CCNA「セキュリティ基礎」練習問題(42問・解説つき)

Cisco CCNA 200-301「セキュリティ基礎」の4択問題集。正解と選択肢ごとの個別解説つきで、過去問対策・例題演習に。

主なテーマ:ACL・ポートセキュリティ・AAA・VPN・無線セキュリティ

▶ この分野をクイズ形式で解く
第1問 ・ CCNA / セキュリティ基礎

スイッチポートに接続できるMACアドレスを制限する機能は?

  1. DAI
  2. ポートセキュリティ✓ 正解
  3. DHCPスヌーピング
  4. 標準ACL
💡 ポートセキュリティは各ポートで学習するMAC数や特定MACを制限し、違反時にポートを保護します。
✕ DAI:DAIはARPの正当性を検査する機能でMAC数の制限は行わないので誤り。
○ ポートセキュリティ:ポートセキュリティは各ポートで学習するMAC数や特定MACを制限する機能なので正しい。
✕ DHCPスヌーピング:DHCPスヌーピングは不正なDHCP応答を遮断する機能でMAC制限ではないので誤り。
✕ 標準ACL:標準ACLは送信元IPで通信を制御する機能でポートのMAC制限とは別物なので誤り。
第2問 ・ CCNA / セキュリティ基礎

標準ACLが判定の基準にするのは?

  1. 送信元IPのみ✓ 正解
  2. 宛先ポート番号
  3. 送信元と宛先IP
  4. MACアドレス
💡 標準ACLは送信元IPアドレスのみで判定。送信元/宛先IPやポートまで見るのは拡張ACLです。
○ 送信元IPのみ:標準ACLは送信元IPアドレスのみで判定するので正しい。
✕ 宛先ポート番号:宛先ポート番号まで見るのは拡張ACLなので誤り。
✕ 送信元と宛先IP:送信元と宛先IPの両方を見るのは拡張ACLなので誤り。
✕ MACアドレス:MACアドレスはL2の情報で標準ACLの判定基準ではないので誤り。
第3問 ・ CCNA / セキュリティ基礎

機器のリモート管理で推奨される暗号化プロトコルは?

  1. Telnet
  2. SSH✓ 正解
  3. HTTP
  4. FTP
💡 SSH(ポート22)は通信を暗号化。Telnetは平文で危険なため、管理にはSSHを使いましょう。
✕ Telnet:Telnetは平文で通信するため暗号化されず非推奨なので誤り。
○ SSH:SSH(ポート22)は通信を暗号化するため管理に推奨されるので正しい。
✕ HTTP:HTTPは平文通信で暗号化されないので誤り。
✕ FTP:FTPは平文で認証情報を送るため安全ではないので誤り。
第4問 ・ CCNA / セキュリティ基礎

拡張ACLを効率よく効かせる原則的な配置場所は?

  1. 宛先の近く
  2. 送信元の近く✓ 正解
  3. どこでも同じ
  4. WAN側のみ
💡 拡張ACLは送信元近くで不要トラフィックを早期遮断。標準ACLは宛先近くが原則です。
✕ 宛先の近く:宛先の近くに置くのは標準ACLの原則で拡張ACLではないので誤り。
○ 送信元の近く:拡張ACLは送信元近くに置き不要トラフィックを早期遮断するので正しい。
✕ どこでも同じ:配置場所により効率が変わるため「どこでも同じ」は誤り。
✕ WAN側のみ:WAN側のみという制約はなく適切な配置原則とは異なるので誤り。
第5問 ・ CCNA / セキュリティ基礎

現在の無線LANで推奨される暗号方式は?

  1. WEP
  2. WPA(TKIP)
  3. WPA2(AES)✓ 正解
  4. オープン
💡 WPA2はAES(CCMP)で強固。WEPやTKIPは脆弱で非推奨。最新のWPA3はさらに安全です。
✕ WEP:WEPは脆弱で解読されやすく非推奨なので誤り。
✕ WPA(TKIP):WPA(TKIP)は脆弱性が見つかっており非推奨なので誤り。
○ WPA2(AES):WPA2はAES(CCMP)で強固なため推奨される暗号方式なので正しい。
✕ オープン:オープンは暗号化なしで通信が保護されないので誤り。
第6問 ・ CCNA / セキュリティ基礎

ACLのワイルドカードマスク 0.0.0.255 が表す範囲は?

  1. 1ホストのみ
  2. 下位8ビットが任意✓ 正解
  3. 全アドレス
  4. 上位8ビット任意
💡 ワイルドカードは0が一致・1が任意を意味します。0.0.0.255は下位8ビットを任意とし/24相当の範囲です。
✕ 1ホストのみ:1ホストのみを表すのはワイルドカード0.0.0.0なので誤り。
○ 下位8ビットが任意:0.0.0.255は下位8ビットを任意とし/24相当の範囲を表すので正しい。
✕ 全アドレス:全アドレスを表すのは255.255.255.255なので誤り。
✕ 上位8ビット任意:上位8ビット任意は255.0.0.0が表すので誤り。
第7問 ・ CCNA / セキュリティ基礎

システムやソフトウェアに存在する「弱点そのもの」を指す用語はどれですか。

  1. 脅威(Threat)
  2. 脆弱性(Vulnerability)✓ 正解
  3. エクスプロイト(Exploit)
  4. 緩和策(Mitigation)
💡 脆弱性はシステムが持つ弱点そのものです。脅威はその弱点を突こうとする潜在的な危険、エクスプロイトは脆弱性を突く具体的な手段やコードを指します。
✕ 脅威(Threat):脅威は弱点を突こうとする潜在的危険を指し、弱点そのものではないため誤り。
○ 脆弱性(Vulnerability):正しい。脆弱性はシステムやソフトウェアが持つ弱点そのものを指す。
✕ エクスプロイト(Exploit):エクスプロイトは脆弱性を突く具体的な手段やコードで、弱点そのものではないため誤り。
✕ 緩和策(Mitigation):緩和策は脆弱性へ対処する対策であり、弱点そのものではないため誤り。
第8問 ・ CCNA / セキュリティ基礎

