情報セキュリティの根幹はCIA三要素です。すべてのセキュリティ対策はこのどれかを守るために存在します。
開発者視点で言い換えると:機密性は「見せない」、完全性は「改ざんさせない」、可用性は「止めない」です。DoS攻撃は可用性を、SQLインジェクションは機密性・完全性を脅かします。
`, examtips:[ '三要素のどれが損なわれているかを問う問題が頻出。攻撃とCIA要素のマッピングを整理すること。', '真正性(Authenticity)・信頼性(Reliability)・否認防止(Non-repudiation)など追加要素も出題される。CIAだけが全てではない。', 'DoS攻撃→可用性、盗聴→機密性、改ざん→完全性。この対応を即答できるようにする。' ], keypoints:[ '機密性(C):許可された者だけがアクセスできる。暗号化・認証で守る', '完全性(I):データが正確で改ざんされていない。ハッシュ・署名で検証', '可用性(A):必要なときに使える。冗長化・DDoS対策で守る', '真正性:通信相手が本当に本人かを確認できること(認証で実現)', '否認防止:後から「やっていない」と言えないようにする(ログ・署名)' ], quiz:[ {q:'DoS攻撃が損なう主なCIA要素はどれか。',choices:['機密性','完全性','可用性','真正性'],answer:2,exp:'DoS攻撃はサービスを停止させ、利用できなくするため可用性を損ないます。'}, {q:'盗聴によって主に損なわれるCIA要素はどれか。',choices:['可用性','完全性','機密性','信頼性'],answer:2,exp:'盗聴は許可なく情報を取得するため、機密性が損なわれます。'}, {q:'ハッシュ値を用いてデータが改ざんされていないことを確認する行為は、主にどのCIA要素を守るものか。',choices:['機密性','完全性','可用性','否認防止'],answer:1,exp:'ハッシュによる改ざん検知は完全性(Integrity)を守る手段です。'}, {q:'情報セキュリティの3要素(CIA)に含まれないものはどれか。',choices:['機密性','可用性','拡張性','完全性'],answer:2,exp:'拡張性(Scalability)はCIA三要素に含まれません。機密性・完全性・可用性が三要素です。'} ] }, { id:'s02', num:'S02', title:'脅威・脆弱性・リスク', freq:'high', diff:1, concept:`リスク管理の基礎概念を整理します。脅威は攻撃者や災害など「悪いことが起きる原因」、脆弱性はシステムや運用の「穴」、リスクはそれらが組み合わさって「実際に被害が発生する可能性と影響度」です。
開発者にとって「脆弱性」とはバグや設定ミスのこと。CVEデータベースに登録される脆弱性情報は、脅威アクターが攻撃に利用する前にパッチを当てるために使います。
`, examtips:[ '脅威・脆弱性・リスクの定義の違いを問う問題は毎回出る。「脆弱性」は弱点であり攻撃そのものではない。', 'リスク対応4戦略(回避・低減・移転・受容)の具体例を各1つ言えるようにする。', '残留リスク:対策後にも残るリスクのこと。ゼロにはできないことを前提に許容・監視する。' ], keypoints:[ '脅威:資産に損害を与える原因となり得るもの(マルウェア・内部不正・災害)', '脆弱性:脅威が利用できるシステムや運用の弱点(パッチ未適用・設定ミス)', 'リスク:脅威が脆弱性を突くことで損害が発生する可能性と影響の組み合わせ', 'リスク対応:回避・低減・移転・受容の4戦略', '残留リスク:対策後も残るリスク。経営判断で受容・監視する' ], quiz:[ {q:'「パッチが未適用のため既知の脆弱性が存在するシステム」はリスク管理上、何に該当するか。',choices:['脅威','脆弱性','リスク','インシデント'],answer:1,exp:'未パッチのシステムは攻撃者に利用される「穴」であり、脆弱性に該当します。'}, {q:'サイバー保険を契約することで損害発生時の費用リスクを保険会社に負わせる対応は、リスク対応の4戦略のうちどれか。',choices:['回避','低減','移転','受容'],answer:2,exp:'保険やアウトソースでリスクを第三者に転嫁することをリスク移転と呼びます。'}, {q:'リスクアセスメントの手順として正しい順序はどれか。',choices:['リスク特定→リスク評価→リスク分析','リスク特定→リスク分析→リスク評価','リスク評価→リスク特定→リスク分析','リスク分析→リスク評価→リスク特定'],answer:1,exp:'JIS Q 27005に基づくリスクアセスメントは「特定→分析→評価」の順です。'}, {q:'脅威と脆弱性の説明として正しい組み合わせはどれか。',choices:['脅威:パッチ未適用/脆弱性:マルウェア','脅威:マルウェア/脆弱性:パッチ未適用','脅威:暗号化/脆弱性:認証','脅威:ファイアウォール/脆弱性:DoS'],answer:1,exp:'マルウェアは脅威(攻撃原因)、パッチ未適用は脆弱性(システムの弱点)です。'} ] }, { id:'s03', num:'S03', title:'認証技術', freq:'high', diff:2, concept:`認証は「あなたが本当にあなたか」を確認するプロセスです。認証要素は3種類あり、複数組み合わせることで強度が上がります。
