技術的セキュリティ対策
情報セキュリティを守るためには、人的な対策だけでなく、技術の力を活用した対策が欠かせません。ここでは、ネットワークやシステムを守るためのさまざまな技術的セキュリティ対策を、カテゴリごとに整理して学んでいきます。
ネットワークを守る仕組み
Section titled “ネットワークを守る仕組み”企業のネットワークをインターネット上の脅威から守るために、さまざまな仕組みが用いられています。
ファイアウォール
Section titled “ファイアウォール”ファイアウォールとは、外部ネットワーク(インターネット)と内部ネットワーク(社内LAN)の境界に設置し、あらかじめ設定したルールに基づいて通信の許可・遮断を行う仕組みです。名前の由来は「防火壁」で、外部からの不正なアクセスが社内に入り込むのを防ぐ役割を果たします。
たとえば、「外部からWebサーバーへのHTTP通信は許可するが、データベースサーバーへの直接アクセスは遮断する」といったルールを設定します。
DMZ(非武装地帯)
Section titled “DMZ(非武装地帯)”DMZ(DeMilitarized Zone:非武装地帯)とは、外部ネットワークと内部ネットワークの間に設けられる中間的なネットワーク領域です。Webサーバーやメールサーバーなど、外部に公開する必要があるサーバーをDMZに配置します。
こうすることで、万が一DMZ上のサーバーが攻撃を受けても、内部ネットワークへの被害を最小限に抑えることができます。
graph LR
Internet["インターネット<br>(外部ネットワーク)"]:::alert
FW1["ファイアウォール①"]:::primary
FW2["ファイアウォール②"]:::primary
LAN_NET["社内LAN<br>(内部ネットワーク)"]:::base
Internet -->|"通信"| FW1
subgraph DMZ
Web["Webサーバー"]:::base
Mail["メールサーバー"]:::base
end
FW1 -->|"許可"| Web
FW1 -->|"許可"| Mail
Web --- FW2
Mail --- FW2
FW2 -->|"制限付き許可"| LAN_NET
Internet -.-|"直接通信は遮断"| LAN_NET
classDef base fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#333;
classDef primary fill:#eff6ff,stroke:#2563eb,stroke-width:2px,color:#1e40af;
classDef alert fill:#fef2f2,stroke:#dc2626,stroke-width:2px,color:#991b1b;
試験で出るポイント
「メールサーバーをDMZに設置する理由」は過去問で出題されています(2019年 問92)。外部に公開するサーバーをDMZに置くことで、内部ネットワークを保護する仕組みを押さえましょう。
IDS(侵入検知システム)と IPS(侵入防止システム)
Section titled “IDS(侵入検知システム)と IPS(侵入防止システム)”IDS(Intrusion Detection System:侵入検知システム)は、ネットワーク上の通信を監視し、不正なアクセスや攻撃の兆候を検知して管理者に通知する仕組みです。ただし、IDS自体は通信を遮断する機能を持ちません。
一方、IPS(Intrusion Prevention System:侵入防止システム)は、IDSの機能に加えて、不正な通信を自動的に遮断する機能を持ちます。
| 仕組み | 不正通信の検知 | 不正通信の遮断 |
|---|---|---|
| IDS | できる | できない(通知のみ) |
| IPS | できる | できる(自動遮断) |
IDSは「見張り番」、IPSは「見張り番+門番」とイメージするとわかりやすいでしょう。
WAF(Web Application Firewall)
Section titled “WAF(Web Application Firewall)”WAF(Web Application Firewall)は、Webアプリケーションへの攻撃を検知・遮断する専用のファイアウォールです。通常のファイアウォールがIPアドレスやポート番号をもとに通信を制御するのに対し、WAFはWebアプリケーションへの通信内容(HTTPリクエスト)を詳しく検査します。
クロスサイトスクリプティング(Webページに悪意のあるスクリプトを埋め込む攻撃)やSQLインジェクション(データベースを不正に操作する攻撃)といったWebアプリケーション特有の攻撃への対策として有効です。
コールバック
Section titled “コールバック”コールバックとは、リモートアクセス時のセキュリティ対策の一つです。利用者が外部からシステムに接続しようとしたとき、一度その接続を切断し、あらかじめ登録されている電話番号にシステム側から折り返し電話をかけて接続し直す仕組みです。これにより、登録されていない場所からの不正アクセスを防ぎます。
