最新テクノロジ系「セキュリティ」の用語集

ITパスポートシラバス6対応最新テクノロジ系セキュリティの用語集分野別
スポンサーリンク

ITパスポート試験 シラバス6対応 テクノロジ系 セキュリティ についての出題傾向、学習ポイント、重要な用語を紹介します。

スポンサーリンク
目次
  1. 出題傾向
  2. 情報セキュリティ
    1. 情報セキュリティ
    2. 盗聴
    3. ビジネスメール詐欺(BEC)
    4. ダークウェブ
    5. マルウェア
    6. ファイルレスマルウェア
    7. RAT
    8. マクロウイルス
    9. SPAM
    10. シャドーIT
    11. 不正のトライアングル
    12. クロスサイトリクエストフォージェリ
    13. クリックジャッキング
    14. ドライブバイダウンロード
    15. ディレクトリトラバーサル
    16. 中間者攻撃
    17. MITB攻撃
    18. 第三者中継
    19. IPスプーフィング
    20. DNSキャッシュポイズニング
    21. セッションハイジャック
    22. DDoS攻撃
    23. クリプトジャッキング
    24. 攻撃の準備
    25. ポートスキャン
  3. 情報セキュリティ管理
    1. リスクマネジメント
    2. リスクアセスメント
    3. リスク特定
    4. リスク分析
    5. リスク評価
    6. リスク対応
    7. 情報セキュリティポリシ
    8. ISMS
    9. 情報セキュリティの要素
    10. 情報セキュリティの要素(機密性を高める施策)
    11. 情報セキュリティの要素(完全性を高める施策)
    12. 情報セキュリティの要素(可用性を高める施策)
    13. ISMSにおけるPDCA
    14. プライバシーポリシ(個人情報保護方針)
    15. 安全管理措置
    16. サイバー保険
    17. 情報セキュリティ委員会
    18. SOC
    19. コンピュータ不正アクセス届出制度
    20. コンピュータウイルス届出制度
    21. ソフトウェア等の脆弱性関連情報に関する届出制度
    22. J-CSIP
    23. J-CRAT
    24. SECURITY ACTION
  4. 情報セキュリティ対策・情報セキュリティ実装技術
    1. 情報セキュリティ訓練
    2. 標的型メールに関する訓練
    3. 組織における内部不正防止ガイドライン
    4. アクセス制御
    5. WAF
    6. IDS
    7. IPS
    8. DLP
    9. SIEM
    10. SSL/TLS
    11. VPN
    12. IP-VPN
    13. MDM
    14. ブロックチェーン
    15. 耐タンパ性
    16. セキュアブート
    17. TPM
    18. PCIDSS
    19. MACアドレスフィルタリング
    20. クリアデスク・クリアスクリーン
    21. セキュリティケーブル
    22. 遠隔バックアップ
    23. 暗号化アルゴリズム
    24. 公開鍵暗号方式
    25. ハイブリッド暗号方式
    26. ディスク暗号化
    27. ファイル暗号化
    28. タイムスタンプ(時刻認証)
    29. 多要素認証
    30. SMS認証
    31. ニ段階認証
    32. バイオメトリクス認証(生体認証)
    33. 静脈パターン認証
    34. 虹彩認証
    35. 声紋認証
    36. 顔認証
    37. 網膜認証
    38. FRR
    39. FAR
    40. ルート証明書
    41. サーバ証明書
    42. クライアント証明書
    43. CA
    44. CRL
    45. セキュリティバイデザイン
    46. プライバシーバイデザイン
    47. クロスサイトスクリプティング対策
    48. SQLインジェクション対策
    49. IoTセキュリティガイドライン
    50. コンシューマ向けIoTセキュリティガイド
  5. まとめ

出題傾向

出題数

19問程度(テクノロジ系45問中)出題されます。

*令和元年秋~令和4年公開問題の平均

テクノロジ系の半分はセキュリティの問題!

出題傾向

令和4年度公開問題では、昨年度に比べ4問減少しました。

Ver.○.○の表示について
 用語が初めてシラバスに掲載されたときのバージョンです。
 Ver.4.0Ver.5.0はシラバスの比較的新しい用語で、Ver.6.0と同じく要注意用語です。
 表示がないのは、Ver.3以前からシラバスにある用語です。

情報セキュリティ

用語がたくさんあるから、何に関する用語なのか整理して覚えるといいよ。

情報セキュリティ

情報セキュリティは、組織が持つ情報資産(顧客情報や販売情報など)を守るための包括的な保護の取り組みという概念です。

テクノロジ系セキュリティ61.情報セキュリティ

人の操作によって引き起こされる脅威です。

名称と特徴を覚えましょう。

盗聴

Ver.5.0
盗聴対策は、対象によって異なります。

パスワードの盗聴対策については、暗号化した通信でパスワードを送信する方法があります。
(ITパスポート 平成31年春 問59より)

無線LANの盗聴対策については、セキュリティの設定で,WPA3を選択する方法があります。
(ITパスポート 平成27年春 問74より)