2要素以上を組み合わせるのが多要素認証(MFA)。SSOはIDPが認証を一元管理し、アプリはそのトークンを信頼するモデルです。開発者にとってJWT(JSON Web Token)はSSO文脈でよく使うものです。
アクセス制御は「誰が何にどう操作できるか」を管理する仕組みです。3つのモデルが試験に頻出です。
最小権限の原則(Least Privilege):業務に必要な最小限の権限のみ与える。開発者でいえばEC2に付けるIAM RoleはReadOnlyで十分な場合にAdminを付けないことです。
Need-to-know:業務上知る必要がある情報だけに絞るデータ分離の原則。MACと組み合わせることが多い。
`, examtips:[ 'DAC・MAC・RBACの違いを具体例で説明できること。試験では「誰が権限を設定するか」がポイント。', '最小権限の原則は選択問題の正答選択肢になることが多い。「できるだけ多くの権限を与える」は誤答。', '職務分離(Separation of Duties):一人の担当者がすべてを担当しない。承認者と執行者を分ける。よく問われる。' ], keypoints:[ 'DAC:所有者が自分で権限を決める(UNIX パーミッション等)', 'MAC:ラベルに基づいてシステムが強制(軍・政府系情報管理)', 'RBAC:役割に権限を紐付け(Webアプリのユーザー・管理者ロール)', '最小権限の原則:必要最低限の権限だけ付与する', '職務分離:不正防止のため1人に全権限を集中させない' ], quiz:[ {q:'Linuxのファイルオーナーが chmod でパーミッションを設定するのはどのアクセス制御モデルか。',choices:['MAC','RBAC','DAC','ABAC'],answer:2,exp:'DACは所有者が自分で権限を設定できる任意アクセス制御モデルです。'}, {q:'「社員の役職(マネージャー・一般社員等)に権限セットを割り当てる」手法はどれか。',choices:['DAC','MAC','RBAC','NAC'],answer:2,exp:'役割(Role)に権限を紐付けるRBACです。Webアプリでは最も広く使われます。'}, {q:'最小権限の原則の説明として正しいものはどれか。',choices:['管理者には全権限を与える','業務に必要な最小限の権限だけ付与する','権限はデフォルトで全員に開放する','上位職者ほど権限が多くなる'],answer:1,exp:'最小権限(Least Privilege)は必要最小限の権限のみ与え、不正・ミスの影響範囲を最小化します。'}, {q:'資金送金の「申請」と「承認」を別々の担当者が行うようにするセキュリティ原則はどれか。',choices:['最小権限','職務分離','Need-to-know','MAC'],answer:1,exp:'職務分離(Separation of Duties)は一人が全工程を担わないようにして不正を防ぐ原則です。'} ] }, { id:'s05', num:'S05', title:'ISMS・セキュリティマネジメント', freq:'mid', diff:2, concept:`ISMS(Information Security Management System)はJIS Q 27001をベースにした、組織全体で情報セキュリティを継続的に改善する仕組みです。
ISMSの認証取得はISO/IEC 27001に基づきます。プライバシーマーク(PMS)は個人情報保護に特化した日本独自の認証制度です。ゼロトラストアーキテクチャは「境界の内側も信頼しない」という現代的なセキュリティ思想で、ISMSの文脈でも登場します。
`, examtips:[ 'ISMSはJIS Q 27001・ISO/IEC 27001が根拠。プライバシーマークとの違い(対象範囲・認定機関)を整理。', 'PDCAのどのフェーズの話かを問う問題が多い。「内部監査」はC(確認)、「リスクアセスメント」はP(計画)。', 'ゼロトラスト:「常に検証、決して信頼しない(Never trust, always verify)」が合言葉。境界型セキュリティとの対比で問われる。' ], keypoints:[ 'ISMS:JIS Q 27001に基づく情報セキュリティマネジメントシステム。PDCAで継続改善', 'リスクアセスメント:リスクの特定→分析→評価。ISMS計画フェーズの中核', 'プライバシーマーク:個人情報保護専用。日本国内の制度(JIS Q 15001)', 'ゼロトラスト:内部ネットワークも信頼しない。常に認証・認可を確認', 'CSIRT:インシデント対応チーム(S06以降で詳述)' ], quiz:[ {q:'ISMSの根拠となる国際規格はどれか。',choices:['ISO/IEC 15408','ISO/IEC 27001','JIS Q 15001','PCI DSS'],answer:1,exp:'ISMSはISO/IEC 27001(日本ではJIS Q 27001)が根拠規格です。'}, {q:'ISMS認証のPDCAサイクルにおいて「内部監査」はどのフェーズに位置するか。',choices:['Plan','Do','Check','Act'],answer:2,exp:'内部監査は実施内容を確認する「Check」フェーズに位置します。'}, {q:'ゼロトラストアーキテクチャの考え方として正しいものはどれか。',choices:['内部ネットワークは安全として信頼する','社外からのアクセスだけを検証する','内部・外部を問わずすべてのアクセスを常に検証する','一度認証すれば内部では再認証不要'],answer:2,exp:'ゼロトラストは「Never trust, always verify」として内部も含め常に検証します。'} ] } ]}, { id:'crypto', label:'暗号・PKI', icon:'key', units:[ { id:'s06', num:'S06', title:'共通鍵暗号', freq:'high', diff:2, concept:`共通鍵暗号(対称暗号)は送受信者が同じ鍵を使って暗号化・復号する方式です。速度が速く大量データの暗号化に向いています。
