U「複雑なパスワードを設定しているから安全」——そう思っていたころ、フィッシングメール1通でパスワードが盗まれる事例を知って考え方が変わりました。どんなに強い暗号も、「本人が教えてしまう」攻撃には無力です。攻撃者の視点から防御策を逆引きすると、情報セキュリティの設計思想がよくわかります。
目次
セキュリティの3要素 CIA
情報セキュリティの目標は「CIA」の3要素で整理されます。どの攻撃も、この3つのうちどれかを破壊することを狙っています。
C
機密性
Confidentiality
Confidentiality
許可された人だけが情報にアクセスできる状態
破られる例:不正アクセス・盗聴・パスワード漏洩
I
完全性
Integrity
Integrity
情報が正確で改ざんされていない状態
破られる例:データ改ざん・なりすまし送信・ウイルス感染
A
可用性
Availability
Availability
必要なときに情報やシステムが使える状態
破られる例:DoS攻撃・システム障害・ランサムウェア
試験では「この脅威はCIAのどれを脅かすか」という形で出題されます。たとえばDoS攻撃はシステムを停止させる → 可用性の侵害、盗聴は情報を読まれる → 機密性の侵害、と紐付けて覚えましょう。
主な脅威の種類と対策——攻撃手口から逆引きする
攻撃の種類を「手口」「狙うCIA要素」「対策」の3列で整理すると、試験でも実務でも使いやすくなります。
フィッシング
ソーシャルエンジニアリング
ソーシャルエンジニアリング
偽サイト・偽メールでIDとパスワードを入力させる。「オレオレ詐欺」も同じ構造——技術ではなく人間を騙す。
対策:多要素認証・URLの確認・従業員教育
マルウェア
(ウイルス・ランサムウェア)
(ウイルス・ランサムウェア)
悪意あるプログラムでデータ破壊・暗号化・情報窃取。ランサムウェアはデータを人質に身代金を要求する。
対策:ウイルス対策ソフト・パッチ適用・バックアップ
DoS/DDoS攻撃
大量のリクエストを送りつけてサーバーをダウンさせる。DDoSは複数の踏み台PCから同時攻撃(分散型)。
対策:ファイアウォール・IDS/IPS・CDN・帯域制限
SQLインジェクション
Webフォームに不正なSQL文を入力しDBを操作する。IDを入力する欄に「’ OR ‘1’=’1」などを入れると全データが返ることがある。
対策:入力値検証・プリペアドステートメント・WAF
不正アクセス
(パスワードクラック)
(パスワードクラック)
総当たり(ブルートフォース)・辞書攻撃・パスワードリスト攻撃などでアカウントを突破する。
対策:複雑なパスワード・アカウントロック・多要素認証
暗号化の3方式——共通鍵・公開鍵・ハッシュ
暗号化は「機密性」を守るための中核技術です。3方式の仕組みと使いどころを比較します。
共通鍵暗号方式
送信者と受信者が同じ鍵で暗号化・復号する。「南京錠と鍵が1つ」のイメージ。処理が速いため大量データに向く。
✔ 処理が高速・実装が簡単
✖ 鍵の受け渡し(鍵配送問題)が課題
公開鍵暗号方式
公開鍵(誰でも使える)と秘密鍵(本人だけ)の2種類を使う。公開鍵で暗号化→秘密鍵だけが復号できる。鍵配送問題を解決。
✔ 鍵の配送が不要・デジタル署名に応用
✖ 処理が遅い(共通鍵の数百倍)
ハッシュ関数
入力データから固定長の「ハッシュ値」を生成する。一方向関数で復元不可。データの改ざん検知やパスワード保存に使う。
✔ 改ざん検知・パスワード照合に有効
✖ 復号(元データへの復元)は不可能
実務での組み合わせ(ハイブリッド暗号)
実際の通信(HTTPSなど)は両方を組み合わせます。公開鍵暗号で「共通鍵を安全に交換」→ その後の大量データのやりとりは高速な共通鍵暗号で処理。
認証——「本人確認」の3方式
認証は「アクセスしようとしているのが本人かどうか」を確認するプロセスです。3種類の証明手段を組み合わせるほど強固になります。
| 認証の種類 | 証明する方法 | 具体例 | 弱点 |
|---|---|---|---|
| 知識認証(Something you know) | 知っていること | パスワード・PIN・秘密の質問 | フィッシング・盗み見・推測で突破される |
| 所持認証(Something you have) | 持っているもの | スマホ・ICカード・ワンタイムパスワード | 紛失・盗難リスク |
| 生体認証(Something you are) | 身体的特徴 | 指紋・顔認証・虹彩 | なりすまし困難だが変更不可 |
多要素認証(MFA)は上記の2種類以上を組み合わせる方式です。「パスワード(知識)+スマホに届くワンタイムコード(所持)」が典型例。フィッシングでパスワードを盗まれても、スマホがなければログインできません。
ネットワークセキュリティ——ファイアウォール・IDS/IPS・DMZ
| 対策技術 | 役割 | たとえ |
|---|---|---|
| ファイアウォール | ルールに基づきパケットを許可・拒否する関門 | マンションの入口ゲート(通行証チェック) |
| IDS(侵入検知) | 不審な通信を検知して管理者に通知する | 防犯カメラ(異変を記録・通報) |
| IPS(侵入防止) | 不審な通信を検知して自動的にブロックする | 自動施錠ドア(不審者を自動排除) |
| DMZ(非武装地帯) | 外部と内部の間に置く緩衝ゾーン(Webサーバー等を配置) | 空港の免税エリア(内部とも外部とも隔離) |
| VPN | 公衆回線上に暗号化されたトンネルを作る | 見えない専用通路(傍受されても読めない) |
過去問で問われるポイント
| 頻出テーマ | 覚えるべきポイント |
|---|---|
| CIA3要素 | 機密性C・完全性I・可用性A の定義と脅威の対応 |
| 暗号化方式 | 共通鍵(速い・鍵配送問題)vs 公開鍵(遅い・鍵配送不要)vs ハッシュ(一方向・改ざん検知) |
| 多要素認証 | 知識・所持・生体の2種類以上の組み合わせ |
| マルウェア種類 | ウイルス(寄生)・ワーム(自己複製・単独)・ランサムウェア(身代金)・トロイの木馬(偽装) |
| IDS vs IPS | IDSは検知のみ→通知、IPSは検知+自動ブロック |
| デジタル署名 | 送信者の秘密鍵で署名→受信者が公開鍵で検証。改ざん検知+なりすまし防止 |
U のメモ
情報セキュリティを学んで気づいたのは「技術的な穴より、人間の穴のほうが大きい」ということです。SQLインジェクションをふせぐシステムも、フィッシングメールを信じて自分でパスワードを入力してしまえば無意味。「多層防御(技術+運用+教育)」という発想が、診断士として中小企業にセキュリティを提言するときにも使えそうだと思っています。