検疫ネットワーク
Section titled “検疫ネットワーク”検疫ネットワークとは、社内ネットワークに接続しようとするPCを、まず隔離された専用ネットワークに接続させ、セキュリティの状態(ウイルス対策ソフトの更新状況やOSのパッチ適用状況など)を検査する仕組みです。検査に合格したPCだけが社内ネットワークへの接続を許可されます。
病院の「検疫」と同じ考え方で、ウイルスに感染している可能性のある端末を社内ネットワークに入れないようにします。
通信を暗号化して守る仕組み
Section titled “通信を暗号化して守る仕組み”ネットワーク上の通信を盗聴されても内容がわからないように、暗号化の技術が使われます。
SSL/TLS
Section titled “SSL/TLS”SSL/TLS(Secure Sockets Layer / Transport Layer Security)は、インターネット上の通信を暗号化するプロトコル(通信規約)です。WebブラウザでURLが「https://」で始まるサイトにアクセスしたとき、SSL/TLSによる暗号化通信が行われています。
SSL/TLSにより、以下のことが実現できます。
- 通信内容の暗号化(盗聴されても内容がわからない)
- 通信相手の認証(なりすましを防止する)
- 通信内容の改ざん検知(途中でデータが書き換えられていないか確認する)
VPN(Virtual Private Network)
Section titled “VPN(Virtual Private Network)”VPN(Virtual Private Network:仮想プライベートネットワーク)は、インターネットなどの公共のネットワーク上に、暗号化技術を使って仮想的な専用回線を構築する技術です。
たとえば、自宅から会社のネットワークにアクセスするテレワークの場面で、VPNを使うことで安全に社内システムを利用できます。物理的に専用回線を引くよりも低コストで、セキュリティを確保した通信が可能になります。
試験で出るポイント
VPNは「公共のネットワーク上に仮想的な専用回線を作る」技術です。「物理的な専用線」とは異なる点を押さえておきましょう。
端末・デバイスを守る仕組み
Section titled “端末・デバイスを守る仕組み”ネットワークの入口を守るだけでなく、PCやスマートフォンなどの端末(エンドポイント)自体を守ることも重要です。
EDR(Endpoint Detection and Response)
Section titled “EDR(Endpoint Detection and Response)”EDR(Endpoint Detection and Response)は、PCやサーバーなどのエンドポイント(端末)の動作を常時監視し、不審な振る舞いを検知・対応する仕組みです。
従来のウイルス対策ソフトが「既知のマルウェアを検知して防ぐ」ことに重点を置くのに対し、EDRは「マルウェアに侵入された後の検知と対応」に強みがあります。未知の攻撃にも対応できるため、近年注目されています。
マルウェア対策
Section titled “マルウェア対策”マルウェア対策の基本は、以下の取り組みです。
- マルウェア対策ソフト(ウイルス対策ソフト)の導入
- マルウェア定義ファイル(パターンファイル)の定期的な更新
- OS やアプリケーションを最新の状態に保つ
マルウェア定義ファイルとは、既知のマルウェアの特徴を記録したデータベースです。新しいマルウェアが発見されるたびに更新されるため、常に最新の状態にしておくことが重要です。
ランサムウェア対策と 3-2-1 ルール
Section titled “ランサムウェア対策と 3-2-1 ルール”ランサムウェア(身代金要求型マルウェア)に備えるために、データのバックアップが非常に重要です。バックアップの指針として知られているのが3-2-1ルールです。
| ルール | 内容 |
|---|---|
| 3 つのコピー | データは本体を含めて3つ以上のコピーを持つ |
| 2 種類のメディア | 異なる2種類以上の記録媒体に保存する(例:HDDとクラウド) |
| 1 つはオフサイト | 1つは物理的に離れた場所に保管する |
さらに、イミュータブルバックアップ(変更不可能なバックアップ)も有効です。これは一度書き込んだデータを上書き・削除できないようにするバックアップ方式で、ランサムウェアによるバックアップデータの暗号化を防ぎます。
この仕組みを支える技術としてWORM(Write Once Read Many)機能があります。WORMは「一度だけ書き込み、何度でも読み出せる」という特性を持ち、データの改ざんや削除を技術的に防止します。
試験で出るポイント
3-2-1ルールとイミュータブルバックアップはシラバスVer.6.5で追加された新しい用語です。ランサムウェア対策として出題される可能性が高いので、しっかり覚えておきましょう。
