「情報処理安全確保支援士」学習ノート①:情報セキュリティ
はじめに
この記事では、「情報処理安全確保支援士」試験の学習過程で得た知識を作者なりにまとめています。
学習中のため正確性等は保証できませんが、試験前の確認やこれから受験を考えている方への足掛かりとしては十分な内容になるよう心掛けております。
この記事だけで資格取得できるようなものではありませんが、「この記事を基に過去問を解き、不正解となった個所をchatGPTに聞く」等ご自身で知識を深めていただければと思います。
また、一部の内容は「応用情報技術者試験」にも共通するため、そちらの学習者にも参考になると思います。
各記事は独立して読める構成にしていますので、興味のあるテーマからどうぞ。
情報セキュリティとは
情報セキュリティ とは、情報資産を安全に扱うための考え方や仕組みの総称です。
ここでいう「情報資産」とは、データそのものだけでなく、システム、ネットワーク、ソフトウェア、そしてそれを扱う人や組織の知識も含まれます。
情報セキュリティの定義
情報セキュリティの定義は、国際規格である ISO/IEC 27000(情報セキュリティマネジメントシステム:ISMS)で次のように示されています。
| 要素 | 内容 | 例 |
|---|---|---|
| 機密性 (Confidentiality) | 許可されたエンティティ[1]だけが情報にアクセスできるようにすること | 個人情報をパスワードで保護する |
| 完全性 (Integrity) | 情報が正確で改ざんされていないことを保証する | データのハッシュ検証、ログの保全 |
| 可用性 (Availability) | 必要なときに情報を利用できる状態を保つこと | システム障害時のバックアップ運用 |
さらに、次の4つの特性も情報セキュリティの要素に含めることがあります。
| 追加要素 | 意味 | 備考 |
|---|---|---|
| 真正性 (Authenticity) | 正しい送信者・利用者であることを保証する | 認証(authentication)と関係 |
| 責任追跡性 (Accountability) | 誰が何をしたか追跡できるようにする | ログ管理や監査証跡 |
| 信頼性 (Reliability) | システムが期待どおりに動作する | 一部の教本では「可用性」と統合される |
| 否認防止 (Non-Reliability) | あるエンティティが「行った(または受け取った)」という事実を後から否定できないようにする性質 | 電子署名、タイムスタンプ、送受信ログ |
攻撃
人が攻撃を行う際、以下の3つの不正リスクが揃う必要があると考えられています。
不正の防止にはこれら3つを予防する必要があります。
攻撃の分類と目的
攻撃は大きく分けると次の3種類に分類できます。
| 区分 | 目的 | 例 |
|---|---|---|
| 機密性への攻撃 | 情報を盗み出す | 不正アクセス・盗聴・スパイウェア |
| 完全性への攻撃 | 情報を改ざんする | 改ざん・中間者攻撃・マルウェア感染 |
| 可用性への攻撃 | サービスを停止させる | DoS攻撃・ランサムウェア |
以下にて詳細な攻撃方法をまとめます。
サイバー攻撃
サイバー攻撃とは、コンピュータやネットワーク、情報システムを標的として行われる攻撃の総称です。
サイバー攻撃には サイバーキルチェーン と呼ばれる7段階があり、いずれかの段階でチェーンを断ち切る必要があります。
| フェーズ | 内容(攻撃者の行動) | 防御のポイント |
|---|---|---|
| 1. 偵察(Reconnaissance) | 攻撃対象の情報を収集(IP・ドメイン・組織構成・従業員情報等) | 公開情報の最小化、SNS・Webの情報管理 |
| 2. 武器化(Weaponization) | 攻撃ツールやマルウェアを作成(不正な添付ファイルやリンク等) | メール添付ファイル・スクリプトの検知、脆弱性管理 |
| 3. 配布(Delivery) | 攻撃ツールをターゲットに送付(メール、USB、Webサイト等) | メール・Webフィルタ、サンドボックス検査 |
| 4. 悪用(Exploitation) | 脆弱性を利用してマルウェアを実行 | パッチ適用、脆弱性対策、アプリ制限 |
| 5. インストール(Installation) | マルウェアをシステムに常駐させる | 不正プログラム検知、実行権限の制限 |
| 6. 遠隔操作(Command & Control) | 攻撃者のサーバと通信し、指令を受け取る | 通信監視、外部接続制限、プロキシ・ファイアウォール制御 |
