ITパスポート試験のテクノロジ系(約45問)の中で、セキュリティ分野は最も出題ウェイトが高いテーマです。過去の出題実績では毎回10〜15問程度がセキュリティ関連であり、テクノロジ系全体の約3分の1を占めています。さらに、ストラテジ系で出題される不正アクセス禁止法や個人情報保護法などのセキュリティ関連法規まで含めると、試験全体の15〜20%がセキュリティの知識で得点できる範囲です。
言い換えると、セキュリティ分野を「得点源」にできるかどうかが、ITパスポートの合否に直結します。
この記事では、セキュリティ分野を6つのカテゴリに分類し、カテゴリごとの頻出用語・出題パターン・覚え方を体系的に解説します。シラバスVer.6.3〜6.5で追加されたEDR、パスワードレス認証(FIDO2)、ゼロトラスト、ダブルエクストーション(二重脅迫)などの新出用語にも対応しています。
この記事はこんな人におすすめ
- テクノロジ系の中でもセキュリティが特に苦手
- 暗号化の仕組み(共通鍵・公開鍵)がイマイチ理解できない
- マルウェアや攻撃手法の種類が多すぎて混乱する
- シラバス改定で追加された新しいセキュリティ用語をまとめて確認したい
ITパスポート試験の全体像(合格率・難易度・受験の流れ)をまだ確認していない方は「ITパスポートとは?難易度・合格率・取るメリットをわかりやすく解説」を先にご覧ください。
セキュリティ分野を体系的に学びたい方は通信講座の活用も有効です。ITパスポートおすすめ通信講座4選で各講座の特徴と費用を比較しています。
目次 非表示
- 1. セキュリティ分野の出題傾向と6カテゴリ分類
- 2. カテゴリ①:マルウェアの種類と特徴
- 3. カテゴリ②:攻撃手法の種類と対策
- 4. カテゴリ③:暗号化技術──共通鍵・公開鍵・ハイブリッド・デジタル署名
- 5. カテゴリ④:情報セキュリティの基本概念(CIA)とリスク管理
- 6. カテゴリ⑤:認証技術と最新のパスワードレス認証
- 7. カテゴリ⑥:ネットワークセキュリティ機器の役割
- 8. セキュリティ関連法規──ストラテジ系で出題される頻出法律
- 9. シラバス6.3〜6.5で追加された新出セキュリティ用語
- 10. セキュリティ分野の効率的な学習法──3ステップ攻略
- 11. よくある質問(FAQ)
- 12. まとめ
- 関連記事
1. セキュリティ分野の出題傾向と6カテゴリ分類
セキュリティ分野を効率よく学習するには、出題される内容を体系的に整理することが重要です。本記事では、出題内容を以下の6カテゴリに分類して解説します。
| カテゴリ | 主な出題内容 | 出題頻度 |
|---|---|---|
| ①マルウェアの種類と特徴 | ウイルス・ワーム・ランサムウェア・トロイの木馬・スパイウェア | ★★★ |
| ②攻撃手法の種類と対策 | フィッシング・SQLインジェクション・DoS/DDoS・ブルートフォース・ソーシャルエンジニアリング | ★★★ |
| ③暗号化技術 | 共通鍵暗号・公開鍵暗号・ハイブリッド暗号・デジタル署名・PKI | ★★★ |
| ④セキュリティの基本概念 | CIA(機密性・完全性・可用性)・リスクアセスメント・セキュリティポリシー | ★★★ |
| ⑤認証技術 | 多要素認証・バイオメトリクス・SSO・パスワードレス認証(FIDO2) | ★★☆ |
| ⑥ネットワークセキュリティ機器 | ファイアウォール・VPN・DMZ・IDS/IPS・WAF・EDR | ★★☆ |
加えて、ストラテジ系の法務分野で出題されるセキュリティ関連法規(不正アクセス禁止法・個人情報保護法・サイバーセキュリティ基本法など)も、広義のセキュリティ知識として本記事で解説します。
2. カテゴリ①:マルウェアの種類と特徴
マルウェア(malware)とは、malicious(悪意のある)+ software(ソフトウェア)を組み合わせた造語で、コンピュータに被害を与える悪意のあるソフトウェアの総称です。ITパスポート試験では「マルウェアの種類ごとの特徴の違い」を問う問題が頻出です。
基本の6種類──「どうやって被害を与えるか」で分類する
