情報じょうほうセキュリティ β版

この章しょうで学まなぶこと

情報じょうほうセキュリティは、IT パスポート試験しけんで**最もっとも重要じゅうようかつ最もっとも出題しゅつだい数すうの多おおい**分野ぶんやです。100 問もん中ちゅうおおよそ **10〜13 問もん**が情報じょうほうセキュリティ関連かんれんから出題しゅつだいされ、合格ごうかくの最さい重要じゅうよう分野ぶんやと言いえます。

シラバス Ver.6.5 では中ちゅう分類ぶんるい 23「セキュリティ」として位置いちづけられ、3 つの小しょう分類ぶんるいで構成こうせいされています:

小しょう分類ぶんるい	項目こうもく	本章ほんしょうの対応たいおう節ぶし
61	情報じょうほうセキュリティ	1・2 節ふし
62	情報じょうほうセキュリティ管理かんり	3 節ふし
63	情報じょうほうセキュリティ対策たいさく・情報じょうほうセキュリティ実装じっそう技術ぎじゅつ	4・5 節ふし

この章しょうをマスターすれば、テクノロジ系けいの得点とくてんを大おおきく押おし上あげられます。用語ようごの定義ていぎ・典型てんけい的てきな場面ばめん・試験しけんでどう問とわれるかの 3 点てんセットで覚おぼえるのがコツです。

学習がくしゅうゴール

この章しょうを読よみ終おえた時点じてんで、以下いかができるようになっていることを目指めざします。

• CIA 3 要素ようそ（機密性きみつせい・完全性かんぜんせい・可用性かようせい）と拡張かくちょう 4 要素ようそ（真正性しんせいせい・責任追跡性せきにんついせきせい・否認防止ひにんぼうし・信頼性しんらいせい）を判別はんべつできる
• 主要しゅような脅威きょうい（マルウェア・フィッシング・SQL インジェクション・DoS・標的型攻撃ひょうてきがたこうげき）を判別はんべつできる
• ISMS・JIS Q 27001・情報セキュリティポリシーじょうほうセキュリティポリシーを使つかいこなせる
• 暗号化あんごうか（共通きょうつう鍵かぎ・公開こうかい鍵かぎ）・デジタル署名デジタルしょめい・PKI・認証にんしょう技術ぎじゅつ（多要素認証たようそにんしょう・生体認証せいたいにんしょう）を判別はんべつできる
• 対策たいさく技術ぎじゅつ（ファイアウォール・IDS/IPS・WAF・アンチウイルス・DMZ）を使つかいこなせる

1. 情報じょうほうセキュリティの 3 要素ようそ（CIA）

情報じょうほうセキュリティの土台どだいとなる概念がいねんが CIA と呼よばれる 3 要素ようそです。JIS Q 27000 でも定義ていぎされている基本きほん中ちゅうの基本きほん。

頂点ちょうてん	要素ようそ	意味いみ	失うしなわれると
C	機密きみつ性せい（Confidentiality）	認可にんか者しゃだけ閲覧えつらん可か	情報じょうほう漏ろうえい
I	完全かんぜん性せい（Integrity）	改かいざんされていない	データ不ふ整合せいごう
A	可用性かようせい（Availability）	必要ひつよう時じに使つかえる	サービス不能ふのう

3 要素ようそを バランスよく 守まもる。どれか 1 つが極端きょくたんに弱よわいと全体ぜんたいの安全あんぜん性せいが下さがる。

3 要素ようその定義ていぎ

要素ようそ	英語えいご	意味いみ	失うしなわれると…
機密きみつ性せい	Confidentiality	認可にんかされた者ものだけがアクセスできる状態じょうたい	情報じょうほう漏ろうえい
完全かんぜん性せい	Integrity	情報じょうほうが正確せいかくで、改かいざんされていない状態じょうたい	データ改かいざん・不ふ整合せいごう
可用性かようせい	Availability	必要ひつような時ときにアクセスできる状態じょうたい	システム停止ていし・サービス不能ふのう

具体ぐたい例れいで理解りかいする

場面ばめん	どの要素ようそが守まもられている？
オンラインバンキングでパスワードを暗号あんごう化か	機密きみつ性せい
振込ふりこみ金額きんがくが途中とちゅうで書かき換かえられないよう[[電子署名	でんししょめい]]を付与ふよ
銀行ぎんこうシステムが 24 時間じかん稼働かどうするよう冗長じょうちょう化か	可用性かようせい

拡張かくちょう 4 要素ようそ（7 要素ようそ）

CIA に加くわえ、以下いかもよく問とわれます:

• 真正しんせい性せい（Authenticity） — なりすましでないことを証明しょうめい
• 責任せきにん追跡ついせき性せい（Accountability） — 誰だれがいつ何なにをしたか追跡ついせき可能かのう
• 否認ひにん防止ぼうし（Non-repudiation） — 「やってない」と後のちから言いわせない
• 信頼しんらい性せい（Reliability） — 意図いとした動作どうさを期待きたい通どおり行おこなう

