1. 序論
1.1 調査の背景と目的
現代の高度情報化社会において、組織の情報資産を守る「情報セキュリティマネジメント」の重要性はかつてないほど高まっている。独立行政法人情報処理推進機構(IPA)が実施する「情報セキュリティマネジメント試験(SG)」は、こうした社会的要請に応え、組織内で情報セキュリティの確保・維持・改善を牽引する人材の育成と認定を目的とした国家試験である。
本報告書は、SG試験における出題傾向を詳細に分析し、合格に不可欠な知識体系を網羅的に調査したものである。特に、試験の核心となる「用語」に焦点を当て、単なる単語の羅列ではなく、その背景にある技術的メカニズム、管理的意義、そして実務における適用方法までを深く掘り下げて解説する。本調査の目的は、SG試験の受験者が直面する膨大な学習範囲を体系化し、技術面(テクノロジー)と管理面(マネジメント)の両輪を深く理解するための包括的なリソースを提供することにある。
1.2 SG試験の特性と近年の傾向
SG試験は、ITパスポート試験の上位に位置づけられ、基本情報技術者試験(FE)と比較して「セキュリティ管理」に特化している点が特徴である。近年のCBT(Computer Based Testing)方式への移行に伴い、出題形式は知識を問う「科目A」と、実践的な技能を問う「科目B」に再編された。
調査結果によると、SG試験では以下の傾向が顕著である。
- 用語の正確な理解: 紛らわしい用語(例:ディジタル署名と電子証明書、脅威と脆弱性)の違いを正確に理解しているかが問われる。
- シナリオベースの応用力: 単に用語を知っているだけでなく、「ある企業で〇〇という事象が発生した。これはどの攻撃手法に該当するか」といった事例形式での出題が多い。
- マネジメントの重視: 技術的な対策だけでなく、ISMS(情報セキュリティマネジメントシステム)に基づく組織的なリスク管理プロセス(PDCAサイクル)や、法令遵守(コンプライアンス)に関する出題比率が高い。
本報告書では、これらの傾向を踏まえ、200以上の重要用語を厳選し、6つの主要カテゴリーに分類して詳細な解説を行う。
2. 情報セキュリティの基礎概念とリスクマネジメント
情報セキュリティの学習において、最初に理解すべきは「何を守るのか(情報資産)」「何から守るのか(脅威)」「どのように守るのか(対策)」という基本的な構造である。この章では、セキュリティの定義となる3要素(CIA)と、リスクマネジメントのプロセスについて詳述する。
2.1 情報セキュリティの定義(CIAと追加要素)
JIS Q 27000などの規格において、情報セキュリティは主に3つの特性(機密性・完全性・可用性)を維持することと定義されている。これらは「情報セキュリティの3要素(CIA)」と呼ばれ、対策のゴールとなる概念である。
機密性(Confidentiality)
機密性とは、許可された正規の利用者だけが情報にアクセスできる状態を指す。「盗まれないこと」「漏れないこと」と言い換えられる。機密性を確保するための技術には、アクセス制御(ID・パスワード)、暗号化、ネットワーク分離などがある。機密性が侵害されると、情報漏えいや不正アクセスといったインシデントにつながる。
完全性(Integrity)
完全性とは、情報や処理方法が正確であり、改ざんされていない完全な状態を指す。「書き換えられないこと」である。Webサイトの改ざんや、データの欠損は完全性の喪失にあたる。対策としては、デジタル署名、ハッシュ関数によるチェック、書き込み権限の制限などが挙げられる。
可用性(Availability)
可用性とは、許可された利用者が必要な時にいつでも情報やシステムを使用できる状態を指す。「止まらないこと」である。システムダウンやネットワーク遅延は可用性の低下を意味する。対策としては、システムの二重化(冗長化)、バックアップ、DDoS攻撃対策、無停電電源装置(UPS)の設置などがある。
追加の4要素
近年のSG試験では、上記の3要素に加え、以下の4要素を含めた「7要素」についての理解も問われる傾向にある。
- 真正性 (Authenticity): 利用者やシステムが、主張している通りの本人(本物)であること。なりすましでないことを保証する。
- 責任追跡性 (Accountability): 誰がいつどのような操作を行ったかを後から追跡できること。ログ管理がこれに当たる。
- 否認防止 (Non-repudiation): 行われた操作や事象について、後になって「やっていない」と否定できないようにすること。デジタル署名が有効である。
- 信頼性 (Reliability): システムが意図した通りに矛盾なく動作すること。バグや不具合がない状態。
2.2 リスクマネジメントの体系
リスクマネジメントは、組織が抱えるリスクを許容可能なレベルまで低減・維持するプロセスである。JIS Q 31000やJIS Q 27001に基づき、体系的なアプローチが求められる。
リスクの構成要素
リスクは一般に「資産価値」「脅威」「脆弱性」の3つの要素の組み合わせで評価される。
- 資産 (Asset): 守るべき情報やシステム。
- 脅威 (Threat): 資産に損害を与える要因(攻撃者、災害、操作ミスなど)。
- 脆弱性 (Vulnerability): 脅威につけ込まれる弱点(セキュリティホールの放置、鍵の管理不備など)。
リスクアセスメント
リスクアセスメントは、リスクマネジメントの中核となるプロセスであり、以下の3段階で構成される。
- リスク特定 (Risk Identification): 組織にどのようなリスクが存在するかを洗い出す。
- リスク分析 (Risk Analysis): 特定したリスクの発生確率と影響度を分析し、リスクの大きさを算定する。