鍵配送問題:共通鍵を安全に相手に渡す手段が必要。これを解決したのが公開鍵暗号とDiffie-Hellman鍵交換です。TLSハンドシェイクではDH(ECDH)で共通鍵を合意し、AESで通信を暗号化するという組み合わせが標準です。
`, examtips:[ 'AES・DES・3DESのビット長と現在の安全性を整理する。DESは2024年現在使用禁止。', 'n人で共通鍵を持ち合う場合の鍵の数:n(n-1)/2本。公開鍵暗号ならn本で済む。この違いが問われる。', 'ブロック暗号のモード(ECB・CBC・GCM等)が出題されることも。ECBは同じ平文→同じ暗号文になる弱点がある。' ], keypoints:[ '共通鍵暗号:暗号化と復号に同じ鍵を使う。高速・大量データ向き', 'AES:現在の標準暗号。鍵長128/192/256ビット', 'DES:56ビット鍵で現在は脆弱。使用禁止', 'n人の鍵数:公開鍵ならn本、共通鍵ならn(n-1)/2本', '鍵配送問題:共通鍵を安全に渡す手段が課題→DHや公開鍵暗号で解決' ], quiz:[ {q:'現在の標準的な共通鍵暗号アルゴリズムはどれか。',choices:['DES','3DES','AES','RC4'],answer:2,exp:'AESは2001年に米国標準となり、現在最も広く使われる共通鍵暗号です。'}, {q:'10人のユーザーが互いに安全に通信するために必要な共通鍵の総数はいくつか(1対1通信)。',choices:['10本','20本','45本','100本'],answer:2,exp:'n(n-1)/2 = 10×9/2 = 45本の共通鍵が必要です。'}, {q:'共通鍵暗号の「鍵配送問題」とは何か。',choices:['鍵が長すぎる問題','暗号化に時間がかかる問題','共通鍵を安全に相手に渡す手段がない問題','鍵の保管場所がない問題'],answer:2,exp:'共通鍵を事前に安全に渡す方法がないことを鍵配送問題と言います。公開鍵暗号やDHで解決します。'}, {q:'ブロック暗号モードのうち同一ブロックの平文が常に同一の暗号文になるため脆弱とされるものはどれか。',choices:['CBC','GCM','CTR','ECB'],answer:3,exp:'ECB(Electronic Codebook)モードはブロックを独立に暗号化するため、同一平文→同一暗号文になり、パターン漏洩の危険があります。'} ] }, { id:'s07', num:'S07', title:'公開鍵暗号・デジタル署名', freq:'high', diff:2, concept:`公開鍵暗号(非対称暗号)は公開鍵と秘密鍵のペアを使います。公開鍵で暗号化→秘密鍵で復号(機密性)、秘密鍵で署名→公開鍵で検証(完全性・否認防止)。
デジタル署名の手順:①メッセージのハッシュ値を計算②秘密鍵でハッシュを暗号化(=署名)③受信側は公開鍵で署名を復号しハッシュと照合。改ざんと否認を同時に防ぎます。
`, examtips:[ '暗号化と署名で使う鍵の向きが逆なことを確実に理解する。暗号化は「受信者の公開鍵」、署名は「送信者の秘密鍵」。', 'RSAの最低鍵長は2048ビット(2024年現在)。1024ビットは脆弱で不推奨。', 'デジタル署名≠暗号化。署名は「本人確認・改ざん検知」が目的。機密性(内容を隠す)は公開鍵暗号化が担う。' ], keypoints:[ '暗号化:受信者の公開鍵で暗号化→受信者の秘密鍵で復号(機密性)', '署名:送信者の秘密鍵で署名→送信者の公開鍵で検証(完全性・否認防止)', 'RSA:素因数分解の困難性。最低2048ビット', 'ECDSA:楕円曲線暗号。短い鍵で高い安全性', 'DH/ECDH:鍵を共有するプロトコル。TLSのforward secrecyに使う' ], quiz:[ {q:'デジタル署名を生成する際に使用する鍵はどれか。',choices:['受信者の公開鍵','送信者の公開鍵','受信者の秘密鍵','送信者の秘密鍵'],answer:3,exp:'署名は「送信者の秘密鍵」で生成し、受信者は「送信者の公開鍵」で検証します。'}, {q:'公開鍵暗号で暗号化する際に使用する鍵はどれか。',choices:['送信者の秘密鍵','送信者の公開鍵','受信者の秘密鍵','受信者の公開鍵'],answer:3,exp:'「受信者の公開鍵」で暗号化し、受信者だけが持つ「秘密鍵」で復号します。'}, {q:'デジタル署名が提供するセキュリティ機能として正しいものの組み合わせはどれか。',choices:['機密性・可用性','完全性・否認防止','機密性・完全性','可用性・否認防止'],answer:1,exp:'デジタル署名は改ざん検知(完全性)と「やっていない」と言わせない(否認防止)を提供します。'}, {q:'RSA暗号の安全性の根拠となる数学的困難性はどれか。',choices:['離散対数問題','素因数分解の困難性','楕円曲線の困難性','ナップサック問題'],answer:1,exp:'RSAは大きな整数の素因数分解が困難であることを安全性の根拠としています。'} ] }, { id:'s08', num:'S08', title:'ハッシュ関数', freq:'high', diff:1, concept:`ハッシュ関数は任意のデータから固定長のダイジェスト(ハッシュ値)を生成する一方向関数です。同じ入力から常に同じ出力が得られ、逆算は(計算量的に)不可能です。
