情報処理のWeb教科書―IPA情報処理試験対策のお供に!

情報セキュリティとは―知識を整理。IPAの情報処理試験の問題など

トップ 情報処理の知識体系 テクノロジ系 技術要素 情報セキュリティ

情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

目次

この記事の目次です。

1. 情報セキュリティとは

2. 情報セキュリティ管理

3. セキュリティ技術評価

4. 情報セキュリティ対策

5. セキュリティ実装技術

もっと知識を広げるための参考

更新履歴

1. 情報セキュリティとは

情報セキュリティとは、企業や組織の重要な財産(資産)である情報(情報資産)のセキュリティを確保し、維持することです。

以下では、情報セキュリティとは何か詳しく理解していくための知識をまとめています。IPAの情報処理試験の問題の解説も各所に記載しています。

情報セキュリティの意味、定義

情報セキュリティということばの意味の定義ですが、ISMS 27000およびJIS Q 27000では、情報セキュリティを 「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追及性、否認防止、信頼性などの特性を維持することを含めることである」 と定義しています。

情報セキュリティの目的と考え方

情報セキュリティの目的は、情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を確保、 維持することによりさまざまな脅威から情報システム及び情報を保護し、情報システムの信頼性を高めることです。

完全性の向上を目的とした取組み

情報セキュリティにおける完全性の向上を目的とした取組みとしては、情報の改ざんを防止する対策を施す取組みがあげられます。

真正性(Authenticity)

「エンティティは、それが主張するとおりのものであるという特性」と定義されます。

JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)

否認防止(NonRepudiation)

ある利用者があるシステムを利用したという事実が証明可能であることを 「否認防止の特性」と定義されます。

JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)

情報セキュリティの目的と考え方に関連したIPA情報処理試験の過去問題

以下では情報セキュリティの目的と考え方に関連したIPA情報処理試験の過去問とその解説をまとめています。

情報セキュリティの重要性

社会のネットワーク化に伴い、企業にとって情報セキュリティの水準の高さが企業評価の向上につながること、情報システム関連の事故が事業の存続を脅かすことから、情報セキュリティは重要です。

脅威

情報セキュリティを考えるうえで、まずは、どのような脅威があるか理解しておく必要があります。

脅威の種類、マルウェアとコンピュータウイルスの種類を見ていきます。 またPCやスマホの感染時の駆除方法も補足していきます。

詳細

脆弱性

脆弱性とは、もろくて弱い性質や性格を意味する言葉です。 読み方は「ぜいじゃくせい」、英訳は「vulnerability」です。 特に情報セキュリティでよく使われる言葉です。 情報セキュリティにおける脆弱性の意味、種類についてまとめています。

情報システムの情報セキュリティに関する欠陥、企業、組織、個人に対する行動規範の不徹底、未整備という脅威に対する不備などの脆弱性に関する知識について見ていきます。

詳細

不正のメカニズム

不正行為が発生する要因、内部不正による情報セキュリティ事故・事件の発生を防止するための環境整備が必要です。

不正のトライアングル

企業での内部不正などの不正が発生するときには、 “不正のトライアングル”と呼ばれる3要素の全てがそろって存在すると考えられています。 その“不正のトライアングル”を構成する3要素は、機会、正当化、動機です。

不正のメカニズムに関連したIPA情報処理試験の過去問題

以下では不正のメカニズムに関連したIPA情報処理試験の過去問とその解説をまとめています。

攻撃者の種類、攻撃の動機

サイバーテロリズムなど悪意をもった攻撃者の種類および攻撃者が不正・犯行・攻撃を行う主な動機についてみていきます。

サイバーテロ

サイバーテロは、重要インフラの基幹システムに対する電子的攻撃または重要インフラの基幹システムにおける重大な障害で 電子的攻撃による可能性が高いものを言います。

攻撃者の種類、攻撃の動機に関連した参考書籍

攻撃者の種類、攻撃の動機に関連した参考書籍です。目次や参考いたしました内容をまとめています。

攻撃手法

情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策知識をまとめています。 またサイバー攻撃の被害額、被害件数、被害事例をまとめた公共機関の資料のリンクもまとめています。

