はじめに
応用情報技術者試験(午後)のセキュリティ分野では、暗号技術・認証・アクセス制御・攻撃手法など、幅広い知識が求められます。本記事では、それぞれの技術の意味や背景を整理し、効率的な学習ロードマップを紹介します。
1. 暗号技術(基礎から実践)
🔹 なぜ暗号が必要なのか? → どの方式がどう違うのか? → 実際の活用例
🔑 暗号の基本(情報を秘匿する技術)
暗号技術は、データの盗聴・改ざんを防ぐための基礎技術です。
• 共通鍵暗号方式 → 送信者と受信者が同じ鍵を使う(AES, DES など)
• 公開鍵暗号方式 → 送信者と受信者が異なる鍵を使う(RSA, ECC など)
• ハイブリッド鍵暗号 → 共通鍵と公開鍵を組み合わせて効率化(TLS など)
• ブロック暗号 / ストリーム暗号 → 暗号化の方法(ブロックごとか、連続的か)
📌 ポイント
• 共通鍵暗号は処理が速いが、鍵の安全な共有が課題
• 公開鍵暗号は安全性が高いが、計算コストが高い
• 実際のシステム(HTTPSなど)では、ハイブリッド鍵暗号が使われる
⸻
🔑 鍵交換と管理(安全な鍵のやり取り)
暗号を使うためには、安全に鍵を交換する方法が必要。
• DH法(Diffie-Hellman) → ネットワーク上で安全に鍵を共有する技術
• KDC(鍵配布センター) → 信頼できる第三者が鍵を配布する仕組み(Kerberos など)
📌 ポイント
• DH法は通信経路上で鍵をやり取りするが、盗聴には弱い(MITM攻撃)
• KDCはサーバーが鍵を管理するため、管理の負担が大きい
⸻
🔑 認証とハッシュ(改ざんやなりすまし防止)
• ハッシュ関数 → データの指紋を作る技術(SHA-256 など)
• メッセージ認証(MAC, HMAC) → メッセージが改ざんされていないかを確認
• デジタル署名 → 送信者の本人証明+データの改ざん防止
• タイムスタンプ → いつ作られたデータか証明(電子契約などに活用)
📌 ポイント
• ハッシュ関数は「一方向」のみ(元のデータは復元できない)
• デジタル署名は「本人確認+改ざん検知」
⸻
🔑 PKI(公開鍵基盤)と認証局
• PKI(Public Key Infrastructure) → 公開鍵の信頼性を保証する仕組み
• 認証局(CA, Certificate Authority) → 信頼できる第三者が証明書を発行
• OCSPステープリング → 証明書の有効性を即座に確認する技術
• Certificate Transparency → 不正な証明書の発行を防ぐ仕組み
📌 ポイント
• PKIはインターネットのセキュリティを支える重要技術(HTTPS, 電子契約など)
• 証明書の有効性を確認する方法を理解する(CRL, OCSP など)
⸻
2. 認証技術(なりすましを防ぐ技術)
🔹 なぜ認証が必要か? → どの方法が安全か? → 実際のサービスでの活用例
👤 ユーザー認証の基礎
• ベーシック認証 → IDとパスワードを送るだけ(HTTP基本認証)
• チャレンジレスポンス認証 → パスワードを直接送らない方式(Digest認証)
• ワンタイムパスワード(OTP, s/key, HOTP, TOTP) → 毎回異なるパスワードを生成
• パスワード管理(LDAP) → 大規模ユーザー管理に利用
⸻
🌐 ネットワーク認証技術
• IEEE802.1X → 有線/無線ネットワークでの認証(企業のWi-Fiなど)
• シングルサインオン(SSO) → 一度のログインで複数のサービスを利用(Google, Microsoft)
• ケルベロス認証 → KDCを使った認証(Windows Active Directory など)
• SAML → Webサービス間の認証連携(クラウドサービスのログインなど)
📌 ポイント
• SSOを使うと、ログインの手間を省きつつセキュリティを向上できる
⸻
3. アクセス制御とセキュアOS(権限管理)
🔹 誰が何をできるかを管理する技術
• ラベル式アクセス制御(MAC) → 軍事レベルの厳格な制御
• ロールベースアクセス制御(RBAC) → 役職ごとにアクセス権を割り当て(企業のシステム管理)
⸻
4. 攻撃手法と対策
🔹 攻撃の仕組みを知り、事前に対策する
• ポートスキャン → 開いているポートを探す
• ウォーターホール攻撃 → 特定サイトを狙う攻撃
• エクスプロイトコード / バックドア / 踏み台 → 不正アクセスの手法
⸻
5. ハードウェアセキュリティ
🔹 物理的なセキュリティ対策
• TPM(Trusted Platform Module) → PC内部の暗号鍵を安全に管理
⸻
学習ロードマップ(優先度順)
✅ まず学ぶべきこと
1. 暗号技術(共通鍵・公開鍵・PKI)
2. 認証技術(SSO, LDAP, ケルベロス)
3. アクセス制御(RBAC, セキュアOS)
4. 攻撃手法(ポートスキャン, マルウェア, パスワード攻撃)
✅ 余裕があれば学ぶこと
• OCSP, Certificate Transparency, TPM
⸻
まとめ
セキュリティは範囲が広いですが、体系的に学ぶことで効率よく理解できます。本記事を参考に、応用情報の午後対策を進めてみてください!