セキュリティの基礎から攻撃手法・法規まで、AM2試験に対応した31単元を体系的に学習します。開発者の視点から「なぜそうなのか」を理解しましょう。
+各単元の概念タブの先頭に初学者向けの短い用語ガイドを置いています。ブックマーク用に URL 例: ?unit=s01(単元ID)。サイドバーが開いているとき / で単元検索にフォーカスできます。
公開鍵暗号(非対称暗号)は公開鍵と秘密鍵のペアを使います。公開鍵で暗号化→秘密鍵で復号(機密性)、秘密鍵で署名→公開鍵で検証(完全性・否認防止)。
デジタル署名の手順:①メッセージのハッシュ値を計算②秘密鍵でハッシュを暗号化(=署名)③受信側は公開鍵で署名を復号しハッシュと照合。改ざんと否認を同時に防ぎます。
`, + concept:`公開鍵暗号(非対称暗号)は公開鍵と秘密鍵のペアを使います。公開鍵で暗号化→秘密鍵で復号(機密性)、秘密鍵で署名→公開鍵で検証(完全性・否認防止)。
デジタル署名の手順:①メッセージのハッシュ値を計算②秘密鍵でハッシュを暗号化(=署名)③受信側は公開鍵で署名を復号しハッシュと照合。改ざんと否認を同時に防ぎます。
`, examtips:[ '暗号化と署名で使う鍵の向きが逆なことを確実に理解する。暗号化は「受信者の公開鍵」、署名は「送信者の秘密鍵」。', 'RSAの最低鍵長は2048ビット(2024年現在)。1024ビットは脆弱で不推奨。', @@ -151,7 +151,7 @@ export const CATEGORIES = [ ] }, { id:'s08', num:'S08', title:'ハッシュ関数', freq:'high', diff:1, - concept:`ハッシュ関数は任意のデータから固定長のダイジェスト(ハッシュ値)を生成する一方向関数です。同じ入力から常に同じ出力が得られ、逆算は(計算量的に)不可能です。
ハッシュの3性質:①衝突耐性(同じハッシュを持つ別データを作れない)②第二原像耐性(ハッシュ値から元データを求められない)③雪崩効果(入力が1ビット変わると出力が大きく変わる)
パスワード保存にはハッシュにソルト(ランダム値)を加えることでレインボーテーブル攻撃を防ぎます。bcrypt・Argon2が推奨。
`, + concept:`ハッシュ関数は任意のデータから固定長のダイジェスト(ハッシュ値)を生成する一方向関数です。同じ入力から常に同じ出力が得られ、逆算は(計算量的に)不可能です。
ハッシュの3性質:①衝突耐性(同じハッシュを持つ別データを作れない)②第二原像耐性(ハッシュ値から元データを求められない)③雪崩効果(入力が1ビット変わると出力が大きく変わる)
パスワード保存にはハッシュにソルト(ランダム値)を加えることでレインボーテーブル攻撃を防ぎます。bcrypt・Argon2が推奨。
`, examtips:[ 'MD5・SHA-1は衝突脆弱性が実証されており現在は安全でない。SHA-256以上を使う。', 'ハッシュは一方向(復号不可)。「ハッシュ値からパスワードを復元」はできない→レインボーテーブルは元の値のハッシュを事前計算して照合するもの。', @@ -172,7 +172,7 @@ export const CATEGORIES = [ ] }, { id:'s09', num:'S09', title:'PKI・TLS', freq:'high', diff:2, - concept:`PKI(Public Key Infrastructure)は公開鍵の正当性を証明する仕組みです。中核となるのが認証局(CA)が発行するデジタル証明書(X.509)です。
TLS 1.3のハンドシェイク:①サーバ証明書を送る②クライアントがCAチェーンを検証③ECDHで共通鍵を合意④AES-GCMで通信開始。開発者にとってHTTPS=TLSは日常的な技術です。
PKI(Public Key Infrastructure)は公開鍵の正当性を証明する仕組みです。中核となるのが認証局(CA)が発行するデジタル証明書(X.509)です。
TLS 1.3のハンドシェイク:①サーバ証明書を送る②クライアントがCAチェーンを検証③ECDHで共通鍵を合意④AES-GCMで通信開始。開発者にとってHTTPS=TLSは日常的な技術です。
ファイアウォールはネットワーク境界でトラフィックをフィルタリングします。DMZ(非武装地帯)はインターネットと内部ネットワークの間に置く中間ゾーンで、Webサーバ等の公開サービスを置きます。
ファイアウォールはネットワーク境界でトラフィックをフィルタリングします。DMZ(非武装地帯)はインターネットと内部ネットワークの間に置く中間ゾーンで、Webサーバ等の公開サービスを置きます。