試験しけんでの問とわれ方かた: 「ユーザー権限けんげん管理かんりによって守まもられるのは CIA のどれか」「電子でんし署名しょめいが実現じつげんするのは機密きみつ性せいか完全かんぜん性せいか」のように、具体ぐたい的てきな対策たいさくと 3 要素ようその対応たいおうを問とう形かたちが定番ていばんです。

2. 脅威きょうい・脆弱性ぜいじゃくせい・攻撃こうげき手法しゅほう

2.1 脅威きょういの分類ぶんるい

分類ぶんるい	例れい
人的じんてき脅威きょうい	誤操作ごそうさ・紛失ふんしつ・盗難とうなん・内部ないぶ不正ふせい・ソーシャルエンジニアリング
技術ぎじゅつ的てき脅威きょうい	マルウェア・不正ふせいアクセス・盗聴とうちょう・DoS
物理ぶつり的てき脅威きょうい	地震じしん・火災かさい・停電ていでん・侵入しんにゅう

脅威きょうい × 脆弱ぜいじゃく性せい = リスク という関係かんけいを押おさえましょう。脅威きょういがあっても脆弱ぜいじゃく性せいがなければリスクは顕在けんざい化かしません。

2.2 マルウェアの種類しゅるい

マルウェア（Malicious Software）は**悪意あくいのあるプログラム全般ぜんぱん**の総称そうしょう。感染かんせん経路けいろと増殖ぞうしょく方法ほうほうで分類ぶんるいされます。ウイルスは寄生きせい型がた、ワームは単独たんどく型がた、トロイの木馬もくばは偽装ぎそう型がたと特徴とくちょうが異ことなり、ランサムウェアは近年きんねんの企業きぎょう被害ひがいの主犯しゅはん格かく。試験しけんでは種類しゅるいと特徴とくちょうの対応たいおうが頻出ひんしゅつで、特とくにワームとウイルスの違ちがい（自己じこ増殖ぞうしょくするかどうか）が定番ていばんの引ひっかけ。

種類しゅるい	特徴とくちょう	代表だいひょう例れい
ウイルス	他たのプログラムに**寄生きせいして増殖ぞうしょく**	ファイル感染かんせん型がた
ワーム	単独たんどくで自己じこ増殖ぞうしょく・ネットワーク経由けいゆで拡散かくさん	Blaster、Conficker
**[[トロイの木馬	トロイのもくば]]**	無害むがいを装よそおって侵入しんにゅうし裏うらで悪事あくじを働はたらく（自己じこ増殖ぞうしょくしない）
ランサムウェア	データを暗号あんごう化かして**身代金みのしろきんを要求ようきゅう**	WannaCry、Ryuk
スパイウェア	ユーザーの行動こうどうを監視かんし・情報じょうほう収集しゅうしゅう	キー盗聴とうちょう、広告こうこく追跡ついせき
キーロガー	キーボード入力にゅうりょくを記録きろく	パスワード窃取せっしゅ
ボット	攻撃こうげき者しゃから遠隔えんかく操作そうさされる（複数ふくすう集あつまるとボットネット）	DDoS 攻撃こうげき踏ふみ台だい
RAT	Remote Access Trojan。遠隔えんかく操作そうさを可能かのうにする	標的ひょうてき型がた攻撃こうげき

引ひっかけ: ウイルス vs ワーム。ウイルスは**他たのプログラムに寄生きせいして増ふえる（単独たんどくでは動うごけない）、ワームは単独たんどくで自己じこ増殖ぞうしょくする（他たのプログラム不要ふよう）。試験しけんで「単独たんどくで増殖ぞうしょくするマルウェアは？」と問とわれたらワーム**。

2.3 ソーシャルエンジニアリング

ソーシャルエンジニアリングは、技術ぎじゅつ的てきな脆弱ぜいじゃく性せいではなく人間にんげんの心理しんりを突つく攻撃こうげき手口てぐち。どれだけシステムを堅牢けんろうにしても、人ひとが騙だまされれば情報じょうほうは漏もれます。「振ふり込こめ詐欺さぎ」のデジタル版ばんと考かんがえると理解りかいしやすい。**組織そしきの弱点じゃくてんは人間にんげん**という発想はっそうで、教育きょういく・訓練くんれんが対策たいさくの中心ちゅうしんになります。

• ショルダーハック — 肩越かたごしにパスワードを盗ぬすみ見み（カフェでの作業さぎょう、電車でんしゃ内ない）
• トラッシング（スキャビンジング） — ゴミ箱ごみばこから情報じょうほうを漁あさる（シュレッダー未み処理しょりの書類しょるい）
• フィッシング — 偽にせメール・偽にせサイトでパスワード等とうを入力にゅうりょくさせる（銀行ぎんこうの偽にせサイト）
• 標的ひょうてき型がた攻撃こうげきメール — 特定とくていの組織そしきを狙ねらった偽装ぎそうメール（取引とりひき先さきを装よそおった添付てんぷファイル）
• ビジネスメール詐欺さぎ（BEC） — 経営けいえい層そうや取引とりひき先さきになりすまして送金そうきん指示しじ（国際こくさい的てきに大だい被害ひがい）
• スミッシング — SMS を使つかったフィッシング（「荷物にもつが届とどいています」等とうの偽にせ SMS）
• ビッシング — 電話でんわを使つかったフィッシング（サポート電話でんわを装よそおう）