新しい用語の問題4
新しい用語の問題9
テクノロジ系セキュリティ61.情報セキュリティ

ビジネスメール詐欺(BEC)

Ver.5.0
ビジネスメール詐欺(BEC)は、巧妙なだましの手口を駆使し,取引先になりすまして偽の電子メールを送リ、金銭をだまし取ります。
(情報セキュリティマネジメント 令和元年秋午前 問1より)

新しい用語の問題4
テクノロジ系セキュリティ61.情報セキュリティ

ダークウェブ

Ver.5.0
ダークウェブには、ドラッグや武器、サイバー攻撃、個人情報等の違法商品を取引するための闇市場サイトの存在し、大きく問題視されています。

アクセスには、匿名性の高い通信を担保する専用のツール(ブラウザ)が必要です。

テクノロジ系セキュリティ61.情報セキュリティ

技術的に引き起こされる脅威です。

名称と特徴を覚えましょう。

マルウェア

マルウェアは、コンピュータウイルス、ワームなどを含む悪意のあるソフトウェアの総称です。
(ITパスポート 平成25年秋 問77より)

テクノロジ系セキュリティ61.情報セキュリティ

ファイルレスマルウェア

Ver.6.0
ファイルレスマルウェアは、マルウェアの実行ファイルをパソコンに作らず、不正なコードをレジストリに保存する等の⼿法を使うことで検知を回避する攻撃です。

テクノロジ系セキュリティ61.情報セキュリティ

RAT

Ver.4.0
RAT( Remote Access Tool)

RATは、リモートでシステムにアクセスして操作することを可能にするソフトウェアの総称です。

多くの場合、トロイの木馬型(バックドア型)マルウェア注)を指します。

Try! 令和3年問94

テクノロジ系セキュリティ61.情報セキュリティ

マクロウイルス

マクロウイルスは、Officeアプリケーションなどで動作するマクロ機能を使って作成されたコンピュータウイルスです。

Try! 令和2年問58

テクノロジ系セキュリティ61.情報セキュリティ

SPAM

Ver.4.0
SPAMは、受信者の承諾なしに無差別に送付されるメールです。
(ITパスポート 平成21年秋 問71より)

テクノロジ系セキュリティ61.情報セキュリティ

情報システムの安全上の欠陥の用語です。

シャドーIT

Ver.4.0
シャドーIT は、IT部門の許可を得ずに,従業員又は部門が業務に利用しているデバイスやクラウドサービスです。
(情報セキュリティマネジメント 平成29年秋午前 問16より)

Try! 令和3年問65

テクノロジ系セキュリティ61.情報セキュリティ

不正行為の発生メカニズムについての用語です。

不正のトライアングル

Ver.4.0
不正のトライアングルと呼び、次の3要素がそろったとき、企業内部で不正行為が発生すると考えられています。

「動機」・・・不正を犯す必要性。例えば、仕事のストレスや不満

「機会」・・・重要な情報を持ち出すなど、不正を行おうと思えば実施できてしまう状況

「正当化」・・・不正行為者の考え方。例えば、言い訳

テクノロジ系セキュリティ61.情報セキュリティ

情報システムへの攻撃手法です。

名称と次の点を覚えましょう。

  • どんな脅威(問題が起こる)?
  • どんな脆弱性(弱点)をついた攻撃?
  • どのように攻撃する

クロスサイトリクエストフォージェリ

Ver.5.0
クロスサイトリクエストフォージェリは、悪意のあるスクリプトが埋め込まれたWebページを訪問者に閲覧させて、別のWebサイトで、その訪問者が意図しない操作を行わせる攻撃です。
(情報セキュリティスペ 平成22年春午前Ⅰ 問15より)

テクノロジ系セキュリティ61.情報セキュリティ

クリックジャッキング

Ver.5.0
WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し、WebサイトA上の操作に見せかけて標的サイトB上で操作させる攻撃です。
(情報セキュリティマネジメント 平成28年春午前 問22より)

新しい用語の問題5
テクノロジ系セキュリティ61.情報セキュリティ

ドライブバイダウンロード

Ver.4.0
ドライブバイダウンロードは、Webサイトを閲覧したとき、利用者が気付かないうちに、利用者の意図にかかわらず、利用者のPCに不正プログラム(マルウエアなど)がダウンロードされる攻撃です。
(情報セキュリティマネジメント 平成28年春午前 問25より)

テクノロジ系セキュリティ61.情報セキュリティ

ディレクトリトラバーサル

Ver.5.0
ディレクトリトラバーサルは、攻撃者がパス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する攻撃です。
(情報セキュリティマネジメント 平成29年春午前 問23より)

新しい用語の問題5
テクノロジ系セキュリティ61.情報セキュリティ

中間者攻撃

Ver.5.0
中間者(Man-in-the-middle)

中間者攻撃は、ディジタル証明書を使わずに、通信者同士が、通信によって交換する公開鍵を用いて行う暗号化通信において、通信内容を横取りする目的で当事者になりすます攻撃です。
(情報セキュリティスペ 平成22年春午前Ⅱ 問13より)

