第7章 情報セキュリティ
この章のねらい 経営情報システムの中でも、情報セキュリティは毎年ほぼ確実に2〜3問出題される、 いわば「取りこぼしたくない王道分野」です。技術の細部は移り変わりますが、試験に出るのは 考え方の骨格(3要素、暗号のしくみ、認証の3要素、リスク対応の4類型、代表的な攻撃と対策)で、 これらは何年も繰り返し問われています。
過去問での出方:後半の第17〜23問あたりに固まって出ます。出題の型は ①用語と定義を線でつなぐ(IDS・IPS・WAF・DMZ/リスクの回避・低減・保有・移転 など)、 ②鍵の向きを取り違えさせる(公開鍵暗号で「誰の鍵で暗号化し、誰の鍵で復号するか」)、 ③似た言葉のすり替え(二要素認証とシングルサインオン、入口対策と出口対策 など)の3つが中心。 暗記だけでなく「なぜそうなるか」をつかめば、初見の用語が混じっても正解を絞れます。得点源にしやすい章です。
7-0 この章の地図
この章は、「何を守るのか(目標)」→「どう守るのか(技術)」→「誰かを確かめる(認証)」→ 「攻撃と現実の対策」という順で進みます。まず全体像をつかみましょう。
7-1 情報セキュリティの3要素とリスク … 何を守るか(機密性・完全性・可用性)
│ リスク=脅威×脆弱性、リスク対応の4類型
│
7-2 暗号技術・電子署名・PKI … 中身を守る道具(共通鍵/公開鍵/ハイブリッド)
│ ハッシュ・電子署名・認証局(★鍵の向きが最頻出)
│
7-3 認証とアクセス制御 … 相手が本人かを確かめる(知識・所持・生体/多要素)
│
7-4 脅威と対策 … 現実の攻撃と守り(マルウェア・標的型・FW・SSL/TLS・VPN)
│ 個人情報保護、中小企業向けガイドライン
└→ まとめ/対応過去問/次章予告
ひとことで言うと、「守る目標(7-1)を、暗号(7-2)と認証(7-3)という道具で実現し、 現実の攻撃に備える(7-4)」という流れです。
7-1 情報セキュリティの3要素とリスク
いちばん大事な「3要素(CIA)」
情報セキュリティとは、ひとことで言えば 「情報を、正しい状態で、必要なときに、正しい人だけが使える」ように守ることです。 これを3つに分けたのが、有名な情報セキュリティの3要素(頭文字をとってCIA)です。
| 要素 | 英語 | かみくだくと | 崩れた例 |
|---|---|---|---|
| 機密性 | Confidentiality | 許された人だけが見られる | 顧客名簿が外部に漏れる |
| 完全性 | Integrity | 情報が正しく、書き換えられていない | データを改ざんされる |
| 可用性 | Availability | 使いたいときにちゃんと使える | サーバがダウンして使えない |
💡 覚え方:「見せない(機密性)・変えさせない(完全性)・止めない(可用性)」の3点セット。 「暗号化」は主に機密性、「デジタル署名やハッシュ」は主に完全性、 「バックアップや冗長化」は主に可用性を守る、と対応させると混乱しません。
3要素にプラスされる「4つの追加要素」
近年のJIS Q 27000(情報セキュリティの用語規格)では、CIAに加えて次の4つも挙げられます。 名前と意味を一対一で押さえておけば十分です。
| 追加要素 | 意味(ひとことで) |
|---|---|
| 真正性(Authenticity) | なりすましでなく、本物・本人であること |
| 責任追跡性(Accountability) | 「誰がやったか」を後から追えること(=ログ) |
| 否認防止(Non-repudiation) | 「やっていない」と後から言い逃れできないこと |
| 信頼性(Reliability) | 意図した動作が一貫して行われること |
リスク・脅威・脆弱性 ― 言葉の関係を整理する
