さて、前回学習したような技術的脅威に対する対策にはどういったものがあるかを勉強していくっす。
前回から覚えることが多くてヘロヘロなんですけど。
たしかに大変すね。しかし、その分ITパスポート試験では超頻出の分野なんす。覚えれば覚えるだけ得点につながると思ってがんばるっすよ。
身近な基本的対策
マルウェア・不正プログラム対策
企業や個人が安全にITを活用するためには、マルウェア・不正プログラム対策として、マルウェア対策ソフトの導入や、常に最新のマルウェア定義ファイルの更新を行うことが基本です。
特に近年増加しているランサムウェアに対しては、被害を最小限に抑えるためにデータのバックアップが不可欠です。中でも、3-2-1ルール(異なるメディアに3つのコピー、2種類の保存形式、1つはオフラインで保存)や、書き換え防止が可能なWORM機能、さらに改ざん不可能なイミュータブルバックアップの活用が効果的です。
インターネット利用環境におけるセキュリティ設定も重要です。例えば、スパム対策によって迷惑メールの受信を防ぎ、URLフィルタリング(Webフィルタリング)やコンテンツフィルタリングによって不適切なWebサイトへのアクセスを制限します。さらに、ネットワーク機器への接続制限にはMACアドレスフィルタリングが有効であり、家庭などではペアレンタルコントロールを使って子どもたちのネット利用を安全に管理することもできます。
クラウドサービスのセキュリティ対策としては、多要素認証の導入やアクセス制御の厳格化、データ暗号化などが求められます。また、システム全体の安全性を維持するためには、脆弱性管理としてOSのアップデートやセキュリティパッチの適用を継続的に行うことが不可欠です。
利用者認証
システムやサービスを安全に利用するためには、正当なユーザーかどうかを確認する利用者認証が重要です。パスワードだけでなく、生体認証や多要素認証を組み合わせることで、なりすましなどのリスクを大幅に軽減できます。
利用者認証の中でも、利用者ID(ユーザーを一意に識別するための情報)とパスワード(本人しか知らない秘密の文字列)による認証は、最も一般的な方法の一つです。
一度限りしか使えない使い捨てのパスワードのことをワンタイムパスワードと呼び、トークンと呼ばれる機器やアプリケーションに周期的に変更されるパスワードが表示されます。通常のパスワードとは異なり、使い回しや漏洩リスクを低減できるため、セキュリティを強化する目的で利用されます。
一度のログインで、複数のサービスやアプリに連続してアクセスできるようにする認証方式です。ID・パスワードの入力回数が減って利便性が向上したり、パスワードの使い回し防止によるセキュリティ強化につながります。
ログインや本人確認の際に、ショートメッセージサービス(SMS)を利用して送られる認証コード(ワンタイムパスワード)を使う認証方式です。
EMV 3-Dセキュア(3Dセキュア2.0)は、オンラインクレジットカード決済時の本人認証をより安全かつスムーズに行うための仕組みです。クレジットカード会社やECサイトで利用されており、セキュリティと利便性のバランスを向上させています。取引情報や端末情報から本人確認の必要性を自動判断します(リスクベース認証)。
リスクベース認証(アダプティブ認証)とは、ユーザーのログインや取引などの行動に対して、そのリスクの高さを判断し、必要に応じて追加の認証ステップを要求するセキュリティ手法です。リスクが低い場合は通常のパスワード認証だけでログインできますが、リスクが高い場合はログイン拒否や追加の本人確認などを行います。
アクセス制御・認証関連技術
アクセス制御
アクセス制御とは、誰が、どの情報やシステムに、どのような操作(閲覧・編集・削除など)を行えるかを制御する仕組みです。セキュリティの基本中の基本であり、情報漏洩や不正操作を防ぐ重要な要素です。
MDM(Mobile Device Management)
MDM(Mobile Device Management:モバイルデバイス管理)は、スマートフォンやタブレットなどのモバイル端末を一元的に管理・制御するためのシステムやソフトウェアのことです。企業や学校などで、従業員・生徒に配布されたデバイスを安全かつ効率的に利用・運用するために用いられます。
セキュリティの設定や、紛失時にロックしたり初期化したりする機能をもちます。
セキュアブート
セキュアブートは、コンピュータの起動時に信頼されたソフトウェアのみを実行できるようにするセキュリティ機能です。マルウェアや不正なOSの起動を防止することが目的です。
TPM(Trusted Platform Module)
TPM(Trusted Platform Module)は、コンピュータやデバイスに組み込まれるセキュリティチップで、暗号鍵(暗号化や復号に使われる文字列やデータ)の生成・保管・管理などを行うことで、ハードウェアレベルでのセキュリティを強化します。
