2026-04-19 16:40:48 +00:00
export const CATEGORIES = [
{ id : 'basics' , label : 'セキュリティ基礎' , icon : 'shield' , units : [
{ id : 's01' , num : 'S01' , title : 'CIA三要素' , freq : 'high' , diff : 1 ,
2026-04-20 04:08:49 +00:00
concept : ` <p>情報セキュリティの根幹は<strong>CIA三要素</strong>です。すべてのセキュリティ対策はこのどれかを守るために存在します。</p><div class="formula-box"><div class="formula-label">初学者向け:用語のイメージ</div><strong>機密性</strong>:秘密にしたい内容を、許可のない人に見られないようにすること。<br><strong>完全性</strong>:データが途中で改ざんされていないかを確認できること。<br><strong>可用性</strong>:サービスやファイルを、必要なときにいつでも使える状態に保つこと。</div><div class="viz-cia"><div class="cia-card cia-c"><div class="cia-name">機密性</div><div class="cia-en">Confidentiality</div><div class="cia-desc">許可された人だけが情報にアクセスできる。暗号化・アクセス制御で実現。</div></div><div class="cia-card cia-i"><div class="cia-name">完全性</div><div class="cia-en">Integrity</div><div class="cia-desc">情報が正確で改ざんされていない。ハッシュ・デジタル署名で検証。</div></div><div class="cia-card cia-a"><div class="cia-name">可用性</div><div class="cia-en">Availability</div><div class="cia-desc">必要なときに情報を使える。冗長化・バックアップで確保。</div></div></div><p>開発者視点で言い換えると: ` ,
2026-04-19 16:40:48 +00:00
examtips : [
'三要素のどれが損なわれているかを問う問題が頻出。攻撃とCIA要素のマッピングを整理すること。' ,
'<strong>真正性( ) ( ) ( ) ,
'DoS攻撃→可用性、盗聴→機密性、改ざん→完全性。この対応を即答できるようにする。'
] ,
keypoints : [
'機密性( ) : ,
'完全性( ) : ,
'可用性( ) : ,
'真正性:通信相手が本当に本人かを確認できること(認証で実現)' ,
'否認防止:後から「やっていない」と言えないようにする(ログ・署名)'
] ,
quiz : [
{ q : 'DoS攻撃が損なう主なCIA要素はどれか。' , choices : [ '機密性' , '完全性' , '可用性' , '真正性' ] , answer : 2 , exp : 'DoS攻撃はサービスを停止させ、利用できなくするため可用性を損ないます。' } ,
{ q : '盗聴によって主に損なわれるCIA要素はどれか。' , choices : [ '可用性' , '完全性' , '機密性' , '信頼性' ] , answer : 2 , exp : '盗聴は許可なく情報を取得するため、機密性が損なわれます。' } ,
{ q : 'ハッシュ値を用いてデータが改ざんされていないことを確認する行為は、主にどのCIA要素を守るものか。' , choices : [ '機密性' , '完全性' , '可用性' , '否認防止' ] , answer : 1 , exp : 'ハッシュによる改ざん検知は完全性( ) } ,
{ q : '情報セキュリティの3要素( ) , choices : [ '機密性' , '可用性' , '拡張性' , '完全性' ] , answer : 2 , exp : '拡張性( ) }
]
} ,
{ id : 's02' , num : 'S02' , title : '脅威・脆弱性・リスク' , freq : 'high' , diff : 1 ,
2026-04-20 04:08:49 +00:00
concept : ` <p>リスク管理の基礎概念を整理します。<strong>脅威</strong>は攻撃者や災害など「悪いことが起きる原因」、<strong>脆弱性</strong>はシステムや運用の「穴」、<strong>リスク</strong>はそれらが組み合わさって「実際に被害が発生する可能性と影響度」です。</p><div class="formula-box"><div class="formula-label">初学者向け: × × : ` ,
2026-04-19 16:40:48 +00:00
examtips : [
'脅威・脆弱性・リスクの定義の違いを問う問題は毎回出る。「脆弱性」は弱点であり攻撃そのものではない。' ,
'リスク対応4戦略( ) ,
'残留リスク:対策後にも残るリスクのこと。ゼロにはできないことを前提に許容・監視する。'
] ,
keypoints : [
'脅威:資産に損害を与える原因となり得るもの(マルウェア・内部不正・災害)' ,
'脆弱性:脅威が利用できるシステムや運用の弱点(パッチ未適用・設定ミス)' ,
'リスク:脅威が脆弱性を突くことで損害が発生する可能性と影響の組み合わせ' ,
'リスク対応: ,
'残留リスク:対策後も残るリスク。経営判断で受容・監視する'
] ,
quiz : [
{ q : '「パッチが未適用のため既知の脆弱性が存在するシステム」はリスク管理上、何に該当するか。' , choices : [ '脅威' , '脆弱性' , 'リスク' , 'インシデント' ] , answer : 1 , exp : '未パッチのシステムは攻撃者に利用される「穴」であり、脆弱性に該当します。' } ,
{ q : 'サイバー保険を契約することで損害発生時の費用リスクを保険会社に負わせる対応は、リスク対応の4戦略のうちどれか。' , choices : [ '回避' , '低減' , '移転' , '受容' ] , answer : 2 , exp : '保険やアウトソースでリスクを第三者に転嫁することをリスク移転と呼びます。' } ,
{ q : 'リスクアセスメントの手順として正しい順序はどれか。' , choices : [ 'リスク特定→リスク評価→リスク分析' , 'リスク特定→リスク分析→リスク評価' , 'リスク評価→リスク特定→リスク分析' , 'リスク分析→リスク評価→リスク特定' ] , answer : 1 , exp : 'JIS Q 27005に基づくリスクアセスメントは「特定→分析→評価」の順です。' } ,
{ q : '脅威と脆弱性の説明として正しい組み合わせはどれか。' , choices : [ '脅威:パッチ未適用/脆弱性:マルウェア' , '脅威:マルウェア/脆弱性:パッチ未適用' , '脅威:暗号化/脆弱性:認証' , '脅威: / : ] , answer : 1 , exp : 'マルウェアは脅威(攻撃原因)、パッチ未適用は脆弱性(システムの弱点)です。' }
]
} ,
{ id : 's03' , num : 'S03' , title : '認証技術' , freq : 'high' , diff : 2 ,
2026-04-20 04:08:49 +00:00
concept : ` <p>認証は「あなたが本当にあなたか」を確認するプロセスです。認証要素は3種類あり、複数組み合わせることで強度が上がります。</p><div class="formula-box"><div class="formula-label">初学者向け:よく出る言葉</div><strong>認証( ) ( ) ( ) ( ) ( ) : ( ) : ( ) : ( ) ( ) ` ,
2026-04-19 16:40:48 +00:00
examtips : [
'「2段階認証」は同一要素を2回使う場合もある( ,
'チャレンジレスポンス認証:サーバがランダム値(チャレンジ)を送り、クライアントがハッシュ等で応答(レスポンス)する。パスワードを平文で送らない。' ,
'FIDO2 / パスキー:最新の試験でも出始めている。秘密鍵をデバイスに保管し、公開鍵で検証するフィッシング耐性の高い認証方式。'
] ,
keypoints : [
'知識・所持・生体の3要素。異なる要素を2つ以上組み合わせると多要素認証( ) ,
'チャレンジレスポンス認証:パスワードを平文で送らずに認証する' ,
'SSO( ) : ( ) ,
'リスクベース認証:ログイン状況(場所・デバイス)が異常なら追加認証' ,
'FIDO2/パスキー:公開鍵暗号ベースのフィッシング耐性が高い認証'
] ,
quiz : [
{ q : '多要素認証の説明として正しいものはどれか。' , choices : [ '同じ知識要素を2回入力させる' , '異なる種類の認証要素を2つ以上組み合わせる' , '生体認証のみを使用する' , '毎回異なるパスワードを使用する' ] , answer : 1 , exp : '多要素認証は知識・所持・生体など異なる種類の認証要素を2つ以上組み合わせます。' } ,
{ q : 'チャレンジレスポンス認証の目的はどれか。' , choices : [ '生体情報の保護' , 'パスワードの平文送信を回避する' , 'SSO実現' , 'セッション固定攻撃の防止' ] , answer : 1 , exp : 'チャレンジレスポンス認証はパスワード自体を送らず、ハッシュ等の応答で認証します。盗聴対策。' } ,
{ q : 'SSOにおいてIdP( ) , choices : [ '各サービスのDBを管理する' , 'ユーザー認証を一元管理しトークンを発行する' , 'ファイアウォールとして機能する' , 'セッションIDを生成する' ] , answer : 1 , exp : 'IdPはユーザーを認証し、各サービス( ) } ,
{ q : 'パスキー( ) , choices : [ 'パスワードをサーバに保存する' , '秘密鍵をデバイスに保管し公開鍵で検証するためフィッシング耐性が高い' , '知識要素だけで認証する' , 'SMSによるワンタイムパスワードを使う' ] , answer : 1 , exp : 'FIDO2/パスキーは公開鍵暗号ベース。秘密鍵はデバイスから外に出ないのでフィッシングが効きません。' }
]
} ,
{ id : 's04' , num : 'S04' , title : 'アクセス制御' , freq : 'high' , diff : 2 ,
2026-04-20 04:08:49 +00:00
concept : ` <p>アクセス制御は「誰が何にどう操作できるか」を管理する仕組みです。3つのモデルが試験に頻出です。</p><div class="formula-box"><div class="formula-label">初学者向け:この単元の入口</div><strong>アクセス制御</strong>: ( ) ( ) : ( ) ( ) : ( ) ( ) : ( ) ( ) : : ` ,
2026-04-19 16:40:48 +00:00
examtips : [