頻出ひんしゅつ: 技術ぎじゅつ対策たいさくでは防ふせげないのがソーシャルエンジニアリングの特徴とくちょう。対策たいさくは**教育きょういく・訓練くんれん・ルール**（机上きじょう整理せいり・画面がめんロック・2 重じゅう確認かくにん等とう）。試験しけんでも「パスワードポリシ強化きょうかでは防ふせげない攻撃こうげきは？」のような形かたちで問とわれる。

2.4 主要しゅような攻撃こうげき手法しゅほう

攻撃こうげき	仕組しくみ	対策たいさくの鍵かぎ
**[[ブルートフォース攻撃	ブルートフォースこうげき]]**	すべての文字もじ列れつを総そう当あたりで試行しこう
**[[辞書攻撃	じしょこうげき]]**	よくある単語たんごを辞書じしょとして試行しこう
**[[パスワードリスト攻撃	パスワードリストこうげき]]**	他たサイトから漏ろうえいした ID/PW を流用りゅうよう
レインボー攻撃こうげき	ハッシュ値ちから元もとのパスワードを逆ぎゃく引びき	ソルト付つきハッシュ
SQL インジェクション	入力にゅうりょく欄らんに SQL を混入こんにゅうさせて DB 操作そうさ	プレースホルダ・入力にゅうりょく値ち検証けんしょう
クロスサイトスクリプティング（XSS）	他たサイトへの罠わなスクリプトを埋込うめこみ	出力しゅつりょくエスケープ
クロスサイトリクエストフォージェリ（CSRF）	ログイン状態じょうたいを悪用あくようし意図いとしない操作そうさを実行じっこう	トークン検証けんしょう
ディレクトリトラバーサル	../等でサーバ内ないの不正ふせいファイルにアクセス	パス正規まさき化か
**[[中間者攻撃	ちゅうかんしゃこうげき]]（MITM）**	通信つうしん経路けいろで盗聴とうちょう・改かいざん
MITB（Man-in-the-browser）	ブラウザ上じょうのマルウェアが通信つうしんを改かいざん	アンチウイルス・入力にゅうりょく監視かんし
DNS キャッシュポイズニング	DNS サーバに偽にせ情報じょうほうを覚おぼえさせる	DNSSEC
**DoS / [[DDoS 攻撃	DDoS こうげき]]**	大量たいりょうリクエストでサービス停止ていしさせる
APT（Advanced Persistent Threat）	長期間ちょうきかん潜伏せんぷくし標的ひょうてきを狙ねらう高度こうど持続じぞく型がた攻撃こうげき	多層たそう防御ぼうぎょ・EDR
サプライチェーン攻撃こうげき	取引とりひき先さきや OSS 経由けいゆで侵入しんにゅう	納入のうにゅう元もとチェック・SBOM
**[[ゼロデイ攻撃	ゼロデイこうげき]]**	パッチ公開こうかい前まえの脆弱ぜいじゃく性せいを突つく
Adversarial Examples	AI モデルを誤あやま認識にんしきさせる細工ざいく入力にゅうりょく	モデル堅牢けんろう化か・入力にゅうりょく検証けんしょう

試験しけんでの問とわれ方かた: シナリオ（例れい:「入力にゅうりょく欄らんから DB が操作そうさされました」）→ 攻撃こうげき名めいを選えらぶ型かたが頻出ひんしゅつ。逆ぎゃくに「SQL インジェクション対策たいさくとして適切てきせつなものは？」で選択肢せんたくしから選えらばせる型かたも出でます。

状況じょうきょう	入力にゅうりょく	生成せいせいされる SQL	結果けっか
✓ 正常せいじょうな入力にゅうりょく	ID = "yamada" PW = "abc123"	WHERE id='yamada' AND pw='abc123'	該当がいとうユーザーのみログイン
⚠ 攻撃こうげきの入力にゅうりょく	ID = ' OR '1'='1 PW = "x"	WHERE id='' OR '1'='1' AND pw='x'	'1'='1' が常つねに真しん → 全ぜんユーザーがマッチ → 不正ふせいログイン

対策たいさく: プレースホルダ（バインド機構きこう） — 入力にゅうりょくをエスケープして SQL の構造こうぞうを変かえさせない。

頻出ひんしゅつ引ひっかけ: SQL インジェクションの**対策たいさくはプレースホルダ（バインド変数へんすう）**。入力にゅうりょく値ち検証けんしょうだけでは不十分ふじゅうぶん（複雑ふくざつなエスケープが漏もれることがある）。「サニタイジング」「エスケープ処理しょり」も補助ほじょ的てきだが、根本こんぽん対策たいさくはプレースホルダ。

3. 情報じょうほうセキュリティマネジメント

3.1 情報じょうほうセキュリティポリシ

情報じょうほうセキュリティポリシは、組織そしきのセキュリティに関かんする**方針ほうしんを文書ぶんしょ化かしたもの。単たんに「頑張がんばります」ではなく、経営けいえい層そうの宣言せんげん → 具体ぐたい基準きじゅん → 手順てじゅん書しょの 3 階層かいそうで体系たいけい化かされます。法律ほうりつに例たとえると「憲法けんぽう → 法律ほうりつ → 施行しこう規則きそく**」の関係かんけい。トップダウンで方針ほうしんを決きめ、現場げんばの手順てじゅん書しょまで落おとし込こむのが基本きほんです。

