[3Dセキュアに関する記述]

クレジットカード発行会社にあらかじめ登録したパスワードなど,本人しか分からない情報を入力させ,検証することによって,なりすましによるクレジットカードの不正使用を防止する。


[DMZ上のコンピュータがインターネットからのpingに応答しないようにしたいとき,ファイアウォールのルールで"通過禁止"に設定するもの]

ICMP


[DNS CAA(Certification Authority Authorization)レコードを使うことによるセキュリティ上の効果]

不正なサーバ証明書の発行を防ぐ。


[DNSキャッシュポイズニング攻撃に対して有効な対策]

DNS問合せに使用するDNSヘッダ内のIDを固定せずにランダムに変更する。


[DNSサーバに格納されるネットワーク情報のうち,第三者に公開する必要のない情報が攻撃に利用されることを防止するための,プライマリDNSサーバの設定]

ゾーン転送を許可するDNSサーバを限定する。


[DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp攻撃)の踏み台にされることを防止する対策]

DNSキャッシュサーバとコンテンツサーバに分離し,インターネット側からDNSキャッシュサーバに問合せできないようにする。


[Enhanced Open]

RFC 8110に基づいたものであり,公衆無線LANなどでパスフレーズなどでの認証なしに,端末とアクセスポイントとの間の無線通信を暗号化する。


[IPスプーフィング(spoofing)攻撃の対策]

外部から入るパケットの送信元IPアドレス自ネットワークのものであれば,そのパケットを破棄する。


[NTPサーバが踏み台にされることを防止する対策]

NTPサーバの設定変更によって,NTPサーバの状態確認機能(monlist)を無効にする。


[WAFにおけるフォールスポジティブに該当するもの]

HTMLの特殊文字"<"を検出したときに通信を遮断するようにWAFを設定した場合,"<"などの数式を含んだ正当なHTTPリクエストが送信されたとき,WAFが攻撃として検知し,遮断する。


[インターネット上のWebサイトから内部ネットワーク上のPCへのマルウェアの侵入,及びインターネット上のWebサイトへのPC内のファイルの流出を防止する効果を得るために必要な条件]

PCとVDI(仮想デスクトップ)サーバ間は,VDIの画面転送プロトコルだけを利用する。


[インターネットバンキングの利用時に被害をもたらすMITB(Man-in-the-Browser)攻撃に有効なインターネットバンクでの対策]

インターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。

[トランザクション署名の説明]

利用者が送金取引時に,"送金操作を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値"をインターネットバンキングに送信する。


[インラインモードで動作するシグネチャ型IPSの特徴]

IPSが監視対象の通信を通過させるように通信経路上に設置され,定義した異常な通信と合致する通信を不正と判断して遮断する。


[逆アセンブル]

バイナリコードの新種ウイルスの動作を解明するのに有効な手法。


[サイドチャネル攻撃の手法であるタイミング攻撃の対策]

演算アルゴリズムに対策を施して,機密情報の違いによって処理時間の差異が出ないようにする。


[スイッチのポートをグループ化して複数のセグメントに分けると,スイッチのポートをセグメントを分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。]

スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。


[ステートフルインスペクション方式]

パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。

過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。


[脆弱性検査]

対象ポートにUDPパケットを送信し,対象ホストからメッセージ"port unreachable"を受信するとき,対象ポートが閉じていると判定する。


[セキュリティ対策として,CASB(Cloud Access Security Broker)を利用した際の効果]

クラウドサービス利用組織の管理者が,従業員が利用しているクラウドサービスに対して,CASBを利用して利用状況の可視化を行うことによって,許可を得ずにクラウドサービスを利用している者を特定できる。


[セキュリティチップ(TPM:Trusted Platform Module)がもつ機能]

鍵ペアの生成。


[内部ネットワークのPCがダウンローダ型マルウェアに感染したとき,そのマルウェアがインターネット経由で他のマルウェアをダウンロードすることを防ぐ方策として,最も有効なもの]

インターネット上の危険なWebサイトの情報を保持するURLフィルタを用いて,危険なWebサイトとの接続を遮断する。


[認証VLAN]

レイヤ2スイッチや無線LANアクセスポイントで接続を許可する仕組み。


[ブラックリスト]

ブラックリストは,問題がある通信データパターンを定義したものであり,該当する通信を遮断するか又は無害化する。


[マルウェア感染の調査対象のPCに対して,電源を切る前に全ての証拠保全を行いたい。ARPキャッシュを取得した後に保全すべき情報のうち,最も優先して保全すべきもの]

調査対象のPCで動的に追加されたルーティングテーブル。


[無線LANのアクセスポイントがもつプライバシーセパレータ機能(アクセスポイントアイソレーション)]

同じアクセスポイントに無線で接続している機器同士の通信を禁止する。


[メールサーバ(SMTPサーバ)の不正利用を防止するために行う設定]

第三者中継を禁止する。


[有料の公衆無線LANサービスにおいて実施される,ネットワークサービスの不正利用に対するセキュリティ対策の方法と目的]

利用者ごとに異なる利用者IDを割り当て,パスワードを設定することによって,契約者以外の利用者によるアクセスを防止する。