セキュリティを語るとき、次の3語は別物として区別します。ここは試験でも狙われます。
- 脅威(threat):情報資産に損害を与える原因・きっかけ(例:ウイルス、不正アクセス、災害、人的ミス)。
- 脆弱性(vulnerability):脅威につけ込まれる弱点・欠陥(例:古いOS、単純なパスワード、設定ミス)。
- リスク(risk):脅威が脆弱性を突いて、実際に損害が生じる可能性とその大きさ。
脅威(攻撃・災害など)
│ つけ込む
▼
脆弱性(弱点・欠陥) ──→ リスク(損害が発生する可能性)
覚え方は「リスク=脅威 × 脆弱性 × 資産の価値」。 どんな脅威があっても弱点(脆弱性)がゼロならリスクは小さく、逆に弱点だらけならリスクは膨らみます。
JIS Q 27000のリスク用語(似た言葉の総整理)
R05年第23問では、JIS Q 27000のリスク関連用語の定義当てが出ました。混同しやすいので表で整理します。
| 用語 | 定義(規格の言い回し) |
|---|---|
| リスク特定 | リスクを発見・認識・記述するプロセス |
| リスク分析 | リスクの特質を理解し、リスクレベルを決定するプロセス |
| リスク評価 | 分析結果をリスク基準と比較し、受容可能かを決定するプロセス |
| リスク基準 | リスクの重大性を評価する目安となる条件 |
| リスクレベル | 結果とその起こりやすさの組み合わせで表すリスクの大きさ |
⚠️ 混同注意:特定 → 分析 → 評価の順番。「見つける(特定)→ 大きさを測る(分析)→ 受け入れられるか判断する(評価)」と流れで覚えます。 この「特定・分析・評価」の3つをまとめてリスクアセスメントと呼びます。
リスク対応の4類型(超頻出)
リスクアセスメントで危険度を測ったら、次に「どう手を打つか」を決めます。これがリスク対応で、 回避・低減・保有・移転の4つに分かれます。R04年第17問がまさにこの当てはめ問題でした。
| 類型 | やること | 具体例 |
|---|---|---|
| リスク回避 | リスクの原因そのものをなくす/活動をやめる | 危険な事業から撤退する、そのサービスを提供しない |
| リスク低減 | 発生確率や損害を減らす(ゼロにはしない) | ウイルス対策・暗号化・教育などの予防策 |
| リスク保有(受容) | あえて何もしないで受け入れる | 損害が小さい/対策費が損害額を上回る場合 |
| リスク移転 | リスクを他者に肩代わりさせる | 保険に加入、業務をアウトソーシングする |
💡 覚え方:「や・へ・ほ・い」(回避・低減=へらす・保有・移転)。 特に保有(受容)は「わざと対策しない」という一見意外な選択肢なので、"対策費 > 損害額 なら保有" と結びつけて覚えます。
📝 過去問はこう出る(R04 第17問) リスク対応の記述と用語を対応させる問題。 「活動停止・根本排除=回避」「予防・被害拡大防止=低減」「あえて何もしない=保有」「保険・アウトソーシング=移転」。 この4つの言い換えを覚えていれば即答できます。 → R04 第17問 / R02 第21問
📝 過去問はこう出る(R05 第23問) JIS Q 27000のリスク用語(レベル・分析・基準・評価・特定)の定義当て。 正解の並びは A:レベル/B:分析/C:基準/D:評価/E:特定。 「分析=リスクレベルを決定」「評価=リスク基準と比較して受容判断」の2つが特に狙われます。 → R05 第23問 / H27 第22問
ISMS(情報セキュリティマネジメントシステム)
個々の対策を場当たりで行うのではなく、組織として継続的にセキュリティを回すしくみがISMSです。 - 拠り所となる規格は JIS Q 27001(ISO/IEC 27001)。※ITサービス管理のJIS Q 20000とは別物なので注意。 - 特定のレベルを一律に押し付けるのではなく、組織が自らリスクアセスメントし、決めた管理策を PDCA で改善していくのが本質。 - 認証のしくみは「認証機関・要員認証機関・認定機関」から成り、登録後は年1回程度の定期審査+3年ごとの再認証審査が行われます。
