
ドメイン4の試験です。
70%以上で合格になります。
#1. ネットワークルーティングにおいて、送信元と宛先の間の最適なパスを選択する独自の内部プロトコルはどれでしょうか。
〇:IGRP
内部ゲートウェイルーティングプロトコル(IGRP)は、米シスコシステムズ(Cisco Systems)社によって開発されたディスタンスベクタルーティングプロトコルであり、かつ、シスコシステムズ独自のものです。ルーティング情報プロトコル(RIP)は、送信元と宛先の間の最適なパスを見つけるために、1つの基準を使用するのに対し、IGRPは、「最適ルート」決定を行うために5つの基準を使用しています。プロトコルは、その特定の環境で最適に動作するようにネットワーク管理者は、これらの異なるメトリックに重みを設定することができます。
この問題では、”独自”がキーワードでした。独自というキーワードから特定の製品でしか使われていない技術に紐づけられるかがポイントでした。RIPやOSPFは、独自ではないため選択肢から外すことができます。
×:RIP
ルーティング情報プロトコル(RIP)は、独自ではないため正しくありません。RIPは、ルータがルーティングテーブルデータを交換し、発信元と宛先の間の最短距離を算出します。これは、パフォーマンスの低下や機能の不足のため、レガシープロトコルであると考えられます。小さなネットワークで使用されるべきです。
×:BGP
ボーダーゲートウェイプロトコル(BGP)は、エクステリアゲートウェイプロトコル(EGP)であるため、正しくありません。BGPは、異なるASのルータは、異なるネットワーク間の効果的かつ効率的なルーティングを確保するためのルーティング情報を共有することができます。BGPは、インターネットサービスプロバイダによって使用されます。
×:OSPF
OSPFは、独自ではないため正しくありません。OSPFルーティングテーブルの情報を送信するために、リンクステートアルゴリズムを使用します。より小さく、より頻繁にルーティングテーブルの更新が行われます。
#2. OSIモデルのレイヤ2には2つのサブレイヤーがあります。これらのサブレイヤーとテクノロジーを表す2つのIEEE標準は何でしょうか?
OSIモデルのデータリンクレイヤーまたはレイヤー2では、ヘッダーとトレーラーをパケットに追加して、適切な回線伝送のためにローカルエリアネットワークまたはワイドエリアネットワークテクノロジーにおけるバイナリー形式のパケットを準備します。 レイヤ2は、2つの機能的なサブレイヤに分割されています。 上位サブレイヤは論理リンク制御(LLC)であり、IEEE 802.2仕様で定義されている。 これは、データリンク層の上にあるネットワーク層と通信します。 LLCの下には、MAC(Media Access Control)サブレイヤがあり、物理レイヤのプロトコル要件を持つインターフェイスを指定します。
#3. Diameterによって解消されたRADIUSの問題点とは何か。
Diameterとは、RADIUSの後継となるAAA(Authentication, Authorization, Accounting)サービスを実装する認証プロトコルです。RADIUSの問題点の一つとしては、再送機能により発生しやすくなる輻輳を制御する機能がありません。これにより、パフォーマンスの低下やデータ損失が懸念されます。
#4. 組織に新しいネットワークインフラストラクチャを実装しています。新しいインフラストラクチャは、衝突検出(CSMA / CD)を備えたキャリアセンスマルチアクセスを使用しています。これは何によって実装されていますか?