ハッシュの3性質:①衝突耐性(同じハッシュを持つ別データを作れない)②第二原像耐性(ハッシュ値から元データを求められない)③雪崩効果(入力が1ビット変わると出力が大きく変わる)
パスワード保存にはハッシュにソルト(ランダム値)を加えることでレインボーテーブル攻撃を防ぎます。bcrypt・Argon2が推奨。
`, examtips:[ 'MD5・SHA-1は衝突脆弱性が実証されており現在は安全でない。SHA-256以上を使う。', 'ハッシュは一方向(復号不可)。「ハッシュ値からパスワードを復元」はできない→レインボーテーブルは元の値のハッシュを事前計算して照合するもの。', 'ソルト:パスワードに加えるランダム値。ユーザーごとに異なるため、同じPWでもハッシュ値が変わりレインボーテーブルを無効化する。' ], keypoints:[ 'ハッシュ関数:一方向変換。固定長ダイジェストを生成', 'SHA-256:現在の標準。MD5・SHA-1は使用禁止(衝突脆弱性)', '衝突耐性・第二原像耐性・雪崩効果がセキュアなハッシュの条件', 'パスワード保存:bcrypt/Argon2+ソルトが推奨。単純SHA-256は不十分', 'レインボーテーブル攻撃:事前計算ハッシュとの照合。ソルトで無効化' ], quiz:[ {q:'現在セキュリティ用途として推奨されないハッシュアルゴリズムはどれか。',choices:['SHA-256','SHA-3','SHA-512','MD5'],answer:3,exp:'MD5は衝突脆弱性が実証されており、セキュリティ用途での使用は禁止されています。'}, {q:'ハッシュ関数の性質として正しいものはどれか。',choices:['出力から入力が復元できる','同じ入力から毎回異なる出力が得られる','任意のデータから固定長のダイジェストを生成する','暗号化と復号に使用できる'],answer:2,exp:'ハッシュ関数は任意の入力から固定長ダイジェストを生成する一方向関数です。'}, {q:'パスワードのハッシュ保存においてソルトを使用する目的はどれか。',choices:['ハッシュ計算を高速化する','レインボーテーブル攻撃を無効化する','パスワードを復元できるようにする','認証速度を向上する'],answer:1,exp:'ソルト(ユーザーごとのランダム値)を加えることで、事前計算済みのレインボーテーブルを無効化します。'}, {q:'デジタル署名においてハッシュ関数を使う主な理由はどれか。',choices:['メッセージを暗号化するため','メッセージ全体を秘密鍵で処理するコストを削減するため','認証局の検証を省略するため','公開鍵を生成するため'],answer:1,exp:'メッセージ全体を秘密鍵で暗号化すると非常に遅いため、ハッシュ値のみ署名します。'} ] }, { id:'s09', num:'S09', title:'PKI・TLS', freq:'high', diff:2, concept:`PKI(Public Key Infrastructure)は公開鍵の正当性を証明する仕組みです。中核となるのが認証局(CA)が発行するデジタル証明書(X.509)です。
TLS 1.3のハンドシェイク:①サーバ証明書を送る②クライアントがCAチェーンを検証③ECDHで共通鍵を合意④AES-GCMで通信開始。開発者にとってHTTPS=TLSは日常的な技術です。
ファイアウォールはネットワーク境界でトラフィックをフィルタリングします。DMZ(非武装地帯)はインターネットと内部ネットワークの間に置く中間ゾーンで、Webサーバ等の公開サービスを置きます。
ファイアウォールを補完するセキュリティデバイスです。IDSは検知のみ、IPSは検知して遮断します。WAFはWebアプリケーション専用でHTTPレベルの攻撃を防ぎます。
WAFの導入パターン:リバースプロキシ型が最も一般的。クラウドWAFはCDNと統合されることも多い。SQLインジェクション・XSS・CSRFを主に防ぎます。誤検知(FP)のチューニングが運用上の課題です。
`, examtips:[ 'IDS(検知のみ)とIPS(検知+遮断)の違いは必須。「遮断」のワードがあればIPS。', 'シグネチャ型はゼロデイ脆弱性の攻撃を検知できない。アノマリ型は未知攻撃を検知できるが誤検知率が高い。', 'WAFとファイアウォールの違い:FWはL3/4(IP/ポート)、WAFはL7(HTTPのパラメータ・ヘッダ)を検査。' ], keypoints:[ 'IDS:不正侵入の検知のみ(通知・ログ)', 'IPS:不正侵入の検知と遮断(インライン配置が必要)', 'WAF:Webアプリケーション専用。SQL・XSS等L7攻撃を防ぐ', 'シグネチャ型:既知攻撃に強い・ゼロデイに弱い', 'アノマリ型:未知攻撃も検知可・誤検知率が高い' ], quiz:[ {q:'IPSとIDSの違いとして正しいものはどれか。',choices:['IDSは遮断できるがIPSは検知のみ','IPSは検知と遮断ができるがIDSは検知のみ','IPSはWAFの別名','IDSはファイアウォールの別名'],answer:1,exp:'IDSは検知・通知のみ。IPSはインラインに設置し不正トラフィックを遮断します。'