Appearance
Domain 6 Playbook
Scope
- Domain: Security Assessment and Testing
- Dataset:
data/cissp/domains/domain-6.json - Items: 192
出題の型
| Type | Typical Prompt | Winning Pattern |
|---|---|---|
| 監査設計 | 何をどの順で評価するか | 目的 -> 範囲 -> 証跡 -> 報告 |
| テスト方式選択 | どのテストが適切か | リスクと環境制約で方式選定 |
| 脆弱性評価 | どこから着手するか | 影響度と露出面で優先度付け |
| 指標/KPI | 何を測るべきか | 目的連動の測定可能指標 |
| 独立性/客観性 | 誰が評価すべきか | 独立した評価者を優先 |
High-Signal Keywords (from 192 items)
| Term | Presence |
|---|---|
| ログ | 239 |
| 脆弱性 | 194 |
| 評価 | 192 |
| テスト | 182 |
| 監査 | 123 |
| 指標 | 28 |
| ペネトレーション | 22 |
Decision Lens
- 評価目的(準拠確認/改善/保証)
- テスト実施の承認と範囲定義
- 証跡の完全性と再現性
- 独立性と報告先の妥当性
正解に寄せるルール
| Rule ID | Rule |
|---|---|
| D6-R1 | first は承認・範囲・成功基準の明確化 |
| D6-R2 | 本番影響があるテストは制御下で実施 |
| D6-R3 | 結果は指標化し、改善計画とセットで報告 |
| D6-R4 | 監査と自己評価の役割を分離 |
| D6-R5 | 単発テストより継続評価の仕組みを優先 |
誤答トラップ
- 「無承認で本番ペンテスト実施」
- 「検出件数だけで良し悪し判断」
- 「報告だけして改善フォローなし」
- 「評価者と被評価者が同一」
30秒解法フロー
- 目的と範囲が定義されているか確認
- 独立性・証跡・安全性の3条件で選択肢を絞る
- 指標と改善サイクルがある選択肢を残す
- 単発/場当たり対応を除外
典型ミス
| Mistake | Fix |
|---|---|
| テスト種類を暗記で選ぶ | 目的・制約・影響で選定 |
| 監査結果の放置 | 改善トラッキングを必須化 |
| 指標の意味が曖昧 | KPI/KRIを目的に紐づける |