IPA 情報処理安全確保支援士試験（SC）頻出キーワード解説[1/4]

1. 序論：セキュリティ・アーキテクチャにおける「信頼」の基盤
1. 1.1 情報セキュリティの3要素と基盤技術の役割
2. 1.2 試験における出題トレンドと「基盤」の重要性
2. 暗号技術の深層分析：数学的保証から実装へ
3. 認証技術：アイデンティティ管理の進化
4. 認証プロトコルとフェデレーション：SSOの実現
5. 最新の脅威動向と対策の統合
1. 5.1 サイドチャネル攻撃（Side Channel Attack）
2. 5.2 サプライチェーン攻撃とゼロトラスト
6. 試験対策用：頻出用語・解説の網羅的整理
1. 6.1 暗号・PKI関連用語テーブル
2. 6.2 認証・アイデンティティ関連用語テーブル
7. 結論

1. 序論：セキュリティ・アーキテクチャにおける「信頼」の基盤

情報処理安全確保支援士（Registered Information Security Specialist、以下「登録セキスペ」）試験において、テクノロジーの進化と共にその出題範囲と深度は年々変化しているが、変わることのない根幹（バックボーン）が存在する。それが「暗号技術（Cryptography）」と「認証技術（Authentication）」である。これらは、現代のサイバーセキュリティにおいて、ゼロトラスト・アーキテクチャを実現するための最も基本的な構成要素であり、物理的な境界防御が限界を迎えた現代において、論理的な防御壁としての役割を担っている。

本レポートは、登録セキスペ試験の受験者を対象とした単なる用語集にとどまらず、各技術がなぜ必要とされ、どのように機能し、そしてどのように破られる可能性があるのかという「攻撃と防御の非対称性」に焦点を当てた、約15,000語に及ぶ詳細な技術文書である。特に、試験の午後問題（記述式）で問われるのは、単なる知識の記憶ではなく、システム構成図の中で脆弱性を特定し、適切な暗号方式や認証フローを選択・適用する能力である。したがって、本稿では、頻出用語の網羅的な定義に加え、プロトコルの動作原理、実装上の落とし穴、そして最新の脅威動向との関連性を体系的に論じる。

1.1 情報セキュリティの3要素と基盤技術の役割

セキュリティの3要素である機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）のうち、暗号と認証は主に前二者を担保する。

機密性は、共通鍵暗号や公開鍵暗号によって、許可された者だけが情報にアクセスできる状態を作ることで実現される。
完全性は、ハッシュ関数やデジタル署名によって、データが改ざんされていないことを保証する。
可用性に関しては、認証システムそのものの堅牢性（DoS攻撃への耐性など）が問われる領域である。

さらに、真正性（Authenticity）と否認防止（Non-repudiation）を加えた5要素、あるいは責任追跡可能性（Accountability）などを加えた7要素の観点からも、認証とPKI（公開鍵基盤）の役割は決定的である¹。例えば、電子商取引において「誰が」「いつ」注文したかを証明できなければ、ビジネスそのものが成立しない。これを技術的に保証するのがデジタル署名とタイムスタンプであり、これらは登録セキスペ試験において法制度（電子署名法）と絡めて出題される重要なテーマである²。

1.2 試験における出題トレンドと「基盤」の重要性

近年の試験傾向（IPA「情報セキュリティ10大脅威」の変遷などを含む）を分析すると、攻撃手法の高度化に伴い、基盤技術への理解がより実務的なレベルで問われていることがわかる5。

かつては「RSAとは何か」というレベルの問いであったものが、現在は「TLS通信において前方秘匿性（Forward Secrecy）を確保するために、RSAではなくECDHE（Elliptic Curve Diffie-Hellman Ephemeral）を採用する理由を述べよ」といった、プロトコルの選定理由や設定の妥当性を問う問題へとシフトしている6。また、クラウドサービスの普及に伴い、オンプレミスのKerberos認証から、クラウドベースのSAML、OpenID Connect（OIDC）への移行シナリオも頻出しており、これらのプロトコルの違いや使い分け（ユースケース）を深く理解しておく必要がある7。

2. 暗号技術の深層分析：数学的保証から実装へ

暗号技術は、情報セキュリティの最も基礎的なレイヤーである。登録セキスペ試験では、アルゴリズムの内部構造（数学的詳細）そのものよりも、各アルゴリズムの「特性」「強度」「利用モード」「鍵管理」が問われる。