- リスク評価 (Risk Evaluation): 分析結果を基準と比較し、優先的に対応すべきリスクを決定する。
リスク対応(リスクの4対応)
評価されたリスクに対して、どのような措置を講じるかを決定するプロセスである。SG試験では、具体的な事例がどの対応策に分類されるかを問う問題が頻出する1。
- リスク回避: リスクの原因そのものを除去する(例:個人情報の収集をやめる)。
- リスク低減(緩和): 発生確率や影響度を下げる(例:暗号化、ファイアウォール設置)。
- リスク移転(転嫁): 他者にリスクを肩代わりさせる(例:保険加入、外部委託)。
- リスク受容(保有): 対策を講じず、リスクをそのまま受け入れる(例:対策コストが被害額を上回る場合)。
2.3 基礎概念とリスク用語一覧
以下に、情報セキュリティの基礎概念とリスクマネジメントに関連する頻出用語をまとめる。
表1:情報セキュリティ基礎・リスクマネジメント用語集
| カテゴリー | 用語 | 英語表記 | 詳細解説 | SG試験対策ポイント |
| 3要素 | 機密性 | Confidentiality | 許可された者だけがアクセスできる特性。 | 「漏洩」は機密性の欠如。暗号化で守る。 |
| 3要素 | 完全性 | Integrity | 情報が正確で改ざんされていない特性。 | 「改ざん」は完全性の欠如。デジタル署名で守る。 |
| 3要素 | 可用性 | Availability | 必要な時にいつでも使える特性。 | 「停止」は可用性の欠如。冗長化で守る。 |
| 追加要素 | 真正性 | Authenticity | 本人や本物であることを確実にする特性。 | 「なりすまし」防止。認証技術が鍵。 |
| 追加要素 | 責任追跡性 | Accountability | 誰の操作かを追跡できる特性。 | ログの取得・保管が必須要件となる。 |
| 追加要素 | 否認防止 | Non-repudiation | 行為の事実を後から否定させない特性。 | 電子署名やタイムスタンプが有効。 |
| 追加要素 | 信頼性 | Reliability | 意図した動作を一貫して実行できる特性。 | システムのバグ排除や品質管理に関わる。 |
| リスク要素 | 情報資産 | Information Asset | 組織にとって価値のある情報、ハード、ソフト、人。 | 全てのリスク管理の出発点。洗い出しが必要。 |
| リスク要素 | 脅威 | Threat | 資産に損害を与える潜在的な原因1。 | 人的、技術的、物理的の3つに分類される。 |
| リスク要素 | 脆弱性 | Vulnerability | 脅威に利用される資産や管理の弱点。 | セキュリティホールや管理不備を指す。 |
| リスク要素 | インシデント | Incident | 情報セキュリティにかかわる事件・事故。 | 実際に被害が発生、またはその恐れがある事態。 |
| プロセス | リスクアセスメント | Risk Assessment | 特定・分析・評価の一連のプロセス。 | リスク対応の前段階として必須。 |
| プロセス | リスク特定 | Risk Identification | リスクを発見し、認識し、記述する。 | 漏れがあると対策できないため網羅性が重要。 |
| プロセス | リスク分析 | Risk Analysis | リスクの特質を理解しレベルを決定する。 | 定性的手法と定量的手法がある。 |
| プロセス | リスク評価 | Risk Evaluation | リスクレベルと基準を比較し優先度を決める。 | 対策を実施するか否かの判断基準となる。 |
| 分析手法 | 定性的リスク分析 | Qualitative | 発生確率や影響度を「高・中・低」で評価。 | 迅速だが主観が入りやすい。 |
| 分析手法 | 定量的リスク分析 | Quantitative | 損失額や確率を数値(金額等)で評価。 | 客観的だがデータ収集が困難。 |
| 分析手法 | ベースラインアプローチ | Baseline Approach | 標準的な基準(ベースライン)を適用する簡易手法。 | コストが低いが、固有リスクを見落とす可能性。 |
| 分析手法 | 詳細リスク分析 | Detailed Analysis | 資産ごとに詳細に分析する手法。 | 高精度だがコストと時間がかかる。 |
| 分析手法 | 組み合わせアプローチ | Combined Approach | 重要資産には詳細、他はベースラインを適用。 | 効率と精度のバランスが良い。 |
| 分析手法 | 非形式的アプローチ | Informal Approach | 担当者の知識や経験に基づいて行う手法。 | 小規模組織向け。体系的ではない。 |
| 対応 | リスク対応 | Risk Treatment | リスクに対処するための措置の選択と実施。 | 4つの対応(回避・低減・移転・受容)がある。 |
| 対応 | リスク回避 | Risk Avoidance | リスク源を除去し発生させない。 | 最も確実だが、業務機会も失う可能性がある。 |
| 対応 | リスク低減 | Risk Reduction | 発生確率や影響度を下げる対策。 | 技術的対策の多くはこれに該当する。 |
| 対応 | リスク移転 | Risk Transfer | 第三者とリスクを共有する。 | 保険やアウトソーシング。責任自体は移転できない。 |
| 対応 | リスク受容 | Risk Acceptance | 対策せずリスクを受け入れる。 | コスト対効果が見合わない場合に選択。 |