ファイアウォールを補完するセキュリティデバイスです。IDSは検知のみ、IPSは検知して遮断します。WAFはWebアプリケーション専用でHTTPレベルの攻撃を防ぎます。
WAFの導入パターン:リバースプロキシ型が最も一般的。クラウドWAFはCDNと統合されることも多い。SQLインジェクション・XSS・CSRFを主に防ぎます。誤検知(FP)のチューニングが運用上の課題です。
`, + concept:`ファイアウォールを補完するセキュリティデバイスです。IDSは検知のみ、IPSは検知して遮断します。WAFはWebアプリケーション専用でHTTPレベルの攻撃を防ぎます。
WAFの導入パターン:リバースプロキシ型が最も一般的。クラウドWAFはCDNと統合されることも多い。SQLインジェクション・XSS・CSRFを主に防ぎます。誤検知(FP)のチューニングが運用上の課題です。
`, examtips:[ 'IDS(検知のみ)とIPS(検知+遮断)の違いは必須。「遮断」のワードがあればIPS。', 'シグネチャ型はゼロデイ脆弱性の攻撃を検知できない。アノマリ型は未知攻撃を検知できるが誤検知率が高い。', @@ -235,7 +235,7 @@ export const CATEGORIES = [ ] }, { id:'s12', num:'S12', title:'VPN', freq:'mid', diff:2, - concept:`VPN(Virtual Private Network)はパブリックネットワーク上に暗号化された仮想トンネルを作り、安全な通信路を提供します。
IPsecの2モード:トランスポートモード(ペイロードのみ暗号化)とトンネルモード(パケット全体を暗号化して新しいIPヘッダを付与)。拠点間VPNではトンネルモードが一般的です。
`, + concept:`VPN(Virtual Private Network)はパブリックネットワーク上に暗号化された仮想トンネルを作り、安全な通信路を提供します。
IPsecの2モード:トランスポートモード(ペイロードのみ暗号化)とトンネルモード(パケット全体を暗号化して新しいIPヘッダを付与)。拠点間VPNではトンネルモードが一般的です。
`, examtips:[ 'IPsec-VPNはL3(ネットワーク層)、SSL-VPNはL5以上(セッション/アプリ層)での動作という層の違いが問われる。', 'IPsecのESP(Encapsulating Security Payload)は暗号化と認証の両方を提供。AH(Authentication Header)は認証のみ(暗号化なし)。', @@ -255,7 +255,7 @@ export const CATEGORIES = [ ] }, { id:'s13', num:'S13', title:'DNSセキュリティ・メールセキュリティ', freq:'high', diff:2, - concept:`DNSとメールはインターネットの基盤であり、攻撃の標的になりやすいプロトコルです。
DNSとメールはインターネットの基盤であり、攻撃の標的になりやすいプロトコルです。
無線LANは電波を使うため盗聴・なりすましへの対策が必須です。暗号化方式は世代を経るごとに強化されてきました。
主な攻撃:悪意あるAP(Evil Twin・偽AP)で中間者攻撃、WPS PINブルートフォース、PMKIDを使ったオフライン辞書攻撃。対策はWPA3・証明書認証・管理フレーム保護(PMF/802.11w)。
`, + concept:`無線LANは電波を使うため盗聴・なりすましへの対策が必須です。暗号化方式は世代を経るごとに強化されてきました。
主な攻撃:悪意あるAP(Evil Twin・偽AP)で中間者攻撃、WPS PINブルートフォース、PMKIDを使ったオフライン辞書攻撃。対策はWPA3・証明書認証・管理フレーム保護(PMF/802.11w)。
`, examtips:[ 'WEP は IV(初期化ベクタ)の再利用で解読される。試験では「使用禁止」の選択肢として正答になりやすい。', 'WPA3 の SAE(ドラゴンフライ鍵交換)は辞書攻撃耐性と前方秘匿性を提供。PSK より安全な認証フロー。', @@ -299,7 +299,7 @@ export const CATEGORIES = [ ]}, { id:'attacks', label:'攻撃手法と対策', icon:'sword', units:[ { id:'s14', num:'S14', title:'マルウェア', freq:'high', diff:1, - concept:`マルウェアはMalicious Softwareの略で、悪意のあるプログラムの総称です。種類と感染経路・対策を整理します。