2.1 共通鍵暗号（Symmetric Key Cryptography）のメカニズムと展開

共通鍵暗号は、暗号化と復号に同一の鍵を用いる方式であり、その高速性から、大容量データの暗号化（ファイルサーバーの暗号化、ディスク暗号化、HTTPSの通信ペイロード部分など）に広く用いられる。

2.1.1 主要アルゴリズムの特性

AES (Advanced Encryption Standard):現在、世界的に最も利用されている標準暗号である。2000年にNIST（米国国立標準技術研究所）によって選定された。Rijndael（ラインダール）アルゴリズムをベースとしており、ブロック長は128ビット固定、鍵長は128、192、256ビットから選択できる。AESの内部構造はSPN（Substitution-Permutation Network）構造を採用しており、置換（SubBytes）と並べ替え（ShiftRows, MixColumns）を繰り返すことで、入力データ（平文）と鍵の相関関係を徹底的に隠蔽する（拡散と混乱）。試験においては、DES/3DESが既に危殆化しており非推奨であることに対し、AESが推奨される暗号方式であることを前提としたシステム移行の問題が出題される1。
Camellia:NTTと三菱電機が共同開発した日本発の暗号アルゴリズムである。AESと同等の安全性と効率性を持ち、欧州の推奨暗号リスト（NESSIE）や日本の電子政府推奨暗号リスト（CRYPTREC）にも採用されている。試験では「国産暗号技術の採用」という文脈や、AESとの比較において選択肢として登場することがある。
KCipher-2:KDDI研究所が開発したストリーム暗号である。携帯電話やモバイル機器など、計算リソースが限られた環境での高速処理を目的としており、CRYPTRECの電子政府推奨暗号リストにも掲載されている。

2.1.2 ブロック暗号の利用モード（Modes of Operation）

ブロック暗号は、固定長（AESなら128ビット）のブロック単位でしか処理ができない。任意の長さのデータを暗号化するためには、「利用モード」の選定が不可欠である。このモードの選択ミスは、致命的な脆弱性につながる。

モード	概要と動作原理	メリット	デメリット・脆弱性	試験対策のポイント
ECB (Electronic Codebook)	各ブロックを独立して暗号化する最も単純なモード。	実装が容易。並列処理が可能。	パターン漏洩: 同じ平文ブロックが常に同じ暗号文ブロックになるため、画像データなどを暗号化しても輪郭が視認できてしまう。リプレイ攻撃にも弱い。	「ECBモードは使用すべきではない」という判断根拠として頻出。
CBC (Cipher Block Chaining)	暗号化の前に、前のブロックの暗号文と平文のXOR（排他的論理和）をとる。最初のブロックにはIV（初期化ベクトル）を使用する。	パターンが隠蔽される。標準的に長く使われてきた。	パディングオラクル攻撃: 復号時のパディングエラーの応答時間の違いなどを利用して解読されるリスクがある。並列処理不可。	IVは予測不可能（ランダム）でなければならない。使い回し厳禁。
CTR (Counter)	カウンタ値を暗号化し、平文とXORをとる（ストリーム暗号化）。	並列処理: 各ブロックを独立して計算可能で高速。ランダムアクセスが可能。	ノンス（Nonce）とカウンタの組が重複すると、平文のXORが露見し、解読される。	高速性が求められる通信で採用される。
GCM (Galois/Counter Mode)	CTRモードによる暗号化に加え、ガロア体上の乗算を用いて認証タグ（MAC）を生成する。	認証付き暗号 (AEAD): 暗号化（機密性）と同時に改ざん検知（完全性）を行える。高速。	実装が複雑。IVの重複に対する耐性が低い。	TLS 1.3の推奨モード。現在のデファクトスタンダードであり、試験でも「AES-GCM」の選定理由（改ざん検知が可能だから）が問われる⁶。

2.1.3 ストリーム暗号と無線セキュリティ

ストリーム暗号は、ビット単位またはバイト単位で逐次暗号化を行う方式であり、リアルタイム性が求められる通信（音声通話や動画配信）に適している。代表的なものにRC4があったが、WEP（Wired Equivalent Privacy）での実装不備による脆弱性が発覚し、現在は使用が禁じられている。これに代わり、無線LANセキュリティ（WPA2/WPA3）ではAES（CCMPモードなど）が採用されている。

