情報セキュリティの基礎
1. 情報セキュリティとは
情報セキュリティとは、情報資産を守ることです。
インターネットの普及に伴い、データを盗まれたり破壊されたりする「サイバー攻撃」のリスクが高まっています。これらの脅威から安全を確保することが目的です。
脅威は大きく「人的脅威」「物理的脅威」「技術的脅威」の3つに分類されます。
2. 人的脅威
人によって引き起こされる脅威です。うっかりミス(誤操作)や悪意ある操作が含まれます。
ソーシャルエンジニアリング
技術的な方法を使わず、人間の心理的な隙や行動のミスにつけ込んで秘密情報を入手する手口です。
パスワード入力中や画面操作中の人の背後から、肩越しに盗み見る行為。
ゴミ箱をあさって、捨てられた書類や記憶媒体からIDやパスワードを盗み出す行為。
3. 物理的脅威
施設や機器が物理的な手段によって直接被害を受けることです。
災害(地震、火事)、停電、破壊、侵入しての盗難などが該当します。
「盗難」も人が行いますが、サーバ室に侵入してハードディスクを物理的に盗むような「直接的」な破壊・奪取は物理的脅威に分類されます。
一方、パスワードを盗み見て「正規のアクセスを装う」ような間接的なものは人的脅威(ソーシャルエンジニアリング)です。
技術的脅威:マルウェア
1. マルウェアの種類
マルウェア (Malware) とは、「Malicious(悪意のある)」と「Software」を組み合わせた造語で、悪意のあるソフトウェアの総称です。
他のファイルに寄生して増殖し、害を及ぼすプログラム。
マクロウイルス
WordやExcelの「マクロ機能」を悪用したウイルス。
有用なソフトを装って侵入し、裏で悪さをするプログラム。自己増殖はしない。
裏口(バックドア)を作り、遠隔操作ツール(RAT)などを仕込みます。
ファイルを勝手に暗号化して使えなくし、「元に戻してほしければ身代金(Ransom)を払え」と要求する。
「データを復元する代金」だけでなく「盗んだデータを公開しない代金」も要求する手口。
PC内の個人情報や操作履歴を、利用者に気づかれないように外部へ送信するプログラム。
PCを乗っ取り、攻撃者からの指令で一斉攻撃(DDoS攻撃など)やスパムメール送信を行わせるプログラム。感染したPC群をボットネットと呼びます。
2. その他の詐欺的脅威
- フィッシング (Phishing)
- 金融機関などを装った偽メールで偽サイト(フィッシングサイト)に誘導し、暗証番号やカード番号を入力させて盗み取る詐欺。
- SPAM
- 受信者の同意なく、無差別に大量送信される迷惑メールのこと。
過去問演習(基礎・マルウェア)
情報セキュリティ対策を,"技術的セキュリティ対策","人的セキュリティ対策"及び"物理的セキュリティ対策"に分類したとき,"物理的セキュリティ対策"の例として,適切なものはどれか。
- Webサーバへのアクセスログを取得し、必要に応じて通信を遮断する。
- セキュリティレベルごとのICカードで入退室管理を行う。
- 従業員と守秘義務契約を結び、教育を実施する。
- 退職時にアカウントを削除する。
スマートフォンを利用するときに,ソーシャルエンジニアリングに分類されるショルダーハックの防止策として,適切なものはどれか。
- OSを常に最新の状態で利用する。
- 位置情報機能をオフにする。
- スクリーンにのぞき見防止フィルムを貼る。
- 落下,盗難防止用にストラップを付ける。
ウイルスの感染に関する記述のうち,適切なものはどれか。
- OSやアプリケーションだけではなく,機器に組み込まれたファームウェアも感染することがある。
- PCをネットワークにつなげず,外部記憶媒体だけを利用すれば感染することはない。
- 感染したPCはネットワークにつなげたままアップデートを実施する。
- 電子メールの添付ファイルを開かなければ,感染することはない。
ランサムウェアによる損害を受けてしまった場合を想定して,その損害を軽減するための対策例として,適切なものはどれか。
- PC内の重要なファイルは,PCから取外し可能な外部記憶装置に定期的にバックアップしておく。
- Webサービスごとに,使用するIDやパスワードを異なるものにしておく。
- マルウェア対策ソフトを用いてPC内の全ファイルの検査をしておく。
- 無線LANを使用するときには,WPA2を用いて通信内容を暗号化しておく。
受信した電子メールに添付されていた文書ファイルを開いたところ,PCの挙動がおかしくなった。疑われる攻撃として,適切なものはどれか。
- SQLインジェクション
- クロスサイトスクリプティング
- ショルダーハッキング
- マクロウイルス
技術的脅威:攻撃手法
1. パスワードに関する攻撃
aaab
...
pass
考えられる全ての組み合わせを片っ端から試す。
辞書に載っている単語(apple, password等)を次々に入力して試す。
別の場所から流出したIDとパスワードのリストを使って、他のサイトでもログインを試す。
2. Webアプリケーションへの攻撃
Webページに入力データをそのまま表示するフォームなどがある場合に、第三者が悪意あるスクリプトを埋め込むことで、閲覧者のCookieなどを盗み出す攻撃です。
ブラウザからの要求処理の脆弱性をついた攻撃です。ログイン中のユーザーに悪意あるリンクを踏ませ、意図しない操作を勝手に行わせます。
YouTubeにログインしている状態で、掲示板の「おすすめ動画」URLをクリック。
そのURLには「パスワードを変更する処理」が仕込まれており、意図せずパスワードが変更されてしまう。
データベース処理の脆弱性をついた攻撃です。
入力画面でデータベースを操作する言語(SQL)の断片を入力し、データベース内部の情報を不正に操作・盗み見します。
→ 全データが表示されてしまう!