'DAC・MAC・RBACの違いを具体例で説明できること。試験では「誰が権限を設定するか」がポイント。' ,
'最小権限の原則は選択問題の正答選択肢になることが多い。「できるだけ多くの権限を与える」は誤答。' ,
'職務分離( ) :
] ,
keypoints : [
'DAC: ( ,
'MAC: ( ) ,
'RBAC: ( ) ,
'最小権限の原則:必要最低限の権限だけ付与する' ,
'職務分離:
] ,
quiz : [
{ q : 'Linuxのファイルオーナーが chmod でパーミッションを設定するのはどのアクセス制御モデルか。' , choices : [ 'MAC' , 'RBAC' , 'DAC' , 'ABAC' ] , answer : 2 , exp : 'DACは所有者が自分で権限を設定できる任意アクセス制御モデルです。' } ,
{ q : '「社員の役職(マネージャー・一般社員等)に権限セットを割り当てる」手法はどれか。' , choices : [ 'DAC' , 'MAC' , 'RBAC' , 'NAC' ] , answer : 2 , exp : '役割( ) } ,
{ q : '最小権限の原則の説明として正しいものはどれか。' , choices : [ '管理者には全権限を与える' , '業務に必要な最小限の権限だけ付与する' , '権限はデフォルトで全員に開放する' , '上位職者ほど権限が多くなる' ] , answer : 1 , exp : '最小権限( ) } ,
{ q : '資金送金の「申請」と「承認」を別々の担当者が行うようにするセキュリティ原則はどれか。' , choices : [ '最小権限' , '職務分離' , 'Need-to-know' , 'MAC' ] , answer : 1 , exp : '職務分離( ) }
]
} ,
{ id : 's05' , num : 'S05' , title : 'ISMS・セキュリティマネジメント' , freq : 'mid' , diff : 2 ,
2026-04-20 04:08:49 +00:00
concept : ` <p><strong>ISMS</strong>( ) : : ( ) ( ) ( ) ( ) ( ) ( ) : ( ) : ( ) : ( ) : ( ) ` ,
2026-04-19 16:40:48 +00:00
examtips : [
'ISMSはJIS Q 27001・ISO/IEC 27001が根拠。プライバシーマークとの違い( ) ,
'PDCAのどのフェーズの話かを問う問題が多い。「内部監査」はC( ) ( ) ,
'ゼロトラスト: ( )
] ,
keypoints : [
'ISMS: ,
'リスクアセスメント: ,
'プライバシーマーク: ( ) ,
'ゼロトラスト:内部ネットワークも信頼しない。常に認証・認可を確認' ,
'CSIRT: ( )
] ,
quiz : [
{ q : 'ISMSの根拠となる国際規格はどれか。' , choices : [ 'ISO/IEC 15408' , 'ISO/IEC 27001' , 'JIS Q 15001' , 'PCI DSS' ] , answer : 1 , exp : 'ISMSはISO/IEC 27001( ) } ,
{ q : 'ISMS認証のPDCAサイクルにおいて「内部監査」はどのフェーズに位置するか。' , choices : [ 'Plan' , 'Do' , 'Check' , 'Act' ] , answer : 2 , exp : '内部監査は実施内容を確認する「Check」フェーズに位置します。' } ,
{ q : 'ゼロトラストアーキテクチャの考え方として正しいものはどれか。' , choices : [ '内部ネットワークは安全として信頼する' , '社外からのアクセスだけを検証する' , '内部・外部を問わずすべてのアクセスを常に検証する' , '一度認証すれば内部では再認証不要' ] , answer : 2 , exp : 'ゼロトラストは「Never trust, always verify」として内部も含め常に検証します。' }
]
}
] } ,
{ id : 'crypto' , label : '暗号・PKI' , icon : 'key' , units : [
{ id : 's06' , num : 'S06' , title : '共通鍵暗号' , freq : 'high' , diff : 2 ,
2026-04-20 04:08:49 +00:00
concept : ` <p><strong>共通鍵暗号(対称暗号)</strong>は送受信者が同じ鍵を使って暗号化・復号する方式です。速度が速く大量データの暗号化に向いています。</p><div class="formula-box"><div class="formula-label">初学者向け:暗号の役割(あとで詳しく)</div>この単元の<strong>共通鍵</strong>は「同じ秘密の鍵で暗号化・復号する」方式です。次の単元の<strong>公開鍵</strong>とセットで「誰でも送れるが本人だけ読める」「本人だけが署名できる」など別の役割を担います。<strong>ハッシュ</strong>(別単元)は「要約フィンガープリント」で改ざん検知に使います。</div><div class="formula-box"><div class="formula-label">主要アルゴリズム</div>AES( ) : : : : : ( ) ` ,
2026-04-19 16:40:48 +00:00
examtips : [
'AES・DES・3DESのビット長と現在の安全性を整理する。DESは2024年現在使用禁止。' ,
'n人で共通鍵を持ち合う場合の鍵の数: ,
'ブロック暗号のモード( )
] ,
keypoints : [
'共通鍵暗号:暗号化と復号に同じ鍵を使う。高速・大量データ向き' ,
'AES: ,
'DES: ,
'n人の鍵数: ,
'鍵配送問題:
] ,
quiz : [
{ q : '現在の標準的な共通鍵暗号アルゴリズムはどれか。' , choices : [ 'DES' , '3DES' , 'AES' , 'RC4' ] , answer : 2 , exp : 'AESは2001年に米国標準となり、現在最も広く使われる共通鍵暗号です。' } ,
{ q : '10人のユーザーが互いに安全に通信するために必要な共通鍵の総数はいくつか( ) , choices : [ '10本' , '20本' , '45本' , '100本' ] , answer : 2 , exp : 'n(n-1)/2 = 10× } ,
{ q : '共通鍵暗号の「鍵配送問題」とは何か。' , choices : [ '鍵が長すぎる問題' , '暗号化に時間がかかる問題' , '共通鍵を安全に相手に渡す手段がない問題' , '鍵の保管場所がない問題' ] , answer : 2 , exp : '共通鍵を事前に安全に渡す方法がないことを鍵配送問題と言います。公開鍵暗号やDHで解決します。' } ,
{ q : 'ブロック暗号モードのうち同一ブロックの平文が常に同一の暗号文になるため脆弱とされるものはどれか。' , choices : [ 'CBC' , 'GCM' , 'CTR' , 'ECB' ] , answer : 3 , exp : 'ECB( ) }
]
} ,
{ id : 's07' , num : 'S07' , title : '公開鍵暗号・デジタル署名' , freq : 'high' , diff : 2 ,
concept : ` <p><strong>公開鍵暗号(非対称暗号)</strong>は公開鍵と秘密鍵のペアを使います。公開鍵で暗号化→秘密鍵で復号(機密性)、秘密鍵で署名→公開鍵で検証(完全性・否認防止)。</p><div class="viz-flow"><div class="vf-node">送信者<div class="vf-sub">秘密鍵で署名</div></div><div class="vf-arrow">→</div><div class="vf-node vf-hl">署名付き<div class="vf-sub">メッセージ</div></div><div class="vf-arrow">→</div><div class="vf-node">受信者<div class="vf-sub">公開鍵で検証</div></div></div><div class="formula-box"><div class="formula-label">主要アルゴリズム</div>RSA: : : ( ) ` ,
examtips : [
'暗号化と署名で使う鍵の向きが逆なことを確実に理解する。暗号化は「受信者の公開鍵」、署名は「送信者の秘密鍵」。' ,
'RSAの最低鍵長は2048ビット( ) ,
2026-04-19 23:59:53 +00:00
'デジタル署名≠暗号化。署名は「本人確認・改ざん検知」が目的。機密性(内容を隠す)は公開鍵暗号化が担う。' ,
'<strong>耐量子暗号( ) : ( ) ( ) ( )
2026-04-19 16:40:48 +00:00
] ,
keypoints : [
'暗号化:受信者の公開鍵で暗号化→受信者の秘密鍵で復号(機密性)' ,
'署名:送信者の秘密鍵で署名→送信者の公開鍵で検証(完全性・否認防止)' ,
'RSA: ,
'ECDSA: ,
2026-04-19 23:59:53 +00:00
'DH/ECDH: ,
'耐量子暗号( ) : ( )
2026-04-19 16:40:48 +00:00
] ,
quiz : [
{ q : 'デジタル署名を生成する際に使用する鍵はどれか。' , choices : [ '受信者の公開鍵' , '送信者の公開鍵' , '受信者の秘密鍵' , '送信者の秘密鍵' ] , answer : 3 , exp : '署名は「送信者の秘密鍵」で生成し、受信者は「送信者の公開鍵」で検証します。' } ,
{ q : '公開鍵暗号で暗号化する際に使用する鍵はどれか。' , choices : [ '送信者の秘密鍵' , '送信者の公開鍵' , '受信者の秘密鍵' , '受信者の公開鍵' ] , answer : 3 , exp : '「受信者の公開鍵」で暗号化し、受信者だけが持つ「秘密鍵」で復号します。' } ,
{ q : 'デジタル署名が提供するセキュリティ機能として正しいものの組み合わせはどれか。' , choices : [ '機密性・可用性' , '完全性・否認防止' , '機密性・完全性' , '可用性・否認防止' ] , answer : 1 , exp : 'デジタル署名は改ざん検知(完全性)と「やっていない」と言わせない(否認防止)を提供します。' } ,
{ q : 'RSA暗号の安全性の根拠となる数学的困難性はどれか。' , choices : [ '離散対数問題' , '素因数分解の困難性' , '楕円曲線の困難性' , 'ナップサック問題' ] , answer : 1 , exp : 'RSAは大きな整数の素因数分解が困難であることを安全性の根拠としています。' }
]
} ,
{ id : 's08' , num : 'S08' , title : 'ハッシュ関数' , freq : 'high' , diff : 1 ,
concept : ` <p><strong>ハッシュ関数</strong>は任意のデータから固定長のダイジェスト(ハッシュ値)を生成する一方向関数です。同じ入力から常に同じ出力が得られ、逆算は(計算量的に)不可能です。</p><div class="formula-box"><div class="formula-label">主要アルゴリズムと出力長</div>MD5: ( ) : : : : ( ) ( ) ( ) ( ) ` ,
