ITパスポート試験でセキュリティ分野は毎年10問前後出題される最重要テーマです。テクノロジ系(45問)の中でも特に出題頻度が高く、ここを得点源にできるかどうかが合否に大きく影響します。
この記事では、セキュリティ分野の頻出テーマ・重要用語・効率的な攻略法を解説します。
セキュリティ分野の出題傾向
毎年出題される頻出テーマ
ITパスポートのセキュリティ分野は大きく5つのカテゴリに分類されます。
| カテゴリ | 主な出題内容 | 重要度 |
|---|---|---|
| マルウェア・攻撃手法 | ウイルス・ランサムウェア・フィッシング・SQLインジェクション | ★★★ |
| 暗号化・認証技術 | 共通鍵暗号・公開鍵暗号・デジタル署名・多要素認証 | ★★★ |
| 情報セキュリティの基本概念 | CIA・リスク管理・セキュリティポリシー | ★★★ |
| ネットワークセキュリティ | ファイアウォール・VPN・DMZ・IDS/IPS | ★★☆ |
| 法律・制度 | 不正アクセス禁止法・個人情報保護法・サイバーセキュリティ基本法 | ★★☆ |
カテゴリ別の重要用語と覚え方
① マルウェアの種類と特徴
マルウェアとは悪意のあるソフトウェアの総称です。種類と特徴を正確に区別することが問われます。
| 名称 | 特徴 | 覚え方 |
|---|---|---|
| コンピュータウイルス | 他のプログラムに寄生して自己増殖する | 生物のウイルスと同じイメージ |
| ワーム | 単独で自己増殖・ネットワーク経由で拡散 | 虫(ワーム)が這い回るイメージ |
| トロイの木馬 | 正規ソフトに偽装して侵入・情報窃取 | トロイの木馬(ギリシャ神話)の故事 |
| ランサムウェア | ファイルを暗号化して身代金を要求 | ransom(身代金)+software |
| スパイウェア | ユーザーの行動・情報を盗む | スパイ+ソフトウェア |
| アドウェア | 勝手に広告を表示する | ad(広告)+ソフトウェア |
② 攻撃手法の種類
| 攻撃手法 | 概要 | 対策 |
|---|---|---|
| フィッシング | 偽メール・偽サイトで認証情報を騙し取る | URLの確認・多要素認証 |
| SQLインジェクション | データベースに不正なSQL命令を送り込む | 入力値のバリデーション |
| クロスサイトスクリプティング(XSS) | Webページに悪意のあるスクリプトを埋め込む | エスケープ処理 |
| DoS攻撃 | 大量のリクエストを送りサービスを停止させる | ファイアウォール・レート制限 |
| ブルートフォース攻撃 | 認証情報をしらみつぶしに試す | アカウントロック・多要素認証 |
| 辞書攻撃 | よく使われるパスワードを試す | 複雑なパスワード設定 |
| ソーシャルエンジニアリング | 人間の心理的な隙を突いて情報を騙し取る | 教育・マニュアル整備 |
③ 暗号化技術
暗号化技術は「鍵の数」と「誰が使う鍵か」を整理することが重要です。
共通鍵暗号方式 送信者と受信者が同じ鍵を使う方式です。鍵の管理が難しく、鍵を安全に届けることが課題です。処理速度が速いため、大量データの暗号化に使われます。代表的なアルゴリズムはAES・DESです。
公開鍵暗号方式 「公開鍵」と「秘密鍵」のペアを使う方式です。公開鍵で暗号化したデータは秘密鍵でしか復号できません。鍵の配送問題を解決できますが、処理速度が遅い特性があります。代表的なアルゴリズムはRSAです。
ハイブリッド暗号 実際のシステムでは、公開鍵暗号で共通鍵を安全に交換し、実際のデータは共通鍵で暗号化するハイブリッド方式が使われます(TLS/HTTPSなど)。
デジタル署名 「なりすまし防止」と「改ざん検知」のための技術です。送信者が秘密鍵で署名し、受信者が公開鍵で検証します。「本当にこの人が送ったか」「途中で内容が変わっていないか」を確認できます。
④ 情報セキュリティの3要素(CIA)
情報セキュリティの基本概念として、3要素(CIA)は頻出です。
| 要素 | 英語 | 意味 | 例 |
|---|---|---|---|