対策:開発時に対策用のコード(プレースホルダなど)を使用する。
利用者を視覚的にだまして特定の操作をさせる攻撃です。
透明な「罠の画面」を、通常のボタンなどの上に重ねて配置し、利用者が「再生ボタン」などをクリックしたつもりが、見えない「購入ボタン」を押させられる手口です。
- ディレクトリ・トラバーサル
-
Webサーバ内のファイル指定の不備を突き、非公開ファイル(パスワードファイルなど)にアクセスする攻撃。
対策:アクセス権限による管理。 - セッションハイジャック
-
ログイン中の利用者を識別する「セッションID」を盗み、その利用者になりすます攻撃。
対策:セッションIDを連番にせず、推測しづらいランダムな値にする。
3. 通信・サーバへの攻撃
無線LAN通信などで利用者とWebサイトの間に割り込んで、データを盗聴・改ざんする攻撃。
オンラインバンキングでの不正送金被害などがあります。
利用者のブラウザを乗っ取り、通信内容を盗聴・改ざんする攻撃。
中間者攻撃との違いは、マルウェア感染によって引き起こされる点です。
対策:マルウェア対策ソフトの導入。
改ざんされたWebサイトを閲覧しただけで、自動的に不正なソフトウェア(マルウェア)をダウンロード・感染させる攻撃。
ブラウザやOSの脆弱性を突かれます。
対策:OSやソフトを最新の状態に保つ。
- DoS (Denial of Service)
- 大量のデータを送り付け、サーバをサービス提供不能にする。
- DDoS (Distributed DoS)
- ボット化した複数の端末から分散して一斉にDoS攻撃を仕掛ける。
ゼロデイ攻撃
ソフトウェアの脆弱性が発見されてから、その修正プログラム(パッチ)が提供されるまでの空白期間(0日)を狙って行われる攻撃です。
4. 企業・個人を狙った攻撃
不特定多数ではなく、特定の企業や個人をターゲットに絞った攻撃。
業務関連のメールを装ってウイルス付きファイルを送るなど、巧妙な手口が使われます。
Advanced Persistent Threat
特定のターゲットに対し、様々な手法を駆使して長期間にわたり執拗に攻撃や潜伏を行うこと。
ターゲットがよく利用するWebサイトを改ざんし、アクセスするのを待ち伏せてマルウェアに感染させる攻撃。
(肉食獣が水飲み場で獲物を待つ様子に由来)
過去問演習(攻撃手法)
サイバー攻撃の例ではないものはどれか。
- 機密情報の取得を目的として,オフィスから廃棄された記録メディアをあさる。
- サーバの脆弱性を利用して,Webサイトに侵入してデータを改ざんする。
- 大量のアクセスを集中させて,サービスを停止させる。
- バックドアを利用して,他人のPCを遠隔操作する。
攻撃対象とは別のWebサイトから盗み出すなどによって,不正に取得した大量の認証情報を流用し,標的とするWebサイトに不正に侵入を試みるものはどれか。
- DoS攻撃
- SQLインジェクション
- パスワードリスト攻撃
- フィッシング
マルウェアに感染した多数のIoT機器が特定のWebサイトへ一斉に大量のアクセスを行い,Webサイトのサービスを停止に追い込んだ。このWebサイトが受けた攻撃はどれか。
- DDoS攻撃
- クロスサイトスクリプティング
- 辞書攻撃
- ソーシャルエンジニアリング
オンラインバンキングにおいて,マルウェアなどでブラウザを乗っ取り,正式な取引画面の間に不正な画面を介在させ,振込先の情報を不正に書き換えて,攻撃者の指定した口座に送金させるなどの不正操作を行うことを何と呼ぶか。
- MITB(Man In The Browser)攻撃
- SQLインジェクション
- ソーシャルエンジニアリング
- ブルートフォース攻撃
Webサイトなどに不正なソフトウェアを潜ませておき,PCやスマートフォンなどのWebブラウザからこのサイトにアクセスしたとき,利用者が気付かないうちにWebブラウザなどの脆弱性を突いてマルウェアを送り込む攻撃はどれか。
- DDoS攻撃
- SQLインジェクション
- ドライブバイダウンロード
- フィッシング攻撃
Webサービスを狙った攻撃に関する記述と攻撃の名称の適切な組合せはどれか。
a Webサービスが利用しているソフトウェアに脆弱性の存在が判明したとき,その修正プログラムが提供される前に,この脆弱性を突いて攻撃する。
b 複数のコンピュータから大量のパケットを一斉に送り付けることによって,Webサービスを正常に提供できなくさせる。
c 理論的にあり得るパスワードのパターンを順次試すことによって,正しいパスワードを見つけ,攻撃対象のWebサービスに侵入する。
- a:DDoS, b:ゼロデイ, c:ブルートフォース
- a:DDoS, b:ブルートフォース, c:ゼロデイ
- a:ゼロデイ, b:DDoS, c:ブルートフォース
- a:ゼロデイ, b:ブルートフォース, c:DDoS
HTML形式の電子メールの特徴を悪用する攻撃はどれか。
- DoS攻撃
- SQLインジェクション
- 悪意のあるスクリプトの実行
- 辞書攻撃
情報セキュリティの脅威に関する説明①~③と,用語の適切な組合せはどれか。
1 Webページに,利用者の入力データをそのまま表示するフォーム又は処理があるとき,第三者が悪意あるスクリプトを埋め込み,訪問者のブラウザ上で実行させることによって,cookieなどのデータを盗み出す攻撃
2 多数のPCに感染し,ネットワークを介した指示に従ってPCを不正に操作することによって,一斉攻撃などを行うプログラム
3 利用者に有用なプログラムと見せかけて,インストール及び実行させることによって,利用者が意図しない情報の破壊や漏えいを行うプログラム
- 1:クロスサイトスクリプティング, 2:トロイの木馬, 3:ボット
- 1:クロスサイトスクリプティング, 2:ボット 3:トロイの木馬
- 1:標的型攻撃, 2:クロスサイトスクリプティング, 3:トロイの木馬
- 1:標的型攻撃, 2:トロイの木馬, 3:クロスサイトスクリプティング
リスクマネジメント
1. リスクマネジメントとは
会社の活動に伴って発生するあらゆるリスクを管理し、そのリスクによる損失を最小の費用で食い止めるためのプロセスです。
組織全体のあらゆるリスクが対象となります。
なぜ必要なの?