階層かいそう	内容ないよう	位置いちづけ	例れい
基本きほん方針ほうしん（ポリシ）	経営けいえい者しゃによる宣言せんげん	全体ぜんたいの**憲法けんぽう**	「当社とうしゃは情報じょうほう資産しさんを適切てきせつに保護ほごする」
対策たいさく基準きじゅん（スタンダード）	遵守じゅんしゅすべき具体ぐたい的てき基準きじゅん	法律ほうりつ	「パスワードは 12 文字もじ以上いじょう、90 日にちで変更へんこう」
実施じっし手順てじゅん（プロシージャ）	手順てじゅん書しょ・マニュアル	細則さいそく	「パスワード変更へんこうの画面がめん操作そうさ手順てじゅん」

ポイント: 3 階層かいそうは**抽象ちゅうしょう → 具体ぐたいの順じゅん。基本きほん方針ほうしんは数すう十じゅうページ程度ていど、対策たいさく基準きじゅんは数すう十じゅう〜数すう百ひゃくページ、実施じっし手順てじゅんは膨大ぼうだいな量りょうになる。組織そしき全体ぜんたいの方向ほうこう性せいを示しめすのがポリシ**、**実務じつむの指示しじは手順てじゅん書しょ**という役割やくわり分担ぶんたん。

3.2 ISMS（情報じょうほうセキュリティマネジメントシステム）

ISMS（Information Security Management System）は、組織そしき的てきに情報じょうほうセキュリティを管理かんりする枠組わくぐみ。JIS Q 27001（国際こくさい規格きかく ISO/IEC 27001 の日本にっぽん版ばん）に基もとづき、**PDCA サイクルで継続けいぞく的てきに改善かいぜん**します。ISMS 認証にんしょうを取得しゅとくした企業きぎょうは「情報じょうほうセキュリティが体系たいけい的てきに運用うんようされている」証あかしとなり、取引とりひき先さきとの信頼しんらい構築こうちくに役立やくだちます。

フェーズ	内容ないよう	具体ぐたい的てき活動かつどう
Plan	リスクアセスメント → 管理かんり策さく選定せんてい	資産しさん棚卸たなおろし、脅威きょうい特定とくてい、対策たいさく計画けいかく
Do	管理かんり策さくの実施じっし	対策たいさく実装じっそう、社員しゃいん教育きょういく
Check	監査かんさ・有効ゆうこう性せい評価ひょうか	内部ないぶ監査かんさ、インシデント分析ぶんせき
Act	改善かいぜん	次じサイクルへのフィードバック

認証にんしょう機関きかんによるISMS 認証にんしょう（ISO/IEC 27001 認証にんしょう）を取得しゅとくできます。日本にっぽんでは JIPDEC の認定にんていした認証にんしょう機関きかんが審査しんさを行おこないます。

3.3 リスクマネジメント

リスクマネジメントは、セキュリティリスクを特定とくてい・評価ひょうか・対応たいおうする体系たいけい的てきなプロセス。すべてのリスクをゼロにはできないため、どのリスクにどこまで対策たいさくするかを経営けいえい判断はんだんで決きめます。リスクアセスメント（評価ひょうか）とリスク対応たいおう（選択せんたく）の 2 段階だんかいで考かんがえるのが基本きほんです。

リスクアセスメントの流ながれ

1. リスク特定とくてい — どんな資産しさんにどんな脅威きょうい・脆弱ぜいじゃく性せいがあるか洗あらい出だし
2. リスク分析リスクぶんせき — **発生はっせい可能かのう性せい × 影響えいきょう度ど**でリスクレベルを評価ひょうか
3. リスク評価リスクひょうか — 受容じゅよう可能かのうか判定はんてい（許容きょよう基準きじゅんとの比較ひかく）

リスク対応リスクたいおうの 4 分類ぶんるい

対応たいおう	意味いみ	例れい
リスク回避かいひ	リスク源げんを除去じょきょ	クラウド利用りようをやめる
リスク低減ていげん（軽減けいげん）	対策たいさくで発生はっせい可能かのう性せい・影響えいきょう度どを下さげる	ファイアウォール導入どうにゅう
リスク移転いてん（共有きょうゆう）	他者たしゃに一部いちぶまたは全部ぜんぶを移うつす	サイバー保険ほけん加入かにゅう
リスク受容じゅよう（保有ほゆう）	そのまま受うけ入いれる	影響えいきょうが小ちいさいので対策たいさくしない

試験しけんでの問とわれ方かた: 「小ちいさなリスクを保険ほけんで移うつす」のようなシナリオ → 4 分類ぶんるいのどれかを選えらぶ問題もんだいが毎回まいかい出でます。

