情報セキュリティは、ITパスポートのテクノロジ系45問のうち例年10〜15問程度を占める、配点ウエイトの高い分野です(IPA公表のシラバス6.3・出題範囲の比率に基づく傾向)。ところが、ここで多くの人がつまずきます。原因は、セキュリティ用語をひたすら一覧で覚えようとして、量に圧倒されて挫折することです。
実は、セキュリティの出題はテーマがかなり偏っています。マルウェア・暗号化・認証の3つを仕組みごと理解すれば、セキュリティ問題の6〜7割はカバーできます。さらにフィッシング・ソーシャルエンジニアリング・電子署名・PKIまで押さえれば、残りの設問にも対応できます。この記事では、各テーマと「脅威と対策を結びつけて考える方法」を具体的に説明します。
この記事で分かること
- セキュリティ用語を丸暗記せず各テーマで攻略する考え方
- マルウェアを「挙動」で整理して混同しなくなる区別の仕方
- 共通鍵・公開鍵・ハイブリッド方式(TLS/HTTPS)の使い分け
- フィッシング・ソーシャルエンジニアリングと対策のペア
- 電子署名・PKI(公開鍵基盤)の役割と仕組み
- 「脅威→対策」を仕組みでひもづける、初見問題に強い解き方
ITパスポート160問のオリジナル予想問題で、セキュリティの実力を確認する →
マルウェアは「挙動」で区別する
セキュリティで最も出題が多いのがマルウェアです。ウイルス、ワーム、トロイの木馬、ランサムウェア…と種類が多く、名前だけ覚えようとすると混ざります。
混同を防ぐコツは、名前ではなく挙動で分けることです。
| マルウェア | 挙動の特徴 |
|---|---|
| コンピュータウイルス | 他のファイルに寄生して増える |
| ワーム | 単独で自己増殖し、ネットワークを伝播 |
| トロイの木馬 | 正規ソフトに見せかけて侵入・バックドア設置 |
| ランサムウェア | ファイルを暗号化して身代金を要求 |
| スパイウェア | 情報を盗み取り外部に送信 |
「自己増殖するか/何かに寄生するか」で線を引くと、ワームとウイルスの違いがはっきりします。トロイの木馬は「何をするか(偽装して侵入)」、ランサムウェアは「目的(金銭要求)」で覚えると、設問の説明文から逆に種類を特定できます。
広告
フィッシングとソーシャルエンジニアリング
攻撃手法の中でも頻出なのがフィッシングとソーシャルエンジニアリングです。
| 攻撃 | 概要 | 主な対策 |
|---|---|---|
| フィッシング | 偽サイトや偽メールで認証情報を詐取 | URLの確認・多要素認証・セキュリティ教育 |
| ソーシャルエンジニアリング | 人的・心理的手法で情報を騙し取る | セキュリティポリシーの徹底・電話確認 |
| DoS/DDoS攻撃 | 大量リクエストでサービスを停止 | ファイアウォール・CDN・レートリミット |
| SQLインジェクション | 入力欄からSQL命令を注入しDBを操作 | 入力値の検証・プリペアドステートメント |
攻撃手法だけ覚えて対策を覚えないと、「この攻撃を防ぐのはどれか」という設問で取りこぼします。攻撃と対策はセット、と決めておくのが安全です。
暗号化は2方式とハイブリッドで理解する
暗号化は、共通鍵暗号と公開鍵暗号の違いさえ押さえれば多くの問題に答えられます。そして実際のインターネット通信(HTTPS/TLS)ではこの2方式を組み合わせたハイブリッド方式が使われており、そこまで理解することが設問対策の要です。
| 方式 | 鍵の使い方 | 速度 | 鍵配布 | 代表例 |
|---|---|---|---|---|
| 共通鍵暗号 | 同じ鍵で暗号化・復号 | 高速 | 安全な共有が課題 | AES |
| 公開鍵暗号 | 公開鍵で暗号化・秘密鍵で復号 | 遅め | 公開鍵は配れる | RSA |
