テクノロジ系
セキュリティ 重点教科書
セキュリティはITパスポートで最も出題数が多い分野です。「攻撃手法の名前と手口」「暗号の使い分け」「管理策の分類」の3つを固めれば、確実な得点源になります。
1. 脅威と攻撃手法
- 攻撃手法は「何を狙うか」で整理: フィッシング(人を騙す)、標的型攻撃(特定組織宛メール)、ランサムウェア(データを人質に金銭要求)、DoS/DDoS(サービス停止)
- ソーシャルエンジニアリングは技術を使わない攻撃(肩越しの覗き見・なりすまし電話など)。技術的対策では防げない点が問われる
- SQLインジェクション(DBへの不正命令)とクロスサイトスクリプティング(悪意あるスクリプト埋め込み)はWebアプリへの攻撃として対で覚える
2. 暗号技術と認証
- 共通鍵暗号(鍵1つ・高速・鍵配送が課題)と公開鍵暗号(鍵ペア・低速・鍵配送が容易)の対比は毎回出ると思ってよい
- デジタル署名は「秘密鍵で署名し、公開鍵で検証」。改ざん検知と本人確認(否認防止)ができる
- 多要素認証は「知識(パスワード)・所持(スマホ)・生体(指紋)」のうち2種類以上を組み合わせること。同じ要素2つは多要素ではない
3. 情報セキュリティマネジメント
- 情報セキュリティの3要素CIA: 機密性(見せない)・完全性(改ざんさせない)・可用性(止めない)。事例がどれに当たるかを判定する問題が頻出
- リスク対応4種: 回避(やめる)・低減(対策する)・移転(保険・委託)・受容(何もしない判断)。具体例との対応で覚える
- ISMS(PDCAで継続改善)と情報セキュリティポリシー(基本方針→対策基準→実施手順の3階層)の構造を押さえる
本番での解き方
- ✓攻撃名は「手口の説明文→名前」を選ばせる形式が大半。名前だけでなく手口を一言で説明できるように
- ✓暗号問題は「誰の・どちらの鍵を使うか」に下線を引いて整理してから選択肢を読む
- ✓CIAの判定は「困る状況」から逆算する(漏れて困る=機密性、書き換えられて困る=完全性、止まって困る=可用性)