| 対応 | 残留リスク | Residual Risk | リスク対応後に残っているリスク。 | これについて経営層の承認が必要。 |
| 脅威分類 | 物理的脅威 | Physical Threat | 災害、破壊、盗難、侵入など。 | 施錠、耐震設備、入退室管理で防ぐ。 |
| 脅威分類 | 技術的脅威 | Technical Threat | マルウェア、不正アクセス、盗聴など。 | FW、暗号化、認証技術で防ぐ。 |
| 脅威分類 | 人的脅威 | Human Threat | 操作ミス、紛失、内部不正、ソーシャルエンジニアリング。 | 教育、訓練、権限管理で防ぐ。 |
| その他 | サプライチェーンリスク | Supply Chain Risk | 委託先や供給元の不備によるリスク。 | 自社だけでなく取引先の管理も必要。 |
| その他 | 内部不正 | Insider Threat | 従業員による情報の持ち出しや破壊。 | 権限最小化、退職者IDの即時削除が重要。 |
| その他 | カントリーリスク | Country Risk | 海外拠点の政治・経済情勢によるリスク。 | 現地の法規制(暗号規制など)も含む。 |
| その他 | 情報の格付け | Classification | 重要度に応じて情報を分類すること。 | 「極秘」「社外秘」「公開」など。管理策を変える。 |
| その他 | need-to-know | Need to Know | 業務上必要な人だけに情報を開示する原則。 | アクセス制御の基本思想。 |
3. サイバー攻撃手法とマルウェア(脅威の詳細)
サイバー攻撃の手法は日進月歩で進化しており、SG試験においては最も専門的な知識が求められる領域の一つである。攻撃者は、OSやアプリケーションの技術的な脆弱性を突くだけでなく、人間の心理的な隙(ソーシャルエンジニアリング)も巧みに利用する。本章では、マルウェアの種類、ネットワーク攻撃、Webアプリケーション攻撃、パスワード攻撃など、多岐にわたる攻撃手法を体系化する。
3.1 マルウェアの進化と分類
マルウェア(Malicious Software)とは、悪意のあるソフトウェアの総称である。初期の「愉快犯」的なウイルスから、金銭獲得を目的としたランサムウェア、国家が関与する高度な標的型攻撃(APT)へと、その目的と手法は大きく変貌している。
コンピュータウイルス・ワーム・トロイの木馬
これらはマルウェアの古典的な分類であるが、現在でも基礎知識として重要である。
- ウイルス: 他のプログラムに寄生して増殖する。自己伝染、潜伏、発病の機能を持つ。
- ワーム: 寄生先を必要とせず、単独でネットワーク経由で自己増殖する。感染速度が速い。
- トロイの木馬: 有用なソフトを装って侵入し、裏で不正動作を行う。自己増殖はしない。
近年の脅威:ランサムウェアとボット
現在、企業にとって最大の脅威の一つがランサムウェアである。データを暗号化して使用不能にし、復旧と引き換えに身代金を要求する。近年は、データを盗み出して「公開する」と脅す「二重脅迫(ダブルエクストーション)」が主流となっている。また、IoT機器などに感染して遠隔操作可能な状態にする「ボット(Bot)」も、DDoS攻撃の踏み台として悪用されている。
3.2 攻撃手法の多様化
攻撃手法は、ネットワークの仕組みを悪用するもの(DoS攻撃、スプーフィング)、Webサイトの脆弱性を突くもの(SQLインジェクション、XSS)、そしてパスワードを破るもの(ブルートフォース、リスト攻撃)などに大別される。
標的型攻撃とAPT
特定の組織を狙い撃ちにする攻撃を標的型攻撃という。業務メールを装ってマルウェアを開かせる手口が一般的である。さらに、高度な技術を用いて長期間にわたり執拗に攻撃を続けるものをAPT(Advanced Persistent Threat)と呼び、国家レベルの関与が疑われるケースもある。
3.3 サイバー攻撃・マルウェア用語一覧
攻撃手法に関する用語は数が多いため、機能別に細分化して整理する。
表2-1:マルウェア・不正プログラム
| 用語 | 英語表記 | 詳細解説 | 対策・特徴 |
| マルウェア | Malware | 悪意のあるソフトウェアの総称。 | ウイルス、ワーム、トロイの木馬などを含む。 |
| ウイルス | Virus | プログラムに寄生し増殖する。自己伝染・潜伏・発病機能を持つ。 | 宿主ファイルが必要。 |
| ワーム | Worm | 単独でネットワーク経由で自己増殖する。 | 脆弱性を突き、爆発的に感染拡大する。 |
| トロイの木馬 | Trojan Horse | 有用なソフトを装い、裏で不正動作する。 | バックドア作成や情報窃取を行う。 |
| ランサムウェア | Ransomware | データを暗号化し、復号の身代金を要求する。 | バックアップが重要。「WannaCry」が有名。 |
| スパイウェア | Spyware | 気づかれないように個人情報等を収集・送信する。 | キーロガーなどが含まれる。 |
| キーロガー | Keylogger | キーボード操作を記録し、パスワード等を盗む。 | ハードウェア型とソフトウェア型がある。 |
| ボット | Bot | 外部からの指令(C&Cサーバ)で遠隔操作されるプログラム。 | ボットネットを形成しDDoSの踏み台になる。 |
| バックドア | Backdoor | 正規の手続きを経ずに侵入できる裏口。 | 攻撃者が再侵入のために設置する。 |
| ルートキット | Rootkit | 侵入の痕跡を隠蔽し、管理者権限を維持するツール群。 | ログ消去やプロセス隠蔽を行う。 |
| ダウンローダー | Downloader | 他のマルウェアをDL・実行する機能を持つ。 | 侵入の第一段階で使われることが多い。 |