詳細

情報セキュリティに関する技術

情報セキュリティに関する技術をテーマに、共通鍵暗号方式、指紋認証など、暗号/認証技術を解説していきます。

暗号技術

脅威を防止するために用いられる暗号技術の活用、暗号化の種類、代表的な暗号方式の仕組み、特徴など、暗号技術についてまとめています。

暗号化方式の種類

暗号化方式には、暗号化と復号で同じ鍵を使う共通鍵暗号方式と、異なる鍵を用いる公開鍵暗号方式があります。 SHA-256などのハッシュ関数は復号できないので暗号化方式としては分類されません。

共通鍵暗号方式

共通鍵暗号方式とは、英語でCommon key cryptosystem。暗号化と復号に同じ鍵を用いる方法です。 共通鍵暗号方式の特徴と、ブロック暗号のDES、AES、ストリーム暗号のKCipher-2などの代表的な暗号の例についてまとめています。

詳細

公開鍵暗号方式

公開鍵暗号方式とは、英語でPublic Key Cryptography。 公開鍵と秘密鍵の対になる2つの鍵を使ってデータの暗号化/復号化を行う暗号方式です。 秘密鍵やRSAなどの代表的な暗号の例についてまとめています。

詳細

S/MIME

S/MIMEとは電子証明書を使用して、メールソフト間で電子メールを安全に送受信するための規格です。読み方や意味、暗号方式などS/MIMEについて説明しています。

詳細

ハイブリッド暗号方式

ハイブリッド暗号方式とは、 共通鍵暗号方式と公開鍵暗号方式を組み合わせた方式で、OpenPGPやS/MIMEなどで用いられる暗号方式です。

ハイブリッド暗号方式の特徴

ハイブリッド暗号方式の特徴は、公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって鍵管理コストと処理性能の両立を図る点です。

ハイブリッド暗号方式に関連したIPA情報処理試験の過去問題

以下ではハイブリッド暗号方式に関連したIPA情報処理試験の過去問とその解説をまとめています。

ハッシュ関数

ハッシュ関数とは、データから一定長のメッセージダイジェストを生成する1方向関数のことをいいます。 暗号という名称を冠していませんが、暗号技術の一種として重要な役割を果たしています。

衝突発見困難性

衝突発見困難性とは、ハッシュ値が一致する二つのメッセージの探索に要する計算量の大きさによる、探索の困難性のことをいいます。

SHA-256

SHA-256とは、ハッシュ関数の一つで最大の計算量が2の256乗とハッシュ関数です。

ハッシュ関数に関連したIPA情報処理試験の過去問題

以下ではハッシュ関数に関連したIPA情報処理試験の過去問とその解説をまとめています。

暗号アルゴリズムの危殆化

計算能力の向上などによって、鍵の推定が可能になり、暗号の安全性が低下することを暗号アルゴリズムの危殆化といいます。

暗号アルゴリズムの危殆化に関連したIPA情報処理試験の過去問題

以下では暗号アルゴリズムの危殆化に関連したIPA情報処理試験の過去問とその解説をまとめています。

認証技術

XMLデジタル署名、メッセージ認証符号、チャレンジレスポンス認証方式など、 認証の種類、仕組み、特徴、脅威を防止するためにどのような認証技術が用いられるか、認証技術が何を証明するかなど、認証技術についてまとめています。

詳細

利用者認証

アクセス管理、samlの読み方、リスクベース、マトリックス認証など利用者認証についてまとめています。

ログイン(利用者IDとパスワード)

ログイン(利用者IDとパスワード)について見ていきます。

作成可能なパスワードの数

作成可能なパスワードの数は、Mnです。

例えば、英数字(27+10=37)の最大8文字とするパスワードの場合、作成可能なパスワードの数は、37×37×37×37×37×37×37×37=378です。

パスワードを用いて利用者を認証する方法

パスワードを用いて利用者を認証する場合は、 パスワードをハッシュ値に変換して登録しておき、 認証時に入力されたパスワードをハッシュ関数で変換して比較するのが適切です。

