CCIE Security( ) 試験概要 :CCIE Security バージョン 5.0 試験は筆記試験と実技試験の内容を 1 つのカリキュラムにまとめそれぞれの試験で対象となるドメインや各領域の相対的な比重を明確に示しています Cisco CCIE Security の筆記試

(1)

CCIE Security（400-251）

試験概要：

CCIESecurity バージョン 5.0 試験は、筆記試験と実技試験の内容を 1 つのカリキュラムにまとめ、それぞれの試験で対象となるドメインや、各領域の相対的な比重を明確に示しています。

Cisco CCIE Security の筆記試験（400-251）バージョン 5.0 は 2 時間の試験で、問題数は 90 ～ 110 問で

す。この試験では、複雑なセキュリティ_{テクノロジーおよびソリューションの説明、設計、導入、運用、トラ}

ブルシューティングに必要な専門知識を備えたプロフェッショナルであることを認定します。この試験の受

験者には、ネットワーク_{セキュリティの要件やさまざまなコンポーネントの相互運用方法を理解し、セキュ}

リティ要件を満たすようにデバイスを適切に構成できることが求められます。試験は参考書持ち込み不可であり、いかなる外部の参考資料の使用も認められません。

Cisco CCIE Security ラボ試験バージョン 5.0 は 8 時間に及ぶ実技試験です。所定の仕様と複雑なセキュ

リティ_{シナリオに基づき、計画、設計、導入、運用、トラブルシューティングを行うことが求められます。ト} ラブルシューティング能力は重要なスキルであり、この_{CCIE ラボ試験では、問題を診断して解決する能} 力も求められます。次に、この試験の一般的な出題内容を示します。ただし、試験によっては、ここに示されていない関連項目も出題される場合があります。試験内容をより適切に反映し、明確にするために、次のガイドラインは予告なく変更されることがあります。ドメイン番号_ドメイン 筆記試験の割合（_%） ラボ試験の割合（_%） 1.0 境界セキュリティと侵入防御 ₂₁ ₂₃ 2.0 高度な脅威からの保護とコンテンツ_{セキュリティ} ₁₇ ₁₉ 3.0 セキュアな接続とセグメンテーション ₁₇ ₁₉ 4.0 アイデンティティ管理、情報交換、アクセス制御 ₂₂ ₂₄ 5.0 インフラストラクチャのセキュリティ、仮想化、自動化 ₁₃ ₁₅ 6.0 進化するテクノロジー ₁₀ 対象外合計（_%） ₁₀₀ ₁₀₀ 1.0 境界セキュリティと侵入防御

1.1 Cisco ASA および Cisco FirePOWER Threat Defense（FTD）の HA 機能の説明、導入、トラブルシューティング

1.2 Cisco ASA および Cisco FTD のクラスタリングの説明、導入、トラブルシューティング 1.3 Cisco ASA および Cisco FTD のルーティングプロトコルの説明、導入、トラブルシューティン

(2)

1.4 Cisco ASA および Cisco FTD のさまざまな導入モード（ルーテッド、トランスペアレント、シングル、マルチコンテキストなど）の説明、導入、トラブルシューティング

1.5 Cisco ASA および Cisco FTD のファイアウォール機能（NAT（v4、v6）、PAT、アプリケーション

インスペクション、トラフィック_{ゾーン、ポリシーベースルーティング、サービスモジュール}

へのトラフィック_{リダイレクト、アイデンティティファイアウォールなど）の説明、導入、トラ}

ブルシューティング

1.6 Cisco IOS/IOS-XE の IOS セキュリティ機能（ゾーンベースファイアウォール（ZBF）、アプリケーション層インスペクション、_{NAT（v4、v6）、PAT、TCP インターセプトなど）の説明、導} 入、トラブルシューティング

