--- title: LPIC3_303_Study tags: author: [smile_yukiko_it](https://www.docswell.com/user/smile_yukiko_it) site: [Docswell](https://www.docswell.com/) thumbnail: https://bcdn.docswell.com/page/L71YYY8KJG.jpg?width=480 description: LPIC3_303_Study by smile_yukiko_it published: April 30, 26 canonical: https://www.docswell.com/s/smile_yukiko_it/5N7LEV-2026-04-30-063227 --- # Page. 1 ![Page Image](https://bcdn.docswell.com/page/L71YYY8KJG.jpg) LPIC-3 303 セキュリティ 試験対策 文系エンジニアのための図解スライド 問題数 試験時間 合格ライン 受験料 60問 90分 500点 19,800円 偏差値方式 (200〜800点) # Page. 2 ![Page Image](https://bcdn.docswell.com/page/G7WGGGZPE2.jpg) 試験範囲マップ — 5つの課題 331 332 暗号化 ホストセキュリティ 34問 / 重量 18 334 333 Access Control 26問 / 重量 13 335 ネットワークセキュリテ ィ 34問 / 重量 17 脅威と脆弱性評価 10問 / 重量 5 偏差値方式のため、難問を正解するほど得点が大きい。苦手分野の集中学習が合格への近道! 16問 / 重量 8 # Page. 3 ![Page Image](https://bcdn.docswell.com/page/4JZLLL16E3.jpg) 課題 331 — 暗号化 (重量18 / 34問) 331.1 X.509証明書 / PKI 証明書のライフサイクル・信頼の連鎖(trust chain) CA作成・CSR発行・証明書失効(CRL, OCSP) ツール: openssl, CFSSL, Let's Encrypt/certbot 331.3 暗号化ファイルシステム LUKS + dm-crypt でブロックデバイス暗号化 eCryptfs でファイル単位の暗号化 (PAM連携) Clevis / Tang / NBDE でNetwork Bound Disk Encryption 331.2 TLS/SSL & Apache SSL/TLSプロトコルバージョン・暗号スイートの理解 mod_ssl で HTTPS・SNI・HSTS 設定 OCSP Stapling / クライアント証明書認証 331.4 DNS + 暗号化 (DNSSEC) KSK・ZSK・DS・DNSKEY・RRSIG・NSEC/NSEC3 BINDでDNSSECゾーン管理・キーロールオーバー DANE, CAA, TSIG, DNS over TLS/HTTPS # Page. 4 ![Page Image](https://bcdn.docswell.com/page/YE6WWWLLEV.jpg) 課題 332 — ホストセキュリティ (重量13 / 26問) 332.1 ホストハーデニング ▸ GRUB2のパスワード保護・セキュアブート ▸ 不要サービス無効化 (systemctl) ▸ ASLR / DEP / Exec-Shield 設定 ▸ USBGuard でUSBホワイトリスト管理 ▸ SSH CA証明書でホスト認証 ▸ systemdユニットでプロセス隔離 (PrivateTmp, NoNewPrivileges等) ▸ capsh / setcap でケーパビリティ制御 ▸ Meltdown / Spectre 緩和策の知識 332.2 ホスト侵入検知 ▸ auditd / auditctl — Linuxカーネル監査 ▸ rkhunter / chkrootkit — ルートキット検出 ▸ AIDE — ファイル整合性チェック ▸ maldet — マルウェア検出 ▸ rpm -V / dpkg -V — パッケージ検証 332.3 リソース制御 ▸ ulimit / /etc/security/limits.conf プロセスの最大ファイル数・メモリ制限 ▸ cgroups — CPU/メモリ/IOのグループ管理 ▸ systemd スライス — リソースの階層管理 ▸ systemd-cgls / systemd-cgtop cgroupツリーとリソース使用状況の確認 # Page. 5 ![Page Image](https://bcdn.docswell.com/page/GE5MMM1ME4.jpg) 課題 333 — Access Control (重量8 / 16問) アクセス制御の2大概念 DAC (任意アクセス制御) MAC (強制アクセス制御) Discretionary Access Control Mandatory Access Control ▸ ファイル所有者が権限を決める ▸ 通常のユーザー権限・グループ ▸ SetUID / SetGID ビット ▸ OS / ポリシーが権限を決める ▸ ユーザーが変更できない強制ルール ACL (アクセス制御リスト): getfacl / setfacl コマンド 特定ユーザーへの細かい権限付与 拡張属性: getfattr / setfattr コマンド security / trusted 等の属性クラス SELinux: getenforce / setenforce sestatus / semanage restorecon / chcon audit2allow / audit2why Type Enforcement, RBAC, MLS AppArmor: プロファイルベースの制御 Smack: シンプルなラベルベース制御 # Page. 6 ![Page