情報セキュリティ1
情報セキュリティにおける「脅威」とは、情報資産に損害を与える要因となるものをいう。
(出典:令和7年度春期分 問93一部改変)
答え:〇
記述の通りです。情報セキュリティとは、情報資産を守るための取り組みや考え方のことで、具体的には、不正アクセス、改ざん、漏えい、破壊、サービス停止などの脅威から情報資産を保護することを指します。
情報セキュリティとは、情報の機密性、完全性及び可用性を維持することである。さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含める場合もある。
(出典:令和3年度春期分 問67一部改変)
答え:〇
記述の通りです。従来は、情報の機密性、完全性及び可用性の3つの要素を維持することが情報セキュリティといわれていましたが、近年では、さらに真正性、責任追跡性、否認防止、信頼性の4つの要素を含める場合もあります。
「顧客情報管理システムの顧客情報が誤った内容のまま運用されていた」、「社内のサーバに不正侵入されて、社外秘の情報が漏えいした」、これらは情報セキュリティにおいて、可用性が損なわれた事象といえる。
(出典:令和7年度春期分 問97一部改変)
答え:×
可用性とは、必要なときに情報が使える状態であることをいいます。例としては、何らかの攻撃を受けてシステムが停止してしまう場合などが該当します。
「顧客情報管理システムの顧客情報が誤った内容のまま運用されていた」は完全性が損なわれた事象、「社内のサーバに不正侵入されて,社外秘の情報が漏えいした」は機密性が損なわれた事象に該当します。
次の情報セキュリティにおける脅威と脆弱性のうち、脆弱性に該当するものは2つある。
- コンピュータウイルス
- ソーシャルエンジニアリング
- 通信データの盗聴
- 不適切なパスワード管理
(出典:平成29年度春期分 問60部改変)
答え:×
脆弱性(ぜいじゃくせい)とは、攻撃や障害に対して「弱点」となる部分のことです。セキュリティ上の欠陥やミス、設計の甘さなどによって、不正アクセス・情報漏えい・改ざんなどのリスクが生じる原因になります。設問の記述のうち、脆弱性に該当するのは4.「不適切なパスワード管理」のみで、人的脆弱性(人間のミスや行動が原因で生じるセキュリティの弱点)にあたります。
なお、1.~3.は脅威(情報資産に損害を与える要因となるもの)に該当します。
会社が許可していないIT機器やクラウドサービスを社員が勝手に使うことをセキュリティホールという。
答え:×
設問の文章はシャドーITの説明です。シャドーITの例としては、勝手にGoogle Drive等で社外にファイルを保存する、個人スマホで社内の業務チャットを利用する、といったことなどが挙げられます。
なお、セキュリティホールとは、セキュリティ上のバグや設計ミスによって生じる抜け穴・欠陥のことです。悪用されると攻撃者に侵入・操作される可能性があります。
情報セキュリティにおけるリスクアセスメントとは、識別された資産に対するリスクを分析、評価し、基準に照らして対応が必要かどうかを判断することである。
(出典:平成30年度秋期分 問68一部改変)
答え:〇
記述の通りです。リスクマネジメントの一連の流れは、大きくリスクアセスメント(リスク特定、リスク分析、リスク評価)とリスク対応から成ります。
①リスク特定:守るべき情報資産を洗い出し、脅威(不正アクセス、自然災害、内部不正など)と脆弱性を特定します。
②リスク分析:特定したリスク(脅威と脆弱性)に対して、それがどの程度の影響を与えるか、どのくらい発生しやすいかを評価します。
③リスク評価:リスク分析で洗い出したリスクの重大性を判断し、どのリスクにどのように対応するかを決定するための評価プロセスです。
④リスク対応:リスク評価の結果に基づいて、どのリスクにどのように対処するかを決定・実行するプロセスです。
情報セキュリティのリスクマネジメントにおけるリスク対応を、リスク移転、リスク回避、リスク低減及びリスク保有の四つに分けて実施することにしたとき、管理対象としたリスクの顕在化に備えて保険をかけておくことは、リスク回避に該当する。
(出典:令和7年度春期分 問91一部改変)
答え:×
管理対象としたリスクの顕在化に備えて保険をかけておくことは、リスク共有(リスク移転)に該当します。
なお、リスク回避とは、リスクのある行動・資産・システム自体をやめることで、リスクを完全になくすことをいいます。
情報セキュリティ2
企業の従業員になりすましてIDやパスワードを聞き出したり、くずかごから機密情報を入手したりするなど、技術的手法を用いない攻撃をクラッキングという。
(出典:令和5年度春期分 問89一部改変)
答え:×
設問の記述はソーシャルエンジニアリングの説明です。クラッキングとは、悪意をもってシステムに侵入・破壊・改ざんなどを行う不正行為をいいます。
肩越しに盗み見して入手したパスワードを利用し、他人になりすましてシステムを不正利用する行為は、ソーシャルエンジニアリングに該当する行為といえる。
(出典:令和4年度春期分 問91一部改変)
答え:〇
記述の通りです。ソーシャルエンジニアリングとは、技術的手法を用いずに人間の心理や不注意を利用して、パスワードや機密情報をだまし取る行為で、例えば、社内の人間のふりをして電話で情報を聞き出す、ごみ箱から書類を漁るなどの行為が該当します。
