情報セキュリティの根幹はCIA三要素です。すべてのセキュリティ対策はこのどれかを守るために存在します。
開発者視点で言い換えると:機密性は「見せない」、完全性は「改ざんさせない」、可用性は「止めない」です。DoS攻撃は可用性を、SQLインジェクションは機密性・完全性を脅かします。
`, examtips:[ '三要素のどれが損なわれているかを問う問題が頻出。攻撃とCIA要素のマッピングを整理すること。', '真正性(Authenticity)・信頼性(Reliability)・否認防止(Non-repudiation)など追加要素も出題される。CIAだけが全てではない。', 'DoS攻撃→可用性、盗聴→機密性、改ざん→完全性。この対応を即答できるようにする。' ], keypoints:[ '機密性(C):許可された者だけがアクセスできる。暗号化・認証で守る', '完全性(I):データが正確で改ざんされていない。ハッシュ・署名で検証', '可用性(A):必要なときに使える。冗長化・DDoS対策で守る', '真正性:通信相手が本当に本人かを確認できること(認証で実現)', '否認防止:後から「やっていない」と言えないようにする(ログ・署名)' ], quiz:[ {q:'DoS攻撃が損なう主なCIA要素はどれか。',choices:['機密性','完全性','可用性','真正性'],answer:2,exp:'DoS攻撃はサービスを停止させ、利用できなくするため可用性を損ないます。'}, {q:'盗聴によって主に損なわれるCIA要素はどれか。',choices:['可用性','完全性','機密性','信頼性'],answer:2,exp:'盗聴は許可なく情報を取得するため、機密性が損なわれます。'}, {q:'ハッシュ値を用いてデータが改ざんされていないことを確認する行為は、主にどのCIA要素を守るものか。',choices:['機密性','完全性','可用性','否認防止'],answer:1,exp:'ハッシュによる改ざん検知は完全性(Integrity)を守る手段です。'}, {q:'情報セキュリティの3要素(CIA)に含まれないものはどれか。',choices:['機密性','可用性','拡張性','完全性'],answer:2,exp:'拡張性(Scalability)はCIA三要素に含まれません。機密性・完全性・可用性が三要素です。'} ] }, { id:'s02', num:'S02', title:'脅威・脆弱性・リスク', freq:'high', diff:1, concept:`リスク管理の基礎概念を整理します。脅威は攻撃者や災害など「悪いことが起きる原因」、脆弱性はシステムや運用の「穴」、リスクはそれらが組み合わさって「実際に被害が発生する可能性と影響度」です。
開発者にとって「脆弱性」とはバグや設定ミスのこと。CVEデータベースに登録される脆弱性情報は、脅威アクターが攻撃に利用する前にパッチを当てるために使います。
`, examtips:[ '脅威・脆弱性・リスクの定義の違いを問う問題は毎回出る。「脆弱性」は弱点であり攻撃そのものではない。', 'リスク対応4戦略(回避・低減・移転・受容)の具体例を各1つ言えるようにする。', '残留リスク:対策後にも残るリスクのこと。ゼロにはできないことを前提に許容・監視する。' ], keypoints:[ '脅威:資産に損害を与える原因となり得るもの(マルウェア・内部不正・災害)', '脆弱性:脅威が利用できるシステムや運用の弱点(パッチ未適用・設定ミス)', 'リスク:脅威が脆弱性を突くことで損害が発生する可能性と影響の組み合わせ', 'リスク対応:回避・低減・移転・受容の4戦略', '残留リスク:対策後も残るリスク。経営判断で受容・監視する' ], quiz:[ {q:'「パッチが未適用のため既知の脆弱性が存在するシステム」はリスク管理上、何に該当するか。',choices:['脅威','脆弱性','リスク','インシデント'],answer:1,exp:'未パッチのシステムは攻撃者に利用される「穴」であり、脆弱性に該当します。'}, {q:'サイバー保険を契約することで損害発生時の費用リスクを保険会社に負わせる対応は、リスク対応の4戦略のうちどれか。',choices:['回避','低減','移転','受容'],answer:2,exp:'保険やアウトソースでリスクを第三者に転嫁することをリスク移転と呼びます。'}, {q:'リスクアセスメントの手順として正しい順序はどれか。',choices:['リスク特定→リスク評価→リスク分析','リスク特定→リスク分析→リスク評価','リスク評価→リスク特定→リスク分析','リスク分析→リスク評価→リスク特定'],answer:1,exp:'JIS Q 27005に基づくリスクアセスメントは「特定→分析→評価」の順です。'}, {q:'脅威と脆弱性の説明として正しい組み合わせはどれか。',choices:['脅威:パッチ未適用/脆弱性:マルウェア','脅威:マルウェア/脆弱性:パッチ未適用','脅威:暗号化/脆弱性:認証','脅威:ファイアウォール/脆弱性:DoS'],answer:1,exp:'マルウェアは脅威(攻撃原因)、パッチ未適用は脆弱性(システムの弱点)です。'} ] }, { id:'s03', num:'S03', title:'認証技術', freq:'high', diff:2, concept:`認証は「あなたが本当にあなたか」を確認するプロセスです。認証要素は3種類あり、複数組み合わせることで強度が上がります。
2要素以上を組み合わせるのが多要素認証(MFA)。SSOはIDPが認証を一元管理し、アプリはそのトークンを信頼するモデルです。開発者にとってJWT(JSON Web Token)はSSO文脈でよく使うものです。
アクセス制御は「誰が何にどう操作できるか」を管理する仕組みです。3つのモデルが試験に頻出です。
最小権限の原則(Least Privilege):業務に必要な最小限の権限のみ与える。開発者でいえばEC2に付けるIAM RoleはReadOnlyで十分な場合にAdminを付けないことです。
Need-to-know:業務上知る必要がある情報だけに絞るデータ分離の原則。MACと組み合わせることが多い。
`, examtips:[ 'DAC・MAC・RBACの違いを具体例で説明できること。試験では「誰が権限を設定するか」がポイント。', '最小権限の原則は選択問題の正答選択肢になることが多い。「できるだけ多くの権限を与える」は誤答。', '職務分離(Separation of Duties):一人の担当者がすべてを担当しない。承認者と執行者を分ける。よく問われる。' ], keypoints:[ 'DAC:所有者が自分で権限を決める(UNIX パーミッション等)', 'MAC:ラベルに基づいてシステムが強制(軍・政府系情報管理)', 'RBAC:役割に権限を紐付け(Webアプリのユーザー・管理者ロール)', '最小権限の原則:必要最低限の権限だけ付与する', '職務分離:不正防止のため1人に全権限を集中させない' ], quiz:[ {q:'Linuxのファイルオーナーが chmod でパーミッションを設定するのはどのアクセス制御モデルか。',choices:['MAC','RBAC','DAC','ABAC'],answer:2,exp:'DACは所有者が自分で権限を設定できる任意アクセス制御モデルです。'}, {q:'「社員の役職(マネージャー・一般社員等)に権限セットを割り当てる」手法はどれか。',choices:['DAC','MAC','RBAC','NAC'],answer:2,exp:'役割(Role)に権限を紐付けるRBACです。Webアプリでは最も広く使われます。'}, {q:'最小権限の原則の説明として正しいものはどれか。',choices:['管理者には全権限を与える','業務に必要な最小限の権限だけ付与する','権限はデフォルトで全員に開放する','上位職者ほど権限が多くなる'],answer:1,exp:'最小権限(Least Privilege)は必要最小限の権限のみ与え、不正・ミスの影響範囲を最小化します。'}, {q:'資金送金の「申請」と「承認」を別々の担当者が行うようにするセキュリティ原則はどれか。',choices:['最小権限','職務分離','Need-to-know','MAC'],answer:1,exp:'職務分離(Separation of Duties)は一人が全工程を担わないようにして不正を防ぐ原則です。'} ] }, { id:'s05', num:'S05', title:'ISMS・セキュリティマネジメント', freq:'mid', diff:2, concept:`ISMS(Information Security Management System)はJIS Q 27001をベースにした、組織全体で情報セキュリティを継続的に改善する仕組みです。
ISMSの認証取得はISO/IEC 27001に基づきます。プライバシーマーク(PMS)は個人情報保護に特化した日本独自の認証制度です。ゼロトラストアーキテクチャは「境界の内側も信頼しない」という現代的なセキュリティ思想で、ISMSの文脈でも登場します。
