ポイントツーポイントトンネリングプロトコル（PPTP）は、仮想プライベートネットワーク（VPN）を実装するための方法です。これは、OSIモデルのデータリンク層で動作するマイクロソフト独自のVPNプロトコルです。PPTPは、単一の接続のみを提供することができ、PPP接続上で動作することができます。

〇：IMの使用は、単にネットワークファイアウォールの特定のポートをブロックすることによって停止させることができる。

インスタントメッセージング（IM）は、人々がリアルタイムおよび個人的なチャットルームのタイプを介して互いに通信することを可能にします。これらの技術には、ファイル転送する機能を有しているでしょう。ユーザーがIMクライアントををインストールし、一意の識別子が割り当てられています。IM経由で通信したい人には、この一意の識別子を提供します。IMトラフィックが共通ポートを使用することができるため、ファイアウォールで特定のポートをブロックすることは通常は効果的ではありません。

この問題自体がセキュリティについての理解を確認するものであり、そのうえで「プレゼンテーションに含まれるべきではない」ということは、IMが安全で素晴らしい技術であるという主張をしたいわけではありません。

×：機密データやファイルをIMを介してシステムからシステムに転送することができます。

メッセージをテキストに加えて、インスタント・メッセージングは​​システムから転送するファイルを可能にしますので、間違っています。これらのファイルは、ビジネスや法的リスクで会社を入れて、機密情報を含む可能性があります。そして、IM経由でファイルを共有することは、ネットワーク帯域幅とインパクトのネットワークパフォーマンスをそれだけ使うことになります。

×：ユーザーが情報を含むマルウェアからの正当な送信者を装った攻撃を受けることができます。

真であるため、正しくありません。受信機ではなく、正当な送信者の悪意あるユーザからの情報を受け付けるようにあるため、強力な認証の不足のため、アカウントが偽装させることができます。また、多数のバッファオーバーフローと異なるのIMクライアントで成功している不正な形式のパケット攻撃もあるでしょう。

×：セキュリティポリシーは、IMの使用制限を指定して必要とされています。

彼のプレゼンテーションではIM利用制限を指定するセキュリティポリシーの必要性を含むべきであるので、間違っています。これは、IM関連のセキュリティ侵害から環境を保護するためのいくつかのベストプラクティスの1つにすぎません。その他のベストプラクティスは、IMトラフィックをブロックするファイアウォールを構成するより安全なバージョンにIMソフトウェアをアップグレードし、社内の従業員のみが、組織のネットワーク内で通信するように、企業のIMサーバを実装し、すべてのコンピュータに統合されたウイルス対策/ファイアウォール製品を実装含みます。

〇：コマンドとデータを送信するには、Telnetを使用する必要があります。

Telnetは、管理者の資格情報を含むすべてのデータを平文で送信するため、リモート管理は許可しないでください。 この種の通信は、SSHのように、より安全なプロトコルを経由する必要があります。

×：少数の管理者がリモート機能を実行できるようにする必要があります。

少数の管理者だけがリモート機能を実行できるはずであるということが真実であるため、間違っています。 これにより、ネットワークにかかるリスクを最小限に抑えることができます。

×：重要なシステムは、リモートではなくローカルで管理することも検討しましょう。

クリティカルなシステムをリモートではなくローカルで管理する必要があることは事実であるため、間違っています。 パブリックネットワークを介して行うよりも、内部のプライベートネットワーク上で管理コマンドを送信する方が安全です。

×：強力な認証が必要です。

どんな管理活動のためにも強力な認証が必要であるということが真実であるため、間違っています。 パスワードなどの強力な認証よりも弱いものは、攻撃者が侵入して管理アクセス権を得るのは簡単です。

〇：コンテンツ配信ネットワーク（CDN）

コンテンツ配信ネットワーク（CDN）は、大域的な位相関係に基づいて、クライアントにコンテンツの配信を最適化するように設計されています。このような設計では、インターネット上の存在の多くのポイントでホストされている複数のWebサーバは、グローバルに同期して同じコンテンツが含まれており、クライアントは通常のためのジオロケーションアルゴリズムに基づいて、DNSレコードの操作を介し、最も近いソースに向けることができます。

