〇：DNSハイジャック

DNSは、インターネット上のトラフィックの伝送における素晴らしい役割を果たしています。DNSは、あるドメイン名に対応する適切なIPアドレスにトラフィックを誘導します。DNSクエリは、再帰または反復のいずれかに分類することができます。再帰クエリでは、DNSサーバーは、別のサーバーにクエリを転送し、質問者への適切な応答を返します。反復クエリでは、DNSサーバは質問に答えることができるかもしれない別のDNSサーバーのアドレスで応答し、さらに新しいDNSサーバーを尋ねるに進みます。攻撃者は、DNSサーバーのキャッシュを汚染するために再帰クエリを使用します。

攻撃者は、ドメインのIPアドレスを求める被害者のDNSサーバーに再帰クエリを送信します。DNSサーバは、別のDNSサーバにクエリを転送します。他のDNSサーバーが応答する前に、攻撃者は自分のIPアドレスを挿入します。被害者サーバは、IPアドレスを受け取り、特定の期間のためにキャッシュに格納します。次回は、システムが解決するためにサーバーを照会し、サーバが攻撃者のIPアドレスにユーザーを誘導します。

×：hostsファイルの操作

hostsファイルを操作すると、DNSサーバーのキャッシュを汚染するために再帰クエリを使用していないので、間違っています。クライアントは、最初のDNSサーバーに要求を発行する前に、hostsファイルを照会します。一部のウイルスは、ウイルス定義ファイルのダウンロードを防止し、検出を防止するために、hostsファイルにウイルス対策ベンダの無効なIPアドレスを追加します。

×：ソーシャルエンジニアリング

ソーシャルエンジニアリングは、DNSサーバに問い合わせる必要としないので、間違っています。ソーシャルエンジニアリングとは、不正アクセスや情報を得ることを目的とした個人の操作を指します。

×：ドメイン訴訟

ドメインの訴訟は、DNSサーバーのキャッシュをポイズニング伴わないので、間違っています。ドメイン名は、一時的な利用不能または確立されたドメイン名の永久的な損失を含む、商標上のリスクにさらされています。

〇：DNSSEC

DNSSECは、DNSポイズニング、なりすまし、および同様の攻撃タイプの脅威を減らすためにDNSクライアント（リゾルバ）がDNSデータの発信元の認証を提供するDNSの拡張セットです。DNSSECは、IPネットワーク上で使用されるようにDNSによって提供されるサービスを確保するためのIETF（Internet Engineering Task Force）の仕様です。

×：リソースレコード

DNSサーバーはリソースレコードと呼ばれているIPアドレスにホスト名をマップするレコードが含まれています。回答としては、正しくありません。ユーザーのコンピュータは、ホスト名をIPアドレスに解決する必要がある場合、そのDNSサーバーを見つけるために、そのネットワーク設定に見えます。そして、コンピュータは解決のためにDNSサーバにホスト名を含む要求を送信します。DNSサーバはそのリソースレコードを見て、この特定のホスト名を持つレコードを見つけ、アドレスを取得し、対応するIPアドレスを持つコンピュータに応答します。

×：ゾーン転送

プライマリおよびセカンダリDNSサーバは、ゾーン転送を介して自分の情報を同期させます。回答としては、正しくありません。変更がプライマリDNSサーバに行われた後、これらの変更はセカンダリDNSサーバーにレプリケートする必要があります。ゾーン転送は、特定のサーバー間の場所を取ることができるようにDNSサーバーを設定することが重要です。

×：リソース転送

DNSのリソースレコードを転送することに相当しますが、回答としては正しくありません。

〇：ルータが一元管理され、コントローラの指示に基づいてパケットを制御する方法 

ソフトウェア定義ネットワーク（SDN）はルーティングの決定とインタフェースとの間でデータを渡し、その機械的機能を作るのルータの論理機能を分離するために、ルーティングの決定を集中管理しやすくすることを意図しています。SDNアーキテクチャは、スケーラブル、プログラム可能な方法で、ルータの制御ロジックを提供する標準方法であることを意図しています。よって正解は、「ルータが一元管理され、コントローラの指示に基づいてパケットを制御する方法  」になります。