3.4 CSIRT と関連かんれん組織そしき

セキュリティインシデント（情報じょうほう漏洩ろうせつ・マルウェア感染かんせん・不正ふせいアクセス等とう）は**発生はっせいを完全かんぜんには防ふせげないため、起おきたとき即そく対応たいおうできる専門せんもんチームが必要ひつようです。各かく企業きぎょうが持もつのが CSIRT、監視かんし専門せんもんが SOC、国くにレベルの調整ちょうせい役やくが JPCERT/CC などの組織そしき体系たいけい。試験しけんでは略称りゃくしょうと役割やくわり**の対応たいおうが問とわれます。

組織そしき・用語ようご	役割やくわり
CSIRT（シーサート）	Computer Security Incident Response Team。企業きぎょう内ないインシデント対応たいおうチーム
SOC（ソック）	Security Operation Center。24 時間じかん監視かんし専門せんもん組織そしき
JPCERT/CC	日本にっぽんのコーディネーションセンター（企業きぎょう横断おうだんの情報じょうほう連携れんけい）
IPA セキュリティセンター	国内こくないの情報じょうほうセキュリティ対策たいさくを推進すいしん（独立どくりつ行政ぎょうせい法人ほうじん IPA）
J-CSIP	**サイバー情報じょうほう共有きょうゆう**イニシアティブ（重要じゅうよう産業さんぎょう間かん）
J-CRAT	サイバーレスキュー隊たい（標的ひょうてき型がた攻撃こうげきの対応たいおう支援しえん）
ISMAP	政府せいふのクラウドサービス安全あんぜん性せい評価ひょうか制度せいど
SECURITY ACTION	**中小ちゅうしょう企業きぎょう**の自己じこ宣言せんげん制度せいど（星ほし 1 つ・星ほし 2 つ）

引ひっかけ: CSIRT vs SOC。CSIRT はインシデント発生はっせい時じの対応たいおうチーム（事後じご対応たいおう）、SOC は 24 時間じかん監視かんし・早期そうき発見はっけんチーム（事前じぜん発見はっけん）。似にているが役割やくわり分担ぶんたんは違ちがう。

4. 暗号あんごう化かと認証にんしょう

4.1 暗号あんごう方式ほうしき

方式ほうしき	鍵かぎの使つかい方かた	速度そくど	代表だいひょう例れい
**[[共通鍵暗号	きょうつうかぎあんごう]]**（対称たいしょう鍵かぎ）	暗号あんごう化か・復号ふくごうで同おなじ鍵かぎ	高速こうそく
**[[公開鍵暗号	こうかいかぎあんごう]]**（非対称ひたいしょう鍵かぎ）	公開こうかい鍵かぎで暗号あんごう化か → 秘密ひみつ鍵かぎで復号ふくごう	低速ていそく
ハイブリッド暗号あんごう	共通きょうつう鍵かぎを公開こうかい鍵かぎで配送はいそう → 本文ほんぶんは共通きょうつう鍵かぎで	速度そくどと安全あんぜん性せいを両立りょうりつ	SSL/TLS

公開こうかい鍵かぎ暗号あんごうの使つかい分わけ（最さい重要じゅうようポイント）

目的もくてき	誰だれの何なん鍵かぎで暗号あんごう化か	誰だれが何なに鍵かぎで復号ふくごう
機密きみつ性せい（盗聴とうちょう防止ぼうし）	受信じゅしん者しゃの公開こうかい鍵かぎ	受信じゅしん者しゃの秘密ひみつ鍵かぎ
電子でんし署名しょめい（なりすまし防止ぼうし・完全かんぜん性せい）	送信そうしん者しゃの秘密ひみつ鍵かぎ	送信そうしん者しゃの公開こうかい鍵かぎ

試験しけんでの頻出ひんしゅつ引ひっかけ: 「A さんが B さんに秘密ひみつメッセージを送おくりたい。どの鍵かぎで暗号あんごう化かする？」 → 答こたえは「B さん（受信じゅしん者しゃ）の公開こうかい鍵かぎ」。自分じぶんの鍵かぎではない点てんに注意ちゅうい。

覚おぼえ方かた：①機密きみつ性せいは「受信じゅしん者しゃの鍵かぎペア」、②電子でんし署名しょめいは「送信そうしん者しゃの鍵かぎペア」。「誰だれの・どの鍵かぎで・何なにをするか」を整理せいりすると引ひっかけに惑まどわされない。

4.2 電子でんし署名しょめいと PKI

• 電子でんし署名しょめい — 送信そうしん者しゃの秘密ひみつ鍵かぎで文書ぶんしょのハッシュ値ちを暗号あんごう化かしたもの。**真正しんせい性せい・完全かんぜん性せい・否認ひにん防止ぼうし**を実現じつげん
• ハッシュ関数ハッシュかんすう — 任意にんい長ちょう入力にゅうりょく → 固定こてい長ちょう出力しゅつりょく。MD5（非ひ推奨すいしょう）、SHA-256等
• PKI（Public Key Infrastructure） — 公開こうかい鍵かぎを信頼しんらいできる形かたちで配くばるインフラ
• 認証局にんしょうきょく（CA） — 公開こうかい鍵かぎに「この鍵かぎは本人ほんにんのもの」と証明しょうめい書しょを発行はっこう
• CRL（Certificate Revocation List） — 失効しっこうした証明しょうめい書しょのリスト
• デジタル証明書デジタルしょうめいしょ — 公開こうかい鍵かぎ + 所有しょゆう者しゃ情報じょうほうに CA が署名しょめいしたもの