×：分散ネームサービス（DNS）

分散ネームサービスというプロトコルが存在しないことで、間違っています。DNSはドメインネームサービスプロトコルを指します。

×：分散型Webサービス（DWS）

分散型Webサービスも不正解の答えですので、間違っています。分散Webサービス・ディスカバリー・アーキテクチャの概念は、IEEE等によって議論がされていますが、正式なプロトコルではありません。

×：コンテンツドメインの分布（CDD）

コンテンツドメインの分布（CDD）という用語はCISSPのCBKの用語では登場しません。

〇：ルータが一元管理され、コントローラの指示に基づいてパケットを制御する方法 

ソフトウェア定義ネットワーク（SDN）はルーティングの決定とインタフェースとの間でデータを渡し、その機械的機能を作るのルータの論理機能を分離するために、ルーティングの決定を集中管理しやすくすることを意図しています。SDNアーキテクチャは、スケーラブル、プログラム可能な方法で、ルータの制御ロジックを提供する標準方法であることを意図しています。よって正解は、「ルータが一元管理され、コントローラの指示に基づいてパケットを制御する方法  」になります。

×：MACアドレスとIPアドレスの間のマッピング

ARPテーブルの説明です。

×：動的な方法でルーティングテーブル の更新

ダイナミックルーティングの説明です。

×：イベント発生時、ルータが互いにルーティングテーブルを更新のための通信をする方法

通信不通時のルーティング制御の説明です。

〇：3層アーキテクチャ

3層アーキテクチャとは、クライアントには入力や結果の表示を担当するユーザーインターフェイス（プレゼンテーション層）、サーバーにはデータ処理を担当する機能プロセスロジック（アプリケーション層）、データベースにアクセスするデータストレージ（データ層）があり、3層を明確に区別するものです。ユーザーインターフェイスの役割を担うのは、一般的にはユーザーが対話するフロントエンドWebサーバーです。静的コンテンツとキャッシュされた動的コンテンツの両方を処理できます。 機能プロセスロジックは、要求が再フォーマットされ処理される場所です。 これは、一般的に動的コンテンツ処理および生成レベルアプリケーションサーバです。データストレージは、機密データが保持される場所です。 これは、バックエンドデータベースであり、データと、データへのアクセスを管理し、提供するために使用されるデータベース管理システムソフトウェアの両方を保持します。

おそらくあなたは3層アーキテクチャという言葉を知らないでしょう。このように試験の途中で知らない単語に出会ってしまうかもしれません。このときあなたがすることは、完璧な正解を選ぶことではなく数回に一度なら正解しそうな回答を探すことです。アーキテクチャは、システム構成を指します。そのため、システム構成を示していない用語を排除することで正解に近づくことができます。例えば、「スクリーンサブネット」は”サブネット”という言葉が入っています。ここで、ネットワークの区分を設けるためのサブネットを指していると予想できれば、少なくとも「スクリーンサブネット」は正解になりにくそうです。同じ理由で「パブリックおよびプライベートDNSゾーン」もドメインネームサーバーの話であり、アーキテクチャの話からは遠そうです。最後にあなたは「2層アーキテクチャ」と「3層アーキテクチャ」で迷うところまでは正解に近づくことができます。

×：2段モデル

2階層、すなわちクライアント/サーバは、サーバがそれらのサービスを要求する1つまたは複数のクライアントにサービスを提供するアーキテクチャを記述しているため、誤りです。

×：スクリーンサブネット

スクリーンサブネットアーキテクチャとは、1つのファイアウォールが1つのサーバ（基本的には1層アーキテクチャ）を保護するためのものであるためのものです。外部の公開側のファイアウォールは、インターネットのように信頼できないネットワークからの要求を監視します。 唯一のファイアウォールである1つの層が侵害された場合、攻撃者はサーバー上に存在する機密データに比較的容易にアクセスできます。