検知方式:シグネチャ型(パターン照合)・ビヘイビア型(振る舞い検知)・サンドボックス(隔離環境で動作確認)。ゼロデイマルウェアにはシグネチャが効かないためビヘイビア型が重要です。
`, + concept:`マルウェアはMalicious Softwareの略で、悪意のあるプログラムの総称です。種類と感染経路・対策を整理します。
検知方式:シグネチャ型(パターン照合)・ビヘイビア型(振る舞い検知)・サンドボックス(隔離環境で動作確認)。ゼロデイマルウェアにはシグネチャが効かないためビヘイビア型が重要です。
`, examtips:[ 'ランサムウェア対策の3-2-1ルール:3つのバックアップ・2種類のメディア・1つはオフライン。試験でも対策として正答になりやすい。', 'ルートキットは感染後にOS自体を改ざんして自分を隠す。通常のアンチウイルスで検知しにくい。', @@ -320,7 +320,7 @@ export const CATEGORIES = [ ] }, { id:'s15', num:'S15', title:'Webアプリケーション攻撃', freq:'high', diff:2, - concept:`Webアプリ開発者が必ず知るべき攻撃パターンです。OWASP Top 10の常連が試験でも頻出です。
XSSの種類:反射型(URLパラメータ経由)・格納型(DBに保存されたスクリプト)・DOMベース型(クライアントサイドJS処理)。試験では格納型が最も危険とされる。
`, + concept:`Webアプリ開発者が必ず知るべき攻撃パターンです。OWASP Top 10の常連が試験でも頻出です。
XSSの種類:反射型(URLパラメータ経由)・格納型(DBに保存されたスクリプト)・DOMベース型(クライアントサイドJS処理)。試験では格納型が最も危険とされる。
`, examtips:[ 'SQLインジェクションの対策は「プリペアドステートメント(バインド変数)」が正答になる。エスケープだけでは不十分な場合がある。', 'XSS対策:出力時のHTMLエスケープ(< > 等)+Content Security Policy(CSP)ヘッダ。', @@ -341,7 +341,7 @@ export const CATEGORIES = [ ] }, { id:'s16', num:'S16', title:'パスワード攻撃・フィッシング', freq:'high', diff:1, - concept:`パスワードとフィッシングはエンドユーザーを標的にした攻撃であり、技術的対策と人的対策の両方が必要です。
フィッシング:正規サービスを偽った詐欺メールやサイトで認証情報を奪う。スピアフィッシング(特定の個人・組織を狙う)はターゲットを調査して巧妙な文面を作成します。ビジネスメール詐欺(BEC)はCEOや取引先を名乗り送金指示をするものです。
`, + concept:`パスワードとフィッシングはエンドユーザーを標的にした攻撃であり、技術的対策と人的対策の両方が必要です。
フィッシング:正規サービスを偽った詐欺メールやサイトで認証情報を奪う。スピアフィッシング(特定の個人・組織を狙う)はターゲットを調査して巧妙な文面を作成します。ビジネスメール詐欺(BEC)はCEOや取引先を名乗り送金指示をするものです。
`, examtips:[ 'クレデンシャルスタッフィングは「他サービスで漏洩したIDとPWをそのまま別サービスに使う」。パスワードの使い回しが被害を広げる。', 'パスワードスプレー攻撃:少数のPW("Spring2024!"等)を多数のアカウントに試す。アカウントロックを回避するための手法。', @@ -362,7 +362,7 @@ export const CATEGORIES = [ ] }, { id:'s17', num:'S17', title:'DoS/DDoS・APT', freq:'high', diff:2, - concept:`DoS/DDoSはサービスを停止させる攻撃(可用性の侵害)、APT(Advanced Persistent Threat)は国家レベルの高度な標的型持続攻撃です。
APTはKill Chain(偵察→侵入→水平移動→持続化→情報窃取)で進む多段階攻撃です。MITRE ATT&CK フレームワークはATTのTTPを体系化したもので、防御側が攻撃者の行動を予測するために使います。
`, + concept:`DoS/DDoSはサービスを停止させる攻撃(可用性の侵害)、APT(Advanced Persistent Threat)は国家レベルの高度な標的型持続攻撃です。
APTはKill Chain(偵察→侵入→水平移動→持続化→情報窃取)で進む多段階攻撃です。MITRE ATT&CK フレームワークはATTのTTPを体系化したもので、防御側が攻撃者の行動を予測するために使います。
