operations (Advanced Social Engineering Threats)
* CompTIA CASP+ Study Guide: Social Engineering and Deepfake Risks

質問 # 133
PKI は、変更管理プロセスにおけるセキュリティ要件をサポートするために使用できます。PKI がメッセージに提供する機能は次のどれですか。

• A. 配達受領書
• B. 証明
• C. 機密保持
• D. 否認防止

正解：D

解説：
Non-repudiation ensures that a sender cannot deny having sent a message, achieved through digital signatures provided by PKI. This aligns with CASP+ objective 3.2, emphasizing cryptographic assurance in communication.

質問 # 134
組織は、ベスト プラクティスのセキュリティ構成に対してすべてのシステムのスキャンを実行したいと考えています。
次の SCAP 標準のうち、組み合わせた場合、組織が各構成チェックを自動入力用の機械可読チェックリスト形式で表示できるようにするのはどれですか? （2つ選んでください。）

• A. ARF
• B. XCCDF
• C. OVAL
• D. CVE
• E. CPE
• F. CVSS

正解：B、C

解説：
Reference: https://www.govinfo.gov/content/pkg/GOVPUB-C13-9ecd8eae582935c93d7f410e955dabb6/pdf
/GOVPUB-C13-9ecd8eae582935c93d7f410e955dabb6.pdf (p.12)
XCCDF (Extensible Configuration Checklist Description Format) and OVAL (Open Vulnerability and Assessment Language) are two SCAP (Security Content Automation Protocol) standards that can enable the organization to view each of the configuration checks in a machine-readable checklist format for full automation. XCCDF is a standard for expressing security checklists and benchmarks, while OVAL is a standard for expressing system configuration information and vulnerabilities. ARF (Asset Reporting Format) is a standard for expressing the transport format of information about assets, not configuration checks. CPE (Common Platform Enumeration) is a standard for identifying and naming hardware, software, and operating systems, not configuration checks. CVE (Common Vulnerabilities and Exposures) is a standard for identifying and naming publicly known cybersecurity vulnerabilities, not configuration checks. CVSS (Common Vulnerability Scoring System) is a standard for assessing the severity of cybersecurity vulnerabilities, not configuration checks. Verified References: https://www.comptia.org/blog/what-is-scap
https://partners.comptia.org/docs/default-source/resources/casp-content-guide

質問 # 135
米国を拠点とする企業の不正調査に取り組んでいる法医学の専門家が、証拠としていくつかのディスク イメージを収集しました。
証拠が合法的に取得されたかどうかについて、正式な決定を下すのは次のうちどれですか?

• A. 経営陣
• B. 弁護士
• C. 警察
• D. コート

正解：B

質問 # 136
ある会社は、グローバル サービスの展開を準備しています。
GDPR コンプライアンスを確保するために会社が行う必要があるのは、次のうちどれですか? （2つ選んでください。）

• A. マーケティング メッセージのオプトイン/オプトアウトを提供します。
• B. 代替の認証技術を提供します。
• C. 第三者にデータ アクセスを許可します。
• D. データ削除機能を提供します。
• E. 保存されているデータについてユーザーに通知します。
• F. オプションのデータ暗号化を提供します。

正解：D、E

解説：
The main rights for individuals under the GDPR are to:
allow subject access
have inaccuracies corrected
have information erased
prevent direct marketing
prevent automated decision-making and profiling
allow data portability (as per the paragraph above)
source: https://www.clouddirect.net/11-things-you-must-do-now-for-gdpr-compliance/ These are two of the requirements of the GDPR (General Data Protection Regulation), which is a legal framework that sets guidelines for the collection and processing of personal data of individuals within the European Union (EU). The GDPR also requires data controllers to obtain consent from data subjects, protect data with appropriate security measures, notify data subjects and authorities of data breaches, and appoint a data protection officer.

質問 # 137
CI/CD パイプラインでは、コードに欠陥と脆弱性がほぼゼロであることが要求されます。コードを実稼働環境にリリースする現在のプロセスでは、2 週間のアジャイル スプリントが使用されます。要件を最もよく満たすものは次のうちどれですか?