コンピュータウイルスは、他のプログラムに寄生して自己複製を行い、ファイルの破壊やシステムの改ざんを行うマルウェアです。生物のウイルスが宿主に寄生して増殖するのと同じイメージで覚えます。単独では動作できず、必ず別のプログラムに「感染」する点が他のマルウェアとの最大の違いです。
ワームは、他のプログラムに寄生せず単独で自己複製しながらネットワーク経由で拡散するマルウェアです。名前のとおり「虫(ワーム)が這い回るように広がっていく」イメージです。ウイルスとの区別が問われる定番問題です。ポイントは「ワーム=単独で動ける」「ウイルス=寄生が必要」です。
トロイの木馬は、一見すると正規のソフトウェアやファイルに見せかけてユーザーにインストールさせ、裏で情報窃取やバックドアの設置を行うマルウェアです。ギリシャ神話の「トロイの木馬」の故事(巨大な木馬に兵士を潜ませて城内に侵入した話)がそのまま名前の由来です。自己複製機能は持たない点がウイルスやワームとの違いです。
ランサムウェアは、感染したコンピュータのファイルやシステムを暗号化し、復号と引き換えに身代金(ransom)を要求するマルウェアです。近年のサイバー攻撃で最も社会問題化しており、ITパスポートでも出題頻度が年々増加しています。シラバス6.3で追加されたダブルエクストーション(二重脅迫)は、ランサムウェアの手口の進化形で、「暗号化による業務停止」と「窃取データの公開をちらつかせた脅迫」の2段階で身代金を要求する手法です。
スパイウェアは、ユーザーの行動履歴やキーボード入力(キーロガー)などの情報を、ユーザーに気づかれずに外部に送信するマルウェアです。「スパイ」+「ソフトウェア」の名前のとおり、密かに情報を盗み出します。
アドウェアは、ユーザーの同意なく広告を表示するソフトウェアです。一部は無害な広告表示のみですが、個人情報の収集を伴う悪質なアドウェアもあり、マルウェアに分類される場合があります。
覚え方のコツ──6種類を「自己複製できるか」で2グループに分ける
マルウェアの種類を混同しやすい場合は、「自己複製できるもの」と「できないもの」で2グループに分けて覚えるのが効率的です。自己複製できるグループには「ウイルス(寄生型の自己複製)」と「ワーム(単独の自己複製)」が入り、自己複製できないグループには「トロイの木馬」「ランサムウェア」「スパイウェア」「アドウェア」が入ります。この2軸で整理すれば、試験で「自己複製して拡散する特徴を持つものはどれか」という問題に即座に対応できます。
3. カテゴリ②:攻撃手法の種類と対策
マルウェアの「種類」と並んで頻出なのが、「攻撃の手口」です。攻撃手法は「技術的な攻撃」と「人間の心理を突く攻撃」の2種類に大別できます。
技術的な攻撃手法
フィッシング(Phishing)は、金融機関や有名サービスを装った偽メール・偽Webサイトを使い、ユーザーにID・パスワード・クレジットカード番号などの認証情報を入力させて騙し取る攻撃です。対策として、メール中のURLを安易にクリックしない、URLのドメイン名を目視確認する、多要素認証を有効にするなどが挙げられます。「Phishing=fishing(釣り)のもじり」と覚えます。
スピアフィッシングは、フィッシングの一種で、特定の個人や組織を狙い撃ちにする標的型のフィッシング攻撃です。攻撃者は事前にターゲットの情報を調査し、業務メールを装うなど巧妙な手口で信頼性を高めます。
SQLインジェクションは、Webアプリケーションの入力フォームにSQL文(データベース操作言語)を紛れ込ませ、データベースを不正に操作する攻撃です。対策は入力値のバリデーション(入力チェック)やプリペアドステートメントの使用です。
クロスサイトスクリプティング(XSS)は、Webページに悪意のあるスクリプト(プログラム)を埋め込み、そのページを閲覧したユーザーのブラウザ上でスクリプトを実行させる攻撃です。対策はスクリプトの特殊文字をエスケープ処理することです。
DoS攻撃(Denial of Service攻撃)は、ターゲットのサーバに大量のリクエストを送りつけ、サービスを利用不能に追い込む攻撃です。複数のコンピュータから同時に行う場合はDDoS攻撃(Distributed DoS攻撃)と呼ばれます。DoSとDDoSの違いは「攻撃元が1か所か複数か」です。
