情報セキュリティの基礎

【週次復習】セキュリティ基礎用語の総チェック

2025年12月7日

1週間、お疲れ様でした

今日でSC試験対策の最初の1週間が完了です。「セキュリティの3要素」から始まり、「攻撃者の手口」や「アナログなハッキング」まで、濃密な内容を駆け抜けましたね。

人間の脳は、学んだことを復習しないと数日で忘れてしまうようにできています。逆に言えば、週末に一度思い出すだけで、記憶の定着率は劇的に上がります

今日は新しい知識を詰め込むのではなく、これまでの6日間で学んだ重要キーワードを整理し、自分の言葉で説明できるかチェックする日にしましょう。この土台さえ固まれば、来週からの「暗号技術」や「ネットワーク」も怖くありません。

セキュリティの「守るべきもの」と「リスク」

すべての判断基準となる基本概念

試験問題で「どの対策が適切か?」と迷ったとき、立ち返るべきなのが「CIA」と「リスクの定義」です。これらはセキュリティ対策の羅針盤となる考え方で、実務でも頻繁に参照されます。

情報セキュリティの3要素(CIA)

機密性(Confidentiality)は、許可された人だけが情報を見られる状態を指します。たとえば、従業員の給与データや顧客の個人情報は、権限のある担当者以外には見せてはいけません。対策としては暗号化やアクセス制御が有効です。

完全性(Integrity)は、データが正確で改ざんされていない状態を保つことです。銀行の振込金額が勝手に書き換えられたら大変ですよね。デジタル署名やハッシュ値による検証で、データの正しさを担保します。

可用性(Availability)は、必要なときにシステムやデータが使える状態を維持することです。ECサイトがダウンしたら売上機会を失います。バックアップやサーバーの二重化で、障害時にも業務を継続できるようにします。

重要なのは、これら3つの要素がトレードオフの関係になることがある点です。たとえば、セキュリティを高めるために複雑な認証手順を増やせば、使い勝手は低下します。業務の特性に応じてバランスを取ることが求められます。

リスクの方程式

リスク = 資産 × 脅威 × 脆弱性という式は、セキュリティリスクの大きさを判断する基準です。

資産は、守るべき情報やシステムを指します。顧客データベースや基幹システムなど、価値が高いほどリスクも大きくなります。

脅威は、攻撃者や自然災害など、危害を加える要因です。これは組織の外部にあり、自分たちでは直接制御できません。サイバー犯罪者の数を減らすことはできないということです。

脆弱性は、システムや組織の弱点です。古いソフトウェアの未修正の欠陥や、従業員のセキュリティ意識の低さなどが該当します。これは自分たちの努力で減らせる要素です。

この式から分かるのは、脆弱性をゼロに近づけることで、リスク全体を大幅に下げられるということです。資産の価値や脅威の存在は変えられなくても、脆弱性への対策は可能なのです。

4つのリスク対応戦略

リスクが明確になったら、次は対応方法を決めます。

リスク低減は、セキュリティ対策を実施してリスクを下げる最も一般的な方法です。ファイアウォールの設置や、従業員へのセキュリティ教育などが該当します。

リスク回避は、リスクの原因そのものを取り除く方法です。セキュリティリスクが高すぎるサービスを終了したり、危険な取引先との契約を見送ったりします。

リスク移転(共有)は、リスクを他者に任せる方法です。サイバー保険への加入や、セキュリティ監視を専門業者に委託することで、被害が発生した際の金銭的・技術的負担を軽減します。

リスク受容(保有)は、対策コストがリスクによる損失額を上回る場合に、あえて対策せずそのまま受け入れる選択です。すべてのリスクに対策を取るのは現実的ではないため、優先順位をつけることが重要です。

実際のセキュリティ管理では、これら4つを組み合わせて使います。重要なシステムにはリスク低減策を施し、小規模なリスクは受容し、万が一に備えて保険で移転する、といった具合です。

攻撃者の「手口」と「プロセス」

攻撃の全体像を理解する

攻撃は一瞬の出来事ではなく、計画的なプロセスとして実行されます。攻撃者の行動パターンを理解することで、どの段階で防御すべきかが見えてきます。多層防御の考え方は、この攻撃プロセスに対応したものです。

