Securing Cisco Network Devices 642-552 SND は、Cisco Certified Security Professional、Cisco Firewall Specialist、Cisco IPS Specialist、および Cisco VPN Specialist 認定資格に関連する試験です。受験者は、受験準備として Securing Cisco Network Devices v2.0（SND）コースを受講できます。この試験では、シスコのルータとスイッチ、および関連するネットワークの保護に関する知識が問われます。出題範囲には、最近のネットワーク インフラストラクチャが直面しているセキュリティの脅威、シスコ ルータの保護、基本的な AAA の実装、ACL を使用したルータとネットワークの脅威の抑制、安全な管理とレポートの実装、一般的なレイヤ2攻撃の抑制、Cisco Security Device Manager を使用した Cisco IOS ファイアウォール機能、Cisco IOS IPS 機能、および IPSec VPN 機能の実装が含まれます。

次に、この試験の一般的な出題内容を示します。ただし、試験によっては、ここに示されていない関連分野も出題される場合があります。試験内容をより正しく反映した明確な内容にするために、下記のガイドラインは予告なく変更される場合があります。

最近のネットワーク インフラストラクチャが直面しているセキュリティの脅威の説明

• 物理的な装置に対する一般的な脅威の説明と抑制
• 一般的なネットワーク攻撃に対する抑制方法の説明と提示
• ワーム、ウイルス、トロイの木馬攻撃の抑制方法の説明と提示
• 安全なネットワーク ライフサイクルの各フェーズにおける主なアクティビティの説明
• 包括的なセキュリティ ポリシーを使用して一般的な企業のセキュリティ ニーズを満たす方法の説明
• シスコ自己防衛型ネットワーク アーキテクチャの説明

シスコ ルータの保護

• SDM セキュリティ監査機能を使用したシスコ ルータの保護
• シスコ ルータを保護するための SDM のワンステップ ロックダウン機能の使用
• 強力な暗号化パスワード、exec タイムアウト、ログイン失敗率の設定と IOS ログイン拡張機能の使用による、シスコ ルータへの管理アクセスの保護
• 複数の権限レベルの設定によるシスコ ルータへの管理アクセスの保護
• ロール ベース CLI の設定によるシスコ ルータへの管理アクセスの保護
• Cisco IOS イメージとコンフィギュレーション ファイルの保護

シスコ ルータを使用した基本的な AAA の実装

• AAA の機能および重要性の説明
• TACACS+ および RADIUS AAA プロトコルの機能の説明
• ルータ（パケット モード）によるアクセス、およびルータ（キャラクタ モード）へのアクセスの提供に使用される認証方法の説明

ACL を使用したシスコ ルータとネットワークに対する脅威の抑制

• パケットをフィルタリングするためにルータで使用される標準、拡張、および名前付き IP ACL の機能の説明
• CLI を使用したネットワーク内の特定の脅威を抑制（Telnet、SNMP、および DDoS 攻撃を目的とした IP トラフィックをフィルタリング）するための IP ACL の設定と検証
• CLI を使用した IP アドレス スプーフィングを回避するための IP ACL の設定
• ACL の作成時に考慮する注意事項の説明

安全なネットワーク管理とレポートの実装

• ネットワーク デバイスの安全な管理とレポートを計画する際に考慮する要因の説明
• 安全な管理アクセスを有効にするための、CLI を使用したシスコ ルータ上の SSH の設定
• Syslog サーバに Syslog メッセージを送信するための、CLI を使用したシスコ ルータの設定
• SNMPv3 および NTPv3 の説明

一般的なレイヤ2攻撃の抑制

• 一般的なレイヤ2攻撃（VLAN ホッピング、STP 攻撃、ARP スプーフィング、MAC スプーフィング、CAM オーバーフロー）とその抑制方法の説明
• Cisco Catalyst スイッチのセキュリティ機能（IBNS、PVLAN、SPAN ポート）の各機能と利点の説明
• WLAN に対する一般的な脅威の説明
• 802.11 プロトコルのセキュリティ機能の説明

SDM を使用した Cisco IOS ファイアウォール フィーチャ セットの実装

• さまざまなファイアウォール テクノロジーの運用上の利点と弱点の説明
• ステートフル ファイアウォールの動作とステート テーブルの機能の説明
• ファイアウォールに実装できる NAT のタイプの説明
• SDM を使用したシスコ ルータでの基本ファイアウォールと高度なファイアウォールの設定および検証

SDM を使用した Cisco IOS IPS フィーチャ セットの実装

• ネットワーク ベースとホスト ベースの侵入検知および侵入防御の定義
• IPS テクノロジー、攻撃への対応、およびモニタリング オプションの説明
• SDM を使用した Cisco IOS IPS の動作の有効化と検証

SDM を使用したシスコ ルータでの IPSec VPN の実装

• IKE プロトコルの機能とフェーズの説明
• IPSec の基本要素および IPSec が提供するセキュリティ機能の説明
• Hash-based Message Authentication Code（HMAC）の動作の説明
• さまざまな暗号化方法の説明
• Diffie-Hellman キー合意プロトコルの目的の説明
• IPSec が発信元認証を設定する方法の説明
• 高レベルでの PKI 環境の説明
• さまざまなタイプの IPSec VPN 実装の説明
• SDM を使用した事前共有キー認証による IPSec サイト間 VPN の設定と検証
• Cisco Easy VPN Server および Cisco Easy VPN Remote の説明
• Cisco SDM の Cisco Easy VPN Server 機能を使用したリモート アクセス VPN の設定と検証

この試験の推奨トレーニングは、Securing Cisco Network Devices（SND）（英語）です。

上記のコースは、シスコ認定ラーニング パートナーが提供しているシスコの IT トレーニング コースで、指導はすべてシスコ認定インストラクターによって行われます。お近くのシスコ ラーニング パートナーについては、パートナー一覧を参照してください。

この試験に関する資料として、各種の Cisco Press を利用することができます。これらの資料は、Cisco Marketplace Bookstore（英語）にて購入することができます。

• CNSS 4011 Training Standard（英語）