アクセス管理

アクセス管理は、コンピュータシステムの資源を、正当な利用者、プログラム、プロセス、ネットワーク内の他のコンピュータシステムに限定してアクセスさせることをいいます。

アクセス権限は、あらかじめ利用者IDやパスワードに対応してシステム内に登録し、利用者が実際に資源やネットワークへアクセスする際に、利用者IDやパスワードを入力することによって識別します。 資源にアクセスできるかどうかの権限をアクセス権と言います。

アイデンティティ連携

アイデンティティ連携について見ていきます。

SAML

SAMLとは、Security Assertion Markup Languageの略で、認証情報に加え、属性情報とアクセス制御情報を異なるドメインに伝達するためのXMLの規格です。 SAMLによって、これに対応した複数のWebサイト間での認証情報を交換できるため、1度認証を受けることで複数のサイトでサービスを利用できる、シングルサイオンが実現可能です。

SAMLの読み方は「サムル」「エスエーエムエル」が使われます。

シングルサインオン

シングルサインオンは、利用者は最初に1回だけ認証を受ければ、許可されている複数のサービスを利用できるので、利便性が高いという特徴のある認証です。

リスクベース認証

リスクベース認証は、利用者のIPアドレスなどの環境を分析し、 いつもと異なるネットワークからのアクセスに対して追加の認証を行う認証です。

マトリックス認証

画面に表示された表の中で、自分が覚えている位置に並んでいる数字や文字などを パスワードとして入力する方式を、マトリクス認証といいます。

CAPTCHA

CAPTCHAはWebサイトで利用され、人からのアクセスであることを確認できるよう、 アクセスした者に応答を求め、その応答を分析する仕組みです。

利用者認証に関連したIPA情報処理試験の過去問題

以下では利用者認証に関連したIPA情報処理試験の過去問とその解説をまとめています。

生体認証技術

生体認証(英語でBiometric authentication)は、別名バイオメトリックス認証といいます。 生体認証とはどのような認証か、種類や特徴、ディメリットなどをまとめています。

詳細

公開鍵基盤

公開鍵基盤とは、PKI(Publuic Key Infrastructure)ともいい、公開鍵暗号技術に基づき、電子証明書(ディジタル証明書)やCAによって実現される相互認証の基盤です。 電子証明書とは何か、PKIの仕組み、特徴、活用場面について見ていきます。

詳細

2. 情報セキュリティ管理

組織の情報セキュリティ対策を包括的かつ継続的に実施するための情報セキュリティ管理の考え方、保護対象である情報資産について見ていきます。

情報セキュリティ管理

組織の情報セキュリティ対策を包括的かつ継続的に実施するために、情報セキュリティ管理の考え方、保護対象である情報資産を理解する必要があります。

情報セキュリティ事象と情報セキュリティインシデントの関係

情報セキュリティ事象と情報セキュリティインシデントの関係は、単独又は一連の情報セキュリティ事象は、情報セキュリティインシデントに分類されます。

参考:JIS Q 27000:2014(情報セキュリティマネジメントシステム―用語)及びJIS Q 27001:2014(情報セキュリティマネジメントシステム―要求事項)

情報セキュリティ管理に関連したIPA情報処理試験の過去問題

以下では情報セキュリティ管理に関連したIPA情報処理試験の過去問とその解説をまとめています。

リスク分析と評価

情報セキュリティリスクアセスメントの評価シートなど、リスク分析と評価に関連した情報をまとめています。

詳細

情報セキュリティ諸規程(情報セキュリティポリシを含む組織内規程)

情報セキュリティ諸規程について見ていきます。

情報セキュリティポリシ

情報セキュリティポリシを、基本方針、対策基準及び実施手順の三つの文書で構成したとき、 実施手順は、対策基準として決められたことを担当者が実施できるように、 具体的な進め方などを記述したものになります。