暗号化については次回学習するっす。
ネットワークセキュリティ
ファイアウォール
ファイアウォール(FW:FireWall)は、ネットワーク上での通信を監視・制御し、不正アクセスやマルウェアの侵入を防ぐセキュリティ機能で、「データの出入り口にある門番」のような役割を果たします。
送受信される通信(パケット)を監視し、設定されたルールに基づいて、通信を許可したり遮断したりします。また、不正アクセス、ポートスキャン、DoS攻撃などからシステムを保護するだけでなく、不正な通信(マルウェア、情報送信など)を検出・ブロックすることで、内部からの情報漏洩を防止します。
DMZ(非武装地帯)
DMZ(DeMilitarized Zone:非武装地帯)とは、社内ネットワーク(LAN)とインターネット(外部ネットワーク)の間に設ける中間ネットワーク領域です。この領域に外部公開用のサーバー(Web、メール、DNSなど)を配置し、社内ネットワークへの直接的な侵入を防ぐためのセキュリティ対策です。
外部公開が必要なサーバーを社内LANから分離することで、インターネットから直接、社内システムにアクセスされるのを防止し、サーバーが攻撃されても社内ネットワークへの被害を最小限に抑えることを目的としています。
ファイアウォールの設置によって、外部に公開するWebサーバやメールサーバを設置するためのDMZを構築することができます。
WAF(Web Application Firewall)
WAF(Web Application Firewall:ウェブアプリケーションファイアウォール)は、名前の通りWebアプリケーションへの攻撃を防ぐためのファイアウォールです。通常のファイアウォールが「ネットワーク層(IPやポート)」を守るのに対して、WAFはアプリケーション層(HTTP/HTTPSなど)を守るのが特徴です。
特に、SQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱性を狙った攻撃を防止するのに有効です。
IDS(侵入検知システム)
IDS(Intrusion Detection System:侵入検知システム)とは、ネットワークやシステム上で発生する通信や操作を監視し、不正アクセスや攻撃の兆候を検知するセキュリティシステムです。
ネットワークやホストのログや通信内容を監視して、既知の攻撃パターンや異常な挙動をリアルタイムで検出し、管理者に通知(アラート)を送ります。
不審な動きを見張る警報装置のようなものっす。
IPS(侵入防止システム)
IPS(Intrusion Prevention System:侵入防止システム)は、ネットワークやシステムを監視して不正アクセスや攻撃を検知し、リアルタイムでブロック(遮断)するセキュリティ対策技術です。
IDSのように不正なアクセスを検出するだけでなく、能動的・即時に遮断します。IDSよりも自動化された対応が可能で、攻撃をリアルタイムで遮断できるため、被害を未然に防ぐことができます。
IDS(侵入検知)+自動ブロック機能を持った「自動で戦う警備員」のようなものっすね。
検疫ネットワーク
検疫ネットワークとは、ウイルス感染やセキュリティリスクのある端末を、一時的に隔離して安全を確認するためのネットワーク領域です。危険な端末を社内ネットワークにいきなり入れないようにする仕組みです。
データ保護・情報漏えい対策
PCI DSS
クレジットカードなどのカード会員データを安全に取り扱うための国際的なセキュリティ基準です。カード会員データの漏えいや不正使用を防ぐために、システムやネットワークの技術的・運用的な対策を標準化することを目的としています。
電子透かし
電子透かしとは、デジタルデータ(画像、音声、動画、文書など)に目に見えない、または気づきにくい形で情報を埋め込む技術のことです。著作権保護や改ざん検知、トレーサビリティ(不正コピーや違法配布の追跡)などの用途に用いられます。
ブロックチェーン
ブロックチェーンとは、取引やデータを「ブロック」と呼ばれる単位でまとめ、それを時系列に「チェーン(鎖)」のようにつなげて管理する分散型のデータベース技術です。
ブロックチェーンは多数の参加者が情報を共有し合うため、不正な改ざんがほぼ不可能とされており、暗号資産、デジタル証明書の管理、物流やサプライチェーンの追跡などに利用されています。
簡単に言うと、みんなで共有して改ざんできない記録を作る仕組みっていう感じっす。
機器やシステム、データが不正な改ざんを受けにくい性質や機能のことを耐タンパ性といいます。
ある電子データが「いつ存在していたか」を証明するための技術や仕組みのことです。特に、データの作成時刻や変更されていないことを証明する目的で使われます。
DLPとは、機密情報や重要データの漏えい・不正持ち出しを防止するための技術や仕組みのことです。社員や端末が意図的・偶発的に社外へ情報を流出させるのをリアルタイムで検出・制御します。