サイバーキルチェーン

サイバーキルチェーンは、攻撃を7つのフェーズに分解したモデルです。各段階で防御できれば、攻撃の連鎖を断ち切れます。

偵察フェーズでは、攻撃者がターゲット組織の情報を収集します。公開されているWebサイトやSNS、求人情報などから、使用している技術やシステム構成を調べます。

武器化フェーズでは、収集した情報をもとに、ターゲットに合わせたマルウェアや攻撃ツールを準備します。既存のマルウェアをカスタマイズすることもあります。

配送フェーズでは、作成した武器を標的に届けます。メール添付ファイルや偽サイトへのリンクなど、さまざまな手段が使われます。

攻撃フェーズでは、配送した武器が実際に実行されます。受信者がメールの添付ファイルを開いたり、リンクをクリックしたりする瞬間です。

インストールフェーズでは、マルウェアがシステム内に常駐するための準備を行います。自動起動の設定や、検知を回避するための偽装などが行われます。

遠隔操作(C2:Command and Control)フェーズでは、攻撃者が感染したシステムを外部から操作できる通信経路を確立します。このC2通信を検知できれば、被害拡大前に対処可能です。

目的実行フェーズでは、データの窃取や破壊など、攻撃の最終目的が実行されます。

重要なのは、入口対策(配送段階での検知)だけでなく、出口対策(C2通信の検知)も組み合わせることです。完璧な入口対策は不可能なため、侵入されることを前提とした多層防御が現実的です。

パスワードクラックの3大手法

パスワードは認証の要ですが、攻撃者にとっても最も狙いやすい突破口です。

ブルートフォース攻撃は、すべての文字の組み合わせを片っ端から試す力技です。4桁の数字なら最大1万通り、6桁の英数字なら数千万通りを試します。対策は、パスワードを長くすることと、一定回数失敗したらアカウントをロックする仕組みです。

辞書攻撃は、辞書に載っている単語や、よく使われるパスワード(「password」「123456」など)を優先的に試す手法です。意味のある単語をパスワードにすると、この攻撃に脆弱になります。対策は、意味のない文字列や、複数の単語を組み合わせたパスフレーズを使うことです。

パスワードリスト攻撃は、別のサービスから流出したID・パスワードのリストを使い回す手法です。多くの人が同じパスワードを複数のサービスで使い回しているため、非常に成功率が高い攻撃です。対策は、サービスごとに異なるパスワードを使うことと、多要素認証を導入することです。

関連する手法として、リバースブルートフォース攻撃があります。これは、よく使われるパスワードを固定して、IDだけを変えながら試す手法です。多くのユーザーが同じ弱いパスワードを使っていることを悪用します。

人間を狙う「ソーシャルエンジニアリング」

技術を超える最強の攻撃手法

どれだけ技術的なセキュリティ対策を施しても、人間の心理や行動の隙を突かれると、簡単に突破されてしまいます。ソーシャルエンジニアリングは、まさにその弱点を狙う手法です。

物理的な手口

トラッシングは、ゴミ箱を漁って情報を入手する手法です。廃棄した書類から顧客情報やパスワードのメモが見つかることがあります。対策は、機密情報が含まれる書類は必ずシュレッダーにかけることです。クロスカットタイプのシュレッダーなら、復元はほぼ不可能になります。

ショルダーハッキングは、肩越しに画面やキーボード入力を覗き見る手法です。電車内でのPC作業や、ATMでの暗証番号入力時に狙われます。対策として、プライバシーフィルターを画面に貼ったり、公共の場では機密情報を扱わないことが重要です。

共連れ(テイルゲーティング)は、セキュリティゲートを通過する社員の後ろについて、不正に侵入する手法です。荷物を持った人を見かけて「親切心」でドアを開けてあげると、それが攻撃者かもしれません。対策は、一人一人が必ず自分の認証カードで入退室すること、アンチパスバックという同じカードでの連続入室を防ぐ仕組みの導入です。

心理的な手口

なりすまし(プレテキスティング)は、IT管理者や経営層、取引先などを装って、電話やメールで情報を聞き出す手法です。「システム障害の復旧のため、至急パスワードを教えてください」といった緊急性を装うケースが多く見られます。