| 7. 目的の実行(Actions on Objectives) | 情報の窃取・破壊・改ざんなどの最終目的を実行 | データ暗号化、監査ログ監視、インシデント対応体制 |
ネットワーク攻撃
通信経路やネットワーク機器を狙う攻撃であり、可用性や通信の機密性・整合性を損うものになります。
| 攻撃名 | 内容 |
|---|---|
| DoS/DDoS攻撃 | 大量の通信でサーバやネットワークをダウンさせ、可用性を脅かす |
| MITM(中間者攻撃) | 通信の途中に割り込み、データを盗聴・改ざんする |
| スニッフィング(盗聴) | 通信パケットを傍受して内容を覗き見る |
| DNSキャッシュポイズニング | 偽のDNS情報を注入し、利用者を偽サイトへ誘導 |
不正アクセス系攻撃
認証情報やアカウントを直接狙い、権限を奪う攻撃です。
| 攻撃名 | 内容 |
|---|---|
| 総当たり攻撃(ブルートフォース) | 全パターンのパスワードを試して突破する |
| 辞書攻撃 | よく使われる単語リストをもとにパスワードを試す |
| パスワードリスト攻撃 | 他サイトで流出したID・パスワードを使ってログインを試みる |
マルウェア
「悪意あるソフトウェア」の総称で、代表的なものに以下があります。
| 種類 | 内容 |
|---|---|
| ウイルス | 他のプログラムに寄生し、感染を拡大させる |
| ワーム | 自己増殖してネットワークを通じて感染を広げる |
| トロイの木馬 | 正常なソフトに見せかけて侵入し、裏で悪意ある動作を行う |
| ランサムウェア | データを暗号化し、復号のために金銭を要求する |
Webアプリ攻撃
Webアプリケーションの入力処理や認可設計などの脆弱性を突く攻撃であり、データベースやユーザに直接影響を与えやすいという特徴があります。
| 攻撃名 | 内容 |
|---|---|
| SQLインジェクション | 入力欄にSQL文を埋め込み、DBの情報を不正取得する |
| XSS(クロスサイトスクリプティング) | Webページに悪意のスクリプトを埋め込み、閲覧者の情報を盗む |
| CSRF(クロスサイトリクエストフォージェリ) | ユーザの権限を利用して不正なリクエストを送らせる |
| ディレクトリトラバーサル | URLのパスを操作して、本来見えないファイルにアクセスする |
| クリックジャッキング | 透明なボタン等を重ね、ユーザをだましてクリックさせる |
人的攻撃
技術ではなく「人の心理の隙」を突く攻撃です。
セキュリティ意識の低さを狙うため、最も防ぎにくい攻撃です。
| 手口 | 内容 |
|---|---|
| なりすまし電話・メール | サポート担当者や上司を装い、情報を聞き出す |
| フィッシング | 偽サイトに誘導して認証情報を盗む |
| ショルダーハッキング | 他人のパスワード入力などをのぞき見する |
| トラッシング | ゴミ箱などから情報を収集する |
対策
情報資産は技術だけでは守れません。
人的および物理的な対策も併せて考える必要があります。
技術的対策
| 対策 | 内容 |
|---|---|
| アクセス制御 | 利用者ごとにアクセス権限を設定し、 最小権限の原則 を徹底する |
| 認証の強化 | 多要素認証(MFA)やパスワードポリシーの導入により、不正ログインを防止する |
| 暗号化 | 通信経路や保存データを暗号化し、盗聴・情報漏えいを防ぐ |
| マルウェア対策 | ウイルス対策ソフトや定期スキャンにより、マルウェア感染を防止する |
| 脆弱性対策 | OSやアプリの更新・パッチ適用で、 既知の 脆弱性を解消する |
| バックアップ | データを定期的に複製し、障害や攻撃後の復旧を可能にする |
人的対策
| 対策 | 内容 |
|---|---|
| セキュリティ教育 | パスワード管理、メールの添付ファイル注意、SNSのリスクなどを定期的に指導 |
| ソーシャルエンジニアリング対策 | 電話やメールでの情報開示を慎重に。本人確認の徹底 |
| 意識向上活動 | ポスター掲示、社内キャンペーンなどによる啓発 |
| 内部不正防止 | アクセス権限の最小化、退職時のアカウント削除、行動ログの管理 |
物理的対策
| 対策 | 内容 |
|---|---|
| 入退室管理 | サーバ室・機密エリアへの入退室をICカードや生体認証で制限し、記録を残す |