| 機密性 | Confidentiality | 許可された人だけが情報にアクセスできる | アクセス制御・暗号化 |
| 完全性 | Integrity | 情報が正確で改ざんされていない | デジタル署名・ハッシュ |
| 可用性 | Availability | 必要なときに情報にアクセスできる | バックアップ・冗長化 |
「CIA」と略して覚えることが一般的です。
⑤ 認証技術
| 認証方式 | 概要 | 例 |
|---|---|---|
| 知識認証 | 本人だけが知っている情報 | パスワード・暗証番号 |
| 所持認証 | 本人だけが持っているもの | ICカード・スマートフォン |
| 生体認証(バイオメトリクス) | 本人の身体的特徴 | 指紋・顔認証・虹彩 |
| 多要素認証(MFA) | 上記2種類以上を組み合わせる | パスワード+SMSコード |
多要素認証は近年のセキュリティ対策の標準となっており、出題頻度が高まっています。
ネットワークセキュリティ機器の役割
| 機器・技術 | 役割 | キーワード |
|---|---|---|
| ファイアウォール | 許可された通信のみを通す | パケットフィルタリング |
| IDS(侵入検知システム) | 不正なアクセスを検知して通知 | 検知するが止めない |
| IPS(侵入防止システム) | 不正なアクセスを検知して遮断 | 検知して止める |
| VPN | インターネット上に仮想的な専用回線を作る | 暗号化・リモートアクセス |
| DMZ(非武装地帯) | 外部と内部の中間に置くネットワーク領域 | Webサーバーを配置 |
| WAF | Webアプリケーションへの攻撃を防ぐ | SQLインジェクション対策 |
セキュリティ分野の効率的な学習法
ステップ1:用語の「定義」を覚える
セキュリティ分野は用語の定義を問う問題が多いです。「ランサムウェアとは何か」「フィッシングとは何か」という定義を正確に覚えることが基本です。
ステップ2:過去問で出題パターンを把握する
「ITパスポート試験ドットコム」でセキュリティ分野に絞って過去問を解きます。同じ用語が形を変えて繰り返し出題されることが多いため、過去問での演習が最も効率的です。
ステップ3:紛らわしい用語を区別する
「IDS(検知)とIPS(防止)」「共通鍵暗号と公開鍵暗号」「DoS攻撃とDDoS攻撃」など、似た用語を混同しやすいです。表を使って対比させながら整理することが推奨されます。
よくある質問(FAQ)
- セキュリティは何問くらい出ますか?
テクノロジ系45問のうち、セキュリティ関連は10〜15問程度が目安です。ストラテジ系の法律(個人情報保護法・不正アクセス禁止法)も含めると、セキュリティ関連の知識が問われる問題は全体の15〜20%に達します。
- 暗号化の仕組みが難しくて理解できません。
- 「誰が暗号化して、誰が復号するか」という鍵の使い方を図で整理することが推奨されます。「共通鍵=1本の鍵で両方」「公開鍵=2本の鍵でペア」という単純な整理から始めると理解しやすくなります。
- マルウェアの種類が多くて覚えられません。
- 「ウイルス(寄生)」「ワーム(自律移動)」「トロイの木馬(偽装)」「ランサムウェア(身代金)」の4種類を優先して覚えます。スパイウェア・アドウェアは余力があれば追加で覚える程度で十分です。
- セキュリティの法律(不正アクセス禁止法など)も覚えるべきですか?
- 不正アクセス禁止法・サイバーセキュリティ基本法は毎年出題されるため、「誰を何から守る法律か」という目的を覚えることが推奨されます。条文の暗記は不要です。
まとめ
ITパスポートのセキュリティ分野攻略をまとめます。
- 毎年10〜15問出題される最重要分野
- マルウェアの種類・暗号化方式・CIA・認証技術・ネットワーク機器の役割が頻出
- 用語の定義を覚えた後、過去問で出題パターンに慣れることが効率的
- 「IDS vs IPS」「共通鍵 vs 公開鍵」など紛らわしい用語を対比表で整理する
他の分野の攻略については以下の記事も参考にしてください。
