ドメイン4の試験です。
70%以上で合格になります。
#1. 外部から送信元を内部IPアドレスされたアクセスし、応答要求により内部アクセスを狙う攻撃はどれでしょうか。
〇:LAND攻撃
LAND攻撃とは、悪いリクエストをブロックするFirewallを貫通する攻撃です。Fraggle攻撃と似ていますが、送信元を攻撃対象にしたリクエストをファイヤーウォールに送ります。本来は内部を守るべきのファイヤーウォールが攻撃に利用されるため盲点となるわけです。
×:Teardrop
Teardropとは、IPパケットの分割前に戻すときのオフセットを偽造することでシステムを停止させる攻撃です。
×:クリスマスツリー攻撃
クリスマスツリー攻撃とは、パケットにいくつものフラグ(URG、ACK、PSH、RST、SYN、FIN)を立てて送り、応答を観察する攻撃です。
×:CHARGEN攻撃
CHARGEN(ポート19)とは、適当な文字列を返すプロトコルです。
#2. 電子メールのなりすましが容易に実行された理由として真っ当な推論はどれでしょうか。
〇:SMTPが適切な認証機構を欠いている。
Eメールのなりすましは、SMTPは適切な認証メカニズムを欠いている場合、実行するのは簡単です。攻撃者は、メールサーバのポート25にTelnetコマンドを送信することにより、電子メールの送信者アドレスを偽装することができます。スパマーは自分が特定されないように、電子メールのスプーフィングを使用しています。よって正解は、「SMTPが適切な認証機構を欠いている。」になります。
「そんなことない!他の選択肢の可能性もあるじゃないか!そんなものをたかが一文で推測するなど不可能!」と聞こえてきそうです。この意見には同意します。ただこのような問題であっても推論して解かなければなりません。選択肢を簡単にまとめると、「認証機能がない」、「設定忘れ」、「フィルタリング機能不全」、「ブラックリスト機能不全」になります。こう並べてみると、「認証機能がない」という回答が最も包含的な回答になってることに気付けるかと思います。
そのほかの解法では、認証と認可の違いを理解していることでも導くことができます。”なりすまし”を防ぐ技術は認証です。認証というキーワードを求めている問題文であると気付けると良いですね。
×:管理者が機能していないドメインのインバウンドSMTP接続を防止する設定を忘れている。
なりすましされている場合には、そのメール送信者も偽装されています。ドメインのインバウンドSMTP接続を防止しても、起こりえます。
×:キーワードフィルタリングによって技術的に廃止されている。
なりすましの対策に対して、キーワードフィルタリングはあまり有効ではありません。よって技術的に廃止されていたとしても原因とは考えにくいでしょう。
×:ブラックリスト機能が技術的に信頼できるものではない。
なりすましされている場合には、そのメール送信者も偽装されています。フィルタリング機能が信頼できなかったとしても、起こりえます。
#3. IP電話のセキュリティの説明として誤っているものはどれでしょうか。
〇:ソフトフォンはIP電話よりも安全である。
IPソフトフォンは、注意して使用する必要があります。ソフトフォンは、ユーザーがインターネット経由でコンピュータを介して通話を行うことができるソフトウェアアプリケーションです。専用のハードウェアの代用となるソフトフォンは、従来の電話のように動作できます。ソフトフォンは、他のインタラクティブなインターネットアプリケーションよりも悪いわけではありませんが、IP電話がそうであるように音声トラフィックを行うため、マルウェアはより簡単にソフトフォンを介してネットワークに侵入することができます。よって正解は、「ソフトフォンはIP電話よりも安全である。 」になります。
誤っているものを選択する問題です。試験のテクニックとして、何の問題もない・セキュリティ対策を講じる必要はないということは基本的に正解でない場合が多いでしょう。
×:VoIPネットワークはデータネットワーク上で使用されるのと同じセキュリティコントロールで保護する必要がある。
VoIPも、他と同じセキュリティコントロールを講じる必要があります。
×:エンドポイントとしてIP電話は攻撃の対象になる。
IP電話は攻撃対象になる可能性があります。
×:音声が伝送される現在のインターネットアーキテクチャでは、物理的な電話回線よりも安全である。
物理的な電話回線ほどクローズな環境ではないため、安全とは言い切れません。
#4. TCPコネクションが確立する際に、TCPスリーハンドシェイクを行う。次のうち、交換されるTCPフラグの順番が正しいものはどれか?