📝 過去問はこう出る(H25 第23問) ISMS適合性評価制度の正誤判定。正解は「認証機関・要員認証機関・認定機関からなる仕組み」。 引っかけは「JIS Q 20000-1 適合」(正しくは27001)、「10年ごとに再認証」(正しくは3年ごと)、 「標準の画一的なレベルを求める」(実際は組織がリスクに応じて自ら定める)。 → H25 第23問 / H28 第21問
7-2 暗号技術・電子署名・PKI
ここは情報セキュリティで最頻出のパートです。特に「鍵の向き(誰の鍵で暗号化し、誰の鍵で復号するか)」は 毎年のように狙われます。じっくり理解しましょう。
暗号の基本 ― 「鍵」で中身を隠す
暗号化とは、決められた手順(鍵)でデータを変換し、第三者が見ても内容が分からないようにすることです。 元に戻すことを復号といいます。暗号方式は、鍵の使い方で大きく2つに分かれます。
① 共通鍵暗号方式(=秘密鍵暗号方式)
暗号化と復号に、同じ1本の鍵を使う方式です。
送信者 ──[共通鍵で暗号化]──▶ 暗号文 ──[同じ共通鍵で復号]──▶ 受信者
(鍵は事前に安全に共有しておく必要あり)
- 長所:処理が速い(大きなデータの暗号化に向く)。
- 短所:鍵をどうやって相手に安全に渡すかが難しい(=鍵配送問題)。 さらに、n人と個別に通信するには相手ごとに別々の鍵が必要で、鍵の数が膨らむ(n人なら約 n(n−1)/2 本)。
- 代表例:AES、DES など。
② 公開鍵暗号方式
暗号化用と復号用に、ペアになった2本の異なる鍵(公開鍵と秘密鍵)を使う方式です。 公開鍵は誰に見られてもよく、秘密鍵は本人だけが厳重に持ちます。
【機密性を守る使い方=相手に届ける】
送信者 ──[受信者の "公開鍵" で暗号化]──▶ 暗号文 ──[受信者の "秘密鍵" で復号]──▶ 受信者
- 長所:事前に秘密の鍵を共有する必要がない(鍵配送問題を解決)。相手の公開鍵は公開されているので手に入れやすい。
- 短所:計算が複雑で処理が遅い。
- 代表例:RSA、楕円曲線暗号 など。
⚠️ 最頻出の急所:鍵の向き 相手に秘密のデータを届ける(機密性)とき、公開鍵暗号では 「受信者の "公開鍵" で暗号化 → 受信者の "秘密鍵" で復号」が正解。 過去問は必ずここを逆にした選択肢を混ぜてきます(例:「送信者の秘密鍵で復号」「送信者の公開鍵で暗号化」はすべてバツ)。 「暗号化=相手の公開鍵、復号=自分の秘密鍵」と、口に出して覚えましょう。
③ ハイブリッド暗号(セッション鍵方式)
共通鍵の「速い」と公開鍵の「鍵配送に強い」のいいとこ取りをした方式です。SSL/TLSなど実用の通信で使われます。
① データ本体は "共通鍵(セッション鍵)" で高速に暗号化
② その共通鍵だけを "受信者の公開鍵" で暗号化して安全に送る
→ 受信者は自分の秘密鍵で共通鍵を取り出し、本体を復号
- 本体は速い共通鍵、鍵の受け渡しだけ安全な公開鍵、という分担がポイント。
| 共通鍵暗号 | 公開鍵暗号 | ハイブリッド | |
|---|---|---|---|
| 鍵の本数 | 1本(同じ鍵) | 2本1組(公開・秘密) | 両方式を併用 |
| 速度 | 速い | 遅い | 実用的に速い |
| 鍵配送 | 問題あり(配送が難しい) | 問題なし | 問題なし |
| 用途イメージ | 大量データの暗号化 | 鍵や署名の受け渡し | 実際の通信(SSL/TLS等) |