情報セキュリティ諸規程に関連したIPA情報処理試験の過去問題

以下では情報セキュリティ諸規程に関連したIPA情報処理試験の過去問とその解説をまとめています。

情報セキュリティマネジメントシステム(ISMS)

ISMSは、組織体における情報セキュリティ管理の水準を高め、維持し、改善していく仕組みです。 ISMSの読み方や基本方針など、ISMSとはどのようなものかまとめています。

詳細

情報セキュリティ組織・機関

不正アクセスによる被害受付の対応、再発防止のための提言、セキュリティに関する啓発活動などを行うセキュリティ機関があります。 jvn、cryptrec暗号リスト、サイバー情報共有イニシアティブなど情報セキュリティ組織・機関についてまとめています。

情報セキュリティ関連組織

情報セキュリティ関連組織について触れます。

CSIRT

CSIRTはコンピュータやネットワークに関するセキュリティ事故の対応を行うことを目的とした組織です。

サイバーセキュリティ戦略本部

サイバーセキュリティ基本法において定められたサイバーセキュリティ戦略本部は内閣に置かれています。

内閣サイバーセキュリテ ィセンター(NISC)

内閣サイバーセキュリテ ィセンター(NISC)は、サイバーセキュリティ基本法に基づき、内閣官房に設置された機関です。

CRYPTREC

CRYPTRECは、日本の暗号技術評価プロジェクトです。

CRYPTRECとは

CRYPTRECとは、 電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトです。 Cryptography Research and Evaluation Committeesを省略したもので、読み方は「くりぷとれっく」と読みます。

CRYPTRECの役割

CRYPTRECの役割は、電子政府での利用を推奨する暗号技術の安全性を評価、監視することです。 政府調達においてIT関連製品のセキュリティ機能の適切性を評価、認証します。

電子政府における調達のために参照すべき暗号のリスト(CRYPTREC)

総務省及び経済産業省は、CRYPTRECの活動を通して電子政府で利用される暗号技術の評価を行っており、2013年3月に 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」 を策定いたしました。

そのドキュメントの冒頭には以下のように記述されています。

「暗号技術検討会及び関連委員会(以下、「CRYPTREC」という。)により安全性及び実装性能が確認された暗号技術について、 市場における利用実績が十分であるか今後の普及が見込まれると判断され、当該技術の利用を推奨するもののリスト。」

出所)http://www.cryptrec.go.jp/images/cryptrec_ciphers_list_2016.pdf

サイバー情報共有イニシアティブ(J-CSIP)

サイバー情報共有イニシアティブ(J-CSIP)は、 検知したサイバー攻撃の情報を公的機関に集約し、標的型サイバー攻撃などに関する情報を参加組織間で共有し、 高度なサイバー攻撃対策につなげていく取り組みです。

具体的には、IPAと各参加組織間で締結した秘密保持契約のもと、 参加組織およびそのグループ企業において検知されたサイバー攻撃等の情報をIPAに集約します。 情報提供元に関する情報や機微情報の匿名化を行い、IPAによる分析情報を付加した上で、情報提供元の承認を得て共有可能な情報とし、 参加組織間での情報共有を行っています。

出典:サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ)) https://www.ipa.go.jp/security/J-CSIP/

JVN(Japan Vulnerablility Notes)

JVN(Japan Vulnerablility Notes)は、 JPCERTコーディネーションセンターと情報処理推進機構(IPA)が共同運営している脆弱性対策情報ポータルサイトです。 JVNでは、“JVN#12345678”などの形式の識別子を付けて、ソフトウェアなどの脆弱性関連情報とその対策を管理しています。

CSIRTマテリアル

CSIRTマテリアルは、組織的なインシデント対応体制の構築や運用を支援する目的でJPCERT/CCが作成したものです。

サイバーレスキュー隊(J-CRAT)

サイバーレスキュー隊(J-CRAT)は、標的型サーバー攻撃による被害の低減と拡大防止を目的としている活動です。 標的型サイバー攻撃の被害低減と攻撃連鎖の遮断を支援する活動を担います。