×：パブリックおよびプライベートDNSゾーン

DNSサーバーをパブリックサーバーとプライベートサーバーに分離すると保護が提供されますが、これは実際のアーキテクチャではありません。

HTTPS（Hypertext Transfer Protocol Secure）は、暗号化通信であるSSL/TLSによってセキュリティを高めたHTTPです。一般的なWebアプリケーションで利用されます。HTTPSを利用することで、通信経路での情報の盗聴や改ざんのリスクを防止できます。

オニオンルーティングとは、ルータを経由する度に暗号化を施すため、何重にも暗号化が施されるという特徴がある。しかし、ルータの最終地点ではすべての暗号化が復号され、平文となるため最終地点ルータでのセキュリティ機能はありません。

コンピュータワームは、自身を複製して他のコンピュータに拡散するスタンドアロンのマルウェアコンピュータプログラムです。これらは通常、OSI参照レイヤー5～7で動作します。

Sender Policy Framework（SPF）は、電子メールのなりすましを検出してスパムや悪意のある電子メールを防止する電子メール検証システムです。 攻撃者は、通常、電子メールアドレスを偽装して、受信者がメッセージが既知の信頼できる発信元から来たものだと考えさせるようにします。 SPFを使用すると、ネットワーク管理者は、ドメインネームシステム（DNS）にSPFレコードを実装することで、特定のドメインからメールを送信できるホストを指定できます。 電子メールサーバーは、特定のドメインから送信された電子メールが、送信ドメインの管理者によって認可されたIPアドレスから送信されたことを確認するために、DNSサーバーで確認するように構成されています。

間違えた方は落ち込まないでください。問題文に”電子メール”と入っていっているため、これはとても意地悪な問題です。あなたの試験に対する勘所は正しいと思います。

〇：OSI参照モデル

OSI参照モデルはネットワーク通信を7層で区分したものである。アプリケーション通信とセッションという概念を分けているため、OSI参照モデルを基に明確に伝えられるだろう。よって正解は、「OSI参照モデル」になります。

×：TCP/IPモデル

TCP/IPモデルとは、OSI参照モデルよりもシステムの概念に近いレイヤーデザインです。TCP/IPモデルでは、OSI参照モデルのアプリケーション層、プレゼンテーション層、セッション層は、一つのアプリケーション層で表現されます。

×：データリンクモデル

そのようなモデルはありません。

×：Bibaモデル

Bibaモデルとは、データが勝手に変更されないことを示すセキュリティモデルの一つです。

キャプティブポータルとは、端末がネットワークに接続した際にユーザー認証や利用者登録、利用者同意などを行うまで外部との通信を制限する仕組みです。

〇：LAND攻撃

LAND攻撃とは、悪いリクエストをブロックするFirewallを貫通する攻撃です。Fraggle攻撃と似ていますが、送信元を攻撃対象にしたリクエストをファイヤーウォールに送ります。本来は内部を守るべきのファイヤーウォールが攻撃に利用されるため盲点となるわけです。

×：Teardrop

Teardropとは、IPパケットの分割前に戻すときのオフセットを偽造することでシステムを停止させる攻撃です。

×：クリスマスツリー攻撃

クリスマスツリー攻撃とは、パケットにいくつものフラグ（URG、ACK、PSH、RST、SYN、FIN）を立てて送り、応答を観察する攻撃です。

×：CHARGEN攻撃

CHARGEN（ポート19）とは、適当な文字列を返すプロトコルです。

ウェルノウンポート（well-known port）とは、定番なサービスのために予約されている0番から1023番のポート番号です。ポート番号の組み分けは３つあります。ウェルノウンポート番号 (0–1023)とは、IANAで正式に登録されているポート番号です。登録済みポート番号 (1024–49151) とは、IANAで正式に登録されているポート番号です。動的・プライベート ポート番号 (49152–65535) とは、IANAで正式に登録されていないポート番号です。