2.2 公開鍵暗号（Public Key Cryptography）の数学的信頼

公開鍵暗号（非対称鍵暗号）は、暗号化鍵（公開鍵）と復号鍵（秘密鍵）を分離することで、共通鍵暗号の最大の課題であった「鍵配送問題」を解決した。また、秘密鍵を持つ者しか生成できないデータを作成することで「デジタル署名」を実現し、認証の基礎ともなっている。

2.2.1 RSA暗号

RSAは、巨大な整数の素因数分解問題（Integer Factorization Problem）の計算困難性を安全性の根拠としている。

仕組み: 2つの巨大な素数 $p, q$ を選び、その積 $n = pq$ を公開鍵の一部とする。$n$ から $p, q$ を割り出すことが極めて困難であることを利用している。
鍵長: コンピュータの計算能力向上に伴い、推奨される鍵長は長くなっている。かつては1024ビットが主流であったが、現在は2048ビット以上、将来的には3072ビット以上への移行が推奨されている。
用途: 暗号化とデジタル署名の両方に利用可能である。しかし、処理速度が遅いため、長文のメッセージそのものを暗号化するのには向かない。通常は、共通鍵を暗号化するため（鍵交換）や、ハッシュ値を暗号化するため（署名）に用いられる¹。

2.2.2 楕円曲線暗号（ECC: Elliptic Curve Cryptography）

ECCは、楕円曲線上の離散対数問題（ECDLP）の困難性を利用している。

RSAとの比較: RSAと同じセキュリティ強度を、より短い鍵長で実現できる点が最大の特徴である。例えば、RSAの2048ビットと同等の強度は、ECCでは224〜256ビット程度で実現できる。
メリット: 鍵長が短いため、処理に必要な計算量、メモリ、帯域幅が少なくて済む。これにより、ICカード、スマートフォン、IoT機器など、リソース制約のある環境での利用に最適である。
TLSにおける普及: Webブラウザの通信（HTTPS）において、サーバーの負荷を軽減し、ハンドシェイクを高速化するために、RSAからECCへの移行が進んでいる。証明書の署名アルゴリズムとして「ECDSA」が、鍵交換アルゴリズムとして「ECDHE」が頻繁に選択肢に挙がる¹。

2.2.3 鍵交換アルゴリズムと前方秘匿性（PFS）

通信の安全性を長期的に確保するためには、「前方秘匿性（Forward Secrecy: FS）」の概念が極めて重要である。

従来の問題点: RSAを鍵交換に使用する場合、クライアントが生成した共通鍵（プリマスタシークレット）をサーバーの公開鍵で暗号化して送る。もし、将来サーバーの秘密鍵が漏洩した場合、攻撃者は過去に傍受・保存していた暗号化通信のパケットをすべて復号できてしまう。
PFSの実現: Diffie-Hellman（DH）鍵交換、特にその派生形であるDHE（Ephemeral Diffie-Hellman）やECDHE（Elliptic Curve Diffie-Hellman Ephemeral）を使用する。これらは、セッションごとに一時的な鍵ペア（Ephemeral Key）を生成して鍵交換を行い、セッション終了後には鍵を破棄する。したがって、サーバーの長期的な秘密鍵（署名用）が漏洩しても、過去のセッション鍵を復元することはできず、通信内容の機密性は守られる。
試験対策: TLSの設定において、「RSA」による鍵交換を無効化し、「ECDHE」を有効化する設定変更の理由として、「前方秘匿性の確保」を記述させる問題が頻出する⁶。

2.3 ハッシュ関数：完全性保証の要

ハッシュ関数は、任意の長さのデータから固定長の値（ハッシュ値、ダイジェスト）を生成するアルゴリズムである。

2.3.1 ハッシュ関数の3つの性質

試験では、以下の性質の違いを問う問題が出る⁹。

原像計算困難性（Preimage Resistance / 一方向性）: ハッシュ値 $H(x)$ から、元の入力値 $x$ を求めることが計算量的に困難であること。パスワード保存の安全性などに必須。
第二原像計算困難性（Second Preimage Resistance / 弱衝突耐性）: ある入力値 $x$ が与えられたとき、$H(x) = H(x')$ となる別の入力値 $x'$ を見つけることが困難であること。
衝突発見困難性（Collision Resistance / 強衝突耐性）: $H(x) = H(y)$ となるような任意の異なる2つの入力値 $x, y$ のペアを見つけることが困難であること。これが破られると、デジタル署名の偽造が可能になる（同じハッシュ値を持つ悪意ある文書を作成できるため）。

