情報処理のWeb教科書―IPA情報処理試験対策のお供に!

情報セキュリティとは―知識を整理。IPAの情報処理試験の問題など

トップ 情報処理の知識体系 テクノロジ系 技術要素 情報セキュリティ

情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

目次

この記事の目次です。

1. 情報セキュリティとは

2. 情報セキュリティ管理

3. セキュリティ技術評価

4. 情報セキュリティ対策

5. セキュリティ実装技術

もっと知識を広げるための参考

更新履歴

1. 情報セキュリティとは

情報セキュリティとは、企業や組織の重要な財産(資産)である情報(情報資産)のセキュリティを確保し、維持することです。

以下では、情報セキュリティとは何か詳しく理解していくための知識をまとめています。IPAの情報処理試験の問題の解説も各所に記載しています。

情報セキュリティの意味、定義

情報セキュリティということばの意味の定義ですが、ISMS 27000およびJIS Q 27000では、情報セキュリティを 「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追及性、否認防止、信頼性などの特性を維持することを含めることである」 と定義しています。

情報セキュリティの目的と考え方

情報セキュリティの目的は、情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を確保、 維持することによりさまざまな脅威から情報システム及び情報を保護し、情報システムの信頼性を高めることです。

完全性の向上を目的とした取組み

情報セキュリティにおける完全性の向上を目的とした取組みとしては、情報の改ざんを防止する対策を施す取組みがあげられます。

真正性(Authenticity)

「エンティティは、それが主張するとおりのものであるという特性」と定義されます。

JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)

否認防止(NonRepudiation)

ある利用者があるシステムを利用したという事実が証明可能であることを 「否認防止の特性」と定義されます。

JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)

情報セキュリティの目的と考え方に関連したIPA情報処理試験の過去問題

以下では情報セキュリティの目的と考え方に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

情報セキュリティの重要性

社会のネットワーク化に伴い、企業にとって情報セキュリティの水準の高さが企業評価の向上につながること、情報システム関連の事故が事業の存続を脅かすことから、情報セキュリティは重要です。

脅威

情報セキュリティを考えるうえで、まずは、どのような脅威があるか理解しておく必要があります。

脅威の種類、マルウェアとコンピュータウイルスの種類を見ていきます。 またPCやスマホの感染時の駆除方法も補足していきます。

詳細

脆弱性

脆弱性とは、もろくて弱い性質や性格を意味する言葉です。 読み方は「ぜいじゃくせい」、英訳は「vulnerability」です。 特に情報セキュリティでよく使われる言葉です。 情報セキュリティにおける脆弱性の意味、種類についてまとめています。

情報システムの情報セキュリティに関する欠陥、企業、組織、個人に対する行動規範の不徹底、未整備という脅威に対する不備などの脆弱性に関する知識について見ていきます。

詳細

攻撃者の種類、攻撃の動機

サイバーテロリズムなど悪意をもった攻撃者の種類および攻撃者が不正・犯行・攻撃を行う主な動機についてみていきます。

サイバーテロ

サイバーテロは、重要インフラの基幹システムに対する電子的攻撃または重要インフラの基幹システムにおける重大な障害で 電子的攻撃による可能性が高いものを言います。

攻撃者の種類、攻撃の動機に関連した参考書籍

攻撃者の種類、攻撃の動機に関連した参考書籍です。目次や参考いたしました内容をまとめています。

攻撃手法

情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。 またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。

詳細

情報セキュリティに関する技術

情報セキュリティに関する技術をテーマに、共通鍵暗号方式、指紋認証など、暗号/認証技術を解説していきます。

暗号技術

脅威を防止するために用いられる暗号技術の活用、暗号化の種類、代表的な暗号方式の仕組み、特徴など、暗号技術についてまとめています。

暗号化方式の種類

暗号化方式には、暗号化と復号で同じ鍵を使う共通鍵暗号方式と、異なる鍵を用いる公開鍵暗号方式があります。 SHA-256などのハッシュ関数は復号できないので暗号化方式としては分類されません。

共通鍵暗号方式

共通鍵暗号方式とは、英語でCommon key cryptosystem。暗号化と復号に同じ鍵を用いる方法です。 共通鍵暗号方式の特徴と、ブロック暗号のDES、AES、ストリーム暗号のKCipher-2などの代表的な暗号の例についてまとめています。

詳細

公開鍵暗号方式

公開鍵暗号方式とは、英語でPublic Key Cryptography。 公開鍵と秘密鍵の対になる2つの鍵を使ってデータの暗号化/復号化を行う暗号方式です。 秘密鍵やRSAなどの代表的な暗号の例についてまとめています。

詳細

S/MIME

S/MIMEは、電子証明書を使用して、メールソフト間で電子メールを安全に送受信するための規格です。 電子メールの本文を暗号化するために使用される方式です。 Secure MIMEの略で、読み方は「エスマイム」です。

