この記事で分かること
- ITパスポートの情報セキュリティ分野の出題傾向と頻出テーマ
- マルウェア・暗号化・認証の3大テーマの攻略法
- セキュリティ用語を効率的に整理するための分類法
- 本番で間違えやすい問題のパターンと対処法
- テクノロジ系全体の得点を底上げするための練習方法
ぴよパスで 160 問 × 15 試験を運用していて気づいたのは、情報セキュリティは「用語を羅列して覚えようとすると挫折する」が「仕組みとセットで理解すると一気に定着する」テーマだということです。
情報セキュリティの出題傾向
ITパスポートのテクノロジ系(45問)のうち、情報セキュリティ関連の問題は例年10〜15問程度出題されます。試験全体の10〜15%を占める最重要テーマです。
情報セキュリティの出題は大きく4カテゴリに分かれます。
| カテゴリ | 主な内容 | 出題頻度 |
|---|---|---|
| マルウェアと脅威 | ウイルス、ランサムウェア、フィッシング | 非常に高い |
| 暗号化技術 | 共通鍵暗号、公開鍵暗号、ハッシュ | 高い |
| 認証技術 | パスワード、多要素認証、電子署名 | 高い |
| セキュリティ対策 | ファイアウォール、IDS/IPS、VPN | 中程度 |
ぴよパスのテクノロジ系練習問題では、情報セキュリティのカテゴリ別に絞り込んで演習できます。
広告
頻出テーマ1:マルウェアの種類と特徴
マルウェアは毎回必ずといっていいほど出題される最頻出テーマです。種類と特徴を混同しないよう、表で整理しましょう。
| 種類 | 特徴 | 覚え方 |
|---|---|---|
| コンピュータウイルス | 他のプログラムに寄生して増殖 | 「寄生する」 |
| ワーム | 単独で自己増殖・ネットワーク経由で拡散 | 「自力で動く虫」 |
| トロイの木馬 | 正常なソフトに偽装して侵入 | 「偽装の贈り物」 |
| ランサムウェア | データを暗号化して身代金を要求 | 「身代金(ransom)」 |
| スパイウェア | ユーザーの情報を密かに収集・送信 | 「スパイ活動」 |
| アドウェア | 広告を強制表示 | 「ad(広告)」 |
| ルートキット | 管理者権限を取得して潜伏 | 「root(管理者)を取る」 |
頻出問題パターン:「次のうちワームの説明として正しいものはどれか」という形で、定義の正確な理解が求められます。「単独で自己増殖できる(ホストプログラムを必要としない)」という点でウイルスと区別できることが重要です。
攻撃手法の主要テーマ
マルウェア以外の攻撃手法も頻出です。
| 攻撃手法 | 内容 |
|---|---|
| フィッシング | 偽サイト・偽メールで個人情報を詐取 |
| SQLインジェクション | 不正なSQL文を入力してDBを操作 |
| クロスサイトスクリプティング(XSS) | Webページに悪意あるスクリプトを埋め込む |
| DoS/DDoS攻撃 | 大量のリクエストでサーバを過負荷状態にする |
| ソーシャルエンジニアリング | 人間の心理を利用した情報詐取 |
| ブルートフォース攻撃 | パスワードの総当たり試行 |
| 辞書攻撃 | よく使われるパスワードリストを用いた試行 |
頻出テーマ2:暗号化技術
暗号化は「共通鍵暗号」と「公開鍵暗号」の違いを正確に理解することが最大のポイントです。
共通鍵暗号と公開鍵暗号の比較
| 項目 | 共通鍵暗号 | 公開鍵暗号 |
|---|---|---|
| 鍵の種類 | 暗号化・復号に同じ鍵を使用 | 暗号化(公開鍵)と復号(秘密鍵)で異なる鍵を使用 |
| 処理速度 | 速い | 遅い |
| 鍵管理 | 通信相手ごとに鍵が必要で管理が煩雑 | 公開鍵を公開すれば管理が容易 |
| 代表的な方式 | AES、DES | RSA |
| 主な用途 | 大量データの暗号化 | 鍵交換、電子署名 |
頻出問題パターン:「公開鍵暗号の説明として適切なものはどれか」「AESはどちらの方式か」という問いが頻出です。
ハッシュ関数
ハッシュ関数は「元データから固定長のハッシュ値を生成する一方向関数」です。
- 特徴:同じデータからは常に同じハッシュ値が生成される
- 用途:パスワードの保存、データの改ざん検知
- 重要性:元のデータをハッシュ値から復元することはできない(不可逆)