| 災害対策 | 火災報知器・消火設備・耐震ラック・ 無停電電源装置(UPS) などを設置する |
| 廃棄時の情報漏えい防止 | HDD・紙資料を物理破壊等で確実に廃棄する |
緊急時の対策
災害などの緊急時に情報セキュリティの維持継続させるためには、事前に対応計画を策定する必要があります。
-
事業継続計画(BCP:Business Continuity Plan)
災害・障害などでシステムや業務が停止した場合に、重要業務を中断させない、または早期に再開するための計画 -
緊急時対応計画(Contingency Plan)
災害・事故・サイバー攻撃など緊急事態が発生した直後にどう対応するかを定めた即時対応計画
BCPは中長期的な影響を考慮して策定するものであり、CPは初動対応を決定するものです。
評価
情報セキュリティに完璧はないため、「どのレベルで対策出来ているか」を評価する必要があります。
脆弱性検査
システムを評価するため、以下の手法によって脆弱性を検査します。
-
ペネトレーションテスト
システムに実際に侵入を試みることにより脆弱性検査を行う -
ファジング
ファズ(Fuzz) と呼ばれる「問題を引き起こしそうな」データを大量に送り込み、その挙動を確認することで脆弱性検査を行う
リスク評価の手順
リスク とは、それが発生した場合には情報資産に影響をあたえるような事象を指します。
もし事象が発生した場合はリスクではなく、 問題 として処理します。
リスクの大きさは以下のように計算されます。
リスクアセスメント
リスクアセスメントとは、リスクに関するプロセス全体を指します。
リスクに関するプロセスは以下の通りです。
| 手順 | 内容 |
|---|---|
| リスク特定 | リスクを発見し、そのリスク源や起こり得る結果の特定を行う |
| リスク分析 | 特定したリスクに対して 発生原因 や 影響の大きさ (定性的、定量的)を割り出す |
| リスク評価 | 分析したリスクに対し、どのような対策を行うか判断する |
リスク分析によって割り出した発生率と影響度を、 リスクマトリックス と呼ばれる表形式に表して リスクレベル (リスクの優先度)を見積もることがあります。
リスクへの対応には、以下の種類があります。
| 対応方針 | 内容 |
|---|---|
| 回避 | リスク源を取り除く(例:危険なサービスの停止) |
| 低減(最適化) | 対策を実施してリスク発生率や影響度を減らす |
| 移転(分散、共有) | 保険や外部委託で他者にリスクを移す |
| 受容(保有) | 経営判断でリスクを許容する |
対応できずに残ったリスクを 残存リスク と言います。
監査
情報セキュリティにおける 監査(Audit) とは、組織のセキュリティ対策・運用が方針・規程・法令などに適合しているかを、 第三者の視点で 検証・評価する活動を指します。
監査にはその対象によって様々な種類に分けられます。
以下にて監査の例をまとめます。
| 種類 | 内容 |
|---|---|
| 内部監査 | 組織内部の監査部門などが実施する、自己点検の位置づけ |
| 外部監査 | 外部の独立した専門機関が実施し、客観性が高い |
| 情報システム監査 | ITシステム全体の安全性・信頼性を評価する |
| セキュリティ監査 | セキュリティポリシーや運用の妥当性を点検する |
システム監査人は 独立性 が重要視され、以下の手順に則って監査が行われます。
| 手順 | 主な内容 |
|---|---|
| ① 計画 | 対象・目的・範囲・スケジュールを決定する |
| ② 実施 | ヒアリング・記録確認・現場観察などで証拠を収集 |
| ③ 評価 | 得られた証拠を基に適合性や有効性を判断 |
| ④ 報告 | 結果をまとめ、改善提案や是正勧告を行う |
| ⑤ フォローアップ | 是正が実施されたかを確認し、必要に応じて再監査 |
監査人はあくまで 提案 を行うものであり、改善命令は行いません。
さいごに
最後まで読んでくださり、ありがとうございます。
冒頭でも書きましたが、この記事は試験範囲を完全に網羅するものではなく、重要な箇所を抜粋しております。
そのため、初学者はこの記事が理解できるよう、すでに学習している方はこの記事を元に+αの知識を加え、試験直前であれば最終確認に使えるよう作成しております。
安全確保支援士を学習中である作者の簡単なアウトプットとして作成したものですが、皆様のお役に立てば幸いです。
改めて最後までお読みくださり、ありがとうございました。
-
情報にアクセスできる「主体(人、組織、システム、プロセス)」 ↩︎
Discussion