examtips : [
'MD5・SHA-1は衝突脆弱性が実証されており現在は安全でない。SHA-256以上を使う。' ,
'ハッシュは一方向(復号不可)。「ハッシュ値からパスワードを復元」はできない→レインボーテーブルは元の値のハッシュを事前計算して照合するもの。' ,
'ソルト:
] ,
keypoints : [
'ハッシュ関数:一方向変換。固定長ダイジェストを生成' ,
'SHA-256: ( ) ,
'衝突耐性・第二原像耐性・雪崩効果がセキュアなハッシュの条件' ,
'パスワード保存: + ,
'レインボーテーブル攻撃:事前計算ハッシュとの照合。ソルトで無効化'
] ,
quiz : [
{ q : '現在セキュリティ用途として推奨されないハッシュアルゴリズムはどれか。' , choices : [ 'SHA-256' , 'SHA-3' , 'SHA-512' , 'MD5' ] , answer : 3 , exp : 'MD5は衝突脆弱性が実証されており、セキュリティ用途での使用は禁止されています。' } ,
{ q : 'ハッシュ関数の性質として正しいものはどれか。' , choices : [ '出力から入力が復元できる' , '同じ入力から毎回異なる出力が得られる' , '任意のデータから固定長のダイジェストを生成する' , '暗号化と復号に使用できる' ] , answer : 2 , exp : 'ハッシュ関数は任意の入力から固定長ダイジェストを生成する一方向関数です。' } ,
{ q : 'パスワードのハッシュ保存においてソルトを使用する目的はどれか。' , choices : [ 'ハッシュ計算を高速化する' , 'レインボーテーブル攻撃を無効化する' , 'パスワードを復元できるようにする' , '認証速度を向上する' ] , answer : 1 , exp : 'ソルト(ユーザーごとのランダム値)を加えることで、事前計算済みのレインボーテーブルを無効化します。' } ,
{ q : 'デジタル署名においてハッシュ関数を使う主な理由はどれか。' , choices : [ 'メッセージを暗号化するため' , 'メッセージ全体を秘密鍵で処理するコストを削減するため' , '認証局の検証を省略するため' , '公開鍵を生成するため' ] , answer : 1 , exp : 'メッセージ全体を秘密鍵で暗号化すると非常に遅いため、ハッシュ値のみ署名します。' }
]
} ,
{ id : 's09' , num : 'S09' , title : 'PKI・TLS' , freq : 'high' , diff : 2 ,
concept : ` <p><strong>PKI</strong>( ) ( ) ( ) : ( ) : ( ) : : ` ,
examtips : [
'ルートCA→中間CA→サーバ証明書のチェーン( ) ,
'TLS1.2と1.3の違い: ( ) ,
'CRLとOCSPの違い:
] ,
keypoints : [
'CA( ) : ,
'X.509証明書: ,
'TLS 1.3: + ,
'CRL: ( ) : ,
'信頼の連鎖:
] ,
quiz : [
{ q : 'デジタル証明書においてCAが担う役割はどれか。' , choices : [ '通信を暗号化する' , '公開鍵の正当性を証明する' , '秘密鍵を生成する' , 'ファイアウォールとして機能する' ] , answer : 1 , exp : 'CAは公開鍵が本当にその所有者のものであることをデジタル署名で証明します。' } ,
{ q : 'TLS通信でサーバ証明書の失効をリアルタイムに1件確認するプロトコルはどれか。' , choices : [ 'CRL' , 'OCSP' , 'LDAP' , 'PKI' ] , answer : 1 , exp : 'OCSPは1枚の証明書の失効状態をリアルタイムに確認するプロトコルです。' } ,
{ q : 'TLS 1.3の特徴として正しいものはどれか。' , choices : [ 'RC4で通信を暗号化する' , '1-RTTハンドシェイクで接続が速い' , 'DES鍵交換を使う' , '前方秘匿性( ) ] , answer : 1 , exp : 'TLS1.3は1-RTTハンドシェイクで高速化し、ECDHによる前方秘匿性がデフォルトです。' } ,
{ q : '証明書の信頼チェーンで「ルートCAの証明書を格納しているのは主にどこか。' , choices : [ 'Webサーバ' , 'DNS' , 'OSやブラウザの信頼リスト' , 'OCSP Responder' ] , answer : 2 , exp : 'ブラウザやOSはルートCAの証明書を信頼リスト( ) }
]
}
] } ,
{ id : 'network' , label : 'ネットワーク防御' , icon : 'network' , units : [
{ id : 's10' , num : 'S10' , title : 'ファイアウォール・DMZ' , freq : 'high' , diff : 2 ,
concept : ` <p><strong>ファイアウォール</strong>はネットワーク境界でトラフィックをフィルタリングします。<strong>DMZ</strong>( ) ( ) : ( ) : ` ,
examtips : [
'DMZにはWebサーバ・メールサーバを置く。DBサーバはDMZではなく内部ネットワークに置く( ) ,
'デフォルト拒否(ホワイトリスト型)が原則。「明示的に許可されていないものは拒否」。' ,
'ステートフルとステートレスの違い:
] ,
keypoints : [
'ファイアウォール:パケットをルールに基づき許可/拒否' ,
'DMZ: ,
'パケットフィルタリング: ,
'SPI: ,
'デフォルト拒否原則:明示的に許可されていないものはすべて遮断'
] ,
quiz : [
{ q : 'DMZに設置すべきサーバとして適切なものはどれか。' , choices : [ 'データベースサーバ' , '人事管理システム' , 'Webサーバ( ) , 'ファイルサーバ(社内用)' ] , answer : 2 , exp : 'DMZには外部からアクセスされる公開Webサーバ等を置きます。DBや社内システムは内部ネットワークに置きます。' } ,
{ q : 'ステートフルパケットインスペクション( ) , choices : [ 'IPアドレスのみでフィルタリングする' , 'コネクションの状態を追跡し戻りパケットを自動許可する' , 'アプリケーション層のデータを復号して検査する' , 'UDPのみに対応している' ] , answer : 1 , exp : 'SPIはTCPセッション状態を管理し、正規の戻りパケット( ) } ,
{ q : 'ファイアウォールの基本原則「デフォルト拒否」の意味はどれか。' , choices : [ 'すべての通信を拒否する' , '許可ルールに一致しない通信はすべて拒否する' , '認証なしの通信を拒否する' , '外部からの通信のみ拒否する' ] , answer : 1 , exp : 'デフォルト拒否( ) }
]
} ,
{ id : 's11' , num : 'S11' , title : 'IDS・IPS・WAF' , freq : 'high' , diff : 2 ,
concept : ` <p>ファイアウォールを補完するセキュリティデバイスです。<strong>IDS</strong>は検知のみ、<strong>IPS</strong>は検知して遮断します。<strong>WAF</strong>はWebアプリケーション専用でHTTPレベルの攻撃を防ぎます。</p><div class="formula-box"><div class="formula-label">検知方式</div>シグネチャ型(不正検知):既知の攻撃パターンと照合。既知攻撃に強い・ゼロデイに弱い<br>アノマリ型(異常検知):正常な行動からの逸脱を検知。未知攻撃も検知可能・誤検知が多い</div><p>WAFの導入パターン: ( ) ` ,
examtips : [
'IDS( ) ( + ) ,
'シグネチャ型はゼロデイ脆弱性の攻撃を検知できない。アノマリ型は未知攻撃を検知できるが誤検知率が高い。' ,
'WAFとファイアウォールの違い: ( ) ( )
] ,
keypoints : [
'IDS: ( ) ,
'IPS: ( ) ,
'WAF: ,
'シグネチャ型:既知攻撃に強い・ゼロデイに弱い' ,
'アノマリ型:未知攻撃も検知可・誤検知率が高い'
] ,
quiz : [
{ q : 'IPSとIDSの違いとして正しいものはどれか。' , choices : [ 'IDSは遮断できるがIPSは検知のみ' , 'IPSは検知と遮断ができるがIDSは検知のみ' , 'IPSはWAFの別名' , 'IDSはファイアウォールの別名' ] , answer : 1 , exp : 'IDSは検知・通知のみ。IPSはインラインに設置し不正トラフィックを遮断します。' } ,
{ q : '未知のゼロデイ攻撃の検知に適したIDSの検知方式はどれか。' , choices : [ 'シグネチャ型' , 'アノマリ型(異常検知型)' , 'プロトコル解析型' , 'パターンマッチ型' ] , answer : 1 , exp : 'アノマリ型は正常行動の基準から逸脱を検知するため、シグネチャにない未知の攻撃にも対応できます。' } ,
{ q : 'WAFが主に防ぐ攻撃として正しいものの組み合わせはどれか。' , choices : [ 'DoS攻撃・ARP Spoofing' , 'SQLインジェクション・XSS' , 'DDoS攻撃・DNSハイジャック' , 'フィッシング・スミッシング' ] , answer : 1 , exp : 'WAFはWebアプリケーションへのSQLインジェクション・XSS・CSRFなどL7攻撃を防ぎます。' }
]
} ,
{ id : 's12' , num : 'S12' , title : 'VPN' , freq : 'mid' , diff : 2 ,
concept : ` <p><strong>VPN</strong>( ) : : : : ( ) ( ) ` ,
examtips : [
'IPsec-VPNはL3( ) ( ,
'IPsecのESP( ) ( ) ( ) ,
'スプリットトンネリング:
] ,
keypoints : [
'IPsec-VPN: + ,
'SSL/TLS-VPN: ,
'トンネルモード: + ,
'トランスポートモード:ペイロードのみ暗号化。ホスト間通信に使用' ,
'WireGuard:
] ,
quiz : [
{ q : 'IPsecのESPが提供する機能として正しいものはどれか。' , choices : [ '認証のみ' , '暗号化のみ' , '暗号化と認証の両方' , '鍵交換のみ' ] , answer : 2 , exp : 'ESP( ) } ,
{ q : 'SSL-VPNの説明として正しいものはどれか。' , choices : [ 'IPレベルで全パケットを暗号化する' , 'TLS上にトンネルを構築しリモートアクセスに使われる' , 'AHとESPプロトコルを使用する' , 'ネットワーク層で動作する' ] , answer : 1 , exp : 'SSL/TLS-VPNはHTTPS( ) } ,