4.3 認証にんしょうの 3 要素ようそ

認証にんしょうは「本当ほんとうにその人ひと本人ほんにんか確認かくにんする」こと。方法ほうほうは大おおきく**3 要素ようそに分類ぶんるいされ、どの要素ようそを組くみ合あわせるかでセキュリティの強つよさが決きまります。パスワードだけ（知識ちしき 1 つ）より、パスワード + スマホ SMS（知識ちしき + 所持しょじ）の方ほうが2 倍ばい以上いじょう強固きょうこです。最近さいきんはパスワードだけの認証にんしょうは業務ぎょうむシステムで禁止きんし**される傾向けいこうにあります。

要素ようそ	英語えいご	例れい
知識ちしき（知しっていること）	Knowledge	パスワード・PIN・合言葉あいことば・秘密ひみつの質問しつもん
所持しょじ（持もっているもの）	Possession	IC カード・スマホ・ワンタイムトークン
生体せいたい（本人ほんにんの特徴とくちょう）	Inherence	指紋しもん・顔かお・虹彩こうさい・静脈じょうみゃく

• 多要素認証たようそにんしょう（MFA） — 3 要素ようそのうち2 つ以上いじょうを組くみ合あわせる（知識ちしき + 所持しょじ、生体せいたい + 知識ちしき等とう）
• 2 段階認証2 だんかいにんしょう — 同おなじ要素ようそを 2 回かい（パスワード + 秘密ひみつの質問しつもんなど、どちらも知識ちしき）。MFA ではない
• シングルサインオン（SSO） — 1 回かいのログインで複数ふくすうサービスを使つかえる（Google アカウントで他たサービスログイン等とう）
• FIDO — パスワードレス認証にんしょうの国際こくさい標準ひょうじゅん（生体せいたい + デバイス）

頻出ひんしゅつ引ひっかけ: 多た要素ようそ認証にんしょう vs 2 段階だんかい認証にんしょうの違ちがい。多た要素ようそは異ことなる種類しゅるいの要素ようそを組くみ合あわせる、2 段階だんかい認証にんしょうは単たんに2 回かい認証にんしょうする。「パスワード + 秘密ひみつの質問しつもん」は**両方りょうほう知識ちしきなので2 段階だんかい認証にんしょうではあるが多た要素ようそではない**。これが試験しけんで最もっとも出題しゅつだいされる引ひっかけ。

4.4 生体せいたい認証にんしょうの指標しひょう

指標しひょう	意味いみ
本人ほんにん拒否きょひ率りつ（FRR）	本人ほんにんなのに拒否きょひされる率りつ
他人たにん受入うけいれ率りつ（FAR）	他人たにんを本人ほんにんと認みとめてしまう率りつ

セキュリティ重視じゅうしなら FAR を下さげる、利便りべん性せい重視じゅうしなら FRR を下さげる。両立りょうりつは困難こんなん（トレードオフ関係かんけい）。

5. 情報じょうほうセキュリティ対策たいさく技術ぎじゅつ

実際じっさいにセキュリティを守まもる**技術ぎじゅつ的てきな手段しゅだん**を見みていきます。ネットワーク・端末たんまつ・データ・物理ぶつり・決済けっさいの各かく領域りょういきに専用せんよう技術ぎじゅつがあり、多層たそう防御ぼうぎょ（複数ふくすうの対策たいさくを重かさねる）の考かんがえ方かたが基本きほんです。「1 つの対策たいさくですべてを守まもる」発想はっそうは古ふるく、現代げんだいは 防御ぼうぎょ線せんを何なん重じゅうにも張はるのが標準ひょうじゅんになっています。

5.1 ネットワーク系けい対策たいさく

ネットワーク経由けいゆの攻撃こうげきを防ふせぐ技術ぎじゅつ群ぐん。ファイアウォールで大おおざっぱに遮断しゃだんし、IDS/IPSで侵入しんにゅうを検知けんち・防止ぼうし、WAFで Web アプリ固有こゆうの攻撃こうげきを防ふせぎ、SIEMでログを相関そうかん分析ぶんせき。これらを組くみ合あわせた**多層たそう防御ぼうぎょ**が現代げんだいのネットワークセキュリティの標準ひょうじゅんです。