📝 過去問はこう出る(R01 第19問) 暗号方式の組み合わせ問題。正解は a(共通鍵)と d(セッション鍵方式)。 b・cは公開鍵暗号の鍵の向きを逆にした誤り(「送信者の秘密鍵で復号」「送信者の公開鍵で暗号化」)。 d の「セッション鍵方式=共通鍵と公開鍵の長所を組み合わせ」=ハイブリッド暗号が正しい、という理解がカギ。 → R01 第19問 / H26 第21問
📝 過去問はこう出る(H22 第16問・H24 第22問) H22は「シーザー暗号」(各文字を一定数ずらす古典的な換字暗号)や公開鍵の鍵の向きを問う正誤問題。 H24は「公開鍵暗号方式とは共通鍵を設定する方式」という用語のすり替えがバツ。 どちらも公開鍵と共通鍵の取り違えが引っかけの中心です。 → H22 第16問 / H24 第22問
ハッシュ関数 ― 「改ざんされていない」を確かめる道具
ハッシュ関数は、どんな長さのデータからも決まった長さの短い値(ハッシュ値/メッセージダイジェスト)を作り出す関数です。 完全性(改ざん検知)の土台になります。
- 同じ入力からは必ず同じハッシュ値が出る。少しでもデータが変われば、ハッシュ値は大きく変わる。
- ハッシュ値から元のデータは復元できない(一方向性)。だから暗号化とは別物(元に戻せない)。
- 送信データのハッシュ値を比べれば、途中で改ざんされていないかが分かる。
- 代表例:SHA-256 など。
電子署名(デジタル署名)― 「本人が作った」を証明する
ハッシュと公開鍵暗号を組み合わせると、「確かに本人が作り、改ざんもされていない」ことを証明できます。これが電子署名です。 機密性のときと鍵の向きが逆になるのがポイントです。
【署名する側(送信者)】
① 文書からハッシュ値を作る
② そのハッシュ値を "送信者の秘密鍵" で暗号化 = これが電子署名
③ 文書と署名をセットで送る
【検証する側(受信者)】
④ 署名を "送信者の公開鍵" で復号 → ハッシュ値A を取り出す
⑤ 受け取った文書から自分でハッシュ値B を計算
⑥ A と B が一致すれば → 本人が作成(真正性)+改ざんなし(完全性)を確認
⚠️ ここが混乱ポイント(鍵の向きの使い分け) - 機密性を守る(中身を隠す):受信者の公開鍵で暗号化 → 受信者の秘密鍵で復号 - 電子署名(本人証明):送信者の秘密鍵で署名 → 送信者の公開鍵で検証
「秘密鍵は本人だけが持つ」から、秘密鍵でしかできない操作=本人の証明になる、と理解すると腹落ちします。
電子証明書と認証局(PKI)
公開鍵暗号には落とし穴があります。「この公開鍵は本当に本人のもの?」――なりすましの公開鍵かもしれません。 そこで登場するのが認証局(CA:Certificate Authority)と電子証明書(公開鍵証明書)です。
- 電子証明書:「この公開鍵は確かに本人のものだ」ということを、信頼できる第三者(認証局)が保証する電子的な証明書。
- 認証局(CA):申請に基づいて電子証明書を発行する、信頼できる第三者機関。証明書には有効期限がある。
- このように、公開鍵暗号・認証局・証明書などを組み合わせて信頼を担保するしくみ全体を PKI(公開鍵基盤:Public Key Infrastructure)と呼びます。
💡 現実のイメージ:電子証明書は「公開鍵の身分証明書」。運転免許証を役所(=認証局)が発行するのに似ています。 なお公的分野では、住民向けの個人認証を担うJPKI(公的個人認証基盤)、行政機関側のGPKI(政府認証基盤)などがあります。
📝 過去問はこう出る(H20 第15問) 電子証明書の説明を問う問題。正解は「電子署名などに使う公開鍵が本人のものであることを証明するのが電子証明書の役割」。 引っかけは「公開鍵で暗号化した文書を公開鍵で復号できる」(暗号のしくみに反する)、「送付のたびに自動発行される」(実際は申請ベースで有効期限あり)。 → H20 第15問 / H26 第14問 / H23 第21問