{ q : 'IPsecのトンネルモードとトランスポートモードの違いはどれか。' , choices : [ 'トンネルモードはUDPのみ対応' , 'トンネルモードは元パケット全体を暗号化し新IPヘッダを付与する' , 'トランスポートモードは拠点間接続に使われる' , '両モードに機能差はない' ] , answer : 1 , exp : 'トンネルモードは元のIPパケット全体を暗号化し新IPヘッダを付けます。拠点間VPNで使われます。' }
]
} ,
{ id : 's13' , num : 'S13' , title : 'DNSセキュリティ・メールセキュリティ' , freq : 'high' , diff : 2 ,
concept : ` <p>DNSとメールはインターネットの基盤であり、攻撃の標的になりやすいプロトコルです。</p><div class="formula-box"><div class="formula-label">DNS攻撃と対策</div>DNSキャッシュポイズニング: : : ( ) : ( ) : : ( ) ` ,
examtips : [
'SPF・DKIM・DMARCはセットで覚える。SPFはIP検証、DKIMは署名、DMARCはポリシー( ) ,
'DNSキャッシュポイズニングはカミンスキー攻撃が有名。ランダムポート番号とTXID乱数化が対策。' ,
'メールの暗号化( ) :
] ,
keypoints : [
'DNSキャッシュポイズニング: ,
'DNSSEC: ,
'SPF: ,
'DKIM: ,
'DMARC: ( )
] ,
quiz : [
{ q : 'DNSキャッシュポイズニング攻撃の目的はどれか。' , choices : [ 'DNSサーバを過負荷にする' , '偽のDNS応答をキャッシュに記録させ利用者を偽サイトに誘導する' , 'メールサーバを乗っ取る' , 'TLS証明書を偽造する' ] , answer : 1 , exp : 'DNSキャッシュポイズニングは偽の名前解決情報をキャッシュさせ、フィッシングサイト等に誘導します。' } ,
{ q : 'メール送信ドメインの正当性をIPアドレスで検証する仕組みはどれか。' , choices : [ 'DKIM' , 'DMARC' , 'SPF' , 'DNSSEC' ] , answer : 2 , exp : 'SPF( ) } ,
{ q : 'DMARCが提供する主な機能はどれか。' , choices : [ 'メール本文を暗号化する' , '送信元IPを検証する' , 'SPF/DKIMの結果に基づく受信ポリシーを定義する' , 'メールのデジタル署名を行う' ] , answer : 2 , exp : 'DMARCはSPF/DKIM両方の検証結果に基づいて、受信側が「none/quarantine/reject」などのポリシーを適用します。' } ,
{ q : 'DKIMが提供する機能はどれか。' , choices : [ '送信元IPアドレスの検証' , 'メールヘッダへのデジタル署名による改ざん・なりすましの検知' , 'メール本文の暗号化' , 'SPFポリシーの実施' ] , answer : 1 , exp : 'DKIMはメールヘッダに秘密鍵で署名し、受信側が公開鍵で署名を検証することで改ざんを検知します。' }
]
2026-04-20 03:49:27 +00:00
} ,
{ id : 's25' , num : 'S25' , title : '無線LAN セキュリティ' , freq : 'high' , diff : 2 ,
concept : ` <p>無線LANは電波を使うため盗聴・なりすましへの対策が必須です。暗号化方式は世代を経るごとに強化されてきました。</p><div class="formula-box"><div class="formula-label">無線LAN暗号化方式の変遷</div>WEP( ) : ( ) : ( ) : ( ) : ( ) ( ) ( ) : ( ) : : : : : ( ) ( ` ,
examtips : [
'WEP は IV( ) ,
'WPA3 の SAE( ) ,
'企業の802.1X では RADIUS サーバが必要。EAP-TLS は証明書ベースで最も安全だが証明書管理が必要。PEAP はサーバ証明書のみで端末はパスワード認証。'
] ,
keypoints : [
'WEP: ,
'WPA2: ,
'WPA3: ,
'802.1X 企業モード: ,
'悪意ある AP( ) :
] ,
quiz : [
{ q : '無線LAN の暗号化方式のうち現在使用が禁止されているのはどれか。' , choices : [ 'WPA2( ) , 'WEP( ) , 'WPA3( ) , 'TKIP' ] , answer : 1 , exp : 'WEP は IV( ) } ,
{ q : 'WPA3 で WPA2 から改善された主なセキュリティ機能はどれか。' , choices : [ '暗号アルゴリズムが DES から AES に変更' , 'SAE 鍵交換により辞書攻撃耐性と前方秘匿性を実現' , 'RC4 暗号を採用' , 'WPS を廃止' ] , answer : 1 , exp : 'WPA3 は SAE( ) } ,
{ q : '企業向け無線 LAN 認証( ) , choices : [ 'PSK( ) , '802.1X と RADIUS サーバによる個人認証' ] , answer : 1 , exp : 'Enterprise モードは 802.1X を使い RADIUS サーバで各ユーザーを認証します。EAP-TLS( ) ( ) } ,
{ q : '正規のアクセスポイントに見せかけて端末を接続させる攻撃を何と呼ぶか。' , choices : [ 'DNSポイズニング' , 'Evil Twin( ) ] , answer : 1 , exp : 'Evil Twin は合法的な AP と同名の SSID で偽 AP を立て、接続した端末の通信を傍受する中間者攻撃です。SSID だけでは本物か判断できません。' }
]
2026-04-19 16:40:48 +00:00
}
] } ,
{ id : 'attacks' , label : '攻撃手法と対策' , icon : 'sword' , units : [
{ id : 's14' , num : 'S14' , title : 'マルウェア' , freq : 'high' , diff : 1 ,
concept : ` <p>マルウェアはMalicious Softwareの略で、悪意のあるプログラムの総称です。種類と感染経路・対策を整理します。</p><div class="formula-box"><div class="formula-label">主なマルウェアの種類</div>ウイルス:他のプログラムに寄生して感染拡大<br>ワーム:ネットワークを自力で伝播(ホスト不要)<br>トロイの木馬:正常なソフトに見せかけて侵入<br>ランサムウェア:ファイルを暗号化し身代金を要求<br>スパイウェア:情報を窃取して送信<br>ルートキット:管理者権限を奪い存在を隠蔽<br>ボット: ` ,
examtips : [
'ランサムウェア対策の3-2-1ルール: ,
'ルートキットは感染後にOS自体を改ざんして自分を隠す。通常のアンチウイルスで検知しにくい。' ,
'C&Cサーバ( ) :
] ,
keypoints : [
'ウイルス:宿主ファイルに寄生。ワーム:自力でネット感染' ,
'ランサムウェア:暗号化→身代金。対策はオフラインバックアップ' ,
'トロイの木馬:正規ソフトに偽装。ルートキット:自身を隠蔽' ,
'ビヘイビア検知:振る舞いから未知マルウェアを検出' ,
'サンドボックス:隔離環境でマルウェアを動作させ分析'
] ,
quiz : [
{ q : 'ネットワークを通じて自己複製しホストプログラムなしに拡散するマルウェアはどれか。' , choices : [ 'ウイルス' , 'ワーム' , 'スパイウェア' , 'ルートキット' ] , answer : 1 , exp : 'ワームは宿主プログラムを必要とせず、ネットワーク経由で自力に拡散します。' } ,
{ q : 'ランサムウェア対策として最も有効なものはどれか。' , choices : [ 'パスワードを強化する' , '定期的なオフラインバックアップを取得する' , 'ファイアウォールを設置する' , 'アカウントの2段階認証を導入する' ] , answer : 1 , exp : 'ランサムウェアでファイルが暗号化されても、オフラインバックアップから復元できます。オンラインバックアップは暗号化される場合があります。' } ,
{ q : 'シグネチャ型の検知が無効な攻撃手法はどれか。' , choices : [ '既知マルウェアの変種' , 'ゼロデイマルウェア(未知の攻撃)' , '添付ファイルウイルス' , '既知の脆弱性を狙った攻撃' ] , answer : 1 , exp : 'シグネチャ型はパターン照合のため、まだシグネチャがないゼロデイマルウェアを検知できません。' } ,
{ q : 'C&Cサーバ( ) , choices : [ 'バックアップデータを保管する' , '感染したボットに指令を出し統制する' , 'ファイアウォールのルールを管理する' , '証明書を発行する' ] , answer : 1 , exp : 'C&Cサーバはボットネットの司令塔で、感染端末( ) }
]
} ,
{ id : 's15' , num : 'S15' , title : 'Webアプリケーション攻撃' , freq : 'high' , diff : 2 ,
concept : ` <p>Webアプリ開発者が必ず知るべき攻撃パターンです。OWASP Top 10の常連が試験でも頻出です。</p><div class="formula-box"><div class="formula-label">主要な攻撃と対策</div>SQLインジェクション: ( ) : ( ) : : : ( ) ( ) ( ) ` ,
examtips : [
'SQLインジェクションの対策は「プリペアドステートメント( ) ,
'XSS対策: ( ) + ( ) ,
'CSRF対策: ( ) +
] ,
keypoints : [
'SQLインジェクション: ,
'XSS: + ,
'CSRF: + ( ) ,
'パストラバーサル:../によるファイルパス操作。正規化・ホワイトリストで対策' ,
'セキュリティヘッダ:
] ,
quiz : [
{ q : 'SQLインジェクションの最も効果的な対策はどれか。' , choices : [ '入力文字数を制限する' , 'プリペアドステートメント(バインド変数)を使用する' , 'WAFを設置する' , 'ファイアウォールでDBポートを塞ぐ' ] , answer : 1 , exp : 'プリペアドステートメントはSQLとデータを分離するため、SQLインジェクションを根本的に防ぎます。' } ,
{ q : 'XSS( ) , choices : [ 'DBのデータを削除する' , 'サービスを停止させる' , 'セッションCookieを盗みセッションハイジャックを行う' , '管理者権限を奪取する' ] , answer : 2 , exp : 'XSS攻撃の典型的な目的はCookieからセッションIDを盗み、被害者として操作することです。' } ,
{ q : 'CSRF攻撃への対策として有効なものはどれか。' , choices : [ 'パラメータのSQLエスケープ' , 'CSRFトークンをフォームに埋め込む' , 'パスワードを強化する' , 'HTTPSを使用する' ] , answer : 1 , exp : 'CSRFトークンはセッションに紐づくランダム値で、正規フォームからのリクエストであることを検証します。' } ,