| ドロッパー | Dropper | 内部に悪意あるコードを隠し持ち、実行時に放出する。 | 検知回避のために暗号化されていることが多い。 |
| マクロウイルス | Macro Virus | Officeソフトのマクロ機能を悪用する。 | 「Emotet」などで多用された手法。 |
| ファイルレスマルウェア | Fileless Malware | ファイルを作らずメモリ上で動作する。 | 痕跡が残りにくく、検知が困難。 |
| ポリモーフィック型 | Polymorphic | 感染ごとにコードを暗号化しパターンを変える。 | パターンマッチング方式の回避が目的。 |
| アドウェア | Adware | 強制的に広告を表示するソフト。 | 情報収集を行うものもある。 |
| スケアウェア | Scareware | 偽の警告で恐怖を煽り、偽ソフトを買わせる。 | サポート詐欺の一種。 |
| クリプトジャッキング | Cryptojacking | 他人のPCで勝手に仮想通貨マイニングを行う。 | PCの動作が遅くなる。 |
| RAT | Remote Access Tool | 遠隔操作ツール。本来は管理用だが悪用される。 | 内部侵入後の横展開に使われる。 |
| Emotet | Emotet | メールの返信を装って感染拡大する強力なマルウェア。 | 2022年に大規模感染。情報の窃取と媒介を行う。 |
表2-2:ネットワーク・Web攻撃手法
| 用語 | 解説・メカニズム | SG試験のポイント |
| DoS攻撃 | サーバに負荷をかけサービスを停止させる。 | 1対1の攻撃。可用性の侵害。 |
| DDoS攻撃 | 多数のボットから一斉にDoS攻撃を行う。 | 攻撃元の特定と遮断が困難。 |
| SYNフラッド | TCP接続のSYNパケットだけを大量に送る。 | サーバのリソース枯渇を狙う。 |
| DNSアンプ攻撃 | DNS応答を増幅させターゲットに送りつけるDDoS。 | オープンリゾルバを踏み台にする。 |
| IPスプーフィング | 送信元IPアドレスを偽装する(なりすまし)。 | 身元の隠蔽やDDoSで使われる。 |
| SQLインジェクション | Web入力欄にSQL文を注入しDBを操作する。 | 情報漏洩の代表格。プレースホルダで防ぐ。 |
| クロスサイトスクリプティング (XSS) | 悪意あるスクリプトをWebに埋め込み利用者に実行させる。 | クッキー奪取などに使われる。サニタイジングで防ぐ。 |
| CSRF | ログイン中の利用者に意図しない操作をさせる。 | 掲示板への書き込みや送金など。 |
| ディレクトリトラバーサル | パスに「../」を含め非公開ファイルにアクセスする。 | サーバ内の重要ファイルが盗まれる。 |
| OSコマンドインジェクション | 外部からOSコマンドを実行させる。 | サーバの乗っ取りにつながる危険な攻撃。 |
| ドライブバイダウンロード | Webを見ただけでマルウェアをDLさせる。 | 脆弱性のあるブラウザが狙われる。 |
| 水飲み場攻撃 | 標的がよく見るサイトを改ざんし待ち伏せする。 | 標的型攻撃の一種。 |
| セッションハイジャック | セッションIDを盗み、なりすます。 | 通信暗号化(SSL/TLS)が対策。 |
| MITM攻撃 | 通信経路に割り込み盗聴・改ざんする(中間者攻撃)。 | 公衆Wi-Fiなどでリスクが高い。 |
| DNSキャッシュポイズニング | DNSに偽情報を注入し偽サイトへ誘導する。 | DNSSECが有効な対策。 |
| バッファオーバーフロー | メモリ領域溢れを起こし誤動作させる。 | 任意のコード実行につながる。 |
| ゼロデイ攻撃 | 修正パッチ公開前の脆弱性を攻撃する。 | 防御が極めて困難。 |
表2-3:パスワード・認証・その他の攻撃
| 用語 | 解説・メカニズム | SG試験のポイント |
| ブルートフォース攻撃 | 全ての文字の組み合わせを試す総当たり攻撃。 | 時間はかかるが理論上いつか破れる。 |
| 辞書攻撃 | 辞書にある単語を使って推測する。 | 意味のある単語は危険。 |
| パスワードリスト攻撃 | 流出したID/PWリストで他サイトへログインを試みる。 | 「使い回し」をしていると被害に遭う。 |
| リバースブルートフォース | パスワードを固定し、IDを変えて試行する。 | ロックアウトされにくい。 |
| レインボー攻撃 | ハッシュ値の換算表を用いてパスワードを解析する。 | 「ソルト(Salt)」付加で防げる。 |
| フィッシング | 偽メールで偽サイトへ誘導し情報を盗む。 | 金融機関を騙るケースが多い。 |
| スミッシング | SMSを使ったフィッシング詐欺。 | 宅配便の不在通知などが頻出。 |
| ファーミング | DNS設定変更などで正しいURLでも偽サイトへ誘導。 | フィッシングより気づきにくい。 |
| SEOポイズニング | 検索結果上位に悪意あるサイトを表示させる。 | 流行語検索などを狙う。 |
| ソーシャルエンジニアリング | 人の心理的な隙や行動のミスにつけ込む手法。 | 技術的な対策だけでは防げない。 |
| ショルダーハック | 肩越しにパスワード入力などを盗み見る。 | 物理的なソーシャルエンジニアリング。 |
| トラッシング | ゴミ箱を漁って情報を盗む(スカベンジング)。 | 溶解処理やシュレッダーが対策。 |
| 標的型メール攻撃 | 業務関連を装ったメールでウイルス感染させる。 | 添付ファイルやURLを開かせる巧妙な手口。 |
| ビジネスメール詐欺 (BEC) | 取引先や経営層になりすまし送金を指示する。 | ウイルスを使わず言葉巧みに騙す。 |