全てのリスクに完璧な対策をしようとすると、莫大な費用がかかります。
「どのリスクが危険か」「どれから対策すべきか」を分析し、限られた予算(経営資源)で最大の効果を得るために行います。
2. リスクマネジメントのプロセス
リスクマネジメントは以下の順番で行われます。特に「リスクアセスメント」の範囲(特定・分析・評価)が重要です。
3. 4つのリスク対応策
「リスク対応」のフェーズでは、リスクに対して以下の4つの方法のいずれかを選択します。
| 対応策 | 説明 | 具体例 |
|---|---|---|
| リスク回避 | 要因そのものを停止・変更し、リスクが発生する可能性を取り去ること。 |
・個人情報を扱うサービス自体をやめる。 ・Web公開をやめる。 |
| リスク低減 |
対策を講じて、問題発生の確率や被害を「下げる」こと。 (最も一般的なセキュリティ対策) |
・情報を暗号化する。 ・ウイルス対策ソフトを入れる。 ・入退室管理を行う。 |
| リスク移転 | リスク(金銭的負担など)を他社などに移すこと。 |
・サイバー保険に加入する。 ・業務を専門業者に委託する。 |
| リスク受容 (保有) |
対策を行わず、そのまま受け入れること。 (対策費用 > 被害額 の場合など) |
・対策コストが高すぎるため、発生時は諦めて損害を被る。 |
過去問演習(リスクマネジメント)
ISMSのリスクアセスメントにおいて,最初に行うものはどれか。
- リスク対応
- リスク特定
- リスク評価
- リスク分析
情報セキュリティにおけるリスクアセスメントの説明として,適切なものはどれか。
- PCやサーバに侵入したウイルスを,感染拡大のリスクを抑えながら駆除する。
- 識別された資産に対するリスクを分析,評価し,基準に照らして対応が必要かどうかを判断する。
- 事前に登録された情報を使って,システムの利用者が本人であることを確認する。
- 情報システムの導入に際し,費用対効果を算出する。
情報セキュリティのリスクマネジメントにおけるリスク対応を,リスクの移転,回避,受容及び低減の四つに分類するとき,リスクの低減の例として,適切なものはどれか。
- インターネット上で,特定利用者に対して,機密に属する情報の提供サービスを行っていたが,情報漏えいのリスクを考慮して,そのサービスから撤退する。
- 個人情報が漏えいした場合に備えて,保険に加入する。
- サーバ室には限られた管理者しか入室できず,機器盗難のリスクは低いので,追加の対策は行わない。
- ノートPCの紛失,盗難による情報漏えいに備えて,ノートPCのHDDに保存する情報を暗号化する。
ISMSにおけるリスク分析に関する記述として,適切なものはどれか。
- 異なる情報資産について,脅威と脆弱性のレベルが同じであれば,その資産価値が小さいほどリスク値は大きくなる。
- システムの規模や重要度にかかわらず,全てのリスクを詳細に分析しなければならない。
- 電子データは分析の対象とするが,紙媒体のデータは対象としない。
- リスクの内容は業界や業種によって異なることから,対象とする組織に適した分析手法を用いる。
ISMSにおける情報セキュリティリスクアセスメントでは,リスクの特定,分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。
- a あらかじめ定めた基準によって,分析したリスクの優先順位付けを行う。
- b 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。
- c リスクが顕在化したときに,対応を実施するかどうかを判断するための基準を定める。
- a
- a,b
- b
- c
情報セキュリティのリスクマネジメントにおいて,リスク移転,リスク回避,リスク低減,リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。
- リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。
- リスク特定において,保有資産の使用目的を分類したものであり,マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は,リスク低減に分類される。
- リスク評価において,リスクの評価方法を分類したものであり,管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは,リスク回避に分類される。
- リスク分析において,リスクの分析手法を分類したものであり,管理対象の資産がもつ脆弱性を客観的な数値で表す手法は,リスク保有に分類される。
次の作業a~dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
- a リスク特定
- b リスク分析
- c リスク評価
- d リスク対応
- a,b
- a,b,c
- b,c,d
- c,d
情報セキュリティマネジメント
1. ISMSとPDCA
情報セキュリティマネジメントとは、情報セキュリティの確保に組織的・体系的に取り組むこと(管理すること)です。
リスクマネジメントの一部であり、経営資源の「情報」に対するリスクを扱います。
組織全体で情報セキュリティを向上させるために、「情報の正しい取り扱いと管理方法を決めた仕組み」のことです。
機密性・完全性・可用性の3つを、コストパフォーマンスを考慮してバランスよく維持・改善します。
ISMSにおけるPDCAサイクル
脅威は常に変化するため、一度対策して終わりではなく、PDCAサイクルで絶えず改善を行います。
| Phase | 内容 | ISMSでの実施事項 |
|---|---|---|
| P (Plan) | 計画 | ISMSの確立(リスクアセスメント、ポリシー策定など) |
| D (Do) | 実行 | ISMSの導入・運用(対策の実施) |
| C (Check) | 点検 | ISMSの監視・レビュー(監査、評価) |
| A (Act) | 処置 | ISMSの維持・改善(是正処置、見直し) 試験によく出る! |
2. 情報セキュリティポリシ
