情報セキュリティマネジメント試験(IPA実施の国家試験)は範囲が広く、覚えるべき用語・攻撃手法・法令が多いのが特徴です。この記事では、頻出かつ混同しやすい要点を、科目Aで即答できることを目指してジャンル別に一覧で整理します。攻撃と防御の対応、暗号での鍵の使い分け、リスク対応の分類、法律の規制対象など、直前の総まとめや弱点チェックに活用してください。
情報セキュリティの3要素と付加要素
- 機密性:許可されていない人に情報が漏れないように守る特性
- 完全性:情報が正確に保たれ、改ざん・破壊されない特性
- 可用性:必要なときに情報やサービスにアクセスできる特性(DDoSで損なわれるのはこれ)
- 真正性:利用者やデータが本物であることを保証する特性
- 責任追跡性:誰がいつ何をしたかを後から追跡できる特性
- 否認防止性:後から『やっていない』と否認できないようにする特性
土台は機密性・完全性・可用性(CIA)の3要素。「事例のどの部分が損なわれたか」を問う出題が多いので、DDoS=可用性、改ざん=完全性、のように事例と要素をひもづけて覚えましょう。
混同しやすい攻撃手法の区別
- XSS:Webページに悪意あるスクリプトを埋め込み、閲覧者のブラウザで実行させる
- CSRF:ログイン中のユーザに、意図しないリクエストを送信させる
- SQLインジェクション:入力欄に不正なSQLを送り、データベースを不正操作する
- OSコマンドインジェクション:入力を通じてサーバのOSコマンドを実行させる
- ディレクトリトラバーサル:パス指定を悪用し、非公開の上位ファイルに不正アクセスする
- セッションハイジャック:セッションIDを盗み、ログイン状態を乗っ取る
- ブルートフォース:1つのIDに対しパスワードを総当たりする
- リバースブルートフォース:1つのパスワードに対し多数のIDを試す
- パスワードリスト攻撃:流出したID・パスワードの使い回しを突く
- レインボーテーブル攻撃:ハッシュ値と平文の対応表から元のパスワードを逆算する
- 標的型攻撃:特定組織を狙い、関心を引く巧妙なメール等を用いる
- 水飲み場型攻撃:標的がよく訪れるサイトにマルウェアを仕掛けて待ち伏せる
名前が似ていて役割が違う攻撃は、「何を狙い、何を悪用するか」で区別します。とくにXSS(スクリプト実行)とCSRF(不正リクエスト送信)、ブルートフォース系の3種は頻出のひっかけどころです。
マルウェアの種類
- ワーム:単体で動作し、自ら増殖してネットワークを通じて拡散する
- ランサムウェア:データを暗号化し身代金を要求(暴露型は公開の脅迫も加える)
- トロイの木馬:正規ソフトに偽装して侵入する。RATは遠隔操作型
- スパイウェア:情報を密かに収集して外部へ送信する
- ファイルレスマルウェア:メモリ上で正規機能を悪用し、検知されにくい
- ボット/C&Cサーバ:感染端末を遠隔操作。C&Cサーバが指令を出す
暗号・署名・認証の鍵の使い分け
- 共通鍵暗号(AES):暗号化と復号に同じ鍵を使う。高速だが鍵の受け渡しが課題
- 公開鍵暗号(RSA・楕円曲線暗号):暗号化と復号で異なる鍵を使う
- 暗号化:受信者の公開鍵で暗号化し、受信者の秘密鍵で復号する
- デジタル署名:送信者の秘密鍵で署名し、送信者の公開鍵で検証する
- ハイブリッド暗号:本文は共通鍵で暗号化し、その共通鍵を公開鍵で渡す
- ハッシュ関数:入力によらず固定長・一方向。改ざん検知に使う
最頻出かつ最も混乱しやすいのが鍵の向きです。「秘匿したい=受信者の公開鍵で暗号化」「本人証明したい=送信者の秘密鍵で署名」と、目的から鍵を導けるようにしておきましょう。デジタル署名は改ざん・なりすまし・否認を防ぎますが、機密性(秘匿)は担保しない点も要注意です。
PKIと認証の要点
- 認証局(CA):デジタル証明書を発行・管理する機関