`, examtips:[ 'SYN flood:TCPのSYNパケットだけ大量送信しACKを返さない。サーバはhalf-open接続を大量保持しリソース枯渇。SYN Cookie/Proxyで対策。', 'DNSアンプ攻撃:小さいDNSクエリに大きいレスポンスが返ることを悪用。送信元IPを詐称して標的に大量レスポンスを向ける。', @@ -382,7 +382,7 @@ export const CATEGORIES = [ ] }, { id:'s18', num:'S18', title:'脆弱性管理', freq:'mid', diff:2, - concept:`脆弱性管理はソフトウェアの欠陥を発見・評価・修正するサイクルです。ゼロデイ脆弱性は特に対応が難しく、多層防御が重要です。
脆弱性の種類:設計上の欠陥(CSRF等の仕様設計)・実装上のバグ(バッファオーバーフロー等)・設定ミス(デフォルトパスワード・不要サービスの放置)。設定ミスは最もよくある脆弱性の源です。
`, + concept:`脆弱性管理はソフトウェアの欠陥を発見・評価・修正するサイクルです。ゼロデイ脆弱性は特に対応が難しく、多層防御が重要です。
脆弱性の種類:設計上の欠陥(CSRF等の仕様設計)・実装上のバグ(バッファオーバーフロー等)・設定ミス(デフォルトパスワード・不要サービスの放置)。設定ミスは最もよくある脆弱性の源です。
`, examtips:[ 'CVSS v3の基本スコアは0.0〜10.0。Critical(9.0〜10.0)・High(7.0〜8.9)・Medium・Low・None。', 'ゼロデイ脆弱性:パッチが存在しない状態での攻撃。ワークアラウンド(回避策)で暫定対応するしかない。', @@ -402,7 +402,7 @@ export const CATEGORIES = [ ] }, { id:'s23', num:'S23', title:'サプライチェーン・DevSecOps', freq:'high', diff:2, - concept:`ソフトウェア開発はOSSコンポーネントや外部ベンダーに依存しており、その供給経路(サプライチェーン)への攻撃が2020年代の重大な脅威となっています。DevSecOpsは開発(Dev)・セキュリティ(Sec)・運用(Ops)を統合するアプローチです。
CI/CDパイプラインはコードから本番環境への自動経路のため、悪意ある変更の大量配布リスクがあります。パイプライン自体のアクセス制御とシークレット管理が重要です。
`, + concept:`ソフトウェア開発はOSSコンポーネントや外部ベンダーに依存しており、その供給経路(サプライチェーン)への攻撃が2020年代の重大な脅威となっています。DevSecOpsは開発(Dev)・セキュリティ(Sec)・運用(Ops)を統合するアプローチです。
CI/CDパイプラインはコードから本番環境への自動経路のため、悪意ある変更の大量配布リスクがあります。パイプライン自体のアクセス制御とシークレット管理が重要です。
`, examtips:[ 'SBOM は脆弱性が発覚した際に「自社製品のどのバージョンが影響を受けるか」を即座に特定できる。Log4Shell のような波及的脆弱性への対応で重要性が認識された。', 'Shift Left:開発の後期でなく設計・コーディング段階からセキュリティを組み込む。発見コストが最も低いフェーズで問題を潰す考え方。', @@ -423,7 +423,7 @@ export const CATEGORIES = [ ] }, { id:'s24', num:'S24', title:'AI セキュリティ', freq:'mid', diff:2, - concept:`生成AI・LLM(大規模言語モデル)の急速な普及に伴い、AI固有のセキュリティリスクが新たに生まれています。2026年現在、情報処理試験でも出題が始まっています。
OWASP は LLM アプリケーション向けの「Top 10 for LLM Applications」を公開。プロンプトインジェクション・安全でないプラグイン設計・過度のエージェント自律性などがトップリスクに挙がっています。
`, + concept:`生成AI・LLM(大規模言語モデル)の急速な普及に伴い、AI固有のセキュリティリスクが新たに生まれています。2026年現在、情報処理試験でも出題が始まっています。
OWASP は LLM アプリケーション向けの「Top 10 for LLM Applications」を公開。プロンプトインジェクション・安全でないプラグイン設計・過度のエージェント自律性などがトップリスクに挙がっています。