1.7 Cisco ASA、Cisco FirePOWER、Cisco FTD のトラフィック制御のポリシーとルールの説明、導入、最適化、トラブルシューティング

1.8 Cisco FirePOWER Management Center（FMC）機能（アラート、ロギング、レポーティングなど）の説明、導入、トラブルシューティング

1.9 Cisco FMC の相関および修復ルールの説明、導入、トラブルシューティング

1.10 Cisco FirePOWER および Cisco FTD 導入モード（インライン、パッシブ、TAP モードなど）の説明、導入、トラブルシューティング 1.11 ⁪次世代ファイアウォール（NGFW）機能（SSL インスペクション、ユーザアイデンティティ、地理位置情報、_{AVC（FirePOWER アプライアンス）など）の説明、導入、トラブルシューティング} 1.12 一般的なタイプの攻撃（DoS/DDoS、検出回避技法、スプーフィング、中間者攻撃、ボットネットなど）の説明、検出、緩和 2.0 高度な脅威からの保護とコンテンツ_{セキュリティ} 2.1 さまざまな_{AMP（高度なマルウェア防御）ソリューション（パブリックおよびプライベートク} ラウド導入モデルを含む）の比較対照

2.2 ネットワーク向け_{AMP、エンドポイント向け AMP、コンテンツセキュリティ向け AMP}

（_{CWS、ESA、WSA）の説明、導入、トラブルシューティング}

2.3 マルウェア_{インシデントの検出、分析、緩和}

2.4 AMP Threat Grid が提供する脅威インテリジェンスのメリットの説明

2.5 Wireshark、tcpdump、SPAN、RSPAN を使用したパケットキャプチャと分析の実行 2.6 Web フィルタリング、ユーザ識別、Application Visibility and Control（AVC）の説明、導入、

トラブルシューティング 2.7 ESA の電子メールポリシー、DLP、電子メール検疫、SenderBase の説明、導入、トラブルシューティング 2.8 ESA の SMTP 認証（SPF、DKIM など）の説明、導入、トラブルシューティング 2.9 ESA の SMTP 暗号化の説明、導入、トラブルシューティング 2.10 ESA のさまざまな LDAP クエリタイプの比較対照 2.11 WCCP リダイレクトの説明、導入、トラブルシューティング 2.12 さまざまなプロキシ手法（SOCKS、Auto プロキシ/WPAD、トランスペアレントなど）の比較対照 2.13 HTTPS 復号と DLP の説明、導入、トラブルシューティング

2.14 Cisco IOS ルータ、Cisco ASA、Cisco AnyConnect、WSA の CWS コネクタの説明、導入、トラブルシューティング

2.15 OpenDNS ソリューションの活用によるセキュリティ面のメリットの説明

2.16 コンテンツセキュリティを一元管理する SMA の説明、導入、トラブルシューティング 2.17 Lancope の活用によるセキュリティメリットの説明

(3)

3.0 セキュアな接続とセグメンテーション 3.1 暗号化およびハッシュ_{アルゴリズム（AES、DES、3DES、ECC、SHA、MD5 など）の比較対照} 3.2 セキュリティ_{プロトコル（ISAKMP/IKEv1、IKEv2、SSL、TLS/DTLS、ESP、AH、SAP、MKA）の比} 較対照 3.3 FlexVPN、SSL-VPN などのテクノロジーを使用したシスコファイアウォール、ルータ、エンドホスト間のリモート_{アクセス VPN の説明、導入、トラブルシューティング} 3.4 VPN 認証用 Cisco IOS CA の説明、導入、トラブルシューティング

3.5 Cisco ASA および Cisco FTD の DAP およびスマートトンネルを使用したクライアントレス SSL VPN テクノロジーの説明、導入、トラブルシューティング 3.6 GETVPN、DMVPN、IPsec などのサイト間 VPN の説明、導入、トラブルシューティング 3.7 アップリンクおよびダウンリンクの_{MACsec（802.1AE）の説明、導入、トラブルシューティング} 3.8 Cisco ASA VPN クラスタリングおよびデュアルハブ DMVPN を使用した VPN 高可用性の説明、導入、トラブルシューティング 3.9 暗号化プロトコル（_{AES、DES、3DES、ECC、SHA、MD5、ISAKMP/IKEv1、IKEv2、SSL、} TLS/DTLS、ESP、AH、SAP、MKA、RSA、SCEP/EST、GDOI、X.509、WPA、WPA2、WEP、TKIP など）の機能とセキュリティへの影響の説明 3.10 ネットワークのセグメンテーションと分離のセキュリティ面でのメリットの説明 3.11 VRF-Lite および VRF-Aware VPN の説明、導入、トラブルシューティング 3.12 SGT および SXP を使用した TrustSec のマイクロセグメンテーションの説明、導入、トラブルシューティング 3.13 インフラストラクチャのセグメンテーション手法（VLAN、PVLAN、GRE など）の説明、導入、トラブルシューティング 3.14 仮想環境の保護に使用される Cisco VSG の機能の説明 3.15 ACI、EVPN、VXLAN、NVGRE を使用したデータセンターセグメンテーションのセキュリティ面でのメリットの説明 4.0 アイデンティティ管理、情報交換、アクセス制御 4.1 複数のノード展開時の_{ISE のさまざまなペルソナの説明、導入、トラブルシューティング} 4.2 ネットワーク_{アクセスデバイス（NAD）、ISE、ACS の AAA 設定の説明、導入、トラブル} シューティング