7-3 認証とアクセス制御
認証の「3要素」
認証とは、「アクセスしてきた相手が、確かに本人か」を確かめることです。確かめる材料は3種類に分けられます。
| 要素 | 何で確かめるか | 具体例 |
|---|---|---|
| 知識(Something you know) | 本人だけが知っているもの | パスワード、暗証番号(PIN)、秘密の質問 |
| 所持(Something you have) | 本人だけが持っているもの | ICカード、スマホ、セキュリティトークン、ワンタイムパスワード生成器 |
| 生体(Something you are) | 本人の身体的特徴 | 指紋、静脈、虹彩、顔、声紋 |
多要素認証(二要素認証)
上の異なる種類の要素を2つ以上組み合わせるのが多要素認証(2つなら二要素認証)です。 1つが破られても、もう1つで守れるので安全性が高まります。
⚠️ 超頻出の引っかけ:「二要素」と「二段階」は違う 「パスワード+秘密の質問」は、どちらも "知識" の1要素なので、 手順を2回踏んでいても二要素認証とは言えません(=二段階認証ではあるが要素は1種類)。 「異なる種類を組み合わせて初めて多要素」という点が急所です。
まぎらわしい認証用語の整理
| 用語 | 意味 |
|---|---|
| ワンタイムパスワード(OTP) | 一度きりしか使えない使い捨てパスワード。盗まれても再利用できない |
| チャレンジレスポンス認証 | サーバが送る乱数(チャレンジ)に、パスワード等を加えて演算した答え(レスポンス)を返す方式。パスワードそのものを流さない |
| リスクベース認証 | 普段と違う環境(端末・場所・時間帯)からのアクセスを検知したときだけ、追加の合言葉などで確認を強化する |
| シングルサインオン(SSO) | 一度の認証で、複数のサーバ・アプリを続けて使えるようにするしくみ(=手間を減らす) |
| パスキー(FIDO認証) | パスワードを使わないパスワードレス認証。公開鍵暗号に基づき、端末のロック解除(生体認証など)で本人確認。フィッシングに強い |
⚠️ 混同注意:ワンタイムパスワード(使い捨てパスワード)とシングルサインオン(一度で複数利用)は別物。 「一度認証すれば複数のサーバを使える」はSSOの説明であって、OTPやパスキーの説明ではありません。
生体認証の精度 ― FARとFRR
生体認証は「絶対」ではなく、まれに判定を誤ります。誤りには2種類あり、トレードオフの関係にあります。
| 指標 | 正式名 | 意味 | 上げると困るのは |
|---|---|---|---|
| FAR(他人受入率) | False Acceptance Rate | 他人を誤って本人として受け入れる率 | 高いとなりすましを許す(安全性が下がる) |
| FRR(本人拒否率) | False Rejection Rate | 本人を誤って拒否する率 | 高いと本人が入れず不便(利便性が下がる) |
- FARを低くする=他人を入れない=安全性重視(ATMやなりすまし防止はこちら)。
- FRRを低くする=本人がはじかれない=利便性重視。
- 片方を下げると、もう片方が上がるトレードオフ。用途に応じてバランスを決めます。
📝 過去問はこう出る(H29 第22問) FARとFRRの穴埋め問題。「FARが低い=安全性重視」「FRRが低い=利便性重視」、 「ATMやなりすまし防止ではFARを十分低く設定」がすべて整合する組み合わせが正解。 なりすまし防止=他人を入れない=FARを下げる、と結びつけて覚えます。 → H29 第22問