通常の検索エンジンでは検索されず匿名性が高いので、サイバー攻撃や違法商品の取引などにも利用されることがあり、アクセスするには特殊なソフトウェアが必要になることもあるインターネット上のコンテンツの総称をダークウェブと呼ぶ。
(出典:令和6年度春期分 問87一部改変)
答え:〇
記述の通りです。ダークウェブは、通常の検索では見つからない匿名性の高いネット領域で、情報売買や犯罪行為が行われることがあります。
企業の役員や取引先を装い、メールを使って金銭や重要情報をだまし取る行為をビジネスメール詐欺(BEC)という。
答え:〇
記述の通りです。ビジネスメール詐欺(BEC:Business Email Compromise)とは、企業の役員や取引先を装い、メールを使って金銭や重要情報をだまし取るサイバー詐欺の一種です。
指紋や声紋など、身体的な特徴を利用して本人認証を行う仕組みを、多要素認証という。
(出典:令和6年度春期分 問89一部改変)
答え:×
設問の記述は生体認証(バイオメトリクス認証)の説明です。
多要素認証とは、ユーザーがシステムにログインする際に、複数の異なる種類の認証要素を使って本人確認を行うセキュリティ対策のことです。1つの要素だけでなく、2つ以上の要素を組み合わせることで、なりすましなどのリスクを大幅に減らすことができます。
以下のバイオメトリクス認証に関する記述のうち、適切なものは2つある。
- 指紋や静脈を使用した認証は、ショルダーハックなどののぞき見行為によって容易に認証情報が漏えいする。
- 装置が大型なので、携帯電話やスマートフォンには搭載できない。
- 筆跡やキーストロークなどの本人の行動的特徴を利用したものも含まれる。
- 他人を本人と誤って認証してしまうリスクがない。
(出典:令和4年度春期分 問75一部改変)
答え:×
- 誤り。指紋や静脈などの生体認証は、身体的特徴を使って本人確認を行うものであり、画面や入力内容をのぞき見する「ショルダーハック」では取得できません。
- 誤り。過去の一部の生体認証技術(静脈認証や一部の虹彩認証)には当てはまっていた可能性がありますが、現在では技術の進歩により、多くの生体認証装置はコンパクト化され、スマートフォンにも搭載可能となっています。
- 正しい。生体認証(バイオメトリクス認証)とは、人間の身体的または行動的特徴を使って本人確認を行う認証方式です。記述内容は、特に行動的特徴に分類されるものです。
- 誤り。生体認証を含むあらゆる認証方式には、誤認のリスクが存在します。
以上より、適切な記述は3.の1つのみとなります。
情報セキュリティ対策を、”技術的セキュリティ対策”、”人的セキュリティ対策”及び”物理的セキュリティ対策”に分類したとき、次の事例は”物理的セキュリティ対策”の例である。
「サーバ室、執務室などの場所ごとにセキュリティレベルを設定し従業員ごとのアクセス権が付与されたICカードで入退室管理を行う。」
(出典:令和7年度春期分 問88一部改変)
答え:〇
記述の通りです。物理的セキュリティ対策とは、情報資産を物理的な脅威から守るための対策を指します。入退室管理は、物理的セキュリティ対策として最も基本的なものです。
個人の認証に用いる要素を、知識、所有物及びバイオメトリクスの三つに分類したとき、「SMSを用いた認証」は、所有物を要素として用いた認証の例である。
(出典:令和7年度春期分 問100一部改変)
答え:〇
記述の通りです。SMS(ショートメッセージサービス)による認証は、本人の携帯電話などの端末を「所持していること」を前提とした認証方法です。したがって、SMS認証は「携帯電話=所有物」の確認手段です。
バイオメトリクス認証の他人受入率と本人拒否率に関する次の記述中の(a)、(b)に入れる字句の適切な組合せは、(a)が「利便性」、(b)が「安全性」である。
バイオメトリクス認証の認証精度において、他人受入率を低く抑えようとすると(a)が高くなり、本人拒否率を低く抑えようとすると(b)が高くなる。
(出典:令和7年度春期分 問69一部改変)
答え:×
他人受入率は他人(なりすまし)を誤って本人として受け入れてしまう確率です。他人受入率が低いと、なりすましを高い確率で防止できるため安全性は高まりますが、正当なユーザーが頻繁にログインできず、ストレスを感じるなど、利便性が低下します。
また、本人拒否率は正しい本人を誤って拒否してしまう確率です。本人拒否率が低いと、正当なユーザーが拒否される確率が低くなるため利便性は高まりますが、他人を誤って本人として受け入れてしまう確率が高くなるため、安全性は低下します。
以上より、正しくは(a)が「安全性」、(b)が「利便性」となります。
アクセス制御や安全管理システムなどで使われる機能で、複数の装置や扉の動作を互いに連動させて制御する仕組みをアンチパスバックという。
答え:×
設問の記述はインターロックの説明です。ある装置やドアが開いている・動作している間は、他の装置やドアが動作できないように制御することで、安全性やセキュリティを確保します。
なお、アンチパスバックとは、不正なアクセスを防ぐために、「入ったら出ないと再び入れない」または「出たら入らないと再び出られない」というルールをシステムが管理する仕組みです。