4.3 ISE および ACS を使用したシスコネットワークデバイスへの管理アクセス用の AAA の説

明、導入、トラブルシューティング

4.4 ISE を使用した 802.1X および MAB によるネットワークアクセス用の AAA の説明、導入、検証、トラブルシューティング 4.5 AAA サーバとして ISE を使用したカットスループロキシ/認証プロキシの説明、導入、検証、トラブルシューティング 4.6 ISE およびシスコネットワークインフラストラクチャを使用したゲストライフサイクル管理の説明、導入、検証、トラブルシューティング 4.7 内部または外部の_{CA を使用した BYOD オンボーディングおよびネットワークアクセスフ} ローの説明、導入、検証、トラブルシューティング

4.8 ISE および ACS と、LDAP、AD、外部 RADIUS などの外部アイデンティティソースとの統合の説明、導入、検証、トラブルシューティング

4.9 ISE および ACS と、RADIUS Token、RSA SecurID、SAML などの外部アイデンティティソースとの統合の説明

(4)

4.10 ISE および ASA での AnyConnect のプロビジョニングの説明、導入、検証、トラブルシューティング 4.11 ISE でのポスチャアセスメントの説明、導入、検証、トラブルシューティング 4.12 ISE とシスコネットワークインフラストラクチャ（デバイスセンサーを含む）を使用したエンドポイント_{プロファイリングの説明、導入、検証、トラブルシューティング} 4.13 ISE と MDM の統合の説明、導入、検証、トラブルシューティング 4.14 ISE を使用した証明書ベース認証の説明、導入、検証、トラブルシューティング 4.15 認証方式（EAP チェーニング、マシンアクセス制限（MAR）など）の説明、導入、検証、トラブルシューティング 4.16 AAA プロトコル（RADIUS、TACACS+、LDAP/LDAPS、EAP（EAP-PEAP、EAP-TLS、EAP-TTLS、 EAP-FAST、EAP-TEAP、EAP- MD5、EAP-GTC）、PAP、CHAP、MS-CHAPv2 など）の機能とセキュリティへの影響の説明 4.17 ASA、ISE、WSA、FirePOWER のアイデンティティマッピングの説明、導入、トラブルシューティング 4.18 セキュリティデバイス（WSA、ISE、Cisco FMC など）間の pxGrid の説明、導入、トラブルシューティング 5.0 インフラストラクチャのセキュリティ、仮想化、自動化

5.1 一般的な攻撃（_{Smurf、VLAN ホッピング、SYNful Knock など）とその緩和技法の特定}

5.2 デバイス強化技法とコントロール_{プレーン保護手法（CoPP、IP ソースルーティングなど）} の説明、導入、トラブルシューティング 5.3 管理プレーン保護技法（_{CPU およびメモリのしきい値設定、デバイスアクセスの保護な} ど）の説明、導入、トラブルシューティング 5.4 データ_{プレーン保護技法（iACLs、uRPF、QoS、RTBH など）の説明、導入、トラブルシュー} ティング 5.5 IPv4/v6 ルーティングプロトコルのセキュリティの説明、導入、トラブルシューティング 5.6 レイヤ_{2 セキュリティ技法（DAI、IPDT、STP セキュリティ、ポートセキュリティ、DHCP ス} ヌーピング、_{VACL など）の説明、導入、トラブルシューティング} 5.7 ワイヤレス_{セキュリティテクノロジー（WPA、WPA2、TKIP、AES など）の説明、導入、トラブ} ルシューティング