}, {q:'未知のゼロデイ攻撃の検知に適したIDSの検知方式はどれか。',choices:['シグネチャ型','アノマリ型(異常検知型)','プロトコル解析型','パターンマッチ型'],answer:1,exp:'アノマリ型は正常行動の基準から逸脱を検知するため、シグネチャにない未知の攻撃にも対応できます。'}, {q:'WAFが主に防ぐ攻撃として正しいものの組み合わせはどれか。',choices:['DoS攻撃・ARP Spoofing','SQLインジェクション・XSS','DDoS攻撃・DNSハイジャック','フィッシング・スミッシング'],answer:1,exp:'WAFはWebアプリケーションへのSQLインジェクション・XSS・CSRFなどL7攻撃を防ぎます。'} ] }, { id:'s12', num:'S12', title:'VPN', freq:'mid', diff:2, concept:`VPN(Virtual Private Network)はパブリックネットワーク上に暗号化された仮想トンネルを作り、安全な通信路を提供します。
IPsecの2モード:トランスポートモード(ペイロードのみ暗号化)とトンネルモード(パケット全体を暗号化して新しいIPヘッダを付与)。拠点間VPNではトンネルモードが一般的です。
`, examtips:[ 'IPsec-VPNはL3(ネットワーク層)、SSL-VPNはL5以上(セッション/アプリ層)での動作という層の違いが問われる。', 'IPsecのESP(Encapsulating Security Payload)は暗号化と認証の両方を提供。AH(Authentication Header)は認証のみ(暗号化なし)。', 'スプリットトンネリング:VPN接続中に社内宛て通信のみVPNを通し、一般ネット通信は直接出る設定。セキュリティリスクとして問われることがある。' ], keypoints:[ 'IPsec-VPN:L3暗号化。拠点間接続向き。ESPは暗号化+認証', 'SSL/TLS-VPN:HTTPS上のトンネル。リモートアクセス向き。ブラウザ対応', 'トンネルモード:元パケット全体を暗号化+新IPヘッダ。拠点間に使用', 'トランスポートモード:ペイロードのみ暗号化。ホスト間通信に使用', 'WireGuard:現代的な軽量VPN。ChaCha20/Poly1305で高速' ], quiz:[ {q:'IPsecのESPが提供する機能として正しいものはどれか。',choices:['認証のみ','暗号化のみ','暗号化と認証の両方','鍵交換のみ'],answer:2,exp:'ESP(Encapsulating Security Payload)はデータの暗号化と送信元認証の両方を提供します。'}, {q:'SSL-VPNの説明として正しいものはどれか。',choices:['IPレベルで全パケットを暗号化する','TLS上にトンネルを構築しリモートアクセスに使われる','AHとESPプロトコルを使用する','ネットワーク層で動作する'],answer:1,exp:'SSL/TLS-VPNはHTTPS(TLS)を利用したトンネリングで、ブラウザからアクセスできるリモートアクセスVPNです。'}, {q:'IPsecのトンネルモードとトランスポートモードの違いはどれか。',choices:['トンネルモードはUDPのみ対応','トンネルモードは元パケット全体を暗号化し新IPヘッダを付与する','トランスポートモードは拠点間接続に使われる','両モードに機能差はない'],answer:1,exp:'トンネルモードは元のIPパケット全体を暗号化し新IPヘッダを付けます。拠点間VPNで使われます。'} ] }, { id:'s13', num:'S13', title:'DNSセキュリティ・メールセキュリティ', freq:'high', diff:2, concept:`DNSとメールはインターネットの基盤であり、攻撃の標的になりやすいプロトコルです。
マルウェアはMalicious Softwareの略で、悪意のあるプログラムの総称です。種類と感染経路・対策を整理します。
検知方式:シグネチャ型(パターン照合)・ビヘイビア型(振る舞い検知)・サンドボックス(隔離環境で動作確認)。ゼロデイマルウェアにはシグネチャが効かないためビヘイビア型が重要です。
`, examtips:[ 'ランサムウェア対策の3-2-1ルール:3つのバックアップ・2種類のメディア・1つはオフライン。試験でも対策として正答になりやすい。', 'ルートキットは感染後にOS自体を改ざんして自分を隠す。通常のアンチウイルスで検知しにくい。', 'C&Cサーバ(Command and Control):ボットを制御するサーバ。通信を遮断することが対策の一つ。' ], keypoints:[ 'ウイルス:宿主ファイルに寄生。ワーム:自力でネット感染', 'ランサムウェア:暗号化→身代金。対策はオフラインバックアップ', 'トロイの木馬:正規ソフトに偽装。ルートキット:自身を隠蔽', 'ビヘイビア検知:振る舞いから未知マルウェアを検出', 'サンドボックス:隔離環境でマルウェアを動作させ分析' ], quiz:[ {q:'ネットワークを通じて自己複製しホストプログラムなしに拡散するマルウェアはどれか。',choices:['ウイルス','ワーム','スパイウェア','ルートキット'],answer:1,exp:'ワームは宿主プログラムを必要とせず、ネットワーク経由で自力に拡散します。'