📝 過去問はこう出る(R03 第11問・R06 第17問) R03は認証方式の定義当て。正解の「リスクベース認証=普段と異なる環境で追加確認」以外に、 「二要素認証=異なる2要素」「OTP≠SSO」の区別が問われました。 R06はパスキー(パスワードレス認証)。正解は「複数デバイス間で同じパスキー(FIDO認証資格情報)を利用できる」。 引っかけは「パスキー=SSO」「パスキー=SMSのOTP通知」など、他の認証とのすり替えです。 → R03 第11問 / R06 第17問 / H28 第19問
アクセス制御
認証で「誰か」を確かめたら、次は「その人に何を許すか」を決めます。これがアクセス制御(認可)です。 - 最小権限の原則:業務に必要な最小限の権限だけを与える(余計な権限は与えない)。 - ファイルやシステムごとに、誰に読み取り・書き込み・実行などをどこまで許すかを設定します。
7-4 脅威と対策
代表的なマルウェア・攻撃手口
「マルウェア」は悪意あるソフトの総称です。攻撃手口とあわせて、名前と特徴を押さえます。
| 用語 | どんな攻撃・脅威か |
|---|---|
| ウイルス/ワーム | 自己増殖して被害を広げる不正プログラム(ワームは単体で増殖) |
| トロイの木馬/RAT | 正規ソフトに偽装して侵入し、遠隔操作(RAT=遠隔操作型)される |
| ランサムウェア | データを勝手に暗号化し、復元と引き換えに身代金を要求する |
| 標的型攻撃(APT) | 特定の組織を執拗に狙う攻撃。業務メールを装ったメールなどで侵入 |
| クロスサイトスクリプティング(XSS) | 不正スクリプトを埋め込んだページで、閲覧者のCookie(セッション情報)を詐取 |
| SQLインジェクション | 入力欄に不正なSQL文を送り込み、データベースを不正操作する |
| バッファオーバーフロー | プログラムが確保したバッファの容量を超えるデータを送り、領域外を上書きして不正コードを実行 |
| DoS/DDoS攻撃 | 大量のアクセスを送りつけ、サービスを停止(可用性を破壊)させる |
| フィッシング | 偽サイト・偽メールでID・パスワード等をだまし取る |
入口対策と出口対策 ― 標的型攻撃(APT)への備え
標的型攻撃のように「侵入を100%は防げない」前提の攻撃では、対策を2段構えで考えます。
- 入口対策:そもそも侵入されないようにする対策(ファイアウォール、パッチ適用、ウイルス対策ソフト、IDS等)。
- 出口対策:万一侵入されても、内部から外部への不正な情報持ち出しを止める対策(不正な外部通信の検知・遮断)。
📝 過去問はこう出る(H24 第21問) 標的型攻撃(APT)の出口対策を選ぶ問題。正解は 「RAT(遠隔操作型マルウェア)による内部から外部への不正通信(proxy/CONNECT接続)を検知・遮断する」。 引っかけの「IDS導入」「パッチ適用」「ファイアウォールのステルス機能」は、いずれも入口対策なのでバツ。 出口対策=侵入後の "持ち出し" を止める、と押さえます。 → H24 第21問 / H23 第22問
ネットワークセキュリティの装置・区画(用語当ての定番)
R05年第22問のように、用語と定義を線でつなぐ問題の常連です。表で一気に覚えましょう。
| 用語 | 読み・意味 | ひとことで |
|---|---|---|
| ファイアウォール | 内外の通信を、あらかじめ決めたルールで許可/拒否する | 出入口の門番(設定が必須) |
| IDS | Intrusion Detection System=侵入検知システム。検知して管理者に通知 | 見張り(検知・通知まで) |
| IPS | Intrusion Prevention System=侵入防止システム。検知して通信を遮断 | 見張り+自動で遮断 |
| WAF | Web Application Firewall。SQLインジェクション等のWebアプリ攻撃を防御 | Web専門の門番 |
