結論からいうと
情報セキュリティは経営情報システム科目の中でも出題頻度が高く、かつ得点しやすいテーマです。「3要素の定義」「暗号方式の仕組みと使い分け」「主要な攻撃手法の名称と定義」「リスク対応の4分類」を押さえれば、本番で確実に得点できます。
1. 情報セキュリティの3要素(CIA)
情報セキュリティの目的は、情報資産を次の3つの観点で守ることです。頭文字をとってCIAと呼びます。
| 要素 | 英語 | 定義 | 侵害される例 |
|---|---|---|---|
| 機密性 | Confidentiality | 許可された者だけが情報にアクセスできる | 不正アクセスによる顧客データ漏洩 |
| 完全性 | Integrity | 情報が改ざんされず、正確・完全である | マルウェアによるファイル内容の書き換え |
| 可用性 | Availability | 必要なときに情報・システムを使用できる | DDoS攻撃によるサービス停止 |
試験ポイント:CIAは定義選択問題で頻出です。特に「可用性=使えること(使えなくさせる攻撃がDDoS)」という対応関係を覚えておきましょう。
2. 暗号化の2方式
共通鍵暗号方式
暗号化と復号に**同じ鍵(共通鍵)**を使う方式です。
- 利点:処理が高速。大量データの暗号化に向く
- 欠点:鍵配送問題がある(鍵を相手に安全に渡す手段が必要)
代表的なアルゴリズム:AES(現在の標準)、DES(旧来の方式)
公開鍵暗号方式
2種類の鍵(公開鍵と秘密鍵)をペアで使う方式です。
- 公開鍵:誰でも入手できる。暗号化に使う
- 秘密鍵:受信者だけが持つ。復号に使う
- 利点:鍵配送問題が不要。公開鍵は誰に渡しても問題ない
- 欠点:処理が低速
代表的なアルゴリズム:RSA
sequenceDiagram
participant 送信者
participant 受信者
Note over 受信者: 公開鍵と秘密鍵のペアを生成
受信者->>送信者: 公開鍵を渡す(誰に渡しても安全)
Note over 送信者: 受信者の公開鍵でメッセージを暗号化
送信者->>受信者: 暗号化されたメッセージを送信
Note over 受信者: 自分の秘密鍵で復号
SSL/TLSのハイブリッド暗号
Webブラウザとサーバー間の通信で使われるSSL/TLSは、両方式を組み合わせたハイブリッド暗号です。
- サーバーが公開鍵をブラウザに送付
- ブラウザが**共通鍵(セッション鍵)**を生成し、サーバーの公開鍵で暗号化して送付
- サーバーが秘密鍵で共通鍵を復号
- 以降の通信は高速な共通鍵で暗号化
「共通鍵配送の問題を公開鍵で解決し、実際のデータ通信は共通鍵の速度で行う」という設計です。
3. 認証の方式
認証とは「本人かどうかを確認する」プロセスです。認証要素は3種類あります。
| 要素 | 種類 | 具体例 |
|---|---|---|
| 知識情報(Something you know) | パスワード、PIN | ログインパスワード |
| 所持情報(Something you have) | デバイス、トークン | スマートフォン(ワンタイムパスワード受信)、ICカード |
| 生体情報(Something you are) | バイオメトリクス | 指紋認証、顔認証 |
多要素認証(MFA):上記の異なる種類の要素を2つ以上組み合わせる認証方式。パスワード(知識)+スマートフォンのOTP(所持)が代表例。1要素が漏洩しても不正アクセスを防げる。
4. 主要な脅威と攻撃手法
| 攻撃手法 | 定義 |
|---|---|
| フィッシング | 正規のサービスや機関を装った偽メール・偽サイトでIDやパスワードを詐取する |
| SQLインジェクション | WebアプリのDBに不正なSQL文を入力し、データを盗取・改ざんする |
| DDoS攻撃 | 多数のコンピュータから大量のリクエストを送り、サービスを停止させる(可用性への攻撃) |
