〇：OSI参照モデル

OSI参照モデルはネットワーク通信を7層で区分したものである。アプリケーション通信とセッションという概念を分けているため、OSI参照モデルを基に明確に伝えられるだろう。よって正解は、「OSI参照モデル」になります。

×：TCP/IPモデル

TCP/IPモデルとは、OSI参照モデルよりもシステムの概念に近いレイヤーデザインです。TCP/IPモデルでは、OSI参照モデルのアプリケーション層、プレゼンテーション層、セッション層は、一つのアプリケーション層で表現されます。

×：データリンクモデル

そのようなモデルはありません。

×：Bibaモデル

Bibaモデルとは、データが勝手に変更されないことを示すセキュリティモデルの一つです。

IEEE 802.11とは、IEEEにより策定された無線LAN規格の一つです。IEEE 802.11の規格ごとの最大速度と周波数は以下の通りになります。

種類　　　最大速度　　 周波数

802.11　　   2Mbps　　    2.4GHz

802.11a　　54Mbps　　   5GHz

802.11b　　11Mbps　　    2.4GHz

802.11g　　54Mbps　　   2.4GHz

802.11n　　600Mbps　　2.4GHz or 5GHz

802.11ac　   1.3Gbps　　  5GHz

周波数には、2.4GHz帯と5GHz帯があります。2.4GHzは障害物に強い一方で、5GHzは障害物は弱い側面があります。ただ、5GHzの方が安定した高速通信を行うことができます。

障害物の少ない環境で利用を想定しているため、5GHzに誘導しています。その中でもっとの速い規格は802.11aになります。

〇：IMの使用は、単にネットワークファイアウォールの特定のポートをブロックすることによって停止させることができる。

インスタントメッセージング（IM）は、人々がリアルタイムおよび個人的なチャットルームのタイプを介して互いに通信することを可能にします。これらの技術には、ファイル転送する機能を有しているでしょう。ユーザーがIMクライアントををインストールし、一意の識別子が割り当てられています。IM経由で通信したい人には、この一意の識別子を提供します。IMトラフィックが共通ポートを使用することができるため、ファイアウォールで特定のポートをブロックすることは通常は効果的ではありません。

この問題自体がセキュリティについての理解を確認するものであり、そのうえで「プレゼンテーションに含まれるべきではない」ということは、IMが安全で素晴らしい技術であるという主張をしたいわけではありません。

×：機密データやファイルをIMを介してシステムからシステムに転送することができます。

メッセージをテキストに加えて、インスタント・メッセージングは​​システムから転送するファイルを可能にしますので、間違っています。これらのファイルは、ビジネスや法的リスクで会社を入れて、機密情報を含む可能性があります。そして、IM経由でファイルを共有することは、ネットワーク帯域幅とインパクトのネットワークパフォーマンスをそれだけ使うことになります。

×：ユーザーが情報を含むマルウェアからの正当な送信者を装った攻撃を受けることができます。

真であるため、正しくありません。受信機ではなく、正当な送信者の悪意あるユーザからの情報を受け付けるようにあるため、強力な認証の不足のため、アカウントが偽装させることができます。また、多数のバッファオーバーフローと異なるのIMクライアントで成功している不正な形式のパケット攻撃もあるでしょう。

×：セキュリティポリシーは、IMの使用制限を指定して必要とされています。

彼のプレゼンテーションではIM利用制限を指定するセキュリティポリシーの必要性を含むべきであるので、間違っています。これは、IM関連のセキュリティ侵害から環境を保護するためのいくつかのベストプラクティスの1つにすぎません。その他のベストプラクティスは、IMトラフィックをブロックするファイアウォールを構成するより安全なバージョンにIMソフトウェアをアップグレードし、社内の従業員のみが、組織のネットワーク内で通信するように、企業のIMサーバを実装し、すべてのコンピュータに統合されたウイルス対策/ファイアウォール製品を実装含みます。

アプリケーションファイアウォールは、OSIのレイヤー７を対象とします。アプリケーションファイアウォールの主な利点は、特定のアプリケーションとプロトコルを理解できることです。パケットはレイヤー6まで復号されないため、レイヤー７ではパケット全体を見ることができます。他のファイアウォールはパケットのみを検査でき、ペイロードは検査できません。不要なアプリケーションまたはサービスが、許可されたポートでプロトコルを使用してファイアウォールをバイパスしようとしているかどうかを検出したり、プロトコルが悪意のある方法で使用されているかどうかを検出したりできます。