- デジタル証明書:公開鍵が本人のものであることを証明するデータ
- CRL:失効した証明書のリスト。OCSPはリアルタイムで失効確認するプロトコル
- 認証の3要素:知識(パスワード)・所有物(ICカード)・生体(指紋)
- 多要素認証:異なる種類の要素を組み合わせる(例:ICカード+指紋)
- FIDO:公開鍵暗号を用いたパスワードレス認証。SSOは一度の認証で複数サービス利用
セキュリティ製品の役割の違い
- ファイアウォール:パケットのヘッダ情報(IPアドレス・ポート)で通信を許可/拒否
- IDS:不正を検知し通知する/IPS:検知して自動的に阻止する
- WAF:Web通信を監視し、SQLインジェクションなどWebアプリ攻撃を防ぐ
- EDR:端末(エンドポイント)で振る舞いを監視し、感染を検知・対処する
- UTM:複数のセキュリティ機能を統合し一元管理する
- DMZ:外部公開サーバを置く、内部から分離した領域(DMZ→内部は原則拒否)
製品は「ネットワークのどこで、何を対象に守るか」で整理します。IDSとIPSの違い(通知か阻止か)、WAFの対象(Webアプリ攻撃)は頻出。ゼロトラスト(社内外を問わず常に検証)の考え方もあわせて押さえましょう。
リスクマネジメントの流れと分類
- リスクアセスメント:リスク特定→リスク分析→リスク評価の順で進める
- リスク対応(回避):リスク源となる活動そのものをやめる
- リスク対応(低減):対策で発生可能性・影響を下げる
- リスク対応(移転):保険・外部委託で他者に移す
- リスク対応(保有):許容範囲としてあえて受け入れる
- ISMS:情報セキュリティマネジメントシステム。PDCAで継続的に改善する
アセスメントの「特定→分析→評価」の順序と、リスク対応の「回避・低減・移転・保有」の4分類は、それぞれ別物として区別します。順序を問う問題と、事例がどの対応にあたるかを問う問題の両方が出るので、混同しないようにしましょう。
関連法令の規制対象
- サイバーセキュリティ基本法:国・地方・事業者・国民の責務や基本原則を定める
- 不正アクセス禁止法:他人のID・パスワード(識別符号)の不正利用などを禁止
- 刑法(電子計算機損壊等業務妨害罪):システムを壊す等で業務を妨害する行為を処罰
- 刑法(不正指令電磁的記録に関する罪):いわゆるウイルスの作成・提供等を処罰
- 個人情報保護法:要配慮個人情報・匿名加工情報の扱い、漏えい報告義務など
- 特定電子メール法:広告メールは原則オプトイン(事前同意)が必要
法令は「何を禁止・規制するのか」を一言で言えるようにするのが得点のコツです。似た領域を扱う法律が多いため、名称の暗記だけでなく規制対象とセットで覚えましょう。個人情報保護法の要配慮個人情報・匿名加工情報は用語の定義そのものも問われます。
直前チェック:ひっかかりやすいポイント
- 暗号化(受信者の公開鍵) vs 署名(送信者の秘密鍵):鍵の向きを逆にしない
- IDS(通知のみ) vs IPS(自動で阻止)
- XSS(スクリプト実行) vs CSRF(不正リクエスト送信)
- 共通鍵暗号(高速・鍵の受け渡しが課題) vs 公開鍵暗号(鍵配送を解決)
- リスクアセスメントの順序(特定→分析→評価)とリスク対応の4分類は別物
- デジタル署名は改ざん・なりすまし・否認を防ぐが、機密性(秘匿)は担保しない
ケンテイラボで頻出用語を定着させよう
ここで整理した用語・攻撃・暗号・法令の要点は、ケンテイラボの情報セキュリティマネジメント試験対策320問で繰り返し演習することで定着します。情報セキュリティ基礎・暗号・実装技術・リスクマネジメント・法令など8分野に絞り込んで弱点を潰し、混同しやすい攻撃や鍵の向きを問う問題を重点的に解けば、科目Aで即答できる知識が確実なものになります。早見表で全体像をつかんだら、無料の問題演習で得点力に変えていきましょう。