• A. 信頼できるオープンソース ライブラリ
• B. 静的コードアナライザー
• C. オープンソースのオートメーション サーバー
• D. すべての開発者向けの単一のコード リポジトリ

正解：B

解説：
A) An open-source automation server is not a tool that can help ensure that the code has close to zero defects and zero vulnerabilities. An open-source automation server is a tool that automates various tasks related to software development and delivery, such as building, testing, deploying, and monitoring. An open-source automation server can help speed up the CI/CD pipeline, but it does not analyze or improve the code itself.
C) Trusted open-source libraries are not tools that can help ensure that the code has close to zero defects and zero vulnerabilities. Trusted open-source libraries are collections of reusable code that developers can use to implement common or complex functionalities in their applications. Trusted open-source libraries can help save time and effort for developers, but they do not guarantee that the code is free of defects or vulnerabilities.
D) A single code repository for all developers is not a tool that can help ensure that the code has close to zero defects and zero vulnerabilities. A single code repository for all developers is a centralized storage location where developers can access and manage their source code files. A single code repository for all developers can help facilitate collaboration and version control, but it does not analyze or improve the code itself.
https://www.comparitech.com/net-admin/best-static-code-analysis-tools/
https://www.perforce.com/blog/sca/what-static-analysis
Explanation:
A static code analyzer is a tool that analyzes computer software without actually running the software. A static code analyzer can help developers find and fix vulnerabilities, bugs, and security risks in their new applications while the source code is in its 'static' state. A static code analyzer can help ensure that the code has close to zero defects and zero vulnerabilities by checking the code against a set of coding rules, standards, and best practices. A static code analyzer can also help improve the code quality, performance, and maintainability.

質問 # 138
新しい Web サーバーは、新しいセキュア バイ デザインの原則と PCI DSS に準拠する必要があります。これには、オンパス攻撃のリスクを軽減することが含まれます。セキュリティ アナリストは、次の Web サーバー構成を確認しています。

ビジネス要件をサポートするために、セキュリティ アナリストが削除する必要がある暗号は次のうちどれですか?

• A. TLS_CHACHA20_POLY1305_SHA256
• B. TLS_DHE_DSS_WITH_RC4_128_SHA
• C. TLS_AES_128_GCM_SHA256
• D. TLS_AES_128_CCM_8_SHA256

正解：B

解説：
The security analyst should remove the cipher TLS_DHE_DSS_WITH_RC4_128_SHA to support the business requirements, as it is considered weak and vulnerable to on-path attacks. RC4 is an outdated stream cipher that has been deprecated by major browsers and protocols due to its flaws and weaknesses. The other ciphers are more secure and compliant with secure-by-design principles and PCI DSS. Verified References:
https://www.comptia.org/blog/what-is-a-cipher
https://partners.comptia.org/docs/default-source/resources/casp-content-guide

質問 # 139
ある会社が新しいビデオカードをリリースしたところです。供給が限られており、需要も近いため、攻撃者は自動化システムを利用して、同社の Web ストアを通じてデバイスを購入し、二次市場で再販できるようにしています。同社の対象顧客は不満を感じています。セキュリティ エンジニアは、自動システムを通じて購入するビデオ カードの数を減らすために、Web ストアに CAPTCHA システムを実装することを提案しています。
リスクのレベルを表すものは次のうちどれですか?

• A. 転送済み
• B. 低い
• C. 残留
• D. 軽減される
• E. 固有のもの

正解：C

解説：
CAPTCHA does not completely mitigate the risk of Bots but rather reduces the risk and therefore Residual risk remains after the CAPTCHA implementation.

質問 # 140
セキュリティ アナリストには、CVE を識別するために確認して会社の Snort IDS に追加する次の部分的な Snort IDS ルールが提供されています。

このタイプの脆弱性を軽減するためにアナリストは次のどれを推奨しますか?

• A. TCP ラッパー
• B. 2 要素認証
• C. OS のパッチ適用
• D. IPSec ルール

正解：C

解説：
Regular operating system patching is critical to mitigating vulnerabilities. When a Snort IDS rule is provided to identify a CVE, it typically means there is a known vulnerability that can be exploited. Keeping systems updated with the latest patches helps to close off these vulnerabilities and protect against exploitation.