AAAのうち「ユーザが実行した操作やアクセス時間などを記録する」機能はどれですか。

  1. 認証(Authentication)
  2. 認可(Authorization)
  3. アカウンティング(Accounting)✓ 正解
  4. 暗号化(Encryption)
💡 アカウンティングはユーザの操作内容や接続時間、使用リソースなどを記録します。認証は本人確認、認可は許可される操作の制御です。
✕ 認証(Authentication):認証は本人確認の機能で、操作や時間の記録ではないため誤り。
✕ 認可(Authorization):認可は許可される操作を制御する機能で、記録機能ではないため誤り。
○ アカウンティング(Accounting):正しい。アカウンティングはユーザの操作内容や接続時間、使用リソースを記録する。
✕ 暗号化(Encryption):暗号化はデータ保護の手段でAAAの構成要素ではないため誤り。
第9問 ・ CCNA / セキュリティ基礎

AAAプロトコルのうちTCPを使い、認証・認可・アカウンティングを分離してコマンド単位の認可ができるのはどれですか。

  1. RADIUS
  2. TACACS+✓ 正解
  3. Kerberos
  4. LDAP
💡 TACACS+はTCP/49を使い、AAAの各機能を分離するためコマンド単位の認可に向きます。RADIUSはUDPでありパケット全体ではなくパスワードのみを暗号化します。
✕ RADIUS:RADIUSはUDPで認証と認可を結合し、コマンド単位認可には不向きなため誤り。
○ TACACS+:正しい。TACACS+はTCP/49を使いAAAを分離するためコマンド単位の認可ができる。
✕ Kerberos:Kerberosはチケットベースの認証プロトコルでAAA各機能を分離するものではないため誤り。
✕ LDAP:LDAPはディレクトリアクセス用プロトコルで、コマンド単位認可のAAAではないため誤り。
第10問 ・ CCNA / セキュリティ基礎

RADIUSに関する説明として正しいものはどれですか。

  1. TCPを使用しパケット全体を暗号化する
  2. UDPを使用し認証と認可を1つのプロセスで扱う✓ 正解
  3. Cisco独自プロトコルである
  4. コマンド単位の認可に最も適している
💡 RADIUSはUDP(1812/1813等)を使い、認証と認可を1つのプロセスで結合して扱います。パスワード部分のみ暗号化し、業界標準プロトコルです。
✕ TCPを使用しパケット全体を暗号化する:RADIUSはUDPを使いパスワード部のみ暗号化するため、TCPで全体暗号化は誤り。
○ UDPを使用し認証と認可を1つのプロセスで扱う:正しい。RADIUSはUDPを使い認証と認可を1つのプロセスで結合して扱う標準プロトコル。
✕ Cisco独自プロトコルである:RADIUSはIETF標準のプロトコルでCisco独自ではないため誤り。
✕ コマンド単位の認可に最も適している:コマンド単位の認可に適するのはTACACS+であり、RADIUSではないため誤り。
第11問 ・ CCNA / セキュリティ基礎

service password-encryption コマンドの効果として正しいものはどれですか。

  1. enable secret を強力なハッシュで保護する
  2. 設定ファイル内の平文パスワードを弱い暗号化(Type7)で隠す✓ 正解
  3. SSH接続を強制する
  4. すべてのパスワードをMD5でハッシュ化する
💡 service password-encryptionは設定中の平文パスワードを可逆性のあるType7暗号で隠すだけで、容易に復号可能です。強力な保護にはenable secretのハッシュを使います。
✕ enable secret を強力なハッシュで保護する:enable secretは別途の強力ハッシュ機能で、本コマンドが保護するものではないため誤り。
○ 設定ファイル内の平文パスワードを弱い暗号化(Type7)で隠す:正しい。本コマンドは設定中の平文パスワードを可逆のType7暗号で隠すだけである。
✕ SSH接続を強制する:SSH強制とは無関係でtransport設定等で行うため誤り。
✕ すべてのパスワードをMD5でハッシュ化する:Type7は可逆な暗号でMD5ハッシュ化ではないため誤り。
第12問 ・ CCNA / セキュリティ基礎

ポートセキュリティの違反モードのうち、違反フレームを破棄しつつログ(SNMP/syslog)と違反カウンタを記録するが、ポートは閉塞しないモードはどれですか。

  1. protect
  2. restrict✓ 正解
  3. shutdown
  4. disable
💡 restrictは違反フレームを破棄してログとカウンタを記録しますがポートは稼働を続けます。protectは記録せず破棄のみ、shutdownはポートをerr-disabledにします。
✕ protect:protectは違反フレームを破棄するがログやカウンタ記録を行わないため誤り。
○ restrict:正しい。restrictは違反フレームを破棄しログとカウンタを記録するがポートは閉塞しない。
✕ shutdown:shutdownはポートをerr-disabledにして閉塞するため、閉塞しないとする本問では誤り。
✕ disable:disableというポートセキュリティ違反モードは存在しないため誤り。
第13問 ・ CCNA / セキュリティ基礎