| DMZ | 非武装地帯。外部と内部の中間に置く緩衝セグメント。公開サーバを隔離 | 内部LANを守る緩衝地帯 |
| SIEM | 各種機器・ソフトのログを一元管理し、脅威事象を早期に検知・分析 | ログの司令塔 |
⚠️ 混同注意:IDSは"検知して通知"まで、IPSは"検知して遮断"まで。「防止(Prevention)=遮断まで踏み込む」と覚えると区別できます。 また、DMZはネットワークの区画であって暗号化やIP自動割当て(それはDHCP)ではありません。
📝 過去問はこう出る(R05 第22問) ネットワークセキュリティ用語の定義当て。IDS・IPS・WAF・DMZ・SIEMを正しく対応させる問題。 「検知+通知=IDS」「検知+遮断=IPS」「Webアプリ攻撃防御=WAF」「緩衝セグメント=DMZ」「ログ一元管理=SIEM」。 → R05 第22問 / H22 第17問 / H19 第14問
通信を守る ― SSL/TLS と VPN
| 用語 | 意味 |
|---|---|
| SSL/TLS | クライアントとサーバ間の送受信データを暗号化する代表的プロトコル。HTTPS(Webの暗号化通信)などで使われる。公開鍵と共通鍵を併用(=ハイブリッド)し、証明書で相手を確認 |
| VPN(仮想専用線) | 認証と暗号化により、インターネット上に仮想的な専用ネットワークを構築するしくみ。社外から社内へ安全に接続(テレワーク・BYOD等で活躍) |
⚠️ 混同注意:SSL/TLSは「シーザー暗号を使う」わけではありません(公開鍵・共通鍵・証明書・ハッシュを組み合わせる)。 また過去にはOpenSSLの脆弱性(Heartbleed)(H27第21問)も出題されており、「SSL/TLSを使えば絶対安全」ではない点も問われます。
📝 過去問はこう出る(R02 第10問) ネットワークセキュリティ用語の正誤。正解は a(SSL/TLS)と c(VPN)。 引っかけは「IDS=データを暗号化する仕組み」(正しくは暗号化の説明)、「DMZ=設定情報を自動割当て」(正しくはDHCPの説明)。 用語の定義のすり替えを見抜くのがポイントです。 → R02 第10問 / H25 第12問
個人情報保護
- 個人情報を取得するときは、その利用目的を本人に通知または公表する必要があります(個人情報保護法)。 「用途を知らせなくてよい」という選択肢はバツになります(H24第22問)。
- 情報漏えい対策は「ウイルス対策だけ」では不十分で、不正アクセス対策・暗号化・アクセス制御・運用管理を組み合わせた多面的な対策が必要です。
中小企業向けのガイドライン(診断士ならでは)
中小企業診断士の試験らしく、IPA(情報処理推進機構)が公開する中小企業向けの指針も出題されます。
- 情報セキュリティ5か条:①OS・ソフトウェアを最新に、②ウイルス対策ソフトを導入、 ③パスワードを強化、④共有設定を見直す、⑤脅威や攻撃の手口を知る。 この5か条に取り組むと宣言すると SECURITY ACTION のロゴを掲示できます。
- ※「不審なメールを開かない」は大切ですが、5か条には明記されていません(R03第22問の引っかけ)。
📝 過去問はこう出る(R03 第22問) 「情報セキュリティ5か条に明記されていないもの」を選ぶ問題。正解は「不審なメールを開かないようにしよう!」。 5か条(最新化・ウイルス対策・パスワード強化・共有設定見直し・手口を知る)を丸暗記していれば得点できます。 → R03 第22問 / R01 第20問 / R06 第19問
この章のまとめ(試験直前チェック)
- ☐ 情報セキュリティの3要素=機密性・完全性・可用性(CIA)/追加要素に真正性・責任追跡性・否認防止・信頼性
- ☐ 脅威(きっかけ)×脆弱性(弱点)=リスク(損害の可能性)
- ☐ リスクアセスメント=特定→分析→評価(分析=レベル決定、評価=基準と比較して受容判断)