CSMA / CD(Carrier Sense Multiple Access Collision Detection)とは、イーサネットのように同時に送信と受信が可能なシステムに使用されます。 2つのクライアントが同時にリッスンし、回線がクリアであることを確認すると、両方が同時に送信して衝突を引き起こす可能性があります。このシナリオを解決するためにCD(Collision Detection)が追加されています。クライアントは、回線がアイドル状態であるかどうかを確認し、アイドル状態の場合は送信します。使用中の場合、ランダムな時間(ミリ秒)待機します。送信中、彼らはネットワークを監視しており、送信よりも多くの入力が受信された場合、別のクライアントも送信しており、他のノードに送信を停止するように指示するジャム信号を送信し、ランダムな時間待機してから再送信を開始します。
#5. 攻撃者にとってDNSはインターネット上では人気のターゲットです。DNSサーバーのキャッシュを汚染するために再帰クエリを使用するものはどれでしょうか。
〇:DNSハイジャック
DNSは、インターネット上のトラフィックの伝送における素晴らしい役割を果たしています。DNSは、あるドメイン名に対応する適切なIPアドレスにトラフィックを誘導します。DNSクエリは、再帰または反復のいずれかに分類することができます。再帰クエリでは、DNSサーバーは、別のサーバーにクエリを転送し、質問者への適切な応答を返します。反復クエリでは、DNSサーバは質問に答えることができるかもしれない別のDNSサーバーのアドレスで応答し、さらに新しいDNSサーバーを尋ねるに進みます。攻撃者は、DNSサーバーのキャッシュを汚染するために再帰クエリを使用します。
攻撃者は、ドメインのIPアドレスを求める被害者のDNSサーバーに再帰クエリを送信します。DNSサーバは、別のDNSサーバにクエリを転送します。他のDNSサーバーが応答する前に、攻撃者は自分のIPアドレスを挿入します。被害者サーバは、IPアドレスを受け取り、特定の期間のためにキャッシュに格納します。次回は、システムが解決するためにサーバーを照会し、サーバが攻撃者のIPアドレスにユーザーを誘導します。
×:hostsファイルの操作
hostsファイルを操作すると、DNSサーバーのキャッシュを汚染するために再帰クエリを使用していないので、間違っています。クライアントは、最初のDNSサーバーに要求を発行する前に、hostsファイルを照会します。一部のウイルスは、ウイルス定義ファイルのダウンロードを防止し、検出を防止するために、hostsファイルにウイルス対策ベンダの無効なIPアドレスを追加します。
×:ソーシャルエンジニアリング
ソーシャルエンジニアリングは、DNSサーバに問い合わせる必要としないので、間違っています。ソーシャルエンジニアリングとは、不正アクセスや情報を得ることを目的とした個人の操作を指します。
×:ドメイン訴訟
ドメインの訴訟は、DNSサーバーのキャッシュをポイズニング伴わないので、間違っています。ドメイン名は、一時的な利用不能または確立されたドメイン名の永久的な損失を含む、商標上のリスクにさらされています。
#6. トラフィックが常に同じパスを使用するようにするとき、どのネットワーク回線を使用しているでしょうか?
回線交換は、ネットワークを介した専用通信チャネルです。この回路は全帯域幅を保証します。回路は、ノードがケーブルで物理的に接続されているかのように機能します。
#7. DNSポイズニング、なりすましなどの攻撃を減らすことができるDNSクライアント(リゾルバ)に対して、DNSデータの発信元の認証を提供するDNSの拡張機能はどれでしょうか。
〇:DNSSEC
DNSSECは、DNSポイズニング、なりすまし、および同様の攻撃タイプの脅威を減らすためにDNSクライアント(リゾルバ)がDNSデータの発信元の認証を提供するDNSの拡張セットです。DNSSECは、IPネットワーク上で使用されるようにDNSによって提供されるサービスを確保するためのIETF(Internet Engineering Task Force)の仕様です。
×:リソースレコード
DNSサーバーはリソースレコードと呼ばれているIPアドレスにホスト名をマップするレコードが含まれています。回答としては、正しくありません。ユーザーのコンピュータは、ホスト名をIPアドレスに解決する必要がある場合、そのDNSサーバーを見つけるために、そのネットワーク設定に見えます。そして、コンピュータは解決のためにDNSサーバにホスト名を含む要求を送信します。DNSサーバはそのリソースレコードを見て、この特定のホスト名を持つレコードを見つけ、アドレスを取得し、対応するIPアドレスを持つコンピュータに応答します。
×:ゾーン転送