`, examtips:[ 'ISMSはJIS Q 27001・ISO/IEC 27001が根拠。プライバシーマークとの違い(対象範囲・認定機関)を整理。', 'PDCAのどのフェーズの話かを問う問題が多い。「内部監査」はC(確認)、「リスクアセスメント」はP(計画)。', 'ゼロトラスト:「常に検証、決して信頼しない(Never trust, always verify)」が合言葉。境界型セキュリティとの対比で問われる。' ], keypoints:[ 'ISMS:JIS Q 27001に基づく情報セキュリティマネジメントシステム。PDCAで継続改善', 'リスクアセスメント:リスクの特定→分析→評価。ISMS計画フェーズの中核', 'プライバシーマーク:個人情報保護専用。日本国内の制度(JIS Q 15001)', 'ゼロトラスト:内部ネットワークも信頼しない。常に認証・認可を確認', 'CSIRT:インシデント対応チーム(S06以降で詳述)' ], quiz:[ {q:'ISMSの根拠となる国際規格はどれか。',choices:['ISO/IEC 15408','ISO/IEC 27001','JIS Q 15001','PCI DSS'],answer:1,exp:'ISMSはISO/IEC 27001(日本ではJIS Q 27001)が根拠規格です。'}, {q:'ISMS認証のPDCAサイクルにおいて「内部監査」はどのフェーズに位置するか。',choices:['Plan','Do','Check','Act'],answer:2,exp:'内部監査は実施内容を確認する「Check」フェーズに位置します。'}, {q:'ゼロトラストアーキテクチャの考え方として正しいものはどれか。',choices:['内部ネットワークは安全として信頼する','社外からのアクセスだけを検証する','内部・外部を問わずすべてのアクセスを常に検証する','一度認証すれば内部では再認証不要'],answer:2,exp:'ゼロトラストは「Never trust, always verify」として内部も含め常に検証します。'} ] } ]}, { id:'crypto', label:'暗号・PKI', icon:'key', units:[ { id:'s06', num:'S06', title:'共通鍵暗号', freq:'high', diff:2, concept:`共通鍵暗号(対称暗号)は送受信者が同じ鍵を使って暗号化・復号する方式です。速度が速く大量データの暗号化に向いています。
鍵配送問題:共通鍵を安全に相手に渡す手段が必要。これを解決したのが公開鍵暗号とDiffie-Hellman鍵交換です。TLSハンドシェイクではDH(ECDH)で共通鍵を合意し、AESで通信を暗号化するという組み合わせが標準です。
`, examtips:[ 'AES・DES・3DESのビット長と現在の安全性を整理する。DESは2024年現在使用禁止。', 'n人で共通鍵を持ち合う場合の鍵の数:n(n-1)/2本。公開鍵暗号ならn本で済む。この違いが問われる。', 'ブロック暗号のモード(ECB・CBC・GCM等)が出題されることも。ECBは同じ平文→同じ暗号文になる弱点がある。' ], keypoints:[ '共通鍵暗号:暗号化と復号に同じ鍵を使う。高速・大量データ向き', 'AES:現在の標準暗号。鍵長128/192/256ビット', 'DES:56ビット鍵で現在は脆弱。使用禁止', 'n人の鍵数:公開鍵ならn本、共通鍵ならn(n-1)/2本', '鍵配送問題:共通鍵を安全に渡す手段が課題→DHや公開鍵暗号で解決' ], quiz:[ {q:'現在の標準的な共通鍵暗号アルゴリズムはどれか。',choices:['DES','3DES','AES','RC4'],answer:2,exp:'AESは2001年に米国標準となり、現在最も広く使われる共通鍵暗号です。'}, {q:'10人のユーザーが互いに安全に通信するために必要な共通鍵の総数はいくつか(1対1通信)。',choices:['10本','20本','45本','100本'],answer:2,exp:'n(n-1)/2 = 10×9/2 = 45本の共通鍵が必要です。'}, {q:'共通鍵暗号の「鍵配送問題」とは何か。',choices:['鍵が長すぎる問題','暗号化に時間がかかる問題','共通鍵を安全に相手に渡す手段がない問題','鍵の保管場所がない問題'],answer:2,exp:'共通鍵を事前に安全に渡す方法がないことを鍵配送問題と言います。公開鍵暗号やDHで解決します。'}, {q:'ブロック暗号モードのうち同一ブロックの平文が常に同一の暗号文になるため脆弱とされるものはどれか。',choices:['CBC','GCM','CTR','ECB'],answer:3,exp:'ECB(Electronic Codebook)モードはブロックを独立に暗号化するため、同一平文→同一暗号文になり、パターン漏洩の危険があります。'} ] }, { id:'s07', num:'S07', title:'公開鍵暗号・デジタル署名', freq:'high', diff:2, concept:`公開鍵暗号(非対称暗号)は公開鍵と秘密鍵のペアを使います。公開鍵で暗号化→秘密鍵で復号(機密性)、秘密鍵で署名→公開鍵で検証(完全性・否認防止)。
デジタル署名の手順:①メッセージのハッシュ値を計算②秘密鍵でハッシュを暗号化(=署名)③受信側は公開鍵で署名を復号しハッシュと照合。改ざんと否認を同時に防ぎます。
`, examtips:[ '暗号化と署名で使う鍵の向きが逆なことを確実に理解する。暗号化は「受信者の公開鍵」、署名は「送信者の秘密鍵」。', 'RSAの最低鍵長は2048ビット(2024年現在)。1024ビットは脆弱で不推奨。', 'デジタル署名≠暗号化。署名は「本人確認・改ざん検知」が目的。機密性(内容を隠す)は公開鍵暗号化が担う。', '耐量子暗号(PQC):量子コンピュータはRSA・ECDSAの数学的基盤を破るとされる。NIST は2024年8月に ML-KEM(FIPS 203)・ML-DSA(FIPS 204)・SLH-DSA(FIPS 205)を正式標準化。試験最新動向として押さえておく。' ], keypoints:[ '暗号化:受信者の公開鍵で暗号化→受信者の秘密鍵で復号(機密性)', '署名:送信者の秘密鍵で署名→送信者の公開鍵で検証(完全性・否認防止)', 'RSA:素因数分解の困難性。最低2048ビット', 'ECDSA:楕円曲線暗号。短い鍵で高い安全性', 'DH/ECDH:鍵を共有するプロトコル。TLSのforward secrecyに使う', '耐量子暗号(PQC):ML-KEM・ML-DSA・SLH-DSA がNIST標準(2024年8月)。RSA/ECCの後継候補' ], quiz:[ {q:'デジタル署名を生成する際に使用する鍵はどれか。',choices:['受信者の公開鍵','送信者の公開鍵','受信者の秘密鍵','送信者の秘密鍵'],answer:3,exp:'署名は「送信者の秘密鍵」で生成し、受信者は「送信者の公開鍵」で検証します。'}, {q:'公開鍵暗号で暗号化する際に使用する鍵はどれか。',choices:['送信者の秘密鍵','送信者の公開鍵','受信者の秘密鍵','受信者の公開鍵'],answer:3,exp:'「受信者の公開鍵」で暗号化し、受信者だけが持つ「秘密鍵」で復号します。'}, {q:'デジタル署名が提供するセキュリティ機能として正しいものの組み合わせはどれか。',choices:['機密性・可用性','完全性・否認防止','機密性・完全性','可用性・否認防止'],answer:1,exp:'デジタル署名は改ざん検知(完全性)と「やっていない」と言わせない(否認防止)を提供します。'}, {q:'RSA暗号の安全性の根拠となる数学的困難性はどれか。',choices:['離散対数問題','素因数分解の困難性','楕円曲線の困難性','ナップサック問題'],answer:1,exp:'RSAは大きな整数の素因数分解が困難であることを安全性の根拠としています。'} ] }, { id:'s08', num:'S08', title:'ハッシュ関数', freq:'high', diff:1, concept:`ハッシュ関数は任意のデータから固定長のダイジェスト(ハッシュ値)を生成する一方向関数です。同じ入力から常に同じ出力が得られ、逆算は(計算量的に)不可能です。
ハッシュの3性質:①衝突耐性(同じハッシュを持つ別データを作れない)②第二原像耐性(ハッシュ値から元データを求められない)③雪崩効果(入力が1ビット変わると出力が大きく変わる)
パスワード保存にはハッシュにソルト(ランダム値)を加えることでレインボーテーブル攻撃を防ぎます。bcrypt・Argon2が推奨。
`, examtips:[ 'MD5・SHA-1は衝突脆弱性が実証されており現在は安全でない。SHA-256以上を使う。', 'ハッシュは一方向(復号不可)。「ハッシュ値からパスワードを復元」はできない→レインボーテーブルは元の値のハッシュを事前計算して照合するもの。', 'ソルト:パスワードに加えるランダム値。ユーザーごとに異なるため、同じPWでもハッシュ値が変わりレインボーテーブルを無効化する。' ], keypoints:[ 'ハッシュ関数:一方向変換。固定長ダイジェストを生成', 'SHA-256:現在の標準。MD5・SHA-1は使用禁止(衝突脆弱性)', '衝突耐性・第二原像耐性・雪崩効果がセキュアなハッシュの条件', 'パスワード保存:bcrypt/Argon2+ソルトが推奨。単純SHA-256は不十分', 'レインボーテーブル攻撃:事前計算ハッシュとの照合。ソルトで無効化' ], quiz:[ {q:'現在セキュリティ用途として推奨されないハッシュアルゴリズムはどれか。',choices:['SHA-256','SHA-3','SHA-512','MD5'],answer:3,exp:'MD5は衝突脆弱性が実証されており、セキュリティ用途での使用は禁止されています。'}, {q:'ハッシュ関数の性質として正しいものはどれか。',choices:['出力から入力が復元できる','同じ入力から毎回異なる出力が得られる','任意のデータから固定長のダイジェストを生成する','暗号化と復号に使用できる'],answer:2,exp:'ハッシュ関数は任意の入力から固定長ダイジェストを生成する一方向関数です。'}, {q:'パスワードのハッシュ保存においてソルトを使用する目的はどれか。',choices:['ハッシュ計算を高速化する','レインボーテーブル攻撃を無効化する','パスワードを復元できるようにする','認証速度を向上する'],answer:1,exp:'ソルト(ユーザーごとのランダム値)を加えることで、事前計算済みのレインボーテーブルを無効化します。'}, {q:'デジタル署名においてハッシュ関数を使う主な理由はどれか。',choices:['メッセージを暗号化するため','メッセージ全体を秘密鍵で処理するコストを削減するため','認証局の検証を省略するため','公開鍵を生成するため'],answer:1,exp:'メッセージ全体を秘密鍵で暗号化すると非常に遅いため、ハッシュ値のみ署名します。'} ] }, { id:'s09', num:'S09', title:'PKI・TLS', freq:'high', diff:2, concept:`PKI(Public Key Infrastructure)は公開鍵の正当性を証明する仕組みです。中核となるのが認証局(CA)が発行するデジタル証明書(X.509)です。