質問 # 141
セキュリティ アナリストがネットワーク ログを確認すると、次のような、不明なドメインに対する内部サーバーから発信された大量のドメイン名クエリに気付きます。
2736287327321782.hgQ43jsi23-y.com
0357320932922C91.hgQ43jsu23Ty.com
4042301801399103.hgQ43jsu23Ly.com
アナリストは次に何をすべきでしょうか?

• A. ホスト名をブロック リストに追加します。
• B. サーバーの DNS 設定を再構成します。
• C. 要求されたドメイン上の Web サイトを参照します。
• D. データの流出をチェックします。

正解：D

解説：
Step by Step Explanation:
* A high volume of DNS queries to unknown domains may indicate domain generation algorithm (DGA) activity associated with malware.
* Checking for data exfiltration is the next logical step to determine if sensitive data is being leaked to these domains.
* Reconfiguring DNS settings, browsing unknown domains, or blocking the domains are reactive steps that do not address the root cause.
Reference: CASP+ Exam Objectives 3.1 - Analyze indicators of compromise to determine data exfiltration risks.

質問 # 142
ある企業は、新しい人工知能ベースの分析 SaaS ソリューションを採用しています。これは SaaS ソリューションを使用する同社の最初の試みであり、セキュリティ アーキテクトは将来のリスクを判断するよう求められています。このソリューションを採用する上で、最もリスクが高いのは次のうちどれですか?

• A. 他のサービスへの移行時に会社のデータを取得できない
• B. 会社のポリシーに準拠するためのアクセス制御を割り当てることができない
• C. サービス プロバイダーに対してセキュリティ評価を実施できないこと
• D. サービス プロバイダーが特定の国でデータを処理することを要求できないこと

正解：A

質問 # 143
組織は、次の要件を満たす必要があるネットワーク アーキテクチャを設計しています。
ユーザーは事前定義されたサービスにのみアクセスできます。
各ユーザーには、アクセス用に定義された固有の許可リストがあります。
システムは、1 対 1 のサブジェクト/オブジェクト アクセス パスを動的に構築します。
これらの要件を満たすために組織が使用する必要があるアーキテクチャ設計は、次のうちどれですか?

• A. ソフトウェア定義ネットワーキングによって有効化されるマイクロセグメンテーション
• B. API ゲートウェイによって有効化されるプロキシされたアプリケーション データ接続
• C. ネットワーク インフラストラクチャ デバイスによって有効にされる VLAN
• D. モバイル アプリケーションによって実現されるピア ツー ピアのセキュアな通信

正解：A

解説：
Explanation
Microsegmentation enabled by software-defined networking is an architectural design that can meet the requirements of allowing users to access only predefined services, having unique allow lists defined for each user, and constructing one-to-one subject/object access paths dynamically. Microsegmentation is a technique that divides a network into smaller segments or zones based on granular criteria, such as applications, services, users, or devices. Microsegmentation can provide fine-grained access control and isolation for network resources, preventing unauthorized or lateral movements within the network. Software-defined networking is a technology that decouples the control plane from the data plane in network devices, allowing centralized and programmable management of network functions and policies. Software-defined networking can enable microsegmentation by dynamically creating and enforcing network segments or zones based on predefined rules or policies. Peer-to-peer secure communications enabled by mobile applications is not an architectural design that can meet the requirements of allowing users to access only predefined services, having unique allow lists defined for each user, and constructing one-to-one subject/object access paths dynamically, as peer-to-peer secure communications is a technique that allows direct and encrypted communication between two or more parties without relying on a central server or intermediary. Proxied application data connections enabled by API gateways is not an architectural design that can meet the requirements of allowing users to access only predefined services, having unique allow lists defined for each user, and constructing one-to-one subject/object access paths dynamically, as proxied application data connections is a technique that allows indirect and filtered communication between applications or services through an intermediary device or service that can modify or monitor the traffic. VLANs (virtual local area networks) enabled by network infrastructure devices is not an architectural design that can meet the requirements of allowing users to access only predefined services, having unique allow lists defined for each user, and constructing one-to-one subject/object access paths dynamically, as VLANs are logical segments of a physical network that can group devices or users based on common criteria, such as function, department, or location. Verified References:
https://www.comptia.org/blog/what-is-microsegmentation
https://partners.comptia.org/docs/default-source/resources/casp-content-guide

質問 # 144
以下の情報が与えられます:
* ファイアウォール ルール: 既存のルールでは、Web サーバー C の IP アドレス (10.2.0.92) が考慮されません。
* アプリケーション A セキュリティ グループ: 新しいサーバーには受信規則と送信規則が不十分です。
セキュリティ チームは、可能な限り特定のホスト ルールを回避することで、ファイアウォール ルール セットを最小限に抑えたいと考えています。
問題を解決し、セキュリティ チームの要件を満たすには、次のどのアクションを実行する必要がありますか?