TCPスリーハンドシェイクは、SYN、SYN-ACK、ACKの3つのステップで実行されます。まず、クライアントがランダムに決めたシーケンス番号を付与したSYNパケットを送る。サーバは受け取ったシーケンス番号と1を加えたACK番号を付与したしたSYN ACKパケットを返信する。クライアントが受け取ったシーケンス番号に1を加えたものとACK番号を付与したACKパケットを送信することで接続の確立する。確立された接続は、最終的にRST(接続をリセットまたは切断)またはFIN(接続を正常に終了)で終了します。よって正解は、「SYN、SYN-ACK、ACK」になります。
#5. 攻撃者がウォーダイヤリングを仕掛けるとき、彼らは何をしようとしますか?
ウォーダイヤリング(War Dialing)とは、非公開の社内ネットワーク向けのダイヤルアップ回線などを求めて、無差別にダイヤルアップを繰り返すクラッキング行為のことです。電話番号のリストを自動的にスキャンし、通常はローカルエリアコードのすべての番号にダイアルして、モデム、コンピュータ、掲示板システム、およびFAXマシンを検索します。
#6. 旅行先のカフェで無料のWi-Fiを見つけた。あなたのとるべき行動は何か?
無料のWi-Fi、特に知らない土地でのネットワーク接続は通信傍受などのセキュリティの懸念から避けるべきです。
#7. 次のうちソフトウェア定義ネットワーク(SDN)技術を意図しているものはどれですか?
〇:ルータが一元管理され、コントローラの指示に基づいてパケットを制御する方法
ソフトウェア定義ネットワーク(SDN)はルーティングの決定とインタフェースとの間でデータを渡し、その機械的機能を作るのルータの論理機能を分離するために、ルーティングの決定を集中管理しやすくすることを意図しています。SDNアーキテクチャは、スケーラブル、プログラム可能な方法で、ルータの制御ロジックを提供する標準方法であることを意図しています。よって正解は、「ルータが一元管理され、コントローラの指示に基づいてパケットを制御する方法 」になります。
×:MACアドレスとIPアドレスの間のマッピング
ARPテーブルの説明です。
×:動的な方法でルーティングテーブル の更新
ダイナミックルーティングの説明です。
×:イベント発生時、ルータが互いにルーティングテーブルを更新のための通信をする方法
通信不通時のルーティング制御の説明です。
#8. ITセキュリティチームは、OSI参照モデルを使用した緩和戦略を提案するように依頼されました。これらのうち、レイヤー7の問題に対処するのはどれですか?
アプリケーションファイアウォールは、OSIのレイヤー7を対象とします。アプリケーションファイアウォールの主な利点は、特定のアプリケーションとプロトコルを理解できることです。パケットはレイヤー6まで復号されないため、レイヤー7ではパケット全体を見ることができます。他のファイアウォールはパケットのみを検査でき、ペイロードは検査できません。不要なアプリケーションまたはサービスが、許可されたポートでプロトコルを使用してファイアウォールをバイパスしようとしているかどうかを検出したり、プロトコルが悪意のある方法で使用されているかどうかを検出したりできます。
#9. 次のうちネットワークトポロジではないのはどれですか?
マトリックス型はネットワークトポロジではありません。リング型、メッシュ型、スター型はネットワークトポロジーです。
#10. ウェルノンポートの範囲はどれか。
ウェルノウンポート(well-known port)とは、定番なサービスのために予約されている0番から1023番のポート番号です。ポート番号の組み分けは3つあります。ウェルノウンポート番号 (0–1023)とは、IANAで正式に登録されているポート番号です。登録済みポート番号 (1024–49151) とは、IANAで正式に登録されているポート番号です。動的・プライベート ポート番号 (49152–65535) とは、IANAで正式に登録されていないポート番号です。
#11. サーバーサイドにWebアプリケーションを実装したい。このWebアプリケーションは主にスマートフォンのブラウザから利用することを想定している。この時に利用するべきプロトコルは何か?
HTTPS(Hypertext Transfer Protocol Secure)は、暗号化通信であるSSL/TLSによってセキュリティを高めたHTTPです。一般的なWebアプリケーションで利用されます。HTTPSを利用することで、通信経路での情報の盗聴や改ざんのリスクを防止できます。
#12. ネットワークにQuality of Service(QoS)を実装しています。QoSの主な利点の1つはどれですか?
