Skip to content

Domain 6 Playbook

Scope

  • Domain: Security Assessment and Testing
  • Dataset: data/cissp/domains/domain-6.json
  • Items: 192

出題の型

TypeTypical PromptWinning Pattern
監査設計何をどの順で評価するか目的 -> 範囲 -> 証跡 -> 報告
テスト方式選択どのテストが適切かリスクと環境制約で方式選定
脆弱性評価どこから着手するか影響度と露出面で優先度付け
指標/KPI何を測るべきか目的連動の測定可能指標
独立性/客観性誰が評価すべきか独立した評価者を優先

High-Signal Keywords (from 192 items)

TermPresence
ログ239
脆弱性194
評価192
テスト182
監査123
指標28
ペネトレーション22

Decision Lens

  1. 評価目的(準拠確認/改善/保証)
  2. テスト実施の承認と範囲定義
  3. 証跡の完全性と再現性
  4. 独立性と報告先の妥当性

正解に寄せるルール

Rule IDRule
D6-R1first は承認・範囲・成功基準の明確化
D6-R2本番影響があるテストは制御下で実施
D6-R3結果は指標化し、改善計画とセットで報告
D6-R4監査と自己評価の役割を分離
D6-R5単発テストより継続評価の仕組みを優先

誤答トラップ

  • 「無承認で本番ペンテスト実施」
  • 「検出件数だけで良し悪し判断」
  • 「報告だけして改善フォローなし」
  • 「評価者と被評価者が同一」

30秒解法フロー

  1. 目的と範囲が定義されているか確認
  2. 独立性・証跡・安全性の3条件で選択肢を絞る
  3. 指標と改善サイクルがある選択肢を残す
  4. 単発/場当たり対応を除外

典型ミス

MistakeFix
テスト種類を暗記で選ぶ目的・制約・影響で選定
監査結果の放置改善トラッキングを必須化
指標の意味が曖昧KPI/KRIを目的に紐づける