@ -1,7 +1,7 @@
export const CATEGORIES = [
{ id : 'basics' , label : 'セキュリティ基礎' , icon : 'shield' , units : [
{ id : 's01' , num : 'S01' , title : 'CIA三要素' , freq : 'high' , diff : 1 ,
concept : ` <p>情報セキュリティの根幹は<strong>CIA三要素</strong>です。すべてのセキュリティ対策はこのどれかを守るために存在します。</p><div class=" viz-cia"><div class="cia-card cia-c"><div class="cia-name">機密性</div><div class="cia-en">Confidentiality</div><div class="cia-desc">許可された人だけが情報にアクセスできる。暗号化・アクセス制御で実現。</div></div><div class="cia-card cia-i"><div class="cia-name">完全性</div><div class="cia-en">Integrity</div><div class="cia-desc">情報が正確で改ざんされていない。ハッシュ・デジタル署名で検証。</div></div><div class="cia-card cia-a"><div class="cia-name">可用性</div><div class="cia-en">Availability</div><div class="cia-desc">必要なときに情報を使える。冗長化・バックアップで確保。</div></div></div><p>開発者視点で言い換えると: ` ,
concept : ` <p>情報セキュリティの根幹は<strong>CIA三要素</strong>です。すべてのセキュリティ対策はこのどれかを守るために存在します。</p><div class=" formula-box"><div class="formula-label">初学者向け:用語のイメージ</div><strong>機密性</strong>:秘密にしたい内容を、許可のない人に見られないようにすること。<br><strong>完全性</strong>:データが途中で改ざんされていないかを確認できること。<br><strong>可用性</strong>:サービスやファイルを、必要なときにいつでも使える状態に保つこと。</div><div class=" viz-cia"><div class="cia-card cia-c"><div class="cia-name">機密性</div><div class="cia-en">Confidentiality</div><div class="cia-desc">許可された人だけが情報にアクセスできる。暗号化・アクセス制御で実現。</div></div><div class="cia-card cia-i"><div class="cia-name">完全性</div><div class="cia-en">Integrity</div><div class="cia-desc">情報が正確で改ざんされていない。ハッシュ・デジタル署名で検証。</div></div><div class="cia-card cia-a"><div class="cia-name">可用性</div><div class="cia-en">Availability</div><div class="cia-desc">必要なときに情報を使える。冗長化・バックアップで確保。</div></div></div><p>開発者視点で言い換えると: ` ,
examtips : [
'三要素のどれが損なわれているかを問う問題が頻出。攻撃とCIA要素のマッピングを整理すること。' ,
'<strong>真正性( ) ( ) ( ) ,
@ -22,7 +22,7 @@ export const CATEGORIES = [
]
} ,
{ id : 's02' , num : 'S02' , title : '脅威・脆弱性・リスク' , freq : 'high' , diff : 1 ,
concept : ` <p>リスク管理の基礎概念を整理します。<strong>脅威</strong>は攻撃者や災害など「悪いことが起きる原因」、<strong>脆弱性</strong>はシステムや運用の「穴」、<strong>リスク</strong>はそれらが組み合わさって「実際に被害が発生する可能性と影響度」です。</p><div class="formula-box"><div class="formula-label"> リスクの計算(概念式)</div>リスク = 脅威 × × : ` ,
concept : ` <p>リスク管理の基礎概念を整理します。<strong>脅威</strong>は攻撃者や災害など「悪いことが起きる原因」、<strong>脆弱性</strong>はシステムや運用の「穴」、<strong>リスク</strong>はそれらが組み合わさって「実際に被害が発生する可能性と影響度」です。</p><div class="formula-box"><div class="formula-label"> 初学者向け: リスクの計算(概念式)</div>リスク = 脅威 × × : ` ,
