こんにちは!たけです。 基本情報技術者試験(FE)の情報セキュリティ分野は、午前・午後問わず高頻度で出題される最重要テーマです。本記事では、セキュリティの基本原則から暗号化、ネットワーク防御、攻撃手法、管理体制、法制度に至るまで、しっかりと解説しています。ぜひ勉強に活用してください!
【セキュリティの前提】守るべきものと考え方
情報セキュリティの基本を理解するには、まず何を守るべきなのかを明確にする必要があります。この章では、セキュリティの三大原則やリスクの構造について学びます。
CIA(機密性・完全性・可用性)
- 機密性:許可された人だけが情報へアクセスできるようにする
- 完全性:情報が正確・改ざんされていないことを保証する
- 可用性:必要なときに正しく情報が使える状態を保つ
リスク・脆弱性・脅威の違い
- 脅威:攻撃者や自然災害などの外部リスク
- 脆弱性:バグや設定ミスなど内部の弱点
- リスク:脅威×脆弱性で発生する損害の可能性
情報セキュリティポリシー
- 組織としての基本方針・対策基準・実施手順を文書化したもの
【守る手段①】暗号と署名
情報を守るためには、外部から読み取れないように「暗号化」することが必要です。この章では、暗号方式やハッシュ関数、署名の仕組みを体系的に押さえましょう。
暗号方式
- 共通鍵暗号:送受信者が同じ鍵を使って暗号化・復号(例:AES)
- 公開鍵暗号:公開鍵で暗号化し、秘密鍵で復号(例:RSA)
暗号方式の比較表
| 項目 | 共通鍵暗号方式 | 公開鍵暗号方式 |
|---|---|---|
| 鍵の数 | 1つ(共通) | 2つ(公開鍵・秘密鍵) |
| 処理速度 | 速い | 遅い |
| 利用場面 | データの大量通信 | 鍵の受け渡し、デジタル署名 |
| 弱点 | 鍵の配布が困難 | 計算負荷が高い |
ハッシュ関数
- 入力データから固定長の「要約値」を生成。改ざん検知に使われる(例:SHA-256)
デジタル署名とPKI
- デジタル署名:送信者の本人確認と改ざん防止を実現
- PKI/認証局(CA):公開鍵が本物であることを第三者機関が保証
通信の暗号化プロトコル
- SSL/TLS、HTTPS、IPsec:通信の盗聴・改ざん・なりすましを防ぐ技術
【守る手段②】ネットワークとインフラ防御
セキュリティはネットワークの出入口でも守る必要があります。ここではファイアウォールやDMZなど、ネットワーク構成とその保護手段を紹介します。
境界防御と通信制御
- ファイアウォール:ネットワークの出入り口で不正通信をブロック
- パケットフィルタリング:IP・ポートなどを基に通信を許可・拒否
中継・保護の仕組み
- プロキシ/リバースプロキシ:代理で通信を中継し匿名化やキャッシュ制御を実現
- DMZ:外部公開サーバを内部ネットワークから隔離
- WAF(Web Application Firewall):SQLインジェクションなどWebアプリ攻撃をブロック
【守る手段③】認証とアクセス制御
システムや情報へのアクセスには「誰か」を確認し、「何を許可するか」を制御する仕組みが必要です。この章では認証方法やアクセス制御の考え方を学びます。
認証の手段
- ID+パスワード、ワンタイムパスワード、生体認証 など、正当なユーザーであることを確認する手段
アクセス制御方式
- DAC(任意アクセス制御):所有者が権限を設定
- MAC(強制アクセス制御):システムが一括制御(軍事用途)
- RBAC(ロールベース制御):役職に応じてアクセスを制御(企業で主流)
アクセス制御方式の比較表
| 方式 | 概要 | 主な利用例 |
| DAC(任意アクセス制御) | 所有者が自由に権限設定 | 一般企業・個人PCなど |
| MAC(強制アクセス制御) | ラベル等に従いシステムが強制制御 | 軍事機関・政府系 |
| RBAC(ロールベース制御) | 役割単位で権限付与 | 企業内システム・業務アプリ |
【攻撃者の手口】脅威とその対策
セキュリティを破るために用いられるさまざまな攻撃手法を知ることは、防御の第一歩です。ここでは代表的な攻撃例とその対策を学びます。
攻撃手法と対策マッピング
| 攻撃手法 | 内容 | 有効な対策 |
| SQLインジェクション | 入力フォームにSQLを仕込む | 入力値のエスケープ、WAF導入 |
| パスワードリスト攻撃 | 他サービスから流出したID/パス使用 | 多要素認証、パスワード使い回し防止 |
| ドライブバイダウンロード | Webアクセス時に自動感染 | ブラウザ更新、ウイルス対策ソフト |
| DNSキャッシュポイズニング | 偽サイトに誘導 | DNSSECの導入、検証付き名前解決 |
人的攻撃
- ソーシャルエンジニアリング:心理的スキを突いて情報を盗む手法
- 不正のトライアングル:動機・機会・正当化の3条件で不正が発生しやすくなる
マルウェアと遠隔操作
- 不正プログラムパッケージ:見た目は正常に見えるマルウェア
- C&Cサーバー:攻撃者が感染端末に指令を出すサーバー
- ドライブバイダウンロード:アクセスしただけで感染する攻撃
その他の攻撃
- ディレクトリトラバーサル
- 検索結果汚染(SEOポイズニング)
ウイルス検出技術
- パターンマッチング法:既知のパターンと一致で検出
- ビヘイビア法:怪しい挙動で未知の脅威にも対応
【管理と運用】セキュリティ体制の構築
システムを安全に運用し続けるには、体制や仕組みづくりが欠かせません。この章では組織的な管理や継続的改善の取り組みについて解説します。
ISMSとPDCA
- 組織的な情報セキュリティ管理体制。Plan→Do→Check→Actの継続改善が基本
ログ管理と証跡
- ユーザー操作やアクセス履歴の記録。監査・分析・トラブル調査に必須
インシデント対応とCSIRT
- インシデント:情報漏えい・攻撃などの緊急事態
- CSIRT:インシデントに組織的に対応するチーム
バックアップの種類
- フル/差分/増分:目的や頻度に応じて使い分け、復旧を効率化
ディジタルフォレンジックス
- 不正アクセス等の証拠収集・調査に使う技術。訴訟にも使用される
ゼロトラストセキュリティ
- すべての通信やアクセスを信頼せず、必ず検証する新しいセキュリティモデル
【法律と制度】知っておくべきセキュリティ法規
情報セキュリティには法的な基盤も必要です。どのようなルールがあり、何が禁止されているのかを知っておくことは、実務でも重要なポイントです。
主要な法律
- 個人情報保護法:個人データの取得・保管・利用に関する制限
- マイナンバー法:特定個人情報の管理徹底を義務付け
- 不正アクセス禁止法:ID・パスワードの不正使用を刑事罰の対象に
まとめ:理解と実践で合格をつかむ
情報セキュリティは「覚える」より「理解する」ことが重要です。本記事は、基本情報試験に出る内容を完全網羅し、それぞれの意味と役割を明確にしました。
学んだ内容を定着させるには演習を行うことが1番だと思います。演習には過去問道場がおすすめです!
➡️ 過去問道場はこちら
ぜひ演習を積んで、知識を確かな合格力へとつなげていきましょう!
ちなみに私が勉強に使用していたのはこちらの教材です。
図などが多く非常にわかりやすかったです!
他の基本情報の記事はこちらです⬇️