組織のセキュリティに関する取り組みや対策をまとめた文書です。
「情報セキュリティポリシ」と呼びます。
| 文書名 | 内容 | 策定者 | 公開範囲 |
|---|---|---|---|
| 基本方針 |
経営者の「取り組むぞ!」という意思表明。 目標や取り組み姿勢を示す。 |
経営者 経営層 |
全従業員 +社外(利害関係者) |
| 対策基準 |
「何をするのか」というルール集。 就業規則などの規定類。 |
経営層 管理者 |
全従業員 +社外(利害関係者) |
| 実施手順 |
「どうやるのか」という具体的なマニュアル。 詳細な手順書。 |
各部門 | 公開しない ※攻撃のヒントになるため |
3. 情報セキュリティの三大特性 (CIA)
ISMSで維持・管理すべき重要な3つの要素です。
許可された人だけがアクセスできる
- × USB紛失
- × 不正アクセスによる漏えい
- × 盗聴
正確で、改ざん・欠落がない
- × Web改ざん
- × 誤ったデータのまま運用
必要な時にいつでも使える
- × DoS攻撃で停止
- × 故障や停電で停止
- × ケーブル切断
※これらはトレードオフ(あちらを立てればこちらが立たず)の関係になることがあります。
その他の特性
- 真正性:なりすましではないこと(本物であること)の証明。
- 責任追跡性:誰が何をしたか(ログなど)を追跡できること。
- 否認防止:「やってない」と言わせないこと。
- 信頼性:処理が確実に行われること。
4. その他
不正のトライアングル
人が不正を働く3つの条件。「機会」「動機」「正当化」。
(できる環境)
(プレッシャー)
(言い訳)
シャドーIT
会社の許可を得ずに私物のPCやスマホ、クラウドサービスを業務利用すること。
管理の目が届かず、情報漏えいのリスクになります。
※許可を得て使うのは BYOD (Bring Your Own Device) です。
過去問演習(情報セキュリティマネジメント)
PDCAモデルに基づいてISMSを運用している組織において,A(Act)で実施することの例として,適切なものはどれか。
- 業務内容の監査結果に基づいた是正処置として,サーバの監視方法を変更する。
- サーバ管理者の業務内容を第三者が客観的に評価する。
- サーバ室内の情報資産を洗い出す。
- サーバの動作を定められた運用手順に従って監視する。
PDCAモデルのA(Act)に相当するプロセスで実施するものとして,適切なものはどれか。
- 運用状況の監視や運用結果の測定及び評価で明らかになった不備などについて,見直しと改善策を決定する。
- 運用状況の監視や運用結果の測定及び評価を行う。
- セキュリティポリシーの策定や組織内の体制の確立,セキュリティポリシーで定めた目標を達成するための手順を策定する。
- セキュリティポリシーの周知徹底やセキュリティ装置の導入などを行い,具体的に運用する。
運用しているサーバのソフトウェアに対する最新の修正プログラムの有無を,定められた運用手順に従って毎日調べる業務は,PDCAのどのフェーズか。
- P(Plan)
- D(Do)
- C(Check)
- A(Act)
情報セキュリティポリシー策定で行う作業の実施順序として,適切なものはどれか。
a 責任者決定, b 基本方針策定, c 資産洗い出し, d リスク分析
- a → b → c → d
- a → b → d → c
- b → a → c → d
- b → a → d → c
基本方針,対策基準,実施手順に関する説明のうち,適切なものはどれか。
- 基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
- 実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
- 対策基準は,ISMSに準拠した情報セキュリティポリシーを策定するための文書の基準を示したものである。
- 対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
基本方針,対策基準及び実施手順の説明のうち,適切なものはどれか。
- 基本方針は,経営者が作成した対策基準や実施手順に従って,従業員が策定したものである。
- 基本方針は,情報セキュリティ事故が発生した場合に,経営者が取るべき行動を記述したマニュアルのようなものである。
- 実施手順は,対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものである。
- 対策基準は,基本方針や実施手順に何を記述すべきかを定めて,関係者に周知しておくものである。
ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。
- 企業の現状とは切り離して,目標とする理想形を記述するのがよい。
- 周知は情報セキュリティ担当者だけに限定するのがよい。
- トップマネジメントが確立しなければならない。
- 適用範囲が企業全体であっても,部門単位で制定するのがよい。
情報セキュリティ方針に関する記述として,適切なものはどれか。
- 一度定めた内容は,運用が定着するまで変更してはいけない。
- 企業が目指す情報セキュリティの理想像を記載し,その理想像に近づくための活動を促す。
- 企業の情報資産を保護するための重要な事項を記載しているので,社外に非公開として厳重に管理する。
- 自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。
ISMSにおける情報セキュリティ方針の説明として,適切なものはどれか。
- 個人情報を取り扱う事業者が守るべき義務を規定するものである。
- 情報管理者が情報セキュリティを確保するために実施する具体的な手順を示すものである。
- 情報セキュリティに対する組織の意図を示し,方向付けをするものである。
- 保護すべき情報を管理しているサーバのセキュリティの設定値を規定するものである。
機密性,完全性及び可用性に関する記述のうち,最も適切なものはどれか。
- 可用性を確保することは,利用者が不用意に情報漏えいをしてしまうリスクを下げることになる。
