はじめに
応用情報技術者試験のシラバスが令和6年秋からverがアップデートされるので変更点を中心にまとめていきます(セキュリティ)
随時更新予定
情報セキュリティ
情報セキュリティの目的と考え方
セキュリティバイデザイン(セキュアバイデザイン)
セキュリティバイデザイン自体は前からあったが、新しくセキュアバイデザインが同意味で追加された
セキュリティバイデザインとはシステムの企画・設計段階からセキュリティ確保すること
ちなみに似た用語でセキュアバイデフォルト(セキュリティ機能を最初から組み込んだ状態にするべきというプラクティス)がある
また、システムの企画・設計段階でプライバシー保護の機能を組み込むことをプライバシーバイデザインと言います
情報セキュリティの重要性
脅威
アクセス権の誤設定
そのまんまの意味ですが、本来アクセスする権限を付与するべきではない人に、誤って権限を与えてしまうことで情報漏洩などのセキュリティインシデントに繋がることを言います
AIに対する脅威
これもそのままですが、AIを悪用したサイバー攻撃が脅威になるってことですね(AIを狙ったサイバー攻撃の意味もあるかも)
この内容はAIを悪用したサイバー攻撃のリスクと対策では以下のように説明されています
例えば、AI技術を用いればシステムの脆弱性を発見するのも容易になると考えられます。システムやソフトウェアの脆弱生・不具合を発見する手法として、予測不可能な入力データ(ファズ)を与えることで意図的に例外を発生させ、挙動を確認するファジングと呼ばれる手法がよく知られています。このファジングをAIが行えば、高度な技術や専門知識がなくても脆弱性を見つけられるようになり、悪用することで、さらにそこから最適化された攻撃方法を組み立てられるようになることが危惧されます。
では、AIを利用したサイバー攻撃を防ぐ方法について考えてみましょう。現状のままのセキュリティ対策で対応しているうちは、AI機能を駆使した攻撃に対して常に後手を踏むことになると予測され、完全に防ぐことは困難と言わざるを得ません。
解決法として期待されているのはAIを搭載したセキュリティシステムの開発です。AI対AIという構図になれば、攻撃側の優位点を同様の技術で抑え込むことができるかもしれません。試行錯誤を繰り返しながら学習し、圧倒的なスピード感でシステムに侵入してくるAIに対抗できるのは、分析し学習しながら最適な対応策を講じていくAIだけである可能性が高いでしょう。
遠隔操作型ウイルス(RAT:Remote Access Trojan)
RAT(Remote Access Trojan)が追加、通常の遠隔操作ソフトと同じように動作して不正に侵入し遠隔操作するマルウェア
ステルス技術(ポリモーフィック型,メタモーフィック型ほか),ファイルレスマルウェア,エクスプロイトコード,エクスプロイトキット
セキュリティソフトを用いても見つかりにくいステルス技術を用いたウイルスが追加された
-
ポリモーフィック型
自身のコードを変化させながら感染を広げるマルウェア -
メタモーフィック型
ポリモーフィック型の進化版、自己複製時にコードの構造を根本的に変えることで検出を避けるウイルス -
ファイルレスマルウェア
ファイルレスマルウェアとは、パソコンのOSなどが持つ正規のツールや機能を悪用する攻撃
対策ソフトなどの検出が厳しく高度な攻撃手法となっている -
エクスプロイトコード
OSやアプリケーションの脆弱性を攻撃するプログラムの総称 -
エクスプロイトキット
OSやアプリケーションの脆弱性を攻撃する「エクスプロイト」を集めたパッケージ
脆弱性
情報システムの情報セキュリティに関する欠陥、行動規範・職務分掌(ぶんしょう)の組織での未整備、従業員への不徹底などの脆弱性を理解する
脆弱性の説明に職務分掌というワードが追加されました
職務分掌とは、組織や企業内での職務や役割の分担を明確にすること
内部統制の不備
組織内の業務プロセスやリスク管理の仕組みが不十分であること
不正のメカニズム
割れ窓理論
社会の小さな問題を放置すると、さらに大きな問題が発生するという考え方
攻撃者の種類、攻撃の動機
二重脅迫(ダブルエクストーション)
サイバー犯罪の手法で、データを暗号化するランサムウェア攻撃に加え、データを盗んで脅迫する方法
