[2025年04月02日] 信頼され続けるPCNSE日本語試験のコツがあるPDF試験材料
2025年最新のPCNSE日本語テスト解説(更新されたのは840問があります)
質問 # 220
エンジニアは SSL 復号化の実装を計画しています
次のステートメントのうち、SSL 復号化のベスト プラクティスはどれですか?
- A. 公的に信頼されたルート CA から、前方信頼証明書用の証明書を取得します。
- B. 前方信頼証明書のエンタープライズ CA 署名付き証明書を取得します。
- C. ネットワーク内のすべてのファイアウォールで同じ前方信頼証明書を使用します。
- D. Forward Untrust 証明書にエンタープライズ CA 署名付き証明書を使用します。
正解:B
解説:
Explanation
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/decryption/configure-ssl-forward-proxy (Best Practice) Enterprise CA-signed Certificates-An enterprise CA can issue a signing certificate that the firewall can use to sign the certificates for sites which require SSL decryption. When the firewall trusts the CA that signed the certificate of the destination server, the firewall can send a copy of the destination server certificate to the client, signed by the enterprise CA. This is a best practice because usually all network devices already trust the Enterprise CA (it is usually already installed in the devices' CA Trust storage), so you don't need to deploy the certificate on the endpoints, so the rollout process is smoother.https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/decryption/configure-ssl-forward-proxy.h
質問 # 221
[証明書] ページのスクリーンショットを確認します。
小規模な LLC の管理者は、計画された復号化ロールアウトを使用するために、示されている一連の証明書を作成しました。管理者は、販売署名付きルート証明書もインストールしました <n すべてのクライアント システム テストの際、ユーザーがアクセスするたびにセキュリティで保護されていない Web サイトの警告を受け取った SSL サイト セキュリティで保護されていない Web サイトの警告の原因は何ですか。
- A. 前方信頼証明書がクライアント システムにインストールされていません
- B. フォワード untrust 証明書は、自己署名されたルート CA 証明書によって署名されていません。
- C. 転送信頼証明書は、set-singed ルート CA 証明書によって署名されていません。
- D. 自己署名 CA 証明書には、前方信頼および非信頼証明書と同じ CN があります。
正解:C
解説:
Explanation
https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/decryption/configure-ssl-forward-proxy
質問 # 222 
- A. ms log
- B. Traffic log
- C. dp-monitor .log
- D. System log
- E. authd log
正解:D、E
質問 # 223
管理者は Panorama を使用して複数のファイアウォールを管理しています。すべてのデバイスを最新の PAN-OS ソフトウェアにアップグレードした後、管理者はファイアウォールから Panorama へのログ転送を有効にします。
ただし、ファイアウォールからの既存のログは Panorama に表示されません。
ファイアウォールが既存のログを Panorama に送信できるようにするには、どのアクションを実行する必要がありますか?
- A. インポート オプションを使用してログを取得します。
- B. scp logdb export コマンドを使用します。
- C. ACC を使用してログを統合します。
- D. ログ データベースをエクスポートします。
正解:D
解説:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-cli-quick-start/use-the-cli/use-secure-copy-to-import-and-export-files/export-and-import-a-complete-log-database-logdb
質問 # 224
GlobalProtectポータルインタフェースとIPアドレスが設定されています。 GlobalProtect Portalのネットワーク設定を完了するために、他にどの値を定義する必要がありますか?
- A. クライアント証明書
- B. 認証プロフィール
- C. サーバー証明書
- D. 証明書プロフィール
正解:C
解説:
Explanation
(https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect/ta-p/58351)
質問 # 225
事前設定されたファイアウォール設定を Panorama にインポートした後、ローカル設定を複製せずにコミット/プッシュが成功するようにするには、どのような手順が必要ですか?