examtips : [
'脅威・脆弱性・リスクの定義の違いを問う問題は毎回出る。「脆弱性」は弱点であり攻撃そのものではない。' ,
'リスク対応4戦略( ) ,
@ -43,7 +43,7 @@ export const CATEGORIES = [
]
} ,
{ id : 's03' , num : 'S03' , title : '認証技術' , freq : 'high' , diff : 2 ,
concept : ` <p>認証は「あなたが本当にあなたか」を確認するプロセスです。認証要素は3種類あり、複数組み合わせることで強度が上がります。</p><div class="formula-box"><div class="formula-label"> 認証の3要素</div>知識要素( ) : ( ) : ( ) : ( ) ( ) ` ,
concept : ` <p>認証は「あなたが本当にあなたか」を確認するプロセスです。認証要素は3種類あり、複数組み合わせることで強度が上がります。</p><div class="formula-box"><div class="formula-label"> 初学者向け:よく出る言葉</div><strong>認証( ) ( ) ( ) ( ) 認証の3要素</div>知識要素( ) : ( ) : ( ) : ( ) ( ) ` ,
examtips : [
'「2段階認証」は同一要素を2回使う場合もある( ,
'チャレンジレスポンス認証:サーバがランダム値(チャレンジ)を送り、クライアントがハッシュ等で応答(レスポンス)する。パスワードを平文で送らない。' ,
@ -64,7 +64,7 @@ export const CATEGORIES = [
]
} ,
{ id : 's04' , num : 'S04' , title : 'アクセス制御' , freq : 'high' , diff : 2 ,
concept : ` <p>アクセス制御は「誰が何にどう操作できるか」を管理する仕組みです。3つのモデルが試験に頻出です。</p><div class="formula-box"><div class="formula-label"> 主なアクセス制御モデル</div>DAC( ) : ( ) ( ) : ( ) ( ) : ( ) ( ) : : ` ,
concept : ` <p>アクセス制御は「誰が何にどう操作できるか」を管理する仕組みです。3つのモデルが試験に頻出です。</p><div class="formula-box"><div class="formula-label"> 初学者向け:この単元の入口</div><strong>アクセス制御</strong>: ( ) 主なアクセス制御モデル</div>DAC( ) : ( ) ( ) : ( ) ( ) : ( ) ( ) : : ` ,
examtips : [
'DAC・MAC・RBACの違いを具体例で説明できること。試験では「誰が権限を設定するか」がポイント。' ,
'最小権限の原則は選択問題の正答選択肢になることが多い。「できるだけ多くの権限を与える」は誤答。' ,
@ -85,7 +85,7 @@ export const CATEGORIES = [
]
} ,
{ id : 's05' , num : 'S05' , title : 'ISMS・セキュリティマネジメント' , freq : 'mid' , diff : 2 ,
concept : ` <p><strong>ISMS</strong>( ) PDCAサイクル( ) ( ) : ( ) : ( ) : ( ) : ( ) ` ,
concept : ` <p><strong>ISMS</strong>( ) 初学者向け: : ( ) ( ) ( ) ( ) PDCAサイクル( ) ( ) : ( ) : ( ) : ( ) : ( ) ` ,
examtips : [
'ISMSはJIS Q 27001・ISO/IEC 27001が根拠。プライバシーマークとの違い( ) ,
'PDCAのどのフェーズの話かを問う問題が多い。「内部監査」はC( ) ( ) ,
@ -107,7 +107,7 @@ export const CATEGORIES = [
] } ,
{ id : 'crypto' , label : '暗号・PKI' , icon : 'key' , units : [
{ id : 's06' , num : 'S06' , title : '共通鍵暗号' , freq : 'high' , diff : 2 ,
concept : ` <p><strong>共通鍵暗号(対称暗号)</strong>は送受信者が同じ鍵を使って暗号化・復号する方式です。速度が速く大量データの暗号化に向いています。</p><div class="formula-box"><div class="formula-label"> 主要アルゴリズム</div>AES( ) : : : : : ( ) ` ,