ブルートフォース攻撃(総当たり攻撃)は、パスワードの組み合わせをしらみつぶしに試す攻撃です。対策として、パスワードの文字数・複雑性の向上、アカウントロック(一定回数のログイン失敗でロック)、多要素認証の導入が有効です。
辞書攻撃は、「password」「123456」などのよく使われるパスワードのリスト(辞書)をもとに認証を試行する攻撃です。ブルートフォースとの違いは「全組み合わせを試すか、よく使われるものだけ試すか」です。
クレデンシャルスタッフィングは、シラバス6.3で追加された新出用語で、あるサービスから流出したID・パスワードの組み合わせ(クレデンシャル)を使い、別のサービスへのログインを試みる攻撃です。ユーザーがパスワードを使い回している場合に被害が拡大します。
人間の心理を突く攻撃手法
ソーシャルエンジニアリングは、技術的な手段ではなく、電話・メール・対面などで人間の心理的な隙を突いて情報を騙し取る手法の総称です。「IT部門の者ですが、パスワードを教えてください」といった電話によるなりすましや、ゴミ箱から廃棄された書類を漁る「トラッシング」、肩越しに画面を覗き見る「ショルダーハッキング」などが含まれます。対策は従業員教育とマニュアル整備です。
4. カテゴリ③:暗号化技術──共通鍵・公開鍵・ハイブリッド・デジタル署名
暗号化技術は「鍵の数」と「誰がどの鍵を使うか」という2つの軸で整理すると理解しやすくなります。
共通鍵暗号方式
送信者と受信者が同じ1つの鍵を使って暗号化・復号を行う方式です。処理速度が速く大量データの暗号化に向いていますが、鍵を相手に安全に届ける方法(鍵配送問題)が課題となります。代表的なアルゴリズムはAES(Advanced Encryption Standard)です。
覚え方:「共通=1本の鍵を共有」。鍵を渡すのが難しいのが弱点。
公開鍵暗号方式
「公開鍵」と「秘密鍵」のペア(2本の鍵)を使う方式です。公開鍵は誰にでも配布し、秘密鍵は本人だけが保持します。公開鍵で暗号化したデータは対応する秘密鍵でしか復号できません。鍵配送問題を解決できる反面、共通鍵暗号に比べて処理速度が遅いという特性があります。代表的なアルゴリズムはRSAです。
覚え方:「公開鍵=2本の鍵でペア」。「公開鍵で暗号化→秘密鍵で復号」の方向を覚える。
ハイブリッド暗号方式
実際のインターネット通信(HTTPS/TLSなど)では、公開鍵暗号と共通鍵暗号を組み合わせたハイブリッド暗号方式が使われています。手順は以下のとおりです。まず公開鍵暗号を使って「共通鍵(セッションキー)」を安全に交換します。次に交換した共通鍵を使って実際のデータ通信を暗号化します。これにより、公開鍵暗号の「安全な鍵交換」と共通鍵暗号の「高速な暗号化処理」の両方のメリットを活かしています。
覚え方:「公開鍵で鍵を渡し、共通鍵でデータを暗号化」の2段構え。
デジタル署名
なりすまし防止と改ざん検知を実現する技術です。公開鍵暗号の仕組みを応用していますが、暗号化とは鍵の使い方が逆になる点が重要です。
送信者は自分の秘密鍵でメッセージのハッシュ値(要約値)を暗号化し、署名として添付します。受信者は送信者の公開鍵で署名を復号し、自分で計算したハッシュ値と照合します。一致すれば「この署名は確かに送信者本人のもの(なりすましでない)」かつ「メッセージは途中で改ざんされていない」と確認できます。
覚え方:暗号化は「公開鍵→秘密鍵」の方向、デジタル署名は「秘密鍵→公開鍵」の逆方向。この「逆方向」を意識すれば混同しなくなります。
PKI(公開鍵基盤)
公開鍵暗号やデジタル署名を安全に運用するためのインフラがPKI(Public Key Infrastructure)です。認証局(CA: Certificate Authority)が公開鍵の持ち主を証明するデジタル証明書を発行し、「この公開鍵は確かにこの人(組織)のものである」と保証します。
5. カテゴリ④:情報セキュリティの基本概念(CIA)とリスク管理
情報セキュリティの3要素(CIA)
情報セキュリティの基本原則として、「CIA」は毎回のように出題される超頻出テーマです。