{ q : '格納型( ) , choices : [ 'URLパラメータに悪意のあるスクリプトを含める' , '悪意のあるスクリプトをDBに保存しアクセスした全ユーザーに実行させる' , 'クライアントサイドのJS処理でスクリプトを注入する' , 'セッションクッキーを改ざんする' ] , answer : 1 , exp : '格納型XSSはDBに保存したスクリプトがページ表示のたびに全ユーザーで実行されるため最も危険です。' }
]
} ,
{ id : 's16' , num : 'S16' , title : 'パスワード攻撃・フィッシング' , freq : 'high' , diff : 1 ,
concept : ` <p>パスワードとフィッシングはエンドユーザーを標的にした攻撃であり、技術的対策と人的対策の両方が必要です。</p><div class="formula-box"><div class="formula-label">パスワード攻撃の種類</div>ブルートフォース:全パターンを試す。アカウントロックで緩和<br>辞書攻撃:よく使われる単語リストを試す<br>パスワードスプレー: ( ) : ( ) ( ) ` ,
examtips : [
'クレデンシャルスタッフィングは「他サービスで漏洩したIDとPWをそのまま別サービスに使う」。パスワードの使い回しが被害を広げる。' ,
'パスワードスプレー攻撃: ( ,
'スピアフィッシング対策: ( )
] ,
keypoints : [
'ブルートフォース:全試行。アカウントロックとレート制限で対策' ,
'クレデンシャルスタッフィング:流出リストの転用。パスワード使い回しが最大の原因' ,
'パスワードスプレー: ,
'フィッシング:偽メール・偽サイトで認証情報を奪う' ,
'スピアフィッシング:
] ,
quiz : [
{ q : '他のサービスで漏洩したID・パスワードのリストを使って別サービスにログインを試みる攻撃はどれか。' , choices : [ 'パスワードスプレー攻撃' , 'ブルートフォース攻撃' , 'クレデンシャルスタッフィング' , '辞書攻撃' ] , answer : 2 , exp : 'クレデンシャルスタッフィングはパスワードの使い回しを悪用して漏洩リストを他サービスに転用する攻撃です。' } ,
{ q : 'アカウントロックアウト機能を回避しながらパスワードを試みる攻撃手法はどれか。' , choices : [ 'ブルートフォース攻撃' , 'パスワードスプレー攻撃' , 'レインボーテーブル攻撃' , 'クレデンシャルスタッフィング' ] , answer : 1 , exp : 'パスワードスプレーは少数の一般的なパスワードを多数のアカウントに分散して試すため、ロックアウト閾値を超えません。' } ,
2026-04-20 04:08:49 +00:00
{ q : 'スピアフィッシングの説明として正しいものはどれか。' , choices : [ '不特定多数に大量配信するフィッシング' , '特定の個人・組織を調査した標的型フィッシング' , '電話を使ったソーシャルエンジニアリング' , 'SMSを使ったフィッシング' ] , answer : 1 , exp : 'スピアフィッシングは標的を事前に調査し、信頼性の高い偽メール・偽サイトで情報を盗む標的型攻撃です。' } ,
{ q : 'パスワードをハッシュで保存する際にソルト( ) , choices : [ 'ハッシュ計算を高速化する' , 'レインボーテーブル攻撃を困難にする' , 'パスワードを平文のまま保存する' , 'ブルートフォース攻撃を速くする' ] , answer : 1 , exp : 'ソルトはユーザーごとに異なるランダム値をパスワードに付加してからハッシュ化するため、同一パスワードでもハッシュ値が変わり、事前計算したレインボーテーブルがそのまま使えなくなります。' }
2026-04-19 16:40:48 +00:00
]
} ,
{ id : 's17' , num : 'S17' , title : 'DoS/DDoS・APT' , freq : 'high' , diff : 2 ,
concept : ` <p><strong>DoS/DDoS</strong>はサービスを停止させる攻撃(可用性の侵害)、<strong>APT</strong>( ) ( ) : ( ) ( ) : ( ) : ( ) : ( ) ` ,
examtips : [
'SYN flood: ,
'DNSアンプ攻撃: ,
'APT対策: ( )
] ,
keypoints : [
'DoS: : ,
'SYN flood: ,
'DNSアンプ: ,
'APT: ,
'MITRE ATT&CK:
] ,
quiz : [
{ q : 'SYN flood攻撃の仕組みはどれか。' , choices : [ '大量のICMPパケットを送りつける' , 'TCPのSYNパケットを大量送信しハンドシェイクを完了させずサーバリソースを枯渇させる' , 'DNSの大量レスポンスを標的に向ける' , 'HTTPリクエストを大量送信する' ] , answer : 1 , exp : 'SYN floodはTCPの3ウェイハンドシェイクを悪用し、half-open接続を大量に作成してサーバのリソース( ) } ,
{ q : 'DNSアンプ攻撃で攻撃者が悪用する特性はどれか。' , choices : [ 'DNSサーバの脆弱性を直接攻撃する' , '小さいクエリに対して大きいレスポンスが返るDNSの増幅特性' , 'DNSキャッシュに偽情報を注入する' , 'DNSサーバ自体をダウンさせる' ] , answer : 1 , exp : 'DNSアンプ攻撃は小さいDNSクエリ( ) ( ) } ,
{ q : 'APT( ) , choices : [ '不特定多数を短時間で攻撃する' , '標的を定め長期にわたって持続的に侵入・情報窃取を行う' , 'パスワードを総当たりで試す' , 'ランサムウェアを展開して即座に金銭を要求する' ] , answer : 1 , exp : 'APTは特定の標的( ) }
]
} ,
{ id : 's18' , num : 'S18' , title : '脆弱性管理' , freq : 'mid' , diff : 2 ,
concept : ` <p>脆弱性管理はソフトウェアの欠陥を発見・評価・修正するサイクルです。ゼロデイ脆弱性は特に対応が難しく、多層防御が重要です。</p><div class="formula-box"><div class="formula-label">脆弱性評価・管理の仕組み</div>CVE( ) : ( : ) ( ) : ( ) ( ) : ( ) : : ( ) ( ) ( ) ` ,
examtips : [
'CVSS v3の基本スコアは0.0〜10.0。Critical( ) ( ) ,
'ゼロデイ脆弱性:パッチが存在しない状態での攻撃。ワークアラウンド(回避策)で暫定対応するしかない。' ,
'ペネトレーションテスト:攻撃者視点でシステムを試験的に攻撃し脆弱性を発見する手法。バグバウンティプログラムも関連。'
] ,
keypoints : [
'CVE: ( ) ,
'ゼロデイ: ,
'ペネトレーションテスト:倫理的ハッカーが攻撃してセキュリティを評価' ,
'脆弱性の3種類: ,
'JVN:
] ,
quiz : [
{ q : 'CVSSの説明として正しいものはどれか。' , choices : [ '脆弱性の識別番号( ) , '脆弱性の深刻度を0.0〜10.0でスコアリングする共通評価システム' , '脆弱性情報を公開するデータベース' , '侵入テストの手法の標準' ] , answer : 1 , exp : 'CVSS( ) } ,
{ q : 'ゼロデイ脆弱性の説明として正しいものはどれか。' , choices : [ '脆弱性が発見されてから0日以内にパッチが提供されたもの' , 'パッチや修正が存在しない状態で悪用されている脆弱性' , 'CVSSスコアが0点の軽微な脆弱性' , 'すでに修正済みの脆弱性' ] , answer : 1 , exp : 'ゼロデイは発見(または公開)からパッチが出るまでの間に悪用されるか、パッチが存在しない状態の脆弱性です。' } ,
{ q : 'ペネトレーションテストの目的はどれか。' , choices : [ 'マルウェアを駆除する' , '攻撃者の視点でシステムを試験し脆弱性を発見する' , 'ログを分析して不正アクセスを検知する' , '従業員にセキュリティ教育を行う' ] , answer : 1 , exp : 'ペネトレーションテストは倫理的ハッカー(ペネトレーター)が実際の攻撃手法でシステムを試験し、悪用可能な脆弱性を特定します。' }
]
2026-04-20 02:02:24 +00:00
} ,
{ id : 's23' , num : 'S23' , title : 'サプライチェーン・DevSecOps' , freq : 'high' , diff : 2 ,
concept : ` <p>ソフトウェア開発はOSSコンポーネントや外部ベンダーに依存しており、その供給経路( ) ( ) ( ) ( ) ( ) : ( ) : ( ) : ( ) : ( ) : : : ( ) ( ) : ` ,
examtips : [
'SBOM は脆弱性が発覚した際に「自社製品のどのバージョンが影響を受けるか」を即座に特定できる。Log4Shell のような波及的脆弱性への対応で重要性が認識された。' ,
'Shift Left: ,
'CI/CD パイプラインへの攻撃:
] ,
keypoints : [
'SBOM: ,
'サプライチェーン攻撃: ,
'Shift Left: ,
'SAST: ( ) : ( ) ,
'シークレット管理:
] ,
quiz : [
{ q : 'SBOM( ) , choices : [ 'ソフトウェアのパフォーマンスを計測する' , 'ソフトウェアに含まれる依存コンポーネントを管理し脆弱性発覚時の影響範囲を特定する' ] , answer : 1 , exp : 'SBOMはOSSなど依存コンポーネントの一覧を機械可読で管理。Log4Shellのような波及的脆弱性で「自社製品への影響あるか」を即座に判定できます。' } ,
{ q : 'DevSecOps の Shift Left が意味するのはどれか。' , choices : [ '開発リリース直前にまとめてセキュリティテストを行う' , '設計・コーディング段階からセキュリティチェックを組み込む' ] , answer : 1 , exp : 'Shift Left は問題を早期発見するほどコストが低いという考えに基づき、セキュリティを開発の上流フェーズに前倒しします。' } ,
{ q : 'SolarWinds 攻撃( ) , choices : [ 'フィッシングメールで多数の社員を騙した' , '正規のソフトウェアアップデートに悪意あるコードを混入して配布した' ] , answer : 1 , exp : '攻撃者は SolarWinds のビルドシステムに侵入し、正規の Orion 製品アップデートにバックドアを仕込みました。多数の政府機関・企業が被害を受けました。' } ,
{ q : 'CI/CD パイプラインにおけるシークレット管理のベストプラクティスはどれか。' , choices : [ 'API キーをソースコードのコメントに記載する' , 'Vault やクラウドのシークレットマネージャーで管理し実行時に環境変数として注入する' ] , answer : 1 , exp : '認証情報をコードにハードコードするとリポジトリ履歴に残り漏洩します。シークレットマネージャーで一元管理し、パイプライン実行時のみ注入する方式が安全です。' }