S/MIMEに関連したIPA情報処理試験の過去問題

以下ではS/MIMEに関連したIPA情報処理試験の過去問とそのの解説をまとめています。

ハイブリッド暗号方式

ハイブリッド暗号方式とは、共通鍵暗号方式と公開鍵暗号方式を組み合わせた方式です。 OpenPGPやS/MIMEなどで用いられる暗号方式です。

公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって鍵管理コストと処理性能の両立を図るという特徴があります。

ハイブリッド暗号方式に関連したIPA情報処理試験の過去問題

以下ではハイブリッド暗号方式に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

ハッシュ関数

ハッシュ関数とは、データから一定長のメッセージダイジェストを生成する1方向関数のことをいいます。 暗号という名称を冠していませんが、暗号技術の一種として重要な役割を果たしています。

衝突発見困難性

衝突発見困難性とは、ハッシュ値が一致する二つのメッセージの探索に要する計算量の大きさによる、探索の困難性のことをいいます。

SHA-256

SHA-256とは、ハッシュ関数の一つで最大の計算量が2の256乗とハッシュ関数です。

ハッシュ関数に関連したIPA情報処理試験の過去問題

以下ではハッシュ関数に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

暗号アルゴリズムの危殆化

計算能力の向上などによって、鍵の推定が可能になり、暗号の安全性が低下することを暗号アルゴリズムの危殆化といいます。

暗号アルゴリズムの危殆化に関連したIPA情報処理試験の過去問題

以下では暗号アルゴリズムの危殆化に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

認証技術

XMLデジタル署名、メッセージ認証符号、チャレンジレスポンス認証方式など、 認証の種類、仕組み、特徴、脅威を防止するためにどのような認証技術が用いられるか、認証技術が何を証明するかなど、認証技術についてまとめています。

詳細

利用者認証

利用者認証のために利用される技術である利用者認証について見ていきます。

ログイン(利用者IDとパスワード)

ログイン(利用者IDとパスワード)について見ていきます。

作成可能なパスワードの数

作成可能なパスワードの数は、Mnです。

例えば、英数字(27+10=37)の最大8文字とするパスワードの場合、作成可能なパスワードの数は、37×37×37×37×37×37×37×37=378です。

パスワードを用いて利用者を認証する方法

パスワードを用いて利用者を認証する場合は、 パスワードをハッシュ値に変換して登録しておき、 認証時に入力されたパスワードをハッシュ関数で変換して比較するのが適切です。

アクセス管理

アクセス管理は、コンピュータシステムの資源を、正当な利用者、プログラム、プロセス、ネットワーク内の他のコンピュータシステムに限定してアクセスさせることをいいます。

アクセス権限は、あらかじめ利用者IDやパスワードに対応してシステム内に登録し、利用者が実際に資源やネットワークへアクセスする際に、利用者IDやパスワードを入力することによって識別します。 資源にアクセスできるかどうかの権限をアクセス権と言います。

アイデンティティ連携

アイデンティティ連携について見ていきます。

SAML

SAMLとは、Security Assertion Markup Languageの略で、認証情報に加え、属性情報とアクセス制御情報を異なるドメインに伝達するためのXMLの規格です。 SAMLによって、これに対応した複数のWebサイト間での認証情報を交換できるため、1度認証を受けることで複数のサイトでサービスを利用できる、シングルサイオンが実現可能です。

シングルサインオン

シングルサインオンは、利用者は最初に1回だけ認証を受ければ、許可されている複数のサービスを利用できるので、利便性が高いという特徴のある認証です。

リスクベース認証

リスクベース認証は、利用者のIPアドレスなどの環境を分析し、 いつもと異なるネットワークからのアクセスに対して追加の認証を行う認証です。

マトリックス認証

画面に表示された表の中で、自分が覚えている位置に並んでいる数字や文字などを パスワードとして入力する方式を、マトリクス認証といいます。

利用者認証に関連したIPA情報処理試験の過去問題

以下では利用者認証に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

生体認証技術

生体認証(英語でBiometric authentication)は、別名バイオメトリックス認証といいます。 生体認証とはどのような認証か、種類や特徴、ディメリットなどをまとめています。

詳細

公開鍵基盤

公開鍵基盤とは、PKI(Publuic Key Infrastructure)ともいい、公開鍵暗号技術に基づき、電子証明書(ディジタル証明書)やCAによって実現される相互認証の基盤です。 電子証明書とは何か、PKIの仕組み、特徴、活用場面について見ていきます。

詳細

2. 情報セキュリティ管理

組織の情報セキュリティ対策を包括的かつ継続的に実施するための情報セキュリティ管理の考え方、保護対象である情報資産について見ていきます。

情報セキュリティ管理

組織の情報セキュリティ対策を包括的かつ継続的に実施するために、情報セキュリティ管理の考え方、保護対象である情報資産を理解する必要があります。

情報セキュリティ事象と情報セキュリティインシデントの関係

情報セキュリティ事象と情報セキュリティインシデントの関係は、単独又は一連の情報セキュリティ事象は、情報セキュリティインシデントに分類されます。

参考:JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)及びJIS Q 27001:2014(情報セキュリティマネジメントシステム―要求事項)

