当サイトではお客さまにより良いサービスを提供するためにCookie(クッキー)を利用しています。
Cookieの利用に同意いただける場合は「同意する」ボタンをクリックしてください。
Cookieの利用に関する詳細は「Cookie(クッキー)ポリシー」から確認いただけます。
同意する

LinuCレベル3 セキュリティスペシャリストLinuC-3SS Version 1.0

このエントリーをはてなブックマークに追加

LinuCレベル3 セキュリティスペシャリスト 3SS試験 出題範囲

出題範囲のそれぞれの項目には、重要度として重み付けがなされています。重要度の範囲は概ね1~10であり、それぞれの主題の相対的な重要性を示しています。重要度が高い主題ほど、試験において多くの問題が出題されます。

1. アクセスおよび権限制御の強化

1.1. Linux Access Control Lists によるアクセス制御
重要度 3
概要
  • Linux Access Control Lists (ACLs) を基本概念を理解し、詳細なアクセス制御を実現できる。
  • ACLs 環境での動作差異を理解し、適切な運用管理ができる。
詳細
  • ACLs の基本概念を理解している。
    • ACL Entry、Default ACL
  • ファイル共有における POSIX ACL の実装差異を理解している。
    • NFSv4、Samba
  • ACLs によるファイル・ディレクトリ操作ができる。
    • getfacl、setfacl
  • アクセス制御に関連する拡張属性の操作ができる。
    • getfattr、setfattr
  • ACLs の設定を考慮したコマンドの利用ができる。
    • ls、cp、mv、rsync、tar
1.2. SELinux による強制アクセス制御
重要度 3
概要
  • SELinux の基本概念を理解し、動作モードを管理できる。
  • SELinux を通じた強制アクセス制御を実装できる。
詳細
  • SELinux の基本概念を理解している。
    • 動作モード: enforcing、permissive、disabled
    • ポリシータイプ: targeted、minimum、mls
  • SELinux の設定と管理ができる。
    • コマンド: getenforce、setenforce、sestatus
    • 設定ファイル: /etc/selinux/config
    • カーネルパラメータ管理ツール: grubby
  • SELinux 環境での Linux コマンド操作ができる。
    • ps、ls、mv、tar
  • アクセス制御ルールを理解している。
    • allow、auditallow、dontaudit
  • コンテキストの管理ができる。
    • seinfo、semanage、restorecon、chcon
  • ポリシーの設定と運用ができる。
    • カスタムポリシー作成: audit2allow
    • ブール値管理: getsebool、setsebool
    • ログ解析: audit.log、type=AVC
1.3. AppArmor による強制アクセス制御
重要度 3
概要
  • AppArmor の基本概念を理解し、動作モードを管理できる。
  • AppArmor を通じた強制アクセス制御を実装できる。
詳細
  • AppArmor の基本概念を理解している。
    • 動作モード: enforce、complain、disable
  • AppArmor プロファイルの管理ができる。
    • プロファイル生成: aa-genprof
    • プロファイル適用: apparmor_parser
    • デバッグモード: aa-complain
  • AppArmor によるアクセス制御設定ができる。
    • 制御対象: ファイルシステム、ネットワーク、実行権限、Capabilities
  • AppArmor の運用管理ができる。
    • ログ解析: aa-logprof
    • プロファイル検証: apparmor_parser
1.4. システムコールの制御
重要度 3
概要
  • seccomp と eBPF の基本概念を理解している。
  • システムコール制御方法を理解し、監視・デバッグができる。
詳細
  • seccomp の基本概念を理解している。
    • 動作モード: SECCOMP_MODE_DISABLED、SECCOMP_MODE_STRICT、SECCOMP_MODE_FILTER
    • 制限方式: システムコール制限
  • eBPF の基本概念を理解している。
    • プログラム構造: BPF プログラム
    • 用途: モニタリング、トレーシング、セキュリティ
  • systemd によるシステムコール制御ができる。
    • 設定パラメータ: SystemCallFilter、SystemCallErrorNumber、SystemCallArchitectures
  • システムコール制御の運用管理ができる。
    • デバッグツール: seccomp-tools
    • eBPF 監視: システムコールの監視・検出
1.5. Linux Capabilities による権限制御
重要度 3
概要
  • Linux Capabilities の基本概念を理解し、主要な Capabilities の種類と用途を把握している。
  • Linux Capabilities を活用して、最小権限の原則に基づいたセキュアなシステムを実現できる。
詳細
  • Linux Capabilities の基本概念を理解している。
    • 既存のアクセス制御方式 (パーミッション、ACL) との差異
    • ケーパビリティセット
  • 主な Capabilities の種類と用途を理解している。
    • システム管理: CAP_SYS_ADMIN、CAP_SYS_TIME、CAP_SYS_BOOT、CAP_SYS_MODULE、CAP_SYS_NICE
    • ネットワーク: CAP_NET_ADMIN、CAP_NET_RAW、CAP_NET_BIND_SERVICE
    • ファイルアクセス: CAP_DAC_OVERRIDE
  • 管理コマンドを用いて Capabilities の設定と確認ができる。
    • setcap、getcap、capsh
  • systemd のユニットファイルで Capabilities の制御ができる。
    • 設定パラメータ: CapabilityBoundingSet、AmbientCapabilities、NoNewPrivileges

