最新テクノロジ系「セキュリティ」の用語集

ITパスポートシラバス6対応最新テクノロジ系セキュリティの用語集分野別
スポンサーリンク

ITパスポート試験 シラバス6対応 テクノロジ系 セキュリティ についての出題傾向、学習ポイント、重要な用語を紹介します。

スポンサーリンク
目次
  1. 出題傾向
  2. 情報セキュリティ
    1. 情報セキュリティ
    2. 盗聴
    3. ソーシャルエンジニアリング
    4. ビジネスメール詐欺(BEC)
    5. ダークウェブ
    6. マルウェア
    7. ファイルレスマルウェア
    8. ランサムウェア
    9. RAT
    10. マクロウイルス
    11. バックドア
    12. SPAM
    13. シャドーIT
    14. 不正のトライアングル
    15. サイバーキルチェーン
    16. パスワードリスト攻撃
    17. クロスサイトリクエストフォージェリ
    18. クリックジャッキング
    19. ドライブバイダウンロード
    20. SQLインジェクション
    21. ディレクトリトラバーサル
    22. 中間者攻撃
    23. MITB攻撃
    24. 第三者中継
    25. IPスプーフィング
    26. DNSキャッシュポイズニング
    27. セッションハイジャック
    28. DoS攻撃
    29. DDoS攻撃
    30. クリプトジャッキング
    31. フィッシング
    32. 攻撃の準備
    33. ポートスキャン
  3. 情報セキュリティ管理
    1. リスクマネジメント
    2. リスクアセスメント
    3. リスク特定
    4. リスク分析
    5. リスク評価
    6. リスク対応
    7. 情報セキュリティポリシ
    8. ISMS
    9. 情報セキュリティの要素
    10. 情報セキュリティの要素(機密性を高める施策)
    11. 情報セキュリティの要素(完全性を高める施策)
    12. 情報セキュリティの要素(可用性を高める施策)
    13. ISMSにおけるPDCA
    14. プライバシーポリシ(個人情報保護方針)
    15. 安全管理措置
    16. サイバー保険
    17. 情報セキュリティ委員会
    18. CSIRT
    19. SOC
    20. コンピュータ不正アクセス届出制度
    21. コンピュータウイルス届出制度
    22. ソフトウェア等の脆弱性関連情報に関する届出制度
    23. J-CSIP
    24. J-CRAT
    25. SECURITY ACTION
  4. 情報セキュリティ対策・情報セキュリティ実装技術
    1. 情報セキュリティ訓練
    2. 標的型メールに関する訓練
    3. 組織における内部不正防止ガイドライン
    4. アクセス制御
    5. ファイアウォール
    6. WAF
    7. IDS
    8. IPS
    9. DLP
    10. SIEM
    11. 検疫ネットワーク
    12. DMZ
    13. SSL/TLS
    14. VPN
    15. IP-VPN
    16. MDM
    17. デジタルフォレンジックス
    18. ブロックチェーン
    19. 耐タンパ性
    20. セキュアブート
    21. TPM
    22. PCIDSS
    23. MACアドレスフィルタリング
    24. サークル型セキュリティゲート
    25. アンチパスバック
    26. クリアデスク・クリアスクリーン
    27. セキュリティケーブル
    28. 遠隔バックアップ
    29. 暗号化アルゴリズム
    30. 公開鍵暗号方式
    31. ハイブリッド暗号方式
    32. ディスク暗号化
    33. ファイル暗号化
    34. WPA2
    35. ディジタル署名
    36. タイムスタンプ(時刻認証)
    37. 多要素認証
    38. SMS認証
    39. ニ段階認証
    40. シングルサインオン
    41. バイオメトリクス認証(生体認証)
    42. 静脈パターン認証
    43. 虹彩認証
    44. 声紋認証
    45. 顔認証
    46. 網膜認証
    47. FRR
    48. FAR
    49. ルート証明書
    50. サーバ証明書
    51. クライアント証明書
    52. CA
    53. CRL
    54. セキュリティバイデザイン
    55. プライバシーバイデザイン
    56. クロスサイトスクリプティング対策
    57. SQLインジェクション対策
    58. IoTセキュリティガイドライン
    59. コンシューマ向けIoTセキュリティガイド
  5. まとめ

出題傾向

出題数

19問程度(テクノロジ系45問中)出題されます。

*令和元年秋~令和4年公開問題の平均

テクノロジ系の半分はセキュリティの問題!

出題傾向

令和4年度公開問題では、昨年度に比べ4問減少しました。

Ver.○.○の表示について
 用語が初めてシラバスに掲載されたときのバージョンです。
 Ver.4.0Ver.5.0はシラバスの比較的新しい用語で、Ver.6.0と同じく要注意用語です。
 表示がないのは、Ver.3以前からシラバスにある用語です。

情報セキュリティ

用語がたくさんあるから、何に関する用語なのか整理して覚えるといいよ。

情報セキュリティ

情報セキュリティは、組織が持つ情報資産(顧客情報や販売情報など)を守るための包括的な保護の取り組みという概念です。

テクノロジ系セキュリティ61.情報セキュリティ

人の操作によって引き起こされる脅威です。

名称と特徴を覚えましょう。

盗聴

Ver.5.0
盗聴対策は、対象によって異なります。

パスワードの盗聴対策については、暗号化した通信でパスワードを送信する方法があります。
(ITパスポート 平成31年春 問59より)

無線LANの盗聴対策については、セキュリティの設定で,WPA3を選択する方法があります。
(ITパスポート 平成27年春 問74より)

新しい用語の問題4
新しい用語の問題9
テクノロジ系セキュリティ61.情報セキュリティ

ソーシャルエンジニアリング

ソーシャルエンジニアリングは、人間の心理的な隙などを突いて、コンピュータに侵入するための情報を盗み出すことです。

ソーシャルには“社会的な”という意味があります。

ソーシャルエンジニアリングの説明(テクノロジ系セキュリティ61.情報セキュリティ)

問題をチェック! R4年 問91

テクノロジ系セキュリティ61.情報セキュリティ

ビジネスメール詐欺(BEC)

Ver.5.0
ビジネスメール詐欺(BEC)は、巧妙なだましの手口を駆使し,取引先になりすまして偽の電子メールを送リ、金銭をだまし取ります。
(情報セキュリティマネジメント 令和元年秋午前 問1より)