Image](https://bcdn.docswell.com/page/9729991RJR.jpg) 課題 334 — ネットワークセキュリティ (重量17 / 34問) 334.1 ネットワークハーデニング ▸ FreeRADIUS: ネットワーク認証サーバ ▸ Wireshark / tcpdump: パケット解析 ▸ Kismet: 無線LANトラフィック分析 ▸ 不正RA / DHCPメッセージ対策 ▸ aircrack-ng / bettercap の知識 334.3 パケットフィルタリング ▸ iptables / ip6tables: IPv4/IPv6フィルタ ▸ ipset: IPセットでルールを効率化 ▸ conntrack: コネクション追跡・NAT ▸ nftables / ebtables の知識 334.2 ネットワーク侵入検知 ▸ ntop: 帯域利用モニタリング ▸ Snort: IDSルール管理 (pulledpork) ▸ OpenVAS / OpenSCAP: 脆弱性スキャン ▸ NASL: OpenVAS用スクリプト言語 334.4 VPN ▸ OpenVPN: TLSベースVPN設定 ▸ IPsec + strongSwan (IKEv2): サイト間VPN ▸ WireGuard: 軽量・高速なモダンVPN ▸ wg / swanctl コマンド # Page. 7 ![Page Image](https://bcdn.docswell.com/page/DJY444Z57M.jpg) 課題 335 — 脅威と脆弱性評価 (重量5 / 10問) マルウェア ウイルス・トロイの木馬 ルートキット・キーロガー サービス妨害攻撃 分散型サービス妨害 インジェクション ARPスプーフィング NDPフォージェリ ブルートフォース XSS / CSRF クロスサイトスクリプティン グ クロスサイトリクエストフォ ージェリ 中間者攻撃 (MitM) DoS / DDoS SQLインジェクション コードインジェクション 不正AP / DHCP レインボーテーブル攻撃 辞書攻撃・パスワード解析 ソーシャル工学 偽のアクセスポイント 不正ルータアドバタイズ フィッシング詐欺 プリテキスティング 335.2 ペネトレーションテストのフェーズ nmap / Metasploit / Kali Linux / Armitage / SET ①情報収集 ②列挙 ③アクセス取得 ④権限昇格 ⑤アクセス維持 ⑥痕跡消去 # Page. 8 ![Page Image](https://bcdn.docswell.com/page/V7NYYY34E8.jpg) 重要コマンド早見表 暗号化 (openssl) DNS / DNSSEC (BIND) openssl genrsa -out key.pem 4096 openssl req -new -key key.pem -out csr.pem openssl x509 -req -in csr.pem -CA ca.crt ... cryptsetup luksFormat /dev/sdb cryptsetup luksOpen /dev/sdb myDisk dnssec-keygen -a RSASHA256 -b 2048 example.com dnssec-signzone -K /keys -o example.com db.example rndc reload / rndc sign example.com dig @ns1 example.com DNSKEY +dnssec delv @ns1 example.com +rtrace SELinux 管理 ファイアウォール (iptables) getenforce / setenforce Enforcing sestatus -v getsebool -a | grep httpd audit2allow -M mypol < /var/log/audit.log restorecon -Rv /var/www/html iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -t nat -A POSTROUTING -j MASQUERADE ipset create myset hash:ip iptables-save > /etc/iptables/rules.v4 nftables: nft list ruleset # Page. 9 ![Page Image](https://bcdn.docswell.com/page/YJ9PPP9473.jpg) 試験攻略のコツ & 合格戦略 偏差値方式を理解する 易しい問題ばかり正解しても500点に 届かない。難問(マニアックな設定フ ァイル・コマンドオプション)を正解 することが合格の鍵。 苦手分野を集中対策 331(暗号化)・334(ネットワーク)が各34 問と最大。この2分野を重点的に学習 するだけで合格ラインに大きく近づく 。 2回目は別問題 再受験しても同じ問題は出ない。一発 合格を目指して全範囲をしっかり学習 する。受験料19,800円の重さを意識! 時間切れの心配は不要 難解な長文問題はない。知識があるか どうかを問う問題形式。90分で60問は 十分な時間。 語句入力問題に注意 選択肢がない「入力問題」はスペルミ スが命取り。コマンド名・設定ファイ ルパスは完全に暗記しておく。 設定ファイルも必須 /etc/selinux/ /etc/openvpn/ /etc/strongswan/ などのパスを丸暗記。 コマンドだけでなく設定ファイルも問 われる。 # Page. 10 ![Page Image](https://bcdn.docswell.com/page/GJ8DDD9VJD.jpg) 合格への道のり 1 → 全5分野の概要を把握 (このスライドで完了!) 2 → 分野別に問題を解く 苦手分野を洗い出す 3 → コマンド・設定ファイル を ハンズオンで体験 4 模擬試験を繰り返して 偏差値500点以上を確認 試験範囲は広いが、出題パターンは決まっている 重要ツール・コマンド・設定ファイルの「意味と使い方」を理解すれば一発合格できる!