×：MACアドレスとIPアドレスの間のマッピング

ARPテーブルの説明です。

×：動的な方法でルーティングテーブル の更新

ダイナミックルーティングの説明です。

×：イベント発生時、ルータが互いにルーティングテーブルを更新のための通信をする方法

通信不通時のルーティング制御の説明です。

VoIPはUDPを使用します。リアルタイム重視であり、コネクションレス型で数秒後に再送信するよりも、1つか2つのパケットを失う方がよいのでしょう。

答えはUDPでしたが、VoIPが利用しているプロトコルとして覚えるべきではありません。速度やリアルタイム性が重要なサービスにおいてはUDPが使われている傾向があるルールを理解し、問題の推測することが大事です。

IEEE 802.11とは、IEEEにより策定された無線LAN規格の一つです。IEEE 802.11の規格ごとの最大速度と周波数は以下の通りになります。

種類　　　最大速度　　 周波数

802.11　　   2Mbps　　    2.4GHz

802.11a　　54Mbps　　   5GHz

802.11b　　11Mbps　　    2.4GHz

802.11g　　54Mbps　　   2.4GHz

802.11n　　600Mbps　　2.4GHz or 5GHz

802.11ac　   1.3Gbps　　  5GHz

周波数には、2.4GHz帯と5GHz帯があります。2.4GHzは障害物に強い一方で、5GHzは障害物は弱い側面があります。ただ、5GHzの方が安定した高速通信を行うことができます。

障害物の少ない環境で利用を想定しているため、5GHzに誘導しています。その中でもっとの速い規格は802.11aになります。

〇：LAND攻撃

LAND攻撃とは、悪いリクエストをブロックするFirewallを貫通する攻撃です。Fraggle攻撃と似ていますが、送信元を攻撃対象にしたリクエストをファイヤーウォールに送ります。本来は内部を守るべきのファイヤーウォールが攻撃に利用されるため盲点となるわけです。

×：Teardrop

Teardropとは、IPパケットの分割前に戻すときのオフセットを偽造することでシステムを停止させる攻撃です。

×：クリスマスツリー攻撃

クリスマスツリー攻撃とは、パケットにいくつものフラグ（URG、ACK、PSH、RST、SYN、FIN）を立てて送り、応答を観察する攻撃です。

×：CHARGEN攻撃

CHARGEN（ポート19）とは、適当な文字列を返すプロトコルです。

〇：コンテンツ配信ネットワーク（CDN）

コンテンツ配信ネットワーク（CDN）は、大域的な位相関係に基づいて、クライアントにコンテンツの配信を最適化するように設計されています。このような設計では、インターネット上の存在の多くのポイントでホストされている複数のWebサーバは、グローバルに同期して同じコンテンツが含まれており、クライアントは通常のためのジオロケーションアルゴリズムに基づいて、DNSレコードの操作を介し、最も近いソースに向けることができます。

×：分散ネームサービス（DNS）

分散ネームサービスというプロトコルが存在しないことで、間違っています。DNSはドメインネームサービスプロトコルを指します。

×：分散型Webサービス（DWS）

分散型Webサービスも不正解の答えですので、間違っています。分散Webサービス・ディスカバリー・アーキテクチャの概念は、IEEE等によって議論がされていますが、正式なプロトコルではありません。

×：コンテンツドメインの分布（CDD）

コンテンツドメインの分布（CDD）という用語はCISSPのCBKの用語では登場しません。

イーサネットとは、ローカルエリア・ネットワークに使われる通信のやり方です。LANとかはイーサネットで通信しています。つまり、今はほとんどがイーサネットでの通信です。

実際にはこのような問題にまじめに取り合うべきではありません。名前と通信速度と最大距離の紐づけを覚えるような対策は個人的にはお勧めしません。覚えるとしても「後ろに’Th’みたいなのがついたら100m以上なんだな、あとはXXXBaseという通信速度が出るんだな」程度で十分でしょう。

Diameterとは、RADIUSの後継となるAAA(Authentication, Authorization, Accounting)サービスを実装する認証プロトコルです。RADIUSの問題点の一つとしては、再送機能により発生しやすくなる輻輳を制御する機能がありません。これにより、パフォーマンスの低下やデータ損失が懸念されます。