新しい用語の問題4
テクノロジ系セキュリティ61.情報セキュリティ

ダークウェブ

Ver.5.0
ダークウェブには、ドラッグや武器、サイバー攻撃、個人情報等の違法商品を取引するための闇市場サイトの存在し、大きく問題視されています。

アクセスには、匿名性の高い通信を担保する専用のツール(ブラウザ)が必要です。

テクノロジ系セキュリティ61.情報セキュリティ

技術的に引き起こされる脅威です。

名称と特徴を覚えましょう。

マルウェア

マルウェアは、コンピュータウイルス、ワームなどを含む悪意のあるソフトウェアの総称です。
(ITパスポート 平成25年秋 問77より)

問題をチェック! R4年 問100

テクノロジ系セキュリティ61.情報セキュリティ

ファイルレスマルウェア

Ver.6.0
ファイルレスマルウェアは、マルウェアの実行ファイルをパソコンに作らず、不正なコードをレジストリに保存する等の⼿法を使うことで検知を回避する攻撃です。

テクノロジ系セキュリティ61.情報セキュリティ

ランサムウェア

ランサムウェアは、PC内のファイルを暗号化して使用不能にし、復号するためのキーと引換えに金品を要求するソフトウェアです。
(ITパスポート 平成31年春 問94より)

ランサムウェアの説明(テクノロジ系セキュリティ61.情報セキュリティ)

問題をチェック! R4年 問56

テクノロジ系セキュリティ61.情報セキュリティ

RAT

Ver.4.0
RAT( Remote Access Tool)

RATは、特定のPCから重要情報を不正に入手するといった標的型攻撃に利用され、攻撃対象のPCに対して遠隔から操作を行って,ファイルの送受信やコマンドなどを実行させる攻撃です。
(ITパスポート 令和3年 問94より)

多くの場合、トロイの木馬型(バックドア型)マルウェアを指します。

問題をチェック! R3年 問94  

テクノロジ系セキュリティ61.情報セキュリティ

マクロウイルス

マクロウイルスは、Officeアプリケーションなどで動作するマクロ機能を使って作成されたコンピュータウイルスです。

マクロ機能は、ワープロソフトや表計算ソフトなどのアプリケーション上で、頻繁に使用する操作や複雑な操作を自動的に実行できる機能です。

たとえば、数値しか入力されていない表に、罫線や文字の大きさなどを設定して、自動的に整形したり、あるシートから別の集計シートを自動的に作り上げたりすることができます。
ま行|用語辞典|国民のための情報セキュリティサイト (soumu.go.jp)より)

次のような、マクロウイルスの動作例が試験に出題されています。

受信した電子メールに添付されていた文書ファイルを聞いたところ、PCの挙動がおかしくなった。
(ITパスポート 令和2年 問58より)

問題をチェック! R2年 問58

テクノロジ系セキュリティ61.情報セキュリティ

バックドア

バックドアは、情報ネットワークやサーバにおいて,通常のアクセス経路以外で,侵入者が不正な行為に利用するために設置するものです。
(応用情報 平成21年春午前 問41より)

次のような、バックドアの例が試験に出題されています。

システム内に攻撃者が秘密裏に作成した利用者アカウント
(情報セキュリティマネジメント 平成28年春午前 問27より)

アクセスする際にパスワード認証などの正規の手続が必要なWebサイトに、当該手続を経ないでアクセス可能なURL
(情報セキュリティマネジメント 令和元年秋午前 問21より)

SPAM

Ver.4.0
SPAMは、受信者の承諾なしに無差別に送付されるメールです。
(ITパスポート 平成21年秋 問71より)

テクノロジ系セキュリティ61.情報セキュリティ

情報システムの安全上の欠陥の用語です。

シャドーIT

Ver.4.0
シャドーIT は、IT部門の許可を得ずに,従業員又は部門が業務に利用しているデバイスやクラウドサービスです。
(情報セキュリティマネジメント 平成29年秋午前 問16より)

問題をチェック! R3年 問65

テクノロジ系セキュリティ61.情報セキュリティ

不正行為の発生メカニズムについての用語です。

不正のトライアングル

Ver.4.0
不正のトライアングルと呼び、次の3要素がそろったとき、企業内部で不正行為が発生すると考えられています。

「動機」・・・不正を犯す必要性。例えば、仕事のストレスや不満

「機会」・・・重要な情報を持ち出すなど、不正を行おうと思えば実施できてしまう状況

「正当化」・・・不正行為者の考え方。例えば、言い訳

テクノロジ系セキュリティ61.情報セキュリティ

サイバー攻撃のモデルについての用語です。

サイバーキルチェーン

シラ外
サイバーキルチェーンは、サイバー攻撃の段階を説明した代表的なモデルの一つです。

サイバー攻撃を7段階に区分して、攻撃者の考え方や行動を理解することを目的としています。

サイバーキルチェーンのいずれかの段階でチェーンを断ち切ることができれば、被害の発生を防ぐことができます。
(情報セキュリティマネジメント 平成31年春午後 問1より)

サイバーキルチェーンの説明( テクノロジ系セキュリティ61.情報セキュリティ)

問題をチェック! R4年 問69

テクノロジ系セキュリティ61.情報セキュリティ

情報システムへの攻撃手法です。

名称と次の点を覚えましょう。

  • どんな脅威(問題が起こる)?
  • どんな脆弱性(弱点)をついた攻撃?
  • どのように攻撃する

パスワードリスト攻撃

パスワードリスト攻撃は、複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して、不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて、ログインを試行する攻撃です。
(情報セキュリティマネジメント 平成28年春午前 問26より)

問題をチェック! R4年 問95

テクノロジ系セキュリティ61.情報セキュリティ

クロスサイトリクエストフォージェリ

Ver.5.0
クロスサイトリクエストフォージェリは、悪意のあるスクリプトが埋め込まれたWebページを訪問者に閲覧させて、別のWebサイトで、その訪問者が意図しない操作を行わせる攻撃です。
(情報セキュリティスペ 平成22年春午前Ⅰ 問15より)

テクノロジ系セキュリティ61.情報セキュリティ

クリックジャッキング

Ver.5.0
WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し、WebサイトA上の操作に見せかけて標的サイトB上で操作させる攻撃です。
(情報セキュリティマネジメント 平成28年春午前 問22より)

新しい用語の問題5
テクノロジ系セキュリティ61.情報セキュリティ

ドライブバイダウンロード

Ver.4.0
ドライブバイダウンロードは、Webサイトを閲覧したとき、利用者が気付かないうちに、利用者の意図にかかわらず、利用者のPCに不正プログラム(マルウエアなど)がダウンロードされる攻撃です。
(情報セキュリティマネジメント 平成28年春午前 問25より)