- 完全性を確保する方法の例として,システムや設備を二重化して利用者がいつでも利用できるような環境を維持することがある。
- 機密性と可用性は互いに反する側面をもっているので,実際の運用では両者をバランスよく確保することが求められる。
- 機密性を確保する方法の例として,データの滅失を防ぐためのバックアップや誤入力を防ぐための入力チェックがある。
機密性,完全性及び可用性のうち,特に完全性の向上を目的とした取組として,最も適切なものはどれか。
- サーバをデュプレックスシステムで構成して運用する。
- システムの稼働率の向上策を検討する。
- システムの利用開始時にユーザー認証を求める。
- 情報の改ざんを防止する対策を施す。
3要素(機密性,完全性,可用性)と対策a~cの適切な組合せはどれか。
a:アクセス制御, b:デジタル署名, c:ディスク二重化
- a:可用性, b:完全性, c:機密性
- a:可用性, b:機密性, c:完全性
- a:完全性, b:機密性, c:可用性
- a:機密性, b:完全性, c:可用性
情報セキュリティとは,情報の機密性,完全性及び 「a」 を維持することである。さらに,真正性,責任追跡性,否認防止, 「b」 などの特性を維持することを含める場合もある。
- a:可用性, b:信頼性
- a:可用性, b:保守性
- a:保全性, b:信頼性
- a:保全性, b:保守性
シャドーITの例として,適切なものはどれか。
- 会社のルールに従い,災害時に備えて情報システムの重要なデータを遠隔地にバックアップした。
- 他の社員がパスワードを入力しているところをのぞき見て入手したパスワードを使って,情報システムにログインした。
- 他の社員にPCの画面をのぞかれないように,離席する際にスクリーンロックを行った。
- データ量が多く電子メールで送れない業務で使うファイルを,会社が許可していないオンラインストレージサービスを利用して取引先に送付した。
暗号技術
1. 暗号化と共通鍵暗号方式
暗号技術とは、情報を他人には読めない状態(暗号文)にし、必要な相手だけが元の状態(平文)に戻せるようにする技術です。
平文を暗号文にすることを「暗号化」、暗号文を平文に戻すことを「復号」といいます。
共通鍵暗号方式
暗号化と復号で同じ鍵(共通鍵)を使う方式です。
家の玄関の鍵と同じで、閉める鍵と開ける鍵が一緒です。
太郎
平文
平文
花子
デメリット: 相手に「鍵」を安全に渡す方法がない(鍵配送問題)。
2. 公開鍵暗号方式
公開鍵と秘密鍵の2つの鍵(ペア)を使う方式です。
共通鍵暗号の「鍵を渡すのが危険」という欠点を解消するために生まれました。
「暗号化」に使う。
(例:郵便ポスト。誰でも投函できる)
「復号」に使う。
(例:ポストの鍵。持ってる人しか開けられない)
公開鍵で暗号化したものは、ペアの秘密鍵でしか復号できない!
太郎
花子
デメリット: 処理が遅い。誰でも暗号化できるので「なりすまし」のリスクがある。
ハイブリッド暗号方式
共通鍵と公開鍵のイイとこ取り。
1. 平文は高速な共通鍵で暗号化する。
2. その「共通鍵」自体を、相手の公開鍵で暗号化して送る。
高速かつ安全に通信できる!
3. ハッシュ関数
任意の長さのデータから、固定長の不規則な値(ハッシュ値)を生成する関数です。
データを「要約」するようなイメージで、主に改ざん検知などに使われます。
ハッシュ関数の特徴
- 同じデータからは常に同じハッシュ値が生成される。
- データが少しでも変わると、ハッシュ値は全く異なるものになる。
- ハッシュ値の長さは、元のデータの長さに関わらず常に一定(固定長)である。
- ハッシュ値から元のデータを復元することはできない(不可逆性)。
4. デジタル署名とPKI
デジタル署名
データの「改ざん」と「なりすまし」を検知する技術です。
公開鍵暗号の仕組みを逆に使います。
実際の署名作成では、データ全体を暗号化すると処理に時間がかかるため、データをハッシュ関数で要約した短いデータ(メッセージダイジェスト)を作成し、それを秘密鍵で暗号化します。
送信者の秘密鍵で暗号化(署名作成) 送信者の公開鍵で復号(署名検証)
「秘密鍵を持っている本人(太郎)しか作れないデータ」を作れるため、本人が送ったこと(真正性)が証明できます。
また、データが少しでも変わると復号できなくなる(ハッシュ値が一致しなくなる)ため、改ざんも検知できます。
認証局 (CA) と PKI
しかし、もし「太郎の公開鍵」と嘘をついて、次郎が自分の公開鍵をばら撒いたらどうなるでしょう?
次郎が太郎になりすまして署名できてしまいます。
そこで登場するのが、認証局 (CA: Certification Authority) です。
「この公開鍵は間違いなく太郎さんのものです」と証明する「電子証明書」を発行してくれる、ネット上の役所のような第三者機関です。
PKI (Public Key Infrastructure: 公開鍵基盤)
公開鍵暗号やデジタル署名を安全に使うために、認証局(CA)などの仕組みを使って、公開鍵の持ち主を保証する社会的基盤(インフラ)のことです。
CRL (Certificate Revocation List: 証明書失効リスト)
有効期限内であっても、秘密鍵の漏えいなどにより無効となった電子証明書の一覧(リスト)のことです。
認証局が発行します。
過去問演習(暗号技術)
公開鍵暗号方式で4人が相互に通信する場合、全部で8個の鍵が必要。非公開にする鍵は何個か。
- 1
- 2
- 4
- 6
公開鍵暗号方式を利用した処理と使用する鍵の組合せとして適切なものはどれか。
| 処理 | 使用する鍵 |
|---|---|
| a: 電子メールへの署名付与 | 送信者の公開鍵 |
| b: 署名の検証 | 送信者の公開鍵 |
| c: Webサーバへの暗号化通信 | Webサーバの公開鍵 |
- a, b
- a, c
- b
- b, c
Aさんが受け取ったメッセージのうち、復号して読めるものはどれか。
- a: AとBの共通鍵で暗号化
- b: Aの公開鍵で暗号化
- c: Bの公開鍵で暗号化
- d: Bの秘密鍵で暗号化
- a, b, d
- a, c, d