プライマリおよびセカンダリDNSサーバは、ゾーン転送を介して自分の情報を同期させます。回答としては、正しくありません。変更がプライマリDNSサーバに行われた後、これらの変更はセカンダリDNSサーバーにレプリケートする必要があります。ゾーン転送は、特定のサーバー間の場所を取ることができるようにDNSサーバーを設定することが重要です。
×:リソース転送
DNSのリソースレコードを転送することに相当しますが、回答としては正しくありません。
#8. スパムメール対策のアプローチの1つは、電子メール検証システムであるSender Policy Frameworkを使用することです。この機能を実装し、要求を受け取り、応答するシステムのタイプは何ですか。
Sender Policy Framework(SPF)は、電子メールのなりすましを検出してスパムや悪意のある電子メールを防止する電子メール検証システムです。 攻撃者は、通常、電子メールアドレスを偽装して、受信者がメッセージが既知の信頼できる発信元から来たものだと考えさせるようにします。 SPFを使用すると、ネットワーク管理者は、ドメインネームシステム(DNS)にSPFレコードを実装することで、特定のドメインからメールを送信できるホストを指定できます。 電子メールサーバーは、特定のドメインから送信された電子メールが、送信ドメインの管理者によって認可されたIPアドレスから送信されたことを確認するために、DNSサーバーで確認するように構成されています。
間違えた方は落ち込まないでください。問題文に”電子メール”と入っていっているため、これはとても意地悪な問題です。あなたの試験に対する勘所は正しいと思います。
#9. ロバートは、インターネット接続を介して機密情報にアクセスする際の共通のアーキテクチャを実装する責任があります。このタイプのアーキテクチャを最もよく表しているのはどれでしょうか。
〇:3層アーキテクチャ
3層アーキテクチャとは、クライアントには入力や結果の表示を担当するユーザーインターフェイス(プレゼンテーション層)、サーバーにはデータ処理を担当する機能プロセスロジック(アプリケーション層)、データベースにアクセスするデータストレージ(データ層)があり、3層を明確に区別するものです。ユーザーインターフェイスの役割を担うのは、一般的にはユーザーが対話するフロントエンドWebサーバーです。静的コンテンツとキャッシュされた動的コンテンツの両方を処理できます。 機能プロセスロジックは、要求が再フォーマットされ処理される場所です。 これは、一般的に動的コンテンツ処理および生成レベルアプリケーションサーバです。データストレージは、機密データが保持される場所です。 これは、バックエンドデータベースであり、データと、データへのアクセスを管理し、提供するために使用されるデータベース管理システムソフトウェアの両方を保持します。
おそらくあなたは3層アーキテクチャという言葉を知らないでしょう。このように試験の途中で知らない単語に出会ってしまうかもしれません。このときあなたがすることは、完璧な正解を選ぶことではなく数回に一度なら正解しそうな回答を探すことです。アーキテクチャは、システム構成を指します。そのため、システム構成を示していない用語を排除することで正解に近づくことができます。例えば、「スクリーンサブネット」は”サブネット”という言葉が入っています。ここで、ネットワークの区分を設けるためのサブネットを指していると予想できれば、少なくとも「スクリーンサブネット」は正解になりにくそうです。同じ理由で「パブリックおよびプライベートDNSゾーン」もドメインネームサーバーの話であり、アーキテクチャの話からは遠そうです。最後にあなたは「2層アーキテクチャ」と「3層アーキテクチャ」で迷うところまでは正解に近づくことができます。
×:2段モデル
2階層、すなわちクライアント/サーバは、サーバがそれらのサービスを要求する1つまたは複数のクライアントにサービスを提供するアーキテクチャを記述しているため、誤りです。
×:スクリーンサブネット
スクリーンサブネットアーキテクチャとは、1つのファイアウォールが1つのサーバ(基本的には1層アーキテクチャ)を保護するためのものであるためのものです。外部の公開側のファイアウォールは、インターネットのように信頼できないネットワークからの要求を監視します。 唯一のファイアウォールである1つの層が侵害された場合、攻撃者はサーバー上に存在する機密データに比較的容易にアクセスできます。
×:パブリックおよびプライベートDNSゾーン
DNSサーバーをパブリックサーバーとプライベートサーバーに分離すると保護が提供されますが、これは実際のアーキテクチャではありません。
#10. スパムメールに対する効果的な対策ではないものはどれですか?