2.3.2 アルゴリズムの世代交代

MD5 / SHA-1: 既に衝突攻撃の手法が確立されており、「危殆化」している。これらを使用しているシステムは脆弱とみなされ、移行計画の策定が求められる。
SHA-2 (SHA-256, SHA-512): 現在の主流。ビットコインなどのブロックチェーン技術や、多くのTLS証明書で採用されている。
SHA-3 (Keccak): SHA-2とは異なる構造（スポンジ構造）を持ち、SHA-2に万が一脆弱性が見つかった場合のバックアップとして標準化されている。

2.3.3 HMAC (Keyed-Hashing for Message Authentication Code)

ハッシュ関数のみでは「改ざん」は検知できても、攻撃者がデータとハッシュ値の両方を置き換えることを防げない。HMACは、ハッシュ関数に「秘密鍵」を組み合わせることで、データの完全性だけでなく「送信者の真正性（鍵を持っていること）」も証明する。IPsecやTLS、AWSなどのAPI認証で広く利用されている。

2.4 デジタル署名とPKI（公開鍵基盤）

デジタル署名は、紙の文書における印鑑やサインに相当する法的・技術的効力を持つ。

2.4.1 デジタル署名のプロセスと役割

生成: 送信者はメッセージのハッシュ値を計算し、自身の秘密鍵で暗号化する。これが署名となる。
検証: 受信者は署名を送信者の公開鍵で復号し、ハッシュ値を取り出す。同時に受信したメッセージからハッシュ値を再計算し、両者が一致するか確認する。
- 一致すれば、「メッセージが改ざんされていないこと（完全性）」と「送信者が秘密鍵の持ち主であること（真正性）」が証明される。また、秘密鍵は本人しか持っていないため、後で「送っていない」と主張することができない（否認防止）¹。

2.4.2 PKIの信頼モデル

公開鍵が本当にその人のものであるかを誰が保証するのか。これを解決するのがPKIである。

CA (Certificate Authority / 認証局): 信頼できる第三者機関。申請者の身元を確認し、公開鍵にCAのデジタル署名を付与して「証明書（Digital Certificate）」を発行する。
ルートCAと中間CA: 信頼は階層構造を持つ。OSやブラウザにはあらかじめ信頼された「ルート証明書」がインストールされており、そこから連鎖的（Chain of Trust）に証明書の正当性を検証する。
X.509: 証明書の標準フォーマット。所有者情報、公開鍵、有効期限、CAの署名などが含まれる。

2.4.3 証明書の失効確認（Revocation）

秘密鍵が漏洩した場合や、組織の変更などにより、有効期限内であっても証明書を無効化（失効）させる必要がある。

CRL (Certificate Revocation List): CAが発行する、失効した証明書のリスト（ブラックリスト）。クライアントはこれを定期的にダウンロードして確認するが、リストが肥大化すると通信負荷が増大し、リアルタイム性に欠けるという課題がある。
OCSP (Online Certificate Status Protocol): クライアントが特定の証明書の有効性をOCSPレスポダ（サーバー）に問い合わせるプロトコル。軽量かつリアルタイムな確認が可能。
OCSP Stapling: Webサーバー側があらかじめOCSPレスポンダから署名付きの有効性情報を取得し、TLSハンドシェイク時に証明書と一緒にクライアントに送る方式。クライアントのプライバシー保護（どのサイトを見ているかCAに知られない）と、パフォーマンス向上に寄与する。試験では「OCSPの課題（大量アクセスによるCAの負荷）を解決する手段」として問われる。

2.4.4 タイムスタンプと長期署名

電子署名には有効期限があり（通常1〜3年）、また「いつ」署名されたかという時刻情報は、署名者のPCの時計に依存しているため信頼性が低い。これを補完するのがタイムスタンプである。

TSA (Time Stamping Authority): 時刻認証局。ハッシュ値に対し、正確な時刻情報を付加してTSAの署名を行う。
役割: 「その時刻にデータが存在していたこと（存在証明）」と「その時刻以降改ざんされていないこと（非改ざん証明）」を客観的に保証する²。
ES-X Long (長期署名): 電子署名の有効期限が切れた後や、暗号アルゴリズムが危殆化した後でも検証可能にするため、署名検証に必要な情報（失効情報など）とタイムスタンプをアーカイブする規格。e-文書法対応などで必須となる知識である³。