- A. 最初にテンプレートをプッシュし、次にデバイス グループを新しく管理されたファイアウォールにプッシュします。
- B. 最初にデバイス グループをプッシュし、次にテンプレートを新しく管理されるファイアウォールにプッシュします。
- C. 構成をプッシュするときに、テンプレート値の強制がチェックされていることを確認します。
- D. エクスポートを実行するか、デバイス構成バンドルを新しく管理されたファイアウォールにプッシュします。
正解:D
解説:
https://docs.paloaltonetworks.com/panorama/11-0/panorama-admin/manage-firewalls/transition- a-firewall-to-panorama-management/migrate-a-firewall-to-panorama-management
質問 # 226
WildFire の主な利点は何ですか? (正しい回答を 3 つ選択してください。)
- A. Palo Alto Networks 独自のクラウドベース アーキテクチャを使用することで、疑わしいファイルの隔離保留時間は通常 30 秒未満に短縮されます。
- B. 未知のファイルの動作を観察することでマルウェアを検出できるサンドボックス環境です。
- C. 特定されたマルウェアのシグネチャは、Palo Alto Networks のすべての顧客のファイアウォールに迅速にグローバルに配布されます。
- D. WildFire は、NGFW とエンドポイントの両方で検出された潜在的な脅威から情報を収集します。
- E. WildFire は、すべての主要なウイルス対策ベンダーからマルウェア シグネチャを収集して配布することで、包括的な保護を提供できます。
正解:B、C、E
質問 # 227
用語を対応する定義と一致させてください。
正解:
解説:
Explanation
Graphical user interface Description automatically generated with medium confidence
質問 # 228
管理者は、DMZ とコア ネットワークの間に NGFW を実装する必要があります。2 つの環境間の EIGRP ルーティングが必要です。
このビジネス要件をサポートするインターフェイス タイプはどれですか?
- A. レイヤ 3 または集約イーサネット インターフェイスですが、サブインターフェイスのみで EIGRP を設定します
- B. コアと DMZ の間で EIGRP ルーティングを維持できるようにする仮想ワイヤ インターフェイス
- C. IPsec トンネル上の EIGRP ルーティングを終了するトンネル インターフェイス (LSVPN および EIGRP プロトコルをサポートする GlobalProtect ライセンスを使用)
- D. レイヤ 3 インターフェイスですが、接続されている仮想ルーター上で EIGRP を設定しています
正解:B
解説:
EIGRP is a Cisco proprietary protocol. The dynamic routing protocols supported on the PAN are RIPv2, OSPF and BGP.
質問 # 229
管理者が稼働時間、PAN-OS®バージョン、シリアル番号などのファイアウォールに関する詳細を表示できるようにするCLIコマンドはどれですか。
- A. セッション情報を表示
- B. システムの詳細を表示
- C. システム情報を表示
- D. デバッグシステムの詳細
正解:C
解説:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZuCAK
質問 # 230
エンジニアは、新しい SSL 復号化展開を構成する必要があります。
SSL 復号化ルールに一致するトラフィックが復号化される前に、どのプロファイルまたは証明書が必要ですか?
- A. トラフィックが一致するセキュリティ ポリシーに復号プロファイルをアタッチする必要があります。
- B. Forward Trust オプションと Forward Untrust オプションの両方が選択された証明書が必要です。
- C. [転送信頼] オプションのみが選択された証明書が必要です。
- D. 復号化プロファイルは、トラフィックが一致する復号化ポリシーにアタッチされる必要があります。
正解:D
解説:
To use PAN-OS multi-factor authentication (MFA) to secure access to critical assets, the enterprise should configure a Captive Portal authentication policy that uses an authentication sequence. An authentication sequence is a feature that allows the firewall to enforce multiple authentication methods (factors) for users who access sensitive services or applications. An authentication sequence can include up to four factors, such as login and password, Voice, SMS, Push, or One-time Password (OTP) authentication. The firewall can integrate with MFA vendors through RADIUS or vendor APIs to provide the additional factors12.
To configure an authentication sequence, the enterprise needs to create an authentication profile for each factor and then add them to the sequence in the desired order. The enterprise also needs to create a Captive Portal authentication policy that matches the traffic that requires MFA and applies the authentication sequence to it.
The Captive Portal is a web page that the firewall displays to users who need to authenticate before accessing the network or the internet. The Captive Portal can be customized to include a welcome message, a login prompt, a disclaimer, a certificate download link, and a logout button34.
When a user tries to access a service or application that matches the Captive Portal authentication policy, the firewall redirects the user to the Captive Portal web form for the first factor. After the user successfully authenticates for the first factor, the firewall prompts the user for the second factor through RADIUS or vendor API integration. The firewall repeats this process until all factors in the sequence are completed or until one factor fails. If all factors are completed successfully, the firewall allows the user to access the service or application. If one factor fails, the firewall denies access and logs an event56.
Configuring a Captive Portal authentication policy that uses an authentication profile that references a RADIUS profile is not sufficient to use PAN-OS MFA. This option only provides one factor of authentication through RADIUS integration with an MFA vendor. To use multiple factors of authentication, an authentication sequence is required.
Creating an authentication profile and assigning another authentication factor to be used by a Captive Portal authentication policy is not correct to use PAN-OS MFA. This option does not specify how to create or apply an authentication sequence, which is necessary for enforcing multiple factors of authentication.