〇:誰でも利用可能なメールリレーサーバーを用意する。
効果的で”ない”ものを選ぶ問題です。オープンなメールリレーサーバーは、スパムに対する有効な対策ではありません。実際、スパム発信者は、攻撃者が自分の身元を隠すことができるため、スパムを配布するためにスパマーをよく使用します。オープンメールリレーサーバは、誰からもインターネット上の誰かからインバウンドSMTP接続を許可するように設定されたSMTPサーバーであり、攻撃者が迷惑メールやポルノを配布するのを防ぐため、多くのリレーが適切に設定されています。よって正解は、「誰でも利用可能なメールリレーサーバーを用意する。」になります。
×:適切に構成されたメールリレーサーバーを構築する。
適切に設定されたメールリレーサーバーはスパムメールも抑制できます。
×:電子メールゲートウェイでのフィルタリングを行う。
ゲートウェイにてスパムメールと思われるメールをフィルタリングすることでスパムメールへの対策になります。
×:クライアントでのフィルタリングを行う。
クライアントつまり、Outlookなどのメーリングアプリケーションにて、スパムメールを仕分けすることはスパムメールへの対策と考えられます。
#11. ウェルノンポートの範囲はどれか。
ウェルノウンポート(well-known port)とは、定番なサービスのために予約されている0番から1023番のポート番号です。ポート番号の組み分けは3つあります。ウェルノウンポート番号 (0–1023)とは、IANAで正式に登録されているポート番号です。登録済みポート番号 (1024–49151) とは、IANAで正式に登録されているポート番号です。動的・プライベート ポート番号 (49152–65535) とは、IANAで正式に登録されていないポート番号です。
#12. オフセットを改ざんされたパケットにより、機器の停止を狙う攻撃はどれでしょうか。
〇:Teardrop
Teardropとは、IPパケットの分割前に戻すときのオフセットを偽造することでシステムを停止させる攻撃です。
×:Fraggle攻撃
Fraggle攻撃とは、適当な文字列を生成するCHARGEN機能を使った攻撃です。
×:CHARGEN攻撃
そのような名前の攻撃はありません。
×:ウォードライビング
ウォードライビングとは、街を車で移動しながら、脆弱な無線LANのアクセスポイントを捜し回ることです。
#13. 送信先アドレスと送信先でのコンピュータサービスまたはプロトコルの通信方法を示した言葉はどれでしょうか。
〇:ソケット
UDP(User Datagram Protocol)とTCP(Transmission Control Protocol)は、アプリケーションがネットワークを介してデータを取得するために使用するトランスポートプロトコルです。 どちらも、ポートを使用して上位のOSIレイヤと通信し、同時に発生するさまざまな会話を追跡します。 ポートは、他のコンピュータがどのようにサービスにアクセスするかを識別するために使用されるメカニズムでもあります。 TCPまたはUDPメッセージが形成されるとき、送信元および宛先ポートは、送信元および宛先IPアドレスとともにヘッダ情報内に含まれます。このIPアドレスとポート番号をソケットと言います。IPアドレスはコンピュータへの出入口として機能し、ポートは実際のプロトコルまたはサービスへの出入口として機能します。
×:IPアドレス
IPアドレスがサービスやプロトコルとの通信方法をパケットに伝えていないため、間違っています。 IPアドレスの目的は、ホストまたはネットワークインタフェースの識別とロケーションのアドレッシングです。 ネットワーク内の各ノードには一意のIPアドレスがあります。 この情報は、送信元ポートおよび宛先ポートとともに、ソケットを構成します。 IPアドレスはどこに行くべきかをパケットに伝え、ポートは適切なサービスまたはプロトコルとの通信方法を示します。
×:ポート
ポートはパケットに適切なサービスまたはプロトコルとの通信方法のみを通知するため、正しくありません。 それはどこに行くべきかをパケットに伝えません。 IPアドレスはこの情報を提供します。 ポートは、TCPやUDPなどのIPプロトコルで使用される通信エンドポイントです。 ポートは番号で識別されます。
×:フレーム
フレームは、データリンク層にヘッダとトレーラが与えられた後にデータグラムを参照するために使用される用語であるため、間違っています。
#14. ブラッドは、インスタントメッセージング(IM)の企業ネットワーク上での使用を禁止したい。次のうち、彼のプレゼンテーションに含まれるべきではない内容はどれでしょうか?