3. 認証技術：アイデンティティ管理の進化

「認証（Authentication）」は、システム利用者が主張するIDが正当なものであるかを確認する手続きである。一方、「認可（Authorization）」は、そのIDに対してリソースへのアクセス権限を与えることである。この2つの概念の区別と連携は、近年の試験の重要テーマである。

3.1 認証の3要素と多要素認証（MFA）

認証強度は、使用する「要素（Factor）」の種類と数によって決まる。

知識情報 (Something you know): パスワード、PIN、秘密の質問。「忘れる」「推測される」「流出する」リスクがある。
所持情報 (Something you have): ICカード、ハードウェアトークン、スマートフォン（SMS/アプリ）、デジタル証明書。「紛失する」「盗難される」「置き忘れる」リスクがある。
生体情報 (Something you are): 指紋、静脈、顔、虹彩、声紋。「変更できない（一生変わらない）」「経年変化する」「偽造される」リスクがある。

**多要素認証（MFA: Multi-Factor Authentication）**は、これらの中から「異なる2つ以上」の要素を組み合わせる方式である。

注意点: パスワードと「秘密の質問」の組み合わせは、どちらも「知識」であるためMFAではなく「二段階認証（Two-Step Verification）」であり、強度はMFAより劣る。
攻撃手法: MFAを突破しようとする攻撃（MFA疲労攻撃、SIMスワップ、中間者攻撃によるワンタイムパスワード窃取）も増加しており、これらへの対策（FIDOなどの耐フィッシングMFA）が重要視されている。

3.2 パスワード関連攻撃と対策

依然としてパスワード認証は主流であるが、脆弱性の宝庫でもある。

パスワードリスト攻撃（Credential Stuffing）: 他のサイトから漏洩したIDとパスワードのリストを使って、別のサイトへログインを試みる攻撃。ユーザーが「パスワードの使い回し」をしていることを前提としている。
- 対策: MFAの導入、パスワード使い回しの警告、WAFによるBot検知。
パスワードスプレー攻撃: 特定のIDに対して総当たりするのではなく、「password123」「Spring2025!」といった「よく使われる弱いパスワード」を、多数のアカウントに対して一度ずつ試す攻撃。アカウントロック（数回失敗でロック）を回避しつつ、侵入を試みる。
- 対策: 推測されやすいパスワードの禁止、多要素認証。
Pass-the-Hash (PtH): Windows環境などで、攻撃者が認証済みの端末メモリ内に残存している「パスワードのハッシュ値」を盗み出し、それをそのまま認証サーバーへ送信してなりすます手法。パスワードの平文を知る必要がない。
- 対策: 管理者権限の厳格な管理（Tierモデル）、Remote Credential Guardの使用¹⁰。

3.3 生体認証の精度指標と課題

生体認証システム導入の際に検討すべき指標がある¹¹。

FAR (False Acceptance Rate / 他人受入率): 本人ではないのに認証されてしまう確率。セキュリティリスクに直結する。
FRR (False Rejection Rate / 本人拒否率): 本人なのに認証されない確率。ユーザビリティ（利便性）の低下につながる。
トレードオフ: FARとFRRは反比例の関係にある。セキュリティを厳しくすれば（FARを下げる）、本人が弾かれる確率（FRR）が上がる。両者が等しくなる点を EER (Equal Error Rate) と呼び、システムの性能評価に用いる。
リプレイ攻撃への耐性: 生体データは漏洩しても変更できない。そのため、生体データをそのまま通信経路に流すのではなく、デバイス内で照合を行い、結果のみを送信する、あるいはチャレンジ＆レスポンス方式と組み合わせる実装（FIDOなど）が必須である。

3.4 FIDO (Fast Identity Online) とパスワードレス

FIDOは、パスワード依存からの脱却を目指すオープン標準である。

FIDOの仕組み: 公開鍵暗号方式を応用している。
1. 登録時: ユーザーのデバイス（認証器）内で秘密鍵と公開鍵のペアを生成する。公開鍵のみをサーバーに登録する。
2. 認証時: サーバーから送られた「チャレンジ（ランダムなデータ）」に対し、デバイス内で生体認証などを行い、ロックを解除した秘密鍵で署名（アサーション）を作成してサーバーに返す。
3. 検証: サーバーは登録済みの公開鍵で署名を検証する。
メリット:
- サーバーに秘密情報を送らない: パスワードや生体データがサーバー側に保存されないため、サーバーが攻撃されても認証情報が漏洩しない。
- 耐フィッシング性: FIDO認証は、ブラウザが見ているドメイン（オリジン）と紐付いて動作する。偽サイト（フィッシングサイト）ではドメインが異なるため、認証器が動作せず、攻撃者は署名を入手できない。これは従来のOTP（ワンタイムパスワード）がフィッシングサイトに入力されて盗まれるリスクに対する決定的な優位性である¹²。