テクノロジ系セキュリティ61.情報セキュリティ

SQLインジェクション

SQLインジェクションは、Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって、データベースのデータの不正な取得、改ざん及び削除をする攻撃です。
(基本情報 平成28年春午前 問37より)

SQL(Structured Query Language)の略で、関係データベースの操作を行うための言語です。

インジェクション(injection)には、”挿入する”という意味があります。

次のような具体的な被害があります。

・Webサイトからのクレジットカード番号や個人情報の漏えい

・ウイルス感染などを引き起こすウェブサイトの改ざん

テクノロジ系セキュリティ61.情報セキュリティ

ディレクトリトラバーサル

Ver.5.0
ディレクトリトラバーサルは、攻撃者がパス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する攻撃です。
(情報セキュリティマネジメント 平成29年春午前 問23より)

新しい用語の問題5
テクノロジ系セキュリティ61.情報セキュリティ

中間者攻撃

Ver.5.0
中間者(Man-in-the-middle)

中間者攻撃は、ディジタル証明書を使わずに、通信者同士が、通信によって交換する公開鍵を用いて行う暗号化通信において、通信内容を横取りする目的で当事者になりすます攻撃です。
(情報セキュリティスペ 平成22年春午前Ⅱ 問13より)

テクノロジ系セキュリティ61.情報セキュリティ

MITB攻撃

Ver.5.0
MITB(Man-in-the-browser)

MITB攻撃は、PCに侵入したマルウエアが、利用者のインターネットバンキングへのログインを検知して、Webブラウザから送信される振込先などのデータを改ざんする攻撃です
(応用情報 平成28年春午前 問45より)

新しい用語の問題5
テクノロジ系セキュリティ61.情報セキュリティ

第三者中継

Ver.5.0
第三者中継は、本来の利用者でない外部の利用者が、メール送信サーバ(SMTPサーバ)を使ってメールを送信する攻撃です。

また、外部の利用者が、送信先メールアドレスを自由に指定できてしまう設定になっていることです。

迷惑メールやウイルス等を送信する際に身元を隠すために使用されます。

テクノロジ系セキュリティ61.情報セキュリティ

IPスプーフィング

Ver.5.0
IPスプーフィングは、偽の送信元IPアドレスをもったパケットを送る攻撃です。
(ITパスポート 平成27年秋 問81より)

新しい用語の問題5
テクノロジ系セキュリティ61.情報セキュリティ

DNSキャッシュポイズニング

Ver.4.0
DNSキャッシュポイズニングは、PCが参照するDNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導する攻撃です。
(情報セキュリティマネジメント 平成29年秋午前 問22より)

問題をチェック! R3年 問56

テクノロジ系セキュリティ61.情報セキュリティ

セッションハイジャック

Ver.5.0
セッションハイジャックは、サーパとクライアント聞の正規のセッションに割り込んで、正規のクライアントに成りすます攻撃で、サーバ内のデータを盗み出します。
(ITパスポート 平成24年春 問77より)

テクノロジ系セキュリティ61.情報セキュリティ

DoS攻撃

DoS(Denial of Service:サービス妨害)攻撃

DoS攻撃は、電子メールやWeb リクヱストなどを大量に送りつけて,ネットワーク上のサーピスを提供不能にする攻撃です。
(ITパスポート 平成25年春 問52より)

DoS攻撃の説明(テクノロジ系セキュリティ61.情報セキュリティ)
テクノロジ系セキュリティ61.情報セキュリティ

DDoS攻撃

Ver.4.0
DDoS 攻撃は、インターネット上の多数の機器から特定のネットワーク、サーバに一斉にパケットを送り、過剰に負荷をかけて機能不全にする攻撃です。

DDos攻撃の説明(テクノロジ系セキュリティ61.情報セキュリティ)

次のような、DDoS攻撃の具体例が試験に出題されています。

ある日のある時刻に、マルウェアに感染した多数のIoT機器が特定のWebサイトへ一斉に大量のアクセスを行い、Webサイトのサービスを停止に追い込んだ。
(ITパスポート 令和元年秋 問100より)

テクノロジ系セキュリティ61.情報セキュリティ

クリプトジャッキング

Ver.5.0
クリプトジャッキングは、暗号資産(仮想通貨)を入手するためのマイニングと呼ばれる作業を、他人のコンビュータを使って気付かれないように行うことです。
(ITパスポート 令和2年 問60より)

新しい用語の問題5

問題をチェック! R2年 問60

テクノロジ系セキュリティ61.情報セキュリティ

フィッシング

フィッシングは、偽の電子メールを送信するなどして,受信者を架空のWebサイトや実在しているWebサイトの偽サイトに誘導し,情報を不正に取得する行為です。
(ITパスポート 平成23年秋 問87より)

次のような、フィッシング対策例が試験に出題されています。

Webサイトなどで,個人情報を入力する場合は、SSL接続であること、及びサーバ証明書が正当であることを確認する。

キャッシユカード番号や暗証番号などの送信を促す電子メールが届いた場合は、それが取引銀行など信頼できる相手からのものであっても、念のため、複数の手段を用いて真偽を確認する。

(ITパスポート 平成24年春 問66より)

テクノロジ系セキュリティ61.情報セキュリティ

攻撃の準備

Ver.5.0
攻撃の準備として、ポートスキャンがおこなわれます。

テクノロジ系セキュリティ61.情報セキュリティ

ポートスキャン

Ver.5.0
ポートスキャンは、事前調査の段階で、攻撃できそうなサービスがあるかどうかを調査する目的で行われます。
(情報セキュリティマネジメント 平成28年春午前 問29より)

新しい用語の問題5
テクノロジ系セキュリティ61.情報セキュリティ

情報セキュリティ管理

リスクマネジメントの順番や情報セキュリティの要素の具体例が試験に出ている。

関連する用語をセットで覚えるといいよ。

情報セキュリティのリスクマネジメントの用語です。

リスクマネジメント

リスクマネジメントとは、リスクを特定し、評価した上で許容レベルまでリスクを低減するプロセスのことです。

テクノロジ系セキュリティ62.情報セキュリティ管理

リスクアセスメント

Ver.4.0
リスクアセスメントは、識別された資産に対するリスクを分析、評価し、基準に照らして対応が必要かどうかを判断することです。

リスクアセスメントの説明(テクノロジ系セキュリティ62.情報セキュリティ管理)