| クリックジャッキング | 透明なボタン等を重ねて誤クリックさせる。 | 意図しない「いいね」や設定変更。 |
| ワンクリック詐欺 | クリックしただけで契約成立を主張し請求する。 | 無視が一番の対策。 |
| サイドチャネル攻撃 | 処理時間や消費電力から暗号鍵を推測する。 | 物理的な観測による攻撃。 |
| テンペスト | 漏洩電磁波を受信して画面内容を再現する。 | 電磁波シールドが必要。 |
| APT攻撃 | 長期間潜伏し執拗に情報を狙う高度な攻撃。 | 複数の手法を組み合わせる。 |
| サイバーキルチェーン | 攻撃プロセスを7段階にモデル化したもの。 | 防御のポイントを明確にするために使う。 |
| シャドーIT | 会社が把握していない私的IT利用。 | 管理外のためセキュリティホールになる。 |
| BYOD | 私物端末の業務利用。 | コスト削減だが紛失リスク等の管理が必要。 |
| ハクティビズム | 政治的・社会的主張のための攻撃活動。 | 愉快犯や金銭目的とは動機が異なる。 |
| スクリプトキディ | 他人のツールを使って攻撃する技術の低い者。 | 容易に攻撃できるため数は多い。 |
| 踏み台 | 攻撃の中継点として悪用されるコンピュータ。 | 自分のPCが加害者になってしまう。 |
| C&Cサーバ | ボットに指令を出す攻撃者のサーバ。 | これとの通信を遮断することが対策。 |
4. 暗号技術と認証(防御の技術的基盤)
攻撃から情報を守るための技術的基盤として、暗号技術と認証技術がある。暗号は「機密性」を担保し、認証は「真正性」を担保する。SG試験では、共通鍵と公開鍵の仕組みの違い、デジタル署名による改ざん検知のロジック、そして近年普及が進む多要素認証(MFA)が頻出テーマである。
4.1 暗号化のメカニズム
暗号化は、データを第三者に読めない形式(暗号文)に変換する技術である。元に戻すことを復号という。
- 共通鍵暗号方式: 暗号化と復号に「同じ鍵」を使う。処理が高速だが、鍵を安全に渡す方法(鍵配送問題)が課題となる。AESが代表的。
- 公開鍵暗号方式: 「公開鍵」と「秘密鍵」のペアを使う。誰でも使える公開鍵で暗号化し、持っている本人しか知らない秘密鍵で復号する。鍵配送問題を解決できるが、処理速度は遅い。RSAが代表的。
- ハイブリッド暗号方式: 共通鍵暗号の「速さ」と公開鍵暗号の「鍵管理のしやすさ」を組み合わせた方式。SSL/TLS通信などで採用されている。
4.2 デジタル署名とPKI
デジタル署名は、公開鍵暗号の技術を応用して「誰が作ったか(本人確認)」と「改ざんされていないか(完全性)」を証明する技術である。送信者は自分の「秘密鍵」でデータのハッシュ値を暗号化(署名)し、受信者は送信者の「公開鍵」でそれを復号・検証する。
これを社会インフラとして支えるのがPKI(公開鍵基盤)であり、信頼できる第三者機関(認証局:CA)が、公開鍵の持ち主を証明する「電子証明書」を発行する。
4.3 認証技術の高度化
パスワード(知識認証)だけではセキュリティが不十分な現在、多要素認証(MFA)が標準となりつつある。
- 認証の3要素: 「知識(パスワード)」「所有(スマホ、ICカード)」「生体(指紋、顔)」。これらを2つ以上組み合わせるのがMFAである。
- FIDO (Fast Identity Online): パスワードを使わない新しい認証規格。生体認証をデバイス内で行い、サーバには署名だけを送るため、生体情報が漏洩するリスクがない。
4.4 暗号・認証技術用語一覧
表3:暗号・認証・PKI用語集
| カテゴリー | 用語 | 内容・特徴 | 用途・備考 |
| 暗号 | 共通鍵暗号 | 暗号化と復号に同一の鍵を使用。 | 高速。鍵配送問題あり。AES, DES。 |
| 暗号 | 公開鍵暗号 | 公開鍵と秘密鍵のペアを使用。 | 鍵管理が容易。処理は遅い。RSA, ECC。 |
| 暗号 | AES | Advanced Encryption Standard。現在の標準的な共通鍵暗号。 | 無線LANやファイル暗号化で広く利用。 |
| 暗号 | RSA | 素因数分解の困難性を利用した公開鍵暗号。 | デジタル署名やSSLで利用。 |
| 暗号 | ECC | 楕円曲線暗号。短い鍵長で高い強度。 | IoTやスマホなど計算資源が限られる環境向け。 |
| 暗号 | ハイブリッド暗号 | 共通鍵でデータを、公開鍵で共通鍵を暗号化する。 | SSL/TLSで採用。速度と安全性の両立。 |
| 暗号 | ハッシュ関数 | データから固定長の値を生成する一方向性関数。 | 改ざん検知に利用。SHA-256など。 |
| 暗号 | ハッシュ値 | ハッシュ関数により生成された値(メッセージダイジェスト)。 | データの「指紋」。不可逆(元に戻せない)。 |
| 暗号 | ソルト (Salt) | ハッシュ化の際に付加するランダムなデータ。 | レインボー攻撃対策として有効。 |
| 署名 | デジタル署名 | 送信者の秘密鍵で暗号化し、改ざんと否認を防止。 | 公開鍵で検証できる=本人の署名と証明。 |
| PKI | PKI | Public Key Infrastructure(公開鍵基盤)。 | インターネット上で信頼関係を構築する仕組み。 |
| PKI | CA | Certificate Authority(認証局)。証明書を発行する機関。 | 実社会の役所のような役割。 |
| PKI | 電子証明書 | 公開鍵が本人のものであることを証明するデータ。 | 有効期限、発行者、所有者の公開鍵などが記載。 |
