情報処理のWeb教科書―IPA情報処理試験対策のお供に!

情報セキュリティとは―知識を整理。IPAの情報処理試験の問題など

トップ 情報処理の知識体系 テクノロジ系 技術要素 情報セキュリティ

情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

目次

この記事の目次です。

1. 情報セキュリティとは

2. 情報セキュリティ管理

3. セキュリティ技術評価

4. 情報セキュリティ対策

5. セキュリティ実装技術

もっと知識を広げるための参考

更新履歴

1. 情報セキュリティとは

情報セキュリティとは、企業や組織の重要な財産(資産)である情報(情報資産)のセキュリティを確保し、維持することです。

以下では、情報セキュリティとは何か詳しく理解していくための知識をまとめています。IPAの情報処理試験の問題の解説も各所に記載しています。

情報セキュリティの意味、定義

情報セキュリティということばの意味の定義ですが、ISMS 27000およびJIS Q 27000では、情報セキュリティを 「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追及性、否認防止、信頼性などの特性を維持することを含めることである」 と定義しています。

情報セキュリティの目的と考え方

情報セキュリティの目的は、情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を確保、 維持することによりさまざまな脅威から情報システム及び情報を保護し、情報システムの信頼性を高めることです。

完全性の向上を目的とした取組み

情報セキュリティにおける完全性の向上を目的とした取組みとしては、情報の改ざんを防止する対策を施す取組みがあげられます。

真正性(Authenticity)

「エンティティは、それが主張するとおりのものであるという特性」と定義されます。

JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)

否認防止(NonRepudiation)

ある利用者があるシステムを利用したという事実が証明可能であることを 「否認防止の特性」と定義されます。

JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)

情報セキュリティの目的と考え方に関連したIPA情報処理試験の過去問題

以下では情報セキュリティの目的と考え方に関連したIPA情報処理試験の過去問とその解説をまとめています。

情報セキュリティの重要性

社会のネットワーク化に伴い、企業にとって情報セキュリティの水準の高さが企業評価の向上につながること、情報システム関連の事故が事業の存続を脅かすことから、情報セキュリティは重要です。

脅威

情報セキュリティを考えるうえで、まずは、どのような脅威があるか理解しておく必要があります。

脅威の種類、マルウェアとコンピュータウイルスの種類を見ていきます。 またPCやスマホの感染時の駆除方法も補足していきます。

詳細

脆弱性

脆弱性とは、もろくて弱い性質や性格を意味する言葉です。 読み方は「ぜいじゃくせい」、英訳は「vulnerability」です。 特に情報セキュリティでよく使われる言葉です。 情報セキュリティにおける脆弱性の意味、種類についてまとめています。

情報システムの情報セキュリティに関する欠陥、企業、組織、個人に対する行動規範の不徹底、未整備という脅威に対する不備などの脆弱性に関する知識について見ていきます。

詳細

不正のメカニズム

不正行為が発生する要因、内部不正による情報セキュリティ事故・事件の発生を防止するための環境整備が必要です。

不正のトライアングル

企業での内部不正などの不正が発生するときには、 “不正のトライアングル”と呼ばれる3要素の全てがそろって存在すると考えられています。 その“不正のトライアングル”を構成する3要素は、機会、正当化、動機です。

不正のメカニズムに関連したIPA情報処理試験の過去問題

以下では不正のメカニズムに関連したIPA情報処理試験の過去問とその解説をまとめています。

攻撃者の種類、攻撃の動機

サイバーテロリズムなど悪意をもった攻撃者の種類および攻撃者が不正・犯行・攻撃を行う主な動機についてみていきます。

サイバーテロ

サイバーテロは、重要インフラの基幹システムに対する電子的攻撃または重要インフラの基幹システムにおける重大な障害で 電子的攻撃による可能性が高いものを言います。

攻撃者の種類、攻撃の動機に関連した参考書籍

攻撃者の種類、攻撃の動機に関連した参考書籍です。目次や参考いたしました内容をまとめています。

攻撃手法

情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。 またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。

詳細

情報セキュリティに関する技術

情報セキュリティに関する技術をテーマに、共通鍵暗号方式、指紋認証など、暗号/認証技術を解説していきます。

暗号技術

脅威を防止するために用いられる暗号技術の活用、暗号化の種類、代表的な暗号方式の仕組み、特徴など、暗号技術についてまとめています。

暗号化方式の種類

暗号化方式には、暗号化と復号で同じ鍵を使う共通鍵暗号方式と、異なる鍵を用いる公開鍵暗号方式があります。 SHA-256などのハッシュ関数は復号できないので暗号化方式としては分類されません。