QoS（Quality of Service）は、特定のトラフィックを他のトラフィックよりも優先します。一般的には、VoIP（Voice over IP）といったリアルタイムの通信を必要とするUDPトラフィックに有効です。その他の非リアルタイムトラフィックは優先順位が低くなります。

ウェルノウンポート（well-known port）とは、定番なサービスのために予約されている0番から1023番のポート番号です。ポート番号の組み分けは３つあります。ウェルノウンポート番号 (0–1023)とは、IANAで正式に登録されているポート番号です。登録済みポート番号 (1024–49151) とは、IANAで正式に登録されているポート番号です。動的・プライベート ポート番号 (49152–65535) とは、IANAで正式に登録されていないポート番号です。

〇：LAND攻撃

LAND攻撃とは、悪いリクエストをブロックするFirewallを貫通する攻撃です。Fraggle攻撃と似ていますが、送信元を攻撃対象にしたリクエストをファイヤーウォールに送ります。本来は内部を守るべきのファイヤーウォールが攻撃に利用されるため盲点となるわけです。

×：Teardrop

Teardropとは、IPパケットの分割前に戻すときのオフセットを偽造することでシステムを停止させる攻撃です。

×：クリスマスツリー攻撃

クリスマスツリー攻撃とは、パケットにいくつものフラグ（URG、ACK、PSH、RST、SYN、FIN）を立てて送り、応答を観察する攻撃です。

×：CHARGEN攻撃

CHARGEN（ポート19）とは、適当な文字列を返すプロトコルです。

ポイントツーポイントトンネリングプロトコル（PPTP）は、仮想プライベートネットワーク（VPN）を実装するための方法です。これは、OSIモデルのデータリンク層で動作するマイクロソフト独自のVPNプロトコルです。PPTPは、単一の接続のみを提供することができ、PPP接続上で動作することができます。

〇：Teardrop

Teardropとは、IPパケットの分割前に戻すときのオフセットを偽造することでシステムを停止させる攻撃です。

×：Fraggle攻撃

Fraggle攻撃とは、適当な文字列を生成するCHARGEN機能を使った攻撃です。

×：CHARGEN攻撃

そのような名前の攻撃はありません。

×：ウォードライビング

ウォードライビングとは、街を車で移動しながら、脆弱な無線LANのアクセスポイントを捜し回ることです。

〇：コンテンツ配信ネットワーク（CDN）

コンテンツ配信ネットワーク（CDN）は、大域的な位相関係に基づいて、クライアントにコンテンツの配信を最適化するように設計されています。このような設計では、インターネット上の存在の多くのポイントでホストされている複数のWebサーバは、グローバルに同期して同じコンテンツが含まれており、クライアントは通常のためのジオロケーションアルゴリズムに基づいて、DNSレコードの操作を介し、最も近いソースに向けることができます。

×：分散ネームサービス（DNS）

分散ネームサービスというプロトコルが存在しないことで、間違っています。DNSはドメインネームサービスプロトコルを指します。

×：分散型Webサービス（DWS）

分散型Webサービスも不正解の答えですので、間違っています。分散Webサービス・ディスカバリー・アーキテクチャの概念は、IEEE等によって議論がされていますが、正式なプロトコルではありません。

×：コンテンツドメインの分布（CDD）

コンテンツドメインの分布（CDD）という用語はCISSPのCBKの用語では登場しません。

イーサネットとは、ローカルエリア・ネットワークに使われる通信のやり方です。LANとかはイーサネットで通信しています。つまり、今はほとんどがイーサネットでの通信です。

実際にはこのような問題にまじめに取り合うべきではありません。名前と通信速度と最大距離の紐づけを覚えるような対策は個人的にはお勧めしません。覚えるとしても「後ろに’Th’みたいなのがついたら100m以上なんだな、あとはXXXBaseという通信速度が出るんだな」程度で十分でしょう。

ウォーダイヤリング（War Dialing）とは、非公開の社内ネットワーク向けのダイヤルアップ回線などを求めて、無差別にダイヤルアップを繰り返すクラッキング行為のことです。電話番号のリストを自動的にスキャンし、通常はローカルエリアコードのすべての番号にダイアルして、モデム、コンピュータ、掲示板システム、およびFAXマシンを検索します。