- b, d
- c, d
電子メールの内容が改ざんされていないことの確認に利用するものはどれか。
- IMAP
- SMTP
- 情報セキュリティポリシー
- デジタル署名
CRL(証明書失効リスト)に掲載される条件として適切なものはどれか。
- 有効期間が満了している。
- 有効期間が無期限である。
- 有効期間内に失効している。
- 有効期間を延長している。
秘密鍵が漏えいした場合の対処として適切なものはどれか。
- そのまま再発行する
- 認証局に失効を申請する
- 有効期限切れを待つ
- そのまま使用する
PKIにおけるCA(認証局)の役割はどれか。
- 代理アクセスの実施(プロキシ)
- 不正アクセス防止(FW)
- ドメイン名の対応付け(DNS)
- 公開鍵証明書の発行や失効
メッセージダイジェストを利用したデジタル署名の記述として適切なものはどれか。
- 不正なメールサーバかを判別できる
- 送信側サーバ証明書でなりすまし検知
- 本文の暗号化も行われる
- 改ざんが行われたことを検知できる
ハッシュ関数の特徴に関する記述のa, bに入る字句はどれか。
「同じデータは [ a ] ハッシュ値に変換され、変換後のハッシュ値から元のデータを復元することが [ b ]。」
- a:都度異なる, b:できない
- a:都度異なる, b:できる
- a:常に同じ, b:できない
- a:常に同じ, b:できる
脅威への対策
1. 人的セキュリティ対策
人によって引き起こされる脅威(盗み見、紛失、誤操作など)への対策です。
のぞき見防止フィルム
PCやスマホの画面に貼ることで、正面以外からは見えなくするフィルム。
ショルダーハック(肩越し盗み見)の防止に有効です。
データの完全消去
PC廃棄時などに、データ復元ソフトでも復元できないようにする処理。
・専用ソフトでランダムデータを上書き
・物理的破壊(ドリルで穴を開ける等)
アクセス権の設定
ファイルやフォルダごとに「誰が」「何をできるか(読み取り、書き込み、実行)」を設定し、不要な人が操作できないようにします。
2. 技術的セキュリティ対策
システムやネットワークの設定・機器導入による対策です。
最も有効なのは「データのバックアップ」です。
(感染しても、バックアップから復元すれば脅迫に応じる必要がないため)
ネットワークを守る壁
| 名称 | 監視対象 | 守るもの | 防げる攻撃例 |
|---|---|---|---|
| ファイアウォール | IPアドレス、ポート | ネットワーク | ポートスキャン、不正アクセス |
| IDS / IPS | パケットの中身 | OS、ミドルウェア | DoS攻撃 |
| WAF | パケットの中身 (アプリ通信データ) |
Webアプリ | SQLインジェクション、XSS |
※UTM (Unified Threat Management):これらを1台でまとめて行う「統合脅威管理」製品。
DMZ (DeMilitarized Zone)
外部(インターネット)と内部(社内LAN)の両方から隔離された緩衝地帯。
公開Webサーバなどはここに置きます。
サニタイジング (無害化)
入力データから有害な文字(スクリプトタグなど)を除去・変換すること。
XSSやSQLインジェクション対策。
通信の暗号化・プロトコル
SSL/TLS: PCとサーバ間の通信を暗号化するプロトコル。
HTTPS: SSL/TLSを用いてHTTP通信を暗号化すること。WebブラウザとWebサーバ間の通信を守ります(URLが https://)。
無線LAN (Wi-Fi) の通信を暗号化する規格です。
古い規格「WEP」の脆弱性を解消するために作られました。PCからアクセスポイントまでの通信を暗号化します。
インターネットなどの公衆回線を、あたかも専用回線のように利用できる技術。
盗聴や改ざんを防ぎ、安全に拠点間通信やリモートアクセスが可能です。
認証技術
ワンタイムパスワード
一度しか使えない使い捨てのパスワード。
シングルサインオン (SSO)
一度の認証で、許可された複数のサーバやアプリを利用できる仕組み。
リスクベース認証
「普段と違う環境(端末や場所)」からのアクセスを高リスクと判断し、追加認証を行う方式。
システムの保護・設計・テスト
- ペネトレーションテスト:実際にシステムを攻撃してみて、弱点がないか検証するテスト。
- 耐タンパ性:システムの内部データ(ICチップなど)の解析のしにくさ。「タンパ(Tamper)」は改ざんの意。
- セキュリティバイデザイン:企画・設計段階からセキュリティを組み込むこと。後から対策するよりコストが大幅に下がる。
- セキュアブート:PC起動時にOSの署名を検証し、不正なOSやマルウェアの実行を防ぐ技術。
- ブロックチェーン:取引履歴を鎖のように繋ぎ、改ざんを困難にする技術。暗号資産などで利用(分散型台帳)。
高度なセキュリティ技術
PCなどの端末(エンドポイント)での挙動を監視し、感染後の対応を支援する。
機密データの紛失や外部への持ち出しを監視・防止するシステム。
様々な機器のログを一元管理・分析し、脅威を検知する。
犯罪捜査などのために、デジタルデータを保全・解析すること。
PCを社内LANにつなぐ前に検査し、安全な場合のみ接続させる仕組み。
PCのマザーボード等に搭載される、鍵管理などを行うセキュリティチップ。
3. 物理的セキュリティ対策
施設への侵入や機器の破壊・盗難を防ぐ対策です。
バイオメトリクス認証 (生体認証)
指紋、静脈、虹彩(目の模様)、顔など、身体的特徴を利用した認証。
紛失や盗難の恐れがなく、なりすましが困難です。
- 本人拒否率:本人なのに「ダメ」と言われる確率。低いと「便利」。
- 他人受入率:他人なのに「OK」と言われる確率。低いと「安全」。
多要素認証 (2要素認証)
以下の3つの要素のうち、異なる2つ以上を組み合わせて認証する方法です。
パスワード
暗証番号
スマホ
ICカード
指紋
顔
※「パスワード」と「秘密の質問」は両方「記憶」なので、2要素認証にはなりません(2段階認証)。
その他の用語
- 入退室管理
ICカード等で記録 - クリアデスク
机に書類を放置しない - アンチパスバック