4. 認証プロトコルとフェデレーション：SSOの実現

クラウドサービスの利用拡大により、ID管理を一元化するシングルサインオン（SSO）と、組織を超えて認証情報を連携するフェデレーション（ID連携）が必須となっている。

4.1 Kerberos認証：オンプレミスの守護者

WindowsのActive Directory（AD）を中心に、社内ネットワークで標準的に利用される認証プロトコル。

構成要素: クライアント、サーバー、KDC（Key Distribution Center）。KDCはAS（Authentication Server）とTGS（Ticket Granting Server）から成る。
動作フロー:
1. ユーザーはパスワード等でASに認証を要求し、TGT (Ticket Granting Ticket) を取得する。
2. サービス（ファイルサーバーなど）を利用したい場合、TGTをTGSに提示し、そのサービス専用のサービスチケット（ST） を取得する。
3. STをサービスに提示してアクセスする。
特徴: パスワードそのものをネットワークに流さない。チケットには有効期限があり、時刻同期（NTP）が厳密に必要である。時刻がずれているとリプレイ攻撃と誤認され、認証に失敗する⁸。

4.2 SAML (Security Assertion Markup Language)

異なるドメイン間（例：企業のADとSalesforceなどのSaaS）で認証情報を交換するためのXMLベースの標準規格。

ロール（役割）:
- IdP (Identity Provider): 認証情報を提供する側（例：Azure AD, Okta）。ユーザー認証を行う。
- SP (Service Provider): サービスを提供する側（例：SaaSアプリ）。IdPの認証結果を信頼する。
フロー:
- SP-Initiated: ユーザーがSaaSにアクセスし、IdPへリダイレクトされて認証する一般的なパターン。
- IdP-Initiated: IdPのポータル画面からアプリを選択してログインするパターン⁷。
セキュリティ: 認証結果（アサーション）はXML署名され、改ざんが防止される。しかし、XMLの構造を悪用したXML Signature Wrapping (XSW) 攻撃が存在し、署名の検証ロジックとアプリが参照するデータ箇所の不整合を突いてなりすましが発生するリスクがあるため、実装には注意が必要である¹³。

4.3 OAuth 2.0 と OpenID Connect (OIDC)

現代のWeb APIやスマホアプリの認証・認可のデファクトスタンダード。

OAuth 2.0: 「認可（Authorization）」のフレームワーク。ユーザーが持つリソース（Googleフォトの写真など）へのアクセス権を、パスワードを渡すことなくサードパーティアプリに委譲する仕組み。
- 注意点: OAuth自体は認証プロトコルではない。「鍵（アクセストークン）」を持っていることと「その人が誰か（ID）」は別問題であるため、OAuth単体でログイン機能を作ると脆弱性になる。
OpenID Connect (OIDC): OAuth 2.0を拡張して「認証（Authentication）」を実現するレイヤー。
- IDトークン: ユーザーの身元情報を格納したJWT (JSON Web Token) 形式のトークンを発行する。JWTは「ヘッダー.ペイロード.署名」の3部分から成り、改ざん検知が可能である¹⁴。
セキュリティ動向:
- インプリシットフロー（Implicit Flow）の廃止: かつてSPA（シングルページアプリ）向けに使われていたが、URLフラグメントにトークンが含まれ漏洩リスクが高いため非推奨となった。現在は、PKCE (Proof Key for Code Exchange) を併用した認可コードフローが推奨されている¹⁷。

5. 最新の脅威動向と対策の統合

登録セキスペ試験では、これらの技術要素がどのように攻撃され、どう守るかという「攻防」の視点が不可欠である。

5.1 サイドチャネル攻撃（Side Channel Attack）

暗号アルゴリズムの数学的な脆弱性ではなく、物理的な実装の特性を狙う攻撃。

電力解析攻撃: 暗号処理中の消費電力の変動パターンから鍵を推測する。
タイミング攻撃: 処理時間の微妙な差（条件分岐によるクロック数の違いなど）から鍵情報を推測する。
対策: 演算時間を一定にする（コンスタントタイム実装）、ダミー演算を入れる、電磁波シールドを施す（耐タンパー性）など、IoT機器やICカードの実装問題として出題される¹⁸。