出典:サイバーレスキュー隊J-CRAT(ジェイ・クラート)https://www.ipa.go.jp/security/J-CRAT/

情報セキュリティ組織・機関に関連したIPA情報処理試験の過去問題

以下では情報セキュリティ組織・機関に関連したIPA情報処理試験の過去問とその解説をまとめています。

3. セキュリティ技術評価

セキュリティ技術評価の目的、考え方、適用方法について見ていきます。

セキュリティ評価基準

FIPS PUB 140-2、EDSA認証、CVE、CWE、CVSSなどセキュリティ評価基準について、 情報資産の不正コピーや改ざんなどを防ぐセキュリティ製品の、セキュリティ水準を知るためのセキュリティ技術評価の目的、考え方、適用方法についてまとめています。

詳細

4. 情報セキュリティ対策

情報セキュリティ対策(英語でInformation security measures)は、人的、技術的、物理的セキュリティの側面から対策が必要です。 ビヘイビア検出ソフトも含め、各種セキュリティ対策の概要を把握する一覧としてまとめています。

詳細

5. セキュリティ実装技術

セキュリティ実装技術には、セキュアプロトコルや認証プロトコル、セキュアOSの仕組み、ネットワークセキュリティ、データベースセキュリティ、アプリケーションセキュリティなどがあります。

セキュアプロトコル

IPSec、SSL/TLS、SSHなど通信データの盗聴、不正接続を防ぐセキュアプロトコルについてまとめています。IPSecのトンネルモードやTLSハンドシェイクなどの情報も補足しています。

詳細

認証プロトコル

dnssecとは?SMTP-AUTH認証とは?など、なりすましによる不正接続、サービスの不正利用を防ぐ認証プロトコルについてまとめています。

詳細

セキュアOS

システムの開発、運用におけるセキュリティ対策やセキュリティを強化したOSである セキュアOSの仕組み、実装技術、効果などをまとめていきます。

セキュアブート

セキュアブートは、PCの起動時にOSやドライバのディジタル署名を検証し、 許可されていないものを実行しないようにすることによって、 OS起動前のマルウェアの実行を防ぐ技術です。

セキュアOSに関連したIPA情報処理試験の過去問題

以下ではセキュアOSに関連したIPA情報処理試験の過去問とその解説をまとめています。

ネットワークセキュリティ

VLAN、OP25B、ダイナミックパケットフィルタリングなどネットワークに対する不正アクセス、不正利用、サービスの妨害行為などの脅威に対するネットワークセキュリティの実装技術についてまとめています。

ネットワークセキュリティとは

ネットワークセキュリティとは、ネットワークからのアクセスによる情報漏えいや攻撃を防ぐためのセキュリティです。

身近な例)ネットワークセキュリティキー

一番初歩的なところは利用者名とパスワードによる認証が挙げられます。 例えば、Wi-Fiのネットワークセキュリティーキーなどが身近と思います。 この場合、利用者名がSSIDでパスワードが暗号化キーになります。

Wi-Fiのネットワークセキュリティキーの調べ方

ちなみにWi-Fi接続時のネットワークセキュリティーキーは、以下のイメージのようにWi-Fiルータの裏などに記載されています。

Wi-Fiのネットワークセキュリティキーの調べ方
本題について

ネットワークセキュリティについて簡単に概念を見ていきましたので、本題について以下で見ていきます。

ネットワークに対する不正アクセス、不正利用、サービスの妨害行為などの脅威に対する対策の仕組み、実装方法、効果を理解していきます。

パケットフィルタリング

パケットフィルタリングは、外部から受信したパケットを管理者などが設定した一定の基準に従って通したり破棄したりする通信機器やコンピュータの持つネットワーク制御機能です。

パケットとは

パケットとは、情報通信での伝送単位、あるいは単にある程度の大きさの送受信データのかたまりのことを指すことばです。

パケットフィルタリングが機能するタイミング

パケットフィルタリングはルータなどの中継装置はパケットの転送時に、コンピュータなどの端末は自分宛てのパケットの着信時に機能します。

ダイナミックパケットフィルタリング

ダイナミックパケットフィルタリングは、 最初にコネクションを確立する方向のみを意識した基本的なルール(あらかじめ設定されたルール)を事前に登録しておき、 実際に接続要求があると、個々の通信をセッション管理テーブルに登録するとともに必要なルールが動的に生成され、 フィルタリング処理を行う方式です。