アプリケーション・IoTシステムのセキュリティ対策
セキュリティバイデザイン
セキュリティバイデザインとは、システムやソフトウェアの設計・開発の段階から「セキュリティを組み込む」考え方や手法のことです。後から追加するのではなく、設計の初期段階で安全対策を組み込むことで、脆弱性の発生を防ぐという考え方です。
システムやサービスの設計・開発の初期段階から「個人情報の保護を組み込む」考え方や手法のことをプライバシーバイデザインといいます。プライバシー保護を後付けではなく、設計段階から組み込むことで、個人情報漏えいや不正利用のリスクを減らします。
クロスサイトスクリプティング対策
悪意あるコード(特にJavaScriptなどのスクリプト)が混入しないように、不正な文字やタグを除去または無害化するサニタイジングなどの対策が有効です。
サニタイジングとは、主にWebアプリケーションでユーザーから受け取った入力データを安全な状態に変換・処理することを指します。
SQLインジェクション対策
出力時にHTMLやJavaScriptの特別な意味を持つ文字を無害化するエスケープ処理などの対策が有効です。
調査・分析・診断
デジタルフォレンジックス
デジタルフォレンジックスとは、コンピュータやデジタル機器に保存されたデータを収集・解析し、犯罪や不正行為の証拠を明らかにするための技術や手法のことです。サイバー犯罪の調査、不正アクセスの証拠収集、情報漏えいの解析など、デジタルデータを証拠として扱うために用いられます。
ペネトレーションテスト
ペネトレーションテスト(侵入テスト)とは、システムやネットワークのセキュリティ上の弱点(脆弱性)を見つけるために、実際に攻撃者の視点で侵入を試みるテストのことです。
セキュリティ専門家(ペネトレーター)が、許可を得た上でシステムに対して様々な攻撃手法を使い、侵入可能かどうかを検証することで、セキュリティの穴を事前に発見し、悪用される前に対策を取ることを目的として行われます。
確認○×問題
従業員が使用するPCがランサムウェアに感染した場合の損害を軽減する対策例としては、PCへのログイン時に、パスワードを複数回間違えたら、当該IDをロックするといったことが挙げられる。
(出典:令和7年度春期分 問92一部改変)
答え:×
ランサムウェアは、感染したコンピュータのファイルを暗号化したりシステムをロックしたりして使用不能にし、元に戻す代わりに「身代金(ランサム)」を要求するマルウェアです。したがって、IDをロックしたとしても損害を軽減できるわけではありません。
ランサムウェアの被害を最小限に抑えるためにはデータのバックアップが不可欠です。中でも、3-2-1ルール(異なるメディアに3つのコピー、2種類の保存形式、1つはオフライン)や、書き換え防止が可能なWORM機能、さらに改ざん不可能なイミュータブルバックアップの活用が効果的です。
1回の認証で、複数のサーバやアプリケーションなどへのログインを実現する仕組みを、シングルサインオンという。
(出典:令和6年度春期分 問89一部改変)
答え:〇
記述の通りです。ID・パスワードの入力回数が減って利便性が向上したり、パスワードの使い回し防止によるセキュリティ強化につながります。
従業員に貸与するスマートフォンなどのモバイル端末を遠隔から統合的に管理する仕組みであり、セキュリティの設定や、紛失時にロックしたり初期化したりする機能をもつものをMDMという。
(出典:令和2年度秋期分 問76一部改変)
答え:〇
記述の通りです。MDM(Mobile Device Management:モバイルデバイス管理)は、スマートフォンやタブレットなどのモバイル端末を一元的に管理・制御するためのシステムやソフトウェアのことです。企業や学校などで、従業員・生徒に配布されたデバイスを安全かつ効率的に利用・運用するために用いられます。
IoT機器におけるソフトウェアの改ざん対策にも用いられ、OSやファームウェアなどの起動時に、それらのデジタル署名を検証し、正当であるとみなされた場合にだけそのソフトウェアを実行する技術をTPMという。
(出典:令和5年度春期分 問85一部改変)
答え:×
設問の文章はセキュアブートの説明です。
TPM(Trusted Platform Module)は、コンピュータやデバイスに組み込まれるセキュリティチップで、暗号鍵(暗号化や復号に使われる文字列やデータ)の生成・保管・管理などを行うことで、ハードウェアレベルでのセキュリティを強化します。
セキュリティ対策として使用されるWAFとは、ECなどのWebサイトにおいて、Webアプリケーションソフトウェアの脆(ぜい)弱性を突いた攻撃からの防御や、不審なアクセスのパターンを検知する仕組みである。
(出典:令和6年度春期分 問90一部改変)
答え:〇