- ☐ リスク対応の4類型=回避・低減・保有・移転(保有=あえて何もしない/移転=保険・外部委託)
- ☐ ISMSはJIS Q 27001(≠20000)、リスクに応じ自ら定めPDCA、3年ごと再認証
- ☐ 共通鍵=速い・鍵配送問題あり/公開鍵=遅い・鍵配送不要/ハイブリッド=いいとこ取り(SSL/TLS)
- ☐ 機密性:受信者の公開鍵で暗号化→受信者の秘密鍵で復号(鍵の向きを逆にした選択肢はバツ)
- ☐ ハッシュ関数=一方向・改ざん検知/電子署名=送信者の秘密鍵で署名→送信者の公開鍵で検証
- ☐ 電子証明書=公開鍵が本人のものと保証/発行は認証局(CA)/全体のしくみがPKI
- ☐ 認証の3要素=知識・所持・生体/異なる種類を組み合わせて多要素(パスワード+秘密の質問は1要素)
- ☐ OTP(使い捨て)/SSO(一度で複数利用)/リスクベース認証/パスキー(FIDO・パスワードレス)の区別
- ☐ 生体認証:FAR低=安全性重視(なりすまし防止)、FRR低=利便性重視、両者はトレードオフ
- ☐ 入口対策(侵入を防ぐ)と出口対策(侵入後の持ち出しを止める)の使い分け(APT対策)
- ☐ IDS=検知・通知/IPS=検知・遮断/WAF=Webアプリ防御/DMZ=緩衝区画/SIEM=ログ一元管理
- ☐ SSL/TLS=通信の暗号化プロトコル/VPN=認証と暗号化の仮想専用線
- ☐ 個人情報は利用目的の通知・公表が必要/IPA情報セキュリティ5か条(=SECURITY ACTION)
この章に対応する主な過去問
| 年度・問 | 論点 | リンク |
|---|---|---|
| H19 第14問 | セキュリティルータの設定 | 問題 |
| H20 第15問 | 電子証明書 | 問題 |
| H21 第20問 | EVSSL | 問題 |
| H22 第16問 | 暗号化技術(シーザー暗号・公開鍵) | 問題 |
| H22 第17問 | ネットワークセキュリティ | 問題 |
| H23 第21問 | 暗号化と認証方式 | 問題 |
| H23 第22問 | セキュリティ攻撃(XSS等) | 問題 |
| H24 第21問 | 標的型攻撃(APT)の出口対策 | 問題 |
| H24 第22問 | 情報セキュリティの基礎 | 問題 |
| H25 第12問 | 情報機器利用(BYOD・VPN) | 問題 |
| H25 第23問 | ISMS適合性評価制度 | 問題 |
| H26 第21問 | 暗号化方式(公開鍵・共通鍵) | 問題 |
| H27 第22問 | リスクアセスメントのアプローチ | 問題 |
| H29 第22問 | 生体認証の精度(FAR・FRR) | 問題 |
| R01 第19問 | 暗号化方式(共通鍵・公開鍵・セッション鍵) | 問題 |
| R02 第10問 | 通信の暗号化(SSL/TLS・VPN等) | 問題 |
| R03 第11問 | 利用者認証の仕組み | 問題 |
| R03 第22問 | 情報セキュリティ5か条 | 問題 |
| R04 第17問 | リスク対応(回避・低減・保有・移転) | 問題 |
| R05 第22問 | ネットワークセキュリティ(IDS・IPS等) | 問題 |
| R05 第23問 | リスク用語(JIS Q 27000) | 問題 |
| R06 第17問 | パスワードレス認証(パスキー) | 問題 |
次章予告 ▶ 第8章「経営情報管理・IT戦略とシステム開発」 本章の技術的な土台を踏まえ、次章では企業として情報システムをどう企画・開発・運用するかへ視点を上げます。 情報化戦略、システム開発の進め方(ウォーターフォール/アジャイル等)、外部委託や運用管理といった、 経営とITをつなぐマネジメントの論点を扱います。