共通鍵暗号方式

共通鍵暗号方式とは、英語でCommon key cryptosystem。暗号化と復号に同じ鍵を用いる方法です。 共通鍵暗号方式の特徴と、ブロック暗号のDES、AES、ストリーム暗号のKCipher-2などの代表的な暗号の例についてまとめています。

詳細

公開鍵暗号方式

公開鍵暗号方式とは、英語でPublic Key Cryptography。 公開鍵と秘密鍵の対になる2つの鍵を使ってデータの暗号化/復号化を行う暗号方式です。 秘密鍵やRSAなどの代表的な暗号の例についてまとめています。

詳細

S/MIME

S/MIMEとは電子証明書を使用して、メールソフト間で電子メールを安全に送受信するための規格です。読み方や意味、暗号方式などS/MIMEについて説明しています。

詳細

ハイブリッド暗号方式

ハイブリッド暗号方式とは、 共通鍵暗号方式と公開鍵暗号方式を組み合わせた方式で、OpenPGPやS/MIMEなどで用いられる暗号方式です。

ハイブリッド暗号方式の特徴

ハイブリッド暗号方式の特徴は、公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって鍵管理コストと処理性能の両立を図る点です。

ハイブリッド暗号方式に関連したIPA情報処理試験の過去問題

以下ではハイブリッド暗号方式に関連したIPA情報処理試験の過去問とその解説をまとめています。

ハッシュ関数

ハッシュ関数とは、データから一定長のメッセージダイジェストを生成する1方向関数のことをいいます。 暗号という名称を冠していませんが、暗号技術の一種として重要な役割を果たしています。

衝突発見困難性

衝突発見困難性とは、ハッシュ値が一致する二つのメッセージの探索に要する計算量の大きさによる、探索の困難性のことをいいます。

SHA-256

SHA-256とは、ハッシュ関数の一つで最大の計算量が2の256乗とハッシュ関数です。

ハッシュ関数に関連したIPA情報処理試験の過去問題

以下ではハッシュ関数に関連したIPA情報処理試験の過去問とその解説をまとめています。

暗号アルゴリズムの危殆化

計算能力の向上などによって、鍵の推定が可能になり、暗号の安全性が低下することを暗号アルゴリズムの危殆化といいます。

暗号アルゴリズムの危殆化に関連したIPA情報処理試験の過去問題

以下では暗号アルゴリズムの危殆化に関連したIPA情報処理試験の過去問とその解説をまとめています。

認証技術

XMLデジタル署名、メッセージ認証符号、チャレンジレスポンス認証方式など、 認証の種類、仕組み、特徴、脅威を防止するためにどのような認証技術が用いられるか、認証技術が何を証明するかなど、認証技術についてまとめています。

詳細

利用者認証

アクセス管理、samlの読み方、リスクベース、マトリックス認証など利用者認証についてまとめています。

詳細

生体認証技術

生体認証(英語でBiometric authentication)は、別名バイオメトリックス認証といいます。 生体認証とはどのような認証か、種類や特徴、ディメリットなどをまとめています。

詳細

公開鍵基盤

公開鍵基盤とは、PKI(Publuic Key Infrastructure)ともいい、公開鍵暗号技術に基づき、電子証明書(ディジタル証明書)やCAによって実現される相互認証の基盤です。 電子証明書とは何か、PKIの仕組み、特徴、活用場面について見ていきます。

詳細

2. 情報セキュリティ管理

組織の情報セキュリティ対策を包括的かつ継続的に実施するための情報セキュリティ管理の考え方、保護対象である情報資産について見ていきます。

情報セキュリティ管理

組織の情報セキュリティ対策を包括的かつ継続的に実施するために、情報セキュリティ管理の考え方、保護対象である情報資産を理解する必要があります。

情報セキュリティ事象と情報セキュリティインシデントの関係

情報セキュリティ事象と情報セキュリティインシデントの関係は、単独又は一連の情報セキュリティ事象は、情報セキュリティインシデントに分類されます。

参考:JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)及びJIS Q 27001:2014(情報セキュリティマネジメントシステム―要求事項)