対策の基本は、コールバックという確認手法です。相手の連絡先を自分で調べ直して、こちらから連絡し直すことで、本物かどうかを確認できます。

攻撃者は、人間の心理を巧みに操ります。緊急事態を演出して冷静な判断を奪ったり、親切心につけ込んで協力させたり、恐怖心を煽って従わせたりします。「今すぐ対応しないとシステムが停止します」「確認しないと罰則があります」といった言葉には要注意です。

組織としては、クリアデスク・クリアスクリーンの徹底が効果的です。クリアデスクは、退席時に机上の書類を片付けること。クリアスクリーンは、離席時にPCをロックすることです。これらを習慣化することで、物理的な情報漏洩を防げます。

また、定期的なセキュリティ教育も欠かせません。実際の攻撃手口を知ることで、不審な兆候に気づく感覚が養われます。疑似的なフィッシングメールを送って、引っかかる人の割合を測定する訓練を実施している企業もあります。

【演習】理解度チェック!セキュアな思考を鍛える10問

学んだ知識を定着させるために、本番形式の4択クイズを解いてみましょう。 答えをクリック(タップ)すると、正解と解説が表示されます。

【総復習】第1週 実力確認テスト(全10問)

Q1. 地震などの災害でシステムが停止しないように、自家発電装置やバックアップ回線を用意する対策は、情報セキュリティの3要素のうちどれを維持するためか。

正解:ウ

解説:
システムを「止めない」「いつでも使える状態にする」のは「可用性」の確保です。

他の選択肢はなぜ不正解?
  • ア(機密性):「許可された人だけが見れる」ようにすること(暗号化など)です。
  • イ(完全性):データが「改ざんされていない」こと(デジタル署名など)です。
  • エ(真正性):利用者が「本物である」と証明すること(多要素認証など)です。

Q2. リスク対応のうち、サイバー保険への加入や、クラウドサービスを利用して管理責任の一部を事業者に委ねる対応はどれか。

正解:ウ

解説:
リスクによる損失や責任を他者に転嫁・共有することを「リスク移転(または共有)」と呼びます。

他の選択肢はなぜ不正解?
  • ア(低減):ファイアウォール設置などで、リスクの発生確率や影響度を下げることです。
  • イ(回避):サービス終了などで、リスクの原因そのものを取り除くことです。
  • エ(受容):対策コストが見合わない場合などに、あえて何もしないことです。

Q3. 「リスク = 資産 × 脅威 × ( ? )」の式の空欄に当てはまる言葉はどれか。

正解:ア

解説:
リスクは「資産価値」「脅威」「脆弱性(弱点)」の3要素の組み合わせで評価されます。

他の選択肢はなぜ不正解?
  • イ(攻撃):攻撃は「脅威」の一部に含まれます。
  • ウ(影響度):「資産価値」と関連しますが、リスク計算式の直接の要素ではありません。
  • エ(確率):「脅威」や「脆弱性」の大きさによって決まる結果の数値です。

Q4. サイバーキルチェーンにおいて、作成したマルウェアを標的型メールの添付ファイルなどを通じてターゲットに送り込むフェーズはどれか。

正解:イ

解説:
攻撃ツール(武器)をターゲットの手元まで届ける段階を「配送」と呼びます。

他の選択肢はなぜ不正解?
  • ア(武器化):攻撃ツールを作成・準備する段階です(まだ届けていません)。
  • ウ(攻撃):届いたファイルが開かれ、脆弱性を悪用する段階です。
  • エ(遠隔操作):感染後に外部サーバと通信する段階です。

Q5. 侵入したマルウェアが外部の攻撃者サーバーと通信し、指令を受け取るC2(Command & Control)フェーズへの対策として、最も有効な「出口対策」はどれか。

正解:ウ

解説:
C2通信は内部から外部へ向かうため、プロキシログなどで不正な通信先への接続を見つける出口対策が有効です。

他の選択肢はなぜ不正解?
  • ア・イ(WAF・メール):これらは「入口対策」であり、侵入を防ぐためのものです。
  • エ(パスワード):認証の強化であり、通信の検知とは無関係です。