CSMA / CD（Carrier Sense Multiple Access Collision Detection）とは、イーサネットのように同時に送信と受信が可能なシステムに使用されます。 2つのクライアントが同時にリッスンし、回線がクリアであることを確認すると、両方が同時に送信して衝突を引き起こす可能性があります。このシナリオを解決するためにCD（Collision Detection）が追加されています。クライアントは、回線がアイドル状態であるかどうかを確認し、アイドル状態の場合は送信します。使用中の場合、ランダムな時間（ミリ秒）待機します。送信中、彼らはネットワークを監視しており、送信よりも多くの入力が受信された場合、別のクライアントも送信しており、他のノードに送信を停止するように指示するジャム信号を送信し、ランダムな時間待機してから再送信を開始します。

各IPSec VPNのデバイスは、それが使用する各セキュアな接続のための少なくとも1つのセキュリティアソシエーション（SA）を持つことになります。IPSecのアーキテクチャにとって重要であるSAは、デバイスがVPN接続を介してIPSec接続をサポートする必要がある構成記録になります。

〇：VLAN

仮想LAN（VLAN）をシステムの標準的な物理的な場所にもかかわらず、リソース要件、セキュリティ、またはビジネスニーズに基づいて、コンピュータの論理的な分離とグループ化を可能にします。同じVLANネットワーク上に設定された同じ部署内のコンピュータは、すべてのユーザーが同じブロードキャストメッセージを受信することができ、物理的な場所に関係なく、同じ種類のリソースにアクセスできるようにします。

×：オープン・ネットワーク・アーキテクチャ  

オープンなネットワークアーキテクチャは、ネットワークを構成することができる技術を記述しているので間違っています。OSIモデルは、オープン・ネットワーク・アーキテクチャ内で動作する製品を開発するためのフレームワークを提供します。

×：イントラネット

イントラネットは、内部ネットワークにおいてインターネットとWebベースの技術を使用したいときに会社が使用するプライベートネットワークであるため、正しくありません。

×：VAN  

付加価値通信網（VAN）は、サービスビューローによって開発され、維持された電子データ交換（EDI）インフラストラクチャであるため、正しくありません。

〇：SMTPが適切な認証機構を欠いている。

Eメールのなりすましは、SMTPは適切な認証メカニズムを欠いている場合、実行するのは簡単です。攻撃者は、メールサーバのポート25にTelnetコマンドを送信することにより、電子メールの送信者アドレスを偽装することができます。スパマーは自分が特定されないように、電子メールのスプーフィングを使用しています。よって正解は、「SMTPが適切な認証機構を欠いている。」になります。

「そんなことない！他の選択肢の可能性もあるじゃないか！そんなものをたかが一文で推測するなど不可能！」と聞こえてきそうです。この意見には同意します。ただこのような問題であっても推論して解かなければなりません。選択肢を簡単にまとめると、「認証機能がない」、「設定忘れ」、「フィルタリング機能不全」、「ブラックリスト機能不全」になります。こう並べてみると、「認証機能がない」という回答が最も包含的な回答になってることに気付けるかと思います。

そのほかの解法では、認証と認可の違いを理解していることでも導くことができます。”なりすまし”を防ぐ技術は認証です。認証というキーワードを求めている問題文であると気付けると良いですね。

×：管理者が機能していないドメインのインバウンドSMTP接続を防止する設定を忘れている。

なりすましされている場合には、そのメール送信者も偽装されています。ドメインのインバウンドSMTP接続を防止しても、起こりえます。

×：キーワードフィルタリングによって技術的に廃止されている。

なりすましの対策に対して、キーワードフィルタリングはあまり有効ではありません。よって技術的に廃止されていたとしても原因とは考えにくいでしょう。

×：ブラックリスト機能が技術的に信頼できるものではない。

なりすましされている場合には、そのメール送信者も偽装されています。フィルタリング機能が信頼できなかったとしても、起こりえます。

〇：誰でも利用可能なメールリレーサーバーを用意する。

効果的で”ない”ものを選ぶ問題です。オープンなメールリレーサーバーは、スパムに対する有効な対策ではありません。実際、スパム発信者は、攻撃者が自分の身元を隠すことができるため、スパムを配布するためにスパマーをよく使用します。オープンメールリレーサーバは、誰からもインターネット上の誰かからインバウンドSMTP接続を許可するように設定されたSMTPサーバーであり、攻撃者が迷惑メールやポルノを配布するのを防ぐため、多くのリレーが適切に設定されています。よって正解は、「誰でも利用可能なメールリレーサーバーを用意する。」になります。