例えば、入室の記録はあるが退室した記録がないにもかかわらず同じ人間が入室しようとするケースや、退室の記録がある人間が再び退室しようとしているケースなど、記録されたデータと矛盾している行動を阻止することで、なりすましなどを防止します。
情報セキュリティ3
ランサムウェアとは、PCのファイルを勝手に暗号化し、復号のためのキーを提供することなどを条件に金銭を要求するマルウェアである。
(出典:令和6年度春期分 問98一部改変)
答え:〇
記述の通りです。ランサムウェアは、ファイルを暗号化したり、システムをロックしたりして、解除のために身代金(ランサム)を要求するマルウェアです。
RATは、特定のPCから重要情報を不正に入手するといった標的型攻撃に利用され、攻撃対象のPCに対して遠隔から操作を行って、ファイルの送受信やコマンドなどを実行させるマルウェアである。
(出典:令和3年度春期分 問94一部改変)
答え:〇
記述の通りです。RATはトロイの木馬の一種で、攻撃者が感染した端末を遠隔操作できるようにするマルウェアです。
受信した電子メールに添付されていた文書ファイルを開いたところ、PCの挙動がおかしくなった。疑われる攻撃として、「SQLインジェクション」が考えられる。
(出典:令和2年度秋期分 問58一部改変)
答え:×
設問の状況はマクロウィルスによる攻撃が考えられます。マクロウイルスは、Microsoft Office などのマクロ機能を悪用し、文書ファイルを通じて感染・拡散するウイルスです。
なお、SQLインジェクションとは、SQL文の不正実行により情報を窃取・改ざんする攻撃手法です。WebサイトのフォームなどにSQL文を入力することにより、データベースシステムを不正に操作します。
あるWebサイトからIDとパスワードが漏えいし、そのWebサイトの利用者が別のWebサイトで、パスワードリスト攻撃の被害に遭ってしまった。このとき、Webサイトで使用していたIDとパスワードに関する問題点として、「短いパスワードを設定していた」ことが考えられる。
(出典:平成29年度春期分 問95一部改変)
答え:×
パスワードリスト攻撃(クレデンシャルスタッフィング)は、流出したID・パスワードの組を他サイトで試すことで、不正アクセスを試みる攻撃のことです。
たとえ、パスワードを長く複雑なものに設定したとしてもパスワードリスト攻撃を防ぐことはできません。設問の状況では、「別のサイトでも同じIDとパスワードを設定していた」ことが問題と考えられます。
Webサイトなどに不正なソフトウェアを潜ませておき、PCやスマートフォンなどのWebブラウザからこのサイトにアクセスしたとき、利用者が気付かないうちにWebブラウザなどの脆(ぜい)弱性を突いてマルウェアを送り込む攻撃をDDoS攻撃という。
(出典:令和5年度春期分 問58一部改変)
答え:×
設問の攻撃手法はドライブバイダウンロードです。ユーザーが何も操作しなくても、悪意のあるウェブサイトを訪問しただけで自動的にマルウェアなどがダウンロード・インストールされてしまう攻撃手法です。
DDoS攻撃とは、複数のコンピュータ(ボットネット)を使って、サーバーやネットワークに過剰な負荷をかけ、正常なサービスを妨害する攻撃手法です。
クロスサイトスクリプティングは、Webサイトの運営者が意図しないスクリプトを含むデータであっても,利用者のブラウザに送ってしまう脆弱性を利用する。
(出典:平成27年度春期分 問84一部改変)
答え:〇
記述の通りです。クロスサイトスクリプティング(XSS)は、Webサイトの運営者が意図していないスクリプト(たとえばJavaScript)が、Webページに埋め込まれてしまい、利用者のブラウザ上でそのスクリプトが実行される攻撃です。
入力フォームなどを通じて悪意のあるスクリプトが送信され、Webアプリケーション側でその入力内容を適切に無害化(サニタイズ)せずにHTMLにそのまま出力してしまう、といった脆弱性を利用します。
インターネットにおいてドメイン名とIPアドレスの対応付けを行うサービスを提供しているサーバに保管されている管理情報を書き換えることによって、利用者を偽のサイトへ誘導する攻撃をDNSキャッシュポイズニングという。
(出典:令和3年度春期分 問56一部改変)
答え:〇
記述の通りです。DNSキャッシュポイズニングは、DNSのキャッシュ情報を書き換え、偽サイトに誘導する攻撃手法です。
脆(ぜい)弱性のある IoT機器が幾つかの企業に多数設置されていた。その機器の1台にマルウェアが感染し、他の多数の IoT機器にマルウェア感染が拡大した。ある日のある時刻に、マルウェアに感染した多数の IoT機器が特定のWebサイトへ一斉に大量のアクセスを行い、Webサイトのサービスを停止に追い込んだ。このWebサイトが受けた攻撃はクリプトジャッキングである。
(出典:令和元年度秋期分 問100一部改変)
答え:×
設問の攻撃はDDoS攻撃です。
クリプトジャッキングとは、他人のコンピュータやスマートフォンなどの端末リソース(CPUやGPU)を無断で使って暗号資産(仮想通貨)をマイニング(採掘)する攻撃手法です。
金融機関などからの電子メールを装い、偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得する行為をフィッシングと呼ぶ。