テクノロジ系セキュリティ61.情報セキュリティ

MITB攻撃

Ver.5.0
MITB(Man-in-the-browser)

MITB攻撃は、PCに侵入したマルウエアが、利用者のインターネットバンキングへのログインを検知して、Webブラウザから送信される振込先などのデータを改ざんする攻撃です
(応用情報 平成28年春午前 問45より)

新しい用語の問題5
テクノロジ系セキュリティ61.情報セキュリティ

第三者中継

Ver.5.0
第三者中継は、本来の利用者でない外部の利用者が、メール送信サーバ(SMTPサーバ)を使ってメールを送信する攻撃です。

また、外部の利用者が、送信先メールアドレスを自由に指定できてしまう設定になっていることです。

迷惑メールやウイルス等を送信する際に身元を隠すために使用されます。

テクノロジ系セキュリティ61.情報セキュリティ

IPスプーフィング

Ver.5.0
IPスプーフィングは、偽の送信元IPアドレスをもったパケットを送る攻撃です。
(ITパスポート 平成27年秋 問81より)

新しい用語の問題5
テクノロジ系セキュリティ61.情報セキュリティ

DNSキャッシュポイズニング

Ver.4.0
DNSキャッシュポイズニングは、PCが参照するDNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導する攻撃です。
(情報セキュリティマネジメント 平成29年秋午前 問22より)

Try! 令和3年問56

テクノロジ系セキュリティ61.情報セキュリティ

セッションハイジャック

Ver.5.0
セッションハイジャックは、サーパとクライアント聞の正規のセッションに割り込んで、正規のクライアントに成りすます攻撃で、サーバ内のデータを盗み出します。
(ITパスポート 平成24年春 問77より)

テクノロジ系セキュリティ61.情報セキュリティ

DDoS攻撃

Ver.4.0
DDoS 攻撃は、インターネット上の多数の機器から特定のネットワーク、サーバに一斉にパケットを送り、過剰に負荷をかけて機能不全にする攻撃です。

出題された具体例
ある日のある時刻に、マルウェアに感染した多数のIoT機器が特定のWebサイトへ一斉に大量のアクセスを行い、Webサイトのサービスを停止に追い込んだ。
(ITパスポート 令和元年秋 問100より)

テクノロジ系セキュリティ61.情報セキュリティ

クリプトジャッキング

Ver.5.0
クリプトジャッキングは、暗号資産(仮想通貨)を入手するためのマイニングと呼ばれる作業を、他人のコンビュータを使って気付かれないように行うことです。
(ITパスポート 令和2年 問60より)

新しい用語の問題5

Try! 令和2年問60

テクノロジ系セキュリティ61.情報セキュリティ

攻撃の準備

Ver.5.0
攻撃の準備として、ポートスキャンがおこなわれます。

テクノロジ系セキュリティ61.情報セキュリティ

ポートスキャン

Ver.5.0
ポートスキャンは、事前調査の段階で、攻撃できそうなサービスがあるかどうかを調査する目的で行われます。
(情報セキュリティマネジメント 平成28年春午前 問29より)

新しい用語の問題5
テクノロジ系セキュリティ61.情報セキュリティ

情報セキュリティ管理

リスクマネジメントの順番や情報セキュリティの要素の具体例が試験に出ている。

関連する用語をセットで覚えるといいよ。

情報セキュリティのリスクマネジメントの用語です。

リスクマネジメント

リスクマネジメントとは、リスクを特定し、評価した上で許容レベルまでリスクを低減するプロセスのことです。(順番も大切です。)

リスク特定(リスクアセスメントの一つ)
リスク分析(リスクアセスメントの一つ)
リスク評価(リスクアセスメントの一つ)
リスク対応

テクノロジ系セキュリティ62.情報セキュリティ管理

リスクアセスメント

Ver.4.0
リスクアセスメントは、識別された資産に対するリスクを分析、評価し、基準に照らして対応が必要かどうかを判断することです。

次の手順(1→2→3)で行います。

  1. リスク特定
  2. リスク分析
  3. リスク評価

Try! 令和元年秋問56

テクノロジ系セキュリティ62.情報セキュリティ管理

リスク特定

Ver.4.0
リスク特定は、組織に存在するリスクを洗い出すことです。

テクノロジ系セキュリティ62.情報セキュリティ管理

リスク分析

Ver.4.0
リスク分析は、リスクの発生確率と影響度から、リスクの大きさを算定することです。

テクノロジ系セキュリティ62.情報セキュリティ管理

リスク評価

Ver.4.0
リスク評価は、リスクの大きさとリスク受容基準を比較して、対策実施の必要性を判断することです。

スキマ時間問題3-3
テクノロジ系セキュリティ62.情報セキュリティ管理

リスク対応

リスク対応は、リスクへの対処方法を選択し、具体的な管理策の計画を立てることです。

情報セキュリティのリスクマネジメントにおけるリスク対応は、リスクの移転回避受容及び低減の四つに分類できます。

Try! 令和2年問68 令和元年秋問86

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティ管理の用語です。

情報セキュリティポリシ

情報セキュリティポリシは、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。

情報セキュリティ基本方針は組織全体で統一させます。
(ITパスポート 平成26年秋 問61より)

