Appearance
Domain 8 Playbook
Scope
- Domain: Software Development Security
- Dataset:
data/cissp/domains/domain-8.json - Items: 63
出題の型
| Type | Typical Prompt | Winning Pattern |
|---|---|---|
| SDLC統合 | いつセキュリティを入れるか | 要件・設計段階でShift Left |
| テスト選定 | SAST/DASTをどう使うか | フェーズ別に併用して欠陥早期検出 |
| 脅威モデリング | 何を先に洗い出すか | 資産・境界・攻撃面を明確化 |
| サプライチェーン | 依存関係をどう管理するか | SBOM/署名/検証の継続運用 |
| リリース統制 | どのゲートを置くか | 品質・脆弱性・承認の基準化 |
High-Signal Keywords (from 63 items)
| Term | Presence |
|---|---|
| テスト | 57 |
| 実装 | 38 |
| CI/CD | 31 |
| SAST | 25 |
| DAST | 21 |
| 設計 | 20 |
| コードレビュー | 20 |
Decision Lens
- セキュリティ要件が上流で定義されているか
- 開発フェーズごとに適切な検査があるか
- デプロイ前にリスク受容/修正判断があるか
- 継続的改善(フィードバックループ)があるか
正解に寄せるルール
| Rule ID | Rule |
|---|---|
| D8-R1 | first は要件定義と脅威モデリングを優先 |
| D8-R2 | SAST/DAST/レビューを単発でなくパイプライン化 |
| D8-R3 | セキュリティ欠陥はリリースゲートで管理 |
| D8-R4 | 依存関係は継続的に検証・更新 |
| D8-R5 | 開発速度より再現可能な品質統制を優先 |
誤答トラップ
- 「最後にペンテストすれば十分」
- 「本番直前にまとめて修正」
- 「OSS依存の検証を省略」
- 「セキュリティ要件を非機能扱いで後付け」
30秒解法フロー
- 問題がSDLCのどの段階かを特定
- 上流統制(要件/設計)を含む案を優先
- 自動化検査 + ゲート + 改善ループで比較
- 終盤一発勝負の選択肢を除外
典型ミス
| Mistake | Fix |
|---|---|
| テスト工程への丸投げ | 要件/設計からセキュリティ統合 |
| ツール導入のみで満足 | 運用ルールと品質ゲートを追加 |
| 脆弱性対応が属人化 | CI/CD に強制チェックを実装 |