記述の通りです。WAF(Web Application Firewall:ウェブアプリケーションファイアウォール)は、名前の通りWebアプリケーションへの攻撃を防ぐためのファイアウォールです。SQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱性を狙った攻撃を防止するのに有効です。
ネットワーク環境で利用されるIDSの役割は、ネットワークなどに対する不正アクセスやその予兆を検知し、管理者に通知することである。
(出典:令和5年度春期分 問67一部改変)
答え:〇
記述の通りです。IDS(Intrusion Detection System:侵入検知システム)とは、ネットワークやシステム上で発生する通信や操作を監視し、不正アクセスや攻撃の兆候を検知するセキュリティシステムです。簡単に言えば、「不審な動きを見張る警報装置」のようなものです。
次の記述のうち、ファイアウォールの設置によって実現できる事項として、適切なものは2つある。
- 外部に公開するWebサーバやメールサーバを設置するためのDMZの構築
- 外部のネットワークから組織内部のネットワークヘの不正アクセスの防止
- サーバルームの入り口に設置することによるアクセスを承認された人だけの入室
- 不特定多数のクライアントからの大量の要求を複数のサーバに動的に振り分けることによるサーバ負荷の分散
(出典:令和4年度春期分 問64一部改変)
答え:〇
記述の通りです。ファイアウォール(Firewall)は、ネットワーク上での通信を監視・制御し、不正アクセスやマルウェアの侵入を防ぐセキュリティ機能です。簡単に言うと、「データの出入り口にある門番」のような役割を果たします。ファイアウォールは、DMZの構築や外部・内部ネットワークの境界防御に不可欠なセキュリティ機器であり、企業ネットワークの重要な防御線となります。
よって、適切な記述は1.と2.の2つとなります。
3.の記述は、物理的セキュリティ対策に該当します。ファイアウォールはネットワーク上の通信を制御する論理的セキュリティ機器です。
4.の記述は、ファイアウォールの役割ではなく、ロードバランサ(負荷分散装置)やアプリケーション層の仕組みによって実現される機能です。ファイアウォールは、 通信の「通す・遮断する」ことに特化したセキュリティ機器です。
複数のコンピュータが同じ内容のデータを保持し、各コンピュータがデータの正当性を検証して担保することによって、矛盾なくデータを改ざんすることが困難となる、暗号資産の基盤技術として利用されている分散型台帳を実現したものはDLPである。
(出典:令和3年度春期分 問97一部改変)
答え:×
設問の文章はブロックチェーンの説明です。取引やデータを「ブロック」と呼ばれる単位でまとめ、それを時系列に「チェーン(鎖)」のようにつなげて管理する分散型のデータベース技術です。
なお、DLP(Data Loss Prevention)とは、機密情報や重要データの漏えい・不正持ち出しを防止するための技術や仕組みのことです。社員や端末が意図的・偶発的に社外へ情報を流出させるのをリアルタイムで検出・制御します。
情報セキュリティにおけるPCI DSSとは、クレジットカード情報を取り扱う事業者に求められるセキュリティ基準である。
(出典:令和4年度春期分 問55一部改変)
答え:〇
記述の通りです。PCI DSSは、クレジットカードなどのカード会員データを安全に取り扱うための国際的なセキュリティ基準です。カード会員データの漏えいや不正使用を防ぐために、システムやネットワークの技術的・運用的な対策を標準化することを目的としています。
IoTシステムなどの設計、構築及び運用に際しての基本原則とされ、システムの企画、設計段階から情報セキュリティを確保するための方策をプライバシーバイデザインと呼ぶ。
(出典:令和5年度春期分 問61一部改変)
答え:×
設問の文章はセキュリティバイデザインの説明です。後から追加するのではなく、設計の初期段階で安全対策を組み込むことで、脆弱性の発生を防ぐという考え方です。
なお、プライバシーバイデザインとは、システムやサービスの設計・開発の初期段階から「個人情報の保護を組み込む」考え方や手法のことです。プライバシー保護を後付けではなく、設計段階から組み込むことで、個人情報漏えいや不正利用のリスクを減らします。
デジタルフォレンジックスとは、システムを実際に攻撃して脆弱性の有無を調べることである。
(出典:令和7年度春期分 問74一部改変)
答え:×
デジタルフォレンジックスとは、コンピュータやデジタル機器に保存されたデータを収集・解析し、犯罪や不正行為の証拠を明らかにするための技術や手法のことです。サイバー犯罪の調査、不正アクセスの証拠収集、情報漏えいの解析など、デジタルデータを証拠として扱うために用いられます。
なお、設問の文章はペネトレーションテスト(侵入テスト)の説明となります。システムやネットワークのセキュリティ上の弱点(脆弱性)を見つけるために、実際に攻撃者の視点で侵入を試みるテストのことです。