機密性(Confidentiality)は、許可された人だけが情報にアクセスできる状態を保つことです。具体的な対策としてはアクセス制御、暗号化、パスワード認証などがあります。
完全性(Integrity)は、情報が正確かつ完全であり、不正に改ざんされていない状態を保つことです。具体的な対策としてはデジタル署名、ハッシュ関数によるチェック、アクセスログの記録などがあります。
可用性(Availability)は、許可されたユーザーが必要なときに情報やシステムにアクセスできる状態を保つことです。具体的な対策としてはバックアップ、冗長化(二重化)、UPS(無停電電源装置)などがあります。
覚え方:C(秘密を守る)・I(改ざんさせない)・A(いつでも使える)の3文字。「CIAのスパイが情報を守る」というイメージで覚える受験者が多いです。
リスクマネジメントの基本プロセス
情報セキュリティのリスク管理は、「リスクの特定→リスクの分析→リスクの評価→リスク対応」の流れで行われます。リスク対応には4つの選択肢があり、「リスク回避(リスクの原因そのものを取り除く)」「リスク軽減(対策を講じてリスクを小さくする)」「リスク移転(保険加入やアウトソーシングでリスクを第三者に転嫁する)」「リスク保有(リスクが小さいためあえて対策をせず受容する)」です。
6. カテゴリ⑤:認証技術と最新のパスワードレス認証
認証の3要素
認証技術は「本人であることを何で証明するか」により3つに分類されます。
知識認証(Something You Know)は本人だけが知っている情報で認証する方式で、パスワード、暗証番号、秘密の質問がこれに該当します。所持認証(Something You Have)は本人だけが持っているモノで認証する方式で、ICカード、スマートフォン(SMS認証コード)、ハードウェアトークンが該当します。生体認証(Something You Are)は本人の身体的特徴で認証する方式で、指紋認証、顔認証、虹彩認証、静脈認証が該当します。バイオメトリクス認証とも呼ばれます。
多要素認証(MFA: Multi-Factor Authentication)
上記3要素のうち2種類以上を組み合わせる認証方式が多要素認証です。「パスワード(知識)+SMSコード(所持)」「パスワード(知識)+指紋(生体)」などの組み合わせが一般的です。1つの要素が破られても別の要素で防御できるため、セキュリティ強度が大幅に向上します。近年の出題頻度が特に高いテーマです。
注意点として、「パスワード+秘密の質問」は両方とも「知識認証」のため、これは多要素認証ではなく多段階認証にすぎません。「異なる要素を組み合わせているか」がポイントです。
シングルサインオン(SSO)
一度のログインで複数のシステムやサービスにアクセスできる仕組みです。ユーザーの利便性は向上しますが、SSOのアカウントが破られるとすべてのシステムにアクセスされるリスクがあるため、SSOには多要素認証を併用するのが一般的です。
パスワードレス認証とFIDO2(シラバス6.3新出)
シラバス6.3で追加された新しい認証概念です。パスワードレス認証とは、パスワードを使わずに本人確認を行う認証方式の総称です。代表的な技術標準がFIDO2(Fast IDentity Online 2)で、公開鍵暗号方式を基盤とし、認証情報をサーバ側ではなくユーザーのデバイス側に保存する仕組みです。パスワードがサーバに保存されないため、サーバ側からの認証情報漏洩リスクがなく、フィッシング攻撃への耐性も高い特徴があります。
リスクベース認証(シラバス6.3新出)
ユーザーのログイン時に、IPアドレス、デバイス情報、位置情報、時間帯などの環境情報を分析し、通常と異なるパターン(海外からのアクセス、未知のデバイスなど)を検知した場合にのみ追加の認証を要求する仕組みです。
7. カテゴリ⑥:ネットワークセキュリティ機器の役割
ネットワークを守るための機器や技術は、「何を守るか」「どこで守るか」で整理すると覚えやすくなります。
ファイアウォールは、ネットワーク間の通信を監視し、あらかじめ設定されたルール(ポリシー)に基づいて許可された通信のみを通し、不正な通信を遮断する仕組みです。最も基本的なネットワーク防御機器です。