]
} ,
{ id : 's24' , num : 'S24' , title : 'AI セキュリティ' , freq : 'mid' , diff : 2 ,
concept : ` <p>生成AI・LLM( ) : ( ) ( ) : : ` ,
examtips : [
'プロンプトインジェクションは OWASP Top 10 for LLM( ) ,
'社員が業務で生成 AI を使う際の情報漏洩:入力したプロンプトが学習データになる可能性・外部サービスへの送信リスク。組織は利用ガイドラインを整備し、機密情報の入力を禁止する必要がある。' ,
'AI のセキュリティは従来のセキュリティと異なる点がある:モデルはブラックボックスで動作が不透明・出力の検証が困難・学習データへの攻撃(ポイズニング)という新しいベクターがある。'
] ,
keypoints : [
'プロンプトインジェクション:悪意ある指示を入力に混入。直接型・間接型がある' ,
'データポイズニング:学習データの汚染でモデルの動作を操作' ,
'モデル反転攻撃:モデル出力から学習データの機密情報を推測' ,
'機密情報漏洩リスク: ,
'OWASP Top 10 for LLM:
] ,
quiz : [
{ q : 'LLM への入力に悪意ある指示を埋め込み意図しない動作を起こさせる攻撃はどれか。' , choices : [ 'データポイズニング' , 'プロンプトインジェクション' ] , answer : 1 , exp : 'プロンプトインジェクションはモデルへの入力に隠れた指示を含め、システムプロンプトの上書き・安全フィルタのバイパス・機密情報の漏洩を狙います。' } ,
{ q : 'AI モデルの学習データに意図的に汚染データを混入する攻撃はどれか。' , choices : [ 'プロンプトインジェクション' , 'データポイズニング(汚染攻撃)' ] , answer : 1 , exp : 'データポイズニングは学習フェーズを攻撃します。汚染されたモデルは特定の入力に対して攻撃者が望む誤った出力を返すようになります。' } ,
{ q : '社員が業務で生成 AI サービスを使う際の主なセキュリティリスクはどれか。' , choices : [ 'AIが返した答えが長くなること' , '機密情報・個人情報をプロンプトに入力し外部サービスに送信してしまうこと' ] , answer : 1 , exp : '生成AIサービスに送ったプロンプトは外部に送信されます。機密情報・顧客データの入力は情報漏洩につながるため、組織のガイドラインで明示的に禁止する必要があります。' } ,
{ q : 'OWASP Top 10 for LLM Applications に含まれるリスクはどれか。' , choices : [ 'ネットワーク帯域の不足' , 'プロンプトインジェクション・安全でないプラグイン設計・過剰権限エージェント' ] , answer : 1 , exp : 'OWASP は LLM 特有のリスクとして、プロンプトインジェクション・機密情報漏洩・不適切な出力処理・過剰なエージェント自律性などを挙げています。' }
]
2026-04-20 03:49:27 +00:00
} ,
{ id : 's26' , num : 'S26' , title : 'ソーシャルエンジニアリング' , freq : 'high' , diff : 1 ,
concept : ` <p><strong>ソーシャルエンジニアリング</strong>は技術的な脆弱性ではなく、人間の心理・行動を操作して情報を騙し取る攻撃です。技術対策だけでは防げず、教育と手続きが重要です。</p><div class="formula-box"><div class="formula-label">主な攻撃手法</div>フィッシング( ) : ( ) : ( ) : ( ) ( ) : ( ) ( ) : ( ) ( ) : ( ) : ( ) : : ( ) + ( ) + ( ) ( ) ` ,
examtips : [
'フィッシング系は名前と説明の組み合わせが出題される。特に「スピアフィッシング≠一般的なフィッシング」「ホエーリング=経営幹部狙い」「BEC=振込詐欺・情報漏洩」の3つを確実に区別すること。' ,
'BEC( ) : ,
'プリテキスティングはソーシャルエンジニアリングの基盤となる手法。「自分は IT 部門の者ですが…」といった架空の状況を設定して情報を引き出す。'
] ,
keypoints : [
'フィッシング:偽サイト・偽メールで認証情報を詐取' ,
'スピアフィッシング:特定個人を事前調査して狙う高度なフィッシング' ,
'BEC: ,
'ヴィッシング/スミッシング:電話/SMSを使ったフィッシング変種' ,
'テールゲーティング:物理的な不正入館。二重扉(マンとラップ)で防止' ,
'セキュリティ意識教育( ) :
] ,
quiz : [
{ q : '特定の個人・組織を事前調査して狙うフィッシングを何と呼ぶか。' , choices : [ 'ホエーリング' , 'スピアフィッシング' ] , answer : 1 , exp : 'スピアフィッシングは標的に関する情報を事前収集し、信憑性の高い偽メール・偽サイトを使います。一般的なフィッシングより検出が困難です。' } ,
{ q : '経営幹部( ) , choices : [ 'スミッシング' , 'BEC( ) ] , answer : 1 , exp : 'BEC は CEO や取引先に成りすました偽メールで送金指示を出す詐欺。電話等での二重確認が有効な対策です。' } ,
{ q : 'マルウェアを仕込んだ USB メモリを駐車場等に放置して拾わせる攻撃はどれか。' , choices : [ 'プリテキスティング' , 'ベイティング( ) ] , answer : 1 , exp : 'ベイティングは物理的な囮デバイスを使う手法。「会社名のラベルが貼られた USB」などを好奇心から挿してしまうことを狙います。' } ,
{ q : 'ソーシャルエンジニアリング対策として根本的に有効なのはどれか。' , choices : [ 'ファイアウォールの強化' , 'セキュリティ意識教育( ) ] , answer : 1 , exp : 'ソーシャルエンジニアリングは人を騙す攻撃のため、技術対策だけでは防げません。従業員教育と標的型メール訓練、電話確認などの手続きが根本的な対策です。' }
]
} ,
{ id : 's27' , num : 'S27' , title : 'セキュアプログラミング' , freq : 'high' , diff : 2 ,
concept : ` <p>安全なソフトウェアを開発するために、コード実装レベルの脆弱性を理解し回避する技法です。支援士試験ではコードの脆弱性と対策の組み合わせが問われます。</p><div class="formula-box"><div class="formula-label">主な脆弱性とコード上の原因</div>バッファオーバーフロー: : ( ) : : : ( ) : ( ) : : ( ) ` ,
examtips : [
'バッファオーバーフローは「確保した領域を超えて書き込む」ことで戻りアドレスを書き換え任意コードを実行できる。対策は境界チェック・コンパイラ保護( ) ,
'フォーマット文字列攻撃:`printf(str)` のような実装でユーザーが `%x %x` などを入力するとメモリダンプができてしまう。`printf("%s", str)` と書式文字列を固定するだけで防げる。' ,
'TOCTOU:
] ,
keypoints : [
'バッファオーバーフロー: ,
'フォーマット文字列攻撃: ,
'整数オーバーフロー:型の範囲超え。符号付き負数化が危険' ,
'Use-After-Free: ,
'入力バリデーション:ホワイトリスト方式(許可リスト)が原則' ,
'OWASP ASVS:
] ,
quiz : [
{ q : 'バッファオーバーフローが発生する根本的な原因はどれか。' , choices : [ '暗号化されていないメモリを使っている' , 'プログラムが確保したバッファの境界チェックをせずに書き込む' ] , answer : 1 , exp : 'バッファオーバーフローは確保した領域を超えた書き込みでスタック上の戻りアドレスを書き換え、任意コードの実行につながります。' } ,
{ q : '`printf(user_input)` という実装に存在する脆弱性はどれか。' , choices : [ 'バッファオーバーフロー' , 'フォーマット文字列攻撃' ] , answer : 1 , exp : '書式文字列にユーザー入力を直接渡すと `%x` などで任意のメモリが読めてしまいます。`printf("%s", user_input)` と書式を固定することで防げます。' } ,
{ q : '入力バリデーションにおいてセキュリティ的に推奨されるアプローチはどれか。' , choices : [ '危険な文字のみ禁止するブラックリスト方式' , '許可する文字・値のみを定義するホワイトリスト方式' ] , answer : 1 , exp : 'ブラックリスト方式は危険なパターンの定義漏れが発生しやすい。ホワイトリスト(許可リスト)方式は定義外を全て拒否するため堅牢です。' } ,
{ q : 'TOCTOU( ) , choices : [ 'メモリリーク' , 'チェック時点と使用時点の間に状態が変わる競合状態' ] , answer : 1 , exp : 'TOCTOU は権限チェック後・実際の操作前に状態が変わることで権限昇格・意図しない操作が発生する脆弱性です。アトミック操作で防ぎます。' }
]
2026-04-19 16:40:48 +00:00
}
] } ,
{ id : 'management' , label : '管理・法規' , icon : 'scale' , units : [
{ id : 's19' , num : 'S19' , title : 'インシデント対応・CSIRT' , freq : 'high' , diff : 2 ,
concept : ` <p>インシデント対応は<strong>PDCA</strong>ではなく<strong>PICERF</strong>サイクル(準備→識別→封じ込め→根絶→復旧→事後レビュー)で考えます。<strong>CSIRT</strong>( ) ( ) ( ) : ( ) : ( ) : ( ) ( ) : ( ) : ( ) : ( ) : ( ) ` ,
examtips : [
'封じ込め( ) ,
'フォレンジックス: ( ) ,
'JPCERT/CC:
] ,
keypoints : [
'インシデント対応6フェーズ: ,
'封じ込めが根絶の前:まず被害拡大を止めてからマルウェアを除去' ,
'CSIRT: ,
'SIEM: ,
'デジタルフォレンジック:
] ,
quiz : [
{ q : 'インシデント対応において「封じ込め」フェーズの目的はどれか。' , choices : [ 'マルウェアを完全に除去する' , 'インシデントの被害拡大を防ぐ' , 'サービスを復旧させる' , '事後レビューを実施する' ] , answer : 1 , exp : '封じ込めはまず被害の拡大を止めることが目的。ネットワーク隔離などを行います。マルウェア除去は「根絶」フェーズです。' } ,