`, examtips:[ 'プロンプトインジェクションは OWASP Top 10 for LLM(2025年版)の第1位。システムプロンプトの漏洩・安全フィルタのバイパスが典型的な攻撃結果。対策は入力検証・モデルの権限最小化。', '社員が業務で生成 AI を使う際の情報漏洩:入力したプロンプトが学習データになる可能性・外部サービスへの送信リスク。組織は利用ガイドラインを整備し、機密情報の入力を禁止する必要がある。', @@ -444,7 +444,7 @@ export const CATEGORIES = [ ] }, { id:'s26', num:'S26', title:'ソーシャルエンジニアリング', freq:'high', diff:1, - concept:`ソーシャルエンジニアリングは技術的な脆弱性ではなく、人間の心理・行動を操作して情報を騙し取る攻撃です。技術対策だけでは防げず、教育と手続きが重要です。
テールゲーティング(ピギーバッキング):正規の入室者の後ろについて無断入場する物理的ソーシャルエンジニアリング。
対策:多層防御(MFA・DMARC)+訓練(標的型メール訓練)+手続き(電話確認・上長承認)。技術だけでは防げないためセキュリティ意識教育(Security Awareness Training)が不可欠です。
`, + concept:`ソーシャルエンジニアリングは技術的な脆弱性ではなく、人間の心理・行動を操作して情報を騙し取る攻撃です。技術対策だけでは防げず、教育と手続きが重要です。
テールゲーティング(ピギーバッキング):正規の入室者の後ろについて無断入場する物理的ソーシャルエンジニアリング。
対策:多層防御(MFA・DMARC)+訓練(標的型メール訓練)+手続き(電話確認・上長承認)。技術だけでは防げないためセキュリティ意識教育(Security Awareness Training)が不可欠です。
`, examtips:[ 'フィッシング系は名前と説明の組み合わせが出題される。特に「スピアフィッシング≠一般的なフィッシング」「ホエーリング=経営幹部狙い」「BEC=振込詐欺・情報漏洩」の3つを確実に区別すること。', 'BEC(ビジネスメール詐欺):CEO や取引先に成りすまして送金指示を出す。メールの正当性確認が対策(電話で二重確認)。近年の試験で増加中。', @@ -466,7 +466,7 @@ export const CATEGORIES = [ ] }, { id:'s27', num:'S27', title:'セキュアプログラミング', freq:'high', diff:2, - concept:`安全なソフトウェアを開発するために、コード実装レベルの脆弱性を理解し回避する技法です。支援士試験ではコードの脆弱性と対策の組み合わせが問われます。
OWASP ASVS(Application Security Verification Standard)は Webアプリのセキュリティ要件を体系化したフレームワーク。CERT Coding Standards はコードレベルのセキュアプログラミング規約です。
`, + concept:`安全なソフトウェアを開発するために、コード実装レベルの脆弱性を理解し回避する技法です。支援士試験ではコードの脆弱性と対策の組み合わせが問われます。
OWASP ASVS(Application Security Verification Standard)は Webアプリのセキュリティ要件を体系化したフレームワーク。CERT Coding Standards はコードレベルのセキュアプログラミング規約です。
`, examtips:[ 'バッファオーバーフローは「確保した領域を超えて書き込む」ことで戻りアドレスを書き換え任意コードを実行できる。対策は境界チェック・コンパイラ保護(スタックカナリア・ASLR)。', 'フォーマット文字列攻撃:`printf(str)` のような実装でユーザーが `%x %x` などを入力するとメモリダンプができてしまう。`printf("%s", str)` と書式文字列を固定するだけで防げる。', @@ -490,7 +490,7 @@ export const CATEGORIES = [ ]}, { id:'management', label:'管理・法規', icon:'scale', units:[ { id:'s19', num:'S19', title:'インシデント対応・CSIRT', freq:'high', diff:2, - concept:`インシデント対応はPDCAではなくPICERFサイクル(準備→識別→封じ込め→根絶→復旧→事後レビュー)で考えます。CSIRT(Computer Security Incident Response Team)は組織内外のインシデントを専門に扱うチームです。