問題をチェック! R4年 問86  R3年 問88

問題をチェック! R3年 問91  R元年 問56

テクノロジ系セキュリティ62.情報セキュリティ管理

リスク特定

Ver.4.0
リスク特定は、組織に存在するリスクを洗い出すことです。

テクノロジ系セキュリティ62.情報セキュリティ管理

リスク分析

Ver.4.0
リスク分析は、リスクの発生確率と影響度から、リスクの大きさを算定することです。

テクノロジ系セキュリティ62.情報セキュリティ管理

リスク評価

Ver.4.0
リスク評価は、リスクの大きさとリスク受容基準を比較して、対策実施の必要性を判断することです。

テクノロジ系セキュリティ62.情報セキュリティ管理

リスク対応

リスク対応は、リスクへの対処方法を選択し、具体的な管理策の計画を立てることです。

情報セキュリティのリスクマネジメントにおけるリスク対応は、リスクの移転回避受容及び低減の四つに分類できます。

リスク対応の説明(テクノロジ系セキュリティ62.情報セキュリティ管理)

問題をチェック! R4年 問76  R3年 問99

問題をチェック! R2年 問68  R元年 問86

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティ管理の用語です。

情報セキュリティポリシ

情報セキュリティポリシは、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。

情報セキュリティポリシは、基本方針対策基準及び実施手順の三つの文書で構成できます。

情報セキュリティポリシーの説明(テクノロジ系セキュリティ62.情報セキュリティ管理)

情報セキュリティポリシーの内容|国民のためのサイバーセキュリティサイト (soumu.go.jp)をもとに作成

基本方針は、対策基準や実施手順を定めるためのトップマネジメントの意思を示したものです。
(ITパスポート 令和4年 問85より)

基本方針は組織全体で統一させます。
(ITパスポート 平成26年秋 問61より)

対策基準は、基本方針を実践するための具体的な規則を記述したものです。

実施手順は、対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものです。
(ITパスポート 平成31年春 問85より)

問題をチェック! R4年 問85  R3年 問96

問題をチェック! R元年 問84

テクノロジ系セキュリティ62.情報セキュリティ管理

ISMS

ISMS(Information Security Management System)

ISMSは、情報セキュリティマネジメントシステムのことです。

情報の機密性や完全性、可用性を維持し、情報漏えいなどのインシデント(事故)発生を低減させるためのしくみです。

次のようなISMSの導入効果が試験に出題されています。

リスクマネジメン卜プロセスを適用することによって、情報の機密性、完全性及び可用性をバランス良く維持、改善し、リスクを適切に管理しているという信頼を利害関係者に与えます。
(ITパスポート 平成31年春 問72より)

次のようなISMSの特徴が試験に出題されています。

一過性の活動でなく改善と活動を継続する。

導入及び活動は経営層を頂点とした組織的な取組みである。

(ITパスポート 平成27年春 問81より)

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティの要素です。

名称と各要素を高める施策を覚えましょう

情報セキュリティの要素

Ver.4.0
情報セキュリティの要素は、情報セキュリティ上の重要な特性で、機密性、完全性、可用性、真正性、責任追跡性、否認防止、信頼性があります。

機密性:
情報にアクセスすることが認可されたものだけがアクセスできることを確実にすること

完全性:
情報および処理方法の正確さおよび完全である状態を安全防護すること

可用性:
認可された利用者が、必要なときに情報にアクセスできることを確実にすること

真正性:
本物であることを証明できること

責任追跡性:
誰が行ったか追跡できること

否認防止:
否認されることがないように、引き起こされたことを証明できること

信頼性:
不具合がないこと

問題をチェック! R4年 問72  R3年 問67

問題をチェック! R2年 問87  R元年 問97

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティの要素(機密性を高める施策)

Ver.4.0
機密性を高める施策として、次の例が試験に出ています。

①機密情報のファイルを暗号化し、漏えいしても解読されないようにする。
(ITパスポート 平成25年秋 問75より)

②ファイルに読出し用パスワードを設定する。
(ITパスポート 平成26年秋 問67より)

③生体認証を採用する。
(ITパスポート 平成27年秋 問58より)

④外部記憶媒体の無断持出しが禁止
(基本情報 平成28年秋午前 問59より)

問題をチェック! R元年 問78  

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティの要素(完全性を高める施策)

Ver.4.0
完全性を高める施策として、次の例が試験に出ています。

データの入力者以外の者が、入力されたデータの正しさをチェックする。
(ITパスポート 平成26年秋 問67より)

ディジタル署名を行う。
(ITパスポート 平成27年秋 問58より)

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティの要素(可用性を高める施策)

Ver.4.0
可用性を高める施策として、次の例が試験に出ています。

ハードウェアを二重化する。
(ITパスポート 平成27年秋 問58より)

データを処理するシステムに予備電源を増設する。
(ITパスポート 平成26年秋 問67より)

中断時間を定めたSLA注)の水準が保たれるように管理する。
(基本情報 平成28年秋午前 問59より)

注)SLA:
サービス提供者とサービス利用者との間で取り決めたサービスレベルの合意書

テクノロジ系セキュリティ62.情報セキュリティ管理

ISMSにおけるPDCA

PDCAの各プロセスと具体的な活動や業務の対応が、よく出題されています。

ISMSのPDCA説明(テクノロジ系セキュリティ62.情報セキュリティ管理)

〇Plan(計画)
情報セキュリティマネジメント(ISMS)の確立

情報資産のリスクアセスメント
(初級シスアド 平成21年春 問56より)

企業の経営方針に基づいて情報セキュリティ基本方針を策定
(ITパスポート 平成26年秋 問78より)

〇Do(実施)
ISMSの導入及び運用

計画段階で選択した対策の導入・運用運用しているサーバのソフトウェアに対する最新の修正プログラムの有無を、定められた運用手順に従って毎日調べる業務
(ITパスポート 平成30年秋 問61より)

〇Check (点検・監査)
ISMSの監視及び見直し

ISMSの監視及び見直し 1年前に作成した情報セキュリティポリシについて、適切に運用されていることを確認するための監査
(ITパスポート 令和元年秋 問68より)

プロセスの効果を測定し、結果の評価を行う。
(ITパスポート 平成30年春 問90より)

〇Act(見直し・改善)
ISMSの維持及び改善

リスクマネジメントの活動状況の監視の結果などを受けて、是正や改善措置を決定している。
(ITパスポート 令和3年 問77より)

問題をチェック! R4年 問58  R3年 問77

問題をチェック! R2年 問69  R元年 問68

テクノロジ系セキュリティ62.情報セキュリティ管理

個人情報保護についての用語です。

プライバシーポリシ(個人情報保護方針)