信頼できないポートから来た不正なDHCPサーバ応答(DHCPOFFER等)を遮断し、中間者攻撃を防ぐ機能はどれですか。

  1. DHCPスヌーピング✓ 正解
  2. ダイナミックARPインスペクション(DAI)
  3. BPDUガード
  4. ポートセキュリティ
💡 DHCPスヌーピングはポートをtrust/untrustに分類し、untrustポートからのDHCPサーバ応答を遮断して不正DHCPサーバ攻撃を防ぎます。DAIはこのスヌーピングテーブルを使ってARPを検証します。
○ DHCPスヌーピング:正しい。DHCPスヌーピングはuntrustポートからの不正DHCPサーバ応答を遮断する。
✕ ダイナミックARPインスペクション(DAI):DAIはARPを検証する機能で、DHCP応答自体を遮断する機能ではないため誤り。
✕ BPDUガード:BPDUガードはSTPのBPDU受信時にポートを保護する機能でDHCPとは無関係のため誤り。
✕ ポートセキュリティ:ポートセキュリティはMACアドレス数を制御する機能でDHCP応答遮断ではないため誤り。
第14問 ・ CCNA / セキュリティ基礎

PortFast有効のアクセスポートにスイッチが接続されBPDUを受信した場合、ポートをerr-disabledにして無効化する機能はどれですか。

  1. ルートガード
  2. BPDUガード✓ 正解
  3. ループガード
  4. ストームコントロール
💡 BPDUガードはPortFastポートでBPDUを受信するとポートをerr-disabledにし、エンドデバイス用ポートへの不正なスイッチ接続やループを防ぎます。
✕ ルートガード:ルートガードは優位なBPDU受信時にroot不正昇格を防ぐ機能でerr-disable化が主目的ではないため誤り。
○ BPDUガード:正しい。BPDUガードはPortFastポートでBPDU受信時にポートをerr-disabledにする。
✕ ループガード:ループガードは単方向リンクで指定ポートが指定状態へ移るのを防ぐ機能で本問とは異なるため誤り。
✕ ストームコントロール:ストームコントロールはブロードキャスト等の過剰トラフィックを抑制する機能で誤り。
第15問 ・ CCNA / セキュリティ基礎

ネットワーク 172.16.8.0/22 全体に一致させるACLのワイルドカードマスクはどれですか。

  1. 0.0.1.255
  2. 0.0.3.255✓ 正解
  3. 0.0.7.255
  4. 0.0.255.255
💡 /22はサブネットマスク255.255.252.0。ワイルドカードはこれを反転した0.0.3.255で、172.16.8.0〜172.16.11.255の範囲に一致します。
✕ 0.0.1.255:0.0.1.255は/23相当で、/22の範囲全体には届かないため誤り。
○ 0.0.3.255:正しい。/22の255.255.252.0を反転した0.0.3.255が172.16.8.0/22全体に一致する。
✕ 0.0.7.255:0.0.7.255は/21相当で範囲が広すぎ、/22には一致しないため誤り。
✕ 0.0.255.255:0.0.255.255は/16相当でさらに広範囲となり/22には一致しないため誤り。
第16問 ・ CCNA / セキュリティ基礎

名前付きACLにおいて、明示的なpermit/denyのいずれにも一致しなかったトラフィックはどう扱われますか。

  1. すべて許可される
  2. 暗黙のdenyにより破棄される✓ 正解
  3. ログに記録された上で許可される
  4. 次のインターフェースへ転送される
💡 すべてのACLには末尾に暗黙のdeny anyが存在し、どのエントリにも一致しないトラフィックは破棄されます。
✕ すべて許可される:ACL末尾には暗黙のdenyがあり、すべて許可とはならないため誤り。
○ 暗黙のdenyにより破棄される:正しい。ACL末尾の暗黙のdeny anyにより、どのエントリにも一致しないトラフィックは破棄される。
✕ ログに記録された上で許可される:暗黙のdenyは破棄でありログ付き許可は行わないため誤り。
✕ 次のインターフェースへ転送される:一致しないトラフィックは破棄され、次インターフェースへ転送はされないため誤り。
第17問 ・ CCNA / セキュリティ基礎

WPA2-PersonalとWPA2-Enterpriseの主な違いとして正しいものはどれですか。

  1. Personalは802.1X/RADIUSで個別認証する
  2. Enterpriseは事前共有鍵(PSK)を全員で共有する
  3. Enterpriseは802.1X/EAPとRADIUSサーバでユーザ個別に認証する✓ 正解
  4. PersonalはAES、EnterpriseはTKIPを使う
💡 WPA2-Enterpriseは802.1X/EAPとRADIUSサーバを用いてユーザごとに認証します。Personalは共通の事前共有鍵(PSK)を使う方式です。
✕ Personalは802.1X/RADIUSで個別認証する:802.1X/RADIUSでの個別認証はEnterpriseの特徴で、Personalの説明としては誤り。
✕ Enterpriseは事前共有鍵(PSK)を全員で共有する:PSKを全員で共有するのはPersonalであり、Enterpriseの説明としては誤り。
○ Enterpriseは802.1X/EAPとRADIUSサーバでユーザ個別に認証する:正しい。WPA2-Enterpriseは802.1X/EAPとRADIUSサーバでユーザ個別に認証する。
✕ PersonalはAES、EnterpriseはTKIPを使う:WPA2は両方式ともAES(CCMP)を使い、暗号方式の違いではないため誤り。
第18問 ・ CCNA / セキュリティ基礎

IPsec VPNにおいて、暗号化に加えてデータの完全性とデータ発信元の認証を提供する機能の組み合わせとして適切なものはどれですか。

  1. 機密性のみ提供する
  2. 機密性・完全性・認証・アンチリプレイを提供する✓ 正解
  3. 可用性とルーティングを提供する
  4. 圧縮とQoSを提供する
💡 IPsecは暗号化による機密性、ハッシュによる完全性、ピア認証、シーケンス番号によるアンチリプレイ保護を提供します。
✕ 機密性のみ提供する:IPsecは機密性のみでなく完全性や認証も提供するため、機密性のみは誤り。
○ 機密性・完全性・認証・アンチリプレイを提供する:正しい。IPsecは機密性・完全性・ピア認証・アンチリプレイ保護を提供する。
✕ 可用性とルーティングを提供する:IPsecが可用性やルーティングを提供するわけではないため誤り。
✕ 圧縮とQoSを提供する:圧縮やQoSはIPsecの主機能ではないため誤り。
第19問 ・ CCNA / セキュリティ基礎 ・ コマンド問題
Switch(config-if)#