QoS(Quality of Service)は、特定のトラフィックを他のトラフィックよりも優先します。一般的には、VoIP(Voice over IP)といったリアルタイムの通信を必要とするUDPトラフィックに有効です。その他の非リアルタイムトラフィックは優先順位が低くなります。
#13. ネットワークルーティングにおいて、送信元と宛先の間の最適なパスを選択する独自の内部プロトコルはどれでしょうか。
〇:IGRP
内部ゲートウェイルーティングプロトコル(IGRP)は、米シスコシステムズ(Cisco Systems)社によって開発されたディスタンスベクタルーティングプロトコルであり、かつ、シスコシステムズ独自のものです。ルーティング情報プロトコル(RIP)は、送信元と宛先の間の最適なパスを見つけるために、1つの基準を使用するのに対し、IGRPは、「最適ルート」決定を行うために5つの基準を使用しています。プロトコルは、その特定の環境で最適に動作するようにネットワーク管理者は、これらの異なるメトリックに重みを設定することができます。
この問題では、”独自”がキーワードでした。独自というキーワードから特定の製品でしか使われていない技術に紐づけられるかがポイントでした。RIPやOSPFは、独自ではないため選択肢から外すことができます。
×:RIP
ルーティング情報プロトコル(RIP)は、独自ではないため正しくありません。RIPは、ルータがルーティングテーブルデータを交換し、発信元と宛先の間の最短距離を算出します。これは、パフォーマンスの低下や機能の不足のため、レガシープロトコルであると考えられます。小さなネットワークで使用されるべきです。
×:BGP
ボーダーゲートウェイプロトコル(BGP)は、エクステリアゲートウェイプロトコル(EGP)であるため、正しくありません。BGPは、異なるASのルータは、異なるネットワーク間の効果的かつ効率的なルーティングを確保するためのルーティング情報を共有することができます。BGPは、インターネットサービスプロバイダによって使用されます。
×:OSPF
OSPFは、独自ではないため正しくありません。OSPFルーティングテーブルの情報を送信するために、リンクステートアルゴリズムを使用します。より小さく、より頻繁にルーティングテーブルの更新が行われます。
#14. OSI参照モデルのレイヤー5~7に対する脅威はどれですか?
コンピュータワームは、自身を複製して他のコンピュータに拡散するスタンドアロンのマルウェアコンピュータプログラムです。これらは通常、OSI参照レイヤー5~7で動作します。
#15. Diameterによって解消されたRADIUSの問題点とは何か。
Diameterとは、RADIUSの後継となるAAA(Authentication, Authorization, Accounting)サービスを実装する認証プロトコルです。RADIUSの問題点の一つとしては、再送機能により発生しやすくなる輻輳を制御する機能がありません。これにより、パフォーマンスの低下やデータ損失が懸念されます。
#16. 人為的に脆弱性のあるネットワークドメインを用意する意図は何か。
〇:攻撃受けた際に早期の検知、もしくは囲うため。
攻撃者は実質的な攻撃を仕掛ける前に調査を行います。そうした場合、脆弱性のあるネットワークを用意することで攻撃者がどこからアクセスしてくるのかなど予防する情報を得ることができます。なぜなら、攻撃者でなければネットワークに侵入するという動機がないからです。ハニーポッドなどの脆弱性のあるネットワークドメインはこういった侵入をしやすくすることで、攻撃者の動作を明確にします。よって正解は、「攻撃受けた際に早期の検知、もしくは囲うため。」になります。
×:現行の環境でシステム停止が発生したときのためのデバッグ用環境。
脆弱性のある環境を意図的に作ることに答えていません。環境を作った結果、脆弱性があったという結果にすぎません。
×:古い脆弱性によるリグレッションを防ぐ狙い。
古い脆弱性であっても対処するべきであって残留させる意味はありません。
×:サポート切れのバージョンの低い製品を動作させるための特殊環境。
脆弱性のある環境を意図的に作ることに答えていません。環境を作った結果、脆弱性があったという結果にすぎません。
#17. 通信速度が問題となりWi-Fiを一新したい。障害物の少ない環境で利用を想定しているため、電波干渉が少なく安定した高速通信を優先します。その中でもより速度の速いものを選びたい。どのWi-Fiの規格を使うべきか。
IEEE 802.11とは、IEEEにより策定された無線LAN規格の一つです。IEEE 802.11の規格ごとの最大速度と周波数は以下の通りになります。
種類 最大速度 周波数
802.11 2Mbps 2.4GHz
802.11a 54Mbps 5GHz
802.11b 11Mbps 2.4GHz
802.11g 54Mbps 2.4GHz
802.11n 600Mbps 2.4GHz or 5GHz
802.11ac 1.3Gbps 5GHz
周波数には、2.4GHz帯と5GHz帯があります。2.4GHzは障害物に強い一方で、5GHzは障害物は弱い側面があります。ただ、5GHzの方が安定した高速通信を行うことができます。
障害物の少ない環境で利用を想定しているため、5GHzに誘導しています。その中でもっとの速い規格は802.11aになります。
#18. Webコンテンツの近位トポロジカルを構成するルーティングをするために、クライアントのIPアドレスに基づいて地理的位置を決定し、コンテンツの配信を最適化する技術はどれですか?