Try! 令和元年秋問84

テクノロジ系セキュリティ62.情報セキュリティ管理

ISMS

ISMS(Information Security Management System)

ISMSは、情報セキュリティマネジメントシステムのことです。

情報の機密性や完全性、可用性を維持し、情報漏えいなどのインシデント(事故)発生を低減させるためのしくみです。

Try! 令和2年問69

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティの要素です。

名称と各要素を高める施策を覚えましょう

情報セキュリティの要素

Ver.4.0
情報セキュリティの要素は、情報セキュリティ上の重要な特性で、機密性、完全性、可用性、真正性、責任追跡性、否認防止、信頼性があります。

機密性:
情報にアクセスすることが認可されたものだけがアクセスできることを確実にすること

完全性:
情報および処理方法の正確さおよび完全である状態を安全防護すること

可用性:
認可された利用者が、必要なときに情報にアクセスできることを確実にすること

真正性:
本物であることを証明できること

責任追跡性:
誰が行ったか追跡できること

否認防止:
否認されることがないように、引き起こされたことを証明できること

信頼性:
不具合がないこと

Try! 令和4年問72 令和3年問67 令和2年秋問87 令和元年秋問97

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティの要素(機密性を高める施策)

Ver.4.0
機密性を高める施策として、次の例が試験に出ています。

①機密情報のファイルを暗号化し、漏えいしても解読されないようにする。
(ITパスポート 平成25年秋 問75より)

②ファイルに読出し用パスワードを設定する。
(ITパスポート 平成26年秋 問67より)

③生体認証を採用する。
(ITパスポート 平成27年秋 問58より)

④外部記憶媒体の無断持出しが禁止
(基本情報 平成28年秋午前 問59より)

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティの要素(完全性を高める施策)

Ver.4.0
完全性を高める施策として、次の例が試験に出ています。

①データの入力者以外の者が、入力されたデータの正しさをチェックする。
(ITパスポート 平成26年秋 問67より)

②ディジタル署名を行う。
(ITパスポート 平成27年秋 問58より)

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティの要素(可用性を高める施策)

Ver.4.0
可用性を高める施策として、次の例が試験に出ています。

①ハードウェアを二重化する。
(ITパスポート 平成27年秋 問58より)

②データを処理するシステムに予備電源を増設する。
(ITパスポート 平成26年秋 問67より)

③中断時間を定めたSLA注)の水準が保たれるように管理する。
(基本情報 平成28年秋午前 問59より)

注)SLA:
サービス提供者とサービス利用者との間で取り決めたサービスレベルの合意書

テクノロジ系セキュリティ62.情報セキュリティ管理

ISMSにおけるPDCA

PDCAの各プロセスと具体的な活動や業務の対応が、よく出題されています。

〇Plan(計画)
情報セキュリティマネジメント(ISMS)の確立

・情報資産のリスクアセスメント
(初級シスアド 平成21年春 問56より)

・企業の経営方針に基づいて情報セキュリティ基本方針を策定
(ITパスポート 平成26年秋 問78より)

〇Do(実施)
ISMSの導入及び運用

・計画段階で選択した対策の導入・運用運用しているサーバのソフトウェアに対する最新の修正プログラムの有無を、定められた運用手順に従って毎日調べる業務
(ITパスポート 平成30年秋 問61より)

〇Check (点検・監査)
ISMSの監視及び見直し

・ISMSの監視及び見直し 1年前に作成した情報セキュリティポリシについて、適切に運用されていることを確認するための監査
(ITパスポート 令和元年秋 問68より)

・プロセスの効果を測定し、結果の評価を行う。
(ITパスポート 平成30年春 問90より)

〇Act(見直し・改善)
ISMSの維持及び改善

・リスクマネジメントの活動状況の監視の結果などを受けて、是正や改善措置を決定している。
(ITパスポート 令和3年 問77より)

Try! 令和3年問77 令和元年秋問68 

テクノロジ系セキュリティ62.情報セキュリティ管理

個人情報保護についての用語です。

プライバシーポリシ(個人情報保護方針)

Ver.4.0
プライバシーポリシは、個人情報の利用目的や管理方法の考え方を文章に示し公表したものです。

テクノロジ系セキュリティ62.情報セキュリティ管理

安全管理措置

Ver.4.0
安全管理措置は、個人データの漏えい防止など、個人データの安全管理のために必要かつ適切な措置のことです。

次のような具体例が試験に出ています。

①データを暗号化して保存する。
(ITパスポート 平成30年春 問98より)

②住所録のデータを書き込んだCD-ROMを破棄するときには破砕する。
(ITパスポート 平成28年春 問65より)

テクノロジ系セキュリティ62.情報セキュリティ管理

サイバー保険

Ver.4.0
サイバー保険は、サイバー事故(個人情報漏洩など)により企業に生じた第三者に対する「損害賠償責任」、事故時に必要となる「費用」、自社の「喪失利益」などが契約によって補償されます。

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティ組織・機関についての用語です。

次の点を確認して覚えましょう。

  • なんのための制度,組織?
  • 対象?
  • どんなことをする?