• A. ファイアウォールルールを変更して、WebサーバーCの新しいIPアドレスを追加します。
• B. セキュリティグループのアウトバウンドルールをより制限的になるように変更する
• C. セキュリティ グループの受信ルールを変更して、Web サーバー C の新しい IP アドレスを含めます。
• D. Web サーバー C を 10.2.0.62 に再構成します。

正解：A

解説：
Comprehensive and Detailed Step by Step Explanation:
* The issue stems from Web Server C's new IP (10.2.0.92) not being included in the firewall rules.
* To resolve the issue, modify the firewall rules to include the new IP range (e.g., 10.2.0.0/26) rather than adding a specific host rule, ensuring scalability and simplicity.
* Changing inbound or outbound security group rules would still miss the underlying issue of omitted IPs.
* Reconfiguring the IP is unnecessary when updating firewall rules is sufficient.
References:
* CompTIA CASP+ Exam Objective 2.2: Implement network security solutions.
* CASP+ Study Guide, 5th Edition, Chapter 7, Network Security.

質問 # 145
HVAC 請負業者は、会社の拠点で機器の問題をリモートでサポート/トラブルシューティングするために、ネットワーク接続の許可を要求しました。現在、同社にはベンダーに企業ネットワークへのリモート アクセスを許可するプロセスがありません。請負業者にアクセスを許可するための最善の行動方針は次のどれですか?

• A. ベンダーの認証プロセスを確立する 認証ベンダーが HVAC 機器を監視および保守するために VDI にアクセスできるようにする
• B. 企業ネットワークにアクセスしない専用セグメントを作成する ベンダー アクセス用に専用の VPN ハードウェアを実装する
• C. ベンダーに、機器を接続するための標準的なデスクトップ PC を提供します。 標準的な企業 VPN を介したアクセスをベンダーに提供します。
• D. ベンダーの機器を既存のネットワークに追加します。標準の企業 VPN を介してベンダーにアクセスを許可します。

正解：B

質問 # 146
クライアントがプロジェクトにスコープを追加しています。クライアントのシステムの更新または修正を要求する場合、次のプロセスのうちどれを使用する必要がありますか?

• A. 情報システムセキュリティ責任者は、システムエンジニアにシステムアップデートを提供します。
• B. 導入エンジニアは、システムエンジニアおよび最高情報セキュリティ責任者に直接承認を求めます。
• C. 変更管理委員会は提出物を検討し、承認する必要があります。
• D. セキュリティ エンジニアは、プロジェクト マネージャーにクライアントのシステムの更新を確認するように依頼します。

正解：C

解説：
A) The implementation engineer requesting direct approval from the systems engineer and the Chief Information Security Officer is not a correct process for requesting updates or corrections to the client's systems, because it bypasses the change control board and the project manager. This could lead to unauthorized changes that could compromise the project's objectives and deliverables.
C) The information system security officer providing the systems engineer with the system updates is not a correct process for requesting updates or corrections to the client's systems, because it does not involve the change control board or the project manager. This could lead to unauthorized changes that could introduce security vulnerabilities or conflicts with other system components.
D) The security engineer asking the project manager to review the updates for the client's system is not a correct process for requesting updates or corrections to the client's systems, because it does not involve the change control board. The project manager is responsible for facilitating the change management process, but not for approving or rejecting change requests.
https://www.projectmanager.com/blog/change-control-board-roles-responsibilities-processes Explanation:
The change control board (CCB) is a committee that consists of subject matter experts and managers who decide whether to implement proposed changes to a project. The change control board is part of the change management plan, which defines the roles and processes for managing change within a team or organization. The change control board must review and approve a submission for any change request that affects the scope, schedule, budget, quality, or risks of the project. The change control board evaluates the impact and benefits of the change request and decides whether to accept, reject, or defer it.