{ q : 'CSIRTの役割として正しいものはどれか。' , choices : [ 'ソフトウェアの開発' , 'セキュリティインシデントの検知・対応・調整' , 'ネットワーク機器の保守' , '社員の人事管理' ] , answer : 1 , exp : 'CSIRTはセキュリティインシデントを専門に検知・分析・対応し、関係機関との情報共有・調整を行うチームです。' } ,
{ q : 'SIEMの機能として正しいものはどれか。' , choices : [ 'ファイアウォールとして通信を遮断する' , '複数システムのログを集約して脅威を相関分析する' , 'マルウェアをサンドボックスで実行する' , '脆弱性スキャンを行う' ] , answer : 1 , exp : 'SIEMは複数のログソースを統合し、相関分析によって個別ログでは見えない攻撃パターンを検知します。' } ,
{ q : 'デジタルフォレンジックにおける「Chain of Custody( ) , choices : [ 'マルウェアを削除する' , '証拠が収集から法廷提出まで改ざんされていないことを証明する' , 'バックアップを取得する' , 'インシデントを封じ込める' ] , answer : 1 , exp : 'Chain of Custodyは証拠の取り扱い履歴を記録し、証拠の完全性と法的証拠能力を維持するための手続きです。' }
]
} ,
{ id : 's20' , num : 'S20' , title : '法規・評価基準' , freq : 'high' , diff : 2 ,
2026-04-20 04:08:49 +00:00
concept : ` <p>情報セキュリティに関わる法律・制度・評価基準を整理します。試験では法律の名前と対象・罰則の組み合わせが問われます。</p><div class="formula-box"><div class="formula-label">主な法律・制度</div>不正アクセス禁止法:不正アクセス行為そのものを禁止(クラッキング・フィッシング等)<br>個人情報保護法:個人情報の取得・利用・保管・第三者提供の規制。漏洩時の報告義務<br>サイバーセキュリティ基本法: ( : ) : : ( ) : ( ) : ( ) ( ) : ( ` ,
2026-04-19 16:40:48 +00:00
examtips : [
2026-04-19 23:59:53 +00:00
'不正アクセス禁止法:権限なしのコンピュータへの不正ログインを禁止。ポートスキャンだけでは違反にならないが、脆弱性を突いた侵入は違反。' ,
'個人情報保護法: ( ) ( ) ,
'<strong>NIST CSF 2.0( ) : ( )
2026-04-19 16:40:48 +00:00
] ,
keypoints : [
'不正アクセス禁止法: ,
2026-04-19 23:59:53 +00:00
'個人情報保護法( ) : ,
'ISO/IEC 27001:2022: ( ) ,
2026-04-19 16:40:48 +00:00
'ISO/IEC 15408( ) : ,
2026-04-19 23:59:53 +00:00
'NIST CSF 2.0( ) : ( ) ( )
2026-04-19 16:40:48 +00:00
] ,
quiz : [
{ q : '不正アクセス禁止法で禁じられる行為として正しいものはどれか。' , choices : [ 'セキュリティ調査のための公開Webサーバのポートスキャン' , '他人のIDとパスワードを使って無断でログインすること' , '脆弱性情報をセキュリティ機関に報告すること' , '自社システムへのペネトレーションテスト' ] , answer : 1 , exp : '不正アクセス禁止法は権限なしに他人のIDなどを使ってコンピュータにアクセスする行為を禁じます。' } ,
2026-04-19 23:59:53 +00:00
{ q : '2022年施行の個人情報保護法改正で新たに義務化された主な事項はどれか。' , choices : [ '全企業のISMS認証取得' , '個人情報漏洩時の本人および個人情報保護委員会への報告義務' , '生体情報の収集禁止' , 'クッキーの使用禁止' ] , answer : 1 , exp : '2022年改正で個人情報の漏洩・侵害が発生した場合、本人と個人情報保護委員会への報告が義務化されました。' } ,
{ q : '2024年2月に公開されたNIST CSF 2.0でCSF 1.1から新たに追加された機能はどれか。' , choices : [ 'Respond( ) , 'Recover( ) , 'Govern( ) , 'Audit( ) ] , answer : 2 , exp : 'NIST CSF 2.0ではGovern( ) ( ) } ,
{ q : 'ISO/IEC 15408( : ) , choices : [ '組織のISMS認証' , 'IT製品・システムのセキュリティ機能の評価・認証' , '個人情報の保護規制' , 'クレジットカードの安全基準' ] , answer : 1 , exp : 'Common Criteriaは情報技術製品のセキュリティ機能をEAL( ) } ,
{ q : 'ISO/IEC 27001の2022年改訂での主な変更点はどれか。' , choices : [ 'Annex Aの管理策が114から93に再整理された' , '認証の有効期限が3年から5年になった' , 'PDCAサイクルが廃止された' , 'リスクアセスメントが任意になった' ] , answer : 0 , exp : 'ISO/IEC 27001:2022改訂ではAnnex Aの管理策が114→93に整理され、組織的・人的・物理的・技術的の4テーマに再分類されました。' }
]
} ,
{ id : 's21' , num : 'S21' , title : 'クラウドセキュリティ' , freq : 'high' , diff : 2 ,
concept : ` <p>クラウドサービスは利用形態( ) ( ) ( ) : ( ) : ( ) : ( ) : ( ) : ` ,
examtips : [
'責任共有モデルは頻出。「物理層はクラウド事業者、IAMとデータはユーザー責任」を軸に理解する。SaaSでも「誰がアクセスできるか( ) ,
'CASB: ( ) ,
'CSPM:
] ,
keypoints : [
'責任共有モデル: ( ) ,
'CASB: ,
'CSPM: ( ) ,
'SWG: ,
'クラウドのIAM:
] ,
quiz : [
{ q : 'クラウド( ) , choices : [ '物理サーバのハードウェア管理' , 'ハイパーバイザのセキュリティパッチ' , 'IAM( ) , 'データセンターの物理セキュリティ' ] , answer : 2 , exp : 'IaaS責任共有モデルでは、物理インフラはCSP責任ですが、IAMとデータはサービス形態に関わらず常にユーザーの責任です。' } ,
{ q : 'CASBが主に解決する課題はどれか。' , choices : [ 'クラウドサービスの可用性保証' , '承認されていないクラウドサービスの利用( ) , 'クラウドサーバの脆弱性スキャン' , 'クラウドのバックアップ管理' ] , answer : 1 , exp : 'CASBはユーザーとクラウドサービスの間に立つブローカーで、シャドーITの可視化、データ漏洩防止、アクセス制御などを提供します。' } ,
{ q : 'クラウド設定のセキュリティポリシー準拠を継続的に検証するツールはどれか。' , choices : [ 'CASB' , 'SIEM' , 'CSPM' , 'WAF' ] , answer : 2 , exp : 'CSPM( ) } ,
{ q : 'クラウドのIAM設定で最初に実施すべきセキュリティ対策はどれか。' , choices : [ '全ユーザーへの管理者権限付与' , 'ルートアカウントへのMFA有効化と日常業務での不使用' , 'すべてのAPIアクセスを無効化' , 'クラウドの外部公開を禁止する' ] , answer : 1 , exp : 'ルートアカウントは全権限を持つため、MFAを有効化し日常業務に使わないことが最重要の初期設定です。' }
]
} ,
{ id : 's22' , num : 'S22' , title : 'OAuth 2.0/OIDC/SAML' , freq : 'high' , diff : 2 ,
concept : ` <p>現代のWebサービスでIDを連携させる3つのプロトコルを整理します。<strong>OAuth 2.0</strong>は「認可( ) ( ) ( ) : : ( ) ( ) ( ) ( ) ` ,
examtips : [
'OAuth 2.0は「認可」フレームワーク( ) ( ) ,
'SAMLとOIDCの使い分け: ( ) ( ) ,
'JWTの検証: ( ) ( )
] ,
keypoints : [
'OAuth 2.0: ,
'OIDC: ( ) ,
'SAML 2.0: ,
'JWT: ,
'IDaaS: ( )
] ,
quiz : [
{ q : '「Googleアカウントで外部サービスにログインする」ときに使われるプロトコルはどれか。' , choices : [ 'OAuth 2.0のみ' , 'SAML 2.0' , 'OIDC( ) , 'Kerberos' ] , answer : 2 , exp : '「Googleでログイン」はOIDCによる認証です。OIDCはOAuth 2.0の上に認証レイヤー( ) } ,
{ q : 'OAuth 2.0が主に提供するのはどれか。' , choices : [ 'ユーザー認証(誰であるかの確認)' , 'リソースへのアクセス権委譲(認可)' , 'パスワードの暗号化' , 'セッション管理' ] , answer : 1 , exp : 'OAuth 2.0は「認可( ) } ,
{ q : 'JWTの構造として正しいものはどれか。' , choices : [ 'Header.Payload( ) , 'Header.Payload.Signatureの3部構成' , '暗号化された単一のBlobデータ' , 'XMLベースのアサーション' ] , answer : 1 , exp : 'JWTはBase64URLエンコードされたHeader.Payload.Signatureの3部をドット区切りで繋いだ構造です。SignatureでHeader+Payloadの完全性を保証します。' } ,
{ q : 'SAMLとOIDCの使い分けとして適切な説明はどれか。' , choices : [ 'SAMLはモバイルアプリ向け、OIDCはレガシー企業システム向け' , 'SAMLはエンタープライズSSO向け、OIDCはWeb/モバイルAPI向けで軽量' , 'SAMLはOIDCの上位互換' , 'OIDCはXMLベースでSAMLはJSONベース' ] , answer : 1 , exp : 'SAMLはXMLベースで企業向け( ) }
2026-04-19 16:40:48 +00:00
]
2026-04-20 03:49:27 +00:00
} ,
{ id : 's28' , num : 'S28' , title : '事業継続・BCP/BCM' , freq : 'high' , diff : 2 ,
concept : ` <p><strong>BCP( ) ( ) ( ) : ( ) : ( ) : : ( ) ( ) ` ,
examtips : [
'RTO と RPO は混同しやすい。RTO は「時間軸( ) ( ) ,