×：適切に構成されたメールリレーサーバーを構築する。

適切に設定されたメールリレーサーバーはスパムメールも抑制できます。

×：電子メールゲートウェイでのフィルタリングを行う。

ゲートウェイにてスパムメールと思われるメールをフィルタリングすることでスパムメールへの対策になります。

×：クライアントでのフィルタリングを行う。

クライアントつまり、Outlookなどのメーリングアプリケーションにて、スパムメールを仕分けすることはスパムメールへの対策と考えられます。

ポイントツーポイントトンネリングプロトコル（PPTP）は、仮想プライベートネットワーク（VPN）を実装するための方法です。これは、OSIモデルのデータリンク層で動作するマイクロソフト独自のVPNプロトコルです。PPTPは、単一の接続のみを提供することができ、PPP接続上で動作することができます。

キャプティブポータルとは、端末がネットワークに接続した際にユーザー認証や利用者登録、利用者同意などを行うまで外部との通信を制限する仕組みです。

Sender Policy Framework（SPF）は、電子メールのなりすましを検出してスパムや悪意のある電子メールを防止する電子メール検証システムです。 攻撃者は、通常、電子メールアドレスを偽装して、受信者がメッセージが既知の信頼できる発信元から来たものだと考えさせるようにします。 SPFを使用すると、ネットワーク管理者は、ドメインネームシステム（DNS）にSPFレコードを実装することで、特定のドメインからメールを送信できるホストを指定できます。 電子メールサーバーは、特定のドメインから送信された電子メールが、送信ドメインの管理者によって認可されたIPアドレスから送信されたことを確認するために、DNSサーバーで確認するように構成されています。

間違えた方は落ち込まないでください。問題文に”電子メール”と入っていっているため、これはとても意地悪な問題です。あなたの試験に対する勘所は正しいと思います。

〇：ソフトフォンはIP電話よりも安全である。 

IPソフトフォンは、注意して使用する必要があります。ソフトフォンは、ユーザーがインターネット経由でコンピュータを介して通話を行うことができるソフトウェアアプリケーションです。専用のハードウェアの代用となるソフトフォンは、従来の電話のように動作できます。ソフトフォンは、他のインタラクティブなインターネットアプリケーションよりも悪いわけではありませんが、IP電話がそうであるように音声トラフィックを行うため、マルウェアはより簡単にソフトフォンを介してネットワークに侵入することができます。よって正解は、「ソフトフォンはIP電話よりも安全である。 」になります。

誤っているものを選択する問題です。試験のテクニックとして、何の問題もない・セキュリティ対策を講じる必要はないということは基本的に正解でない場合が多いでしょう。

×：VoIPネットワークはデータネットワーク上で使用されるのと同じセキュリティコントロールで保護する必要がある。

VoIPも、他と同じセキュリティコントロールを講じる必要があります。

×：エンドポイントとしてIP電話は攻撃の対象になる。

IP電話は攻撃対象になる可能性があります。

×：音声が伝送される現在のインターネットアーキテクチャでは、物理的な電話回線よりも安全である。 

物理的な電話回線ほどクローズな環境ではないため、安全とは言い切れません。

回線交換は、ネットワークを介した専用通信チャネルです。この回路は全帯域幅を保証します。回路は、ノードがケーブルで物理的に接続されているかのように機能します。

アプリケーションファイアウォールは、OSIのレイヤー７を対象とします。アプリケーションファイアウォールの主な利点は、特定のアプリケーションとプロトコルを理解できることです。パケットはレイヤー6まで復号されないため、レイヤー７ではパケット全体を見ることができます。他のファイアウォールはパケットのみを検査でき、ペイロードは検査できません。不要なアプリケーションまたはサービスが、許可されたポートでプロトコルを使用してファイアウォールをバイパスしようとしているかどうかを検出したり、プロトコルが悪意のある方法で使用されているかどうかを検出したりできます。