Using a Credential Phishing agent to detect, prevent, and mitigate credential phishing campaigns is not relevant to use PAN-OS MFA. This option is a feature of Palo Alto Networks Cortex XDR that helps protect endpoints from credential theft by malicious actors. It does not provide any MFA functionality for accessing critical assets7.
References: Authentication Sequence, Configure Multi-Factor Authentication, Configure an Authentication Portal, Create an Authentication Profile, Create an Authentication Sequence, Create a Captive Portal Authentication Policy, Credential Phishing Agent
質問 # 231
ある会社が、VLANトランクリンク上の2つのコアスイッチの間にPA-3060ファイアウォールを設置したいと考えています。
各VLANを独自のゾーンに割り当て、タグなし(ネイティブ)トラフィックを独自のゾーンに割り当てる必要があります。
複数のVLANを別々のゾーンに区別するオプションはどれですか。
- A. 2つのV-Wireサブインターフェイスを使用してV-Wireオブジェクトを作成し、1つのVLANIDのみを
V-Wireオブジェクトの「TagAllowed」フィールド。追加のVLANごとに繰り返し、タグなしトラフィックにはVLANID0を使用します。各インターフェース/サブインターフェースを一意のゾーンに割り当てます。 - B. 2つのV-Wireインターフェイスを使用してV-Wireオブジェクトを作成し、V-Wireオブジェクトの[TagAllowed]フィールドに「0-4096」の範囲を定義します。
- C. それぞれが単一のVLANIDと共通の仮想ルーターに割り当てられるレイヤー3サブインターフェースを作成します。
物理レイヤー3インターフェースは、タグなしトラフィックを処理します。各インターフェース/サブインターフェースを一意のゾーンに割り当てます。インターフェイスにIPアドレスを割り当てないでください。 - D. VLANごとにVLANオブジェクトを作成し、各VLANIDに一致するVLANインターフェイスを割り当てます。
追加のVLANごとに繰り返し、タグなしトラフィックにはVLANID0を使用します。各インターフェース/サブインターフェースを一意のゾーンに割り当てます。
正解:A
解説:
Virtual wire interfaces by default allow all untagged traffic. You can, however, use a virtual wire to connect two interfaces and configure either interface to block or allow traffic based on the virtual LAN (VLAN) tags. VLAN tag 0 indicates untagged traffic.
You can also create multiple subinterfaces, add them into different zones, and then classify traffic according to a VLAN tag or a combination of a VLAN tag with IP classifiers (address, range, or subnet) to apply granular policy control for specific VLAN tags or for VLAN tags from a specific source IP address, range, or subnet.
https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-admin/networking/configure-interfaces/virtual-wire-interfaces/vlan-tagged-traffic.html
質問 # 232
管理者がWebサイトの証明書を持っていない場合、どのSSL解読モードでは、ユーザーがHTTP(S)Webサイトをブラウズする際にPalo AltoネットワークNGFWが検査できるようになりますか?
- A. SSL Outbound Inspection
- B. SSL Forward Proxy
- C. SSL Inbound Inspection
- D. TLS Bidirectional proxy
正解:B
解説:
Explanation
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClV8CAK
質問 # 233
セキュリティポリシーの優先度を最高にするには、管理者はデバイスグループ階層でセキュリティポリシーをどのように構成する必要がありますか?
- A. セキュリティポリシーのクローンを作成し、他のデバイスグループに追加します
- B. ターゲットデバイスグループ内のターゲットデバイスのテンプレートを参照します
- C. ポリシーをターゲットデバイスグループに追加し、マスターデバイスをデバイスグループに適用します
- D. 共有デバイスグループにポリシーを事前ルールとして追加します
正解:D
解説:
Explanation
https://docs.paloaltonetworks.com/panorama/9-0/panorama-admin/panorama-overview/centralized-firewall-conf
質問 # 234
ポリシールールUUIDはどのような利点を提供しますか?
- A. ポリシーでのユーザーIPマッピングとグループの使用
- B. ポリシーの存続期間にわたる監査証跡
- C. ポリシーアクションをスケジュールするための機能
- D. デバイスグループ間のポリシーの複製
正解:B
解説:
Explanation
https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-new-features/management-features/universally-unique-iden
質問 # 235 


- A. Option C
- B. Option A
- C. Option B
- D. Option D
正解:B
質問 # 236
サイト A とサイト B の間にはサイト間 VPN が設定されています。OSPF は、サイト間のルートを動的に作成するように設定されています。サイト A の OSPF 設定は適切に設定されていますが、トンネルのルートが確立されていません。図のサイト B インターフェイスは、ブロードキャスト リンク タイプを使用しています。管理者は、サイト B の OSPF 設定がインターフェイスの 1 つに間違ったリンク タイプを使用していると判断しました。
どのリンク タイプ設定でエラーが修正されますか?