5.8 ワイヤレス_{セキュリティの概念（FLEX Connect、wIPS、ANCHOR、不正 AP、管理フレーム} 保護（_{MFP）など）の説明} 5.9 モニタリング_{プロトコル（NETFLOW/IPFIX、SNMP、SYSLOG、RMON、NSEL、eSTREAMER な} ど）の説明、導入、トラブルシューティング 5.10 アプリケーションプロトコル（SSH、TELNET、TFTP、HTTP/HTTPS、SCP、SFTP/FTP、PGP、 DNS/DNSSEC、NTP、DHCP など）の機能とセキュリティへの影響の説明 5.11 ネットワークプロトコル（VTP、802.1Q、TCP/UDP、CDP、LACP/PAgP、BGP、EIGRP、 OSPF/OSPFv3、RIP/RIPng、IGMP/CGMP、PIM、IPv6、WCCP など）の機能とセキュリティへの影響の説明 5.12 ASAv、WSAv、ESAv、NGIPSv を使用したデータセンターセキュリティ機能仮想化のメリットの説明 5.13 ACI のセキュリティの原則（オブジェクトモデル、エンドポイントグループ、ポリシーの適用、アプリケーション_{ネットワークプロファイル、契約など）の説明} 5.14 APIC-EM などの SDN コントローラのノースバウンドおよびサウスバウンド API の説明

(5)

5.15 組織のセキュリティポリシー、手順、標準（BCP 38、ISO 27001、RFC 2827、PCI-DSS など）に従うためのセキュリティ機能の特定と導入

5.16 Cisco SAFE に記述されているネットワーク内のさまざまな場所（キャンパス、データセンター、コア、エッジ）に対する主要な脅威の説明と特定

5.17 ネットワーク_{セキュリティ設計が Cisco SAFE の推奨プラクティスを遵守していることの検証} 5.18 Python などのスクリプト言語の RESTful API コールを使用してデータを取得および送信で

きる基本スクリプトの解釈

5.19 Cisco Digital Network Architecture（DNA）の原則とコンポーネントの説明

6.0 進化するテクノロジー 6.1 クラウド 6.1.a クラウド導入モデルの比較対照 6.1.a.1 インフラストラクチャ、プラットフォーム、ソフトウェアサービス（XaaS） 6.1.a.2 パフォーマンスおよび信頼性 6.1.a.3 セキュリティおよびプライバシー 6.1.a.4 拡張性および相互運用性 6.1.b クラウドの導入および運用に関する説明 6.1.b.1 自動化およびオーケストレーション 6.1.b.2 ワークロードモビリティ 6.1.b.3 トラブルシューティングおよび管理 6.1.b.4 OpenStack コンポーネント 6.2 ネットワーク_{プログラマビリティ（SDN）} 6.2.a ネットワークプログラマビリティ（SDN）の各機能要素およびその相互作用の説明 6.2.a.1 コントローラ 6.2.a.2 API 6.2.a.3 スクリプティング 6.2.a.4 エージェント 6.2.a.5 サウスバウンドプロトコルとノースバウンドプロトコル 6.2.b ネットワーク環境における仮想化と自動化についての説明 6.2.b.1 DevOps の方法論、ツール、ワークフロー 6.2.b.2 ネットワーク/アプリケーション機能の仮想化（NFV、AFV） 6.2.b.3 サービス機能のチェーニング 6.2.b.4 パフォーマンス、可用性、拡張性に関する考慮事項 6.3 Internet of Things（IoT）

6.3.a Internet of Things のアーキテクチャフレームワークと導入に関する考慮事項の説明 6.3.a.1 パフォーマンス、信頼性、拡張性 6.3.a.2 モビリティ 6.3.a.3 セキュリティおよびプライバシー 6.3.a.4 標準およびコンプライアンス 6.3.a.5 移行 6.3.a.6 ネットワークへの環境面の影響