| ランサムウェア | ファイルを暗号化してシステムを使用不能にし、復号の対価として金銭を要求するマルウェア |
| ゼロデイ攻撃 | セキュリティパッチが未配布の脆弱性を悪用した攻撃 |
試験ポイント:攻撃手法の「名称と定義の対応」が選択問題で頻出です。特にランサムウェア(暗号化+身代金要求)とDDoS(サービス停止)の定義を正確に覚えてください。
5. リスクマネジメントのプロセスと4つの対応策
リスクマネジメントのプロセス
flowchart LR
A[リスクの特定\n何がリスクか洗い出す] --> B[リスクの分析\n発生確率・影響度を評価]
B --> C[リスクの評価\n対応優先度を決める]
C --> D[リスク対応\n4種類から選択]
D --> E[モニタリング・レビュー\n継続的に監視]
リスク対応の4分類
リスクへの対応は「発生確率」と「影響度」の大きさによって選択します。
| 対応策 | 意味 | 具体例 |
|---|---|---|
| 回避 | リスクの原因となる活動そのものをやめる | 個人情報を収集するサービスを廃止する |
| 低減(軽減) | 対策を講じてリスクの発生確率や影響度を下げる | ウイルス対策ソフト導入、パッチ適用、教育訓練 |
| 移転(転嫁) | リスクを第三者に移す(主に保険) | サイバーリスク保険に加入する |
| 保有(受容) | リスクをそのまま受け入れる | 影響が軽微で対策コストが見合わない場合 |
quadrantChart
title リスク対応の選択基準
x-axis 発生確率 低 --> 高
y-axis 影響度 低 --> 高
quadrant-1 回避
quadrant-2 低減
quadrant-3 保有
quadrant-4 移転(保険)
試験ポイント:「移転=保険」「保有=何もしない(ただし意識的な判断)」という対応を混同しないようにしましょう。
よくある疑問
Q. 公開鍵で暗号化して秘密鍵で復号するのに、なぜ「秘密鍵で署名して公開鍵で検証」という逆のケースがあるのか
デジタル署名では、送信者が「自分しか持っていない秘密鍵」で署名することで「本人からの送信」を証明します。受信者は公開鍵で署名を検証します。これは暗号化とは逆方向の利用で、「なりすまし防止・改ざん検知」が目的です。暗号化(機密性)と署名(真正性)は同じ鍵ペアを逆向きに使う別の用途だと理解してください。
Q. 多要素認証と二段階認証は同じか
厳密には異なります。二段階認証はログインを2段階で行うだけで、同じ要素(例:パスワード×2)でも成立します。多要素認証は異なる種類の要素を2つ以上使うことが条件です。ただし日常的に混同されており、試験ではMFAの定義(異なる種類の要素を組み合わせる)を覚えておけば対応できます。
Q. DDoSとDoSの違いは何か
DoS(Denial of Service)は1台のコンピュータから攻撃する手法、DDoS(Distributed DoS)は多数のコンピュータ(ボットネット)から分散して攻撃する手法です。DDoSは攻撃元が分散しているため遮断が困難です。試験では「D=Distributed(分散)」が定義の核心です。
まとめ
| テーマ | 試験での核心 |
|---|---|
| CIA3要素 | 機密性・完全性・可用性の定義と侵害例 |
| 共通鍵暗号 | 速いが鍵配送問題あり、AES |
| 公開鍵暗号 | 鍵配送問題なし、低速、RSA |
| SSL/TLS | ハイブリッド暗号(公開鍵で共通鍵を配送) |
| 多要素認証 | 異なる種類の要素を2つ以上組み合わせる |
| 攻撃手法 | フィッシング・SQLi・DDoS・ランサムウェアの定義 |
| リスク対応 | 回避・低減・移転(保険)・保有の使い分け |
情報セキュリティは「定義の正確な暗記」が得点に直結します。語句と内容を1対1で対応させて覚えましょう。