SIEM(Security Information and Event Management):複数のログを統合して異常を検知するプラットフォーム。SOC(Security Operations Center)はSIEMを監視する専門チームです。
`, + concept:`インシデント対応はPDCAではなくPICERFサイクル(準備→識別→封じ込め→根絶→復旧→事後レビュー)で考えます。CSIRT(Computer Security Incident Response Team)は組織内外のインシデントを専門に扱うチームです。
SIEM(Security Information and Event Management):複数のログを統合して異常を検知するプラットフォーム。SOC(Security Operations Center)はSIEMを監視する専門チームです。
`, examtips:[ '封じ込め(Containment)は根絶より先に行う。まず被害を止め、その後マルウェアを除去する。', 'フォレンジックス:デジタル証拠の収集・保全・分析。証拠の連鎖(Chain of Custody)を保つことが重要。', @@ -511,7 +511,7 @@ export const CATEGORIES = [ ] }, { id:'s20', num:'S20', title:'法規・評価基準', freq:'high', diff:2, - concept:`情報セキュリティに関わる法律・制度・評価基準を整理します。試験では法律の名前と対象・罰則の組み合わせが問われます。
情報セキュリティに関わる法律・制度・評価基準を整理します。試験では法律の名前と対象・罰則の組み合わせが問われます。
クラウドサービスは利用形態(IaaS/PaaS/SaaS)によって、提供者とユーザーのセキュリティ責任範囲が異なります。これを責任共有モデル(Shared Responsibility Model)と呼びます。
クラウド特有のセキュリティリスクとして設定ミスが最多。S3バケット公開設定やルートアカウントのMFA無効化などが典型例です。
クラウドサービスは利用形態(IaaS/PaaS/SaaS)によって、提供者とユーザーのセキュリティ責任範囲が異なります。これを責任共有モデル(Shared Responsibility Model)と呼びます。
クラウド特有のセキュリティリスクとして設定ミスが最多。S3バケット公開設定やルートアカウントのMFA無効化などが典型例です。
現代のWebサービスでIDを連携させる3つのプロトコルを整理します。OAuth 2.0は「認可(Authorization)」、OIDCは「認証(Authentication)」、SAMLはエンタープライズの「フェデレーション認証」です。
JWTはHeader.Payload.Signatureの3部構成。Payloadにsub(ユーザーID)やexp(有効期限)などのクレームを格納します。IDaaSはこれらを統合したSaaS型のID管理サービスです(Azure AD/Okta等)。
`, + concept:`現代のWebサービスでIDを連携させる3つのプロトコルを整理します。OAuth 2.0は「認可(Authorization)」、OIDCは「認証(Authentication)」、SAMLはエンタープライズの「フェデレーション認証」です。
JWTはHeader.Payload.Signatureの3部構成。Payloadにsub(ユーザーID)やexp(有効期限)などのクレームを格納します。IDaaSはこれらを統合したSaaS型のID管理サービスです(Azure AD/Okta等)。
`, examtips:[ 'OAuth 2.0は「認可」フレームワーク(誰が何をできるか)。OIDC は OAuth 2.0 の上に「認証(誰か)」を追加。この2層構造を混同しないこと。', 'SAMLとOIDCの使い分け:SAMLはエンタープライズSSO(人事システム・社内ポータル)、OIDCはモバイル・Web API向け(軽量・JSONベース)。', @@ -575,7 +575,7 @@ export const CATEGORIES = [ ] }, { id:'s28', num:'S28', title:'事業継続・BCP/BCM', freq:'high', diff:2, - concept:`BCP(Business Continuity Plan)は災害・インシデント発生時でも事業を継続または迅速に復旧するための計画です。BCM(Business Continuity Management)はその計画を策定・維持・改善する継続的なマネジメント体制です。