TLS 1.3のハンドシェイク:①サーバ証明書を送る②クライアントがCAチェーンを検証③ECDHで共通鍵を合意④AES-GCMで通信開始。開発者にとってHTTPS=TLSは日常的な技術です。
ファイアウォールはネットワーク境界でトラフィックをフィルタリングします。DMZ(非武装地帯)はインターネットと内部ネットワークの間に置く中間ゾーンで、Webサーバ等の公開サービスを置きます。
ファイアウォールを補完するセキュリティデバイスです。IDSは検知のみ、IPSは検知して遮断します。WAFはWebアプリケーション専用でHTTPレベルの攻撃を防ぎます。
WAFの導入パターン:リバースプロキシ型が最も一般的。クラウドWAFはCDNと統合されることも多い。SQLインジェクション・XSS・CSRFを主に防ぎます。誤検知(FP)のチューニングが運用上の課題です。
`, examtips:[ 'IDS(検知のみ)とIPS(検知+遮断)の違いは必須。「遮断」のワードがあればIPS。', 'シグネチャ型はゼロデイ脆弱性の攻撃を検知できない。アノマリ型は未知攻撃を検知できるが誤検知率が高い。', 'WAFとファイアウォールの違い:FWはL3/4(IP/ポート)、WAFはL7(HTTPのパラメータ・ヘッダ)を検査。' ], keypoints:[ 'IDS:不正侵入の検知のみ(通知・ログ)', 'IPS:不正侵入の検知と遮断(インライン配置が必要)', 'WAF:Webアプリケーション専用。SQL・XSS等L7攻撃を防ぐ', 'シグネチャ型:既知攻撃に強い・ゼロデイに弱い', 'アノマリ型:未知攻撃も検知可・誤検知率が高い' ], quiz:[ {q:'IPSとIDSの違いとして正しいものはどれか。',choices:['IDSは遮断できるがIPSは検知のみ','IPSは検知と遮断ができるがIDSは検知のみ','IPSはWAFの別名','IDSはファイアウォールの別名'],answer:1,exp:'IDSは検知・通知のみ。IPSはインラインに設置し不正トラフィックを遮断します。'}, {q:'未知のゼロデイ攻撃の検知に適したIDSの検知方式はどれか。',choices:['シグネチャ型','アノマリ型(異常検知型)','プロトコル解析型','パターンマッチ型'],answer:1,exp:'アノマリ型は正常行動の基準から逸脱を検知するため、シグネチャにない未知の攻撃にも対応できます。'}, {q:'WAFが主に防ぐ攻撃として正しいものの組み合わせはどれか。',choices:['DoS攻撃・ARP Spoofing','SQLインジェクション・XSS','DDoS攻撃・DNSハイジャック','フィッシング・スミッシング'],answer:1,exp:'WAFはWebアプリケーションへのSQLインジェクション・XSS・CSRFなどL7攻撃を防ぎます。'} ] }, { id:'s12', num:'S12', title:'VPN', freq:'mid', diff:2, concept:`VPN(Virtual Private Network)はパブリックネットワーク上に暗号化された仮想トンネルを作り、安全な通信路を提供します。
IPsecの2モード:トランスポートモード(ペイロードのみ暗号化)とトンネルモード(パケット全体を暗号化して新しいIPヘッダを付与)。拠点間VPNではトンネルモードが一般的です。
`, examtips:[ 'IPsec-VPNはL3(ネットワーク層)、SSL-VPNはL5以上(セッション/アプリ層)での動作という層の違いが問われる。', 'IPsecのESP(Encapsulating Security Payload)は暗号化と認証の両方を提供。AH(Authentication Header)は認証のみ(暗号化なし)。', 'スプリットトンネリング:VPN接続中に社内宛て通信のみVPNを通し、一般ネット通信は直接出る設定。セキュリティリスクとして問われることがある。' ], keypoints:[ 'IPsec-VPN:L3暗号化。拠点間接続向き。ESPは暗号化+認証', 'SSL/TLS-VPN:HTTPS上のトンネル。リモートアクセス向き。ブラウザ対応', 'トンネルモード:元パケット全体を暗号化+新IPヘッダ。拠点間に使用', 'トランスポートモード:ペイロードのみ暗号化。ホスト間通信に使用', 'WireGuard:現代的な軽量VPN。ChaCha20/Poly1305で高速' ], quiz:[ {q:'IPsecのESPが提供する機能として正しいものはどれか。',choices:['認証のみ','暗号化のみ','暗号化と認証の両方','鍵交換のみ'],answer:2,exp:'ESP(Encapsulating Security Payload)はデータの暗号化と送信元認証の両方を提供します。'}, {q:'SSL-VPNの説明として正しいものはどれか。',choices:['IPレベルで全パケットを暗号化する','TLS上にトンネルを構築しリモートアクセスに使われる','AHとESPプロトコルを使用する','ネットワーク層で動作する'],answer:1,exp:'SSL/TLS-VPNはHTTPS(TLS)を利用したトンネリングで、ブラウザからアクセスできるリモートアクセスVPNです。'}, {q:'IPsecのトンネルモードとトランスポートモードの違いはどれか。',choices:['トンネルモードはUDPのみ対応','トンネルモードは元パケット全体を暗号化し新IPヘッダを付与する','トランスポートモードは拠点間接続に使われる','両モードに機能差はない'],answer:1,exp:'トンネルモードは元のIPパケット全体を暗号化し新IPヘッダを付けます。拠点間VPNで使われます。'} ] }, { id:'s13', num:'S13', title:'DNSセキュリティ・メールセキュリティ', freq:'high', diff:2, concept:`DNSとメールはインターネットの基盤であり、攻撃の標的になりやすいプロトコルです。
無線LANは電波を使うため盗聴・なりすましへの対策が必須です。暗号化方式は世代を経るごとに強化されてきました。
主な攻撃:悪意あるAP(Evil Twin・偽AP)で中間者攻撃、WPS PINブルートフォース、PMKIDを使ったオフライン辞書攻撃。対策はWPA3・証明書認証・管理フレーム保護(PMF/802.11w)。
`, examtips:[ 'WEP は IV(初期化ベクタ)の再利用で解読される。試験では「使用禁止」の選択肢として正答になりやすい。', 'WPA3 の SAE(ドラゴンフライ鍵交換)は辞書攻撃耐性と前方秘匿性を提供。PSK より安全な認証フロー。', '企業の802.1X では RADIUS サーバが必要。EAP-TLS は証明書ベースで最も安全だが証明書管理が必要。PEAP はサーバ証明書のみで端末はパスワード認証。' ], keypoints:[ 'WEP:RC4・IV再利用で脆弱。使用禁止', 'WPA2:CCMP/AES で現在の最低基準', 'WPA3:SAE で辞書攻撃耐性・前方秘匿性を提供', '802.1X 企業モード:RADIUS サーバで個人認証。EAP-TLS が最も安全', '悪意ある AP(Evil Twin):正規 AP を偽装して中間者攻撃。証明書検証で対策' ], quiz:[ {q:'無線LAN の暗号化方式のうち現在使用が禁止されているのはどれか。',choices:['WPA2(CCMP/AES)','WEP(RC4/IV)','WPA3(SAE)','TKIP'],answer:1,exp:'WEP は IV(初期化ベクタ)の再利用により短時間で解読可能であり、現在のセキュリティ基準では使用が禁止されています。'}, {q:'WPA3 で WPA2 から改善された主なセキュリティ機能はどれか。',choices:['暗号アルゴリズムが DES から AES に変更','SAE 鍵交換により辞書攻撃耐性と前方秘匿性を実現','RC4 暗号を採用','WPS を廃止'],answer:1,exp:'WPA3 は SAE(ドラゴンフライ鍵交換)を採用。事前計算済み辞書による攻撃を困難にし、セッション鍵ごとの前方秘匿性も提供します。'}, {q:'企業向け無線 LAN 認証(WPA2/WPA3-Enterprise)で使われる認証プロトコルはどれか。',choices:['PSK(事前共有鍵)のみ','802.1X と RADIUS サーバによる個人認証'],answer:1,exp:'Enterprise モードは 802.1X を使い RADIUS サーバで各ユーザーを認証します。EAP-TLS(証明書)や PEAP(パスワード)が使われます。'}, {q:'正規のアクセスポイントに見せかけて端末を接続させる攻撃を何と呼ぶか。',choices:['DNSポイズニング','Evil Twin(悪意あるAP / 偽AP)'],answer:1,exp:'Evil Twin は合法的な AP と同名の SSID で偽 AP を立て、接続した端末の通信を傍受する中間者攻撃です。SSID だけでは本物か判断できません。'} ] } ]}, { id:'attacks', label:'攻撃手法と対策', icon:'sword', units:[ { id:'s14', num:'S14', title:'マルウェア', freq:'high', diff:1, concept:`マルウェアはMalicious Softwareの略で、悪意のあるプログラムの総称です。種類と感染経路・対策を整理します。