MDM(Mobile Device Management)
Section titled “MDM(Mobile Device Management)”MDM(Mobile Device Management:モバイルデバイス管理)は、企業が従業員に配布したスマートフォンやタブレットなどのモバイル端末を一元的に管理する仕組みです。
MDMを使うと、以下のようなことができます。
- 端末の利用状況の把握
- アプリケーションのインストール制限
- 紛失時の遠隔ロック・データ消去(リモートワイプ)
- セキュリティポリシーの強制適用
セキュアブートと TPM
Section titled “セキュアブートと TPM”セキュアブートとは、コンピュータの起動時に、あらかじめ認証されたソフトウェアだけを実行する仕組みです。OSが起動する前の段階でマルウェアが動作することを防ぎます。
TPM(Trusted Platform Module:セキュリティチップ)は、暗号化処理やデジタル署名の検証などを行う専用のセキュリティチップです。コンピュータのマザーボードに搭載されており、暗号鍵の安全な保管やセキュアブートの実現に利用されます。
試験で出るポイント
TPMは「暗号化処理を行うセキュリティチップ」として出題されます(2019年 問73)。ソフトウェアではなくハードウェア(チップ)である点がポイントです。
耐タンパ性とは、ハードウェアやソフトウェアが不正な解析や改ざんに対して耐性を持つ性質のことです。たとえば、ICカードの内部を物理的に分解して情報を読み取ろうとすると、自動的にデータが消去される仕組みなどが耐タンパ性にあたります。TPMも耐タンパ性を備えた部品の一つです。
データを守る仕組み
Section titled “データを守る仕組み”企業にとって重要な情報資産であるデータそのものを保護するための技術があります。
アクセス制御
Section titled “アクセス制御”アクセス制御とは、情報やシステムに対して「誰が」「どの範囲で」アクセスできるかを管理する仕組みです。たとえば、人事データは人事部門の社員だけが閲覧でき、一般社員はアクセスできないように設定します。
アクセス制御は、情報セキュリティの三要素のうち機密性を確保するための基本的な対策です。
試験で出るポイント
「機密性を確保するための対策は何か」という問いに対する答えがアクセス制御です(2019年 問78)。暗号化と並んで代表的な対策として覚えておきましょう。
DLP(Data Loss Prevention)
Section titled “DLP(Data Loss Prevention)”DLP(Data Loss Prevention)は、機密情報が組織の外部に漏えいすることを防ぐ仕組みです。メールの送信やUSBメモリへのコピーなど、データの移動を監視し、ポリシーに違反する操作を検知・遮断します。
従来のアクセス制御が「誰がアクセスできるか」を管理するのに対し、DLPは「データそのものの動き」を監視する点が特徴です。
電子透かしとは、画像や音声、動画などのデジタルコンテンツに、人間には知覚しにくい形で情報を埋め込む技術です。コンテンツの不正コピーや流出元の特定に利用されます。たとえば、社外秘の文書にその文書を閲覧した人の情報を電子透かしとして埋め込んでおけば、流出した場合に誰が持ち出したかを追跡できます。
SIEM(Security Information and Event Management)
Section titled “SIEM(Security Information and Event Management)”SIEM(Security Information and Event Management)は、ファイアウォールやIDS/IPS、サーバーなど、さまざまな機器やソフトウェアのログ(動作記録)を一元的に収集・分析し、セキュリティ上の脅威をリアルタイムに検知する仕組みです。
個々の機器のログだけでは気づきにくい攻撃も、複数のログを組み合わせて分析することで、異常を早期に発見できます。
セキュリティの調査・テスト
Section titled “セキュリティの調査・テスト”セキュリティ対策が十分かどうかを確認するための技術や手法もあります。
ペネトレーションテスト
Section titled “ペネトレーションテスト”ペネトレーションテスト(侵入テスト)とは、実際に攻撃者の視点でシステムへの侵入を試み、セキュリティ上の弱点がないかを検証するテストです。専門の技術者が、さまざまな攻撃手法を用いてシステムの脆弱性を調査します。
デジタルフォレンジックス
Section titled “デジタルフォレンジックス”デジタルフォレンジックスとは、不正アクセスや情報漏えいなどのセキュリティインシデントが発生した際に、コンピュータやネットワーク上のデジタルデータを収集・保全・分析し、証拠として活用する技術や手法です。「フォレンジックス」は「法科学」を意味し、犯罪捜査における鑑識に相当する作業です。