Ver.4.0
プライバシーポリシは、個人情報の利用目的や管理方法の考え方を文章に示し公表したものです。

テクノロジ系セキュリティ62.情報セキュリティ管理

安全管理措置

Ver.4.0
安全管理措置は、個人データの漏えい防止など、個人データの安全管理のために必要かつ適切な措置のことです。

次のような、安全管理措置の具体例が試験に出題されました。

データを暗号化して保存する。
(ITパスポート 平成30年春 問98より)

住所録のデータを書き込んだCD-ROMを破棄するときには破砕する。
(ITパスポート 平成28年春 問65より)

テクノロジ系セキュリティ62.情報セキュリティ管理

サイバー保険

Ver.4.0
サイバー保険は、サイバー事故(個人情報漏洩など)により企業に生じた第三者に対する「損害賠償責任」、事故時に必要となる「費用」、自社の「喪失利益」などが契約によって補償されます。

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティ組織・機関についての用語です。

次の点を確認して覚えましょう。

  • なんのための制度,組織?
  • 対象?
  • どんなことをする?

情報セキュリティ委員会

Ver.4.0
情報セキュリティ委員会は、ISMS(情報セキュリティマネジメントシステム)を推進する社内に置かれる組織です。

構成:複数の部門の代表者

役割:自部門の課題の提出や、部門指導と管理、相互理解

テクノロジ系セキュリティ62.情報セキュリティ管理

CSIRT

CSIRTは、企業内・組織内や政府機関に設置され,情報セキュリティインシデントに関する報告を受け取り,調査し,対応活動を行う組織の総称です。
(情報セキュリティマネジメント 平成28年春午前 問1より)

テクノロジ系セキュリティ62.情報セキュリティ管理

SOC

Ver.4.0
SOC(Security Operation Center)

SOCは、民間企業のサーバに対するセキュリティ攻撃を監視、検知する組織です。
(情報セキュリティマネジメント 平成29年秋午前 問4より)

SOCは自分の会社で構築・運用する場合と、外部の会社が提供するサービスを利用する場合があります。

テクノロジ系セキュリティ62.情報セキュリティ管理

コンピュータ不正アクセス届出制度

Ver.4.0
コンピュータ不正アクセス届出制度は、国内の不正アクセス被害をIPA(情報処理推進機構)に届け出る制度です。

目的:IPA(情報処理推進機構)は、不正アクセス被害の実態把握や同様の被害発生の防止に役立てます。

テクノロジ系セキュリティ62.情報セキュリティ管理

コンピュータウイルス届出制度

Ver.4.0
コンピュータウイルス届出制度は、コンピュータウイルス被害をIPA(情報処理推進機構)に届け出る制度です。

目的:IPA(情報処理推進機構)は、ウイルス感染被害の拡大や再発の防止に役立てます。

テクノロジ系セキュリティ62.情報セキュリティ管理

ソフトウェア等の脆弱性関連情報に関する届出制度

Ver.4.0
ソフトウェア等の脆弱性関連情報に関する届出制度は、ソフトウェア等の脆弱性関連情報をIPA(情報処理推進機構)に届け出る制度です。

目的:脆弱性関連情報の適切な流通および対策の促進を図り、インターネット利用者に対する被害を予防する。

テクノロジ系セキュリティ62.情報セキュリティ管理

J-CSIP

Ver.4.0
J-CSIP(ジェイシップ:サイバー情報共有イニシアティブ)

J-CSIPは、参加組織及びそのグループ企業において検知されたサイバー攻撃などの情報を、IPAが情報ハブになって集約し、参加組織間で共有する取組です。
(情報セキュリティマネジメント 令和元年秋午前 問2より)

テクノロジ系セキュリティ62.情報セキュリティ管理

J-CRAT

Ver.4.0
J-CRAT(ジェイ・クラート:サイバーレスキュー隊)

サイバーレスキュー隊は、標的型サイバー攻撃の被害低減と攻撃連鎖の遮断を支援する活動を行います。
(IPA(情報処理推進機構)に設置)

問題をチェック! R3年 問81

テクノロジ系セキュリティ62.情報セキュリティ管理

SECURITY ACTION

Ver.5.0
SECURITY ACTIONは、中小企業の情報セキュリティ対策普及の加速化に向けて、情報セキュリティ対策に取り組むことを自己宣言する制度です。
 (ITパスポート 令和3年 問79より)

問題をチェック! R3年 問79

テクノロジ系セキュリティ62.情報セキュリティ管理

情報セキュリティ対策・情報セキュリティ実装技術

”実装”は、”機能を組み込むこと”だよ。

次の点を確認して覚えるといいよ。

・対象は何か?

・どんな脅威のための対策?

・どんな方法?

人的なセキュリティ対策です。

情報セキュリティ訓練

Ver.5.0
情報セキュリティ訓練は、サイバー攻撃に対する『防災訓練』です。

(目的)インシデントが発生した際の対応力を高めます。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

標的型メールに関する訓練

標的型メールに関する情報セキュリティ訓練について、次のような例があります。

 ・対象の社員に訓練であることは伝えず、偽の標的型メールを送信する。

 ・どれだけ標的型メールを開いてしまったか、または、適切に対処できたかを測定する。

 ・結果を、今後のサイバーセキュリティ教育に活かす。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

組織における内部不正防止ガイドライン

Ver.4.0
作成:IPA(情報処理推進機構)

次のガイドラインの推奨事項が試験に出ています。

ガイドラインの推奨事項①
重大な不正を犯した内部不正者に対しては組織としての処罰を検討するとともに、再発防止の措置を実施する。
(ITパスポート 令和元年秋 問61より)

ガイドラインの推奨事項②
内部不正対策は経営者の責任であり、経営者は基本となる方針を組織内外に示す“基本方針”を策定し、役職員に周知徹底する。
(ITパスポート 令和元年秋 問61より)

ガイドラインの推奨事項③
退職間際に重要情報の不正な持出しが行われやすいので、退職予定者に対する重要情報へのアクセスや媒体の持出しの監視を強化する。
(情報セキュリティマネジメント 平成30年春午前 問4より)

ガイドラインの推奨事項④
インターネット上のWebサイトへのアクセスに関しては、コンテンツフィルタ(URLフィルタ)を導入して、SNS、オンラインストレージ、掲示板などへのアクセスを制限する。
(情報セキュリティマネジメント 平成28年春午前 問 7より)