(出典:平成28年度春期分 問63一部改変)
答え:〇
記述の通りです。フィッシングとは、インターネットを利用して、偽のウェブサイトやメールを使い、ユーザーから個人情報(ID・パスワード、クレジットカード番号など)を騙し取る詐欺行為のことです。
ソフトウェアの脆弱性への対策が公開される前に、脆弱性を悪用する攻撃をゼロデイ攻撃という。
(出典:平成30年度春期分 問87一部改変)
答え:〇
記述の通りです。ゼロデイ攻撃は、ソフトウェアやOSの「まだ修正されていない脆弱性(セキュリティの穴)」を悪用するサイバー攻撃のことです。
AIに与える指示(プロンプト)の中に、攻撃者が仕込んだ命令や指示を注入することで、意図しない応答を引き出したり、機密情報を取得させたりする攻撃を水飲み場型攻撃という。
答え:×
設問の攻撃はプロンプトインジェクション攻撃です。
水飲み場型攻撃とは、攻撃対象(標的)がよく訪れるWebサイト(いわゆる「水飲み場」)を事前に特定し、そのサイトに不正なコードやマルウェアを仕込んで感染させる攻撃手法です。
ネットワーク上のホストに対して送信可能なポート番号を調べ、どのサービスが稼働しているかを調査する手法をポートスキャンと呼ぶ。
答え:〇
記述の通りです。ポートスキャンは、ネットワーク上のコンピュータに対して、どの通信ポートが開いているかを調べる行為です。管理者の診断にも使われますが、攻撃者の事前調査(スキャニング)にも使われることがあります。
情報セキュリティ4
従業員が使用するPCがランサムウェアに感染した場合の損害を軽減する対策例としては、PCへのログイン時に、パスワードを複数回間違えたら、当該IDをロックするといったことが挙げられる。
(出典:令和7年度春期分 問92一部改変)
答え:×
ランサムウェアは、感染したコンピュータのファイルを暗号化したりシステムをロックしたりして使用不能にし、元に戻す代わりに「身代金(ランサム)」を要求するマルウェアです。したがって、IDをロックしたとしても損害を軽減できるわけではありません。
ランサムウェアの被害を最小限に抑えるためにはデータのバックアップが不可欠です。中でも、3-2-1ルール(異なるメディアに3つのコピー、2種類の保存形式、1つはオフライン)や、書き換え防止が可能なWORM機能、さらに改ざん不可能なイミュータブルバックアップの活用が効果的です。
1回の認証で、複数のサーバやアプリケーションなどへのログインを実現する仕組みを、シングルサインオンという。
(出典:令和6年度春期分 問89一部改変)
答え:〇
記述の通りです。ID・パスワードの入力回数が減って利便性が向上したり、パスワードの使い回し防止によるセキュリティ強化につながります。
従業員に貸与するスマートフォンなどのモバイル端末を遠隔から統合的に管理する仕組みであり、セキュリティの設定や、紛失時にロックしたり初期化したりする機能をもつものをMDMという。
(出典:令和2年度秋期分 問76一部改変)
答え:〇
記述の通りです。MDM(Mobile Device Management:モバイルデバイス管理)は、スマートフォンやタブレットなどのモバイル端末を一元的に管理・制御するためのシステムやソフトウェアのことです。企業や学校などで、従業員・生徒に配布されたデバイスを安全かつ効率的に利用・運用するために用いられます。
IoT機器におけるソフトウェアの改ざん対策にも用いられ、OSやファームウェアなどの起動時に、それらのデジタル署名を検証し、正当であるとみなされた場合にだけそのソフトウェアを実行する技術をTPMという。
(出典:令和5年度春期分 問85一部改変)
答え:×
設問の文章はセキュアブートの説明です。
TPM(Trusted Platform Module)は、コンピュータやデバイスに組み込まれるセキュリティチップで、暗号鍵(暗号化や復号に使われる文字列やデータ)の生成・保管・管理などを行うことで、ハードウェアレベルでのセキュリティを強化します。
セキュリティ対策として使用されるWAFとは、ECなどのWebサイトにおいて、Webアプリケーションソフトウェアの脆(ぜい)弱性を突いた攻撃からの防御や、不審なアクセスのパターンを検知する仕組みである。
(出典:令和6年度春期分 問90一部改変)
答え:〇
記述の通りです。WAF(Web Application Firewall:ウェブアプリケーションファイアウォール)は、名前の通りWebアプリケーションへの攻撃を防ぐためのファイアウォールです。SQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱性を狙った攻撃を防止するのに有効です。
ネットワーク環境で利用されるIDSの役割は、ネットワークなどに対する不正アクセスやその予兆を検知し、管理者に通知することである。
(出典:令和5年度春期分 問67一部改変)
答え:〇
記述の通りです。IDS(Intrusion Detection System:侵入検知システム)とは、ネットワークやシステム上で発生する通信や操作を監視し、不正アクセスや攻撃の兆候を検知するセキュリティシステムです。簡単に言えば、「不審な動きを見張る警報装置」のようなものです。