スイッチのアクセスポートで、許可する最大MACアドレス数を2に設定するコマンドはどれですか。

  1. switchport port-security maximum 2✓ 正解
  2. switchport port-security mac-address 2
  3. switchport port-security limit 2
  4. switchport security maximum 2
💡 switchport port-security maximum 2 でそのポートで学習・許可するMACアドレスの上限を2に設定します。違反時の動作は別途violationモードで指定します。
○ switchport port-security maximum 2:正しい。switchport port-security maximum 2でそのポートの許可MAC上限を2に設定する。
✕ switchport port-security mac-address 2:mac-addressは特定MACを静的登録する構文で、最大数の指定ではないため誤り。
✕ switchport port-security limit 2:limitというキーワードはport-securityの構文に存在しないため誤り。
✕ switchport security maximum 2:正しい構文はport-security maximumで、security maximumは構文不正のため誤り。
第20問 ・ CCNA / セキュリティ基礎

番号付き標準ACLで使用できる番号の範囲はどれですか。

  1. 1〜99(および1300〜1999)✓ 正解
  2. 100〜199(および2000〜2699)
  3. 200〜299
  4. 1〜199のすべて
💡 番号付き標準ACLは1〜99、拡張範囲として1300〜1999を使用します。100〜199(拡張範囲2000〜2699)は拡張ACLです。標準ACLは送信元IPのみで判定します。
○ 1〜99(および1300〜1999):標準ACLは1〜99(拡張範囲1300〜1999)を使うので正しい。
✕ 100〜199(および2000〜2699):100〜199(および2000〜2699)は拡張ACLの番号範囲なので誤り。
✕ 200〜299:200〜299はイーサネットタイプコード用ACLの範囲で、標準IP ACLではないので誤り。
✕ 1〜199のすべて:1〜199をすべて標準とするのは誤りで、100〜199は拡張ACLなので誤り。
第21問 ・ CCNA / セキュリティ基礎

拡張ACLが判定に使用できる要素の組み合わせとして正しいものはどれですか。

  1. 送信元IPのみ
  2. 送信元IP・宛先IP・プロトコル・ポート番号✓ 正解
  3. 宛先MACアドレスのみ
  4. VLAN番号と送信元IP
💡 拡張ACLは送信元/宛先IP、プロトコル(TCP/UDP/ICMP等)、ポート番号など複数の要素で細かく判定できます。送信元IPのみで判定するのは標準ACLです。
✕ 送信元IPのみ:送信元IPのみで判定するのは標準ACLなので誤り。
○ 送信元IP・宛先IP・プロトコル・ポート番号:拡張ACLは送信元/宛先IP・プロトコル・ポート番号で判定できるので正しい。
✕ 宛先MACアドレスのみ:宛先MACアドレスはL2情報で、IP拡張ACLの判定要素ではないので誤り。
✕ VLAN番号と送信元IP:VLAN番号は拡張ACLの判定要素ではないので誤り。
第22問 ・ CCNA / セキュリティ基礎

192.168.10.0/26 のネットワーク全体に一致させるACLのワイルドカードマスクはどれですか。

  1. 0.0.0.63✓ 正解
  2. 0.0.0.31
  3. 0.0.0.127
  4. 0.0.0.255
💡 /26はサブネットマスク255.255.255.192。ワイルドカードはサブネットマスクのビット反転で、255-192=63となり0.0.0.63です。これは下位6ビットを任意とし64アドレス分に一致します。
○ 0.0.0.63:/26のワイルドカードは255-192=63で0.0.0.63となるので正しい。
✕ 0.0.0.31:0.0.0.31は/27(32アドレス)に対応するワイルドカードなので誤り。
✕ 0.0.0.127:0.0.0.127は/25(128アドレス)に対応するワイルドカードなので誤り。
✕ 0.0.0.255:0.0.0.255は/24(256アドレス)に対応するワイルドカードなので誤り。
第23問 ・ CCNA / セキュリティ基礎

ACLで単一ホスト 10.1.1.5 だけに一致させたいとき、IPアドレスとワイルドカードマスクの正しい指定はどれですか。

  1. 10.1.1.5 0.0.0.255
  2. 10.1.1.5 0.0.0.0(または host 10.1.1.5)✓ 正解
  3. 10.1.1.5 255.255.255.255(または any)
  4. 10.1.1.0 0.0.0.0
💡 ワイルドカード0.0.0.0は全ビット一致を意味し、単一ホストに限定されます。これは host 10.1.1.5 と等価です。255.255.255.255(any)は全アドレスに一致します。
✕ 10.1.1.5 0.0.0.255:0.0.0.255は下位8ビットを任意とし、単一ホストではなく256アドレスに一致するので誤り。
○ 10.1.1.5 0.0.0.0(または host 10.1.1.5):0.0.0.0は全ビット一致で単一ホストに限定され、host 10.1.1.5 と等価なので正しい。
✕ 10.1.1.5 255.255.255.255(または any):255.255.255.255(any)は全アドレスに一致し、単一ホストの指定ではないので誤り。
✕ 10.1.1.0 0.0.0.0:10.1.1.0 0.0.0.0 はホスト.5ではなく.0に一致するため対象ホストが異なり誤り。
第24問 ・ CCNA / セキュリティ基礎