技術ぎじゅつ	役割やくわり	用途ようと
ファイアウォール	通信つうしんの通過つうかを許可きょか/拒否きょひ（フィルタリング）	境界きょうかい防御ぼうぎょの第一線だいいっせん
DMZ（非ひ武装ぶそう地帯ちたい）	公開こうかいサーバを内部ないぶ LAN から分離ぶんり	Web サーバ・メールサーバ配置はいち
IDS（Intrusion Detection System）	侵入しんにゅう検知けんち（通知つうちのみ）	攻撃こうげき検知けんち・ログ記録きろく
IPS（Intrusion Prevention System）	侵入しんにゅう防止ぼうし（検知けんち + 遮断しゃだん）	即時そくじ遮断しゃだんが必要ひつような場面ばめん
WAF（Web Application Firewall）	Web アプリ特有とくゆうの攻撃こうげき（SQLi・XSS 等ひとし）を防御ぼうぎょ	Web サイト保護ほご
SIEM	セキュリティログの集約しゅうやく・相関そうかん分析ぶんせき	複数ふくすう機器ききのログ統合とうごう分析ぶんせき
VPN	暗号あんごう化かトンネルで安全あんぜんに通信つうしん	リモートワーク
SSL/TLS	通信つうしん経路けいろの暗号あんごう化か（HTTPS はこれ）	Web 通信つうしんの暗号あんごう化か

引ひっかけ: IDS vs IPS。「Detection = 検知けんちのみ」、「Prevention = 防止ぼうし（検知けんち + 遮断しゃだん）」。IPS は怪あやしい通信つうしんを自動じどう遮断しゃだんするため**誤あやま検知けんちで業務ぎょうむ停止ていしのリスク**があり、慎重しんちょうな運用うんようが必要ひつよう。試験しけんでは「通信つうしんを自動じどうで遮断しゃだんするのは？」と問とわれたら IPS。

5.2 端末たんまつ・データ系けい対策たいさく

ネットワーク境界きょうかいだけでなく、端末たんまつ（エンドポイント）やデータそのものを守まもる技術ぎじゅつ。テレワーク普及ふきゅうで境界きょうかい防御ぼうぎょだけでは足たりなくなり、EDR（端末たんまつでの攻撃こうげき検知けんち）、DLP（機密きみつ情報じょうほう流出りゅうしゅつ防止ぼうし）、MDM（モバイル端末たんまつ管理かんり）が重要じゅうよう性せいを増ましています。

技術ぎじゅつ	役割やくわり
アンチウイルスソフト	マルウェア検知けんち・駆除くじょ（従来じゅうらい型がた）
EDR（Endpoint Detection and Response）	端末たんまつでの**攻撃こうげき検知けんち・対応たいおう**（アンチウイルスの進化しんか版ばん）
DLP（Data Loss Prevention）	機密きみつ情報じょうほうの流出りゅうしゅつ防止ぼうし（USB 制御せいぎょ、メール添付てんぷ監視かんし）
MDM（Mobile Device Management）	モバイル端末たんまつの**一いち元もと管理かんり**（紛失ふんしつ時じのリモートワイプ等とう）
TPM（Trusted Platform Module）	端末たんまつに搭載とうさいされる**暗号あんごう処理しょり専用せんようチップ**

5.3 バックアップと事業じぎょう継続けいぞく

ランサムウェアや**大だい規模きぼ災害さいがい**で全ぜんデータが使つかえなくなっても、**バックアップから復旧ふっきゅう**できれば事業じぎょうは継続けいぞくできます。重要じゅうようなのは「バックアップを取とること」だけでなく、「バックアップ自体じたいが守まもられていること」。3-2-1 ルールが業界ぎょうかい標準ひょうじゅんの指針ししんです。

• 3-2-1 ルール — 3 個このコピー・2 種類しゅるいの媒体ばいたい・1 個こをオフサイト保管ほかん
• WORM（Write Once Read Many） — 1 回かい書かいたら変更へんこう不可ふか。ランサムウェア対策たいさくに有効ゆうこう
• BCP（Business Continuity Plan） — 事業じぎょう継続けいぞく計画けいかく（災害さいがい時じの業務ぎょうむ再開さいかい手順てじゅん）
• BCM（Business Continuity Management） — 継続けいぞく的てきに BCP を見直みなおす**管理かんり体制たいせい**

具体ぐたい例れい: ランサムウェア被害ひがいでバックアップまで暗号あんごう化かされた企業きぎょうが後ごを絶たちません。オフラインバックアップ（ネットから切きり離はなした別べつ媒体ばいたい）や **WORM 記録きろくが有効ゆうこうな対策たいさく。日常にちじょうのバックアップと災害さいがい対策たいさく用よう**を区別くべつする発想はっそうが重要じゅうようです。

5.4 物理ぶつり的てき対策たいさく

デジタル対策たいさくだけでなく、物理ぶつり的てきな侵入しんにゅう・盗難とうなん・災害さいがいへの備そなえも必須ひっす。入にゅう退室たいしつ管理かんり・施錠せじょう・監視かんしカメラ・UPSなどの基本きほんが守まもられていないと、ハイテクなサイバー対策たいさくも無意味むいみになります。**「机上きじょうのパスワードメモ」**のようなアナログな抜ぬけ穴あなは身近みぢかなところで起おきやすい。

• 入にゅう退室たいしつ管理かんり — IC カード・生体せいたい認証にんしょう（サーバルーム、秘匿ひとくエリア）
• サーバルームの施錠せじょう — 物理ぶつりアクセス制御せいぎょ
• 監視かんしカメラ — 侵入しんにゅう痕跡こんせきの記録きろく・抑止よくし
• UPS（無む停電ていでん電源でんげん装置そうち） — 瞬間しゅんかん的てきな停電ていでん対策たいさく
• クリアデスク/クリアスクリーン — 席せきを離はなれるときは書類しょるいを片付かたづけ、画面がめんをロック