}, {q:'ランサムウェア対策として最も有効なものはどれか。',choices:['パスワードを強化する','定期的なオフラインバックアップを取得する','ファイアウォールを設置する','アカウントの2段階認証を導入する'],answer:1,exp:'ランサムウェアでファイルが暗号化されても、オフラインバックアップから復元できます。オンラインバックアップは暗号化される場合があります。'}, {q:'シグネチャ型の検知が無効な攻撃手法はどれか。',choices:['既知マルウェアの変種','ゼロデイマルウェア(未知の攻撃)','添付ファイルウイルス','既知の脆弱性を狙った攻撃'],answer:1,exp:'シグネチャ型はパターン照合のため、まだシグネチャがないゼロデイマルウェアを検知できません。'}, {q:'C&Cサーバ(Command and Control)の役割はどれか。',choices:['バックアップデータを保管する','感染したボットに指令を出し統制する','ファイアウォールのルールを管理する','証明書を発行する'],answer:1,exp:'C&Cサーバはボットネットの司令塔で、感染端末(ボット)に攻撃命令を送ります。'} ] }, { id:'s15', num:'S15', title:'Webアプリケーション攻撃', freq:'high', diff:2, concept:`Webアプリ開発者が必ず知るべき攻撃パターンです。OWASP Top 10の常連が試験でも頻出です。
XSSの種類:反射型(URLパラメータ経由)・格納型(DBに保存されたスクリプト)・DOMベース型(クライアントサイドJS処理)。試験では格納型が最も危険とされる。
`, examtips:[ 'SQLインジェクションの対策は「プリペアドステートメント(バインド変数)」が正答になる。エスケープだけでは不十分な場合がある。', 'XSS対策:出力時のHTMLエスケープ(< > 等)+Content Security Policy(CSP)ヘッダ。', 'CSRF対策:CSRFトークン(セッションに紐づくランダム値をフォームに埋める)+Same-Site Cookie属性。' ], keypoints:[ 'SQLインジェクション:プリペアドステートメントで対策', 'XSS:HTMLエスケープ+CSPヘッダで対策。Cookieには HttpOnly 属性', 'CSRF:CSRFトークン+Same-Site Cookie(Strict/Lax)で対策', 'パストラバーサル:../によるファイルパス操作。正規化・ホワイトリストで対策', 'セキュリティヘッダ:CSP・X-Frame-Options・HSTS等を必ず設定' ], quiz:[ {q:'SQLインジェクションの最も効果的な対策はどれか。',choices:['入力文字数を制限する','プリペアドステートメント(バインド変数)を使用する','WAFを設置する','ファイアウォールでDBポートを塞ぐ'],answer:1,exp:'プリペアドステートメントはSQLとデータを分離するため、SQLインジェクションを根本的に防ぎます。'}, {q:'XSS(クロスサイトスクリプティング)攻撃の目的として最も適切なものはどれか。',choices:['DBのデータを削除する','サービスを停止させる','セッションCookieを盗みセッションハイジャックを行う','管理者権限を奪取する'],answer:2,exp:'XSS攻撃の典型的な目的はCookieからセッションIDを盗み、被害者として操作することです。'}, {q:'CSRF攻撃への対策として有効なものはどれか。',choices:['パラメータのSQLエスケープ','CSRFトークンをフォームに埋め込む','パスワードを強化する','HTTPSを使用する'],answer:1,exp:'CSRFトークンはセッションに紐づくランダム値で、正規フォームからのリクエストであることを検証します。'}, {q:'格納型(persistent)XSSとはどのような攻撃か。',choices:['URLパラメータに悪意のあるスクリプトを含める','悪意のあるスクリプトをDBに保存しアクセスした全ユーザーに実行させる','クライアントサイドのJS処理でスクリプトを注入する','セッションクッキーを改ざんする'],answer:1,exp:'格納型XSSはDBに保存したスクリプトがページ表示のたびに全ユーザーで実行されるため最も危険です。'} ] }, { id:'s16', num:'S16', title:'パスワード攻撃・フィッシング', freq:'high', diff:1, concept:`パスワードとフィッシングはエンドユーザーを標的にした攻撃であり、技術的対策と人的対策の両方が必要です。
フィッシング:正規サービスを偽った詐欺メールやサイトで認証情報を奪う。スピアフィッシング(特定の個人・組織を狙う)はターゲットを調査して巧妙な文面を作成します。ビジネスメール詐欺(BEC)はCEOや取引先を名乗り送金指示をするものです。