標準ACLを配置する際の原則として正しいものはどれですか。

  1. 送信元に最も近いインターフェースに配置する
  2. 宛先に最も近いインターフェースに配置する✓ 正解
  3. 必ずWAN側インターフェースのout方向に配置する
  4. 配置場所による違いはない
💡 標準ACLは送信元IPしか判定できないため、送信元近くに置くと意図しないトラフィックまで遮断する恐れがあります。よって宛先近くに配置するのが原則です。拡張ACLは送信元近くが原則です。
✕ 送信元に最も近いインターフェースに配置する:送信元近くに置くのは拡張ACLの原則で、標準ACLは送信元IPしか見られず誤った遮断を招くので誤り。
○ 宛先に最も近いインターフェースに配置する:標準ACLは送信元IPのみ判定するため宛先近くに配置するのが原則なので正しい。
✕ 必ずWAN側インターフェースのout方向に配置する:WAN側out方向に固定する決まりはなく、配置原則とは異なるので誤り。
✕ 配置場所による違いはない:配置場所により遮断範囲が変わるため違いはないとするのは誤り。
第25問 ・ CCNA / セキュリティ基礎

ACLの動作に関する説明として正しいものはどれですか。

  1. エントリは記述順に上から評価され、最初に一致した行で処理が確定する✓ 正解
  2. 最も具体的なエントリが自動的に最優先で評価される
  3. 末尾には暗黙のpermit anyが存在する
  4. 1つのインターフェースの同一方向に複数のACLを同時適用できる
💡 ACLはトップダウンで順に評価され、最初に一致した行のpermit/denyで処理が決まり以降は評価されません。末尾には暗黙のdeny anyがあり、同一インターフェースの同一方向には1つのACLしか適用できません。
○ エントリは記述順に上から評価され、最初に一致した行で処理が確定する:ACLは記述順に上から評価され最初の一致で確定するので正しい。
✕ 最も具体的なエントリが自動的に最優先で評価される:具体性で自動的に並べ替えられることはなく、記述順に評価されるので誤り。
✕ 末尾には暗黙のpermit anyが存在する:末尾にあるのは暗黙のpermitではなくdeny anyなので誤り。
✕ 1つのインターフェースの同一方向に複数のACLを同時適用できる:同一インターフェースの同一方向に適用できるACLは1つだけなので誤り。
第26問 ・ CCNA / セキュリティ基礎

ルータへのリモート管理アクセス(SSH/Telnet)を特定の送信元IPだけに制限する場合、ACLを適用すべき場所はどこですか。

  1. 物理インターフェースのin方向
  2. vty回線に access-class で適用する✓ 正解
  3. コンソール回線に access-group で適用する
  4. グローバルコンフィグで access-list だけ作れば自動適用される
💡 仮想端末(vty)回線への接続制限は、line vty モードで access-class <ACL> in を使って適用します。インターフェースの ip access-group とは適用先が異なります。
✕ 物理インターフェースのin方向:物理インターフェースのin方向は通過トラフィック用で、vtyへの管理アクセス制限の標準手法ではないので誤り。
○ vty回線に access-class で適用する:vty回線に access-class でACLを適用するのがリモート管理制限の正しい方法なので正しい。
✕ コンソール回線に access-group で適用する:コンソール回線は物理接続用でリモート管理制限の対象でなく、access-group も不適切なので誤り。
✕ グローバルコンフィグで access-list だけ作れば自動適用される:access-list を作るだけでは適用されず、回線やインターフェースへの適用が必要なので誤り。
第27問 ・ CCNA / セキュリティ基礎 ・ コマンド問題
Switch(config-if)#

ポートセキュリティで、接続中の端末のMACアドレスを動的に学習しrunning-configに保存するスティッキー学習を有効化するコマンドはどれですか。

  1. switchport port-security mac-address sticky✓ 正解
  2. switchport port-security mac-address dynamic
  3. switchport port-security sticky enable
  4. switchport port-security learn sticky
💡 switchport port-security mac-address sticky で、動的に学習したMACをスティッキーセキュアMACとしてrunning-configに記録します。保存すれば再起動後も維持されます。
○ switchport port-security mac-address sticky:switchport port-security mac-address sticky はスティッキー学習を有効化する正しいコマンドなので正しい。
✕ switchport port-security mac-address dynamic:dynamic というキーワードはこの構文になく、スティッキー保存は行えないので誤り。
✕ switchport port-security sticky enable:sticky enable という語順・構文はIOSに存在しないので誤り。
✕ switchport port-security learn sticky:learn sticky という構文はIOSに存在しないので誤り。
第28問 ・ CCNA / セキュリティ基礎

ポートセキュリティの違反モードが既定のshutdownで違反が発生し、ポートがerr-disabledになりました。手動で復旧させる正しい手順はどれですか。

  1. ポートで shutdown の後に no shutdown を実行する✓ 正解
  2. switchport port-security を再入力するだけでよい
  3. スイッチ全体を再起動するしか方法はない
  4. clear mac address-table を実行する
💡 shutdownモードの違反でerr-disabledになったポートは、インターフェースで shutdown→no shutdown を実行して手動復旧します(または errdisable recovery で自動復旧)。MACテーブルのクリアでは復旧しません。
○ ポートで shutdown の後に no shutdown を実行する:err-disabledポートは shutdown→no shutdown で手動復旧できるので正しい。
✕ switchport port-security を再入力するだけでよい:switchport port-security の再入力だけではerr-disabled状態は解除されないので誤り。
✕ スイッチ全体を再起動するしか方法はない:ポート単位の操作で復旧でき、スイッチ全体の再起動は不要なので誤り。
✕ clear mac address-table を実行する:clear mac address-table はMAC学習をクリアするだけでポートのerr-disabledは解除しないので誤り。
第29問 ・ CCNA / セキュリティ基礎