5.2 サプライチェーン攻撃とゼロトラスト

IPA「情報セキュリティ10大脅威 2025」でも上位に位置するサプライチェーン攻撃は、ターゲット企業そのものではなく、セキュリティの甘い取引先や子会社、あるいは利用しているソフトウェア（ライブラリ）を足場にして侵入する手法である⁵。

これに対抗するためには、ファイアウォールの内側であれば安全という境界型防御の考え方を捨て、「全ての通信を疑い、常に認証・認可を行う」ゼロトラストモデルへの転換が必要である。
具体的には、VPN機器の脆弱性を突く攻撃に対し、VPNの認証をID/パスワードのみから「クライアント証明書（PKI）＋多要素認証」へ強化する、あるいはSASE（Secure Access Service Edge）へ移行するといった解決策が、午後試験の記述解答として求められる。

6. 試験対策用：頻出用語・解説の網羅的整理

ここでは、午前IIおよび午後試験で問われる重要用語を、即戦力となる知識として整理する。

6.1 暗号・PKI関連用語テーブル

用語（英語/略称）	分類	詳細解説と試験における重要ポイント
AES (Advanced Encryption Standard)	共通鍵暗号	現在の標準規格。鍵長128/192/256bit。無線LANやSSL/TLSなど広範に利用。DES/3DESからの移行先として記述問題で頻出。
RSA (Rivest-Shamir-Adleman)	公開鍵暗号	素因数分解の困難性を利用。暗号化と署名の両方に利用可能。鍵長2048bit以上が推奨。処理が重いため、平文全体ではなく共通鍵やハッシュ値を暗号化する。
ECC (Elliptic Curve Cryptography)	公開鍵暗号	楕円曲線暗号。RSAより短い鍵長（256bitでRSA3072bit相当）で同等の強度を実現。IoTやスマートカードに適する。TLSのECDHEなどで利用。
HMAC (Hash-based MAC)	メッセージ認証	秘密鍵とハッシュ関数を用いるMAC。改ざん検知＋送信者認証が可能。IPsecやSSL/TLSで使用。衝突耐性のあるハッシュ関数の使用が前提。
AES-GCM (Galois/Counter Mode)	暗号利用モード	認証付き暗号（AEAD）。暗号化と同時に完全性確認（改ざん検知）を行う。TLS 1.3の推奨スイート。パディング攻撃への耐性がある。
IV (Initialization Vector)	暗号パラメータ	初期化ベクトル。CBCモード等で、同じ平文から異なる暗号文を生成するために用いる。予測不可能（ランダム）でなければならず、使い回してはならない。
PFS (Perfect Forward Secrecy)	セキュリティ特性	前方秘匿性。長期的な秘密鍵が漏洩しても、過去の通信ログ（セッション鍵で暗号化）が解読されない性質。DHE/ECDHEで実現。RSA鍵交換では実現できない⁶。
CA (Certificate Authority)	PKI構成要素	認証局。証明書を発行し、その正当性を保証する。ルートCA、中間CAの階層構造を持つ。
CRL (Certificate Revocation List)	証明書検証	証明書失効リスト。有効期限内だが無効となった証明書のリスト。クライアントがダウンロードして検証するが、タイムラグとサイズの問題がある。
OCSP (Online Certificate Status Protocol)	証明書検証	証明書の失効状態をリアルタイムで問い合わせるプロトコル。CRLの欠点を補う。「OCSP Stapling」とセットで覚える。
Timestamp (TS)	信頼性技術	タイムスタンプ。ある時刻にデータが存在し（存在証明）、以降改ざんされていない（非改ざん証明）ことをTSAが保証する。電子帳簿保存法対応で必須²。
PUF (Physical Unclonable Function)	ハードウェア	物理的複製困難関数。半導体の製造ばらつきを利用して、個体固有のIDや鍵を生成する技術。IoT機器の偽造防止に利用される。
TPM (Trusted Platform Module)	ハードウェア	セキュリティチップ。暗号鍵の生成・保管、ハッシュ値によるシステム状態の検証（セキュアブート）を行う。BitLockerなどで利用。