'3-2-1 ルールはランサムウェア対策でも頻出。「3つのコピー・2種類の媒体・1つはオフライン/オフサイト」の「1つはオフライン」が特に重要。' ,
'BCP と DRP の違い: ( )
] ,
keypoints : [
'RTO: ( ) ,
'RPO: ( ) ,
'3-2-1 ルール: ,
'ホットサイト:即時切替・コスト大。コールドサイト:立上げに時間がかかる' ,
'BCP: ( ,
'ISO 22301:
] ,
quiz : [
{ q : 'RPO( ) , choices : [ 'システムの復旧完了までの目標時間' , '障害発生時に許容できるデータ損失の時点(どこまで遡れるか)' ] , answer : 1 , exp : 'RPO はデータの「どこまで失ってよいか」という目標値。RPO=1時間なら最大1時間分のデータ損失を許容し、1時間おきのバックアップが必要です。' } ,
{ q : 'ランサムウェア対策として 3-2-1 ルールで最も重要な要素はどれか。' , choices : [ 'クラウドに2つ以上の同期バックアップを持つこと' , '1つはネットワークから切り離されたオフライン/オフサイト保管をすること' ] , answer : 1 , exp : 'クラウド同期バックアップはランサムウェアに一緒に暗号化されるリスクがあります。オフライン保管なら感染拡大が届かず、確実に復旧できます。' } ,
{ q : 'ホットサイト・ウォームサイト・コールドサイトのうち最も復旧時間が短いのはどれか。' , choices : [ 'コールドサイト' , 'ホットサイト' ] , answer : 1 , exp : 'ホットサイトは本番と同等の環境が常時稼働しており即時切替が可能。コスト最大ですが RTO は最短です。' } ,
{ q : 'BCPとDRPの関係として正しいものはどれか。' , choices : [ 'DRP は BCP よりも広い概念で事業全体を対象にする' , 'BCP は事業継続計画全体で、DRP はその中の IT システム復旧計画' ] , answer : 1 , exp : 'BCP は事業全体( ) }
]
} ,
{ id : 's29' , num : 'S29' , title : '物理・環境セキュリティ' , freq : 'mid' , diff : 1 ,
concept : ` <p>情報セキュリティはデジタルだけの問題ではありません。物理的なアクセスが許可されると技術的対策の多くが無意味になります。</p><div class="formula-box"><div class="formula-label">施設・入退室管理</div>多層防護( ) : ( ) : : ( ) : : : ( ) : ` ,
examtips : [
'テールゲーティング対策はマンとラップ(二重扉+一人ずつ認証)。物理的なソーシャルエンジニアリングの代表例として問われる。' ,
'メディア廃棄方法の違い:消磁は SSD に無効(フラッシュメモリは磁気と関係ない)。確実な廃棄には物理破壊が必要。' ,
'クリーンデスクポリシーは内部不正・のぞき見・物理盗難の対策。試験では「離席時の対策」として選択肢に登場する。'
] ,
keypoints : [
'マンとラップ: ,
'クリーンデスクポリシー: ,
'テールゲーティング:正規者に続いて無断入場する物理的な不正' ,
'メディア廃棄: ( ) ( ) ( ) ,
'多層防護:外周→建物→フロア→サーバ室と段階的にセキュリティを強化'
] ,
quiz : [
{ q : 'テールゲーティング(ピギーバッキング)を防ぐための物理的対策はどれか。' , choices : [ 'ICカードの発行' , 'マンとラップ( ) ] , answer : 1 , exp : 'マンとラップは認証された1人だけが入室できる二重扉の仕組みです。ICカードだけでは後ろからついてくる人物を止められません。' } ,
{ q : 'SSD( ) , choices : [ '消磁(デガウサー)処理' , '物理的な破壊(粉砕・溶解)' ] , answer : 1 , exp : '消磁は磁気記録を消去する手法のため、磁気を使わない SSD には効果がありません。フラッシュメモリの確実な廃棄には物理破壊が必要です。' } ,
{ q : 'クリーンデスクポリシーの主な目的はどれか。' , choices : [ 'デスクの整理整頓を義務づけること' , '離席時に書類・PC を片付け・施錠して情報漏洩・盗難を防ぐこと' ] , answer : 1 , exp : 'クリーンデスクポリシーは内部不正・のぞき見・盗難からの情報保護が目的です。単なる整理整頓ではなく情報セキュリティ対策です。' } ,
{ q : '多層防護( ) , choices : [ 'サーバ室だけを高度に保護する' , '外周フェンス→建物ゲート→受付認証→サーバ室の段階的な防護' ] , answer : 1 , exp : '多層防護は単一の防護が破られても次の層で食い止める考え方。物理セキュリティでも複数の防護層を設けることが原則です。' }
]
} ,
{ id : 's30' , num : 'S30' , title : '脅威インテリジェンス・MITRE ATT&CK' , freq : 'mid' , diff : 3 ,
concept : ` <p><strong>脅威インテリジェンス( ) ( ) : ( ) : ( ) : : ( ) : ( ) ( ) : ( ) : ` ,
examtips : [
'MITRE ATT&CK はフェーズ( ) ( ) ( ) ,
'IoC と IoA の違い: ( ) ( ) ,
'STIX/TAXII: ( ) ( )
] ,
keypoints : [
'CTI: ,
'IoC: ( ,
'TTP: ,
'MITRE ATT&CK: ,
'STIX/TAXII: ( ) ( ) ,
'ハニーポット:攻撃者を引き付ける囮システム。観察・インテリジェンス収集が目的'
] ,
quiz : [
{ q : 'MITRE ATT&CK が提供するのはどれか。' , choices : [ '脆弱性のスコアリング基準' , '実際の攻撃事例に基づく攻撃者のTTPs( ) ] , answer : 1 , exp : 'MITRE ATT&CK は実際のインシデントから収集した攻撃者の行動を体系化したフレームワークです。セキュリティチームが攻撃手法を理解し検知・対策を設計するために使います。' } ,
{ q : 'IoC( ) , choices : [ '攻撃者グループの動機と目的' , 'マルウェアのハッシュ値・悪意ある通信先の IP アドレス' ] , answer : 1 , exp : 'IoC は侵害が発生した「証拠」となる具体的な技術的指標です。SIEM にフィードすることでインシデントの検知・調査に活用されます。' } ,
{ q : '脅威情報を機械可読形式で記述するための標準仕様はどれか。' , choices : [ 'CVSS' , 'STIX( ) ] , answer : 1 , exp : 'STIX は脅威アクター・攻撃キャンペーン・IoC などを構造化して記述するための標準形式です。TAXII プロトコルと組み合わせて組織間で自動共有されます。' } ,
{ q : 'ハニーポットを設置する主な目的はどれか。' , choices : [ '本番システムの負荷を分散する' , '攻撃者を引き付けて行動を観察し脅威インテリジェンスを収集する' ] , answer : 1 , exp : 'ハニーポットは重要システムを守る囮。攻撃者がどのような手法を使うかを安全に観察でき、TTPsの把握や早期警告システムとして機能します。' }
]
2026-04-20 04:08:49 +00:00
} ,
{ id : 's31' , num : 'S31' , title : 'コンプライアンス・証跡(ログ)入門' , freq : 'mid' , diff : 1 ,
concept : ` <p><strong>コンプライアンス</strong>は、法令・業界ガイドライン・社内規程に沿って業務を運営することです。情報セキュリティ分野では、個人情報保護やISMSの文脈で「記録」「監査」「証跡」がセットで問われます。</p><div class="formula-box"><div class="formula-label">初学者向け:証跡とログ</div><strong>証跡</strong>:いつ・誰が・何をしたかを後から追跡できる記録。インシデント調査や監査で事実関係を説明する根拠になる。<br><strong>システムログ</strong>:ログイン成否、設定変更、特権操作などを機械的に残したもの。<br><strong>ログの保護</strong>: ` ,
examtips : [
'「コンプライアンス=法令遵守だけ」と捉えない。社内規程・契約・業界基準も含む。' ,
'監査証跡は「後から説明できること」が目的。ログを取らないより、取り方と保護が問われる。' ,
'クラウドの監査ログはデフォルトで無効のサービスもある。必要なイベントを有効化し、長期保管は別ストレージやSIEM連携を検討。'
] ,
keypoints : [
'コンプライアンス:法令・規程・契約に適合した運用' ,
'証跡・ログ:操作の事実を記録し調査・説明責任を果たす' ,
'ログ保護: ( ) ,
'内部統制:職務分離・承認とログを組み合わせて不正を抑止' ,
'クラウド:ログ設計・保管も利用者側の責任になり得る'
] ,
quiz : [
{ q : 'コンプライアンスの説明として最も適切なものはどれか。' , choices : [ '利益だけを最大化すること' , '法令・規程・契約等に適合するよう業務を運営すること' , 'セキュリティ対策を一切行わないこと' , '技術的脆弱性をゼロにすること' ] , answer : 1 , exp : 'コンプライアンスは法令だけでなく、業界ガイドライン・社内規程・取引先契約など、組織が従うべきルール全体への適合を指します。' } ,
{ q : '監査証跡(ログ)の主な目的として適切なものはどれか。' , choices : [ 'ディスク使用量を減らすこと' , 'いつ誰が何をしたかを後から検証できるようにすること' , 'パスワードを平文で保存すること' , '通信を暗号化しないこと' ] , answer : 1 , exp : '証跡はインシデント調査・監査・説明責任のために、操作の事実を追える状態にすることを目的とします。' } ,
{ q : 'ログの改ざん耐性を高める取り組みとして適切なものはどれか。' , choices : [ '管理者が自由に削除できる1台のサーバのみに保存' , '権限分離し、改ざん検知や外部SIEMへの集約を行う' , 'ログを取らない' , '全員に同一の管理者権限を付与' ] , answer : 1 , exp : 'ログが攻撃者や内部不正で改ざん・削除されると証跡として機能しません。権限分離と外部集約が有効です。' } ,
{ q : 'クラウド利用におけるログ・監査の考え方として適切なものはどれか。' , choices : [ 'すべてのログはクラウド事業者が自動で完全に代替する' , '必要な監査ログを有効化し、保管期間とアクセス権を設計するのは利用者責任になり得る' , 'ログは個人情報ではないので無制限に公開してよい' , 'ログは開発環境のみでよい' ] , answer : 1 , exp : '責任共有モデルでは、設定可能な監査ログの有効化や保管設計が利用者側の責任になる場合があります。' }
]
2026-04-19 16:40:48 +00:00
}
] }
] ;