IDS(Intrusion Detection System:侵入検知システム)は、不正な通信やアクセスを検知して管理者に通知するシステムです。検知はするが自動的に遮断はしません。
IPS(Intrusion Prevention System:侵入防止システム)は、IDSの機能に加えて、不正な通信を自動的に遮断する機能を持つシステムです。IDSとIPSの違いは「検知のみか、遮断もするか」です。これは定番の出題パターンです。
VPN(Virtual Private Network)は、インターネット上に仮想的な専用回線(トンネル)を作り、暗号化された安全な通信経路を確保する技術です。リモートワーク環境から社内ネットワークに安全に接続する場面で広く使われています。
DMZ(DeMilitarized Zone:非武装地帯)は、外部ネットワーク(インターネット)と内部ネットワーク(社内LAN)の中間に設置するネットワーク領域です。Webサーバやメールサーバなど外部からのアクセスが必要なサーバをDMZに配置することで、万が一DMZ内のサーバが攻撃されても内部ネットワークへの被害を防ぐ構成です。
WAF(Web Application Firewall)は、Webアプリケーションへの攻撃(SQLインジェクション、クロスサイトスクリプティングなど)を検知・遮断するための専用ファイアウォールです。通常のファイアウォールがネットワーク層を守るのに対し、WAFはアプリケーション層を守ります。
EDR(Endpoint Detection and Response)(シラバス6.3新出)は、PCやサーバなどのエンドポイント(端末)において、マルウェアの侵入や不審な動作をリアルタイムで検知し、対応するためのセキュリティソリューションです。従来のウイルス対策ソフト(EPP)が「侵入を防ぐ」ことに主眼を置くのに対し、EDRは「侵入された後にいかに速く検知・対応するか」に主眼を置いています。
ゼロトラスト(シラバス6.3新出)は、「すべての通信やアクセスを信用せず、常に確認する」という考え方に基づいたセキュリティモデルです。従来の「社内ネットワーク=安全、社外=危険」という境界型防御の考え方を根本から見直し、ネットワークの内外を問わずすべてのアクセスに対して認証・検証を行います。
8. セキュリティ関連法規──ストラテジ系で出題される頻出法律
セキュリティに関する法律はストラテジ系の「法務」分野で出題されます。「何を禁止・保護するための法律か」という目的を覚えることが最も効率的です。条文の暗記は不要です。
不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)は、他人のID・パスワードを無断で使用してシステムに侵入する行為(不正アクセス行為)、他人のID・パスワードを第三者に教える行為(不正アクセス行為の助長)、不正に入手したID・パスワードを保管する行為を禁止する法律です。
個人情報保護法は、個人情報の適切な取扱いに関するルールを定めた法律です。2022年4月施行の改正で、個人データの漏洩時の報告義務化、仮名加工情報・個人関連情報の概念の導入などが追加されました。「個人情報取扱事業者」の義務や、本人の同意なく第三者に提供してはならないルールが頻出です。
サイバーセキュリティ基本法は、国のサイバーセキュリティ戦略の基本理念と体制を定めた法律です。内閣にサイバーセキュリティ戦略本部を設置すること、国や地方公共団体・重要インフラ事業者の責務を明確化することなどが規定されています。
マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)は、マイナンバー(個人番号)の利用範囲や安全管理措置を定めた法律です。マイナンバーは社会保障・税・災害対策の3分野に利用が限定されていること、特定個人情報(マイナンバーを含む個人情報)には通常の個人情報よりも厳格な管理義務が課されていることがポイントです。
9. シラバス6.3〜6.5で追加された新出セキュリティ用語
ITパスポート試験では、シラバス改定時に追加された新出用語が一定の割合で出題される傾向があります。シラバス6.3(2024年10月適用)で追加されたセキュリティ関連の新出用語は20語以上に及びます。ここでは試験で出題が予想される重要な用語を厳選して解説します。