次の記述のうち、ファイアウォールの設置によって実現できる事項として、適切なものは2つある。
- 外部に公開するWebサーバやメールサーバを設置するためのDMZの構築
- 外部のネットワークから組織内部のネットワークヘの不正アクセスの防止
- サーバルームの入り口に設置することによるアクセスを承認された人だけの入室
- 不特定多数のクライアントからの大量の要求を複数のサーバに動的に振り分けることによるサーバ負荷の分散
(出典:令和4年度春期分 問64一部改変)
答え:〇
記述の通りです。ファイアウォール(Firewall)は、ネットワーク上での通信を監視・制御し、不正アクセスやマルウェアの侵入を防ぐセキュリティ機能です。簡単に言うと、「データの出入り口にある門番」のような役割を果たします。ファイアウォールは、DMZの構築や外部・内部ネットワークの境界防御に不可欠なセキュリティ機器であり、企業ネットワークの重要な防御線となります。
よって、適切な記述は1.と2.の2つとなります。
3.の記述は、物理的セキュリティ対策に該当します。ファイアウォールはネットワーク上の通信を制御する論理的セキュリティ機器です。
4.の記述は、ファイアウォールの役割ではなく、ロードバランサ(負荷分散装置)やアプリケーション層の仕組みによって実現される機能です。ファイアウォールは、 通信の「通す・遮断する」ことに特化したセキュリティ機器です。
複数のコンピュータが同じ内容のデータを保持し、各コンピュータがデータの正当性を検証して担保することによって、矛盾なくデータを改ざんすることが困難となる、暗号資産の基盤技術として利用されている分散型台帳を実現したものはDLPである。
(出典:令和3年度春期分 問97一部改変)
答え:×
設問の文章はブロックチェーンの説明です。取引やデータを「ブロック」と呼ばれる単位でまとめ、それを時系列に「チェーン(鎖)」のようにつなげて管理する分散型のデータベース技術です。
なお、DLP(Data Loss Prevention)とは、機密情報や重要データの漏えい・不正持ち出しを防止するための技術や仕組みのことです。社員や端末が意図的・偶発的に社外へ情報を流出させるのをリアルタイムで検出・制御します。
情報セキュリティにおけるPCI DSSとは、クレジットカード情報を取り扱う事業者に求められるセキュリティ基準である。
(出典:令和4年度春期分 問55一部改変)
答え:〇
記述の通りです。PCI DSSは、クレジットカードなどのカード会員データを安全に取り扱うための国際的なセキュリティ基準です。カード会員データの漏えいや不正使用を防ぐために、システムやネットワークの技術的・運用的な対策を標準化することを目的としています。
IoTシステムなどの設計、構築及び運用に際しての基本原則とされ、システムの企画、設計段階から情報セキュリティを確保するための方策をプライバシーバイデザインと呼ぶ。
(出典:令和5年度春期分 問61一部改変)
答え:×
設問の文章はセキュリティバイデザインの説明です。後から追加するのではなく、設計の初期段階で安全対策を組み込むことで、脆弱性の発生を防ぐという考え方です。
なお、プライバシーバイデザインとは、システムやサービスの設計・開発の初期段階から「個人情報の保護を組み込む」考え方や手法のことです。プライバシー保護を後付けではなく、設計段階から組み込むことで、個人情報漏えいや不正利用のリスクを減らします。
デジタルフォレンジックスとは、システムを実際に攻撃して脆弱性の有無を調べることである。
(出典:令和7年度春期分 問74一部改変)
答え:×
デジタルフォレンジックスとは、コンピュータやデジタル機器に保存されたデータを収集・解析し、犯罪や不正行為の証拠を明らかにするための技術や手法のことです。サイバー犯罪の調査、不正アクセスの証拠収集、情報漏えいの解析など、デジタルデータを証拠として扱うために用いられます。
なお、設問の文章はペネトレーションテスト(侵入テスト)の説明となります。システムやネットワークのセキュリティ上の弱点(脆弱性)を見つけるために、実際に攻撃者の視点で侵入を試みるテストのことです。
暗号技術と公開鍵基盤
暗号化方式の特徴について記した表において、表中の a〜d に入れる字句の適切な組合せは以下のとおりである。
a:公開鍵暗号方式
b:共通鍵暗号方式
c:遅い
d:速い
(出典:令和6年度春期分 問57一部改変)
答え:〇
暗号化と復号に異なる鍵を使う暗号方式は、公開鍵暗号方式(a)です。相手に鍵を送信する必要がないため暗号鍵の流出というリスクはなくなり、通信相手が増えてもそれぞれに暗号鍵を用意する必要がありません。しかしその一方で、暗号鍵と復号鍵が異なるため共通鍵方式よりも処理速度は遅い(c)といったデメリットがあります。
また、暗号化と復号に同じ鍵(共通鍵)を使う暗号方式は共通鍵暗号方式(b)です。1つの鍵を使って暗号化と復号を行うので処理が速い(d)といったメリットがありますが、鍵の受け渡しに盗聴・盗用のリスクがあるなどの欠点(課題)があります。
Aさんは、Bさんから次の4種類のメッセージを受け取った。Aさんが、受け取ったメッセージを復号して読むことができるものは2つある。
- AさんとBさんとの共通鍵で暗号化したメッセージ
- Aさんの公開鍵で暗号化したメッセージ
- Bさんの公開鍵で暗号化したメッセージ