共連れ入室の防止
過去問演習(脅威への対策)
a~dのうち,ファイアウォールの設置によって実現できる事項として,適切なものだけを全て挙げたものはどれか。
a 外部に公開するWebサーバやメールサーバを設置するためのDMZの構築
b 外部のネットワークから組織内部のネットワークへの不正アクセスの防止
c サーバルームの入り口に設置することによるアクセスを承認された人だけの入室
d 不特定多数のクライアントからの大量の要求を複数のサーバに動的に振り分けることによるサーバ負荷の分散
- a,b
- a,b,d
- b,c
- c,d
ネットワークやホストを監視することによって,不正アクセスや不審な通信を発見し,報告する仕組みはどれか。
- DMZ
- IDS
- アンチパスバック
- ボット
外部と通信するメールサーバをDMZに設置する理由として,適切なものはどれか。
- 機密ファイルが添付された電子メールが,外部に送信されるのを防ぐため
- 社員が外部の取引先へ送信する際に電子メールの暗号化を行うため
- メーリングリストのメンバーのメールアドレスが外部に漏れないようにするため
- メールサーバを踏み台にして,外部から社内ネットワークに侵入させないため
セキュリティ対策として使用されるWAFの説明として適切なものはどれか。
- ECなどのWebサイトにおいて,Webアプリケーションソフトウェアの脆弱性を突いた攻撃からの防御や,不審なアクセスのパターンを検知する仕組み
- インターネットなどの公共のネットワークを用いて,専用線のようなセキュアな通信環境を実現する仕組み
- 情報システムにおいて,機密データを特定して監視することによって,機密データの紛失や外部への漏えいを防止する仕組み
- ファイアウォールを用いて,インターネットと企業の内部ネットワークとの間に緩衝領域を作る仕組み
HTTPSで接続したWebサーバとブラウザ間の暗号化通信に利用されるプロトコルはどれか。
- SEO
- SPEC
- SQL
- SSL/TLS
PCやスマートフォンのブラウザから無線LANのアクセスポイントを経由して,インターネット上のWebサーバにアクセスする。このときの通信の暗号化に利用するSSL/TLSとWPA2に関する記述のうち,適切なものはどれか。
- SSL/TLSの利用の有無にかかわらず,WPA2を利用することによって,ブラウザとWebサーバ間の通信を暗号化できる。
- WPA2の利用の有無にかかわらず,SSL/TLSを利用することによって,ブラウザとWebサーバ間の通信を暗号化できる。
- ブラウザとWebサーバ間の通信を暗号化するためには,PCの場合はSSL/TLSを利用し,スマートフォンの場合はWPA2を利用する。
- ブラウザとWebサーバ間の通信を暗号化するためには,PCの場合はWPA2を利用し,スマートフォンの場合はSSL/TLSを利用する。
無線LANの暗号化方式であり,WEPでは短い時間で暗号が解読されてしまう問題が報告されたことから,より暗号強度を高めるために利用が推奨されているものはどれか。
- ESSID
- HTTPS
- S/MIME
- WPA2
次の記述a~cのうち,VPNの特徴として,適切なものだけを全て挙げたものはどれか。
a アクセスポイントを経由しないで,端末同士が相互に無線通信を行うことができる。
b 公衆ネットワークなどを利用するが,あたかも自社専用ネットワークのように使うことができる。
c ネットワークに接続することによって,PCのセキュリティ状態を検査することができる。
- a
- a,c
- b
- c
シングルサインオンの特徴として,適切なものはどれか。
- データの処理や保存などがサーバ側で行われ,端末内にデータが残らないので,情報漏えい対策として効果的である。
- データを保存するときに,データは複数のディスクに自動的に分散配置されるので,可用性が高い。
- パスワードに加えて指紋や虹彩による認証を行うので,機密性が高い。
- 利用者は最初に1回だけ認証を受ければ,許可されている複数のサービスを利用できるので,利便性が高い。
IoTデバイスにおけるセキュリティ対策のうち,耐タンパ性をもたせる対策として,適切なものはどれか。
- サーバからの接続認証が連続して一定回数失敗したら,接続できないようにする。
- 通信するデータを暗号化し,データの機密性を確保する。
- 内蔵ソフトウェアにオンラインアップデート機能をもたせ,最新のパッチが適用されるようにする。
- 内蔵ソフトウェアを難読化し,解読に要する時間を増大させる。
IoTシステムなどの設計,構築及び運用に際しての基本原則とされ,システムの企画,設計段階から情報セキュリティを確保するための方策を何と呼ぶか。
- セキュアブート
- セキュリティバイデザイン
- ユニバーサルデザイン
- リブート
複数の取引記録をまとめたデータを順次作成するときに,そのデータに直前のデータのハッシュ値を埋め込むことによって,データを相互に関連付け,取引記録を矛盾なく改ざんすることを困難にすることで,データの信頼性を高める技術はどれか。
- LPWA
- SDN
- エッジコンピューティング
- ブロックチェーン
従業員に貸与するスマートフォンなどのモバイル端末を遠隔から統合的に管理する仕組みであり,セキュリティの設定や,紛失時にロックしたり初期化したりする機能をもつものはどれか。
- DMZ
- MDM
- SDN
- VPN
システムの利用者認証に関する記述のうち,適切なものはどれか。
- 1回の認証で,複数のサーバやアプリケーションなどへのログインを実現する仕組みを,チャレンジレスポンス認証という。
- 指紋や声紋など,身体的な特徴を利用して本人認証を行う仕組みを,シングルサインオンという。
- 情報システムが利用者の本人確認のために用いる,数字列から成る暗証番号のことを,PINという。
- 特定の数字や文字の並びではなく,位置についての情報を覚えておき,認証時には画面に表示された表の中で,自分が覚えている位置に並んでいる数字や文字をパスワードとして入力する方式を,多要素認証という。
バイオメトリクス認証に関する記述として,適切なものはどれか。