6.2 認証・アイデンティティ関連用語テーブル

用語（英語/略称）	分類	詳細解説と試験における重要ポイント
MFA (Multi-Factor Authentication)	認証方式	多要素認証。「知識」「所持」「生体」の3要素から2つ以上を組み合わせる。セキュリティ強度向上に最も効果的。フィッシング耐性のあるMFA（FIDOなど）への移行がトレンド。
FIDO2 / WebAuthn	認証規格	パスワードレス認証の標準。ブラウザAPI（WebAuthn）とデバイス間通信（CTAP）で構成。公開鍵暗号と生体認証を組み合わせ、サーバーへの秘密情報送信を排除。
SAML (Security Assertion Markup Language)	フェデレーション	XMLベースの認証連携プロトコル。企業向けクラウドサービス（SaaS）のSSOで標準的。IdPとSPの間でアサーションを交換する。
OAuth 2.0	認可フレームワーク	アクセス権限の委譲を行う仕組み。Googleでログインしてサードパーティアプリにカレンダーへのアクセスを許可する場合などに利用。アクセストークンを発行する。
OIDC (OpenID Connect)	認証プロトコル	OAuth 2.0を拡張して認証を行う。IDトークン（JWT）を用いてユーザー情報を伝達する。スマホアプリやWebサービスの「ソーシャルログイン」の基盤。
JWT (JSON Web Token)	トークン形式	URLセーフなJSONベースのトークン。署名が付与されており、改ざん検知可能。OIDCのIDトークンとして利用される。ステートレスな認証に適する¹⁴。
Kerberos	認証プロトコル	ネットワーク認証方式。チケット（TGT, ST）を用いてパスワードをネットワークに流さずに相互認証を行う。リプレイ攻撃防止のため時刻同期が必須。AD環境の標準。
RADIUS (Remote Auth Dial In User Service)	認証プロトコル	ネットワーク機器（VPN、無線LAN）の認証・認可・課金を一元管理する。UDPを使用。無線LANのWPA2-Enterprise認証（IEEE 802.1X）のバックエンドで使われる。
EAP-TLS	認証方式	IEEE 802.1X認証プロトコルの一種。クライアントとサーバー双方がデジタル証明書を用いて相互認証を行う。最もセキュリティ強度が高いが、証明書配布の手間がかかる。
PEAP (Protected EAP)	認証方式	サーバー証明書のみでTLSトンネルを作り、その中でID/パスワード認証を行う。クライアント証明書が不要で導入が容易。
Pass-the-Hash	攻撃手法	パスワードのハッシュ値を盗み出し、認証を突破する攻撃。Windowsネットワーク内での横展開（ラテラルムーブメント）に使われる。
Credential Stuffing	攻撃手法	パスワードリスト攻撃。リスト型攻撃。他所から流出したID/PWを使い回してログインを試みる。MFAが有効な対策。

7. 結論

本レポートでは、IPA情報処理安全確保支援士試験の中核をなす「基盤技術」と「認証」について、その理論的背景から実装、攻撃手法までを網羅的に詳述した。

試験対策としての結論は以下の通りである：

「なぜ」を語れるようになること: 単に「AESは安全」と覚えるのではなく、「鍵長が十分であり、かつGCMモードを使えば改ざんも検知できるため、CBCモードよりも推奨される」といった論理構成ができるかどうかが、午後試験の合否を分ける。
ハイブリッドな視点を持つこと: 暗号技術と認証技術は独立しているわけではない。FIDO認証は公開鍵暗号の応用であり、TLS通信はハイブリッド暗号（公開鍵＋共通鍵）である。これらの技術がどのように組み合わさって「信頼（Trust）」を形成しているか、全体像（アーキテクチャ）を捉える視点が必要である。
トレンドへの感応: 暗号アルゴリズムの危殆化（SHA-1廃止など）や、認証プロトコルの進化（PPAPの廃止、OAuthインプリシットフローの非推奨化）など、セキュリティ常識は常に更新されている。過去問演習だけでなく、最新のガイドライン（NIST SP800シリーズやIPAのレポート）に関心を持つことが、合格後の実務においても不可欠な資質となる。

これらの知識体系を習得することは、単に資格を取得するためだけでなく、組織の情報を守るセキュリティ・プロフェッショナルとしての確固たる基盤を築くことに他ならない。