情報セキュリティ委員会

Ver.4.0
情報セキュリティ委員会は、ISMS(情報セキュリティマネジメントシステム)を推進する社内に置かれる組織です。

構成:複数の部門の代表者

役割:自部門の課題の提出や、部門指導と管理、相互理解

テクノロジ系セキュリティ62.情報セキュリティ管理

SOC

Ver.4.0
SOC(Security Operation Center)

SOCは、民間企業のサーバに対するセキュリティ攻撃を監視、検知する組織です。
(情報セキュリティマネジメント 平成29年秋午前 問4より)

SOCは自分の会社で構築・運用する場合と、外部の会社が提供するサービスを利用する場合があります。

テクノロジ系セキュリティ62.情報セキュリティ管理

コンピュータ不正アクセス届出制度

Ver.4.0
コンピュータ不正アクセス届出制度は、国内の不正アクセス被害をIPA(情報処理推進機構)に届け出る制度です。

目的:IPA(情報処理推進機構)は、不正アクセス被害の実態把握や同様の被害発生の防止に役立てます。

テクノロジ系セキュリティ62.情報セキュリティ管理

コンピュータウイルス届出制度

Ver.4.0
コンピュータウイルス届出制度は、コンピュータウイルス被害をIPA(情報処理推進機構)に届け出る制度です。

目的:IPA(情報処理推進機構)は、ウイルス感染被害の拡大や再発の防止に役立てます。

テクノロジ系セキュリティ62.情報セキュリティ管理

ソフトウェア等の脆弱性関連情報に関する届出制度

Ver.4.0
ソフトウェア等の脆弱性関連情報に関する届出制度は、ソフトウェア等の脆弱性関連情報をIPA(情報処理推進機構)に届け出る制度です。

目的:脆弱性関連情報の適切な流通および対策の促進を図り、インターネット利用者に対する被害を予防する。

テクノロジ系セキュリティ62.情報セキュリティ管理

J-CSIP

Ver.4.0
J-CSIP(ジェイシップ:サイバー情報共有イニシアティブ)

J-CSIPは、参加組織及びそのグループ企業において検知されたサイバー攻撃などの情報を、IPAが情報ハブになって集約し、参加組織間で共有する取組です。
(情報セキュリティマネジメント 令和元年秋午前 問2より)

テクノロジ系セキュリティ62.情報セキュリティ管理

J-CRAT

Ver.4.0
J-CRAT(ジェイ・クラート:サイバーレスキュー隊)

サイバーレスキュー隊は、標的型サイバー攻撃の被害低減と攻撃連鎖の遮断を支援する活動を行います。
(IPA(情報処理推進機構)に設置)

テクノロジ系セキュリティ62.情報セキュリティ管理

SECURITY ACTION

Ver.5.0
SECURITY ACTIONは、中小企業の情報セキュリティ対策普及の加速化に向けて、情報セキュリティ対策に取り組むことを自己宣言する制度です。
 (ITパスポート 令和3年 問79より)

Try! 令和3年問79

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティ対策・情報セキュリティ実装技術

”実装”は、”機能を組み込むこと”だよ。

次の点を確認して覚えるといいよ。

・対象は何か?

・どんな脅威のための対策?

・どんな方法?

人的なセキュリティ対策です。

情報セキュリティ訓練

Ver.5.0
情報セキュリティ訓練は、サイバー攻撃に対する『防災訓練』です。

(目的)インシデントが発生した際の対応力を高めます。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

標的型メールに関する訓練

標的型メールに関する情報セキュリティ訓練について、次のような例があります。

 ・対象の社員に訓練であることは伝えず、偽の標的型メールを送信する。

 ・どれだけ標的型メールを開いてしまったか、または、適切に対処できたかを測定する。

 ・結果を、今後のサイバーセキュリティ教育に活かす。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

組織における内部不正防止ガイドライン

Ver.4.0
作成:IPA(情報処理推進機構)

次のガイドラインの推奨事項が試験に出ています。

ガイドラインの推奨事項①
重大な不正を犯した内部不正者に対しては組織としての処罰を検討するとともに、再発防止の措置を実施する。
(ITパスポート 令和元年秋 問61より)

ガイドラインの推奨事項②
内部不正対策は経営者の責任であり、経営者は基本となる方針を組織内外に示す“基本方針”を策定し、役職員に周知徹底する。
(ITパスポート 令和元年秋 問61より)

ガイドラインの推奨事項③
退職間際に重要情報の不正な持出しが行われやすいので、退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。
(情報セキュリティマネジメント 平成30年春午前 問4より)

ガイドラインの推奨事項④
インターネット上のWebサイトへのアクセスに関しては、コンテンツフィルタ(URLフィルタ)を導入して、SNS、オンラインストレージ、掲示板などへのアクセスを制限する。
(情報セキュリティマネジメント 平成28年春午前 問 7より)