代表的なハッシュアルゴリズムは SHA-256、MD5(現在は脆弱性が指摘されている)などです。
ディジタル署名と公開鍵基盤(PKI)
電子署名(ディジタル署名)は「送信者の秘密鍵で署名し、受信者が送信者の公開鍵で検証する」仕組みです。
| 目的 | 技術 |
|---|---|
| データの改ざん検知 | ハッシュ関数 |
| 送信者の本人確認 | 電子署名 |
| 電子証明書の信頼性確保 | 認証局(CA)、PKI |
頻出テーマ3:認証技術
認証の3要素
| 要素 | 内容 | 例 |
|---|---|---|
| 知識認証 | 本人だけが知っている情報 | パスワード、PIN |
| 所持認証 | 本人だけが持っているもの | ICカード、スマートフォン |
| 生体認証 | 本人の身体的特徴 | 指紋、虹彩、顔認証 |
多要素認証(MFA):上記の要素のうち2つ以上を組み合わせた認証方式です。セキュリティが高まる理由は「1つの要素が漏洩しても、他の要素で防御できる」からです。
頻出問題パターン:「パスワードとワンタイムパスワードの組み合わせは何認証か」→「二要素認証(多要素認証)」が正解です。
シングルサインオン(SSO)
一度の認証で複数のシステムにアクセスできる仕組みです。利便性が高まる反面、認証情報が漏洩した場合のリスクが高まるというトレードオフも理解しておきましょう。
頻出テーマ4:セキュリティ対策技術
ネットワークセキュリティの主要技術
| 技術 | 役割 |
|---|---|
| ファイアウォール | 不正な通信をフィルタリングする境界防御 |
| IDS(侵入検知システム) | 不正アクセスを検知して通知 |
| IPS(侵入防止システム) | 不正アクセスを検知して自動的に遮断 |
| VPN | 公衆回線上に暗号化された仮想専用線を構築 |
| DMZ(非武装地帯) | 外部公開サーバを内部ネットワークから分離する領域 |
| WAF | Webアプリへの攻撃をフィルタリング |
IDSとIPSの違いは頻出です。「検知して通知するだけ(IDS)」か「検知して自動遮断もする(IPS)」かの違いを覚えましょう。
セキュリティ管理の概念
| 概念 | 内容 |
|---|---|
| 情報セキュリティの3要素(CIA) | 機密性・完全性・可用性 |
| リスク対応の4種類 | 低減・回避・移転・受容 |
| ISMS | 情報セキュリティマネジメントシステム(ISO/IEC 27001) |
| インシデント対応 | 検知→封じ込め→根絶→復旧→再発防止 |
学習の進め方:効率的な得点アップ法
ステップ1:3大テーマを先に固める(1〜2週間)
マルウェア・暗号化・認証の3テーマを優先して学習します。この3テーマだけで情報セキュリティ問題の60〜70%をカバーできます。
ステップ2:攻撃手法と対策技術をセットで覚える(1週間)
攻撃と対策を「ペア」で覚えると記憶に残りやすくなります。例:「SQLインジェクション → WAFとプレースホルダで対策」のように。
ステップ3:演習問題で定着確認(随時)
ぴよパスのテクノロジ系練習問題で実際の問題形式に慣れましょう。間違えた問題は必ず解説で理由を確認します。
ITパスポート模擬試験で本番形式の問題を解いて、情報セキュリティの得点率を計測することをお勧めします。
本番で間違えやすいパターンと対策
パターン1:類似用語の混同
「IDS」と「IPS」、「共通鍵」と「公開鍵」など、似た名前の技術を混同するミスが多いです。表を使って違いを明確に整理しましょう。
パターン2:問題文の「正しいもの」「誤っているもの」の読み違い
セキュリティ問題では「次の記述のうち、誤っているものはどれか」という問い方も多いです。問題文の問いの方向性を確認してから選択肢を読む習慣をつけましょう。
パターン3:新しい脅威・技術への対応
近年は「AI活用の詐欺」「サプライチェーン攻撃」「ゼロトラスト」など新しいキーワードも出題されています。テキストの最新版を使い、新用語も確認しておきましょう。
まとめ
ITパスポートの情報セキュリティは、テクノロジ系の中で最も配点ウエイトが高い分野です。
マルウェアの種類と特徴、共通鍵暗号と公開鍵暗号の違い、多要素認証の概念の3テーマを中心に、仕組みと用語をセットで理解することが得点アップの近道です。
ぴよパスのITパスポート練習問題で分野別に集中演習しながら、弱点テーマを早めに特定して補強しましょう。