ダブルエクストーション(二重脅迫):ランサムウェア攻撃の手口の進化形。データの暗号化に加え、窃取したデータの公開を脅迫材料にする手法。
クレデンシャルスタッフィング:流出したID・パスワードの組み合わせを別のサービスに使い回し攻撃する手法。パスワードの使い回しが被害を拡大させる。
APT(Advanced Persistent Threat):特定の組織を標的に、長期間にわたって継続的に行われる高度なサイバー攻撃。国家レベルの攻撃者が行うことが多い。
フットプリンティング:攻撃者がターゲットの情報を事前に収集する行為。Webサイト、DNS情報、SNSなどから攻撃に必要な情報を集める偵察活動。
EDR(Endpoint Detection and Response):端末への侵入をリアルタイムで検知・対応するセキュリティ製品。従来のウイルス対策ソフト(EPP)を補完する位置づけ。
パスワードレス認証:パスワードを使わない認証方式。FIDO2が代表的な技術標準。
リスクベース認証:環境情報を分析し、リスクが高いと判断された場合のみ追加認証を要求する仕組み。
3-2-1ルール:バックアップの基本原則。データのコピーを3つ作り、2種類の異なるメディアに保存し、そのうち1つは遠隔地に保管する。
イミュータブルバックアップ:一度書き込んだら変更・削除ができないバックアップ。ランサムウェアによるバックアップデータの暗号化を防ぐ。
WORM機能:Write Once Read Manyの略。一度だけ書き込み、以降は読み取り専用とする機能。イミュータブルバックアップの実現手段の一つ。
ISMAP(Information system Security Management and Assessment Program):政府が求めるセキュリティ基準を満たしたクラウドサービスを登録する制度。政府機関がクラウドサービスを調達する際の基準となる。
アンチパスバック:入室と退室の記録を照合し、入室記録のない人の退室や、退室記録のない人の再入室を防止する物理セキュリティの仕組み。
EMV 3-Dセキュア(3Dセキュア2.0):オンラインクレジットカード決済における本人認証の国際標準。リスクベース認証を組み合わせ、不正利用を防止する。
10. セキュリティ分野の効率的な学習法──3ステップ攻略
ステップ1:用語の「定義」を覚える(1〜2週間)
セキュリティ分野は用語の定義を問う問題が最も多く出題されます。「ランサムウェアとは何か」「フィッシングとは何か」「CIAとは何か」──こうした用語の定義を、自分の言葉で説明できるレベルまで覚えることが最優先です。
この記事で解説した用語をノートやフラッシュカードに整理し、1日10〜15語ずつ暗記していくと、2週間で主要用語をカバーできます。
ステップ2:過去問で出題パターンを把握する(2〜3週間)
用語を覚えたら、ITパスポート過去問道場の「テクノロジ系→セキュリティ」に絞り込んで過去問を集中的に解きます。同じ用語が出題される際の問題文の表現パターンを把握することで、初見の問題にも対応できる力がつきます。
ストラテジ系のセキュリティ関連法規も「ストラテジ系→法務」で絞り込んで演習しておくと、試験全体でのセキュリティ関連の得点力がさらに向上します。
ステップ3:紛らわしい用語を「対比表」で区別する(1週間)
セキュリティ分野で最も間違えやすいのは、似た用語の混同です。以下のペアは特に混同しやすいため、対比表を自作して違いを明確にしておくことを推奨します。
IDS(検知のみ・通知する)とIPS(検知+遮断する)。共通鍵暗号(1本の鍵・高速・鍵配送が課題)と公開鍵暗号(2本の鍵ペア・低速・鍵配送問題を解決)。暗号化(公開鍵で暗号化→秘密鍵で復号)とデジタル署名(秘密鍵で署名→公開鍵で検証)。DoS攻撃(攻撃元が1台)とDDoS攻撃(攻撃元が多数)。ウイルス(寄生して自己複製)とワーム(単独で自己複製)。多要素認証(異なる要素の組み合わせ)と多段階認証(同じ要素の繰り返し)。
11. よくある質問(FAQ)
Q1. セキュリティ分野は何問くらい出題されますか?