マトリックス型はネットワークトポロジではありません。リング型、メッシュ型、スター型はネットワークトポロジーです。

各IPSec VPNのデバイスは、それが使用する各セキュアな接続のための少なくとも1つのセキュリティアソシエーション（SA）を持つことになります。IPSecのアーキテクチャにとって重要であるSAは、デバイスがVPN接続を介してIPSec接続をサポートする必要がある構成記録になります。

〇：誰でも利用可能なメールリレーサーバーを用意する。

効果的で”ない”ものを選ぶ問題です。オープンなメールリレーサーバーは、スパムに対する有効な対策ではありません。実際、スパム発信者は、攻撃者が自分の身元を隠すことができるため、スパムを配布するためにスパマーをよく使用します。オープンメールリレーサーバは、誰からもインターネット上の誰かからインバウンドSMTP接続を許可するように設定されたSMTPサーバーであり、攻撃者が迷惑メールやポルノを配布するのを防ぐため、多くのリレーが適切に設定されています。よって正解は、「誰でも利用可能なメールリレーサーバーを用意する。」になります。

×：適切に構成されたメールリレーサーバーを構築する。

適切に設定されたメールリレーサーバーはスパムメールも抑制できます。

×：電子メールゲートウェイでのフィルタリングを行う。

ゲートウェイにてスパムメールと思われるメールをフィルタリングすることでスパムメールへの対策になります。

×：クライアントでのフィルタリングを行う。

クライアントつまり、Outlookなどのメーリングアプリケーションにて、スパムメールを仕分けすることはスパムメールへの対策と考えられます。

OSIモデルのデータリンクレイヤーまたはレイヤー2では、ヘッダーとトレーラーをパケットに追加して、適切な回線伝送のためにローカルエリアネットワークまたはワイドエリアネットワークテクノロジーにおけるバイナリー形式のパケットを準備します。 レイヤ2は、2つの機能的なサブレイヤに分割されています。 上位サブレイヤは論理リンク制御（LLC）であり、IEEE 802.2仕様で定義されている。 これは、データリンク層の上にあるネットワーク層と通信します。 LLCの下には、MAC（Media Access Control）サブレイヤがあり、物理レイヤのプロトコル要件を持つインターフェイスを指定します。

〇：攻撃受けた際に早期の検知、もしくは囲うため。

攻撃者は実質的な攻撃を仕掛ける前に調査を行います。そうした場合、脆弱性のあるネットワークを用意することで攻撃者がどこからアクセスしてくるのかなど予防する情報を得ることができます。なぜなら、攻撃者でなければネットワークに侵入するという動機がないからです。ハニーポッドなどの脆弱性のあるネットワークドメインはこういった侵入をしやすくすることで、攻撃者の動作を明確にします。よって正解は、「攻撃受けた際に早期の検知、もしくは囲うため。」になります。

×：現行の環境でシステム停止が発生したときのためのデバッグ用環境。

脆弱性のある環境を意図的に作ることに答えていません。環境を作った結果、脆弱性があったという結果にすぎません。

×：古い脆弱性によるリグレッションを防ぐ狙い。

古い脆弱性であっても対処するべきであって残留させる意味はありません。

×：サポート切れのバージョンの低い製品を動作させるための特殊環境。

脆弱性のある環境を意図的に作ることに答えていません。環境を作った結果、脆弱性があったという結果にすぎません。

回線交換は、ネットワークを介した専用通信チャネルです。この回路は全帯域幅を保証します。回路は、ノードがケーブルで物理的に接続されているかのように機能します。

〇：ステートフルインスペクション

ステートフルインスペクションはリクエストとレスポンスが連動させ、レスポンスだけが別のサーバから返却されるような異常な通信を検知します。よって正解は、「ステートフルインスペクション」になります。

×：アプリケーションゲートウェイ

一般的にWAFと呼ばれ、SQLインジェクションなど電文内の文字列によってフィルタリングを行う場合に利用されます。

×：パケットフィルタリング

IPアドレスやポートによってフィルタリングを行う場合に利用されます。

×：セッションゲートウェイ

そのようなファイヤーウォールのカテゴリーはありません。

Diameterとは、RADIUSの後継となるAAA(Authentication, Authorization, Accounting)サービスを実装する認証プロトコルです。RADIUSの問題点の一つとしては、再送機能により発生しやすくなる輻輳を制御する機能がありません。これにより、パフォーマンスの低下やデータ損失が懸念されます。