| PKI | CRL | Certificate Revocation List(証明書失効リスト)。 | 秘密鍵漏洩などで無効になった証明書の一覧。 |
| PKI | OCSP | 証明書の有効性をオンラインでリアルタイム確認するプロトコル。 | CRLダウンロードの手間を省く。 |
| PKI | ルート証明書 | 最上位の認証局の証明書。ブラウザに事前組み込み済み。 | 信頼の起点(トラストアンカー)。 |
| 通信 | SSL/TLS | 通信経路を暗号化するプロトコル。 | HTTPSなどで利用。盗聴と改ざんを防ぐ。 |
| 認証 | 知識認証 | パスワード、PIN、秘密の質問など「知っていること」で認証。 | 忘却リスク、流出リスクがある。 |
| 認証 | 所有物認証 | ICカード、トークン、スマホなど「持っているもの」で認証。 | 紛失・盗難リスクがある。 |
| 認証 | 生体認証 | 指紋、静脈、顔、虹彩など「身体的特徴」で認証。 | 紛失しないが、変更できないため漏洩時は深刻。 |
| 認証 | 多要素認証 (MFA) | 3要素のうち2つ以上を組み合わせて認証する。 | セキュリティ強度が飛躍的に向上する。 |
| 認証 | 2段階認証 | 2回の段階を踏む認証。要素が同じならMFAではない。 | 例:パスワード入力×2回は2段階だがMFAではない。 |
| 認証 | シングルサインオン | 一度の認証で複数システムを利用可能にする(SSO)。 | 利便性向上。SAMLやOpenID Connectを使う。 |
| 認証 | FIDO | パスワードレス認証の規格。生体認証等をローカルで行う。 | サーバに生体情報を送らないため安全。 |
| 認証 | ワンタイムパスワード | 一回限り有効な使い捨てパスワード(OTP)。 | 盗聴されても再利用できない。 |
| 認証 | チャレンジレスポンス | 乱数(チャレンジ)を用いて計算結果を返す認証方式。 | パスワードそのものを通信させない。 |
| 認証 | CAPTCHA | 歪んだ文字等で人間とボットを判別するテスト。 | 自動プログラムによる大量登録などを防ぐ。 |
| 認証 | FRR (本人拒否率) | 生体認証で本人が誤って拒否される確率。 | 利便性の指標。 |
| 認証 | FAR (他人受入率) | 生体認証で他人が誤って許可される確率。 | 安全性の指標。FRRとFARはトレードオフ。 |
| 認証 | タイムスタンプ | ある時刻にデータが存在し改ざんされていない証明。 | 電子帳簿保存法などで重要。 |
| 管理 | アイデンティティ管理 | IDのライフサイクル(作成・利用・廃棄)管理。 | 退職者IDの放置などを防ぐ。 |
| 管理 | 特権ID | システムの全権限を持つID(root, Administrator)。 | 攻撃者の最終目標。厳格な管理とログ取得が必須。 |
5. ネットワークとシステムのセキュリティ対策(防御のインフラ)
組織のネットワークを守るためには、外部との境界を守るだけでなく、内部での感染拡大を防ぐ多層防御の考え方が必要である。ここでは、ファイアウォールやIDS/IPSといった境界防御技術から、無線LANのセキュリティ、そして最新のゼロトラストネットワークまでを解説する。
5.1 境界防御と多層防御
従来は「社内は安全、社外は危険」という境界型防御が主流だった。
- ファイアウォール (FW): ネットワークの出入り口でパケットを監視し、許可されていない通信を遮断する。
- WAF (Web Application Firewall): FWでは防げないWebアプリケーション層への攻撃(SQLインジェクション等)を防ぐ。
- IDS/IPS: 侵入検知・防止システム。ネットワーク内部やホストへの攻撃をリアルタイムで検知(IDS)または遮断(IPS)する。
5.2 ネットワーク構成と接続技術
- DMZ (非武装地帯): インターネットと社内LANの中間に置く緩衝地帯。Webサーバなどの公開サーバはここに配置し、社内LANへの直接侵入を防ぐ。
- VPN (Virtual Private Network): インターネット上に仮想的な専用線を構築し、暗号化通信を行う。テレワークの普及により重要性が増している1。
5.3 ゼロトラストと新しい概念
クラウドサービスの利用拡大に伴い、境界型防御の限界が指摘されている。
- ゼロトラスト: 「何も信頼しない」を前提に、全てのアクセスに対してその都度、正当性を検証するセキュリティモデル。
- ネットワーク分離: 重要業務を行うネットワークと、インターネットに接続するネットワークを物理的・論理的に切り離すことで、ウイルス感染時の被害を局所化する。
5.4 ネットワーク・システム対策用語一覧
表4:ネットワーク・システム防御用語集
| カテゴリー | 用語 | 機能・役割 | SG試験でのポイント |
| 境界防御 | ファイアウォール | パケットのフィルタリングを行う関所。 | IPアドレスとポート番号で制御。 |
| 境界防御 | WAF | Webアプリ専用のファイアウォール。 | SQLインジェクションやXSSを防ぐ。 |
| 境界防御 | IDS | 侵入検知システム。管理者に通知する。 | 遮断機能はない(監視カメラ)。 |
| 境界防御 | IPS | 侵入防止システム。攻撃を検知し遮断する。 | 自動防御が可能(ガードマン)。 |
| 境界防御 | UTM | 統合脅威管理。FW, IPS, アンチウイルス等を1台に統合。 | 導入・運用コストを削減できる。 |
| 境界防御 | プロキシサーバ | 内部PCの代わりにインターネットへアクセスする代理サーバ。 | 内部IPの隠蔽、キャッシュ、URLフィルタリング。 |