問題をチェック! R元年 問61

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

技術的なセキュリティ対策です。

アクセス制御

アクセス制御は、ユーザがコンピュータシステムの資源(データ等)にアクセスすることができる権限・認可をコントロールすることです。

Try! 令和元年秋問78

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ファイアウォール

ファイアウォールは、ネットワークにおいて、外部からの不正アクセスを防ぐために内部ネットワークと外部ネットワークの聞に置かれるしくみです。
(ITパスポート 平成22年春 問68より)

次のような、ファイアウォールによって実現されることが試験に出題されました。

外部に公開するWebサーバやメールサーバを設置するためのDMZの構築

外部のネットワークから組織内部のネットワークへの不正アクセスの防止

(ITパスポート 令和4年 問64より)

問題をチェック! R4年 問64

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

WAF

Ver.5.0
WAF(Web Application Firewall )

WAFは、Webアプリケーションへの攻撃を検知し、阻止します。
(応用情報 平成31年春午前 問45より)

新しい用語の問題5
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

IDS

Ver.5.0
IDS ( Intrusion Detection System : 侵入検知システム)

IDSは、サーバやネットワークを監視し、侵入や侵害を検知した場合に管理者へ通知します。
(基本情報 平成30年秋午前 問42より)

新しい用語の問題5
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

IPS

Ver.5.0
IPS( Intrusion Prevention System: 侵入防止システム)

IPSは、サーバやネットワークへの侵入を防ぐために、不正な通信を検知して遮断する装置です。
(情報セキュリティマネジメント 平成31年春午前 問15より)

新しい用語の問題5
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

DLP

Ver.4.0
DLP(Data Loss Prevention)

DLPは、情報システムにおいて、秘密情報を判別し、秘密情報の漏えいにつながる操作に対して警告を発令したり、その操作を自動的に無効化します。
(情報セキュリティマネジメント 平成29年秋午前 問13より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

SIEM

Ver.5.0
SIEM(Security Information and Event Management)

SIEMは、複数のサーバやネットワーク機器のログを収集分析し、不審なアクセスを検知します。
(応用情報 平成29年秋午前 問38より)

また、様々な機器から集められたログを総合的に分析し、管理者による分析と対応を支援します。
(基本情報 令和元年秋午前 問43より)

新しい用語の問題5
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

検疫ネットワーク

検疫ネットワークは、セキュリティに問題があるPCを社内ネットワークなどに接続させないことを目的とした仕組みであり、外出先で使用したPCを会社に持ち帰った際に、ウイルスに感染していないことなどを確認するために利用します。
(ITパスポート 平成26年秋 問54より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

DMZ

DMZは、企業内ネットワークからも、外部ネットワークからも論理的に隔離されたネットワーク領域であり、そこに設置されたサーバが外部から不正アクセスを受けたとしても、企業内ネットワークには被害が及ばないようにするためのものです。
(ITパスポート 平成25年秋 問79より)

DMZの説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

SSL/TLS

Ver.4.0
SSL/TLS(Secure Sockets Layer/Transport Layer Security)

SSL/TLSは、HTTPSで接続したWebサーバとブラウザ間の暗号化通信に利用されるプロトコルです。
(ITパスポート 平成30年秋 問71より)

問題をチェック! R3年 問63

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

VPN

VPN ( Virtual Private Network )

VPNは公衆ネットワークなどを利用して構築された、専用ネットワークのように使える仮想的なネットワークです。
(ITパスポート 平成29年秋 問85より)

認証と通信データの暗号化によって、セキュリティの高い通信を行います。
(ITパスポート 平成23年秋 問70より)

VPNの説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

IP-VPN

シラ外
IP-VPNは、通信事業者が構築したネットワークを利用し、インターネットで用いられているのと同じネットワークプロトコルによって、契約者の拠点間だけを専用線のようにセキュリティを確保して接続するWANサービスです。
(ITパスポート 平成28年秋 問57より)

問題をチェック! R2年 問78

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

MDM

Ver.4.0
MDM(Mobile Device Management)

MDMは、モバイル端末の状況の監視、リモートロックや遠隔データ削除ができるエージェントソフトの導入などによって、企業システムの管理者による適切な端末管理を実現することです。
(ITパスポート 平成30年秋 問72より)

問題をチェック! R2年 問76

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

デジタルフォレンジックス

デジタルフォレンジックスは、コンビュータに関する犯罪が生じたとき、関係する機器やデータ、ログなどの収集及び分析を行い、法的な証拠性を明らかにするための手段や技術の総称です。
(ITパスポート 平成31年春 問99より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ブロックチェーン

Ver.4.0
ブロックチェーンは、複数の取引記録をまとめたデータを順次作成するときに、そのデータに直前のデータのハッシュ値を埋め込むことによって、データを相互に関連付け、取引記録を矛盾なく改ざんすることを困難にすることで、データの信頼性を高める技術です。
(ITパスポート 令和元年秋 問59より)

ブロックチェーンは、暗号資産を支える重要な技術です。

問題をチェック! R3年 問97  R元年 問59

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

耐タンパ性

Ver.4.0
耐タンパ性は、ハードウェアなどに対して外部から不正に行われる内部データの改ざんや解読、取出しなどがされにくくなっている性質です
(ITパスポート 令和2年 問90より)

ICカードの耐タンパ性を高める対策として、次のような例があります。

信号の読出し用プロープの取付けを検出するとICチップ内の保存情報を消去する回路を設けて、ICチップ内の情報を容易に解析できないようにする。
(応用情報 平成29年秋午前 問44より)

問題をチェック! R3年 問73

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

セキュアブート

Ver.5.0
セキュアブートは、PCの起動時にOSやドライパのディジタル署名を検証し、許可されていないものを実行しないようにすることによって,OS起動前のマルウェアの実行を防ぐ技術です。
(情報セキュリティマネジメント 平成30年秋午前 問17より)

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

TPM

Ver.5.0
TPM ( Trusted Platform Module:セキュリティチップ)

TPMは、IoT機器やPCに保管されているデータを暗号化するためのセキュリティチップです。

暗号化に利用する鍵などの情報をチップの内部に記憶しており、外部から内部の情報の取出しが困難な構造をしています。
(ITパスポート 令和元年秋 問73より)

新しい用語の問題6

問題をチェック! R3年 問73  R元年 問73

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

PCIDSS

Ver.5.0
PCIDSSは、クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され、技術面及び運用面の要件を定めたものです。
(情報セキュリティマネジメント 令和元年秋午前 問27より