concept : ` <p><strong>共通鍵暗号(対称暗号)</strong>は送受信者が同じ鍵を使って暗号化・復号する方式です。速度が速く大量データの暗号化に向いています。</p><div class="formula-box"><div class="formula-label"> 初学者向け:暗号の役割(あとで詳しく)</div>この単元の<strong>共通鍵</strong>は「同じ秘密の鍵で暗号化・復号する」方式です。次の単元の<strong>公開鍵</strong>とセットで「誰でも送れるが本人だけ読める」「本人だけが署名できる」など別の役割を担います。<strong>ハッシュ</strong>(別単元)は「要約フィンガープリント」で改ざん検知に使います。</div><div class="formula-box"><div class="formula-label"> 主要アルゴリズム</div>AES( ) : : : : : ( ) ` ,
examtips : [
'AES・DES・3DESのビット長と現在の安全性を整理する。DESは2024年現在使用禁止。' ,
'n人で共通鍵を持ち合う場合の鍵の数: ,
@ -357,7 +357,8 @@ export const CATEGORIES = [
quiz : [
{ q : '他のサービスで漏洩したID・パスワードのリストを使って別サービスにログインを試みる攻撃はどれか。' , choices : [ 'パスワードスプレー攻撃' , 'ブルートフォース攻撃' , 'クレデンシャルスタッフィング' , '辞書攻撃' ] , answer : 2 , exp : 'クレデンシャルスタッフィングはパスワードの使い回しを悪用して漏洩リストを他サービスに転用する攻撃です。' } ,
{ q : 'アカウントロックアウト機能を回避しながらパスワードを試みる攻撃手法はどれか。' , choices : [ 'ブルートフォース攻撃' , 'パスワードスプレー攻撃' , 'レインボーテーブル攻撃' , 'クレデンシャルスタッフィング' ] , answer : 1 , exp : 'パスワードスプレーは少数の一般的なパスワードを多数のアカウントに分散して試すため、ロックアウト閾値を超えません。' } ,
{ q : 'スピアフィッシングの説明として正しいものはどれか。' , choices : [ '不特定多数に大量配信するフィッシング' , '特定の個人・組織を調査した標的型フィッシング' , '電話を使ったソーシャルエンジニアリング' , 'SMSを使ったフィッシング' ] , answer : 1 , exp : 'スピアフィッシングは標的を事前に調査し、信頼性の高い偽メール・偽サイトで情報を盗む標的型攻撃です。' }
{ q : 'スピアフィッシングの説明として正しいものはどれか。' , choices : [ '不特定多数に大量配信するフィッシング' , '特定の個人・組織を調査した標的型フィッシング' , '電話を使ったソーシャルエンジニアリング' , 'SMSを使ったフィッシング' ] , answer : 1 , exp : 'スピアフィッシングは標的を事前に調査し、信頼性の高い偽メール・偽サイトで情報を盗む標的型攻撃です。' } ,
{ q : 'パスワードをハッシュで保存する際にソルト( ) , choices : [ 'ハッシュ計算を高速化する' , 'レインボーテーブル攻撃を困難にする' , 'パスワードを平文のまま保存する' , 'ブルートフォース攻撃を速くする' ] , answer : 1 , exp : 'ソルトはユーザーごとに異なるランダム値をパスワードに付加してからハッシュ化するため、同一パスワードでもハッシュ値が変わり、事前計算したレインボーテーブルがそのまま使えなくなります。' }
]
} ,
{ id : 's17' , num : 'S17' , title : 'DoS/DDoS・APT' , freq : 'high' , diff : 2 ,
@ -510,7 +511,7 @@ export const CATEGORIES = [
]
} ,
{ id : 's20' , num : 'S20' , title : '法規・評価基準' , freq : 'high' , diff : 2 ,
concept : ` <p>情報セキュリティに関わる法律・制度・評価基準を整理します。試験では法律の名前と対象・罰則の組み合わせが問われます。</p><div class="formula-box"><div class="formula-label">主な法律・制度</div>不正アクセス禁止法:不正アクセス行為そのものを禁止(クラッキング・フィッシング等)<br>個人情報保護法:個人情報の取得・利用・保管・第三者提供の規制。漏洩時の報告義務<br>サイバーセキュリティ基本法: ( : ) : : ( ) : ( ) : ( ) ( ) NIST SP 800シリーズ: : </div>` ,
concept : ` <p>情報セキュリティに関わる法律・制度・評価基準を整理します。試験では法律の名前と対象・罰則の組み合わせが問われます。</p><div class="formula-box"><div class="formula-label">主な法律・制度</div>不正アクセス禁止法:不正アクセス行為そのものを禁止(クラッキング・フィッシング等)<br>個人情報保護法:個人情報の取得・利用・保管・第三者提供の規制。漏洩時の報告義務<br>サイバーセキュリティ基本法: ( : ) : : ( 、12要件で構成 ) : ( ) : ( ) ( ) ISO/IEC 27001: ( </div>` ,