`, examtips:[ 'クレデンシャルスタッフィングは「他サービスで漏洩したIDとPWをそのまま別サービスに使う」。パスワードの使い回しが被害を広げる。', 'パスワードスプレー攻撃:少数のPW("Spring2024!"等)を多数のアカウントに試す。アカウントロックを回避するための手法。', 'スピアフィッシング対策:多要素認証・送信元確認(DMARC)・セキュリティ教育。技術だけでは防げない。' ], keypoints:[ 'ブルートフォース:全試行。アカウントロックとレート制限で対策', 'クレデンシャルスタッフィング:流出リストの転用。パスワード使い回しが最大の原因', 'パスワードスプレー:少数PWを多数アカウントに試す。ロック閾値をずらす攻撃', 'フィッシング:偽メール・偽サイトで認証情報を奪う', 'スピアフィッシング:特定個人を調査した標的型。BECはその一種' ], quiz:[ {q:'他のサービスで漏洩したID・パスワードのリストを使って別サービスにログインを試みる攻撃はどれか。',choices:['パスワードスプレー攻撃','ブルートフォース攻撃','クレデンシャルスタッフィング','辞書攻撃'],answer:2,exp:'クレデンシャルスタッフィングはパスワードの使い回しを悪用して漏洩リストを他サービスに転用する攻撃です。'}, {q:'アカウントロックアウト機能を回避しながらパスワードを試みる攻撃手法はどれか。',choices:['ブルートフォース攻撃','パスワードスプレー攻撃','レインボーテーブル攻撃','クレデンシャルスタッフィング'],answer:1,exp:'パスワードスプレーは少数の一般的なパスワードを多数のアカウントに分散して試すため、ロックアウト閾値を超えません。'}, {q:'スピアフィッシングの説明として正しいものはどれか。',choices:['不特定多数に大量配信するフィッシング','特定の個人・組織を調査した標的型フィッシング','電話を使ったソーシャルエンジニアリング','SMSを使ったフィッシング'],answer:1,exp:'スピアフィッシングは標的を事前に調査し、信頼性の高い偽メール・偽サイトで情報を盗む標的型攻撃です。'} ] }, { id:'s17', num:'S17', title:'DoS/DDoS・APT', freq:'high', diff:2, concept:`DoS/DDoSはサービスを停止させる攻撃(可用性の侵害)、APT(Advanced Persistent Threat)は国家レベルの高度な標的型持続攻撃です。
APTはKill Chain(偵察→侵入→水平移動→持続化→情報窃取)で進む多段階攻撃です。MITRE ATT&CK フレームワークはATTのTTPを体系化したもので、防御側が攻撃者の行動を予測するために使います。
`, examtips:[ 'SYN flood:TCPのSYNパケットだけ大量送信しACKを返さない。サーバはhalf-open接続を大量保持しリソース枯渇。SYN Cookie/Proxyで対策。', 'DNSアンプ攻撃:小さいDNSクエリに大きいレスポンスが返ることを悪用。送信元IPを詐称して標的に大量レスポンスを向ける。', 'APT対策:多層防御(Defense in Depth)・SIEM・EDR・ゼロトラスト。侵入を前提にした「検知・対応」が重要。' ], keypoints:[ 'DoS:単一ホストからの攻撃。DDoS:多数のボットからの分散型攻撃', 'SYN flood:half-open接続でサーバリソースを枯渇させる', 'DNSアンプ:小クエリ→大レスポンス増幅。送信元偽装で標的に向ける', 'APT:偵察→侵入→永続化→情報窃取の多段階攻撃', 'MITRE ATT&CK:攻撃者のTTPを体系化したフレームワーク' ], quiz:[ {q:'SYN flood攻撃の仕組みはどれか。',choices:['大量のICMPパケットを送りつける','TCPのSYNパケットを大量送信しハンドシェイクを完了させずサーバリソースを枯渇させる','DNSの大量レスポンスを標的に向ける','HTTPリクエストを大量送信する'],answer:1,exp:'SYN floodはTCPの3ウェイハンドシェイクを悪用し、half-open接続を大量に作成してサーバのリソース(メモリ・接続テーブル)を枯渇させます。'}, {q:'DNSアンプ攻撃で攻撃者が悪用する特性はどれか。',choices:['DNSサーバの脆弱性を直接攻撃する','小さいクエリに対して大きいレスポンスが返るDNSの増幅特性','DNSキャッシュに偽情報を注入する','DNSサーバ自体をダウンさせる'],answer:1,exp:'DNSアンプ攻撃は小さいDNSクエリ(数十バイト)に対して何倍もの大きいDNSレスポンス(数千バイト)が返る増幅特性を利用します。'}, {q:'APT(高度標的型攻撃)の特徴として正しいものはどれか。',choices:['不特定多数を短時間で攻撃する','標的を定め長期にわたって持続的に侵入・情報窃取を行う','パスワードを総当たりで試す','ランサムウェアを展開して即座に金銭を要求する'],answer:1,exp:'APTは特定の標的(政府・重要インフラ等)に対して長期間潜伏しながら情報を収集・窃取する国家レベルの攻撃です。'} ] }, { id:'s18', num:'S18', title:'脆弱性管理', freq:'mid', diff:2, concept:`脆弱性管理はソフトウェアの欠陥を発見・評価・修正するサイクルです。ゼロデイ脆弱性は特に対応が難しく、多層防御が重要です。
脆弱性の種類:設計上の欠陥(CSRF等の仕様設計)・実装上のバグ(バッファオーバーフロー等)・設定ミス(デフォルトパスワード・不要サービスの放置)。設定ミスは最もよくある脆弱性の源です。