Try! 令和元年秋問61

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

技術的なセキュリティ対策です。

アクセス制御

アクセス制御は、ユーザがコンピュータシステムの資源(データ等)にアクセスすることができる権限・認可をコントロールすることです。

Try! 令和元年秋問78

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

WAF

Ver.5.0
WAF(Web Application Firewall )

WAFは、Webアプリケーションへの攻撃を検知し、阻止します。
(応用情報 平成31年春午前 問45より)

新しい用語の問題5
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

IDS

Ver.5.0
IDS ( Intrusion Detection System : 侵入検知システム)

IDSは、サーバやネットワークを監視し、侵入や侵害を検知した場合に管理者へ通知します。
(基本情報 平成30年秋午前 問42より)

新しい用語の問題5
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

IPS

Ver.5.0
IPS( Intrusion Prevention System: 侵入防止システム)

IPSは、サーバやネットワークへの侵入を防ぐために、不正な通信を検知して遮断する装置です。
(情報セキュリティマネジメント 平成31年春午前 問15より)

新しい用語の問題5
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

DLP

Ver.4.0
DLP(Data Loss Prevention)

DLPは、情報システムにおいて、秘密情報を判別し、秘密情報の漏えいにつながる操作に対して警告を発令したり、その操作を自動的に無効化します。
(情報セキュリティマネジメント 平成29年秋午前 問13より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

SIEM

Ver.5.0
SIEM(Security Information and Event Management)

SIEMは、複数のサーバやネットワーク機器のログを収集分析し、不審なアクセスを検知します。
(応用情報 平成29年秋午前 問38より)

また、様々な機器から集められたログを総合的に分析し、管理者による分析と対応を支援します。
(基本情報 令和元年秋午前 問43より)

新しい用語の問題5
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

SSL/TLS

Ver.4.0
SSL/TLS(Secure Sockets Layer/Transport Layer Security)

SSL/TLSは、HTTPSで接続したWebサーバとブラウザ間の暗号化通信に利用されるプロトコルです。
(ITパスポート 平成30年秋 問71より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

VPN

VPN ( Virtual Private Network )

VPNは公衆ネットワークなどを利用して構築された、専用ネットワークのように使える仮想的なネットワークです。
(ITパスポート 平成29年秋 問85より)

認証と通信データの暗号化によって、セキュリティの高い通信を行います。
(ITパスポート 平成23年秋 問70より)

VPNの説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

IP-VPN

シラ外
IP-VPNは、通信事業者が構築したネットワークを利用し、インターネットで用いられているのと同じネットワークプロトコルによって、契約者の拠点間だけを専用線のようにセキュリティを確保して接続するWANサービスです。
(ITパスポート 平成28年秋 問57より)

Try! 令和2年問78

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

MDM

Ver.4.0
MDM(Mobile Device Management)

MDMは、モバイル端末の状況の監視、リモートロックや遠隔データ削除ができるエージェントソフトの導入などによって、企業システムの管理者による適切な端末管理を実現することです。
(ITパスポート 平成30年秋 問72より)

Try! 令和2年問76

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ブロックチェーン

Ver.4.0
ブロックチェーンは、複数の取引記録をまとめたデータを順次作成するときに、そのデータに直前のデータのハッシュ値を埋め込むことによって、データを相互に関連付け、取引記録を矛盾なく改ざんすることを困難にすることで、データの信頼性を高める技術です。
(ITパスポート 令和元年秋 問59より)

ブロックチェーンは、暗号資産を支える重要な技術です。

Try! 令和元年秋問59

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

耐タンパ性

Ver.4.0
耐タンパ性は、ハードウェアなどに対して外部から不正に行われる内部データの改ざんや解読、取出しなどがされにくくなっている性質です
(ITパスポート 令和2年 問90より)

ICカードの耐タンパ性を高める対策として、次のような例があります。

信号の読出し用プロープの取付けを検出するとICチップ内の保存情報を消去する回路を設けて、ICチップ内の情報を容易に解析できないようにする。
(応用情報 平成29年秋午前 問44より)

Try! 令和3年問73

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

セキュアブート

Ver.5.0
セキュアブートは、PCの起動時にOSやドライパのディジタル署名を検証し、許可されていないものを実行しないようにすることによって,OS起動前のマルウェアの実行を防ぐ技術です。
(情報セキュリティマネジメント 平成30年秋午前 問17より)

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

TPM

Ver.5.0
TPM ( Trusted Platform Module:セキュリティチップ)

TPMは、IoT機器やPCに保管されているデータを暗号化するためのセキュリティチップです。

暗号化に利用する鍵などの情報をチップの内部に記憶しており、外部から内部の情報の取出しが困難な構造をしています。
(ITパスポート 令和元年秋 問73より)

新しい用語の問題6

Try! 令和元年秋問73

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

PCIDSS

Ver.5.0
PCIDSSは、クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され、技術面及び運用面の要件を定めたものです。
(情報セキュリティマネジメント 令和元年秋午前 問27より

新しい用語の問題6

Try! 令和4年問55

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

MACアドレスフィルタリング

Ver.6.0
MACアドレスフィルタリングは、無線LANのセキュリティにおいて、アクセスポイン卜がPCなどの端末からの接続要求を受け取ったときに、接続を要求してきた端末固有の情報を基に接続制限を行う仕組みです。

