【基本情報技術者試験】情報セキュリティ分野対策【用語解説付き】

こんにちは。

今回は基本情報技術者試験の最重要分野の１つである「情報セキュリティ」について解説していこうと思います。

【基本情報技術者試験】情報セキュリティ分野対策

情報セキュリティとは

情報セキュリティとは、情報資産を守ることです。

情報セキュリティのリスク要素には、脆弱性と脅威があります。

脆弱性とは、システム上の重大な欠陥のことをいいます。セキュリティホールとも呼ばれ、サイバー攻撃に利用されてしまいます。

脅威とは、情報資産を脅かす存在のことです。

情報セキュリティの脅威には技術的脅威、人的脅威、物理的脅威の３つがあります。(後ほどそれぞれ解説します。)

なぜ情報セキュリティが重要な分野なのか

「情報セキュリティ」は基本情報技術者試験の中で最も出題数の多い分野となっています。

情報セキュリティの分野から出題数が多い理由としては、サイバー攻撃や情報漏洩などによって人命や財産に危害が及ぶ可能性があることがあげられます。

情報セキュリティで問われる内容、重要用語

情報セキュリティの脅威

情報セキュリティの脅威には、

• 技術的脅威
• 人的脅威
• 物理的脅威

の３つがあります。

技術的脅威

技術的脅威とは、パスワードの割り出し、マルウェアによる攻撃など、技術的な手段によって引き起こされる脅威のことです。

技術的脅威に関する用語には主に以下のものがあります。

• セキュリティホール
• クロスサイトスクリプティング
• マルウェア
• ランサムウェア
• フィッシング
• SEOポイズニング
• スパム
• DoS攻撃

この他にもたくさんの技術的脅威がありますがとりあえずここではこれらを紹介します。

セキュリティホール…セキュリティホールとは、脆弱性と同じ意味で、システムに存在する欠陥のことです。

クロスサイトスクリプティング…クロスサイトスクリプティング(XSS)とは、サイトに設置されたフォームにユーザーが情報を入力した際に不正なスクリプトを実行させる攻撃のことです。cookieなどのデータを盗み出します。

マルウェア…マルウェアには、「ウィルス」、「ワーム」、「トロイの木馬」の３種類があります。

ーーーウィルスとは、コンピューターに侵入し悪さをするプログラムのことです。例としてはランサムウェアなどがあります。

ーーーワームとは、ウィルスとは違って寄生せず、独立したプログラムです。自己増殖し、感染を広めます。

ーーートロイの木馬とは、見かけ上は良いソフトとして侵入し、さまざまな攻撃をするプログラムです。ワームとは違い自己増殖することはできません。

ランサムウェア…ランサムウェアとは、PCやファイルを使用不能にした上で、それらを元に戻すことと引き換えに金銭（身代金）を要求するプログラムです。ランサムウェアはマルウェアの一種です。