削除されたファイルの復元や、通信ログの解析、不正操作の痕跡調査などが行われます。
アプリケーション・設計段階の対策
Section titled “アプリケーション・設計段階の対策”システムの設計段階からセキュリティを考慮することも重要です。
セキュリティバイデザイン
Section titled “セキュリティバイデザイン”セキュリティバイデザインとは、システムの企画・設計の段階からセキュリティ対策を組み込む考え方です。完成後に対策を追加するのではなく、最初から安全な設計にすることで、効果的かつ低コストでセキュリティを確保できます。
プライバシーバイデザイン
Section titled “プライバシーバイデザイン”プライバシーバイデザインとは、システムやサービスの設計段階から個人情報やプライバシーの保護を組み込む考え方です。セキュリティバイデザインが「攻撃からシステムを守る」ことに重点を置くのに対し、プライバシーバイデザインは「個人のプライバシーを尊重する」ことに重点を置きます。
クロスサイトスクリプティング対策
Section titled “クロスサイトスクリプティング対策”クロスサイトスクリプティング(XSS)とは、Webページに悪意のあるスクリプトを埋め込み、利用者のブラウザ上で実行させる攻撃です。対策としては、入力されたデータのサニタイジング(無害化処理)や、WAFの導入などが行われます。
SQLインジェクション対策
Section titled “SQLインジェクション対策”SQLインジェクションとは、Webアプリケーションの入力欄に不正なSQL文を挿入し、データベースを不正に操作する攻撃です。対策としては、プレースホルダ(バインド変数)の使用や、入力値の検証、WAFの導入などが有効です。
システムを安全に保つためには、日常的な脆弱性管理が欠かせません。脆弱性管理の基本は以下の通りです。
- OSアップデートを定期的に実施する
- セキュリティパッチ(脆弱性を修正するための更新プログラム)を速やかに適用する
- 使用しているソフトウェアの脆弱性情報を継続的に収集する
インターネット利用環境のセキュリティ設定
Section titled “インターネット利用環境のセキュリティ設定”日常的なインターネット利用においても、さまざまなセキュリティ設定が活用されています。
| 対策 | 内容 |
|---|---|
| スパム対策 | 迷惑メール(スパムメール)をフィルタリングして排除する |
| URLフィルタリング | 特定のURLへのアクセスを制限する |
| Webフィルタリング | 不適切なWebサイトへのアクセスを制限する |
| コンテンツフィルタリング | コンテンツの内容に基づいてアクセスを制限する |
| MACアドレスフィルタリング | 機器固有のMACアドレスを使って、接続を許可する端末を制限する |
| ペアレンタルコントロール | 保護者が子どものインターネット利用を制限する機能 |
URLフィルタリング、Webフィルタリング、コンテンツフィルタリングは似た概念ですが、それぞれ制限の基準が異なります。URLフィルタリングはURLのリストに基づき、Webフィルタリングはサイトのカテゴリに基づき、コンテンツフィルタリングはページの内容に基づいてアクセスを判断します。
クラウドサービスのセキュリティ対策
Section titled “クラウドサービスのセキュリティ対策”クラウドサービスのセキュリティ対策として、以下のような取り組みが重要です。
- クラウドサービス事業者のセキュリティ対策の確認(認証取得状況やSLAの内容)
- データの暗号化(保存時・通信時の両方)
- アクセス制御と認証の強化(多要素認証の導入など)
- 利用者側でもバックアップを取得する
クラウド環境では、利用者とサービス事業者の双方がセキュリティに責任を持つ「責任共有モデル」の考え方が重要です。
その他の技術的セキュリティ対策
Section titled “その他の技術的セキュリティ対策”ブロックチェーン
Section titled “ブロックチェーン”ブロックチェーンとは、取引データを「ブロック」と呼ばれる単位にまとめ、それを時系列で「チェーン」のように連結して分散管理する技術です。仮想通貨(暗号資産)の基盤技術として知られていますが、セキュリティの観点では、データの改ざんが極めて困難であるという特徴があります。
すべての参加者がデータのコピーを持ち合い、相互に検証する仕組みのため、一部のデータを改ざんしても他の参加者のデータと一致しなくなり、不正がすぐに検知されます。
試験で出るポイント
ブロックチェーンは「データの改ざんが困難な分散型の仕組み」として出題されます(2019年 問59)。仮想通貨だけでなく、さまざまな分野への応用が期待されています。
まとめ ── 技術的セキュリティ対策の全体像
Section titled “まとめ ── 技術的セキュリティ対策の全体像”技術的セキュリティ対策は、大きく以下のカテゴリに分けて整理できます。