テクノロジ系情報セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

物理的なセキュリティ対策です。

クリアデスク・クリアスクリーン

Ver.4.0
クリアスクリーンは、離席する際に、パソコンの画面を第三者が見たり、操作できる状態で放置しないことです。

クリアデスクは、離席する際に、机の上に書類や記憶媒体などを放置しないことです。

出題された具体例:
帰宅時、書類やノートPCを机の上に出したままにせず、施錠できる机の引出しなどに保管する。
(情報セキュリティマネジメント 平成28年春午前 問2より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

セキュリティケーブル

Ver.4.0
ノートPCの盗難を防止するために、机等とつなぐワイヤーです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

遠隔バックアップ

Ver.4.0
大規模災害によるデータ損失や災害復旧に備えて、重要なシステムやデータを遠隔地に複製することです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

暗号技術の用語です。

暗号化アルゴリズム

Ver.6.0
暗号化アルゴリズムは、暗号化を行う手順です。

WPA3などによる無線LAN の暗号化に使われています。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

公開鍵暗号方式

公開鍵暗号方式は、 データの送信側は受信者の公開鍵で暗号化し、受信側は自身の秘密鍵で復号する暗号方式です。
(ITパスポート 平成21年秋 問74より)

公開鍵暗号方式の説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

(手順)
①データの受信者Aは、自分の秘密鍵公開鍵を用意する。
②公開鍵を送信者Bに送付する。
③データの送信者Bは、受信者Aから送付された公開鍵を用いてデータを暗号化して受信者Aに送信する。
④受信者Aは、送信者Bから受信した暗号化されたデータを自分の秘密鍵を使って復号する。
(ITパスポート 平成28年春 問87より)

Try! 令和4年問60 令和3年問76

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ハイブリッド暗号方式

Ver.4.0
ハイブリッド暗号方式は、公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって、鍵管理コストと処理性能の両立を図る暗号化方式です。
(情報セキュリティマネジメント 平成31年春午前 問28より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ディスク暗号化

Ver.4.0
ディスク暗号化は、情報漏えいを防ぐことが出来ます。
(基本情報 平成26年秋午前 問38より)

ウイルス感染は防げません。
(ITパスポート 平成26年春 問82より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ファイル暗号化

Ver.4.0
ファイル暗号化は、情報漏えいを防ぐことが出来ます。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

認証技術の用語です。

タイムスタンプ(時刻認証)

Ver.4.0
タイムスタンプは、電子データが、ある日時に確かに存在していたこと、及びその日時以降に改ざんされていないことを証明します。

目的:ファイルの完全性 注)を確保するためです。

注)完全性:
正確かつ最新の状態であること

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

利用者認証技術の用語です。

多要素認証

Ver.4.0
次の例が試験に出ています。

①虹彩とパスワードで認証する。
(基本情報 平成27年秋午前 問45より)

②ICカード認証と指紋認証で認証する。
(情報セキュリティマネジメント 平成28年春午前 問18より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

SMS認証

Ver.5.0
SMS認証は、携帯電話宛てに送信されたSMSに記載のある確認コードを入力してログインする仕組みです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ニ段階認証

シラ外
2段階認証は、認証を2段階で実施する方式です。

例えば、第一段階はID・パスワードで認証を行い、第二段階は数字4桁などのコードがメールやSMSで送られ、そのコードを入力することで二段目の認証を行うなどのケースがあります。

Try! 令和3年問60

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

バイオメトリクス認証(生体認証)

生体認証(バイオメトリクス)は、指紋や顔など身体の形状に基づく身体的特徴と、音声や署名など行動特性に基づく行動的特徴を用いて行う本人認証方式です。

次のような特徴が試験に出ています。

試験に利用者にとってパスワードを記憶する負担がない。
(ITパスポート 平成29年春 問76より)

・バイオメトリクス認証における本人の身体的特徴としては,偽造が難しく,経年変化が小さいものが優れている。
(ITパスポート 令和2年 問66より)

Try! 令和2年問66

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

静脈パターン認証

Ver.4.0
静脈パターン認証は、指静脈の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

虹彩認証

Ver.4.0
虹彩認証は、目の虹彩の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

声紋認証

Ver.4.0
声紋認証は、声紋の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

顔認証

Ver.4.0
顔認証は、顔の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

網膜認証

Ver.4.0
網膜認証は、目の網膜の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

FRR、FARは、バイオメトリクス認証(生体認証)システムなどの精度を表す指標です。

お互いに関係するので、一緒に覚えましょう。

FRR

Ver.4.0
FRR (False Rejection Rate:本人拒否率)

本人拒否率は、認証しようとしている人が本人であるにもかかわらず、認証がエラー(Rejection=拒否)になる確率です。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

FAR

Ver.4.0
FAR (False Acceptance Rate:他人受入率)

他人受入率は、認証しようとしている人が他人で認証(Acceptance=受け入れ)されてしまう確率です。

FRRを減少させると、FARは増大します。
(基本情報 平成20年春午前 問64より)