検知方式:シグネチャ型(パターン照合)・ビヘイビア型(振る舞い検知)・サンドボックス(隔離環境で動作確認)。ゼロデイマルウェアにはシグネチャが効かないためビヘイビア型が重要です。
`, examtips:[ 'ランサムウェア対策の3-2-1ルール:3つのバックアップ・2種類のメディア・1つはオフライン。試験でも対策として正答になりやすい。', 'ルートキットは感染後にOS自体を改ざんして自分を隠す。通常のアンチウイルスで検知しにくい。', 'C&Cサーバ(Command and Control):ボットを制御するサーバ。通信を遮断することが対策の一つ。' ], keypoints:[ 'ウイルス:宿主ファイルに寄生。ワーム:自力でネット感染', 'ランサムウェア:暗号化→身代金。対策はオフラインバックアップ', 'トロイの木馬:正規ソフトに偽装。ルートキット:自身を隠蔽', 'ビヘイビア検知:振る舞いから未知マルウェアを検出', 'サンドボックス:隔離環境でマルウェアを動作させ分析' ], quiz:[ {q:'ネットワークを通じて自己複製しホストプログラムなしに拡散するマルウェアはどれか。',choices:['ウイルス','ワーム','スパイウェア','ルートキット'],answer:1,exp:'ワームは宿主プログラムを必要とせず、ネットワーク経由で自力に拡散します。'}, {q:'ランサムウェア対策として最も有効なものはどれか。',choices:['パスワードを強化する','定期的なオフラインバックアップを取得する','ファイアウォールを設置する','アカウントの2段階認証を導入する'],answer:1,exp:'ランサムウェアでファイルが暗号化されても、オフラインバックアップから復元できます。オンラインバックアップは暗号化される場合があります。'}, {q:'シグネチャ型の検知が無効な攻撃手法はどれか。',choices:['既知マルウェアの変種','ゼロデイマルウェア(未知の攻撃)','添付ファイルウイルス','既知の脆弱性を狙った攻撃'],answer:1,exp:'シグネチャ型はパターン照合のため、まだシグネチャがないゼロデイマルウェアを検知できません。'}, {q:'C&Cサーバ(Command and Control)の役割はどれか。',choices:['バックアップデータを保管する','感染したボットに指令を出し統制する','ファイアウォールのルールを管理する','証明書を発行する'],answer:1,exp:'C&Cサーバはボットネットの司令塔で、感染端末(ボット)に攻撃命令を送ります。'} ] }, { id:'s15', num:'S15', title:'Webアプリケーション攻撃', freq:'high', diff:2, concept:`Webアプリ開発者が必ず知るべき攻撃パターンです。OWASP Top 10の常連が試験でも頻出です。
XSSの種類:反射型(URLパラメータ経由)・格納型(DBに保存されたスクリプト)・DOMベース型(クライアントサイドJS処理)。試験では格納型が最も危険とされる。
`, examtips:[ 'SQLインジェクションの対策は「プリペアドステートメント(バインド変数)」が正答になる。エスケープだけでは不十分な場合がある。', 'XSS対策:出力時のHTMLエスケープ(< > 等)+Content Security Policy(CSP)ヘッダ。', 'CSRF対策:CSRFトークン(セッションに紐づくランダム値をフォームに埋める)+Same-Site Cookie属性。' ], keypoints:[ 'SQLインジェクション:プリペアドステートメントで対策', 'XSS:HTMLエスケープ+CSPヘッダで対策。Cookieには HttpOnly 属性', 'CSRF:CSRFトークン+Same-Site Cookie(Strict/Lax)で対策', 'パストラバーサル:../によるファイルパス操作。正規化・ホワイトリストで対策', 'セキュリティヘッダ:CSP・X-Frame-Options・HSTS等を必ず設定' ], quiz:[ {q:'SQLインジェクションの最も効果的な対策はどれか。',choices:['入力文字数を制限する','プリペアドステートメント(バインド変数)を使用する','WAFを設置する','ファイアウォールでDBポートを塞ぐ'],answer:1,exp:'プリペアドステートメントはSQLとデータを分離するため、SQLインジェクションを根本的に防ぎます。'}, {q:'XSS(クロスサイトスクリプティング)攻撃の目的として最も適切なものはどれか。',choices:['DBのデータを削除する','サービスを停止させる','セッションCookieを盗みセッションハイジャックを行う','管理者権限を奪取する'],answer:2,exp:'XSS攻撃の典型的な目的はCookieからセッションIDを盗み、被害者として操作することです。'}, {q:'CSRF攻撃への対策として有効なものはどれか。',choices:['パラメータのSQLエスケープ','CSRFトークンをフォームに埋め込む','パスワードを強化する','HTTPSを使用する'],answer:1,exp:'CSRFトークンはセッションに紐づくランダム値で、正規フォームからのリクエストであることを検証します。'}, {q:'格納型(persistent)XSSとはどのような攻撃か。',choices:['URLパラメータに悪意のあるスクリプトを含める','悪意のあるスクリプトをDBに保存しアクセスした全ユーザーに実行させる','クライアントサイドのJS処理でスクリプトを注入する','セッションクッキーを改ざんする'],answer:1,exp:'格納型XSSはDBに保存したスクリプトがページ表示のたびに全ユーザーで実行されるため最も危険です。'} ] }, { id:'s16', num:'S16', title:'パスワード攻撃・フィッシング', freq:'high', diff:1, concept:`パスワードとフィッシングはエンドユーザーを標的にした攻撃であり、技術的対策と人的対策の両方が必要です。
フィッシング:正規サービスを偽った詐欺メールやサイトで認証情報を奪う。スピアフィッシング(特定の個人・組織を狙う)はターゲットを調査して巧妙な文面を作成します。ビジネスメール詐欺(BEC)はCEOや取引先を名乗り送金指示をするものです。
`, examtips:[ 'クレデンシャルスタッフィングは「他サービスで漏洩したIDとPWをそのまま別サービスに使う」。パスワードの使い回しが被害を広げる。', 'パスワードスプレー攻撃:少数のPW("Spring2024!"等)を多数のアカウントに試す。アカウントロックを回避するための手法。', 'スピアフィッシング対策:多要素認証・送信元確認(DMARC)・セキュリティ教育。技術だけでは防げない。' ], keypoints:[ 'ブルートフォース:全試行。アカウントロックとレート制限で対策', 'クレデンシャルスタッフィング:流出リストの転用。パスワード使い回しが最大の原因', 'パスワードスプレー:少数PWを多数アカウントに試す。ロック閾値をずらす攻撃', 'フィッシング:偽メール・偽サイトで認証情報を奪う', 'スピアフィッシング:特定個人を調査した標的型。BECはその一種' ], quiz:[ {q:'他のサービスで漏洩したID・パスワードのリストを使って別サービスにログインを試みる攻撃はどれか。',choices:['パスワードスプレー攻撃','ブルートフォース攻撃','クレデンシャルスタッフィング','辞書攻撃'],answer:2,exp:'クレデンシャルスタッフィングはパスワードの使い回しを悪用して漏洩リストを他サービスに転用する攻撃です。'}, {q:'アカウントロックアウト機能を回避しながらパスワードを試みる攻撃手法はどれか。',choices:['ブルートフォース攻撃','パスワードスプレー攻撃','レインボーテーブル攻撃','クレデンシャルスタッフィング'],answer:1,exp:'パスワードスプレーは少数の一般的なパスワードを多数のアカウントに分散して試すため、ロックアウト閾値を超えません。'}, {q:'スピアフィッシングの説明として正しいものはどれか。',choices:['不特定多数に大量配信するフィッシング','特定の個人・組織を調査した標的型フィッシング','電話を使ったソーシャルエンジニアリング','SMSを使ったフィッシング'],answer:1,exp:'スピアフィッシングは標的を事前に調査し、信頼性の高い偽メール・偽サイトで情報を盗む標的型攻撃です。'}, {q:'パスワードをハッシュで保存する際にソルト(salt)を加える主な目的はどれか。',choices:['ハッシュ計算を高速化する','レインボーテーブル攻撃を困難にする','パスワードを平文のまま保存する','ブルートフォース攻撃を速くする'],answer:1,exp:'ソルトはユーザーごとに異なるランダム値をパスワードに付加してからハッシュ化するため、同一パスワードでもハッシュ値が変わり、事前計算したレインボーテーブルがそのまま使えなくなります。'} ] }, { id:'s17', num:'S17', title:'DoS/DDoS・APT', freq:'high', diff:2, concept:`DoS/DDoSはサービスを停止させる攻撃(可用性の侵害)、APT(Advanced Persistent Threat)は国家レベルの高度な標的型持続攻撃です。