| カテゴリ | 主な対策 |
|---|---|
| ネットワーク防御 | ファイアウォール、DMZ、IDS/IPS、WAF、コールバック、検疫ネットワーク |
| 通信の暗号化 | SSL/TLS、VPN |
| 端末・デバイス管理 | EDR、マルウェア対策、MDM、セキュアブート、TPM、耐タンパ性 |
| データ保護 | アクセス制御、DLP、電子透かし、SIEM |
| バックアップ | 3-2-1ルール、イミュータブルバックアップ、WORM機能 |
| 調査・テスト | ペネトレーションテスト、デジタルフォレンジックス |
| 設計段階の対策 | セキュリティバイデザイン、プライバシーバイデザイン |
| アプリケーション対策 | クロスサイトスクリプティング対策、SQLインジェクション対策、脆弱性管理 |
| インターネット利用 | スパム対策、各種フィルタリング、ペアレンタルコントロール |
| クラウド | クラウドサービスのセキュリティ対策 |
| その他 | ブロックチェーン |
試験で出るポイント
この分野は用語の数が非常に多いですが、試験では各用語の「意味」や「役割」を正しく選べるかが問われます。DMZ・ファイアウォール・VPN・TPMは特に頻出です。それぞれの用語が「何を」「どのように」守るのかを理解しておきましょう。
過去問で実力チェック
Section titled “過去問で実力チェック”過去問に挑戦
Q. 複数の取引記録をまとめたデータを順次作成するときに,そのデータに直前のデータのハッシュ値を埋め込むことによって,データを相互に関連付け,取引記録を矛盾なく改ざんすることを困難にすることで,データの信頼性を高める技術はどれか。
- ア LPWA
- イ SDN
- ウ エッジコンピューティング
- エ ブロックチェーン
解答(令和元年)
正解: エ
Q. チェーンメールの特徴として,適切なものだけを全て挙げたものはどれか。
a グループ内の連絡や情報共有目的で利用される。
b ネットワークやサーバに,無駄な負荷をかける。
c 返信に対する返信を,お互いに何度も繰り返す。
d 本文中に,多数への転送を煽あおる文言が記されている。
- ア a, c
- イ a, d
- ウ b, c
- エ b, d
解答(令和元年)
正解: エ
Q. IoT機器やPCに保管されているデータを暗号化するためのセキュリティチップであり,暗号化に利用する鍵などの情報をチップの内部に記憶しており,外部から内部の情報の取出しが困難な構造をもつものはどれか。
- ア GPU
- イ NFC
- ウ TLS
- エ TPM
解答(令和元年)
正解: エ
Q. 部外秘とすべき電子ファイルがある。このファイルの機密性を確保するために使用するセキュリティ対策技術として,適切なものはどれか。
- ア アクセス制御
- イ タイムスタンプ
- ウ ディジタル署名
- エ ホットスタンバイ
解答(令和元年)
正解: ア
Q. 外部と通信するメールサーバをDMZに設置する理由として,適切なものはどれか。
- ア 機密ファイルが添付された電子メールが,外部に送信されるのを防ぐため
- イ 社員が外部の取引先へ送信する際に電子メールの暗号化を行うため
- ウ メーリングリストのメンバのメールアドレスが外部に漏れないようにするため
- エ メールサーバを踏み台にして,外部から社内ネットワークに侵入させないため
解答(令和元年)
正解: エ
Q. 従業員に貸与するスマートフォンなどのモバイル端末を遠隔から統合的に管理する仕組みであり,セキュリティの設定や,紛失時にロックしたり初期化したりする機能をもつものはどれか。
- ア DMZ
- イ MDM
- ウ SDN
- エ VPN
解答(令和2年)
正解: イ
Q. 通信プロトコルとしてTCP/IPを用いるVPNには,インターネットを使用するインターネットVPNや通信事業者の独自ネットワークを使用するIP-VPNなどがある。インターネットVPNではできないが,IP-VPNではできることはどれか。
- ア IP電話を用いた音声通話
- イ 帯域幅などの通信品質の保証
- ウ 盗聴,改ざんの防止
- エ 動画の配信
解答(令和2年)
正解: イ
Q. ファイルサーバに保存されている文書ファイルの内容をPCで直接編集した後,上書き保存しようとしたら「権限がないので保存できません」というメッセージが表示された。この文書ファイルとそれが保存されているフォルダに設定されていた権限の組合せとして,適切なものはどれか。
| ファイル読取り権限 | ファイル書込み権限 | フォルダ読取り権限 | |
|---|---|---|---|
| ア | あり | あり | なし |
| イ | あり | なし | あり |
| ウ | なし | あり | なし |
| エ | なし | なし | あり |
- ア あり / あり / なし
- イ あり / なし / あり
- ウ なし / あり / なし
- エ なし / なし / あり