質問 # 147
ある製薬会社は、クラウド プロバイダーを使用して、オブジェクト ストレージ内の何千もの独立したリソースをホストしています。この会社では、データの検出、変更の監視、疑わしいアクティビティの特定を行う実用的かつ効果的な手段が必要です。これらの要件を最もよく満たすのは次のどれでしょうか。

• A. ファイル整合性監視サービス
• B. 機械学習ベースのデータセキュリティサービス
• C. クラウド構成評価およびコンプライアンス サービス
• D. 自動データ分類システム

正解：B

解説：
A machine-learning-based data security service provides dynamic discovery, anomaly detection, and behavioral analysis. It effectively identifies changes and suspicious activity across large-scale environments, such as object storage in the cloud. This aligns with CASP+ objective 4.3, emphasizing the use of advanced analytics and ML to improve data security.

質問 # 148
セキュリティ アナリストは、サード パーティの侵入テスターに​​よって最近行われたエクスプロイトの成功の結果を読んでいます。テスターは、特権実行可能ファイルをリバース エンジニアリングしました。レポートでは、テストのログと出力を使用して、エクスプロイトの計画と実行について詳しく説明されています。次の出力があるとします。

侵入テスターは、ほとんどの場合、以下を利用した可能性があります。

• A. バッファ オーバーフローの脆弱性
• B. 整数オーバーフローの脆弱性
• C. 平文のパスワード開示
• D. TOC/TOU の脆弱性

正解：D

質問 # 149
サイバーセキュリティ アナリストは、企業が改善された電子メール フィルタリング システムに支出することを正当化できる最大予算額を決定するのに役立つ次の表を作成しました。

ビジネスの予算ニーズを満たすものは次のうちどれですか?

• A. フィルター GHI
• B. フィルターABC
• C. フィルターXYZ
• D. フィルター TUV

正解：C

解説：
Filter XYZ is the best option that meets the budget needs of the business. Filter XYZ has an ALE of $1 million per year, which is lower than any other filter option. ALE stands for annualized loss expectancy, which is a measure of how much money a business can expect to lose due to a risk over a year. ALE is calculated by multiplying the annualized rate of occurrence (ARO) of an event by the single loss expectancy (SLE) of an event. ARO is how often an event is expected to occur in a year. SLE is how much money an event will cost each time it occurs. Therefore, ALE = ARO x SLE. Filter XYZ has an ARO of 0.1 and an SLE of $10 million, so ALE = 0.1 x $10 million = $1 million. Verified Reference: https://www.comptia.org/training/books/casp-cas-004-study-guide , https://www.techopedia.com/definition/24771/annualized-loss-expectancy-ale

質問 # 150
ある会社が新しいビデオ カードをリリースしました。供給が限られており、需要が高いため、攻撃者は自動化されたシステムを使用して、会社の Web ストアからデバイスを購入し、流通市場で転売できるようにしています。同社の意図した顧客は不満を抱いています。セキュリティ エンジニアは、Web ストアに CAPTCHA システムを実装して、自動システムを通じて購入するビデオ カードの数を減らすことを提案しています。次のうち、リスクのレベルを説明しているのはどれですか?

• A. 固有
• B. 低
• C. 軽減
• D. 残差。
• E. 転送

正解：D

質問 # 151
大規模で老朽化したサーバー環境を持つ企業の経営陣は、交換戦略を作成するためにサーバーリスク評価を実施しています。交換戦略は、特定のサーバーで実行されているアプリケーションの重要度に関係なく、サーバーが故障する可能性に基づいて決定されます。サーバーの交換の優先順位付けには、次のどれを使用する必要がありますか?