まずデータを暗号化し、その後、盗んだデータを公開するぞと脅してさらなる金銭を要求します。
リークサイト
盗まれた情報や機密データが公開されるウェブサイト
攻撃手法
パスワードリスト攻撃(クレデンシャルスタッフィング)
盗まれたユーザー名とパスワードの組み合わせを使って、他のアカウントに不正ログインを試みるサイバー攻撃の手法
パスワードリストに同意味としてクレデンシャルスタッフィングが追加された
OSコマンドインジェクション
ウェブアプリケーションの入力フォームやURLパラメータに悪意のあるコマンドを挿入し、サーバーのオペレーティングシステム上でそのコマンドを実行させる攻撃手法
オープンリダイレクトの悪用
オープンリダイレクトは、ユーザーを信頼できるドメインから悪意のあるドメインへリダイレクトすることを許可するウェブアプリケーションの脆弱性
悪用方法にフィッシング攻撃やクロスサイトスクリプティングが挙げられる
第3者中継(オープンリレー)
メールサーバーが認証なしで外部からのメールを転送できる設定
フィッシング(スミッシングほか)
スミッシングとはSMSを利用したフィッシング攻撃の1種
サイドチェネル攻撃(テンペスト攻撃、プローブ攻撃、タイミング攻撃、電力解析攻撃など)
サイドチャネル攻撃に細かい攻撃手法が追加された
- テンペスト攻撃
物理的なセキュリティに関連する攻撃手法で、電子機器が発する電磁波を利用して機密情報を盗む方法 - プローブ攻撃
ネットワークやシステムのセキュリティを評価するために、脆弱性を発見することを目的とした攻撃手法 - タイミング攻撃
システムやアプリケーションが処理する際の時間的な差異を利用して、秘密情報や機密データを盗み取る攻撃手法 - 電力解析攻撃
電子機器やマイクロプロセッサが動作する際の電力消費パターンを分析することで、暗号鍵や機密情報を抽出する攻撃手法
バージョンロールバック攻撃
ソフトウェアやシステムのバージョン管理に関連するセキュリティ攻撃の一つで、意図的に古いバージョンのソフトウェアやプロトコルに戻すことで、既知の脆弱性を悪用する攻撃手法
ラテラルムーブメント
サイバー攻撃において、攻撃者がネットワーク内で横移動しながら権限を拡大し、より重要なシステムやデータにアクセスする行動
情報セキュリティに関する技術
秘密計算
データについて暗号化(秘密)にしたまま計算する方法のこと
ハッシュ関数(SHA-2(SHA-2),SHA-3,一方向性,第二原像発見困難性,衝突発見困難性ほか
ハッシュ関数自体は暗号化でおなじみのやつですが、特徴や役割が追加されました
SHA-2やSHA-3はハッシュ関数の1つでSHA-3が一番すごい?ぽい
一方向性,第二原像発見困難性,衝突発見困難性の3つもハッシュ関数の特徴を述べてるやつです
一方向性は「ハッシュ値から元データを復元することが困難であること」
第二原像発見困難性は「ある入力値に対するハッシュ値が与えられた時に、そのハッシュ値と一致する別の入力値を見つけることが困難なこと」
衝突発見困難性は「同じハッシュ値をもつ異なるデータを生成することが困難であること」
ゼロ知識証明
パスワードそのものを送るのではなくパスワードを所有することを証明すること
チャレンジ・レスポンス方式とかはこの方式を使ってますね
ブロックチェーン
取引の記録をブロックと呼ぶ単位にまとめ、これを時系列に連結することでデータを保管する分散型のデータベース
メッセージダイジェスト
ハッシュ関数とかでメッセージを安全なものに変更するやつ
1言で言うと、「データの指紋」みたいなもの
HMAC
アルゴリズムの1種
通常のハッシュ関数(SHA-256とか)と秘密鍵を組み合わせて、安全なメッセージダイジェストを生成する
パスワードレス認証(FIDO UAF,FIDO U2F,FIDO2,WebAuthn)
パスワードを利用しない認証
代表的なものは生体認証やデバイス認証があげられる
EMV 3D セキュア(3Dセキュア2.0)
オンライン決済の本人認証を強化して不正利用を防ぐプロトコル
ver1から2に上がって認証方法(生体認証など)が追加されたらしい
ちなみに3DのDはドメインのこと。お店、カード会社、その2つをリンクさせる運用の3つのドメインから認証がなりたっている