新しい用語の問題6

問題をチェック! R4年 問55  R3年 問61

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

MACアドレスフィルタリング

Ver.6.0
MACアドレスフィルタリングは、無線LANのセキュリティにおいて、アクセスポイン卜がPCなどの端末からの接続要求を受け取ったときに、接続を要求してきた端末固有の情報を基に接続制限を行う仕組みです。
(ITパスポート 令和3年 問85より)

MACアドレスフィルタリングの説明(テクノロジ系情報セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

問題をチェック! R3年 問85

テクノロジ系情報セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

物理的なセキュリティ対策です。

サークル型セキュリティゲート

シラ外
サークル型セキュリティゲートは、入室側と退室側の扉が両方開いた状態にしない制御と、各種センサによる通行人の検知で、共連れやすれ違いの通行を防止します。

サークル型セキュリティゲート(テクノロジ系情報セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

問題をチェック! R3年 問58

テクノロジ系情報セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

アンチパスバック

シラ外
アンチパスバックは、サーバ室など、セキュリティで保護された区画への入退室管理において、一人の認証で他者も一緒に入室する共連れの防止対策です。
(ITパスポート 令和4年 問74より)

入室時と退室時にIDカードを用いて認証を行い、入退室を管理するしくみです。

アンチパスバックの説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

次のコントロールを行います。

①入室時の認証に用いられなかったIDカードでの退室を許可しない。

②退室時の認証に用いられなかったIDカードでの再入室を許可しない。
(情報セキュリティマネジメント 平成29年秋午前 問15より)

問題をチェック! R4年 問74

テクノロジ系情報セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

クリアデスク・クリアスクリーン

Ver.4.0
クリアスクリーンは、離席する際に、パソコンの画面を第三者が見たり、操作できる状態で放置しないことです。

クリアデスクは、離席する際に、机の上に書類や記憶媒体などを放置しないことです。

次のような、クリアデスクの例が試験に出題されています。

帰宅時、書類やノートPCを机の上に出したままにせず、施錠できる机の引出しなどに保管する。
(情報セキュリティマネジメント 平成28年春午前 問2より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

セキュリティケーブル

Ver.4.0
ノートPCの盗難を防止するために、机等とつなぐワイヤーです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

遠隔バックアップ

Ver.4.0
大規模災害によるデータ損失や災害復旧に備えて、重要なシステムやデータを遠隔地に複製することです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

暗号技術の用語です。

暗号化アルゴリズム

Ver.6.0
暗号化は、情報を他人には知られないようにするため、データを見てもその内容がわからないように、定められた処理手順でデータを変えてしまうことです。

この定められた処理手順が、暗号化アルゴリズムです。

暗号化アルゴリズムの一つ、AES(エー・イー・エス)は、無線LANやファイル暗号化に利用されています。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

公開鍵暗号方式

公開鍵暗号方式は、 データの送信側は受信者の公開鍵で暗号化し、受信側は自身の秘密鍵で復号する暗号方式です。
(ITパスポート 平成21年秋 問74より)

公開鍵暗号方式の説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

(手順)
①データの受信者Aは、自分の秘密鍵公開鍵を用意する。

②公開鍵を送信者Bに送付する。

③データの送信者Bは、受信者Aから送付された公開鍵を用いてデータを暗号化して受信者Aに送信する。

④受信者Aは、送信者Bから受信した暗号化されたデータを自分の秘密鍵を使って復号する。
(ITパスポート 平成28年春 問87より)

問題をチェック! R4年 問60  R3年 問76

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ハイブリッド暗号方式

Ver.4.0
ハイブリッド暗号方式は、公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって、鍵管理コストと処理性能の両立を図る暗号化方式です。
(情報セキュリティマネジメント 平成31年春午前 問28より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ディスク暗号化

Ver.4.0
ディスク暗号化は、情報漏えいを防ぐことが出来ます。
(基本情報 平成26年秋午前 問38より)

ウイルス感染は防げません。
(ITパスポート 平成26年春 問82より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ファイル暗号化

Ver.4.0
ファイル暗号化は、情報漏えいを防ぐことが出来ます。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

WPA2

無線LANにおいて、端末とアクセスポイント間で伝送されているデータの盗聴を防止するために利用される暗号化方式です。
(ITパスポート 平成27年春 問74より)

認証や暗号化を強化したWPA3もあります。

問題をチェック! R3年 問63

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ディジタル署名

電子メールにデジタル署名を付与することによって、完全性が向上します。
(ITパスポート 令和4年 問70より)

次のような、ディジタル署名によって判断できることが試験に出題されました。

電子メールの発信者は、なりすましされていない。

電子メールは通信途中で改ざんされていない。

(ITパスポート 平成23年秋 問60より)

問題をチェック! R4年 問70

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

認証技術の用語です。

タイムスタンプ(時刻認証)

Ver.4.0
タイムスタンプは、電子データが、ある日時に確かに存在していたこと、及びその日時以降に改ざんされていないことを証明します。

目的:ファイルの完全性 注)を確保するためです。

注)完全性:
正確かつ最新の状態であること

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

利用者認証技術の用語です。

多要素認証

Ver.4.0
多要素認証は、ログイン時に2つ以上の「要素」によって行う認証です。

要素は、大きく分けて以下の3つです。

多要素認証の説明(テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術)

多要素認証の中で、2要素を使うものが二要素認証です。

次の二要素認証の例が試験に出ています。

虹彩、パスワード
(基本情報 平成27年秋午前 問45より)

ICカード認証、指紋認証
(情報セキュリティマネジメント 平成28年春午前 問18より)

パスワード認証、静脈認証
(情報セキュリティマネジメント 平成29年春午前 問18より)

問題をチェック! R4年 問82

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

SMS認証

Ver.5.0
SMS認証は、携帯電話宛てに送信されたSMSに記載のある確認コードを入力してログインする仕組みです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

ニ段階認証

シラ外
2段階認証は、認証を2段階で実施する方式です。

例えば、第一段階はID・パスワードで認証を行い、第二段階は数字4桁などのコードがメールやSMSで送られ、そのコードを入力することで二段目の認証を行うなどのケースがあります。

問題をチェック! R3年 問60

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

シングルサインオン

シングルサインオンは、最初に認証に成功すると、その後は許可された複数のサービスに対して、毎回、利用者が認証の手続をしなくとも利用できるようにする仕組みです。
(ITパスポート 平成28年春 問93より)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

バイオメトリクス認証(生体認証)