DHCPスヌーピングを有効にしたスイッチで、正規のDHCPサーバが接続されたポートやサーバへ向かう上位リンクのポートはどのように設定すべきですか。

  1. trust(信頼)ポートに設定する✓ 正解
  2. untrust(非信頼)ポートのままにする
  3. アクセスポートからトランクポートに変更する
  4. ポートセキュリティを無効化する
💡 DHCPスヌーピングでは、正規DHCPサーバ側のポートを ip dhcp snooping trust で信頼ポートにします。信頼ポートはDHCPサーバ応答(OFFER/ACK等)を許可し、既定の非信頼ポートではサーバ応答を遮断します。
○ trust(信頼)ポートに設定する:正規サーバ側ポートをtrustに設定するとサーバ応答が許可されるので正しい。
✕ untrust(非信頼)ポートのままにする:非信頼のままだと正規サーバの応答も遮断されてしまうので誤り。
✕ アクセスポートからトランクポートに変更する:ポートの動作モード変更はDHCPスヌーピングの信頼設定とは無関係なので誤り。
✕ ポートセキュリティを無効化する:ポートセキュリティの無効化はDHCPスヌーピングの信頼設定とは別の機能なので誤り。
第30問 ・ CCNA / セキュリティ基礎

ダイナミックARPインスペクション(DAI)が不正なARPを検査・判定する際に基準として参照する情報はどれですか。

  1. DHCPスヌーピングのバインディングテーブル✓ 正解
  2. STPのルートブリッジ情報
  3. OSPFのリンクステートデータベース
  4. CDPの隣接機器テーブル
💡 DAIはDHCPスヌーピングのバインディングテーブル(IPとMACの対応)を参照し、ARPのIP-MAC対応が正当かを検査します。よってDAIは通常DHCPスヌーピングと併用します。信頼ポートのARPは検査せず通過させます。
○ DHCPスヌーピングのバインディングテーブル:DAIはDHCPスヌーピングのバインディングテーブルを参照してARPの正当性を検査するので正しい。
✕ STPのルートブリッジ情報:STPのルートブリッジ情報はループ防止用でARP検査の基準ではないので誤り。
✕ OSPFのリンクステートデータベース:OSPFのリンクステートDBは経路計算用でARP検査には使われないので誤り。
✕ CDPの隣接機器テーブル:CDPの隣接機器テーブルは機器探索用でARP検査の基準ではないので誤り。
第31問 ・ CCNA / セキュリティ基礎

情報セキュリティのCIAのうち、許可された者だけが情報を参照でき第三者に漏れないことを保証する要素はどれですか。

  1. 機密性(Confidentiality)✓ 正解
  2. 完全性(Integrity)
  3. 可用性(Availability)
  4. 否認防止(Non-repudiation)
💡 CIAの機密性は、許可された者だけが情報にアクセスでき第三者へ漏えいしないことを保証します。完全性は改ざん防止、可用性は必要なときに使えること、否認防止はCIAの三要素には含まれません。
○ 機密性(Confidentiality):正解。機密性は許可された者だけが情報を参照でき、第三者への漏えいを防ぐことを保証する要素です。
✕ 完全性(Integrity):完全性はデータが改ざんされず正確であることを保証する要素で、参照可否の制限そのものではありません。
✕ 可用性(Availability):可用性は必要なときに情報やシステムを使えることを保証する要素で、機密保持の要素ではありません。
✕ 否認防止(Non-repudiation):否認防止は重要な概念ですが、CIAの三要素には含まれず、設問の機密性とも異なります。
第32問 ・ CCNA / セキュリティ基礎

「脅威(threat)」「脆弱性(vulnerability)」「エクスプロイト(exploit)」の関係として正しい説明はどれですか。

  1. 脆弱性はシステムの弱点、脅威はそれを突こうとする潜在的危険、エクスプロイトは脆弱性を実際に悪用する手段やコードである✓ 正解
  2. 脅威はシステムの弱点そのものを指し、脆弱性は攻撃者を指す
  3. エクスプロイトは弱点を修正するパッチのことである
  4. 脆弱性と脅威は同義で、どちらも攻撃の成功結果を指す
💡 脆弱性は弱点そのもの、脅威はその弱点が悪用され得る潜在的危険、エクスプロイトは脆弱性を実際に突く手段・コードを指します。緩和(mitigation)はそれらのリスクを低減する対策です。
○ 脆弱性はシステムの弱点、脅威はそれを突こうとする潜在的危険、エクスプロイトは脆弱性を実際に悪用する手段やコードである:正解。脆弱性は弱点、脅威はそれを突く潜在的危険、エクスプロイトは脆弱性を実際に悪用する手段やコードを指します。
✕ 脅威はシステムの弱点そのものを指し、脆弱性は攻撃者を指す:脅威は弱点そのものではなく弱点を突こうとする潜在的危険であり、脆弱性は攻撃者ではないので誤りです。
✕ エクスプロイトは弱点を修正するパッチのことである:エクスプロイトは弱点を悪用する手段であり、修正パッチではないので誤りです。
✕ 脆弱性と脅威は同義で、どちらも攻撃の成功結果を指す:脆弱性と脅威は別の概念であり、どちらも攻撃の成功結果を指すわけではないので誤りです。
第33問 ・ CCNA / セキュリティ基礎

攻撃者が通信経路の途中に割り込み、両者になりすまして通信を傍受・改ざんする攻撃はどれですか。

  1. 中間者(MITM)攻撃✓ 正解
  2. DoS攻撃
  3. ブルートフォース攻撃
  4. フィッシング
💡 中間者(Man-in-the-Middle)攻撃は通信の途中に割り込み、双方になりすまして傍受・改ざんを行います。ARPスプーフィングや不正DHCPがその手段となり、DAIやDHCPスヌーピングで緩和できます。
○ 中間者(MITM)攻撃:正解。MITM攻撃は通信経路の途中に割り込み、双方になりすまして傍受・改ざんを行う攻撃です。
✕ DoS攻撃:DoS攻撃はサービスを過負荷などで停止させる攻撃で、通信への割り込み・傍受とは異なります。
✕ ブルートフォース攻撃:ブルートフォース攻撃は総当たりで認証情報を破る攻撃で、経路への割り込みではありません。
✕ フィッシング:フィッシングは偽サイト等で情報を詐取する手口で、経路途中での傍受・改ざんとは異なります。
第34問 ・ CCNA / セキュリティ基礎