- Bさんの秘密鍵で暗号化したメッセージ
(出典:令和7年度春期分 問89一部改変)
答え:×
- Aさんは読める。共通鍵暗号は、同じ鍵で暗号化・復号します。Aさんもその鍵を持っていれば復号可能です。
- Aさんは読める。公開鍵暗号方式では、公開鍵で暗号化されたメッセージは、その鍵に対応する秘密鍵でしか復号できません。Aさんは自分の秘密鍵を持っているので読めます。
- Aさんは読めない。Bさんの公開鍵で暗号化されたメッセージは、Bさんの秘密鍵がないと復号できません。AさんはBさんの秘密鍵を持っていないため読めません。
- Aさんは読める。Bさんの秘密鍵で暗号化したメッセージは、Bさんの公開鍵で復号できます。公開鍵は誰でも手に入れることができるため、Aさんも読むことができます。(これは「暗号化」というより「デジタル署名」に関する記述です。)
以上より、Aさんが、受け取ったメッセージを復号して読むことができるものは、1.、2.、4.の3つが正解です。
公開鍵暗号方式で使用する鍵に関する次の記述中のa, bに入れる字句の適切な組合せは以下のとおりである。
それぞれ公開鍵と秘密鍵をもつA社とB社で情報を送受信するとき、他者に通信を傍受されても内容を知られないように、情報を暗号化して送信することにした。
A社からB社に情報を送信する場合、A社は( a )を使って暗号化した情報をB社に送信する。B社はA社から受信した情報を( b )で復号して情報を取り出す。
a:A社の公開鍵
b:B社の秘密鍵
(出典:令和4年度春期分 問60一部改変)
答え:×
公開鍵暗号方式は、暗号化と復号に異なる鍵を使う暗号方式です。公開鍵暗号方式では、暗号化に公開鍵、復号に秘密鍵を使います。公開鍵で暗号化されたデータは、その対になる秘密鍵でしか復号できません。公開鍵は誰にでも配ってOKですが、秘密鍵は自分だけが持ちます。
設問の事例では、受信者はB社なので、A社はB社の公開鍵を使って暗号化した情報をB社に送信し、B社はA社から受信した情報をB社の秘密鍵で復号して情報を取り出します。
よって正解は、aが「B社の公開鍵」、bが「B社の秘密鍵」となります。
ハイブリッド暗号方式を用いてメッセージを送信したい。メッセージと復号用の鍵の暗号化手順を表した図において、メッセージの暗号化に使用する鍵を(1)とし、(1)の暗号化に使用する鍵を(2)としたとき、図のa、bに入れる字句の適切な組合せはどれか。
a:共通
b:公開
(出典:令和5年度春期分 問86一部改変)
答え:〇
ハイブリッド暗号方式は、共通鍵暗号方式と公開鍵暗号方式の長所を組み合わせた実用的な暗号方式です。処理の流れ(イメージ)は次のようになります。
- メッセージ本文は共通鍵(a)を使って暗号化
- 共通鍵を「受信者の公開鍵(b)」で暗号化 → 共通鍵を安全に送信
- ①と②を送信
- 受信者は「自分の秘密鍵」で共通鍵を復号
- 共通鍵でメッセージ本文を復号
- 以後は共通鍵でメッセージを暗号化・復号できる → 高速に処理
こうすることで、共通鍵を送信する際の流出リスクに対応しつつ、文書の復号処理の速度向上が図れます。
以上より、メッセージを暗号化している(a)が「共通鍵」、共通鍵を暗号化している(b)が「公開鍵」となります。
WPA2は、WEPよりも高い信頼性をもつ、無線通信の暗号化技術である。
(出典:令和7年度春期分 問90一部改変)
答え:〇
適切な記述です。WPA2は、Wi-Fi(無線LAN)通信を保護するための無線セキュリティ規格で、WEPや初代WPAの弱点を改善し、強力な暗号化と認証機能を備えています。
なお、WEPとは、無線LAN(Wi-Fi)の通信を暗号化するために最初に導入されたセキュリティ規格ですが、現在では非常に脆弱で使用非推奨とされています。
次の記述のうち、電子メールにデジタル署名を付与することによって得られる効果は2つある。
- 可用性が向上する。
- 完全性が向上する。
- 機密性が向上する。
(出典:令和4年度春期分 問70一部改変)
答え:×
情報セキュリティの3要素の内容は次の通りです。
| 要素 | 内容 |
|---|---|
| 機密性 | 情報を許可された人だけが見られるようにすること。 |
| 完全性 | 情報が正確で改ざんされていないこと。 |
| 可用性 | 必要なときに情報が使える状態であること。 |
デジタル署名とは、送信者が本物か確認し、データが改ざんされていないことを保証する技術です。したがって、上の3要素のうち、電子メールにデジタル署名を付与することによって得られる効果は「完全性が向上する」の1つが正解となります。
なお、デジタル署名のみでは盗聴を防止することはできないため、機密性は向上しません。
次の記述のうち、HDDを廃棄するときに、HDDからの情報漏えい防止策として、適切なものは2つある。
- データ消去用ソフトウェアを利用し、ランダムなデータをHDDの全ての領域に複数回書き込む。
- ドリルやメディアシュレッダーなどを用いてHDDを物理的に破壊する。
- ファイルを消去した後、HDDの論理フォーマットを行う。
(出典:令和5年度春期分 問81一部改変)
答え:〇