APTはKill Chain(偵察→侵入→水平移動→持続化→情報窃取)で進む多段階攻撃です。MITRE ATT&CK フレームワークはATTのTTPを体系化したもので、防御側が攻撃者の行動を予測するために使います。
`, examtips:[ 'SYN flood:TCPのSYNパケットだけ大量送信しACKを返さない。サーバはhalf-open接続を大量保持しリソース枯渇。SYN Cookie/Proxyで対策。', 'DNSアンプ攻撃:小さいDNSクエリに大きいレスポンスが返ることを悪用。送信元IPを詐称して標的に大量レスポンスを向ける。', 'APT対策:多層防御(Defense in Depth)・SIEM・EDR・ゼロトラスト。侵入を前提にした「検知・対応」が重要。' ], keypoints:[ 'DoS:単一ホストからの攻撃。DDoS:多数のボットからの分散型攻撃', 'SYN flood:half-open接続でサーバリソースを枯渇させる', 'DNSアンプ:小クエリ→大レスポンス増幅。送信元偽装で標的に向ける', 'APT:偵察→侵入→永続化→情報窃取の多段階攻撃', 'MITRE ATT&CK:攻撃者のTTPを体系化したフレームワーク' ], quiz:[ {q:'SYN flood攻撃の仕組みはどれか。',choices:['大量のICMPパケットを送りつける','TCPのSYNパケットを大量送信しハンドシェイクを完了させずサーバリソースを枯渇させる','DNSの大量レスポンスを標的に向ける','HTTPリクエストを大量送信する'],answer:1,exp:'SYN floodはTCPの3ウェイハンドシェイクを悪用し、half-open接続を大量に作成してサーバのリソース(メモリ・接続テーブル)を枯渇させます。'}, {q:'DNSアンプ攻撃で攻撃者が悪用する特性はどれか。',choices:['DNSサーバの脆弱性を直接攻撃する','小さいクエリに対して大きいレスポンスが返るDNSの増幅特性','DNSキャッシュに偽情報を注入する','DNSサーバ自体をダウンさせる'],answer:1,exp:'DNSアンプ攻撃は小さいDNSクエリ(数十バイト)に対して何倍もの大きいDNSレスポンス(数千バイト)が返る増幅特性を利用します。'}, {q:'APT(高度標的型攻撃)の特徴として正しいものはどれか。',choices:['不特定多数を短時間で攻撃する','標的を定め長期にわたって持続的に侵入・情報窃取を行う','パスワードを総当たりで試す','ランサムウェアを展開して即座に金銭を要求する'],answer:1,exp:'APTは特定の標的(政府・重要インフラ等)に対して長期間潜伏しながら情報を収集・窃取する国家レベルの攻撃です。'} ] }, { id:'s18', num:'S18', title:'脆弱性管理', freq:'mid', diff:2, concept:`脆弱性管理はソフトウェアの欠陥を発見・評価・修正するサイクルです。ゼロデイ脆弱性は特に対応が難しく、多層防御が重要です。
脆弱性の種類:設計上の欠陥(CSRF等の仕様設計)・実装上のバグ(バッファオーバーフロー等)・設定ミス(デフォルトパスワード・不要サービスの放置)。設定ミスは最もよくある脆弱性の源です。
`, examtips:[ 'CVSS v3の基本スコアは0.0〜10.0。Critical(9.0〜10.0)・High(7.0〜8.9)・Medium・Low・None。', 'ゼロデイ脆弱性:パッチが存在しない状態での攻撃。ワークアラウンド(回避策)で暫定対応するしかない。', 'ペネトレーションテスト:攻撃者視点でシステムを試験的に攻撃し脆弱性を発見する手法。バグバウンティプログラムも関連。' ], keypoints:[ 'CVE:脆弱性の共通識別番号。CVSSでスコアリング(0.0〜10.0)', 'ゼロデイ:パッチ未存在の脆弱性。WAF・IPS・行動監視で暫定対応', 'ペネトレーションテスト:倫理的ハッカーが攻撃してセキュリティを評価', '脆弱性の3種類:設計欠陥・実装バグ・設定ミス', 'JVN:日本の脆弱性情報データベース。IPAが運用' ], quiz:[ {q:'CVSSの説明として正しいものはどれか。',choices:['脆弱性の識別番号(ID)を付与する仕組み','脆弱性の深刻度を0.0〜10.0でスコアリングする共通評価システム','脆弱性情報を公開するデータベース','侵入テストの手法の標準'],answer:1,exp:'CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を標準化されたスコアで評価するフレームワークです。'}, {q:'ゼロデイ脆弱性の説明として正しいものはどれか。',choices:['脆弱性が発見されてから0日以内にパッチが提供されたもの','パッチや修正が存在しない状態で悪用されている脆弱性','CVSSスコアが0点の軽微な脆弱性','すでに修正済みの脆弱性'],answer:1,exp:'ゼロデイは発見(または公開)からパッチが出るまでの間に悪用されるか、パッチが存在しない状態の脆弱性です。'}, {q:'ペネトレーションテストの目的はどれか。',choices:['マルウェアを駆除する','攻撃者の視点でシステムを試験し脆弱性を発見する','ログを分析して不正アクセスを検知する','従業員にセキュリティ教育を行う'],answer:1,exp:'ペネトレーションテストは倫理的ハッカー(ペネトレーター)が実際の攻撃手法でシステムを試験し、悪用可能な脆弱性を特定します。'} ] }, { id:'s23', num:'S23', title:'サプライチェーン・DevSecOps', freq:'high', diff:2, concept:`ソフトウェア開発はOSSコンポーネントや外部ベンダーに依存しており、その供給経路(サプライチェーン)への攻撃が2020年代の重大な脅威となっています。DevSecOpsは開発(Dev)・セキュリティ(Sec)・運用(Ops)を統合するアプローチです。
CI/CDパイプラインはコードから本番環境への自動経路のため、悪意ある変更の大量配布リスクがあります。パイプライン自体のアクセス制御とシークレット管理が重要です。
`, examtips:[ 'SBOM は脆弱性が発覚した際に「自社製品のどのバージョンが影響を受けるか」を即座に特定できる。Log4Shell のような波及的脆弱性への対応で重要性が認識された。', 'Shift Left:開発の後期でなく設計・コーディング段階からセキュリティを組み込む。発見コストが最も低いフェーズで問題を潰す考え方。', 'CI/CD パイプラインへの攻撃:ソースコードへの不正コミット・パイプラインへの不正アクセス・シークレットの漏洩が主な攻撃ベクター。コードレビュー・SAST・シークレットスキャンで対策。' ], keypoints:[ 'SBOM:ソフトウェアの部品表。OSS依存関係を管理し脆弱性の影響範囲を即座に把握', 'サプライチェーン攻撃:正規の更新・OSS・外部ベンダーを経由して悪意あるコードを配布', 'Shift Left:セキュリティテストを開発の初期フェーズに前倒す DevSecOps の原則', 'SAST:静的解析(コードを実行せず解析)。DAST:動的解析(実行して脆弱性を発見)', 'シークレット管理:認証情報・APIキーをコードにハードコードせず Vault・シークレットマネージャーで管理' ], quiz:[ {q:'SBOM(Software Bill of Materials)の主な用途はどれか。',choices:['ソフトウェアのパフォーマンスを計測する','ソフトウェアに含まれる依存コンポーネントを管理し脆弱性発覚時の影響範囲を特定する'],answer:1,exp:'SBOMはOSSなど依存コンポーネントの一覧を機械可読で管理。Log4Shellのような波及的脆弱性で「自社製品への影響あるか」を即座に判定できます。'}, {q:'DevSecOps の Shift Left が意味するのはどれか。',choices:['開発リリース直前にまとめてセキュリティテストを行う','設計・コーディング段階からセキュリティチェックを組み込む'],answer:1,exp:'Shift Left は問題を早期発見するほどコストが低いという考えに基づき、セキュリティを開発の上流フェーズに前倒しします。'}, {q:'SolarWinds 攻撃(2020年)の手口として正しいのはどれか。',choices:['フィッシングメールで多数の社員を騙した','正規のソフトウェアアップデートに悪意あるコードを混入して配布した'],answer:1,exp:'攻撃者は SolarWinds のビルドシステムに侵入し、正規の Orion 製品アップデートにバックドアを仕込みました。多数の政府機関・企業が被害を受けました。'}, {q:'CI/CD パイプラインにおけるシークレット管理のベストプラクティスはどれか。',choices:['API キーをソースコードのコメントに記載する','Vault やクラウドのシークレットマネージャーで管理し実行時に環境変数として注入する'],answer:1,exp:'認証情報をコードにハードコードするとリポジトリ履歴に残り漏洩します。シークレットマネージャーで一元管理し、パイプライン実行時のみ注入する方式が安全です。'} ] }, { id:'s24', num:'S24', title:'AI セキュリティ', freq:'mid', diff:2, concept:`生成AI・LLM(大規模言語モデル)の急速な普及に伴い、AI固有のセキュリティリスクが新たに生まれています。2026年現在、情報処理試験でも出題が始まっています。