Q6. 他のサイトから流出したIDとパスワードのリストを用いて、不正ログインを試みる「パスワードリスト攻撃」への最も効果的な対策はどれか。

正解:イ

解説:
リスト攻撃は「ユーザーがパスワードを使い回していること」を前提とした攻撃です。使い回していなければ、他で漏れても被害を受けません。

他の選択肢はなぜ不正解?
  • ア(定期変更):漏洩した直後に使われるため、効果は限定的です。
  • ウ(ロック):リスト攻撃はIDを変えながら試すため、1つのIDに対するロックは発動しにくいです。
  • エ(複雑化):漏れたパスワードが複雑であっても、そのまま入力されるため防げません。

Q7. ソーシャルエンジニアリングの手口のうち、オフィスから排出されたゴミを漁り、重要情報を盗み出す行為はどれか。

正解:ア

解説:
ゴミ箱(Trash)を漁る行為なので「トラッシング(またはスキャベンジング)」です。

他の選択肢はなぜ不正解?
  • イ(フィッシング):偽のメールやWebサイトで騙す手口です。
  • ウ(スキミング):カードの磁気情報を読み取る手口です。
  • エ(ショルダーハッキング):画面を肩越しに覗き見る手口です。

Q8. 入退室管理ゲートで、正規の権限者の後ろについて不正に侵入する「共連れ」を防ぐための物理対策はどれか。

正解:ウ

解説:
「入室記録がないと退室できない」ように制御する機能をアンチパスバックと呼び、共連れ対策に有効です。

他の選択肢はなぜ不正解?
  • ア(プレテキスティング):なりすましのための「口実」を作ること(攻撃手法)です。
  • イ(ダンプスターダイビング):ゴミ漁りの別名(攻撃手法)です。
  • エ(クリアデスク):机の上を片付けること(盗み見・紛失対策)です。

Q9. あらゆる文字の組み合わせを機械的に総当たりで試してパスワードを解読する攻撃手法はどれか。

正解:イ

解説:
Brute Force(力任せ)の名の通り、全てのパターンを試す手法です。

他の選択肢はなぜ不正解?
  • ア(辞書攻撃):辞書にある「単語」を中心に試す手法です。
  • ウ(リスト攻撃):漏洩した「IDとパスワードの組」を試す手法です。
  • エ(ソーシャル):人の心理を突くアナログな手法の総称です。

Q10. リスク対応において、セキュリティ対策が困難、あるいはコストが被害額を上回るため、あえて対策を行わずリスクを許容することを何と呼ぶか。

正解:エ

解説:
経営判断としてリスクをそのまま受け入れることを「リスク受容(または保有)」と呼びます。

他の選択肢はなぜ不正解?
  • ア(低減):対策を行ってリスクを下げることです。
  • イ(移転):保険などで他者に転嫁することです。
  • ウ(回避):原因を取り除いてリスクをゼロにすることです。

今週の学びを次週につなげる

第1週目の復習、お疲れ様でした。これらの用語を見て、具体的なイメージが湧くようになっていれば、順調なスタートを切れています。

CIAで守るべき状態を定義し、リスクを評価して対策の優先順位を決め、サイバーキルチェーンパスワード攻撃の仕組みを知り、ソーシャルエンジニアリングという人の隙に備える。これが情報セキュリティの基礎体力となります。

試験でも実務でも、この基礎概念を理解しているかどうかで、応用力に大きな差が出ます。新しい脅威や技術が登場しても、基本原則は変わりません。今週学んだ内容は、繰り返し思い出すことで長期記憶として定着します。

来週(第2週)は、いよいよセキュリティ技術の心臓部である**暗号技術(共通鍵・公開鍵・デジタル署名)**に突入します。「暗号は難しそう」と感じるかもしれませんが、図解を使って具体例とともに解説していきますので、安心してください。

暗号技術を理解すれば、HTTPSがなぜ安全なのか、電子証明書の仕組み、ブロックチェーンの基礎原理まで、幅広い知識がつながります。SC試験でも頻出の分野ですので、じっくり取り組んでいきましょう。

最後に、今週の総仕上げとして実力確認クイズを用意しました。全問正解を目指してチャレンジしてください。もし間違えた問題があれば、該当する日の内容を見直すことで、より確実な知識になります。

-情報セキュリティの基礎