HDD(ハードディスクドライブ)からの情報漏えいを防ぐためには、物理的・技術的・運用的な対策を総合的に講じる必要があります。中でも、データ消去ソフトでランダムなデータを複数回書き込むなどした後、穴あけ、磁気破壊、粉砕などの専用装置を使用して物理的に破壊するのが最も確実です。
HDDの論理フォーマット(OS(Windowsなど)上で行うフォーマットで、ファイルシステムの構造を初期化する操作)だけでは、専門的な復元ソフトを使えば、消したはずのデータを復元できる可能性があるため、HDDからの情報漏えい防止策として適切ではありません。
以上より、HDDからの情報漏えい防止策として、適切なものは1.と2.の2つが正解となります。
PKI におけるCA(Certificate Authority)の役割は、インターネットと内部ネットワークの間にあって、パケットフィルタリング機能などを用いてインターネットから内部ネットワークへの不正アクセスを防ぐことである。
(出典:令和6年度春期分 問66一部改変)
答え:×
設問の文章はファイアウォールの説明です。
PKI(公開鍵基盤)におけるCA(認証局)の役割は、「利用者の公開鍵に対するデジタル証明書(公開鍵証明書)の発行や失効を行い、鍵の正当性を保証すること」などが挙げられます。
電子メールにディジタル署名を付与して送信するとき、信頼できる認証局から発行された電子証明書を使用することに比べて、送信者が自分で作成した電子証明書を使用した場合の受信側のリスクとして、「電子メールが途中で盗み見られている危険性が高まる」といったことが考えられる。
(出典:令和2年度秋期分 問100一部改変)
答え:×
デジタル証明書(電子証明書)は、基本的に公開鍵と本人情報をセットにして署名したデータなので、自分で鍵ペアを作成し、証明書として自分で署名(自己署名)すれば、誰でも証明書は作れます。しかし、それでは他人(ユーザーやブラウザ)から信用されません。そこで、信頼できる第三者(CA)による証明書が必要となるわけです。
したがって、信頼できる認証局から発行された電子証明書ではなく、送信者が自分で作成した電子証明書を使用した場合の受信側のリスクとしては「電子メールが正しい相手から送られてきたかどうかが確認できなくなる」といったことが考えられます。
なお、デジタル署名は、送信者が本物か確認し、データが改ざんされていないことを保証する技術なので、暗号化の機能はありません。よって、「電子メールが途中で盗み見られている危険性」はどちらの場合でも変わりません。
A社では、Webサイトの利用者に対して安全な通信を提供するため、SSL/TLSによる暗号化通信を導入している。このとき、利用者のブラウザがA社のWebサーバの証明書を信頼できると判断する根拠として、「利用者がWebサーバに接続した際に、Webサーバが自己署名証明書を提示したため」といったことが考えられる。
答え:×
自己署名証明書では信頼性が保証されません。PKI(公開鍵基盤)では、Webサーバ証明書は認証局(CA)によって発行され、その正当性をルート証明書により信頼します。ルート証明書は、ブラウザやOSにあらかじめ登録されているため、それに基づいてWebサーバの証明書が有効かどうかを確認できます。
よって、A社のWebサーバの証明書を信頼できると判断する根拠としては「Webサーバの証明書が、利用者のブラウザにあらかじめ登録されたルート証明書に基づいて正当であると検証できたため」といったことが考えられます。
情報セキュリティ管理
ISMSの運用にPDCAモデルを採用している組織において、サーバ監視に関する次の作業を実施する。このとき、各作業とPDCAモデルの各フェーズの組合せは以下で示すとおりである。
[作業](1) サーバ監視の具体的な目的及び手順を定める。
(2) サーバ監視の作業内容を第三者が客観的に評価する。
(3) 定められている手順に従ってサーバを監視する。
(4) 発見された問題点の是正処置として、サーバの監視方法を変更する。
| P | D | C | A |
|---|---|---|---|
| (1) | (3) | (2) | (4) |
(出典:令和7年度春期分 問83一部改変)
答え:〇
情報セキュリティの脅威や脆弱性は変化するため、一度きりの対策では不十分です。定期的な見直し・改善により、新たなリスクに柔軟に対応できる体制を維持する必要があるため、一般的にPDCAサイクルによる継続的改善が採用されています。
| 段階 | 説明 | 内容 |
|---|---|---|
| Plan (計画) | 情報セキュリティ方針、目的、リスクアセスメント、対策の選定と計画を立てる | ・情報資産の洗い出し ・リスク評価 ・セキュリティ目標の設定 ・ISMS運用計画の策定 |
| Do (実行) | 計画で立てた内容を実施する | ・セキュリティ対策の実施 ・教育・訓練の実施 ・手順書やガイドラインに従った運用 |
| Check (確認) | 実行した結果を評価・監視する | ・ログの確認や監査 ・セキュリティインシデントの記録 ・内部監査の実施 |
| Act (改善) | 確認結果をもとに改善措置を講じる | ・是正措置・予防措置の実施 ・方針や手順の見直し ・管理策の強化 |
ISMSにおける情報セキュリティ方針とは、個人情報を取り扱う部門を対象として、個人情報取扱い手順を規定したものである。
(出典:令和5年度春期分 問94一部改変)