〇:IMの使用は、単にネットワークファイアウォールの特定のポートをブロックすることによって停止させることができる。
インスタントメッセージング(IM)は、人々がリアルタイムおよび個人的なチャットルームのタイプを介して互いに通信することを可能にします。これらの技術には、ファイル転送する機能を有しているでしょう。ユーザーがIMクライアントををインストールし、一意の識別子が割り当てられています。IM経由で通信したい人には、この一意の識別子を提供します。IMトラフィックが共通ポートを使用することができるため、ファイアウォールで特定のポートをブロックすることは通常は効果的ではありません。
この問題自体がセキュリティについての理解を確認するものであり、そのうえで「プレゼンテーションに含まれるべきではない」ということは、IMが安全で素晴らしい技術であるという主張をしたいわけではありません。
×:機密データやファイルをIMを介してシステムからシステムに転送することができます。
メッセージをテキストに加えて、インスタント・メッセージングはシステムから転送するファイルを可能にしますので、間違っています。これらのファイルは、ビジネスや法的リスクで会社を入れて、機密情報を含む可能性があります。そして、IM経由でファイルを共有することは、ネットワーク帯域幅とインパクトのネットワークパフォーマンスをそれだけ使うことになります。
×:ユーザーが情報を含むマルウェアからの正当な送信者を装った攻撃を受けることができます。
真であるため、正しくありません。受信機ではなく、正当な送信者の悪意あるユーザからの情報を受け付けるようにあるため、強力な認証の不足のため、アカウントが偽装させることができます。また、多数のバッファオーバーフローと異なるのIMクライアントで成功している不正な形式のパケット攻撃もあるでしょう。
×:セキュリティポリシーは、IMの使用制限を指定して必要とされています。
彼のプレゼンテーションではIM利用制限を指定するセキュリティポリシーの必要性を含むべきであるので、間違っています。これは、IM関連のセキュリティ侵害から環境を保護するためのいくつかのベストプラクティスの1つにすぎません。その他のベストプラクティスは、IMトラフィックをブロックするファイアウォールを構成するより安全なバージョンにIMソフトウェアをアップグレードし、社内の従業員のみが、組織のネットワーク内で通信するように、企業のIMサーバを実装し、すべてのコンピュータに統合されたウイルス対策/ファイアウォール製品を実装含みます。
#15. 次のうちネットワークトポロジではないのはどれですか?
マトリックス型はネットワークトポロジではありません。リング型、メッシュ型、スター型はネットワークトポロジーです。
#16. Webコンテンツの近位トポロジカルを構成するルーティングをするために、クライアントのIPアドレスに基づいて地理的位置を決定し、コンテンツの配信を最適化する技術はどれですか?
〇:コンテンツ配信ネットワーク(CDN)
コンテンツ配信ネットワーク(CDN)は、大域的な位相関係に基づいて、クライアントにコンテンツの配信を最適化するように設計されています。このような設計では、インターネット上の存在の多くのポイントでホストされている複数のWebサーバは、グローバルに同期して同じコンテンツが含まれており、クライアントは通常のためのジオロケーションアルゴリズムに基づいて、DNSレコードの操作を介し、最も近いソースに向けることができます。
×:分散ネームサービス(DNS)
分散ネームサービスというプロトコルが存在しないことで、間違っています。DNSはドメインネームサービスプロトコルを指します。
×:分散型Webサービス(DWS)
分散型Webサービスも不正解の答えですので、間違っています。分散Webサービス・ディスカバリー・アーキテクチャの概念は、IEEE等によって議論がされていますが、正式なプロトコルではありません。
×:コンテンツドメインの分布(CDD)
コンテンツドメインの分布(CDD)という用語はCISSPのCBKの用語では登場しません。
#17. アンジェラは、ネットワークリソースを共有しながら、部署ごとのグループにおいて一緒に利用できるコンピュータ環境を望んでいます。論理的にネットワークをグループ化する技術はどれか?