OWASP は LLM アプリケーション向けの「Top 10 for LLM Applications」を公開。プロンプトインジェクション・安全でないプラグイン設計・過度のエージェント自律性などがトップリスクに挙がっています。
`, examtips:[ 'プロンプトインジェクションは OWASP Top 10 for LLM(2025年版)の第1位。システムプロンプトの漏洩・安全フィルタのバイパスが典型的な攻撃結果。対策は入力検証・モデルの権限最小化。', '社員が業務で生成 AI を使う際の情報漏洩:入力したプロンプトが学習データになる可能性・外部サービスへの送信リスク。組織は利用ガイドラインを整備し、機密情報の入力を禁止する必要がある。', 'AI のセキュリティは従来のセキュリティと異なる点がある:モデルはブラックボックスで動作が不透明・出力の検証が困難・学習データへの攻撃(ポイズニング)という新しいベクターがある。' ], keypoints:[ 'プロンプトインジェクション:悪意ある指示を入力に混入。直接型・間接型がある', 'データポイズニング:学習データの汚染でモデルの動作を操作', 'モデル反転攻撃:モデル出力から学習データの機密情報を推測', '機密情報漏洩リスク:生成AIサービスへの機密データ入力は外部送信・学習リスクあり', 'OWASP Top 10 for LLM:プロンプトインジェクション・安全でないプラグイン・過剰権限エージェントなど' ], quiz:[ {q:'LLM への入力に悪意ある指示を埋め込み意図しない動作を起こさせる攻撃はどれか。',choices:['データポイズニング','プロンプトインジェクション'],answer:1,exp:'プロンプトインジェクションはモデルへの入力に隠れた指示を含め、システムプロンプトの上書き・安全フィルタのバイパス・機密情報の漏洩を狙います。'}, {q:'AI モデルの学習データに意図的に汚染データを混入する攻撃はどれか。',choices:['プロンプトインジェクション','データポイズニング(汚染攻撃)'],answer:1,exp:'データポイズニングは学習フェーズを攻撃します。汚染されたモデルは特定の入力に対して攻撃者が望む誤った出力を返すようになります。'}, {q:'社員が業務で生成 AI サービスを使う際の主なセキュリティリスクはどれか。',choices:['AIが返した答えが長くなること','機密情報・個人情報をプロンプトに入力し外部サービスに送信してしまうこと'],answer:1,exp:'生成AIサービスに送ったプロンプトは外部に送信されます。機密情報・顧客データの入力は情報漏洩につながるため、組織のガイドラインで明示的に禁止する必要があります。'}, {q:'OWASP Top 10 for LLM Applications に含まれるリスクはどれか。',choices:['ネットワーク帯域の不足','プロンプトインジェクション・安全でないプラグイン設計・過剰権限エージェント'],answer:1,exp:'OWASP は LLM 特有のリスクとして、プロンプトインジェクション・機密情報漏洩・不適切な出力処理・過剰なエージェント自律性などを挙げています。'} ] }, { id:'s26', num:'S26', title:'ソーシャルエンジニアリング', freq:'high', diff:1, concept:`ソーシャルエンジニアリングは技術的な脆弱性ではなく、人間の心理・行動を操作して情報を騙し取る攻撃です。技術対策だけでは防げず、教育と手続きが重要です。
テールゲーティング(ピギーバッキング):正規の入室者の後ろについて無断入場する物理的ソーシャルエンジニアリング。
対策:多層防御(MFA・DMARC)+訓練(標的型メール訓練)+手続き(電話確認・上長承認)。技術だけでは防げないためセキュリティ意識教育(Security Awareness Training)が不可欠です。
`, examtips:[ 'フィッシング系は名前と説明の組み合わせが出題される。特に「スピアフィッシング≠一般的なフィッシング」「ホエーリング=経営幹部狙い」「BEC=振込詐欺・情報漏洩」の3つを確実に区別すること。', 'BEC(ビジネスメール詐欺):CEO や取引先に成りすまして送金指示を出す。メールの正当性確認が対策(電話で二重確認)。近年の試験で増加中。', 'プリテキスティングはソーシャルエンジニアリングの基盤となる手法。「自分は IT 部門の者ですが…」といった架空の状況を設定して情報を引き出す。' ], keypoints:[ 'フィッシング:偽サイト・偽メールで認証情報を詐取', 'スピアフィッシング:特定個人を事前調査して狙う高度なフィッシング', 'BEC:幹部・取引先を騙る振込詐欺。電話による二重確認が対策', 'ヴィッシング/スミッシング:電話/SMSを使ったフィッシング変種', 'テールゲーティング:物理的な不正入館。二重扉(マンとラップ)で防止', 'セキュリティ意識教育(SAT):技術対策だけでは防げないため人への教育が必須' ], quiz:[ {q:'特定の個人・組織を事前調査して狙うフィッシングを何と呼ぶか。',choices:['ホエーリング','スピアフィッシング'],answer:1,exp:'スピアフィッシングは標的に関する情報を事前収集し、信憑性の高い偽メール・偽サイトを使います。一般的なフィッシングより検出が困難です。'}, {q:'経営幹部(CEO・CFO等)を狙って多額の送金を指示するメール詐欺はどれか。',choices:['スミッシング','BEC(ビジネスメール詐欺)'],answer:1,exp:'BEC は CEO や取引先に成りすました偽メールで送金指示を出す詐欺。電話等での二重確認が有効な対策です。'}, {q:'マルウェアを仕込んだ USB メモリを駐車場等に放置して拾わせる攻撃はどれか。',choices:['プリテキスティング','ベイティング(Baiting)'],answer:1,exp:'ベイティングは物理的な囮デバイスを使う手法。「会社名のラベルが貼られた USB」などを好奇心から挿してしまうことを狙います。'}, {q:'ソーシャルエンジニアリング対策として根本的に有効なのはどれか。',choices:['ファイアウォールの強化','セキュリティ意識教育(SAT)と手続き上の二重確認'],answer:1,exp:'ソーシャルエンジニアリングは人を騙す攻撃のため、技術対策だけでは防げません。従業員教育と標的型メール訓練、電話確認などの手続きが根本的な対策です。'} ] }, { id:'s27', num:'S27', title:'セキュアプログラミング', freq:'high', diff:2, concept:`安全なソフトウェアを開発するために、コード実装レベルの脆弱性を理解し回避する技法です。支援士試験ではコードの脆弱性と対策の組み合わせが問われます。
OWASP ASVS(Application Security Verification Standard)は Webアプリのセキュリティ要件を体系化したフレームワーク。CERT Coding Standards はコードレベルのセキュアプログラミング規約です。
`, examtips:[ 'バッファオーバーフローは「確保した領域を超えて書き込む」ことで戻りアドレスを書き換え任意コードを実行できる。対策は境界チェック・コンパイラ保護(スタックカナリア・ASLR)。', 'フォーマット文字列攻撃:`printf(str)` のような実装でユーザーが `%x %x` などを入力するとメモリダンプができてしまう。`printf("%s", str)` と書式文字列を固定するだけで防げる。', 'TOCTOU:「チェック時点」と「使用時点」の間に状態が変わる競合状態。ファイルアクセスやトランザクションで発生しやすい。' ], keypoints:[ 'バッファオーバーフロー:境界チェック不足。ASLR・スタックカナリアで緩和', 'フォーマット文字列攻撃:printf(input) の誤実装。書式を固定して防ぐ', '整数オーバーフロー:型の範囲超え。符号付き負数化が危険', 'Use-After-Free:解放済みメモリ参照。任意コード実行につながる', '入力バリデーション:ホワイトリスト方式(許可リスト)が原則', 'OWASP ASVS:Webアプリのセキュリティ要件標準' ], quiz:[ {q:'バッファオーバーフローが発生する根本的な原因はどれか。',choices:['暗号化されていないメモリを使っている','プログラムが確保したバッファの境界チェックをせずに書き込む'],answer:1,exp:'バッファオーバーフローは確保した領域を超えた書き込みでスタック上の戻りアドレスを書き換え、任意コードの実行につながります。'