2. システム保護と監査

2.1. カーネルセキュリティとシステムリソース保護
重要度 3
概要
  • カーネルパラメータやASLRを活用して、システムレベルでのセキュリティ強化設定ができる。
  • システムリソース制限と分離技術を理解し、要件に応じて選択・適用できる。
詳細
  • Address Space Layout Randomization (ASLR) の目的と動作概念を理解している。
  • カーネルパラメータによるセキュリティ設定ができる。
    • ネットワーク: net.ipv4.conf.all.accept_redirects、net.ipv4.conf.all.send_redirects、net.ipv4.icmp_echo_ignore_all
    • メモリ保護: kernel.randomize_va_space、kernel.kptr_restrict、kernel.yama.ptrace_scope
    • システム制御: kernel.sysrq
  • システムリソースの制限ができる。
    • 設定ファイル: /etc/security/limits.conf
  • リソース分離技術を利用できる。
    • namespace: unshare、nsenter
    • cgroup: cgcreate、cgset、cgclassify、cgdelete
    • ファイルシステム分離: chroot、pivot_root
2.2. パケットフィルタリングの実装
重要度 3
概要
  • nftables の基本概念を理解し、パケットフィルタリング設定ができる。
  • ログ出力、パケットトレース、統計情報確認を活用した運用管理とトラブルシューティングができる。
詳細
  • nftables の基本概念を理解している。
    • 構成要素: table、chain、rule
    • プロトコルファミリー: inet、ip、ip6、arp、bridge
    • チェインタイプ: filter、nat、route
  • パケットフィルタリングの設定ができる。
    • 設定ファイル: /etc/nftables.conf
    • 管理コマンド: nft
  • パケットフィルタリングの運用管理ができる。
    • 動作確認: ログ出力設定、パケットトレース
    • トラブルシューティング: ルールデバッグ、統計情報確認
2.3. 暗号化ファイルシステム
重要度 3
概要
  • ブロックレベル暗号化の基本概念を理解し、cryptsetup による暗号化を実施できる。
  • ファイルレベル暗号化の基本概念を理解し、fscrypt による暗号化を実施できる。
詳細
  • 暗号化ファイルシステムの基本概念を理解している。
    • ブロックレベル暗号化、ファイルレベル暗号化
  • cryptsetup によるブロックレベル暗号化ができる。
    • フォーマット: LUKS1、LUKS2
    • 基本操作: フォーマット、オープン、クローズ、削除
    • キー管理: キースロット操作、パスフレーズ変更、キーファイル管理
  • 暗号化ファイルシステムの自動マウント設定ができる。
    • 設定ファイル: /etc/crypttab、/etc/fstab
  • fscrypt によるファイルレベル暗号化ができる。
    • 管理ツール: fscrypt
    • 運用操作: ファイルシステム暗号化有効化、ディレクトリ暗号化設定、暗号化ポリシー管理
2.4. Linux システムのセキュリティ監査
重要度 3
概要
  • auditd の基本概念を理解を理解し、監査ルールの管理ができる。
  • auditd を活用して、システムの変更や不正アクセスを検出できる。
詳細
  • auditd の基本概念を理解している。
    • カーネル監査サブシステムの活用
    • システム変更の追跡、アクセス監視機能
  • auditd の設定ができる。
    • 設定ファイル: /etc/audit/auditd.conf
    • ログ管理: log_file、max_log_file、max_log_file_action
  • 監査ルールの管理ができる。
    • 監査対象: システムコール、ファイルシステム、ネットワーク、ユーザアクティビティ
    • 永続設定: augenrules、/etc/audit/rules.d/*.rules
    • 一時設定: auditctl
  • 監査ログの分析ができる。
    • レポート生成: aureport
    • ログ検索: ausearch
  • 監査ログを利用したトラブルシューティングができる。