FRRとFARは、シーソーのような関係(トレードオフの関係)です。

FRR(本人拒否率)と FAR(他人受入率)の関係が、次の問題に出ています。

Try! 令和3年問69

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

公開鍵基盤の用語です。

お互いに関係するので、一緒に覚えましょう。

ルート証明書

Ver.5.0
ルート証明書は、ルート認証局が発行するディジタル証明書です。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

サーバ証明書

Ver.5.0
サーバ証明書は、認証局が発行します。

次の役割があります。

①SSL/TLSによる通信内容の暗号化を実現させるために用いる。
(ITパスポート 平成30年春 問57より)

②Webサイトの運営者・運営組織の実在証明する。

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

クライアント証明書

Ver.5.0
クライアント証明書は、システムのユーザのデバイスに証明書をインストールし、そのユーザが正規の利用者であることを認証するためのディジタル証明書です。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

CA

Ver.5.0
CA(Certification Authority:認証局)

CAは、PKI(公開鍵基盤)において、利用者やサーバの公開鍵を証明するディジタル証明書を発行します。
(基本情報 平成28年秋午前 問39より)

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

CRL

Ver.5.0
CRL(Certificate Revocation List:証明書失効リスト)

CRLは、何らかの理由で有効期間中に失効したディジタル証明書の一覧を示すデータです。
(情報セキュリティマネジメント 平成29年春午前 問25より)

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

セキュリティ対策の考え方です。

セキュリティバイデザイン

Ver.5.0
セキュリティバイデザインは、システムの企画・設計段階からセキュリティを確保する方策のことです。
(基本情報 平成30年春午前 問42より)

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

プライバシーバイデザイン

Ver.5.0
プライバシーバイデザインは、システム開発の上流工程において、システム稼働後に発生する可能性がある個人情報の漏えいや目的外利用などのリスクに対する予防的な機能を検討し、その機能をシステムに組み込むものです。
(基本情報 令和元年秋午前 問64より)

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

アプリケーションソフトウェアのセキュリティ対策です。

クロスサイトスクリプティング対策

Ver.5.0
先に、クロスサイトスクリプティングについて説明します。

クロスサイトスクリプティングは、アンケート、掲示板のように、ユーザからの入力内容をウェブページに表示するウェブアプリケーションで、悪意を持ったスクリプト(命令)を埋め込まれてしまい、偽ページの表示などが可能になってしまうことです。

スクリプト:
ウェブブラウザ上で実行される命令

クロスサイトスクリプティング対策として、Webページに入力されたデータの出力データが、HTMLタグとして解釈されないように処理する方法があります。
(応用情報 平成30年秋午前 問41より)

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

SQLインジェクション対策

Ver.5.0
先に、SQLインジェクションを説明します。

SQLインジェクションは、ウェブアプリケーションへ宛てた要求に、悪意を持って細工されたSQL文を埋め込まれて(Injection)、データベースを不正に操作されてしまう問題です。

SQL:
Structured Query Language

インジェクション(injection):
挿入する

次のような被害があります。

  • Webサイトからのクレジットカード番号や個人情報の漏えい
  • ウイルス感染などを引き起こすウェブサイトの改ざん

SQLインジェクション対策として,次のような方法があります。

  • プレースフォルダを利用する。
  • データベースアクセス権限を必要最小限にする。
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

IoTシステムのセキュリティ対策のガイドラインです。

IoTセキュリティガイドライン

Ver.4.0
IoTセキュリティガイドラインは、IoT 機器やシステム、サービスに対してリスクに応じた適切なサイバーセキュリティ対策を検討するための考え方です。

作成:経済産業省と総務省
対象:IoT 機器やシステム、サービスの供給者、利用者

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

コンシューマ向けIoTセキュリティガイド

Ver.4.0
コンシューマ向けIoT セキュリティガイドは、IoT利用者を守るために、IoT製品やシステム、サービスを提供する事業者が考慮しなければならない事柄をまとめたものです。

作成:日本ネットワークセキュリティ協会 (JNSA)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

まとめ

これまで、テクノロジ系「セキュリティ」について、出題傾向、学習ポイント、最新の重要な用語について解説しました。

まとめ

【出題数と出題傾向】
 19問程度(テクノロジ系45問中)

 テクノロジ系の半分はセキュリティです!

 令和4年度公開問題では、昨年度に比べ4問減少しました。

【学習ポイント】
・情報セキュリティ
 →何に関する用語なのか整理して覚えましょう。

・情報セキュリティ管理
 →リスクマネジメントや情報セキュリティの要素など、それぞれセットで覚えましょう。

・情報セキュリティ対策・情報セキュリティ実装技術
 →対象は何か?どんな脅威のための対策?どんな方法?などを確認しながら用語を覚えましょう。

【重要用語】
 新しい用語がたくさんあります。

 過去問題だけにかたよらず、用語集を使って用語を覚えることが大切です。 

以上、テクノロジ系「セキュリティ」について解説しました。

コメント

タイトルとURLをコピーしました