IEEE 802.11とは、IEEEにより策定された無線LAN規格の一つです。IEEE 802.11の規格ごとの最大速度と周波数は以下の通りになります。

種類　　　最大速度　　 周波数

802.11　　   2Mbps　　    2.4GHz

802.11a　　54Mbps　　   5GHz

802.11b　　11Mbps　　    2.4GHz

802.11g　　54Mbps　　   2.4GHz

802.11n　　600Mbps　　2.4GHz or 5GHz

802.11ac　   1.3Gbps　　  5GHz

周波数には、2.4GHz帯と5GHz帯があります。2.4GHzは障害物に強い一方で、5GHzは障害物は弱い側面があります。ただ、5GHzの方が安定した高速通信を行うことができます。

障害物の少ない環境で利用を想定しているため、5GHzに誘導しています。その中でもっとの速い規格は802.11aになります。

〇：攻撃受けた際に早期の検知、もしくは囲うため。

攻撃者は実質的な攻撃を仕掛ける前に調査を行います。そうした場合、脆弱性のあるネットワークを用意することで攻撃者がどこからアクセスしてくるのかなど予防する情報を得ることができます。なぜなら、攻撃者でなければネットワークに侵入するという動機がないからです。ハニーポッドなどの脆弱性のあるネットワークドメインはこういった侵入をしやすくすることで、攻撃者の動作を明確にします。よって正解は、「攻撃受けた際に早期の検知、もしくは囲うため。」になります。

×：現行の環境でシステム停止が発生したときのためのデバッグ用環境。

脆弱性のある環境を意図的に作ることに答えていません。環境を作った結果、脆弱性があったという結果にすぎません。

×：古い脆弱性によるリグレッションを防ぐ狙い。

古い脆弱性であっても対処するべきであって残留させる意味はありません。

×：サポート切れのバージョンの低い製品を動作させるための特殊環境。

脆弱性のある環境を意図的に作ることに答えていません。環境を作った結果、脆弱性があったという結果にすぎません。

VoIPはUDPを使用します。リアルタイム重視であり、コネクションレス型で数秒後に再送信するよりも、1つか2つのパケットを失う方がよいのでしょう。

答えはUDPでしたが、VoIPが利用しているプロトコルとして覚えるべきではありません。速度やリアルタイム性が重要なサービスにおいてはUDPが使われている傾向があるルールを理解し、問題の推測することが大事です。

CSMA / CD（Carrier Sense Multiple Access Collision Detection）とは、イーサネットのように同時に送信と受信が可能なシステムに使用されます。 2つのクライアントが同時にリッスンし、回線がクリアであることを確認すると、両方が同時に送信して衝突を引き起こす可能性があります。このシナリオを解決するためにCD（Collision Detection）が追加されています。クライアントは、回線がアイドル状態であるかどうかを確認し、アイドル状態の場合は送信します。使用中の場合、ランダムな時間（ミリ秒）待機します。送信中、彼らはネットワークを監視しており、送信よりも多くの入力が受信された場合、別のクライアントも送信しており、他のノードに送信を停止するように指示するジャム信号を送信し、ランダムな時間待機してから再送信を開始します。

〇：ステートフルインスペクション

ステートフルインスペクションはリクエストとレスポンスが連動させ、レスポンスだけが別のサーバから返却されるような異常な通信を検知します。よって正解は、「ステートフルインスペクション」になります。

×：アプリケーションゲートウェイ

一般的にWAFと呼ばれ、SQLインジェクションなど電文内の文字列によってフィルタリングを行う場合に利用されます。

×：パケットフィルタリング

IPアドレスやポートによってフィルタリングを行う場合に利用されます。

×：セッションゲートウェイ

そのようなファイヤーウォールのカテゴリーはありません。

アプリケーションファイアウォールは、OSIのレイヤー７を対象とします。アプリケーションファイアウォールの主な利点は、特定のアプリケーションとプロトコルを理解できることです。パケットはレイヤー6まで復号されないため、レイヤー７ではパケット全体を見ることができます。他のファイアウォールはパケットのみを検査でき、ペイロードは検査できません。不要なアプリケーションまたはサービスが、許可されたポートでプロトコルを使用してファイアウォールをバイパスしようとしているかどうかを検出したり、プロトコルが悪意のある方法で使用されているかどうかを検出したりできます。