〇:VLAN
仮想LAN(VLAN)をシステムの標準的な物理的な場所にもかかわらず、リソース要件、セキュリティ、またはビジネスニーズに基づいて、コンピュータの論理的な分離とグループ化を可能にします。同じVLANネットワーク上に設定された同じ部署内のコンピュータは、すべてのユーザーが同じブロードキャストメッセージを受信することができ、物理的な場所に関係なく、同じ種類のリソースにアクセスできるようにします。
×:オープン・ネットワーク・アーキテクチャ
オープンなネットワークアーキテクチャは、ネットワークを構成することができる技術を記述しているので間違っています。OSIモデルは、オープン・ネットワーク・アーキテクチャ内で動作する製品を開発するためのフレームワークを提供します。
×:イントラネット
イントラネットは、内部ネットワークにおいてインターネットとWebベースの技術を使用したいときに会社が使用するプライベートネットワークであるため、正しくありません。
×:VAN
付加価値通信網(VAN)は、サービスビューローによって開発され、維持された電子データ交換(EDI)インフラストラクチャであるため、正しくありません。
#18. ITセキュリティチームは、OSI参照モデルを使用した緩和戦略を提案するように依頼されました。これらのうち、レイヤー7の問題に対処するのはどれですか?
アプリケーションファイアウォールは、OSIのレイヤー7を対象とします。アプリケーションファイアウォールの主な利点は、特定のアプリケーションとプロトコルを理解できることです。パケットはレイヤー6まで復号されないため、レイヤー7ではパケット全体を見ることができます。他のファイアウォールはパケットのみを検査でき、ペイロードは検査できません。不要なアプリケーションまたはサービスが、許可されたポートでプロトコルを使用してファイアウォールをバイパスしようとしているかどうかを検出したり、プロトコルが悪意のある方法で使用されているかどうかを検出したりできます。
#19. 以前は送信元IPアドレスによるアクセス制御を行っていたが、一連の通信の挙動から検知しなければならないことが分かった。この攻撃に対応するためのファイヤーウォールはどれでしょうか。
〇:ステートフルインスペクション
ステートフルインスペクションはリクエストとレスポンスが連動させ、レスポンスだけが別のサーバから返却されるような異常な通信を検知します。よって正解は、「ステートフルインスペクション」になります。
×:アプリケーションゲートウェイ
一般的にWAFと呼ばれ、SQLインジェクションなど電文内の文字列によってフィルタリングを行う場合に利用されます。
×:パケットフィルタリング
IPアドレスやポートによってフィルタリングを行う場合に利用されます。
×:セッションゲートウェイ
そのようなファイヤーウォールのカテゴリーはありません。
#20. 電子メールのなりすましが容易に実行された理由として真っ当な推論はどれでしょうか。
〇:SMTPが適切な認証機構を欠いている。
Eメールのなりすましは、SMTPは適切な認証メカニズムを欠いている場合、実行するのは簡単です。攻撃者は、メールサーバのポート25にTelnetコマンドを送信することにより、電子メールの送信者アドレスを偽装することができます。スパマーは自分が特定されないように、電子メールのスプーフィングを使用しています。よって正解は、「SMTPが適切な認証機構を欠いている。」になります。
「そんなことない!他の選択肢の可能性もあるじゃないか!そんなものをたかが一文で推測するなど不可能!」と聞こえてきそうです。この意見には同意します。ただこのような問題であっても推論して解かなければなりません。選択肢を簡単にまとめると、「認証機能がない」、「設定忘れ」、「フィルタリング機能不全」、「ブラックリスト機能不全」になります。こう並べてみると、「認証機能がない」という回答が最も包含的な回答になってることに気付けるかと思います。
そのほかの解法では、認証と認可の違いを理解していることでも導くことができます。”なりすまし”を防ぐ技術は認証です。認証というキーワードを求めている問題文であると気付けると良いですね。
×:管理者が機能していないドメインのインバウンドSMTP接続を防止する設定を忘れている。
なりすましされている場合には、そのメール送信者も偽装されています。ドメインのインバウンドSMTP接続を防止しても、起こりえます。
×:キーワードフィルタリングによって技術的に廃止されている。
なりすましの対策に対して、キーワードフィルタリングはあまり有効ではありません。よって技術的に廃止されていたとしても原因とは考えにくいでしょう。
×:ブラックリスト機能が技術的に信頼できるものではない。
なりすましされている場合には、そのメール送信者も偽装されています。フィルタリング機能が信頼できなかったとしても、起こりえます。