/**
 * Step 2 二択ドリル（単元 id ごと）。choices は常に2件、answer は 0 または 1。
 */
export const DRILLS = {
  s01: [
    { q: 'DoS 攻撃が主に損なう CIA 要素はどちらか。', choices: ['機密性', '可用性'], answer: 1, exp: 'DoS はサービス利用を妨げるため、主に可用性を損ないます。' },
    { q: 'デジタル署名が主に提供するのはどちらか。', choices: ['機密性と可用性', '完全性と否認防止'], answer: 1, exp: '署名は改ざん検知（完全性）と「やっていない」と言えない状態（否認防止）を支えます。' }
  ],
  s02: [
    { q: '「パッチ未適用の既知の穴」は用語として何と呼ぶか。', choices: ['脅威', '脆弱性'], answer: 1, exp: 'システム側の弱点は脆弱性。脅威は攻撃者やマルウェアなどの原因側です。' },
    { q: '保険で金銭的損失を第三者に移すのは4戦略のどれか。', choices: ['低減', '移転'], answer: 1, exp: '保険・アウトソースでリスクを第三者に移すのはリスク移転です。' }
  ],
  s03: [
    { q: 'パスワードと SMS の OTP のように「異なる種類の要素」を2つ以上使うのは。', choices: ['多要素認証（MFA）', 'シングルサインオン（SSO）'], answer: 0, exp: '知識・所持・生体など異なる要素の組み合わせが多要素認証です。' },
    { q: 'SSO でユーザーを認証しトークンを発行する中央の役割は。', choices: ['SP（サービスプロバイダ）', 'IdP（アイデンティティプロバイダ）'], answer: 1, exp: 'IdP が認証を一元化し、各 SP がトークンを検証します。' }
  ],
  s04: [
    { q: 'Linux のファイル所有者が chmod で権限を決めるモデルは。', choices: ['MAC', 'DAC'], answer: 1, exp: '所有者が任意に権限を設定できるのは DAC（任意アクセス制御）です。' },
    { q: '業務に必要な最小限の権限だけを与える原則は。', choices: ['職務分離', '最小権限'], answer: 1, exp: 'Least Privilege は権限の過剰付与を避ける原則です。' }
  ],
  s05: [
    { q: 'ISMS の国際的な枠組みとして根拠になりやすい規格は。', choices: ['ISO 9001', 'ISO/IEC 27001'], answer: 1, exp: 'ISMS は主に ISO/IEC 27001（日本では JIS Q 27001）が根拠です。' },
    { q: '「内部も含め常に検証する」現代的な境界を前提にしない思想は。', choices: ['境界型セキュリティ', 'ゼロトラスト'], answer: 1, exp: 'ゼロトラストは Never trust, always verify として内外を区別しません。' }
  ],
  s06: [
    { q: '現在の標準的な共通鍵ブロック暗号として広く使われるのは。', choices: ['DES', 'AES'], answer: 1, exp: 'AES が現行の標準です。DES は鍵長が短く非推奨です。' },
    { q: 'n 人が1対1で共通鍵だけで安全に通信する場合、必要な鍵の本数は公開鍵方式より。', choices: ['少ない', '多い'], answer: 1, exp: '共通鍵は n(n-1)/2 本。公開鍵方式は鍵ペア管理で n 程度に抑えやすいです。' }
  ],
  s07: [
    { q: 'デジタル署名を作るときに使うのは送信者のどちらの鍵か。', choices: ['公開鍵', '秘密鍵'], answer: 1, exp: '署名は送信者の秘密鍵で生成し、受信者は公開鍵で検証します。' },
    { q: 'メッセージの機密性を確保する「公開鍵で暗号化」に使うのは受信者の。', choices: ['秘密鍵', '公開鍵'], answer: 1, exp: '誰でも暗号化できるのは受信者の公開鍵。復号は受信者の秘密鍵だけです。' }
  ],
  s08: [
    { q: '衝突耐性が破られ実証されているためセキュリティ用途で避けるべきなのは。', choices: ['SHA-256', 'MD5'], answer: 1, exp: 'MD5 は衝突攻撃が実証されており、整合性保証用途でも避けるべきです。' },
    { q: 'レインボーテーブル対策としてパスワードに混ぜるランダム値は。', choices: ['ペッパー', 'ソルト'], answer: 1, exp: 'ユーザーごとに異なるソルトで同一パスワードでもハッシュが変わり、事前計算表を無効化します。' }
  ],
  s09: [
    { q: '公開鍵の正当性を証明するために CA が発行するのは。', choices: ['CRL', 'X.509 証明書'], answer: 1, exp: 'CA は公開鍵と所有者情報に署名した証明書を発行します。' },
    { q: '1枚の証明書の失効をリアルタイムに問い合わせるプロトコルは。', choices: ['CRL', 'OCSP'], answer: 1, exp: 'OCSP はオンラインで失効状態を返します。CRL はリスト取得型です。' }
  ],
  s10: [
    { q: 'DMZ に置くのが一般的なのはどちらか。', choices: ['社内 DB サーバ', '公開 Web サーバ'], answer: 1, exp: '外部公開サービスを DMZ に置き、DB は内部ネットワークに隔離します。' },