3. 堅牢なコンテナ設計

3.1. コンテナのアクセス制御と権限制御
重要度 2
概要
  • コンテナセキュリティの基本的な原則を理解している。
  • コンテナのセキュリティを強化するために、適切なアクセス制御と権限制御を実装できる。
詳細
  • コンテナセキュリティの基本的な原則を理解している。
    • リソースアクセス制限、権限分離、非特権ユーザーの利用
  • コンテナのアクセス制御ができる。
    • ファイルシステム、ネットワーク、実行権限、Capabilities
  • コンテナに対する強制アクセス制御を設定できる。
    • seccomp、AppArmor、SELinux
3.2. Rootless モード
重要度 2
概要
  • Docker の Rootless モードの基本概念を理解している。
  • systemd によるユーザーサービス管理を通じた Rootless Docker の運用ができる。
詳細
  • Rootless モードの基本概念を理解している。
    • User namespace による権限分離
  • Rootless モードの設定ができる。
    • UID/GID マッピング: newuidmap、newgidmap
    • 設定ファイル: /etc/subuid、/etc/subgid
    • 環境変数: XDG_RUNTIME_DIR
  • systemd による Rootless モードの Docker 管理ができる。
    • ユーザーサービス: systemctl --user、loginctl enable-linger
  • Rootless モードでのトラブルシューティングができる。

4. セキュアプロトコルによる各種機能の実装

4.1. Let's Encrypt による証明書管理
重要度 2
概要
  • Let's Encrypt の目的と構成を理解し、SSL/TLS 証明書を取得できる。
  • certbot を用いた証明書管理と自動更新を実装できる。
詳細
  • Let's Encrypt の構成を理解している。
    • プロトコル: ACME
    • 証明書タイプ: ドメイン認証型 (DV)
    • 制約事項: 有効期限、利用制限
  • certbot による証明書管理ができる。
    • 対象 Web サーバー: nginx、apache
    • 認証方式: HTTP-01、DNS-01
  • Let's Encrypt の運用管理ができる。
    • 自動更新: Cron、Timer unit file
    • ログファイル: letsencrypt.log
  • Let's Encrypt のトラブルシューティングができる。
4.2 Web サーバーのセキュリティ強化
重要度 3
概要
  • SSL/TLS 証明書の構成とプロトコルを理解し、openssl コマンドで動作確認ができる。
  • HTTP/3 設定とセキュリティヘッダーを活用した Web サーバーのセキュリティ強化を実装できる。
詳細
  • SSL/TLS 証明書の構成を理解している。
    • 証明書の種類: EV、DV、OV
    • 証明書チェーン構造: ルート証明書、中間証明書、エンドエンティティ証明書
  • SSL/TLS プロトコルの構成を理解している。
    • プロトコルバージョン: TLS 1.2、TLS 1.3
    • 暗号スイート: 鍵交換、認証、暗号化、メッセージ認証
    • ハンドシェイク: クライアント認証、サーバー認証、セッション確立
  • openssl コマンドを利用して SSL/TLS の動作確認ができる。
    • 証明書確認、プロトコルバージョン接続
  • HTTP/3 の設定ができる。
    • nginx
  • セキュリティヘッダーの設定ができる。
    • 通信セキュリティ: Strict-Transport-Security (HSTS)
    • コンテンツ保護: Content-Security-Policy (CSP)、X-Frame-Options、X-Content-Type-Options
    • プライバシー保護: Referrer-Policy
4.3. DNS over TLS/HTTPS
重要度 2
概要
  • DNS over HTTPS (DoH) の基本概念を理解している。
  • DNS over TLS(DoT)の基本概念を理解し、DNS 通信の機密性を強化できる。
詳細
  • DoT の基本概念を理解している。
    • セキュリティ機能: DNS クエリの盗聴・改ざん防止
    • 実装レベル: リゾルバ層での実装
  • DoH の基本概念を理解している。
    • プロトコル: HTTPS
    • セキュリティ機能: DNS クエリの盗聴・改ざん防止
    • 実装レベル: アプリケーション層での実装
  • BIND に DoT 設定ができる。
    • 設定要素: 証明書、秘密鍵、DoT リスナー
    • 設定ファイル: named.conf、named.conf.options
4.4. DNSSEC
重要度 2
概要
  • DNSSEC の基本概念と主要レコードを理解している。
  • DNSSEC を活用して、DNS の整合性と信頼性を確保できる。
詳細
  • DNSSEC の基本概念を理解している。
    • セキュリティ技術: 公開鍵暗号とデジタル署名
    • 脅威対策: キャッシュポイズニング防止
  • DNS リソースレコードの種類と役割を理解している。
    • 基本レコード: DS、DNSKEY、RRSIG
    • 否定応答レコード: NSEC、NSEC3、NSEC3PARAM
    • DANE 関連レコード: TLSA
  • DNSSEC 鍵管理・署名操作ができる。
    • 管理コマンド: dnssec-keygen、dnssec-settime、dnssec-signzone、dnssec-dsfromkey、dnssec-verify
  • BIND による DNSSEC 設定ができる。
    • 設定項目: トラストアンカー、ゾーン転送、自動署名
    • 設定ファイル: named.conf、named.conf.options
  • DNSSEC の確認・診断ができる。
    • 確認・診断ツール: dig、delv、rndc
4.5. メールセキュリティ
重要度 2
概要
  • SPF、DKIM、DMARC の基本概念と動作原理を理解し、メールのなりすまし対策を実装できる。
  • メール通信の暗号化の基本概念を理解し、要件に応じて選択できる。
詳細
  • なりすましメールを検出する各手法の動作原理を理解している。
    • SPF: 送信元検証
    • DKIM: 内容署名
    • DMARC: ポリシー適用と報告
  • BIND によるメールセキュリティ設定ができる。
    • DNS レコード設定: SPF、DKIM、DMARC
  • メール通信の暗号化設定の種類と役割を理解している。
    • 暗黙的TLS: SMTPS、IMAPS
    • 明示的TLS: STARTTLS