答え:×
設問の文章はプライバシーポリシー(個人情報保護方針)の説明となります。ISMSにおける情報セキュリティ方針とは「情報セキュリティに対する組織の意図を示し、方向付けしたもの」です。
情報セキュリティポリシーを、基本方針、対策基準及び実施手順の三つの文書で構成したとき、これらに関する以下の説明のうち、適切なものは2つある。
- 基本方針は、経営者が作成した対策基準や実施手順に従って、従業員が策定したものである。
- 基本方針は、情報セキュリティ事故が発生した場合に、経営者が取るべき行動を記述したマニュアルのようなものである。
- 実施手順は、対策基準として決められたことを担当者が実施できるように、具体的な進め方などを記述したものである。
- 対策基準は、基本方針や実施手順に何を記述すべきかを定めて、関係者に周知しておくものである。
(出典:平成31年度春期分 問85一部改変)
答え:×
- 誤り。記述が逆です。基本方針が最上位であり、経営者が作成します。対策基準や手順書はその下位に位置します。
- 誤り。具体的な行動方法は実施手順に定めます。基本方針は、情報セキュリティに関する組織全体の姿勢・方針を示すものです。
- 正しい。実施手順は、現場で担当者が実際に行う作業手順や運用ルールを定めたものです。
- 誤り。対策基準は基本方針を実現するためのルール(守るべき内容)であり、手順書の記載内容を定めるものではありません。
以上より、適切な記述は3.の1つのみとなります。
以下のISMSにおける情報セキュリティ方針に関する記述として、適切なものは2つある。
- 機密事項が記載されているので、伝達する範囲を社内に限定する必要がある。
- 情報セキュリティ対策は一度実施したら終わりではないので、 ISMSを継続的に改善するコミットメントを含める必要がある。
- 部門の特性に応じて最適化するので、 ISMSを適用する組織全体ではなく、部門ごとに定める必要がある。
- ボトムアップを前提としているので、各職場の管理者によって承認される必要がある。
(出典:令和7年度春期分 問84一部改変)
答え:×
- 適切でない。情報セキュリティ方針は社内外に対して広く公表することが求められるため、機密事項を含めてはいけません。
- 適切。ISMSにおける情報セキュリティ方針は、組織のトップマネジメントが策定し、継続的改善の考え方を明確に示す必要があります。
- 適切でない。方針は組織全体に共通のものであるべきで、必要に応じて各部門に対する方針の適用方法を補足する形になります。
- 適切でない。情報セキュリティ方針は、トップマネジメントが承認しなければなりません。
以上より、適切な記述は2.の1つのみとなります。
ISMSクラウドセキュリティ認証とは、クラウドサービスで保管されている個人情報について、適切な保護措置を講じる体制を整備し、運用していることを評価して、プライバシーマークの使用を認める制度である。
(出典:令和5年度春期分 問56一部改変)
答え:×
設問の文章はプライバシーマーク制度に関する説明です。プライバシーマーク制度は、日本国内において個人情報保護に関する適切な体制を整備・運用している事業者を認定する制度です。個人情報保護に対する信頼の証として、消費者や取引先に対してアピールできるマークです。
なお、ISMSクラウドセキュリティ認証とは、情報セキュリティマネジメントシステム(ISMS)にクラウドサービス特有のセキュリティ要件を加えた認証制度です。クラウドサービス固有の管理策が適切に導入、実施されていることを認証するものです。
CSIRTとして行う活動の例として、「セキュリティ事故の発生時に影響範囲を調査して、被害拡大を防止するための対策実施を支援する」といったことが挙げられる。
(出典:令和7年度春期分 問68一部改変)
答え:〇
記述の通りです。CSIRT(シーサート)は、サイバー攻撃・情報漏えい・マルウェア感染などのインシデントに対応する専門チームです。
主に標的型攻撃などによる深刻な被害を受けた企業に対して、マルウェア解析や復旧支援などの実動支援を行う『サイバーレスキュー隊』と呼ばれる組織はJ-CSIPである。
答え:×
J-CSIP(サイバー情報共有イニシアティブ)は、サイバー攻撃に関する情報(攻撃手口、マルウェア、IPなど)を官民間で共有することで、被害の未然防止や早期対応を可能にする仕組みです。
なお、設問における組織はJ-CRAT(サイバーレスキュー隊)です。重大なサイバー攻撃(標的型攻撃など)を受けた企業に対し、マルウェア解析・復旧支援などを行うサイバーレスキュー部隊です。
JPCERTコーディネーションセンターと情報処理推進機構(IPA)が共同運営するJVN(Japan Vulnerability Notes)で、「JVN#12345678」などの形式の識別子を付けて管理している情報は「ウイルス対策ソフトの定義ファイルの最新バージョン情報」である。
(出典:平成30年度春期分 問82一部改変)
答え:×
JVN(Japan Vulnerability Notes)は、日本国内で利用されているソフトウェアや製品の脆弱性情報(セキュリティ上の欠陥)を公開・共有するための脆弱性情報ポータルサイトです。ここで管理している情報は「ソフトウェアなどの脆弱性関連情報とその対策」です。