`, examtips:[ 'CVSS v3の基本スコアは0.0〜10.0。Critical(9.0〜10.0)・High(7.0〜8.9)・Medium・Low・None。', 'ゼロデイ脆弱性:パッチが存在しない状態での攻撃。ワークアラウンド(回避策)で暫定対応するしかない。', 'ペネトレーションテスト:攻撃者視点でシステムを試験的に攻撃し脆弱性を発見する手法。バグバウンティプログラムも関連。' ], keypoints:[ 'CVE:脆弱性の共通識別番号。CVSSでスコアリング(0.0〜10.0)', 'ゼロデイ:パッチ未存在の脆弱性。WAF・IPS・行動監視で暫定対応', 'ペネトレーションテスト:倫理的ハッカーが攻撃してセキュリティを評価', '脆弱性の3種類:設計欠陥・実装バグ・設定ミス', 'JVN:日本の脆弱性情報データベース。IPAが運用' ], quiz:[ {q:'CVSSの説明として正しいものはどれか。',choices:['脆弱性の識別番号(ID)を付与する仕組み','脆弱性の深刻度を0.0〜10.0でスコアリングする共通評価システム','脆弱性情報を公開するデータベース','侵入テストの手法の標準'],answer:1,exp:'CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を標準化されたスコアで評価するフレームワークです。'}, {q:'ゼロデイ脆弱性の説明として正しいものはどれか。',choices:['脆弱性が発見されてから0日以内にパッチが提供されたもの','パッチや修正が存在しない状態で悪用されている脆弱性','CVSSスコアが0点の軽微な脆弱性','すでに修正済みの脆弱性'],answer:1,exp:'ゼロデイは発見(または公開)からパッチが出るまでの間に悪用されるか、パッチが存在しない状態の脆弱性です。'}, {q:'ペネトレーションテストの目的はどれか。',choices:['マルウェアを駆除する','攻撃者の視点でシステムを試験し脆弱性を発見する','ログを分析して不正アクセスを検知する','従業員にセキュリティ教育を行う'],answer:1,exp:'ペネトレーションテストは倫理的ハッカー(ペネトレーター)が実際の攻撃手法でシステムを試験し、悪用可能な脆弱性を特定します。'} ] } ]}, { id:'management', label:'管理・法規', icon:'scale', units:[ { id:'s19', num:'S19', title:'インシデント対応・CSIRT', freq:'high', diff:2, concept:`インシデント対応はPDCAではなくPICERFサイクル(準備→識別→封じ込め→根絶→復旧→事後レビュー)で考えます。CSIRT(Computer Security Incident Response Team)は組織内外のインシデントを専門に扱うチームです。
SIEM(Security Information and Event Management):複数のログを統合して異常を検知するプラットフォーム。SOC(Security Operations Center)はSIEMを監視する専門チームです。
`, examtips:[ '封じ込め(Containment)は根絶より先に行う。まず被害を止め、その後マルウェアを除去する。', 'フォレンジックス:デジタル証拠の収集・保全・分析。証拠の連鎖(Chain of Custody)を保つことが重要。', 'JPCERT/CC:日本のCSIRTの調整機関。脆弱性情報・インシデント情報を収集・共有する。' ], keypoints:[ 'インシデント対応6フェーズ:準備→検知→封じ込め→根絶→復旧→事後レビュー', '封じ込めが根絶の前:まず被害拡大を止めてからマルウェアを除去', 'CSIRT:インシデント対応の専門チーム。JPCERT/CCが日本の調整機関', 'SIEM:ログを統合して異常検知。SOCが監視を担う', 'デジタルフォレンジック:証拠保全・Chain of Custodyが重要' ], quiz:[ {q:'インシデント対応において「封じ込め」フェーズの目的はどれか。',choices:['マルウェアを完全に除去する','インシデントの被害拡大を防ぐ','サービスを復旧させる','事後レビューを実施する'],answer:1,exp:'封じ込めはまず被害の拡大を止めることが目的。ネットワーク隔離などを行います。マルウェア除去は「根絶」フェーズです。'}, {q:'CSIRTの役割として正しいものはどれか。',choices:['ソフトウェアの開発','セキュリティインシデントの検知・対応・調整','ネットワーク機器の保守','社員の人事管理'],answer:1,exp:'CSIRTはセキュリティインシデントを専門に検知・分析・対応し、関係機関との情報共有・調整を行うチームです。'}, {q:'SIEMの機能として正しいものはどれか。',choices:['ファイアウォールとして通信を遮断する','複数システムのログを集約して脅威を相関分析する','マルウェアをサンドボックスで実行する','脆弱性スキャンを行う'],answer:1,exp:'SIEMは複数のログソースを統合し、相関分析によって個別ログでは見えない攻撃パターンを検知します。'}, {q:'デジタルフォレンジックにおける「Chain of Custody(証拠の連鎖)」の目的はどれか。',choices:['マルウェアを削除する','証拠が収集から法廷提出まで改ざんされていないことを証明する','バックアップを取得する','インシデントを封じ込める'],answer:1,exp:'Chain of Custodyは証拠の取り扱い履歴を記録し、証拠の完全性と法的証拠能力を維持するための手続きです。'} ] }, { id:'s20', num:'S20', title:'法規・評価基準', freq:'high', diff:2, concept:`情報セキュリティに関わる法律・制度・評価基準を整理します。試験では法律の名前と対象・罰則の組み合わせが問われます。