examtips : [
'不正アクセス禁止法:権限なしのコンピュータへの不正ログインを禁止。ポートスキャンだけでは違反にならないが、脆弱性を突いた侵入は違反。' ,
'個人情報保護法: ( ) ( ) ,
@ -637,6 +638,27 @@ export const CATEGORIES = [
{ q : '脅威情報を機械可読形式で記述するための標準仕様はどれか。' , choices : [ 'CVSS' , 'STIX( ) ] , answer : 1 , exp : 'STIX は脅威アクター・攻撃キャンペーン・IoC などを構造化して記述するための標準形式です。TAXII プロトコルと組み合わせて組織間で自動共有されます。' } ,
{ q : 'ハニーポットを設置する主な目的はどれか。' , choices : [ '本番システムの負荷を分散する' , '攻撃者を引き付けて行動を観察し脅威インテリジェンスを収集する' ] , answer : 1 , exp : 'ハニーポットは重要システムを守る囮。攻撃者がどのような手法を使うかを安全に観察でき、TTPsの把握や早期警告システムとして機能します。' }
]
} ,
{ id : 's31' , num : 'S31' , title : 'コンプライアンス・証跡(ログ)入門' , freq : 'mid' , diff : 1 ,
concept : ` <p><strong>コンプライアンス</strong>は、法令・業界ガイドライン・社内規程に沿って業務を運営することです。情報セキュリティ分野では、個人情報保護やISMSの文脈で「記録」「監査」「証跡」がセットで問われます。</p><div class="formula-box"><div class="formula-label">初学者向け:証跡とログ</div><strong>証跡</strong>:いつ・誰が・何をしたかを後から追跡できる記録。インシデント調査や監査で事実関係を説明する根拠になる。<br><strong>システムログ</strong>:ログイン成否、設定変更、特権操作などを機械的に残したもの。<br><strong>ログの保護</strong>: ` ,
examtips : [
'「コンプライアンス=法令遵守だけ」と捉えない。社内規程・契約・業界基準も含む。' ,
'監査証跡は「後から説明できること」が目的。ログを取らないより、取り方と保護が問われる。' ,
'クラウドの監査ログはデフォルトで無効のサービスもある。必要なイベントを有効化し、長期保管は別ストレージやSIEM連携を検討。'
] ,
keypoints : [
'コンプライアンス:法令・規程・契約に適合した運用' ,
'証跡・ログ:操作の事実を記録し調査・説明責任を果たす' ,
'ログ保護: ( ) ,
'内部統制:職務分離・承認とログを組み合わせて不正を抑止' ,
'クラウド:ログ設計・保管も利用者側の責任になり得る'
] ,
quiz : [
{ q : 'コンプライアンスの説明として最も適切なものはどれか。' , choices : [ '利益だけを最大化すること' , '法令・規程・契約等に適合するよう業務を運営すること' , 'セキュリティ対策を一切行わないこと' , '技術的脆弱性をゼロにすること' ] , answer : 1 , exp : 'コンプライアンスは法令だけでなく、業界ガイドライン・社内規程・取引先契約など、組織が従うべきルール全体への適合を指します。' } ,
{ q : '監査証跡(ログ)の主な目的として適切なものはどれか。' , choices : [ 'ディスク使用量を減らすこと' , 'いつ誰が何をしたかを後から検証できるようにすること' , 'パスワードを平文で保存すること' , '通信を暗号化しないこと' ] , answer : 1 , exp : '証跡はインシデント調査・監査・説明責任のために、操作の事実を追える状態にすることを目的とします。' } ,
{ q : 'ログの改ざん耐性を高める取り組みとして適切なものはどれか。' , choices : [ '管理者が自由に削除できる1台のサーバのみに保存' , '権限分離し、改ざん検知や外部SIEMへの集約を行う' , 'ログを取らない' , '全員に同一の管理者権限を付与' ] , answer : 1 , exp : 'ログが攻撃者や内部不正で改ざん・削除されると証跡として機能しません。権限分離と外部集約が有効です。' } ,
{ q : 'クラウド利用におけるログ・監査の考え方として適切なものはどれか。' , choices : [ 'すべてのログはクラウド事業者が自動で完全に代替する' , '必要な監査ログを有効化し、保管期間とアクセス権を設計するのは利用者責任になり得る' , 'ログは個人情報ではないので無制限に公開してよい' , 'ログは開発環境のみでよい' ] , answer : 1 , exp : '責任共有モデルでは、設定可能な監査ログの有効化や保管設計が利用者側の責任になる場合があります。' }
]
}
] }
] ;
posimai