（３）はＦＷのフィルタリングルールに関する問題で、送信元を外部ＤＮＳサーバとしました。模範解答はＤＭＺでした。私もＤＭＺとすべきか悩みましたが、ＤＭＺ内にある他のサーバからのＤＮＳ通信を許可する理由はみあたらず、模範解答と異なる解答となりました。ほかのフィルタリングルールがいずれもセグメント単位だったので、合わせるべきかもしれないと思いましたが、やはり「許可する通信」は最小限というのが原則なのではとおもった次第です。同じようなパターンで迷う場合の考え方などご教示いただけますと幸いです。

（５）はＤＮＳクエリを利用して大量の情報を持ち出すことは理解できたのですが図２にある「窃取する情報を暗号化し、一定のサイズに分割する」の「一定のサイズ」に着目して解答することが求められているものと解釈しました。模範解答には言及がないのですが、一定のサイズに分割した場合、各ＤＮＳクエリの通信量は一定にはならないものなのでしょうか。ちなみに私の解答は「同じサイズのＤＮＳクエリが複数発生」でした。
また模範解答にある「特定のドメインに対する複数（多数）のＤＮＳクエリ」は攻撃者による通信でなくても普通にあり得るとおもったのですが、いかがでしょうか。ＤＮＳサーバの運用経験がなく、実感が持てておりません。名前解決の基本が理解できていないのかもしれませんが、アドバイスいただけますと幸いです。

DNS経由で情報を送る場合はホスト部に情報を乗せています。
なので「長いホスト名を持つDNSクエリの発生」が分割して情報を送ることに該当します。

NWだと通信機器単位の記載が多いですが、SCは基本セグメント単位なので、他の記載がセグメント単位ならセグメント単位で
書いときましょう（他に合わせとくのが、仕事もなんだけど鉄則です）。

（３）
SCでFWのフィルタリングルールを解答する場合は、本文中のFWのフィルタリングルールの
設定に従います。
本文中のFWのフィルタリングルールが設定例を示していると考えてください。
本文中のFWのフィルタリングルールがセグメント単位の時はセグメントで答え、
サーバ単位の時はサーバを答えます。

（５）
運用経験がないため、（多数）という言葉のイメージが異なっていると思われます。
（多数）とは10件、20件ではなく、千件、一万件レベルと考えられます。
例として、
・DNSのクエリサイズが500バイト
・流出対象のデータが1Mバイト
の場合、2000件のクエリが発生します。

このほか、「攻撃の件数が多数」という表現の場合は、千件、一万件、場合によっては
百万件を超えるケースもあります。

皆様コメントありがとうございます。
セグメント単位の解答をすべきという件は、確かにその方が良いとおもいました。

DNSクエリの件ですが、数千件のクエリとなるとさすがに通常の通信とはいえなさそうですね。その点理解しました。ただ「一定のサイズ」の部分はいかがでしょうか。
「長いホスト名を持つDNSクエリの発生」が分割して情報を送る場合、pixさまが例として記載されているように「５００バイト（同じバイト数）」のクエリが複数送られるとするならば、とても特徴的だと思います。この点が私の着眼点だったのですが、「長いホスト名」というだけで、「同じバイト数のクエリ」といった趣旨については模範解答で言及していないため、実際のところ同じバイト数なのかどうか気になったところです。

図2の「窃取する情報を暗号化し、一定のサイズに分割する」の「一定のサイズ」を
言い換えたものが、表3 「C&C通信の各手法への対策案（抜粋）」-「項番3」の
「・長いホスト名をもつDNSクエリの発生」と考えられます。

つまり、一定のサイズが500バイトと仮定すると、長いホスト名をもつDNSクエリという
表現は500バイト最大までホスト名が設定されていると想定できます。

したがって、「一定のサイズ」については既に特徴として挙げられているため、
それ以外の特徴である「特定のドメインに対する多数のDNSクエリの発生」が
空欄eの解答になります。

ありがとうございます。
実際この攻撃手法の場合バイト数が一定になるとのことのようですので、設問への解答はともかく理解は深まりました（認識があっていると確認できました）。
「・長いホスト名をもつDNSクエリの発生」の表現の中に、「一定のサイズ」であるという特徴が包含されていると解釈することは、私の場合はできなかったです。これは慣れていこうと思います。