アイデンティティ連携(OpenID Connect)
ユーザー認証のための認証プロトコル
すごいざっくり言うと、IDトークンを用いてユーザーの認証を行う
詳しく知りたい方は以下の参考リンクにて図解で説明されているのでそちらを参照
参考:図解 OpenID Connect による ID 連携
Idp,IDaaS
Idpは認証を行い、ユーザーの身元を保証するシステム
IDaaSはクラウド上でIdp機能などの認証情報管理を提供するサービス
本人拒否率(FRR)、他人受入率(FAR)
生体認証でよく使われる指標
FRR:本人なのに認証に失敗する確率
FAR:他人なのに本人と認識してしまう確率
トラストアンカー(信頼の基点)
セキュリティや暗号技術において信頼できる親のような存在のこと
中間CA証明書
ほぼまんまですが、ルート認証局とサーバー証明書の中間に位置する証明書
情報セキュリティ管理
情報セキュリティ管理
クラウドサービスの責任共有モデル
クラウド事業者とクラウド利用者で、セキュリティや運用管理の責任範囲を分ける考え方
外部委託やクラウドサービスの利用時における情報セキュリティ
まあこれは見たまんまです
外部委託やクラウドサービスを利用するときにはどのようなセキュリティについて考える必要があります
サイバーハイジーン
情報セキュリティにおける「基本的な対策の実施」を意味する概念
具体的にはパッチ適用や不要なアカウントやアプリの削除などが挙げられます
リスク分析と評価
地政学的リスク
国際的、地域的な外交によって生じる影響リスクのこと
情報セキュリティマネジメントシステム(ISMS)
管理策タイプ(予防,検知,是正)
基本的な対応フェーズのこと
予防:インシデントが発生しないように事前に防ぐ
検知:問題を速やかに見つける
是正:被害を最小化して、復旧すること
サイバーセキュリティ概念(識別,防御,検知,対応,復旧)
サイバーセキュリティの基本概念のこと
そのままですね
情報セキュリティ管理におけるインシデント管理
テイクダウン
不正なサービスなどを削除•停止させる措置のこと
情報セキュリティ組織・機関
PSIRT
製品やサービスに関するセキュリティインシデントに対応する専門チームのこと
CSIRTと似てますが、こちらは組織内システムへの攻撃に対応するチームです
エシカルハッカー
企業や組織の依頼に基づいて、合法的にシステムやネットワークの脆弱性を発見•報告するハッカーのこと
Trusted Web推進協議会
次世代のインターネット基盤の実現を目指すプロジェクト
サイト:https://www.kantei.go.jp/jp/singi/digitalmarket/trusted_web/index.html
情報セキュリティサービス基準
これもそのままですが、IPAがリストを公開していましたので詳細を知りたい方はそちらを参照しましょう
参考:情報セキュリティサービス基準
情報セキュリティサービス審査登録制度
これは経済産業省が公開している制度です
参考:情報セキュリティサービス審査登録制度
情報セキュリティサービス基準適合サービスリスト
上で貼ってある参考とほぼ同じです
ISMAP(政府情報システムのためのセキュリティ評価制度)
日本政府がクラウドサービスの安全性を事前評価•設定する仕組み
NOTICE
ソフトウェアや製品に含まれるOSSの脆弱性管理を支援する仕組み
SECURITY ACTION
IPAが提供する、中小企業向けの情報セキュリティ対策自己制限制度
参考:SECURITY ACTION
ISAC(Information Sharing and Analysis Center:セキュリティ情報共有組織)
業界ごとに設置される、サイバー脅威情報の共有と対策を行う組織
情報セキュリティに関する基準
ソフトウエア製品等の脆弱性関連情報に関する取扱規程
意味はそのままなので省略しますが、経済産業省がpdf形式で説明している資料がありますので詳細に知りたい方は見てみましょう
参考:ソフトウエア製品等の脆弱性関連情報に関する取扱規程
金融機関等コンピュータシステムの安全対策基準・解説書
これはFISCが解説書を公開していました、詳しくみたい方はそちらを見ましょう。
でもお金が掛かりそうなのか?