}, {q:'`printf(user_input)` という実装に存在する脆弱性はどれか。',choices:['バッファオーバーフロー','フォーマット文字列攻撃'],answer:1,exp:'書式文字列にユーザー入力を直接渡すと `%x` などで任意のメモリが読めてしまいます。`printf("%s", user_input)` と書式を固定することで防げます。'}, {q:'入力バリデーションにおいてセキュリティ的に推奨されるアプローチはどれか。',choices:['危険な文字のみ禁止するブラックリスト方式','許可する文字・値のみを定義するホワイトリスト方式'],answer:1,exp:'ブラックリスト方式は危険なパターンの定義漏れが発生しやすい。ホワイトリスト(許可リスト)方式は定義外を全て拒否するため堅牢です。'}, {q:'TOCTOU(Time-of-Check Time-of-Use)が引き起こす脆弱性はどれか。',choices:['メモリリーク','チェック時点と使用時点の間に状態が変わる競合状態'],answer:1,exp:'TOCTOU は権限チェック後・実際の操作前に状態が変わることで権限昇格・意図しない操作が発生する脆弱性です。アトミック操作で防ぎます。'} ] } ]}, { id:'management', label:'管理・法規', icon:'scale', units:[ { id:'s19', num:'S19', title:'インシデント対応・CSIRT', freq:'high', diff:2, concept:`インシデント対応はPDCAではなくPICERFサイクル(準備→識別→封じ込め→根絶→復旧→事後レビュー)で考えます。CSIRT(Computer Security Incident Response Team)は組織内外のインシデントを専門に扱うチームです。
SIEM(Security Information and Event Management):複数のログを統合して異常を検知するプラットフォーム。SOC(Security Operations Center)はSIEMを監視する専門チームです。
`, examtips:[ '封じ込め(Containment)は根絶より先に行う。まず被害を止め、その後マルウェアを除去する。', 'フォレンジックス:デジタル証拠の収集・保全・分析。証拠の連鎖(Chain of Custody)を保つことが重要。', 'JPCERT/CC:日本のCSIRTの調整機関。脆弱性情報・インシデント情報を収集・共有する。' ], keypoints:[ 'インシデント対応6フェーズ:準備→検知→封じ込め→根絶→復旧→事後レビュー', '封じ込めが根絶の前:まず被害拡大を止めてからマルウェアを除去', 'CSIRT:インシデント対応の専門チーム。JPCERT/CCが日本の調整機関', 'SIEM:ログを統合して異常検知。SOCが監視を担う', 'デジタルフォレンジック:証拠保全・Chain of Custodyが重要' ], quiz:[ {q:'インシデント対応において「封じ込め」フェーズの目的はどれか。',choices:['マルウェアを完全に除去する','インシデントの被害拡大を防ぐ','サービスを復旧させる','事後レビューを実施する'],answer:1,exp:'封じ込めはまず被害の拡大を止めることが目的。ネットワーク隔離などを行います。マルウェア除去は「根絶」フェーズです。'}, {q:'CSIRTの役割として正しいものはどれか。',choices:['ソフトウェアの開発','セキュリティインシデントの検知・対応・調整','ネットワーク機器の保守','社員の人事管理'],answer:1,exp:'CSIRTはセキュリティインシデントを専門に検知・分析・対応し、関係機関との情報共有・調整を行うチームです。'}, {q:'SIEMの機能として正しいものはどれか。',choices:['ファイアウォールとして通信を遮断する','複数システムのログを集約して脅威を相関分析する','マルウェアをサンドボックスで実行する','脆弱性スキャンを行う'],answer:1,exp:'SIEMは複数のログソースを統合し、相関分析によって個別ログでは見えない攻撃パターンを検知します。'}, {q:'デジタルフォレンジックにおける「Chain of Custody(証拠の連鎖)」の目的はどれか。',choices:['マルウェアを削除する','証拠が収集から法廷提出まで改ざんされていないことを証明する','バックアップを取得する','インシデントを封じ込める'],answer:1,exp:'Chain of Custodyは証拠の取り扱い履歴を記録し、証拠の完全性と法的証拠能力を維持するための手続きです。'} ] }, { id:'s20', num:'S20', title:'法規・評価基準', freq:'high', diff:2, concept:`情報セキュリティに関わる法律・制度・評価基準を整理します。試験では法律の名前と対象・罰則の組み合わせが問われます。
クラウドサービスは利用形態(IaaS/PaaS/SaaS)によって、提供者とユーザーのセキュリティ責任範囲が異なります。これを責任共有モデル(Shared Responsibility Model)と呼びます。
クラウド特有のセキュリティリスクとして設定ミスが最多。S3バケット公開設定やルートアカウントのMFA無効化などが典型例です。
現代のWebサービスでIDを連携させる3つのプロトコルを整理します。OAuth 2.0は「認可(Authorization)」、OIDCは「認証(Authentication)」、SAMLはエンタープライズの「フェデレーション認証」です。
JWTはHeader.Payload.Signatureの3部構成。Payloadにsub(ユーザーID)やexp(有効期限)などのクレームを格納します。IDaaSはこれらを統合したSaaS型のID管理サービスです(Azure AD/Okta等)。
`, examtips:[ 'OAuth 2.0は「認可」フレームワーク(誰が何をできるか)。OIDC は OAuth 2.0 の上に「認証(誰か)」を追加。この2層構造を混同しないこと。', 'SAMLとOIDCの使い分け:SAMLはエンタープライズSSO(人事システム・社内ポータル)、OIDCはモバイル・Web API向け(軽量・JSONベース)。', 'JWTの検証:署名アルゴリズムはRS256(RSA)またはHS256(HMAC)。noneアルゴリズムを許可する実装はJWT署名バイパス脆弱性になる。' ], keypoints:[ 'OAuth 2.0:認可委譲フレームワーク。アクセストークンでAPIアクセスを許可', 'OIDC:OAuth 2.0に認証を追加。IDトークン(JWT)でユーザー情報を含む', 'SAML 2.0:XMLベースのエンタープライズSSO。IdPがSPにアサーションを渡す', 'JWT:Header.Payload.Signatureの3部構成。クレームにsub/iss/exp等', 'IDaaS:ID管理をSaaSで提供(Okta・Azure AD・Cognito等)。MFA・SSO・プロビジョニングを統合' ], quiz:[ {q:'「Googleアカウントで外部サービスにログインする」ときに使われるプロトコルはどれか。',choices:['OAuth 2.0のみ','SAML 2.0','OIDC(OpenID Connect)','Kerberos'],answer:2,exp:'「Googleでログイン」はOIDCによる認証です。OIDCはOAuth 2.0の上に認証レイヤー(IDトークン)を追加したプロトコルです。'}, {q:'OAuth 2.0が主に提供するのはどれか。',choices:['ユーザー認証(誰であるかの確認)','リソースへのアクセス権委譲(認可)','パスワードの暗号化','セッション管理'],answer:1,exp:'OAuth 2.0は「認可(Authorization)」フレームワークで、リソースオーナーの代わりにサードパーティへアクセストークンを発行します。認証はOIDCが担います。'}, {q:'JWTの構造として正しいものはどれか。',choices:['Header.Payload(BASE64)のみ','Header.Payload.Signatureの3部構成','暗号化された単一のBlobデータ','XMLベースのアサーション'],answer:1,exp:'JWTはBase64URLエンコードされたHeader.Payload.Signatureの3部をドット区切りで繋いだ構造です。SignatureでHeader+Payloadの完全性を保証します。'}, {q:'SAMLとOIDCの使い分けとして適切な説明はどれか。',choices:['SAMLはモバイルアプリ向け、OIDCはレガシー企業システム向け','SAMLはエンタープライズSSO向け、OIDCはWeb/モバイルAPI向けで軽量','SAMLはOIDCの上位互換','OIDCはXMLベースでSAMLはJSONベース'],answer:1,exp:'SAMLはXMLベースで企業向け(HR・社内ポータル等)のSSO。OIDCはJSONベースで軽量・Web API・モバイルアプリ向けです。'} ] }, { id:'s28', num:'S28', title:'事業継続・BCP/BCM', freq:'high', diff:2, concept:`BCP(Business Continuity Plan)は災害・インシデント発生時でも事業を継続または迅速に復旧するための計画です。BCM(Business Continuity Management)はその計画を策定・維持・改善する継続的なマネジメント体制です。