- 指紋や静脈を使用した認証は,のぞき見行為によって容易に認証情報が漏えいする。
- 装置が大型なので,携帯電話やスマートフォンには搭載できない。
- 他人を本人と誤って認証してしまうリスクがない。
- 筆跡やキーストロークなどの本人の行動的特徴を利用したものも含まれる。
バイオメトリクス認証で利用する身体的特徴に関する次の記述中のa,bに入れる字句の適切な組合せはどれか。
バイオメトリクス認証における本人の身体的特徴としては,aが難しく,bが小さいものが優れている。
- a:偽造 b:経年変化
- a:偽造 b:個人差
- a:判別 b:経年変化
- a:判別 b:個人差
バイオメトリクス認証の他人受入率と本人拒否率に関する次の記述中のa,bに入れる字句の適切な組合せはどれか。
バイオメトリクス認証の認証精度において,他人受入率を低く抑えようとするとaが高くなり,本人拒否率を低く抑えようとするとbが高くなる。
- a:安全性 b:可用性
- a:本人拒否率 b:他人受入率(※設問の文脈により解答)
- a:利便性 b:安全性
- a:利便性 b:可用性
個人の認証に用いる要素を,知識,所有物及びバイオメトリクスの三つに分類したとき,所有物を要素として用いた認証の例はどれか。
- SMSを用いた認証
- 虹彩の特徴を用いた認証
- 筆跡や筆圧,スピードなど,文字を書くときの特徴を用いた認証
- 本人が事前に設定した質問とそれに対する答えを用いた認証
認証に用いられる情報a~dのうち,バイオメトリクス認証に利用されるものだけを全て挙げたものはどれか。
a PIN(Personal Identification Number)
b 虹彩
c 指紋
d 静脈
- a,b,c
- b,c
- b,c,d
- d
二要素認証の説明として,最も適切なものはどれか。
- 所有物,記憶及び生体情報の3種類のうちの2種類を使用して認証する方式
- 人間の生体器官や筆跡などを使った認証で,認証情報の2か所以上の特徴点を使用して認証する方式
- 文字,数字及び記号のうち2種類以上を組み合わせたパスワードを用いて利用者を認証する方式
- 利用者を一度認証することで二つ以上のシステムやサービスなどを利用できるようにする方式
情報セキュリティにおける認証要素は3種類に分類できる。認証要素の3種類として,適切なものはどれか。
- 個人情報,所持情報,生体情報
- 個人情報,所持情報,知識情報
- 個人情報,生体情報,知識情報
- 所持情報,生体情報,知識情報
情報セキュリティ対策を,技術的対策,人的対策及び物理的対策の三つに分類したとき,物理的対策の例として適切なものはどれか。
- PCの不正使用を防止するために,PCのログイン認証にバイオメトリクス認証を導入する。
- サーバに対する外部ネットワークからの不正侵入を防止するために,ファイアウォールを設置する。
- セキュリティ管理者の不正や作業誤りを防止したり発見したりするために,セキュリティ管理者を複数名にして,互いの作業内容を相互チェックする。
- セキュリティ区画を設けて施錠し,鍵の貸出し管理を行って不正な立入りがないかどうかをチェックする。
重要な情報を保管している部屋がある。この部屋への不正な入室及び室内での重要な情報への不正アクセスに関する対策として,最も適切なものはどれか。
- 警備員や監視力メラによって,入退室確認と室内での作業監視を行う。
- 室内では,入室の許可証をほかの人から見えない場所に着用させる。
- 入退室管理は有人受付とはせず,カード認証などの電子的方法だけにする。
- 部屋の存在とそこで保管している情報を,全社員に周知する。
情報セキュリティにおける物理的及び環境的セキュリティ管理策であるクリアデスクを職場で実施する例として,適切なものはどれか。
- 従業員に固定された机がなく,空いている机で業務を行う。
- 情報を記録した書類などを机の上に放置したまま離席しない。
- 机の上のLANケーブルを撤去して,暗号化された無線LANを使用する。
- 離席時は,PCをパスワードロックする。
サーバ室など,セキュリティで保護された区画への入退室管理において,一人の認証で他者も一緒に入室する共連れの防止対策として,利用されるものはどれか。
- アンチパスバック
- コールバック
- シングルサインオン
- バックドア
組織と法規
1. セキュリティ組織・制度
| 名称 | 役割 |
|---|---|
| CSIRT | 組織内のセキュリティ事故対応チーム(シーサート)。 |
| SOC | 24時間体制でネットワークやデバイスを監視するセンター。 |
| J-CSIP | サイバー攻撃の情報をIPAが集約し、参加組織間で共有するイニシアティブ。 |
| J-CRAT | IPAの「サイバーレスキュー隊」。標的型攻撃の被害低減を支援する。 |
| ISMAP | 政府情報システムのためのクラウドサービスセキュリティ評価制度。 |
2. 法規とガイドライン
- 個人情報保護法:個人情報の適正な取扱いを定めた法律。
- プライバシーマーク (Pマーク):個人情報を適切に取り扱っている事業者を認定する制度。
- PCI DSS:クレジットカード会員データを保護するためのセキュリティ基準。
- サイバーセキュリティ経営ガイドライン:経営者が認識すべき3原則などをまとめたもの(経産省/IPA)。
過去問演習(組織と法規)
CSIRTとして行う活動の例として,最も適切なものはどれか。
- OSやアプリのパッチ定期適用
- BCPの策定
- 事故発生時の影響調査・対策支援
- 入退出記録の監査
J-CRATに関する記述として適切なものは?
- 24時間監視サービス (SOC)
- 主体となって対応方針策定
- 情報共有の場 (J-CSIP)
- 標的型サイバー攻撃の被害低減支援
個人情報保護法で同意なし提供が許される行為は?
a: 意識不明者の家族連絡(緊急)
b: 保険勧誘のためのリスト提供
c: 捜査機関への法令に基づく提供
- a
- a, c
- b, c
- c
PCI DSSの説明として適切なものは?
- クレジットカード業界のセキュリティ基準
- セキュリティチップ (TPM)
- 事故対応組織 (CSIRT)
- 侵入検知・防止 (IDS/IPS)