参考:金融機関等コンピュータシステムの安全対策基準・解説書
サイバーセキュリティフレームワーク(CSF)
サイバーセキュリティのリスク管理を支援するためにNISTが策定したフレームワーク
セキュリティ技術評価
セキュリティ評価基準
CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)
ソフトウェアやシステムに存在する脆弱性や欠陥を一意に識別するための標準的なシステム
これはニュースとかでよく見るものなので資格勉強とか関係なく覚えておいても損はないと個人的には思います
NVDで検索したら脆弱性一覧が見ることができます
参考:NVD 脆弱性データベース
脆弱性報奨金制度(バグバウンティプログラム)
そのままですね、企業や組織が脆弱性を発見•報告してくれた人に報酬を払う制度です
ISO/IEC 15408,ISO/IEC 18045
IT製品やシステムのセキュリティ評価方法を定めた国際標準
PP(Protection Profile:プロテクションプロファイル)
特定の種類のIT製品やシステムに共通するセキュリティ要件を定めた文書
情報セキュリティ対策
情報セキュリティ対策の種類
UBA(User Behavior Analytics)
ユーザーの通常とは異なる行動を検出して、内部不正やサイバー攻撃の兆候を見つけ出すセキュリティ技術
UEBA(User and Entity Behavior Analytics))
UBAとほぼ同じ
ユーザーだけではなくデバイスなども分析対象に含める上位互換みたいな感じ
セキュリティクリアランス
国家や組織が機密情報へのアクセスを許可するために個人の信頼性や適格性を審査•認定する制度
秘密保持契約・誓約書
企業や個人が業務上知り得た機密情報を第三者に漏らさないことを約束すること
ランサムウェア対策(データのバックアップ,3-2-1 ルール,WORM(Write Once Read Many)機能,イミュータブルバックアップ)
データのバックアップはそのまま
3−2-1ルール:重要なデータを失わないように3つの条件を満たすことを推奨するもの(3:少なくとも3つのコピーを持つこと、2:異なる2種類のメディアに保存すること、1:別の場所に保存すること)
WORM:1度だけ書き込みができて、その後は読み取り専用になるストレージのこと
イミュータブルバックアップ:保存後に一切変更•削除できないように固定されたバックアップ(ちなみに令和7年春の午後問1に出ました)
パターンマッチング法
特定のパターンを与えられたデータの中から検索すること
ビヘイビア法(振る舞い検知)
システムやユーザーの振る舞いを監視し、通常の挙動とは異なる不正な振る舞いや異常を検出するセキュリティ技術
ヒューリスティック法
問題解決や意思決定のための直感的なアプローチで完全な解法を求めることなく、効果的に解答を得るための手法
動的解析,静的解析
ほぼそのままの意味
動的:プログラム等を実行しながら挙動を監視する
静的:コードを実行せずに、解析する手法
匿名化の手法(項目削除/レコード削除/セル削除,トップ(ボトム)コーディングなどの一般的な手法のほか,k-匿名化などの高度な手法を含む)
個人情報や特定のデータが、元のデータの所有者を特定できないように加工する手法
トップコーディング:特定の上限値を設けて、データの最大値を制限する
kー匿名化:特定の個人が少なくともK人の他の個人と区別できないようにすること
SBOM
ソフトウェア部品表のこと、セキュリティ管理等に利用します
最後に
令和7年春の応用情報を受験しました。
なんとか午前午後自己採点6割は超えましたが個人的には特に午前が難しかったですね。
何問かはシラバス変更点から出ていましたし、今後は過去問暗記ではなく中身を理解できるかが合格の鍵となりそうです。