多数の乗っ取り端末から一斉に大量のトラフィックを送り、対象のサービスを停止させる攻撃はどれですか。

  1. DDoS攻撃✓ 正解
  2. ARPスプーフィング
  3. ソーシャルエンジニアリング
  4. 辞書攻撃
💡 DDoS(分散型サービス妨害)攻撃は多数のボット化端末から一斉に大量トラフィックを送り、対象を過負荷で停止させます。単一の発信元から行うのがDoSです。
○ DDoS攻撃:正解。DDoS攻撃は多数の乗っ取り端末から一斉に大量トラフィックを送り、対象を過負荷で停止させる攻撃です。
✕ ARPスプーフィング:ARPスプーフィングは偽ARPでMAC対応を偽る攻撃で、大量トラフィックによる停止攻撃ではありません。
✕ ソーシャルエンジニアリング:ソーシャルエンジニアリングは人をだまして情報を引き出す手口で、トラフィック攻撃ではありません。
✕ 辞書攻撃:辞書攻撃はよくあるパスワードを試す認証突破手法で、サービス停止を狙う攻撃ではありません。
第35問 ・ CCNA / セキュリティ基礎

人の心理的な隙や信頼につけ込み、なりすまし電話や偽メールで認証情報などを聞き出す攻撃の総称はどれですか。

  1. ソーシャルエンジニアリング✓ 正解
  2. SYNフラッド
  3. IPスプーフィング
  4. リフレクション攻撃
💡 ソーシャルエンジニアリングは技術ではなく人の心理や信頼につけ込み、なりすましや偽装で情報を聞き出す攻撃の総称です。フィッシングやプリテキスティングもこれに含まれ、教育で緩和します。
○ ソーシャルエンジニアリング:正解。ソーシャルエンジニアリングは人の心理や信頼につけ込み、なりすましや偽装で情報を聞き出す攻撃の総称です。
✕ SYNフラッド:SYNフラッドはTCPの半開接続を大量生成するDoS手法で、人をだます攻撃ではありません。
✕ IPスプーフィング:IPスプーフィングは送信元IPを偽装する技術的手法で、人の心理を突く攻撃ではありません。
✕ リフレクション攻撃:リフレクション攻撃は第三者サーバに応答を反射させるDoS手法で、人をだます攻撃ではありません。
第36問 ・ CCNA / セキュリティ基礎

AAAのうち「認可(Authorization)」が担う役割として正しいものはどれですか。

  1. 認証されたユーザが実行できる操作やアクセスできる範囲を制御する✓ 正解
  2. ユーザが本人であることを確認する
  3. ユーザの操作履歴やアクセス時間を記録する
  4. 通信内容を暗号化する
💡 認可(Authorization)は、認証済みユーザがどのコマンドやリソースを利用できるかという権限・範囲を制御します。本人確認は認証、操作記録はアカウンティングです。
○ 認証されたユーザが実行できる操作やアクセスできる範囲を制御する:正解。認可は認証済みユーザが実行できる操作やアクセス範囲を制御する役割を担います。
✕ ユーザが本人であることを確認する:本人であることの確認は認証(Authentication)の役割で、認可ではありません。
✕ ユーザの操作履歴やアクセス時間を記録する:操作履歴やアクセス時間の記録はアカウンティング(Accounting)の役割で、認可ではありません。
✕ 通信内容を暗号化する:通信内容の暗号化はAAAの認可の役割ではなく、別のセキュリティ機能です。
第37問 ・ CCNA / セキュリティ基礎

RADIUSの特徴として正しいものはどれですか。

  1. トランスポートにUDPを使い、認証と認可が一体化していてパスワードのみを暗号化する✓ 正解
  2. トランスポートにTCP49を使い、パケット全体を暗号化する
  3. 認証・認可・アカウンティングを分離し、コマンド単位の認可ができる
  4. シスコ独自プロトコルで、他社機器とは相互接続できない
💡 RADIUSはUDP(1812/1813等)を使い、認証と認可が一体化、パケット中はパスワードのみを暗号化します。TCP49・全体暗号化・認可分離・コマンド単位認可はTACACS+の特徴です。
○ トランスポートにUDPを使い、認証と認可が一体化していてパスワードのみを暗号化する:正解。RADIUSはUDPを使い、認証と認可が一体化し、パケット中はパスワードのみを暗号化します。
✕ トランスポートにTCP49を使い、パケット全体を暗号化する:TCP49を使いパケット全体を暗号化するのはTACACS+の特徴で、RADIUSではありません。
✕ 認証・認可・アカウンティングを分離し、コマンド単位の認可ができる:認証・認可・アカウンティングを分離しコマンド単位認可ができるのはTACACS+で、RADIUSではありません。
✕ シスコ独自プロトコルで、他社機器とは相互接続できない:RADIUSは標準プロトコルで多くのベンダ機器と相互接続でき、シスコ独自ではありません。
第38問 ・ CCNA / セキュリティ基礎 ・ コマンド問題
Switch(config-line)#

VTYラインでローカルに設定したユーザ名とパスワードを使ってログイン認証させ、リモートアクセスをSSHのみに限定する設定の組み合わせとして適切なものはどれですか。