〇:コンテンツ配信ネットワーク(CDN)
コンテンツ配信ネットワーク(CDN)は、大域的な位相関係に基づいて、クライアントにコンテンツの配信を最適化するように設計されています。このような設計では、インターネット上の存在の多くのポイントでホストされている複数のWebサーバは、グローバルに同期して同じコンテンツが含まれており、クライアントは通常のためのジオロケーションアルゴリズムに基づいて、DNSレコードの操作を介し、最も近いソースに向けることができます。
×:分散ネームサービス(DNS)
分散ネームサービスというプロトコルが存在しないことで、間違っています。DNSはドメインネームサービスプロトコルを指します。
×:分散型Webサービス(DWS)
分散型Webサービスも不正解の答えですので、間違っています。分散Webサービス・ディスカバリー・アーキテクチャの概念は、IEEE等によって議論がされていますが、正式なプロトコルではありません。
×:コンテンツドメインの分布(CDD)
コンテンツドメインの分布(CDD)という用語はCISSPのCBKの用語では登場しません。
#19. オフセットを改ざんされたパケットにより、機器の停止を狙う攻撃はどれでしょうか。
〇:Teardrop
Teardropとは、IPパケットの分割前に戻すときのオフセットを偽造することでシステムを停止させる攻撃です。
×:Fraggle攻撃
Fraggle攻撃とは、適当な文字列を生成するCHARGEN機能を使った攻撃です。
×:CHARGEN攻撃
そのような名前の攻撃はありません。
×:ウォードライビング
ウォードライビングとは、街を車で移動しながら、脆弱な無線LANのアクセスポイントを捜し回ることです。
#20. 送信先アドレスと送信先でのコンピュータサービスまたはプロトコルの通信方法を示した言葉はどれでしょうか。
〇:ソケット
UDP(User Datagram Protocol)とTCP(Transmission Control Protocol)は、アプリケーションがネットワークを介してデータを取得するために使用するトランスポートプロトコルです。 どちらも、ポートを使用して上位のOSIレイヤと通信し、同時に発生するさまざまな会話を追跡します。 ポートは、他のコンピュータがどのようにサービスにアクセスするかを識別するために使用されるメカニズムでもあります。 TCPまたはUDPメッセージが形成されるとき、送信元および宛先ポートは、送信元および宛先IPアドレスとともにヘッダ情報内に含まれます。このIPアドレスとポート番号をソケットと言います。IPアドレスはコンピュータへの出入口として機能し、ポートは実際のプロトコルまたはサービスへの出入口として機能します。
×:IPアドレス
IPアドレスがサービスやプロトコルとの通信方法をパケットに伝えていないため、間違っています。 IPアドレスの目的は、ホストまたはネットワークインタフェースの識別とロケーションのアドレッシングです。 ネットワーク内の各ノードには一意のIPアドレスがあります。 この情報は、送信元ポートおよび宛先ポートとともに、ソケットを構成します。 IPアドレスはどこに行くべきかをパケットに伝え、ポートは適切なサービスまたはプロトコルとの通信方法を示します。
×:ポート
ポートはパケットに適切なサービスまたはプロトコルとの通信方法のみを通知するため、正しくありません。 それはどこに行くべきかをパケットに伝えません。 IPアドレスはこの情報を提供します。 ポートは、TCPやUDPなどのIPプロトコルで使用される通信エンドポイントです。 ポートは番号で識別されます。
×:フレーム
フレームは、データリンク層にヘッダとトレーラが与えられた後にデータグラムを参照するために使用される用語であるため、間違っています。