5. 認証・認可

5.1. PAM による認証制御
重要度 2
概要
  • 各種 PAM モジュールの役割と設定方法を理解している。
  • セキュリティ要件に応じて適切な PAM モジュールを選択し、設定できる。
詳細
  • PAM の設定構造を理解している。
    • service type、control、module-path、module-arguments
  • PAM モジュールによる認証制御ができる。
    • アクセス制御: pam_access、pam_securetty、pam_localuser
    • 認証制御: pam_faillock、pam_deny、pam_permit、pam_faildelay、pam_succeed_if、pam_nologin、pam_pwquality
    • 監査・ログ: pam_tty_audit
    • 環境・セッション管理: pam_env.so、pam_systemd.so、pam_keyinit.so
5.2. FreeIPA による統合認証
重要度 3
概要
  • FreeIPA の基本概念と主要コンポーネントを理解している。
  • FreeIPA を使用して統合認証を実装し、ユーザー管理とアクセス制御を一元管理できる。
詳細
  • FreeIPA の基本概念を理解している。
    • 管理機能: アイデンティティ、ポリシー、監査の統合管理
    • 対象要素: ユーザー・グループ・認証・認可・監査の中央集約管理
  • FreeIPA のアーキテクチャおよび主要コンポーネントを理解している。
    • LDAP、Kerberos、Dogtag Certificate System、NTP、DNS、SSSD、certmonger
  • LDAP の暗号方式の違いを理解し、選択できる。
    • 暗黙的TLS: LDAPS
    • 明示的TLS: STARTTLS
  • FreeIPA インフラの構築ができる。
    • 構築コマンド: ipa-server-install、ipa-client-install
  • ipa コマンドによる管理ができる。
    • 基本管理: DNS・証明書、ユーザー・グループ、セキュリティ、サーバー管理
  • ipa コマンドによる外部システム連携ができる。
    • AD 連携: AD 信頼関係確立、ID 範囲調整、グループマッピング
5.3. Keycloak による認証認可
重要度 3
概要
  • アクセス制御方式とシングルサインオンの基本概念を理解している。
  • Keycloak の主要機能を理解し、認証・認可を実装できる。
詳細
  • アクセス制御方式の種類と特徴を理解している。
    • 強制アクセス制御 (MAC)、ロールベースアクセス制御 (RBAC)、属性ベースアクセス制御 (ABAC)
  • シングルサインオンの実装方式を理解している。
    • フェデレーション系: OAuth、OpenID Connect、SAML
    • プロキシ系: リバースプロキシ方式、代理認証方式
  • Keycloak の主要機能を理解している。
    • IAM ソリューション、SSO・MFA 提供、複数認証方式対応
  • Keycloak によるレルムとクライアント管理ができる。
    • レルム設定、クライアントアプリケーション登録、プロトコル設定
  • Keycloak によるアクセス制御実装ができる。
    • RBAC、ABAC、ポリシー定義
  • Keycloak による外部システム連携ができる。
    • LDAP/Active Directory 連携、SAML/OIDC プロバイダー連携
  • Keycloak による多要素認証設定ができる。
    • OTP 認証、WebAuthn