  1. login local と transport input ssh✓ 正解
  2. login と transport input telnet
  3. no login と transport input all
  4. password cisco と transport input none
💡 login local はローカルのusername/passwordでVTY認証を行わせ、transport input ssh は当該ラインへの接続をSSHのみに限定します。Telnetの平文を避けるための堅牢化の定番です。
○ login local と transport input ssh:正解。login local でローカルユーザ認証を行わせ、transport input ssh で接続をSSHのみに限定します。
✕ login と transport input telnet:login(単体)はlineのpasswordを使う認証で、transport input telnet は平文のTelnetを許可するため不適切です。
✕ no login と transport input all:no login は認証を無効化してしまい、transport input all はTelnetも許可するため堅牢化になりません。
✕ password cisco と transport input none:password cisco だけではユーザ名認証にならず、transport input none は全リモート接続を不可にするため目的に合いません。
第39問 ・ CCNA / セキュリティ基礎

拠点間を常時接続し、両拠点のゲートウェイ間でIPsecトンネルを張って複数ユーザの通信をまとめて保護するVPN形態はどれですか。

  1. サイト間(site-to-site)VPN✓ 正解
  2. リモートアクセスVPN
  3. クライアントレスSSL VPN
  4. GREトンネル単体
💡 サイト間VPNは拠点のゲートウェイ同士でIPsecトンネルを張り、配下の複数ユーザの通信をまとめて保護します。個々の端末がクライアントで接続するのはリモートアクセスVPNです。
○ サイト間(site-to-site)VPN:正解。サイト間VPNは拠点のゲートウェイ間でIPsecトンネルを張り、複数ユーザの通信をまとめて保護します。
✕ リモートアクセスVPN:リモートアクセスVPNは個々の端末がクライアントで接続する形態で、拠点間の常時接続とは異なります。
✕ クライアントレスSSL VPN:クライアントレスSSL VPNはブラウザ経由の個別アクセス向けで、拠点ゲートウェイ間の接続ではありません。
✕ GREトンネル単体:GREトンネル単体はカプセル化のみで暗号化・認証を提供せず、IPsecによる保護とは異なります。
第40問 ・ CCNA / セキュリティ基礎

GREトンネルとIPsecの違いとして正しい説明はどれですか。

  1. GREはカプセル化でマルチプロトコルやマルチキャストを運べるが暗号化はせず、IPsecは機密性・完全性・認証を提供する✓ 正解
  2. GREは通信を暗号化するが、IPsecはカプセル化のみで暗号化しない
  3. どちらも暗号化を必須とし、機能差はない
  4. GREはマルチキャストを運べず、IPsecはマルチプロトコルを暗号化なしで運ぶ
💡 GREは任意のプロトコルやマルチキャストをカプセル化して運べますが暗号化はしません。IPsecは機密性・完全性・認証を提供しますがユニキャストIPが基本です。両者を組み合わせるGRE over IPsecが定番です。
○ GREはカプセル化でマルチプロトコルやマルチキャストを運べるが暗号化はせず、IPsecは機密性・完全性・認証を提供する:正解。GREはカプセル化でマルチプロトコル/マルチキャストを運べるが暗号化せず、IPsecは機密性・完全性・認証を提供します。
✕ GREは通信を暗号化するが、IPsecはカプセル化のみで暗号化しない:GREは暗号化を行わず、IPsecはカプセル化に加え暗号化を提供するため、説明が逆で誤りです。
✕ どちらも暗号化を必須とし、機能差はない:GREは暗号化せずIPsecは暗号化するという明確な機能差があり、差がないとするのは誤りです。
✕ GREはマルチキャストを運べず、IPsecはマルチプロトコルを暗号化なしで運ぶ:マルチキャストを運べるのはGREであり、IPsecがマルチプロトコルを暗号化なしで運ぶという説明も誤りです。
第41問 ・ CCNA / セキュリティ基礎

WPA3-Personalで、WPA2-Personalの事前共有鍵(PSK)方式を置き換え、オフライン辞書攻撃への耐性を高めた認証方式はどれですか。

  1. SAE(Simultaneous Authentication of Equals)✓ 正解
  2. WEPのRC4
  3. TKIP
  4. 802.1X/EAP
💡 WPA3-PersonalはSAE(同等性同時認証、Dragonfly)を用いてPSKを置き換え、捕捉したハンドシェイクからのオフライン辞書攻撃を困難にします。802.1X/EAPはEnterpriseで使う認証サーバ連携方式です。
○ SAE(Simultaneous Authentication of Equals):正解。WPA3-PersonalはSAEを用いてPSKを置き換え、オフライン辞書攻撃への耐性を高めています。
✕ WEPのRC4:WEPのRC4は古く脆弱な暗号で、WPA3の強化された認証方式ではありません。
✕ TKIP:TKIPはWPA時代の暗号方式で脆弱性があり、WPA3で採用された方式ではありません。
✕ 802.1X/EAP:802.1X/EAPはWPA3-Enterpriseで認証サーバと連携する方式で、PersonalのPSK置き換えであるSAEとは異なります。
第42問 ・ CCNA / セキュリティ基礎 ・ コマンド問題
Router(config)#

特権EXECモードのパスワードを、暗号化して保存される形で cisco に設定するコマンドはどれですか。

  1. enable secret cisco✓ 正解
  2. enable password cisco
  3. secret enable cisco
  4. password enable cisco
💡 enable secret はハッシュ化されて保存され、平文の enable password より安全です。両方設定時は secret が優先されます。
○ enable secret cisco:enable secret cisco は特権パスワードをハッシュ化して保存する正しい安全なコマンドです。
✕ enable password cisco:enable password cisco は平文保存となり、secretより安全性が劣ります。
✕ secret enable cisco:secret enable cisco は語順が不正で、有効なIOSコマンドではありません。
✕ password enable cisco:password enable cisco は語順が不正で、有効なIOSコマンドではありません。
▶ この分野をクイズ形式で解く

CCNA の他の分野