生体認証(バイオメトリクス)は、指紋や顔など身体の形状に基づく身体的特徴と、音声や署名など行動特性に基づく行動的特徴を用いて行う本人認証方式です。

次のようなバイオメトリクス認証の特徴が試験に出ています。

試験に利用者にとってパスワードを記憶する負担がない。
(ITパスポート 平成29年春 問76より)

バイオメトリクス認証における本人の身体的特徴としては,偽造が難しく、経年変化が小さいものが優れている。
(ITパスポート 令和2年 問66より)

問題をチェック! R4年 問75  R3年 問69

問題をチェック! R2年 問66

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

静脈パターン認証

Ver.4.0
静脈パターン認証は、指静脈の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

虹彩認証

Ver.4.0
虹彩認証は、目の虹彩の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

声紋認証

Ver.4.0
声紋認証は、声紋の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

顔認証

Ver.4.0
顔認証は、顔の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

網膜認証

Ver.4.0
網膜認証は、目の網膜の特徴を抽出して認証します。

バイオメトリクス認証の一つです。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

FRR、FARは、バイオメトリクス認証(生体認証)システムなどの精度を表す指標です。

お互いに関係するので、一緒に覚えましょう。

FRR

Ver.4.0
FRR (False Rejection Rate:本人拒否率)

本人拒否率は、認証しようとしている人が本人であるにもかかわらず、認証がエラー(Rejection=拒否)になる確率です。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

FAR

Ver.4.0
FAR (False Acceptance Rate:他人受入率)

他人受入率は、認証しようとしている人が他人で認証(Acceptance=受け入れ)されてしまう確率です。

FRRを減少させると、FARは増大します。
(基本情報 平成20年春午前 問64より)

FRRとFARは、シーソーのような関係(トレードオフの関係)です。

FRR(本人拒否率)と FAR(他人受入率)の関係が、次の問題に出ています。

問題をチェック! R3年 問69

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

公開鍵基盤の用語です。

お互いに関係するので、一緒に覚えましょう。

ルート証明書

Ver.5.0
ルート証明書は、ルート認証局が発行するディジタル証明書です。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

サーバ証明書

Ver.5.0
サーバ証明書は、認証局が発行します。

次の役割があります。

①SSL/TLSによる通信内容の暗号化を実現させるために用いる。
(ITパスポート 平成30年春 問57より)

②Webサイトの運営者・運営組織の実在証明する。

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

クライアント証明書

Ver.5.0
クライアント証明書は、システムのユーザのデバイスに証明書をインストールし、そのユーザが正規の利用者であることを認証するためのディジタル証明書です。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

CA

Ver.5.0
CA(Certification Authority:認証局)

CAは、PKI(公開鍵基盤)において、利用者やサーバの公開鍵を証明するディジタル証明書を発行します。
(基本情報 平成28年秋午前 問39より)

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

CRL

Ver.5.0
CRL(Certificate Revocation List:証明書失効リスト)

CRLは、何らかの理由で有効期間中に失効したディジタル証明書の一覧を示すデータです。
(情報セキュリティマネジメント 平成29年春午前 問25より)

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

セキュリティ対策の考え方です。

セキュリティバイデザイン

Ver.5.0
セキュリティバイデザインは、システムの企画・設計段階からセキュリティを確保する方策のことです。
(基本情報 平成30年春午前 問42より)

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

プライバシーバイデザイン

Ver.5.0
プライバシーバイデザインは、システム開発の上流工程において、システム稼働後に発生する可能性がある個人情報の漏えいや目的外利用などのリスクに対する予防的な機能を検討し、その機能をシステムに組み込むものです。
(基本情報 令和元年秋午前 問64より)

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

アプリケーションソフトウェアのセキュリティ対策です。

クロスサイトスクリプティング対策

Ver.5.0
クロスサイトスクリプティングは、アンケート、掲示板のように、ユーザからの入力内容をウェブページに表示するウェブアプリケーションで、悪意を持ったスクリプト(命令)を埋め込まれてしまい、偽ページの表示などが可能になってしまうことです。

スクリプトは、ウェブブラウザ上で実行される命令です。

クロスサイトスクリプティング対策として、Webページに入力されたデータの出力データが、HTMLタグとして解釈されないように処理する方法があります。
(応用情報 平成30年秋午前 問41より)

新しい用語の問題6
テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

SQLインジェクション対策

SQLインジェクションは、Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって、データベースのデータの不正な取得、改ざん及び削除をする攻撃です。
(基本情報 平成28年春午前 問37より)

SQLインジェクション対策として、次のような方法があります。

プレースフォルダを利用する。
 プレースホルダは、後から実際の内容を挿入するために、仮に確保した場所です。
 プレースホルダを使うと、不正な値が入力されても、SQL文として実行されなくなります。

データベースアクセス権限を必要最小限にする。

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

IoTシステムのセキュリティ対策のガイドラインです。

IoTセキュリティガイドライン

Ver.4.0
IoTセキュリティガイドラインは、IoT 機器やシステム、サービスに対してリスクに応じた適切なサイバーセキュリティ対策を検討するための考え方です。

作成:経済産業省と総務省
対象:IoT 機器やシステム、サービスの供給者、利用者

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

コンシューマ向けIoTセキュリティガイド

Ver.4.0
コンシューマ向けIoT セキュリティガイドは、IoT利用者を守るために、IoT製品やシステム、サービスを提供する事業者が考慮しなければならない事柄をまとめたものです。

作成:日本ネットワークセキュリティ協会 (JNSA)

テクノロジ系セキュリティ63.情報セキュリティ対策・情報セキュリティ実装技術

まとめ

これまで、テクノロジ系「セキュリティ」について、出題傾向、学習ポイント、最新の重要な用語について解説しました。

まとめ

【出題数と出題傾向】
 19問程度(テクノロジ系45問中)

 テクノロジ系の半分はセキュリティです!

 令和4年度公開問題では、昨年度に比べ4問減少しました。

【学習ポイント】
・情報セキュリティ
 →何に関する用語なのか整理して覚えましょう。

・情報セキュリティ管理
 →リスクマネジメントや情報セキュリティの要素など、それぞれセットで覚えましょう。

・情報セキュリティ対策・情報セキュリティ実装技術
 →対象は何か?どんな脅威のための対策?どんな方法?などを確認しながら用語を覚えましょう。

【重要用語】
 新しい用語がたくさんあります。

 過去問題だけにかたよらず、用語集を使って用語を覚えることが大切です。 

以上、テクノロジ系「セキュリティ」について解説しました。

コメント

タイトルとURLをコピーしました