    { q: 'ファイアウォールの基本方針として推奨されるのは。', choices: ['デフォルト許可', 'デフォルト拒否'], answer: 1, exp: '明示許可以外を拒否するホワイトリスト型が原則です。' }
  ],
  s11: [
    { q: '検知のみで遮断しないのはどちらか。', choices: ['IPS', 'IDS'], answer: 1, exp: 'IDS は検知・通知が中心。IPS はインラインで遮断も行います。' },
    { q: 'HTTP のパラメータやボディを検査して SQLi 等を防ぐのは主に。', choices: ['パケットフィルタ FW', 'WAF'], answer: 1, exp: 'WAF は L7 で Web 攻撃を検査します。FW は主に L3/L4 です。' }
  ],
  s12: [
    { q: 'ブラウザからリモートアクセスに使われやすい VPN は。', choices: ['IPsec 拠点間', 'SSL/TLS VPN'], answer: 1, exp: 'SSL/TLS VPN は HTTPS 上のトンネルでクライアント導入が容易です。' },
    { q: 'IPsec の ESP が提供するのは主に。', choices: ['認証のみ', '暗号化と認証'], answer: 1, exp: 'ESP はペイロードの暗号化と認証を提供します（AH は認証中心）。' }
  ],
  s13: [
    { q: '送信ドメインの送信許可 IP を DNS の TXT で示すのは。', choices: ['DKIM', 'SPF'], answer: 1, exp: 'SPF は送信元 IP の正当性を DNS で宣言します。' },
    { q: 'SPF/DKIM の結果に基づき受信側の処理方針を宣言するのは。', choices: ['S/MIME', 'DMARC'], answer: 1, exp: 'DMARC はポリシー（拒否・隔離等）をドメイン側が公開します。' }
  ],
  s14: [
    { q: '宿主を介さずネットワークで自己伝播するのは主に。', choices: ['ウイルス', 'ワーム'], answer: 1, exp: 'ワームは単体で伝播します。ウイルスは多くの場合宿主ファイルに寄生します。' },
    { q: 'ランサムウェア被害からの復旧で特に強調されるバックアップは。', choices: ['クラウド同期のみ', 'オフラインのバックアップ'], answer: 1, exp: 'オンライン接続のバックアップも暗号化されることがあるため、オフライン保管が有効です。' }
  ],
  s15: [
    { q: 'SQL インジェクション対策として根本的なのは。', choices: ['文字数制限のみ', 'プリペアドステートメント'], answer: 1, exp: 'SQL とデータを分離するプリペアドが第一選択です。' },
    { q: 'ログイン済みユーザーの意図しない状態変更リクエストを悪用するのは。', choices: ['XSS', 'CSRF'], answer: 1, exp: 'CSRF は別サイトから正規セッションでリクエストを送らせます。' }
  ],
  s16: [
    { q: '流出した ID/PW のリストを別サービスに流用して試す攻撃は。', choices: ['辞書攻撃', 'クレデンシャルスタッフィング'], answer: 1, exp: '他サービス漏洩の資格情報を転用するのがクレデンシャルスタッフィングです。' },
    { q: '多数アカウントに少数の共通パスワードを分散試行するのは。', choices: ['ブルートフォース', 'パスワードスプレー'], answer: 1, exp: 'ロックアウトを避けるため少数 PW を広く試します。' }
  ],
  s17: [
    { q: 'TCP の 3 ウェイハンドシェイクを悪用し接続テーブルを枯渇させるのは。', choices: ['DNS アンプ', 'SYN flood'], answer: 1, exp: 'SYN を大量に送り ACK を返さず half-open を増やします。' },
    { q: '長期間にわたり標的組織に潜伏して情報窃取を続ける攻撃は。', choices: ['DDoS', 'APT'], answer: 1, exp: 'APT は高度かつ持続的な標的型攻撃です。' }
  ],
  s18: [
    { q: '脆弱性の深刻度を 0.0〜10.0 で表す仕組みは。', choices: ['CVE', 'CVSS'], answer: 1, exp: 'CVSS がスコアリング。CVE は識別子です。' },
    { q: 'パッチが無い状態で悪用が始まっている脆弱性は一般に。', choices: ['既知の脆弱性', 'ゼロデイ'], answer: 1, exp: '修正前に悪用される脆弱性をゼロデイと呼びます。' }
  ],
  s19: [
    { q: 'マルウェア除去の前に被害拡大を止めるフェーズは。', choices: ['根絶', '封じ込め'], answer: 1, exp: 'まず封じ込めで影響範囲を限定し、その後根絶します。' },
    { q: '複数システムのログを集約し相関分析するプラットフォームは。', choices: ['WAF', 'SIEM'], answer: 1, exp: 'SIEM はログ統合と検知・調査を支援します。' }
  ],
  s20: [
    { q: '権限なく他人の ID でコンピュータにアクセスすることを禁止する法律は。', choices: ['個人情報保護法', '不正アクセス禁止法'], answer: 1, exp: '不正アクセス行為の禁止が中心です。' },
    { q: 'NIST CSF の 5 機能に「防護」に相当する英語は。', choices: ['Detect', 'Protect'], answer: 1, exp: 'Identify / Protect / Detect / Respond / Recover が 5 機能です。' }
  ]
};