解答(令和2年)
正解: イ
Q. 無線LANにおいて,PCとアクセスポイント間の電波傍受による盗聴の対策として,適切なものはどれか。
- ア MACアドレスフィルタリングを設定する。
- イ アクセスポイントからのESSID通知を停止する。
- ウ アクセスポイントのESSIDを推定しにくい値に設定する。
- エ セキュリティの設定で,WPA2を選択する。
解答(令和2年)
正解: エ
Q. サーバルームへの共連れによる不正入室を防ぐ物理的セキュリティ対策の例として,適切なものはどれか。
- ア サークル型のセキュリティゲートを設置する。
- イ サーバの入ったラックを施錠する。
- ウ サーバルーム内にいる間は入室証を着用するルールとする。
- エ サーバルームの入り口に入退室管理簿を置いて記録させる。
解答(令和3年)
正解: ア
Q. PCやスマートフォンのブラウザから無線LANのアクセスポイントを経由して,インターネット上のWebサーバにアクセスする。このときの通信の暗号化に利用するSSL/TLSとWPA2に関する記述のうち,適切なものはどれか。
- ア SSL/TLSの利用の有無にかかわらず,WPA2を利用することによって,ブラウザとWebサーバ間の通信を暗号化できる。
- イ WPA2の利用の有無にかかわらず,SSL/TLSを利用することによって,ブラウザとWebサーバ間の通信を暗号化できる。
- ウ ブラウザとWebサーバ間の通信を暗号化するためには,PCの場合はSSL/TLSを利用し,スマートフォンの場合はWPA2を利用する。
- エ ブラウザとWebサーバ間の通信を暗号化するためには,PCの場合はWPA2を利用し,スマートフォンの場合はSSL/TLSを利用する。
解答(令和3年)
正解: イ
Q. シャドーITの例として,適切なものはどれか。
- ア 会社のルールに従い,災害時に備えて情報システムの重要なデータを遠隔地にバックアップした。
- イ 他の社員がパスワードを入力しているところをのぞき見て入手したパスワードを使って,情報システムにログインした。
- ウ 他の社員にPCの画面をのぞかれないように,離席する際にスクリーンロックを行った。
- エ データ量が多く電子メールで送れない業務で使うファイルを,会社が許可していないオンラインストレージサービスを利用して取引先に送付した。
解答(令和3年)
正解: エ
Q. 全ての通信区間で盗聴されるおそれがある通信環境において,受信者以外に内容を知られたくないファイルを電子メールに添付して送る方法として,最も適切なものはどれか。
- ア S/MIMEを利用して電子メールを暗号化する。
- イ SSL/TLSを利用してプロバイダのメールサーバとの通信を暗号化する。
- ウ WPA2を利用して通信を暗号化する。
- エ パスワードで保護されたファイルを電子メールに添付して送信した後,別の電子メールでパスワードを相手に知らせる。
解答(令和3年)
正解: ア
Q. IoTデバイスに関わるリスク対策のうち,IoTデバイスが盗まれた場合の耐タンパ性を高めることができるものはどれか。
- ア IoTデバイスとIoTサーバ間の通信を暗号化する。
- イ IoTデバイス内のデータを,暗号鍵を内蔵するセキュリティチップを使って暗号化する。
- ウ IoTデバイスに最新のセキュリティパッチを速やかに適用する。
- エ IoTデバイスへのログインパスワードを初期値から変更する。
解答(令和3年)
正解: イ
Q. 無線LANのセキュリティにおいて,アクセスポイントがPCなどの端末からの接続要求を受け取ったときに,接続を要求してきた端末固有の情報を基に接続制限を行う仕組みはどれか。
- ア ESSID
- イ MACアドレスフィルタリング
- ウ VPN
- エ WPA2
解答(令和3年)
正解: イ
Q. 複数のコンピュータが同じ内容のデータを保持し,各コンピュータがデータの正当性を検証して担保することによって,矛盾なくデータを改ざんすることが困難となる,暗号資産の基盤技術として利用されている分散型台帳を実現したものはどれか。
- ア クラウドコンピューティング
- イ ディープラーニング
- ウ ブロックチェーン
- エ リレーショナルデータベース
解答(令和3年)
正解: ウ
Q. ランサムウェアによる損害を受けてしまった場合を想定して,その損害を軽減するための対策例として,適切なものはどれか。
- ア PC内の重要なファイルは,PCから取外し可能な外部記憶装置に定期的にバックアップしておく。
- イ Webサービスごとに,使用するIDやパスワードを異なるものにしておく。
- ウ マルウェア対策ソフトを用いてPC内の全ファイルの検査をしておく。
- エ 無線LANを使用するときには,WPA2を用いて通信内容を暗号化しておく。
解答(令和4年)
正解: ア
Q. a〜d のうち,ファイアウォールの設置によって実現できる事項として,適切なものだけを全て挙げたものはどれか。
a 外部に公開するWebサーバやメールサーバを設置するためのDMZの構築