| 構成 | DMZ | 外部と内部の中間ネットワーク。 | 公開サーバを配置し内部を守る。 |
| 構成 | ネットワーク分離 | 業務系とインターネット系を分離する。 | 標的型攻撃対策として非常に有効。 |
| 構成 | 検疫ネットワーク | PCの健全性(パッチ、ウイルス対策)を検査する仕組み。 | 不合格端末は社内LANに入れない。 |
| 構成 | NAC | ネットワークアクセス制御。 | 認証や検疫で接続をコントロールする。 |
| 構成 | SIEM | ログを一元的に集約・相関分析するシステム。 | 複数のログから攻撃の兆候を見抜く。 |
| 構成 | サンドボックス | 隔離された仮想環境で不審なファイルを実行させ検査する。 | 未知のマルウェア検知に有効。 |
| 構成 | マイクロセグメンテーション | ネットワークを細分化し通信を厳密に制御する。 | 内部での感染拡大(ラテラルムーブメント)防止。 |
| 構成 | CDN | コンテンツ配信ネットワーク。 | アクセス分散によりDDoS対策になる。 |
| 接続 | VPN | 仮想専用線。通信を暗号化(トンネリング)する。 | テレワークや拠点間通信で必須。 |
| 接続 | IPsec | ネットワーク層で暗号化するプロトコル。 | VPN構築に使われる。 |
| 無線 | WPA2 / WPA3 | 無線LANのセキュリティ規格。WPA3が最新。 | WEPは危険なので使ってはいけない。 |
| 無線 | SSIDステルス | アクセスポイント名を隠す機能。 | 完全なセキュリティ対策ではない。 |
| 無線 | MACアドレスフィルタリング | 登録した端末のみ接続許可する。 | アドレス偽装が可能なので過信禁物。 |
| モバイル | MDM | モバイルデバイス管理。端末を一元管理する。 | 紛失時のリモートロック・ワイプ(消去)。 |
| モバイル | MAM | モバイルアプリ管理。業務アプリのみ管理する。 | BYODに適している。 |
| メール | SPF | IPアドレスで送信元ドメインを認証する技術。 | 送信元詐称メール(なりすまし)対策。 |
| メール | DKIM | 電子署名で送信元と改ざんの有無を確認する技術。 | メールの正当性を証明。 |
| メール | DMARC | SPF/DKIM失敗時のメールの扱いを規定するポリシー。 | 送信ドメイン認証の総仕上げ。 |
| メール | S/MIME | メール自体を暗号化し署名をつける規格。 | エンドツーエンドの暗号化。 |
| メール | メールリレー | メールの中継。 | 第三者中継(不正リレー)は禁止すべき。 |
| 可用性 | RAID | 複数のHDDで信頼性・速度を向上させる。 | RAID1(ミラー)、RAID5(パリティ)が頻出。 |
| 可用性 | ホットスタンバイ | 予備機を即時切り替え可能な状態で待機させる。 | ダウンタイムが短い。 |
| 可用性 | コールドスタンバイ | 予備機の電源を切って待機させる。 | 復旧に時間がかかるが低コスト。 |
| 可用性 | UPS | 無停電電源装置。 | 停電時に安全にシャットダウンする時間を稼ぐ。 |
| その他 | ゼロトラスト | 「境界」を信じず、常に検証する考え方。 | クラウド時代の新常識。 |
| その他 | シンクライアント | データを持たない端末。サーバで処理する。 | 端末紛失時の情報漏洩リスクがない。VDIなど。 |
| その他 | ペネトレーションテスト | 実際の攻撃手法で侵入を試みるテスト。 | 防御の実効性を確認する。 |
| その他 | バグバウンティ | 脆弱性発見報奨金制度。 | 善意のハッカーの力を借りる。 |
| その他 | CVSS | 共通脆弱性評価システム。 | 脆弱性の深刻度をスコア(0-10)化する。 |
| その他 | CVE | 共通脆弱性識別子。 | 脆弱性に振られるユニークなID。 |
6. セキュリティ管理とISMS(組織・マネジメント編)
技術的な対策だけでは組織のセキュリティは守れない。ルールを作り、運用し、評価し、改善するというマネジメントサイクルが不可欠である。SG試験の午後の問題(科目B)では、こうした組織的な状況判断やインシデント対応の手順が多く問われる。
6.1 ISMSとPDCAサイクル
ISMS(情報セキュリティマネジメントシステム)は、組織全体で情報を管理する仕組みである。国際規格ISO/IEC 27001(国内規格JIS Q 27001)に基づいて構築される。
その基本はPDCAサイクル(Plan:計画、Do:実行、Check:評価、Act:改善)を回し続け、セキュリティレベルをスパイラルアップ(継続的改善)させることにある。
6.2 インシデント対応とCSIRT
セキュリティ事故(インシデント)は「起こるもの」と想定し、発生時の対応体制を整備する必要がある。
- CSIRT (Computer Security Incident Response Team): インシデント対応を行う専門チーム。
- インシデントレスポンス: 検知・連絡受付 → 初動対応(被害拡大防止) → 分析・原因究明 → 復旧 → 再発防止 のプロセスで行われる。特に初動における「ネットワークからの切り離し(封じ込め)」や「証拠保全(フォレンジック)」が試験のポイントとなる。
6.3 法令とガイドライン
セキュリティ担当者は、関連する法律も理解していなければならない。
- 個人情報保護法: 個人情報の適正な取り扱いを義務付ける。
- 不正アクセス禁止法: 他人のIDでの侵入やID貸与などを禁じる。
- サイバーセキュリティ基本法: 国の施策の基本理念を定める。
6.4 マネジメント・法規用語一覧