ダイナミックパケットフィルタリングでは、戻りのパケットに関しては、 過去に通過したリクエストパケットに対応付けられるものだけを通過させることができます。 過去の通信の状態が記録されており、それと矛盾するパケットは不正パケットとして遮断することができます。

MACアドレスフィルタリング

MACアドレスフィルタリングは、Wi-Fiルーターなどに特定の機器のみを接続させることを目的とした機能です。 ルーターなどの設定画面でMACアドレスを登録し、他の機器の接続を拒否します。

MACアドレスとは

MACアドレスとは、ネットワーク上で、各ノードを識別するために設定されているLANカードなどのネットワーク機器のハードウェアに一意に割り当てられるアドレス(識別情報)です。

VLAN

VLANは、 Virtual LANの略で、物理的な接続形態とは独立して、仮想的なLANセグメントを作る技術のことをいいます。

トランクポート

IEEE 802.1QのVLAN機能を有したスイッチにおいて、複数のVLANに所属しているポートをトランクポートといいます。

OP25B

OP25Bとは、Outbound Port 25 Blockingの略で、ISPのメールサーバを経由せずにインターネット方向に出ていく25番ポートあてのパケットを遮断する方式です。

メール送信に用いるSMTPが利用するIPネットワークの25番ポートを経由した通信を、プロバイダの管理外にあるサーバに接続できないように遮断することでスパムメールの送信を防ぐ仕組みです。 多くのISPで採用されています。

たとえばISP“A”管理下のネットワークから別のISP“B”管理下の宛先にSMTPで電子メールを送信し、電子メール送信者がSMTP-AUTHを利用していない場合、 ISP“A”管理下の動的IPアドレスからISP“A”のメールサーバを経由せずに直接送信される電子メールはスパムメール対策OP25Bによって遮断されます。

ブロックチェーン

ブロックチェーンは、複数の取引記録をまとめたデータを順次作成するときに、 そのデータに直前のデータのハッシュ値を埋め込むことによって、 データを相互に関連付け、取引記録を矛盾なく改ざんすることを困難にすることでデータの信頼性を高める技術です。

ブロックチェーンの特徴

ブロックチェーンは、取引履歴などのデータとハッシュ値の組みを順次つなげて記録した分散型台帳を、 ネットワーク上の多数のコンピュータで同期して保有し、管理することによって、 一部の台帳で取引データが改ざんされても、取引データの完全性と可用性が確保します。

ブロックチェーンの利用目的

ブロックチェーンは、ハッシュ関数が必須の技術であり、参加者がデータの改ざんを検出するために利用します。

ネットワークセキュリティに関連したIPA情報処理試験の過去問題

以下ではネットワークセキュリティに関連したIPA情報処理試験の過去問とその解説をまとめています。

アプリケーションセキュリティ

アプリケーションセキュリティについて見ていきます。

Webシステムのセキュリティ対策

Webシステムのセキュリティ対策について見ていきます。

HTTPレスポンスヘッダのセキュリティ設定

HTTPレスポンスヘッダにセキュリティ対策用のパラメータがあります。 Set-Cookieのsecure、httplonlyなどHTTPレスポンスヘッダのセキュリティ設定一覧をまとめています。

詳細

脆弱性低減技術

脆弱性低減技術について見ていきます。

ファジング

ファジングは、ソフトウェアのデータの入出力に注目し、 問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける検査手法です。

脆弱性低減技術に関連したIPA情報処理試験の過去問題

以下では脆弱性低減技術に関連したIPA情報処理試験の過去問とその解説をまとめています。

もっと知識を広げるための参考

更新履歴

戻る

スポンサーリンク

情報処理の知識体系

各試験の問題と解説

ランダム出題・採点アプリ

プログラミング

スポンサーリンク