テクノロジ系(45問)のうち10〜15問程度がセキュリティ関連です。過去にはテクノロジ系の20問以上がセキュリティ関連だった回もあり、年々出題比率が増加傾向にあります。ストラテジ系のセキュリティ関連法規(2〜3問程度)も含めると、試験全体の15〜20%がセキュリティの知識で得点できる範囲です。
Q2. 暗号化の仕組みが難しくて理解できません。どうすればよいですか?
「誰がどの鍵を使って何をするか」を図で整理することから始めてください。共通鍵は「1本の鍵で両方(暗号化も復号もする)」、公開鍵は「2本の鍵でペア(公開鍵で暗号化→秘密鍵で復号)」というシンプルな対比から入り、その後にハイブリッド暗号やデジタル署名に進むとスムーズです。YouTubeの解説動画で図解を見ながら学ぶのも効果的です。
Q3. マルウェアの種類が多すぎて覚えられません。優先順位はありますか?
最優先で覚えるべきは「ウイルス」「ワーム」「トロイの木馬」「ランサムウェア」の4種類です。この4種類だけで出題の大半をカバーできます。スパイウェアとアドウェアは余力があれば追加で覚えてください。シラバス6.3追加の「ダブルエクストーション」は近年出題が増えているため、ランサムウェアとセットで覚えておくことを推奨します。
Q4. 法律(不正アクセス禁止法など)も覚える必要がありますか?
不正アクセス禁止法、個人情報保護法、サイバーセキュリティ基本法の3つは毎年出題される超頻出テーマです。条文の暗記は不要ですが、「何を禁止・保護するための法律か」という目的と、主要な規定内容(例:不正アクセス禁止法なら「禁止される3つの行為」)を覚えてください。
Q5. シラバス6.3以降の新出用語はどれくらい出題されますか?
IPAの出題傾向の分析によると、シラバス改定後には新出用語から数問が出題される傾向があります。特にEDR、パスワードレス認証、ゼロトラスト、ダブルエクストーションは社会的にも注目度が高く、出題可能性が高い用語です。
Q6. 2027年度の新制度でセキュリティの出題はどう変わりますか?
2027年度から出題分野が「ビジネス・テクノロジ・セキュリティ・倫理」に再編され、セキュリティが独立した分野として強化されます。AI時代に対応したセキュリティ・倫理の出題が増加する見込みです。現行制度で受験する場合は本記事の内容で十分対応できますが、2027年度以降に受験する場合はAI倫理やデータ倫理の知識も必要になります。詳しくはITパスポート2027年新制度まとめを参照してください。
12. まとめ
ITパスポートのセキュリティ分野攻略のポイントを整理します。
セキュリティ分野はテクノロジ系の中で最も出題比率が高く、毎回10〜15問が出題されます。ストラテジ系の関連法規まで含めると試験全体の15〜20%をカバーする最重要テーマです。
学習は6カテゴリに分けて体系的に取り組みます。マルウェアの種類、攻撃手法、暗号化技術、CIAとリスク管理、認証技術、ネットワークセキュリティ機器の6つです。
「用語の定義を覚える→過去問で出題パターンを把握する→紛らわしい用語を対比表で区別する」の3ステップが最も効率的な学習法です。
シラバス6.3〜6.5で追加された新出用語(EDR、パスワードレス認証、ゼロトラスト、ダブルエクストーション、クレデンシャルスタッフィングなど)は出題可能性が高いため、必ず押さえておいてください。
