Skip to content

Domain 8 Playbook

Scope

  • Domain: Software Development Security
  • Dataset: data/cissp/domains/domain-8.json
  • Items: 63

出題の型

TypeTypical PromptWinning Pattern
SDLC統合いつセキュリティを入れるか要件・設計段階でShift Left
テスト選定SAST/DASTをどう使うかフェーズ別に併用して欠陥早期検出
脅威モデリング何を先に洗い出すか資産・境界・攻撃面を明確化
サプライチェーン依存関係をどう管理するかSBOM/署名/検証の継続運用
リリース統制どのゲートを置くか品質・脆弱性・承認の基準化

High-Signal Keywords (from 63 items)

TermPresence
テスト57
実装38
CI/CD31
SAST25
DAST21
設計20
コードレビュー20

Decision Lens

  1. セキュリティ要件が上流で定義されているか
  2. 開発フェーズごとに適切な検査があるか
  3. デプロイ前にリスク受容/修正判断があるか
  4. 継続的改善(フィードバックループ)があるか

正解に寄せるルール

Rule IDRule
D8-R1first は要件定義と脅威モデリングを優先
D8-R2SAST/DAST/レビューを単発でなくパイプライン化
D8-R3セキュリティ欠陥はリリースゲートで管理
D8-R4依存関係は継続的に検証・更新
D8-R5開発速度より再現可能な品質統制を優先

誤答トラップ

  • 「最後にペンテストすれば十分」
  • 「本番直前にまとめて修正」
  • 「OSS依存の検証を省略」
  • 「セキュリティ要件を非機能扱いで後付け」

30秒解法フロー

  1. 問題がSDLCのどの段階かを特定
  2. 上流統制(要件/設計)を含む案を優先
  3. 自動化検査 + ゲート + 改善ループで比較
  4. 終盤一発勝負の選択肢を除外

典型ミス

MistakeFix
テスト工程への丸投げ要件/設計からセキュリティ統合
ツール導入のみで満足運用ルールと品質ゲートを追加
脆弱性対応が属人化CI/CD に強制チェックを実装