情報処理安全確保支援士(SC)試験の受験を目指す皆様、日々の学習お疲れ様です。
いよいよ年末が差し迫り、年明けの春試験に向けた学習計画を立てている方も多いのではないでしょうか。「まとまった時間が取れる年末年始こそ、集中的に学習したい」「苦手意識のある分野を克服して、安心して年を越したい」——そんな意欲に応えるべく、当ブログから年末特別企画をお届けします。
今回のテーマは、午前II試験において最も配点が高く、合否を分ける重要分野である「暗号・認証」です。
膨大な範囲から、絶対に押さえておくべき厳選した過去問30本を「ノック形式」で用意しました。最新の傾向から定番のひっかけ問題まで、実戦的な演習が可能です。選択肢をクリックするだけでその場ですぐに正誤と詳細な解説(全選択肢対応!)が表示されるため、効率よく知識の定着を図れます。
この30問をやり遂げた時、あなたの「暗号・認証」への苦手意識は、「確実な得点源」へと変わっているはずです。さあ、今年一番の集中力で、知識の特訓を始めましょう!
過去問ノック
過去問30問ノック、本当にお疲れ様でした。情報処理安全確保支援士試験において、暗号と認証は「午前IIでの得点源」であると同時に、「午後試験のシナリオを理解するための必須言語」でもあります。
単に選択肢を覚えるだけでなく、背景にある理論や「なぜこの技術が必要なのか」というストーリーを理解することで、応用力が飛躍的に高まります。試験に出る重要ポイントを、図解を交えながら徹底的に深掘りしていきましょう。
1. 暗号化技術の深掘り:機密性の守り方
暗号技術の基本は「共通鍵」と「公開鍵」の使い分けですが、試験ではその「一歩先」の仕様が問われます。まずは両者の基本的な仕組みの違いを視覚的に整理しましょう。
共通鍵暗号(Symmetric Cryptography)
現代の標準は AES です。試験で狙われるのはその数値スペックです。
- ブロック長: 128ビット固定。ここが最もひっかけられやすいポイントです。鍵長が256ビットになっても、一度に処理するデータの箱(ブロック)は128ビットです。
- 鍵長: 128、192、256ビット。
- モード(利用モード): ブロック暗号をどう繋げるか。
- CBCモード: 前のブロックの計算結果を次に混ぜる。並列処理ができない。
- CTRモード: カウンタ値を使う。並列処理が可能で、ストリーム暗号のように振る舞う。
- GCMモード: CTRモードに「改ざん検知(認証)」の機能を加えたもの。現代のTLSの主流です。
公開鍵暗号(Asymmetric Cryptography)
計算の「難しさ」が安全性の根拠です。
- RSA: 素因数分解問題。巨大な整数の素因数分解が困難であることを利用。
- 楕円曲線暗号 (ECC): 楕円曲線離散対数問題 (ECDLP)。RSAよりも圧倒的に短い鍵長で同等の安全性を確保できるため、ICカードやモバイル端末などで多用されます。
- Diffie-Hellman (DH) 鍵共有: 相手と直接「鍵そのもの」を送り合わずに、計算結果だけをやり取りして共通の秘密を作る魔法のような技術です。これに「一時的な鍵」を組み合わせることで、後述する PFS(前方向秘匿性) が実現します。
2. ハッシュ関数と署名:完全性と真正性の証明
データの改ざんを防ぎ、「誰が送ったか」を証明するフェーズです。デジタル署名の仕組みは、鍵の使い方が暗号化とは逆になるため、図で流れを理解するのが近道です。
ハッシュ関数の「耐性」を整理
ハッシュ関数(SHA-256など)には、以下の3つの壁が必要です。
- 一方向性(逆像計算困難性): ハッシュ値 $h$ から元のデータ $M$ を見つけるのは無理。
- 弱衝突耐性(第2次逆像計算困難性): 「このデータ $M$ と同じハッシュ値になる別のデータ $M'$ を探せ」と言われても無理。
- 強衝突耐性: 「何でもいいから、同じハッシュ値になるペア $(M, M')$ を一つでも見つけてこい」と言われても無理。
デジタル署名の「はんこ」理論
上記の図の通り、デジタル署名は「ハッシュ化」と「公開鍵暗号」のコンビネーションです。
- 作成者: 自分の 秘密鍵 でハッシュ値を暗号化する。(自分しか持っていないから、本人の証明になる)
- 検証者: 送信者の 公開鍵 で復号する。(誰でも検証できる必要がある)
3. 認証・認可プロトコル:ID連携の仕組み
現代のWebサービスは、一つのIDで複数のサービスにログインする「フェデレーション」が主流です。中でも最も重要なOAuth 2.0の流れを押さえましょう。
OAuth 2.0 vs OpenID Connect (OIDC)
この二つの違いは「認可」か「認証」かです。
- OAuth 2.0(認可): 図で示したように、「私の代わりにこの写真データにアクセスしていいよ」という 権限の委譲を行います。最終的に発行されるのはAPIを使うための アクセストークンです。
- OpenID Connect(認証): OAuth 2.0の仕組みを利用して、「私は本人ですよ」という 身分証明を行います。IDトークン (JWT形式) が追加で発行される点が特徴です。
FIDO2 (WebAuthn)
「パスワードをサーバーに保存しない」次世代の認証です。デバイス側(スマホやPC)で生体認証などを行い、サーバーとは「公開鍵暗号」で署名の検証のみを行います。
4. PKIと証明書:信頼の連鎖
デジタル証明書をどのように配り、管理するかという基盤(Public Key Infrastructure)です。
証明書失効の確認方法
有効期限内であっても、秘密鍵が盗まれた場合は証明書を無効にする必要があります。
- CRL (Certificate Revocation List): 失効リストの「ファイル」。ダウンロードして中身を確認します。タイムラグがあるのが弱点。
- OCSP (Online Certificate Status Protocol): リアルタイムにサーバーへ「この証明書、まだ生きてる?」と問い合わせるプロトコル。
5. 応用技術と最新トレンド
午前IIで差がつく、少し踏み込んだトピックです。特にPFS(前方向秘匿性)の概念は、セキュリティの重要な考え方を示しています。
PFS (Perfect Forward Secrecy)
「完璧な前方向の秘匿性」です。図のように、もし将来、サーバーの秘密鍵が盗まれても、「過去に記録しておいた通信データ」を遡って復号することはできない という性質です。これには、セッションごとに使い捨ての鍵を作る仕組みが必要です。
TLS 1.3
2018年に登場したTLSの最新版。高速化(1-RTT)と安全性向上(古い暗号スイートの廃止)に加え、このPFSが必須となっています。
まとめ:合格への「あと一歩」
暗号・認証の問題は、以下の3ステップで攻略しましょう。
- 用語の定義を正確に: 「鍵長」と「ブロック長」の違い、「認証」と「認可」の違いなど。
- 図解で流れを追う: 今回挿入したような図を、何も見ずに自分でラフに描けるようになると、理解度は完璧です。
- 「なぜ?」を考える: 技術の進化の理由を理解すると、記憶が定着します。
今回の30問ノックを土台に、これらの解説と図解を読み返すことで、あなたの知識は「点」から「面」へと広がったはずです。合格を目指して頑張ってください!