ハイブリッド方式(TLS/HTTPSの仕組み)
TLS/HTTPSでは次のように2方式を組み合わせます。
- まず公開鍵暗号を使って「共通鍵」を安全に交換する(速度は遅いが1回だけでよい)
- その後の通信データは、交換した共通鍵を使って暗号化する(高速に処理できる)
これにより「鍵配布の問題は公開鍵で解決し、通信速度は共通鍵で確保する」という両方の利点を活かせます。「なぜ2方式を組み合わせるか」という設問に対して、この理由を言えれば対応できます。
認証は3要素で考える
認証は、3要素という枠組みを理解するのが軸です。
| 要素 | 概要 | 例 |
|---|---|---|
| 知識 | 本人が知っていること | パスワード・PIN・秘密の質問 |
| 所持 | 本人が持っているもの | ICカード・スマートフォン・トークン |
| 生体 | 本人の身体的特徴 | 指紋・顔・静脈 |
多要素認証は、このうち異なる種類の2つ以上を組み合わせる仕組みです。「パスワード(知識)+ワンタイムパスワードを表示するトークン(所持)」は別々の要素を2つ使うので二要素認証です。逆に「パスワード+秘密の質問」はどちらも知識なので、2段階ではあっても多要素認証とは呼びません。
電子署名とPKI(公開鍵基盤)
電子署名とPKIは、なりすまし防止・改ざん検知のための仕組みとして頻出です。
電子署名の仕組み
- 送信者が秘密鍵で署名を作成 → 受信者が公開鍵で検証
- 秘密鍵を持つ本人だけが署名を作れる → なりすまし防止
- 文書のハッシュ値と照合 → 改ざん検知
PKI(公開鍵基盤)の役割
- 認証局(CA:Certification Authority)が公開鍵の正当性を証明する
- サーバ証明書(デジタル証明書)はCAが発行し、そのサーバの公開鍵が本物であることを保証する
- ブラウザがHTTPSサイトに接続するときに証明書を検証している
「脅威 → 対策」は仕組みでひもづける
セキュリティで安定して得点するために、いちばん大事な考え方を1つ挙げるなら、「脅威と対策を仕組みでつなぐ」ことです。
例1:ランサムウェアへの対策 ランサムウェアはファイルを暗号化して使えなくする脅威です。「ファイルが使えなくなるなら、別の場所に元データのコピーがあれば復旧できる」と考えれば、定期的なバックアップが正解だと導けます。
例2:通信の盗聴を防ぐ対策 盗聴は通信内容を読み取られる脅威です。「読まれても意味が分からなければよい」→通信の暗号化(HTTPS/TLS)とたどれます。
例3:なりすましを防ぐ対策 「本人確認を強化する」→多要素認証や電子署名が答えになります。
このように、脅威が何をするものかを押さえておけば、対策は丸暗記しなくても仕組みから引き出せます。これが、初見の用語が出ても崩れない解き方です。
まとめ:学習の進め方
ITパスポートの情報セキュリティは、用語を一覧で丸暗記するより、各テーマを仕組みで理解する方が、はるかに効率よく得点できます。
学習の進め方の目安:
- まずマルウェアを挙動で区別(ウイルス・ワーム・トロイの木馬の違い)
- 次に暗号化の2方式(AES・RSA)とハイブリッド方式(TLS)
- 認証の3要素と多要素認証
- フィッシング・ソーシャルエンジニアリングと対策のペア
- 電子署名・PKI・認証局の役割
テクノロジ系全体の学習の進め方は ITパスポートの勉強法、新しい用語の動向は シラバスの頻出新領域 も合わせて確認すると、得点の取りこぼしが減ります。
ITパスポート160問のオリジナル予想問題で、セキュリティの弱点を確認する →
出典:
- 独立行政法人 情報処理推進機構 (IPA) — ITパスポート試験 シラバス6.3・出題範囲
- IPA「情報処理技術者試験 試験要綱」— テクノロジ系の出題比率