b 外部のネットワークから組織内部のネットワークヘの不正アクセスの防止
c サーバルームの入り口に設置することによるアクセスを承認された人だけの入室
d 不特定多数のクライアントからの大量の要求を複数のサーバに動的に振り分けることによるサーバ負荷の分散
- ア a,b
- イ a,b,d
- ウ b,c
- エ c,d
解答(令和4年)
正解: ア
Q. サイバーキルチェーンの説明として,適切なものはどれか。
- ア 情報システムヘの攻撃段階を,偵察,攻撃,目的の実行などの複数のフェーズに分けてモデル化したもの
- イ ハブやスイッチなどの複数のネットワーク機器を数珠つなぎに接続していく接続方式
- ウ ブロックと呼ばれる幾つかの取引記録をまとめた単位を,一つ前のブロックの内容を示すハッシュ値を設定して,鎖のようにつなぐ分散管理台帳技術
- エ 本文中に他者への転送を促す文言が記述された迷惑な電子メールが,不特定多数を対象に,ネットワーク上で次々と転送されること
解答(令和4年)
正解: ア
Q. サーバ室など,セキュリティで保護された区画への入退室管理において,一人の認証で他者も一緒に入室する共連れの防止対策として,利用されるものはどれか。
- ア アンチパスバック
- イ コールバック
- ウ シングルサインオン
- エ バックドア
解答(令和4年)
正解: ア
Q. 社内に設置された無線LANネットワークに接続している業務用のPCで,インターネット上のあるWebサイトを閲覧した直後,Webブラウザが突然終了したり,見知らぬファイルが作成されたりするなど,マルウェアに感染した可能性が考えられる事象が発生した。このPCの利用者が最初に取るべき行動として適切なものはどれか。
- ア Webブラウザを再インストールする。
- イ マルウェア対策ソフトのマルウェア定義ファイルを最新にする。
- ウ 無線LANとの通信を切断し,PCをネットワークから隔離する。
- エ 無線通信の暗号化方式を変更する。
解答(令和4年)
正解: ウ
Q. IoTデバイスにおけるセキュリティ対策のうち,耐タンパ性をもたせる対策として,適切なものはどれか。
- ア サーバからの接続認証が連続して一定回数失敗したら,接続できないようにする。
- イ 通信するデータを暗号化し,データの機密性を確保する。
- ウ 内蔵ソフトウェアにオンラインアップデート機能をもたせ,最新のパッチが適用されるようにする。
- エ 内蔵ソフトウェアを難読化し,解読に要する時間を増大させる。
解答(令和5年)
正解: エ
Q. IoTシステムなどの設計,構築及び運用に際しての基本原則とされ,システムの企画,設計段階から情報セキュリティを確保するための方策を何と呼ぶか。
- ア セキュアブート
- イ セキュリティバイデザイン
- ウ ユニバーサルデザイン
- エ リブート
解答(令和5年)
正解: イ
Q. Wi-Fiのセキュリティ規格であるWPA2を用いて,PCを無線LANルータと接続するときに設定するPSKの説明として,適切なものはどれか。
- ア アクセスポイントへの接続を認証するときに用いる符号(パスフレーズ)であり,この符号に基づいて,接続するPCごとに通信の暗号化に用いる鍵が生成される。
- イ アクセスポイントへの接続を認証するときに用いる符号(パスフレーズ)であり,この符号に基づいて,接続するPCごとにプライベートIPアドレスが割り当てられる。
- ウ 接続するアクセスポイントを識別するために用いる名前であり,この名前に基づいて,接続するPCごとに通信の暗号化に用いる鍵が生成される。
- エ 接続するアクセスポイントを識別するために用いる名前であり,この名前に基づいて,接続するPCごとにプライベートIPアドレスが割り当てられる。
解答(令和5年)
正解: ア
Q. ネットワーク環境で利用されるIDSの役割として,適切なものはどれか。
- ア IPアドレスとドメイン名を相互に変換する。
- イ ネットワーク上の複数のコンピュータの時刻を同期させる。
- ウ ネットワークなどに対する不正アクセスやその予兆を検知し,管理者に通知する。
- エ メールサーバに届いた電子メールを,メールクライアントに送る。
解答(令和5年)
正解: ウ
Q. HDDを廃棄するときに,HDDからの情報漏えい防止策として,適切なものだけを全て挙げたものはどれか。
a データ消去用ソフトウェアを利用し,ランダムなデータをHDDの全ての領域に複数回書き込む。
b ドリルやメディアシュレッダーなどを用いてHDDを物理的に破壊する。
c ファイルを消去した後,HDDの論理フォーマットを行う。
- ア a,b
- イ a,b,c
- ウ a,c
- エ b,c
解答(令和5年)
正解: ア
Q. IoT機器におけるソフトウェアの改ざん対策にも用いられ,OSやファームウェアなどの起動時に,それらのデジタル署名を検証し,正当であるとみなされた場合にだけそのソフトウェアを実行する技術はどれか。
- ア GPU
- イ RAID