情報セキュリティ管理に関連したIPA情報処理試験の過去問題

以下では情報セキュリティ管理に関連したIPA情報処理試験の過去問とその解説をまとめています。

リスク分析と評価

情報セキュリティリスクアセスメントの評価シートなど、リスク分析と評価に関連した情報をまとめています。

詳細

情報セキュリティ諸規程(情報セキュリティポリシを含む組織内規程)

情報セキュリティ諸規程について見ていきます。

情報セキュリティポリシ

情報セキュリティポリシを、基本方針、対策基準及び実施手順の三つの文書で構成したとき、 実施手順は、対策基準として決められたことを担当者が実施できるように、 具体的な進め方などを記述したものになります。

情報セキュリティ諸規程に関連したIPA情報処理試験の過去問題

以下では情報セキュリティ諸規程に関連したIPA情報処理試験の過去問とその解説をまとめています。

情報セキュリティマネジメントシステム(ISMS)

ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。 ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。

詳細

情報セキュリティ組織・機関

不正アクセスによる被害受付の対応、再発防止のための提言、セキュリティに関する啓発活動などを行うセキュリティ機関があります。 jvn、cryptrec暗号リスト、サイバー情報共有イニシアティブなど情報セキュリティ組織・機関についてまとめています。

詳細

3. セキュリティ技術評価

セキュリティ技術評価の目的、考え方、適用方法について見ていきます。

セキュリティ評価基準

FIPS PUB 140-2、EDSA認証、CVE、CWE、CVSSなどセキュリティ評価基準について、 情報資産の不正コピーや改ざんなどを防ぐセキュリティ製品の、セキュリティ水準を知るためのセキュリティ技術評価の目的、考え方、適用方法についてまとめています。

詳細

4. 情報セキュリティ対策

情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。

詳細

5. セキュリティ実装技術

セキュリティ実装技術には、セキュアプロトコルや認証プロトコル、セキュアOSの仕組み、ネットワークセキュリティ、データベースセキュリティ、アプリケーションセキュリティなどがあります。

セキュアプロトコル

IPSec、SSL/TLS、SSHなど通信データの盗聴、不正接続を防ぐセキュアプロトコルについてまとめています。IPSecのトンネルモードやTLSハンドシェイクなどの情報も補足しています。

詳細

認証プロトコル

dnssecとは?SMTP-AUTH認証とは?など、なりすましによる不正接続、サービスの不正利用を防ぐ認証プロトコルについてまとめています。

詳細

セキュアOS

システムの開発、運用におけるセキュリティ対策やセキュリティを強化したOSである セキュアOSの仕組み、実装技術、効果などをまとめていきます。

セキュアブート

セキュアブートは、PCの起動時にOSやドライバのディジタル署名を検証し、 許可されていないものを実行しないようにすることによって、 OS起動前のマルウェアの実行を防ぐ技術です。

セキュアOSに関連したIPA情報処理試験の過去問題

以下ではセキュアOSに関連したIPA情報処理試験の過去問とその解説をまとめています。

ネットワークセキュリティ

VLAN、OP25B、ダイナミックパケットフィルタリングなどネットワークに対する不正アクセス、不正利用、サービスの妨害行為などの脅威に対するネットワークセキュリティの実装技術についてまとめています。

詳細

アプリケーションセキュリティ

アプリケーションセキュリティについて見ていきます。

Webシステムのセキュリティ対策

Webシステムのセキュリティ対策について見ていきます。

HTTPレスポンスヘッダのセキュリティ設定

HTTPレスポンスヘッダにセキュリティ対策用のパラメータがあります。 Set-Cookieのsecure、httplonlyなどHTTPレスポンスヘッダのセキュリティ設定一覧をまとめています。

詳細

脆弱性低減技術

脆弱性低減技術について見ていきます。

ファジング

ファジングは、ソフトウェアのデータの入出力に注目し、 問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける検査手法です。

脆弱性低減技術に関連したIPA情報処理試験の過去問題

以下では脆弱性低減技術に関連したIPA情報処理試験の過去問とその解説をまとめています。

もっと知識を広げるための参考

更新履歴

戻る

スポンサーリンク

情報処理の知識体系

プログラミング

各試験の問題と解説

ランダム出題・採点アプリ

スポンサーリンク