6. インシデントの検知・防止

6.1. ネットワークセキュリティ
重要度 4
概要
  • Wireshark、tcpdump によりトラフィックをキャプチャし、詳細解析を実施できる。
  • Suricata を用いてネットワークトラフィックの監視、不正検知と防止を実施できる。
  • ModSecurity を利用し、Web アプリケーションの攻撃を検出・ブロックできる。
詳細
  • ネットワークセキュリティ対策とその有効範囲の対応付けができる。
    • DoS/DDoS 攻撃の検出・防止
    • マルウェア通信の検出・防止
    • Web アプリケーション攻撃の検出・防止
  • Wireshark/tcpdump によるパケット解析ができる。
    • ネットワークトラフィックキャプチャ、パケット解析、フィルタリング、表示
  • Suricata/Snort によるネットワーク侵入検知・防止の仕組みと主要機能を理解している。
    • NIDS/NIPS によるルールベース検知
  • ModSecurity による Web アプリケーション保護の動作の仕組みを理解している。
    • Apache/Nginx モジュールによるルールベース制御
6.2. ホストセキュリティ
重要度 3
概要
  • AIDE を使用してファイルシステムのスナップショットを作成し、改ざんを検出できる。
  • YARA により、システム内の不審なファイルや不審なプロセスを検出できる。
  • ClamAV を利用してマルウェアの検出と除去を実施できる。
詳細
  • ホストセキュリティ対策手法とその有効範囲の対応付けができる。
    • ファイル改ざん検出
    • 不審ファイル/プロセス検出
    • マルウェア検出・除去・隔離
  • AIDE によるファイル改ざん検出の仕組みと主要機能を理解している。
    • スナップショット作成による変更監視
  • YARA によるマルウェア・不審ファイル検出の仕組みと主要機能を理解している。
    • 提供されるルールの内容把握、適用
    • 不審ファイル/プロセス検出の実施
  • ClamAV によるマルウェア対策の仕組みと主要機能を理解している。
    • シグネチャの設定・管理
    • ファイルスキャン、マルウェア除去・隔離の実行
6.3. セキュリティ診断
重要度 3
概要
  • OpenSCAP (ComplianceAsCode) を用いたコンプライアンス評価を実施できる。
  • GVM、ZAP および Trivy を用いて、脆弱性診断を実施できる。
詳細
  • 脆弱性診断の種類とその有効範囲の対応付けができる。
    • 診断対象: ネットワーク・システム、コンテナイメージ、Web アプリケーション
  • SCAP の基本概念を理解している。
    • 脆弱性情報の標準化
    • 構成要素: OVAL、XCCDF、CVE、CPE、CVSS
  • OpenSCAP (ComplianceAsCode) によるコンプライアンス評価の仕組みと主要機能を理解している。
    • SCAP の構成要素の理解
    • セキュリティ評価とチェック
  • GVM によるネットワーク・システム診断の仕組みと主要機能を理解している。
    • 脆弱性スキャンの実行
    • レポート生成と評価
  • Trivy によるコンテナイメージ診断の仕組みと主要機能を理解している。
    • 脆弱性スキャンの実行
    • 修正情報の把握
  • ZAP による Web アプリケーション脆弱性診断の仕組みと主要機能を理解している。
    • アクティブスキャン、パッシブスキャンの実行
    • 診断結果の評価
  • コンプライアンスチェックを実施し、結果を評価できる。
ページトップへ