DRP(Disaster Recovery Plan)は IT システムの復旧に焦点を当てた計画で、BCPの一部です。ISO 22301 が BCM の国際規格です。
`, examtips:[ 'RTO と RPO は混同しやすい。RTO は「時間軸(復旧まで何時間)」、RPO は「データ軸(何時点のデータまで許容するか)」。RPO が短いほど頻繁なバックアップが必要。', '3-2-1 ルールはランサムウェア対策でも頻出。「3つのコピー・2種類の媒体・1つはオフライン/オフサイト」の「1つはオフライン」が特に重要。', 'BCP と DRP の違い:BCP は事業全体の継続(人・業務プロセスも含む)、DRP は IT システム復旧計画。DRP は BCP の下位計画。' ], keypoints:[ 'RTO:目標復旧時間(何時間以内に復旧)', 'RPO:目標復旧時点(何時点のデータまで失って許容できるか)', '3-2-1 ルール:3コピー・2メディア・1オフサイト。ランサムウェア対策にも有効', 'ホットサイト:即時切替・コスト大。コールドサイト:立上げに時間がかかる', 'BCP:事業継続計画全体。DRP は IT 復旧計画(BCP の一部)', 'ISO 22301:BCM の国際規格' ], quiz:[ {q:'RPO(Recovery Point Objective)の説明として正しいのはどれか。',choices:['システムの復旧完了までの目標時間','障害発生時に許容できるデータ損失の時点(どこまで遡れるか)'],answer:1,exp:'RPO はデータの「どこまで失ってよいか」という目標値。RPO=1時間なら最大1時間分のデータ損失を許容し、1時間おきのバックアップが必要です。'}, {q:'ランサムウェア対策として 3-2-1 ルールで最も重要な要素はどれか。',choices:['クラウドに2つ以上の同期バックアップを持つこと','1つはネットワークから切り離されたオフライン/オフサイト保管をすること'],answer:1,exp:'クラウド同期バックアップはランサムウェアに一緒に暗号化されるリスクがあります。オフライン保管なら感染拡大が届かず、確実に復旧できます。'}, {q:'ホットサイト・ウォームサイト・コールドサイトのうち最も復旧時間が短いのはどれか。',choices:['コールドサイト','ホットサイト'],answer:1,exp:'ホットサイトは本番と同等の環境が常時稼働しており即時切替が可能。コスト最大ですが RTO は最短です。'}, {q:'BCPとDRPの関係として正しいものはどれか。',choices:['DRP は BCP よりも広い概念で事業全体を対象にする','BCP は事業継続計画全体で、DRP はその中の IT システム復旧計画'],answer:1,exp:'BCP は事業全体(人・プロセス・設備・IT)を対象にします。DRP は IT システムの復旧に特化した下位計画です。'} ] }, { id:'s29', num:'S29', title:'物理・環境セキュリティ', freq:'mid', diff:1, concept:`情報セキュリティはデジタルだけの問題ではありません。物理的なアクセスが許可されると技術的対策の多くが無意味になります。
脅威インテリジェンス(CTI: Cyber Threat Intelligence)は攻撃者・攻撃手法・悪意ある活動に関する情報を収集・分析して防御に活かす実践です。
ハニーポット:攻撃者を引き付ける囮システム。実際の重要システムではなく観察・情報収集が目的です。ハニーネットは複数のハニーポットで構成されたネットワークです。
`, examtips:[ 'MITRE ATT&CK はフェーズ(タクティクス)→手法(テクニック)→手順(サブテクニック)の3層構造。「攻撃者がどのフェーズで何をしたか」をマッピングするツールとして使われる。', 'IoC と IoA の違い:IoC は「侵害された証拠(事後)」、IoA は「攻撃中の兆候(予防)」。SIEM で IoC/IoA を検出することで対応を高速化する。', 'STIX/TAXII:脅威インテリジェンスを機械可読形式で記述し(STIX)、自動的に共有する(TAXII)仕組み。ISAC などの組織間での情報共有で使われる。' ], keypoints:[ 'CTI:脅威インテリジェンス。攻撃者・手法・IOCに関する情報収集・分析・活用', 'IoC:侵害の痕跡(マルウェアのハッシュ・悪意ある IP/ドメイン)', 'TTP:攻撃者の戦術・技法・手順。MITRE ATT&CK で体系化', 'MITRE ATT&CK:実際の攻撃TTPs を初期侵入から流出まで整理したナレッジベース', 'STIX/TAXII:脅威情報の記述(STIX)と自動共有(TAXII)の標準規格', 'ハニーポット:攻撃者を引き付ける囮システム。観察・インテリジェンス収集が目的' ], quiz:[ {q:'MITRE ATT&CK が提供するのはどれか。',choices:['脆弱性のスコアリング基準','実際の攻撃事例に基づく攻撃者のTTPs(戦術・技法・手順)のナレッジベース'],answer:1,exp:'MITRE ATT&CK は実際のインシデントから収集した攻撃者の行動を体系化したフレームワークです。セキュリティチームが攻撃手法を理解し検知・対策を設計するために使います。'}, {q:'IoC(Indicators of Compromise)の具体例として正しいのはどれか。',choices:['攻撃者グループの動機と目的','マルウェアのハッシュ値・悪意ある通信先の IP アドレス'],answer:1,exp:'IoC は侵害が発生した「証拠」となる具体的な技術的指標です。SIEM にフィードすることでインシデントの検知・調査に活用されます。'}, {q:'脅威情報を機械可読形式で記述するための標準仕様はどれか。',choices:['CVSS','STIX(Structured Threat Information eXpression)'],answer:1,exp:'STIX は脅威アクター・攻撃キャンペーン・IoC などを構造化して記述するための標準形式です。TAXII プロトコルと組み合わせて組織間で自動共有されます。'}, {q:'ハニーポットを設置する主な目的はどれか。',choices:['本番システムの負荷を分散する','攻撃者を引き付けて行動を観察し脅威インテリジェンスを収集する'],answer:1,exp:'ハニーポットは重要システムを守る囮。攻撃者がどのような手法を使うかを安全に観察でき、TTPsの把握や早期警告システムとして機能します。'} ] }, { id:'s31', num:'S31', title:'コンプライアンス・証跡(ログ)入門', freq:'mid', diff:1, concept:`コンプライアンスは、法令・業界ガイドライン・社内規程に沿って業務を運営することです。情報セキュリティ分野では、個人情報保護やISMSの文脈で「記録」「監査」「証跡」がセットで問われます。
クラウドではログの有効化や保管先の設計も利用者責任に含まれる場合がある(責任共有モデル)。
`, examtips:[ '「コンプライアンス=法令遵守だけ」と捉えない。社内規程・契約・業界基準も含む。', '監査証跡は「後から説明できること」が目的。ログを取らないより、取り方と保護が問われる。', 'クラウドの監査ログはデフォルトで無効のサービスもある。必要なイベントを有効化し、長期保管は別ストレージやSIEM連携を検討。' ], keypoints:[ 'コンプライアンス:法令・規程・契約に適合した運用', '証跡・ログ:操作の事実を記録し調査・説明責任を果たす', 'ログ保護:権限分離と改ざん耐性(外部集約・WORM等)', '内部統制:職務分離・承認とログを組み合わせて不正を抑止', 'クラウド:ログ設計・保管も利用者側の責任になり得る' ], quiz:[ {q:'コンプライアンスの説明として最も適切なものはどれか。',choices:['利益だけを最大化すること','法令・規程・契約等に適合するよう業務を運営すること','セキュリティ対策を一切行わないこと','技術的脆弱性をゼロにすること'],answer:1,exp:'コンプライアンスは法令だけでなく、業界ガイドライン・社内規程・取引先契約など、組織が従うべきルール全体への適合を指します。'}, {q:'監査証跡(ログ)の主な目的として適切なものはどれか。',choices:['ディスク使用量を減らすこと','いつ誰が何をしたかを後から検証できるようにすること','パスワードを平文で保存すること','通信を暗号化しないこと'],answer:1,exp:'証跡はインシデント調査・監査・説明責任のために、操作の事実を追える状態にすることを目的とします。'}, {q:'ログの改ざん耐性を高める取り組みとして適切なものはどれか。',choices:['管理者が自由に削除できる1台のサーバのみに保存','権限分離し、改ざん検知や外部SIEMへの集約を行う','ログを取らない','全員に同一の管理者権限を付与'],answer:1,exp:'ログが攻撃者や内部不正で改ざん・削除されると証跡として機能しません。権限分離と外部集約が有効です。'}, {q:'クラウド利用におけるログ・監査の考え方として適切なものはどれか。',choices:['すべてのログはクラウド事業者が自動で完全に代替する','必要な監査ログを有効化し、保管期間とアクセス権を設計するのは利用者責任になり得る','ログは個人情報ではないので無制限に公開してよい','ログは開発環境のみでよい'],answer:1,exp:'責任共有モデルでは、設定可能な監査ログの有効化や保管設計が利用者側の責任になる場合があります。'} ] } ]} ];