情報セキュリティ管理に関連したIPA情報処理試験の過去問題

以下では情報セキュリティ管理に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

リスク分析と評価

情報セキュリティリスクアセスメントの評価シートなど、リスク分析と評価に関連した情報をまとめています。

詳細

情報セキュリティマネジメントシステム(ISMS)

ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。 ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。

詳細

情報セキュリティ組織・機関

不正アクセスによる被害受付の対応、再発防止のための提言、セキュリティに関する啓発活動などを行うセキュリティ機関があります。 jvn、cryptrec暗号リスト、サイバー情報共有イニシアティブなど情報セキュリティ組織・機関についてまとめています。

詳細

3. セキュリティ技術評価

セキュリティ技術評価の目的、考え方、適用方法について見ていきます。

セキュリティ評価基準

情報資産の不正コピーや改ざんなどを防ぐセキュリティ製品の、セキュリティ水準を知るためのセキュリティ技術評価の目的、考え方、適用方法について見ていきます。

FIPS PUB 140-2

FIPS PUB 140-2の記述内容は暗号モジュールのセキュリティ要求事項です。

FIPS PUB 140-2に関連したIPA情報処理試験の過去問題

以下ではFIPS PUB 140-2に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

EDSA認証

EDSA認証は制御機器の認証制度です。 EDSA認証における評価対象と評価項目は以下です。

EDSA認証に関連したIPA情報処理試験の過去問題

以下ではEDSA認証に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

CVE

CVEは、Common Vulnerabilities and Exposuresを省略したもので、製品に含まれる脆弱性を識別するための識別子です。

CVEは米国政府の支援を受けた非営利団体のMITRE社が採番されおり、JVNなどの脆弱性対策情報ポータルサイトで採用されています。

CVEに関連したIPA情報処理試験の過去問題

以下ではCVEに関連したIPA情報処理試験の過去問とそのの解説をまとめています。

CWE

CWEは、Common Weakness Enumerationを省略したもので、脆弱性の種類を識別するための共通基準です。

CWEでは、SQLインジェクション、クロスサイトスクリプティングなど、脆弱性の種類、脆弱性タイプの一覧を体系化して提供しています。

CVSS

CVSS(ITのセキュリティ用語)は脆弱性の特徴とインパクトを採点するための共通脆弱性評価システムです。基本値(ベーススコア)などの解説をまとめています。

詳細

脆弱性検査

脆弱性検査とは、その単語のとおりで、OSやアプリケーション、ネットワークを含めたサイト全体の脆弱性を検査することをいいます。 ペネトレーションテストの方法やツールなど脆弱性検査について見ていきます。

詳細

4. 情報セキュリティ対策

情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。

詳細

5. セキュリティ実装技術

セキュリティ実装技術には、セキュアプロトコルや認証プロトコル、セキュアOSの仕組み、ネットワークセキュリティ、データベースセキュリティ、アプリケーションセキュリティなどがあります。

セキュアプロトコル

IPSec、SSL/TLS、SSHなど通信データの盗聴、不正接続を防ぐセキュアプロトコルについてまとめています。IPSecのトンネルモードやTLSハンドシェイクなどの情報も補足しています。

詳細

認証プロトコル

dnssecとは?SMTP-AUTH認証とは?など、なりすましによる不正接続、サービスの不正利用を防ぐ認証プロトコルについてまとめています。

詳細

セキュアOS

システムの開発、運用におけるセキュリティ対策やセキュリティを強化したOSである セキュアOSの仕組み、実装技術、効果などをまとめていきます。

セキュアブート

セキュアブートは、PCの起動時にOSやドライバのディジタル署名を検証し、 許可されていないものを実行しないようにすることによって、 OS起動前のマルウェアの実行を防ぐ技術です。

セキュアOSに関連したIPA情報処理試験の過去問題

以下ではセキュアOSに関連したIPA情報処理試験の過去問とそのの解説をまとめています。

ネットワークセキュリティ

VLAN、OP25B、ダイナミックパケットフィルタリングなどネットワークに対する不正アクセス、不正利用、サービスの妨害行為などの脅威に対するネットワークセキュリティの実装技術についてまとめています。

詳細

アプリケーションセキュリティ

アプリケーションセキュリティについて見ていきます。

Webシステムのセキュリティ対策

Webシステムのセキュリティ対策について見ていきます。

HTTPレスポンスヘッダのセキュリティ設定

HTTPレスポンスヘッダにセキュリティ対策用のパラメータがあります。 Set-Cookieのsecure、httplonlyなどHTTPレスポンスヘッダのセキュリティ設定一覧をまとめています。

詳細

脆弱性低減技術

脆弱性低減技術について見ていきます。

ファジング

ファジングは、ソフトウェアのデータの入出力に注目し、 問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける検査手法です。

脆弱性低減技術に関連したIPA情報処理試験の過去問題

以下では脆弱性低減技術に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

もっと知識を広げるための参考

更新履歴

戻る

スポンサーリンク

情報処理の知識体系

プログラミング

各試験の問題と解説

ランダム出題・採点アプリ

スポンサーリンク