フィッシング…フィッシングとは、実在する企業や組織などを装い偽のメールを送るなどして偽のサイトに誘導し、個人情報を不正に取得することです。

SEOポイズニング…SEOポイズニングとは、悪意のあるサイトを検索エンジンの検索結果の上位に表示されるようにすることです。

スパム…スパムとは、受信者が希望していないのに大量に送付される電子メールのことです。

DoS攻撃…DoS攻撃とは、電子メールやアクセス要求を大量に送り付けることによってウェブサイトやサーバーをサービス不能にする攻撃のことです。

人的脅威

人的脅威とは、操作ミスや不正アクセスなど、人が引き起こす脅威のことです。

人的脅威に関する用語には以下のものがあります。

• ソーシャルエンジニアリング
• 不正のトライアングル

ソーシャルエンジニアリングとは、人間の心理的な隙を利用して機密情報を入手することです。

不正のトライアングルとは、人が不正を働く際は「機会」、「動機」、「正当化」という３つの要素がそろったときであるとする理論です。

物理的脅威

物理的脅威とは、地震や火災、盗難など、物理的な手段によって引き起こされる脅威のことです。

基本情報技術者試験では、物理的脅威の事例はあまり出題されません。

共通鍵/公開鍵暗号方式、デジタル署名

共通鍵暗号方式

共通鍵暗号方式とは、暗号化と復号に同じ鍵を使う暗号化方式のことです。

復号とは、暗号化した文章を平文(暗号化されていない文章)に戻すことをいいます。

共通鍵暗号方式は処理が高速ですが、鍵を相手に安全に送る方法がないという欠点があります。

公開鍵暗号方式

公開鍵暗号方式とは、公開鍵で暗号化し、そのペアとなる秘密鍵で復号する暗号化方式です。

秘密鍵は自分だけが持ち、１つしかありません。

一方公開鍵は誰でも入手可能となります。

公開鍵と秘密鍵を自分が作り、そのうち公開鍵を全員に公開します。

公開鍵暗号方式を用いることで共通鍵暗号方式の「鍵を相手に安全に送る方法がない」という欠点がなくなります。

しかし公開鍵暗号方式は誰でも暗号化できるため、なりすましが発生する可能性があるという欠点があります。

また、共通鍵暗号方式に比べ処理が遅いという欠点もあります。

デジタル署名

デジタル署名とは、公開鍵暗号方式を用いてデータに電子的に署名を行い、そのデータが間違いなく本人のものであることを証明する技術です。

デジタル署名は、公開鍵暗号方式とは反対に秘密鍵で暗号化しそのペアとなる公開鍵で復号します。

情報セキュリティマネジメント

情報セキュリティマネジメントとは、情報セキュリティの確保に組織的・体系的に取り組むことです。

情報セキュリティマネジメントの用語には以下のものがあります。

• ISMS
• ISMS適合評価性評価制度
• 情報セキュリティの３要素

ISMSとは、Information Security Management Systemの略で、機密性・完全性・可用性の3つの要素をバランスよく管理する仕組みです。

ISMS適合評価性評価制度とは、企業のISMSを「JIS Q 27001」という規格によって定義された評価事項に適合しているか審査する制度のことです。

情報セキュリティの３要素とは、情報資産を管理する上で大事な要素のことで、機密性、完全性、可用性の３つがあります。

機密性とは、許可された人だけが情報にアクセスできることです。

完全性とは、情報に誤りがなく、正確であることです。

可用性とは、必要な時にいつでも情報にアクセスできることです。

基本情報技術者試験過去問

まずは以下の3つの問題を解いてみてください。

---

問1．解説

不正のトライアングルとは、人が不正を働く際は「機会」、「動機」、「正当化」という３つの要素がそろったときであるとする理論です。

ア…正しい。その通りです。

イ…誤り。”情報と伝達”は内部統制の基本的要素の1つであり、不正のトライアングルとは関係がありま　　せん。

ウ…誤り。”正当化”とは、内部者が不正行為を自ら納得させるための自分勝手な理由付けです。

エ…誤り。”動機”とは、ノルマによるプレッシャーなどのことです。

---

問２．解説

公開鍵暗号方式とは、公開鍵で暗号化し、そのペアとなる秘密鍵で復号する暗号化方式です。

この問題ではXさんがYさんに電子メールを送ろうとしているので暗号化に使用する鍵はYさんの公開鍵になります。

ア…誤り。

イ…誤り。

ウ…正しい。

エ…誤り。

---

問3．解説

完全性（Integrity）は、情報セキュリティマネジメントで管理すべき要素の一つで、「情報の正確さ完全さ」を示す特性です。

具体的には、情報に矛盾がなく完備され、最新であり、改ざん、破壊されていない状態で維持されている度合いをいいます。

また「完全性」とともに情報セキュリティマネジメントの三要素と位置付けられている特性に「機密性」と「可用性」があります。

機密性（Confidentiality）
許可されていないユーザやシステムに対して情報を使用させず、開示しない特性。許可された正規のユーザだけが情報にアクセスできる度合いを示す。

可用性（Availability）
ユーザが要求したときにシステムが利用可能である特性。障害がなくシステムが正常に稼働し続けることの度合いを示す。

ア…正しい。改ざんによる情報の破壊は、完全性を低下させる事象です。

イ…誤り。許可されていない者に情報が漏れるので、機密性を脅かす攻撃です。

ウ…誤り。サービス停止を引き起こすDoS攻撃は、可用性を脅かす攻撃です。

エ…誤り。許可されていない者に情報が漏れるので、機密性を脅かす攻撃です。

まとめ

今回は基本情報技術者試験対策として情報セキュリティ分野の解説をしてきました。

情報セキュリティの分野は基本情報技術者でも最も頻出の分野ですし、セキュリティの知識はリスクを回避するためにとても重要なのでしっかりと理解するようにしましょう！

それでは、今回は以上となります。

最後までご精読いただきありがとうございました。