- A. ethernet1/21をp2pに設定する
- B. トンネル.10をp2mpに設定する
- C. トンネル.10をp2pに設定する
- D. ethernet1/21をp2mpに設定する
正解:C
解説:
We need to reconfigure the tunnel with the p2p link type.
Note: Link type -Choose Broadcast if you want all neighbors that are accessible through the interface to be discovered automatically by multicasting OSPF hello messages, such as an Ethernet interface. Choose p2p (point-to-point) to automatically discover the neighbor.
Choose p2mp (point-to-multipoint) when neighbors must be defined manually. Defining neighbors manually is allowed only for p2mp mode.
質問 # 237
Ethernet1/1 は次のサブインターフェイスで構成されています。
次のセキュリティ ポリシー ルールが適用されます。
インターフェイス管理プロファイルでは、次のことが許可されます。
顧客は、VLAN 799 IP 10.10.10.2/24 から 10.10.10.1 に ping を試みています。
この ping の結果はどうなるでしょうか?
- A. 仮想ルーターが他のサブインターフェイスと異なるため、ping は成功しません。
- B. ethernet1/1 に適用されている管理プロファイルが ping を許可しているため、ping は成功しません。
- C. ethernet1/1.799 に管理プロファイルがアタッチされていないため、ping は成功しません。
- D. セキュリティ ポリシーがこのトラフィックを許可しているため、ping は成功しません。
- E. セキュリティ ポリシーが VLAN 799 に適用されないため、ping は成功しません。
正解:C
質問 # 238
管理者が稼働時間、PAN-OSバージョン、シリアル番号などのファイアウォールに関する詳細を表示できるようにするCLIコマンドはどれですか。
- A. セッション情報を表示
- B. システムの詳細を表示
- C. システム情報を表示
- D. デバッグシステムの詳細
正解:C
解説:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZuCAK
質問 # 239
パノラマはどの2つのSD_WAN機能を提供しますか? (2つ選択してください。)
- A. コントロールプレーン
- B. ネットワーク監視
- C. 物理ネットワークリンク
- D. データプレーン
正解:A、B
質問 # 240
ファイアウォールがMineMeldからIPアドレスをダウンロードしていません。 そのイメージに基づいて、最も可能性が高いのは何でしょうか。
- A. クライアント証明書を含む証明書プロファイルを選択する必要があります。
- B. 送信元アドレスは、ftp:// <address / file>でホストされているファイルのみをサポートします。
- C. CA証明書を含む証明書プロファイルを選択する必要があります。
- D. 外部動的リストはSSL接続をサポートしません。
正解:C
解説:
"If the list source is secured with SSL (i.e. lists with an HTTPS URL), enable server authentication. Select a Certificate Profile or create a New Certificate Profile for authenticating the server that hosts the list. The certificate profile you select must have root certificate authority (CA) and intermediate CA certificates that match the certificates installed on the server you are authenticating."
質問 # 241
BPA レポートのヒートマップに関して正しい記述はどれですか?
- A. 各評価領域の採用率を示します。
- B. ファイアウォール上でのみ実行されます。
- C. 認定セールス エンジニアの指導を受ければ、セキュリティ リスクが最も大きい領域を特定するのに役立ちます。
- D. ネットワークとセキュリティ アーキテクチャのすべての領域にわたるセキュリティ リスク防止のギャップを明らかにするのに役立つ一連のアンケートを提供します。
正解:A
解説:
https://live.paloaltonetworks.com/t5/best-practice-assessment-blogs/the-best-practice- assessment-bpa-tool-for-ngfw-and-panorama/ba-p/248343
質問 # 242
機密性の高いビジネスデータを含む内部アプリケーションにアクセスする前に、ユーザーに追加の資格情報を提供させるには、どのPAN-OSポリシーを設定する必要がありますか?
- A. アプリケーションオーバーライドポリシー
- B. 復号化ポリシー
- C. 認証ポリシー
- D. セキュリティポリシー
正解:C
質問 # 243
......
PCNSE日本語認定ガイドPDFは100%カバー率でリアル試験問題:https://jp.fast2test.com/PCNSE-JPN-premium-file.html