DRP(Disaster Recovery Plan)は IT システムの復旧に焦点を当てた計画で、BCPの一部です。ISO 22301 が BCM の国際規格です。
`, + concept:`BCP(Business Continuity Plan)は災害・インシデント発生時でも事業を継続または迅速に復旧するための計画です。BCM(Business Continuity Management)はその計画を策定・維持・改善する継続的なマネジメント体制です。
DRP(Disaster Recovery Plan)は IT システムの復旧に焦点を当てた計画で、BCPの一部です。ISO 22301 が BCM の国際規格です。
`, examtips:[ 'RTO と RPO は混同しやすい。RTO は「時間軸(復旧まで何時間)」、RPO は「データ軸(何時点のデータまで許容するか)」。RPO が短いほど頻繁なバックアップが必要。', '3-2-1 ルールはランサムウェア対策でも頻出。「3つのコピー・2種類の媒体・1つはオフライン/オフサイト」の「1つはオフライン」が特に重要。', @@ -597,7 +597,7 @@ export const CATEGORIES = [ ] }, { id:'s29', num:'S29', title:'物理・環境セキュリティ', freq:'mid', diff:1, - concept:`情報セキュリティはデジタルだけの問題ではありません。物理的なアクセスが許可されると技術的対策の多くが無意味になります。
情報セキュリティはデジタルだけの問題ではありません。物理的なアクセスが許可されると技術的対策の多くが無意味になります。
脅威インテリジェンス(CTI: Cyber Threat Intelligence)は攻撃者・攻撃手法・悪意ある活動に関する情報を収集・分析して防御に活かす実践です。
ハニーポット:攻撃者を引き付ける囮システム。実際の重要システムではなく観察・情報収集が目的です。ハニーネットは複数のハニーポットで構成されたネットワークです。
`, + concept:`脅威インテリジェンス(CTI: Cyber Threat Intelligence)は攻撃者・攻撃手法・悪意ある活動に関する情報を収集・分析して防御に活かす実践です。
ハニーポット:攻撃者を引き付ける囮システム。実際の重要システムではなく観察・情報収集が目的です。ハニーネットは複数のハニーポットで構成されたネットワークです。
`, examtips:[ 'MITRE ATT&CK はフェーズ(タクティクス)→手法(テクニック)→手順(サブテクニック)の3層構造。「攻撃者がどのフェーズで何をしたか」をマッピングするツールとして使われる。', 'IoC と IoA の違い:IoC は「侵害された証拠(事後)」、IoA は「攻撃中の兆候(予防)」。SIEM で IoC/IoA を検出することで対応を高速化する。', @@ -640,7 +640,7 @@ export const CATEGORIES = [ ] }, { id:'s31', num:'S31', title:'コンプライアンス・証跡(ログ)入門', freq:'mid', diff:1, - concept:`コンプライアンスは、法令・業界ガイドライン・社内規程に沿って業務を運営することです。情報セキュリティ分野では、個人情報保護やISMSの文脈で「記録」「監査」「証跡」がセットで問われます。
クラウドではログの有効化や保管先の設計も利用者責任に含まれる場合がある(責任共有モデル)。
`, + concept:`コンプライアンスは、法令・業界ガイドライン・社内規程に沿って業務を運営することです。情報セキュリティ分野では、個人情報保護やISMSの文脈で「記録」「監査」「証跡」がセットで問われます。
クラウドではログの有効化や保管先の設計も利用者責任に含まれる場合がある(責任共有モデル)。
`, examtips:[ '「コンプライアンス=法令遵守だけ」と捉えない。社内規程・契約・業界基準も含む。', '監査証跡は「後から説明できること」が目的。ログを取らないより、取り方と保護が問われる。', diff --git a/posimai-sc/sw.js b/posimai-sc/sw.js index 09543f60..1712f208 100644 --- a/posimai-sc/sw.js +++ b/posimai-sc/sw.js @@ -1,5 +1,5 @@ // posimai-sc SW — same-origin の静的資産のみキャッシュ(CDN は対象外) -const CACHE = 'posimai-sc-v2'; +const CACHE = 'posimai-sc-v3'; const STATIC = [ '/', '/index.html',