以下は、令和元年度秋期 SC 午後Ⅰ「問2」設問2（対策の検討）の狙い→考え方→根拠→最終答案の順での詳解です。最後に字面そのままの公式解も添えます。

(1) 署名検証に使う証明書は？

狙い
「正規“実行ファイル”かどうか」を署名で見極めるなら、どの証明書かを問う基礎。図4の方針は「ディジタル署名が付与されていない実行ファイルからの通信をEDRで遮断」→「④署名を検証すれば正規実行ファイルか否かを判定できる」でした。

考え方

答案：エ（コードサイニング証明書）。

(2) プロキシ認証情報の窃取“に使えない”攻撃は？

狙い
表3の「⑤プロキシ認証情報の窃取」への現実的手口の識別。選択肢はオートコンプリート窃取、キーロガー、偽認証フォーム、総当たり、ゴールデンチケット、盗聴など。

考え方

答案：ウ（ゴールデンチケットの窃取）。

狙い
DNS経由C&Cの“構造”をFWで折る設計感覚。ポイントは外向きDNSをDMZに集約すること。

考え方

既設の表1には 「項番3：全て→インターネット：DNS 許可」 があり、ここが外向きDNSの抜け道。ルールは項番の小さい順で最初一致が適用なので、この一本をDMZ限定に置き換えれば、PC等からの直外DNSが潰れる（=パブリックDNS L 経由のC&Cが困難）。
DNS型C&Cの前提（パブリックDNS経由）とも整合。

答案：

変更すべき項番：3
変更後ルール：送信元 DMZ／宛先 インターネット／サービス DNS／動作許可（= “全て→” を DMZ→ に限定）。

狙い
DNS経由C&Cの流れ（権威・フルリゾルバ・再帰問い合わせ）を言葉で正確に。表3の説明は「攻撃者が攻撃用ドメインを用意→マルウェアが（c）へ（d）を送る→（c）がC&Cサーバに…」という筋。

考え方

攻撃者側は攻撃用ドメインの権威DNSをC&C側に用意。
マルウェアはフルサービスリゾルバ（ここでは“外部DNSサーバ”やパブリックDNS）へ再帰的クエリを投げる。外部DNSが権威に辿り着いて解決。外部DNS=フルリゾルバであることは本文注記にも明記。

答案：b：権威DNSサーバ／c：外部DNSサーバ／d：再帰的クエリ。

狙い
DNSトンネリングの“振る舞い”IOCの代表例。表3の記述は「長いホスト名」「特定ドメインへのクエリ急増」など。

考え方
データを分割しラベルにエンコードするため、特定ドメイン宛の問合せが多数発生する。

答案：e：特定のドメインに対する多数のDNSクエリの発生。

(1) エ／(2) ウ／(3) 項番3 → DMZ, インターネット, DNS, 許可／(4) b 権威DNSサーバ・c 外部DNSサーバ・d 再帰的クエリ／(5) e 特定のドメインに対する多数のDNSクエリの発生。

(3)は**「全て→インターネット：DNS 許可」を“DMZ限定”に置換する一手で、結果的にPC等の直外向きDNSを抑止**できます（他の外向きDNSは既存の下位ルールや既定拒否で落ちる前提）。
(4)のc=外部DNSは“フルサービスリゾルバ”の働きを指しており、本文の注記と用語が一致します。