- ウ セキュアブート
- エ リブート
解答(令和5年)
正解: ウ
Q. SSDの全てのデータを消去し,復元できなくする方法として用いられているものはどれか。
- ア Secure Erase
- イ 磁気消去
- ウ セキュアブート
- エ データクレンジング
解答(令和6年)
正解: ア
Q. ESSIDをステルス化することによって得られる効果として,適切なものはどれか。
- ア アクセスポイントと端末間の通信を暗号化できる。
- イ アクセスポイントに接続してくる端末を認証できる。
- ウ アクセスポイントへの不正接続リスクを低減できる。
- エ アクセスポイントを介さず,端末同士で直接通信できる。
解答(令和6年)
正解: ウ
Q. ISMSクラウドセキュリティ認証に関する記述として,適切なものはどれか。
- ア 一度認証するだけで,複数のクラウドサービスやシステムなどを利用できるようにする認証の仕組み
- イ クラウドサービスについて,クラウドサービス固有の管理策が実施されていることを認証する制度
- ウ 個人情報について適切な保護措置を講ずる体制を整備しているクラウド事業者などを評価して,事業活動に関してプライバシーマークの使用を認める制度
- エ 利用者がクラウドサービスへログインするときの環境,IPアドレスなどに基づいて状況を分析し,リスクが高いと判断された場合に追加の認証を行う仕組み
解答(令和6年)
正解: イ
Q. セキュリティ対策として使用されるWAFの説明として,適切なものはどれか。
- ア ECなどのWebサイトにおいて,Webアプリケーションソフトウェアの脆ぜい弱性を突いた攻撃からの防御や,不審なアクセスのパターンを検知する仕組み
- イ インターネットなどの公共のネットワークを用いて,専用線のようなセキュアな通信環境を実現する仕組み
- ウ 情報システムにおいて,機密データを特定して監視することによって,機密データの紛失や外部への漏えいを防止する仕組み
- エ ファイアウォールを用いて,インターネットと企業の内部ネットワークとの間に緩衝領域を作る仕組み
解答(令和6年)
正解: ア
Q. 職場で不要になったPCを廃棄する場合の情報漏えい対策として,最も適切なものはどれか。
- ア OSが用意しているファイル削除の機能を使って,PC内のデータファイルを全て削除する。
- イ PCにインストールされているアプリケーションを全てアンインストールする。
- ウ PCに内蔵されている全ての記憶装置を論理フォーマットする。
- エ 専用ソフトなどを使って,PCに内蔵されている全ての記憶装置の内容を消去するために,ランダムなデータを規定回数だけ上書きする。
解答(令和6年)
正解: エ
Q. ランサムウェアに関する記述として,最も適切なものはどれか。
- ア PCに外部から不正にログインするための侵入路をひそかに設置する。
- イ PCのファイルを勝手に暗号化し,復号のためのキーを提供することなどを条件に金銭を要求する。
- ウ Webブラウザを乗っ取り,オンラインバンキングなどの通信に割り込んで不正送金などを行う。
- エ 自らネットワークを経由して感染を広げる機能をもち,まん延していく。
解答(令和6年)
正解: イ
Q. デジタルフォレンジックスの説明として,適切なものはどれか。
- ア コンピュータに関する犯罪や法的紛争が生じた際に,コンピュータから削除された電子メールを復元するなどして,証拠を収集し保全すること
- イ システムを実際に攻撃して脆弱性の有無を調べること
- ウ 通信経路を暗号化するなどして,公衆回線をあたかも専用回線であるかのように利用すること
- エ 電子メールやファイルなどのハッシュデータを本人の秘密鍵で暗号化すること
解答(令和7年)
正解: ア
Q. ネットワークやホストを監視することによって,不正アクセスや不審な通信を発見し,報告する仕組みはどれか。
- ア DMZ
- イ IDS
- ウ アンチパスバック
- エ ボット
解答(令和7年)
正解: イ
Q. 無線LANのセキュリティ対策に関する記述として,適切なものはどれか。
- ア APIは,複数のアクセスポイントをグループ化して管理するIDである。
- イ SSHは,アクセスポイントをステルス化することで無線LANネットワークを隠蔽する機能である。
- ウ VPNは,アクセスポイントに登録したMACアドレスをもつ機器以外からの接続を拒否する機能である。
- エ WPA2は,WEPよりも高い信頼性をもつ,無線通信の暗号化技術である。
解答(令和7年)
正解: エ
Q. 従業員が使用するPCがランサムウェアに感染した場合の損害を軽減する対策例として,適切なものはどれか。
- ア PCが接続するファイルサーバのHDDのバックアップデータを定期的に取得し,ネットワークから切り離して保管する。
- イ PCに多要素認証の仕組みを導入する。
- ウ PCのHDDを暗号化する。
- エ PCへのログイン時に,パスワードを複数回間違えたら,当該IDをロックする。
解答(令和7年)
正解: ア