表5:マネジメント・法規・ガイドライン用語集
| カテゴリー | 用語 | 内容・重要性 | 関連規格・法律 |
| ISMS | ISMS | 情報セキュリティマネジメントシステム。 | 組織的な管理の仕組み。 |
| ISMS | JIS Q 27001 | ISMSの要求事項を定めた認証基準規格。 | 審査の基準となる。ISO/IEC 27001と一致。 |
| ISMS | JIS Q 27000 | ISMSの用語定義や概要。 | 辞書的な規格。 |
| ISMS | PDCAサイクル | 計画・実行・評価・改善のサイクル。 | 継続的改善が目的。 |
| ISMS | セキュリティポリシー | 組織のセキュリティに関する方針文書。 | 基本方針、対策基準、実施手順の3層構造。 |
| ISMS | 基本方針 | 経営陣の宣言。目的や責任体制を明記。 | トップマネジメントの責任で策定。 |
| ISMS | 情報セキュリティ委員会 | 全社的な推進組織。 | 各部門代表で構成し意思決定を行う。 |
| ISMS | CISO | 最高情報セキュリティ責任者。 | 経営層としてセキュリティを統括する。 |
| 監査 | 内部監査 | 組織内部の人間によるチェック。 | 自分の部署は監査できない(独立性)。 |
| 監査 | 外部監査 | 第三者機関によるチェック。 | 客観的な保証を得る。認証取得時など。 |
| 監査 | システム監査 | システムのリスク管理状況を評価する。 | 監査基準、管理基準に基づく。 |
| 監査 | 監査証跡 | ログなどの記録(証拠)。 | 監査意見の根拠となる。 |
| 運用 | 不適合 | ルールや規格を守れていない状態。 | 監査で指摘される事項。 |
| 運用 | 是正処置 | 不適合の原因を除去し再発を防ぐ措置。 | 根本原因の解決が必要。 |
| 対応 | CSIRT | インシデント対応専門チーム。 | 組織内CSIRT、国際的な連携組織もある。 |
| 対応 | SOC | セキュリティ監視センター。 | ログを常時監視し攻撃を検知する。 |
| 対応 | インシデントレスポンス | 事故発生時の対応プロセス。 | 初動対応、封じ込め、証拠保全が鍵。 |
| 対応 | トリアージ | 重要度・緊急度に基づき対応優先度を決める。 | リソース配分の最適化。 |
| 対応 | フォレンジック | デジタル鑑識。証拠保全・分析技術。 | 法的な証拠能力を持たせる手順が重要。 |
| BCP | BCP | 事業継続計画。 | 災害時に重要業務を続けるための計画。 |
| BCP | BIA | ビジネス影響度分析。 | 業務停止の影響を評価し優先業務を特定。 |
| BCP | RTO | 目標復旧時間。いつまでに復旧するか。 | 時間が短いほどコスト高。 |
| BCP | RPO | 目標復旧時点。どの時点のデータに戻すか。 | データ損失の許容範囲。 |
| BCP | DR | ディザスタリカバリ(災害復旧)。 | 遠隔地バックアップなどシステムの復旧策。 |
| 法規 | 個人情報保護法 | 個人情報の取り扱いルール。 | 漏洩時の報告義務化などが強化されている。 |
| 法規 | 不正アクセス禁止法 | 不正侵入やIDパスワードの譲渡を禁止。 | フィッシング行為も処罰対象。 |
| 法規 | サイバーセキュリティ基本法 | 国の基本理念と責務を定義。 | 重要インフラ事業者の責務など。 |
| 法規 | 刑法(ウイルス作成罪) | 正当な理由なくウイルスを作成・保管する罪。 | 実行しなくても作成だけで罪になる。 |
| 法規 | 電子署名法 | 電子署名の法的効力を規定。 | ハンコと同等の効力を認める。 |
| 法規 | プロバイダ責任制限法 | ネット上の権利侵害への対応。 | 発信者情報開示請求など。 |
| 法規 | マイナンバー法 | マイナンバーの厳格な管理を規定。 | 目的外利用の禁止、安全管理措置など。 |
| 法規 | 不正競争防止法 | 営業秘密の保護。 | 営業秘密の3要件(秘密管理性等)が頻出。 |
| 法規 | 著作権法 | プログラムやDBの著作権保護。 | 違法コピーやライセンス違反はNG。 |
| 法規 | GDPR | EU一般データ保護規則。 | EU域内の個人データ保護。制裁金が巨額。 |
| ガイド | 中小企業の情報セキュリティ対策ガイドライン | IPAによる中小企業向け指針。 | 「情報セキュリティ5か条」など。 |
| ガイド | システム管理基準 | 経産省によるITガバナンスの基準。 | 監査のよりどころとなる。 |
| 教育 | セキュリティ教育 | 従業員の意識向上を図る。 | 標的型メール訓練などが効果的。 |
| 契約 | SLA | サービスレベル合意書。 | サービスの品質(稼働率など)を保証する契約。 |
| 契約 | NDA | 秘密保持契約。 | 業務で知った情報を漏らさない契約。 |
| 倫理 | 技術者倫理 | ITプロフェッショナルとしての行動規範。 | 社会への貢献、守秘義務など。 |
7. 結論
本報告書では、IPA情報セキュリティマネジメント試験(SG)の合格に必要な200以上の重要用語を体系化し、詳細な解説を加えた。SG試験は、単なる用語暗記ではなく、「技術的背景の理解」と「管理的判断力」の双方が求められる試験である。
学習者は、本報告書の表を活用して知識を整理すると同時に、それぞれの用語が実際のインシデント事例や組織運営の中でどのように関連しているかを意識して学習を進めることが推奨される。特に、リスクアセスメントの考え方や、多層防御による技術的対策の組み合わせは、試験合格のみならず、実務において組織を守るための強力な武器となるはずである。