5.5 決済けっさい系けいセキュリティ

クレジットカード・QR コード決済けっさい・オンラインバンキングなど、お金かねの流ながれに関かかわるセキュリティ。PCI DSS（カード業界ぎょうかい基準きじゅん）や eKYC（電子でんし的てき本人ほんにん確認かくにん）などの用語ようごは近年きんねんの出題しゅつだい頻度ひんどが上昇じょうしょうしています。EMV 3-D セキュア 2.0 はオンライン決済けっさいの本人ほんにん認証にんしょう標準ひょうじゅん。

用語ようご	意味いみ
EMV 3-D セキュア 2.0	オンラインカード決済けっさいの本人ほんにん認証にんしょう（リスクベース認証にんしょう）
PCI DSS	カード業界ぎょうかいのセキュリティ基準きじゅん（国際こくさい）
eKYC	電子でんし的てきな本人ほんにん確認かくにん（Electronic Know Your Customer）。オンライン口座こうざ開設かいせつ
AML/CFT	マネーロンダリング・テロ資金しきん供与きょうよ対策たいさく

5.6 IoT セキュリティの特徴とくちょう

IoT 機器きき（家電かでん・センサー・スマート家電かでん）は、計算けいさん資源しげんが乏とぼしく、長期間ちょうきかん更新こうしんされないため、従来じゅうらいのセキュリティ対策たいさくが使つかえません。**防犯ぼうはんカメラがボットネット化かした Mirai 事件じけんのように、IoT セキュリティの甘あまさが大だい規模きぼ攻撃こうげきの踏ふみ台だいになる事例じれいも発生はっせい。設計せっけい段階だんかいから堅牢けんろう化か**するのが基本きほんです。

• 軽量けいりょう暗号あんごう — 計算けいさん資源しげんが乏とぼしいため、従来じゅうらいの重おもい暗号あんごうが使つかえない → IoT 向むけ軽量けいりょう暗号あんごう（CLEFIA 等ひとし）
• セキュアブート — 起動きどう時じに**正規せいきソフトか署名しょめい検証けんしょう**
• 耐タンパ性せい — 物理ぶつり的てきな改かいざんを検知けんち・防止ぼうし
• 設計せっけい段階だんかいからの堅牢けんろう化か（Security by Design） — 長期間ちょうきかん使用しよう・アップデートが届とどきにくい前提ぜんていで初期しょき設計せっけい時じから対策たいさく

引ひっかけ: IoT セキュリティはソフトウェア更新こうしんが届とどきにくいのが最大さいだいの課題かだい。スマート電球でんきゅうや監視かんしカメラは 5 年ねん以上いじょう同おなじファームウェアで動うごくことがあり、脆弱ぜいじゃく性せいが発見はっけんされてもパッチが当あたらないまま稼働かどうし続つづける。**設計せっけい時点じてんでの堅牢けんろう化か**が必須ひっすになる理由りゆう。

📋 章しょう末まつまとめ

最さい重要じゅうようポイント 10 連発れんぱつ

1. CIA の 3 要素ようそ — 機密きみつ性せい・完全かんぜん性せい・可用性かようせい。どの対策たいさくがどれを守まもるかを即答そくとうできるように
2. 公開こうかい鍵かぎ暗号あんごうの鍵かぎの使つかい分わけ — 機密きみつ性せいなら「受信じゅしん者しゃの公開こうかい鍵かぎ」、電子でんし署名しょめいなら「送信そうしん者しゃの秘密ひみつ鍵かぎ」
3. SQL インジェクション対策たいさく — プレースホルダ（バインド機構きこう）が正解せいかい
4. リスク対応たいおう 4 分類ぶんるい — 回避かいひ・低減ていげん・移転いてん・受容じゅよう
5. ISMS の PDCA — Plan-Do-Check-Act の継続けいぞく的てき改善かいぜん
6. 多た要素ようそ認証にんしょう vs 2 段階だんかい認証にんしょう — 同おなじ要素ようそを 2 回かいは多た要素ようそではない
7. IDS と IPS の違ちがい — IDS は検知けんちのみ、IPS は遮断しゃだんまで行おこなう
8. WAF の用途ようと — Web アプリ固有こゆうの攻撃こうげき（SQLi・XSS）対策たいさく
9. 3-2-1 バックアップルール — 3 個こ・2 媒体ばいたい・1 オフサイト
10. ランサムウェア対策たいさく — オフライン保管ほかん・WORM・最新さいしんパッチ

出題しゅつだい傾向けいこうのコツ

• 具体ぐたいシナリオ → 攻撃こうげき名めい or 対策たいさく名めいを選えらぶ型がたが中心ちゅうしん
• CIA の 3 要素ようそは「この対策たいさくはどれを守まもるか」の組くみ合あわせで覚おぼえる
• 用語ようごを英語えいご略称りゃくしょうでも日本語にほんごでも答こたえられるようにする（例れい: WAF = Web Application Firewall）

次じ章しょうで、実際じっさいの出題しゅつだい形式けいしきに慣なれていきましょう。