• A. MTBF
• B. TCO
• C. SLE
• D. MSA
• E. MTTR

正解：A

解説：
To prioritize server replacements based on the likelihood of failure, the MTBF (Mean Time Between Failures) metric is most appropriate. MTBF provides a measure of the average time a server or system is expected to operate before experiencing failure. This allows the management team to assess which servers are more likely to fail soon, irrespective of the application criticality, and thus should be replaced first. CASP+ highlights the use of MTBF in hardware lifecycle management and risk assessments.
Reference:
CASP+ CAS-004 Exam Objectives: Domain 1.0 - Risk Management (MTBF in Hardware Lifecycle) CompTIA CASP+ Study Guide: Server Risk Assessments Using MTBF and Reliability Metrics

質問 # 152
最近、医療システムがランサムウェア事件に見舞われました。その結果、取締役会は、既存のネットワーク セキュリティを向上させるためにセキュリティ コンサルタントを雇うことを決定しました。セキュリティ コンサルタントは、医療ネットワークが完全にフラットで、特権アクセス制限がなく、個人の健康情報が含まれるサーバーにオープン RDP アクセスできることを発見しました。コンサルタントが修復計画を立てる際、これらの課題を最もよく解決するのは次のソリューションのうちどれですか? (3 つを選択)。

• A. ネットワークのセグメンテーション
• B. BGP
• C. リモートアクセス VPN
• D. NAC
• E. MFA
• F. SD-WAN
• G. PAM

正解：A、C、F

質問 # 153
重大度の高い脆弱性が Web アプリケーションで発見され、企業に導入されました。この脆弱性により、許可されていないユーザーがオープンソース ライブラリを利用して特権ユーザーの情報を表示できる可能性があります。企業はリスクを受け入れたくありませんが、開発者は問題をすぐに修正できません。
問題が修正されるまでリスクを許容レベルまで下げるために実装する必要があるのは、次のうちどれですか?

• A. 特権ユーザー名を変更し、OS ログを確認して、ハードウェア トークンを展開します。
• B. 静的コード アナライザーでコードをスキャンし、特権ユーザーのパスワードを変更し、セキュリティ トレーニングを提供します。
• C. VPN を展開し、公式のオープンソース ライブラリ リポジトリを構成し、脆弱性について完全なアプリケーション レビューを実行します。
• D. MFA を実装し、アプリケーション ログを確認して、WAF をデプロイします。

正解：D

解説：
Reference: https://www.microfocus.com/en-us/what-is/sast
Implementing MFA can add an extra layer of security to protect against unauthorized access if the vulnerability is exploited. Reviewing the application logs can help identify if any attempts have been made to exploit the vulnerability, and deploying a WAF can help block any attempts to exploit the vulnerability. While the other options may provide some level of security, they may not directly address the vulnerability and may not reduce the risk to an acceptable level.

質問 # 154
セキュリティ アナリストは、Linux ワークステーションのネットワーク接続を確認し、コマンド ラインを使用してアクティブな TCP 接続を調べています。
アクティブなインターネット接続のみを表示するために実行するのに最適なコマンドは次のうちどれですか?

• A. sudo netstat -antu | grep "LISTEN" | awk '{print$5}'
• B. sudo netstat -pnut | grep -P ^tcp
• C. sudo netstat -pnut -w | column -t -s $'\w'
• D. sudo netstat -plntu | grep -v "Foreign Address"
• E. sudo netstat -nlt -p | grep "ESTABLISHED"

正解：B

質問 # 155
セキュリティ チームは、修復の進行状況を追跡するためのチケットを作成しています。優先度の高い、または重大な検出結果の期限を指定するために使用されるのは次のどれですか。

• A. MSA
• B. SLA
• C. ISA
• D. MOU

正解：B

解説：
A Service Level Agreement (SLA) is the document used to specify due dates for the remediation of high- and critical-priority findings. SLAs outline the responsibilities of the service provider, including time frames for addressing issues or vulnerabilities, based on their severity. By setting clear timelines for remediation, SLAs ensure that critical security vulnerabilities are addressed in a timely manner. CASP+ emphasizes the importance of SLAs in maintaining accountability for security operations and ensuring compliance with organizational security policies.
References:
* CASP+ CAS-004 Exam Objectives: Domain 1.0 - Risk Management (SLAs and Security Management)
* CompTIA CASP+ Study Guide: SLAs for Security Vulnerability Management

質問 # 156
......

学習材料は有効CAS-004日本語効率的問題集：https://www.passtest.jp/CompTIA/CAS-004-JPN-shiken.html