情報セキュリティまとめ｜マルウェア・暗号化・認証・脅威対策を図解で整理

過去問を解いていて、選択肢に「公開鍵」「デジタル署名」「ランサムウェア」が並んだとき、頭の中でうまく整理できていないことに気づきました。それぞれの言葉は知っているのに、「どう違うのか」「どう組み合わさっているのか」がぼんやりしたままでした。この記事は、そのぼんやりをひとつずつ解消するために書いています。

情報セキュリティは、経営情報システム科目のなかで「毎年出題される」3大テーマのひとつです。過去20年のデータをみると、暗号化技術・認証技術・脅威対策のいずれかが必ず出題されており、複合的な問いになることも少なくありません。この記事では、CIA（機密性・完全性・可用性）という大枠から出発して、脅威の種類・暗号化の仕組み・認証技術・対策技術の順に整理していきます。過去問3問も収録していますので、知識の確認にお役立てください。

情報セキュリティの3大目標（CIA）

大目標

CIA：あらゆる対策の基準

毎年

出題

過去20年連続で出題あり

ISO

27001

ISMSの国際規格でも明記

情報セキュリティを考えるとき、最初に押さえておくべき概念が CIA（シーアイエー）です。機密性・完全性・可用性の頭文字で、これら3つの目標をバランスよく保つことが情報セキュリティの根本的な目的とされています。脅威や対策の話題が出たとき、「この問題はCIAのどれを守るための話なのか」という視点で考えると、整理しやすくなります。

C — CONFIDENTIALITY

機密性

許可された人だけが情報にアクセスできる状態を保つこと。情報が不正に閲覧・漏洩されないようにする。

主な脅威

不正アクセス、盗聴、フィッシング、内部不正

主な対策

アクセス制御、暗号化、認証技術

I — INTEGRITY

完全性

情報が正確で完全な状態であること。意図しない改ざん・削除・破損が行われていないことを保証する。

主な脅威

改ざん、SQLインジェクション、マルウェアによるデータ破壊

主な対策

デジタル署名、ハッシュ関数、アクセス権限設定

A — AVAILABILITY

可用性

許可されたユーザーが必要なときに情報やシステムを利用できる状態を保つこと。

主な脅威

DDoS攻撃、ランサムウェアによるシステム停止、自然災害

主な対策

冗長化、バックアップ、BCP（事業継続計画）

試験のポイント：「機密性・完全性・可用性のうち、どれを目的とした対策か」という形式で出題されることがあります。たとえば「ハッシュ関数は何の目的で使うか」→「改ざん検知のため（完全性）」といった対応関係を押さえておくと解きやすくなります。

主な脅威の種類

情報セキュリティの脅威は、大きく「マルウェア」「ソーシャルエンジニアリング」「ネットワーク攻撃」の3種類に分類されます。診断士試験では名称と特徴の対応関係が問われることが多く、特にマルウェアの分類は細かく出題される傾向があります。

マルウェアの分類

種類	特徴	試験頻出ポイント
コンピュータウイルス	他のプログラムに寄生して増殖する。宿主ファイルが必要	「自己複製するが単独では動けない」点がポイント
ワーム	宿主なしで自己増殖し、ネットワーク経由で拡散する	「単独で動作・自己増殖・ネットワーク拡散」がキー
トロイの木馬	正規のソフトに見せかけて侵入し、裏で悪意ある動作をする	「自己増殖しない」→バックドア・情報窃取に使われる
ランサムウェア	ファイルを暗号化してデータを人質に身代金を要求する	「暗号化＋身代金要求」が定義。可用性・機密性を脅かす
スパイウェア	ユーザーの行動・個人情報を密かに収集して外部に送信する	「気づかれずに情報収集」→機密性を脅かす
アドウェア	不要な広告を表示するソフト。スパイウェアと組み合わさることも	直接的な被害は低いが、スパイウェア化するケースあり
ボット	感染したPCを遠隔操作できるようにするプログラム	DDoS攻撃の踏み台になるボットネットに組み込まれる

ソーシャルエンジニアリング

技術的な攻撃手段ではなく、人間の心理や行動の隙をついて情報を騙し取る手法です。いくら技術的対策が強固でも、人的な弱点から攻撃が成立することがあります。

フィッシング

正規のサービス（銀行・ECサイト等）を装った偽メール・偽サイトでID・パスワードを騙し取る。Emailを使う手法の総称。

スミッシング

SMSを使ったフィッシング。「荷物が届いています」「未払い料金があります」といった偽SMSからの誘導。

ビッシング（ボイスフィッシング）

電話を使った詐欺。「サポートセンター」「警察」等を名乗り、口頭で機密情報を聞き出す。

なりすまし

上司・取引先・IT管理者を装って指示を出し、パスワード変更や送金を実行させる。BECとも呼ばれる。

ショルダーハッキング

肩越しにのぞき見てパスワードやPINを盗む。電車・カフェでの画面閲覧もここに含まれる。

ネットワーク攻撃

攻撃手法	概要	狙われるCIA目標
DDoS攻撃	複数のPCから一斉に大量アクセスを送りつけ、サーバをダウンさせる	可用性（Availability）
SQLインジェクション	Webフォームに不正なSQL文を入力し、データベースを不正操作する	機密性・完全性
XSS（クロスサイトスクリプティング）	Webページに悪意あるスクリプトを埋め込み、閲覧者のブラウザで実行させる	機密性（Cookie窃取等）
CSRF（クロスサイトリクエストフォージェリ）	ログイン済みユーザーに意図しないリクエストを送らせる攻撃	完全性（不正操作）
中間者攻撃（MITM）	通信の途中に割り込み、データを盗聴・改ざんする	機密性・完全性
ブルートフォース攻撃	パスワードを総当たりで試みて突破しようとする	機密性
ゼロデイ攻撃	パッチが公開される前の脆弱性を突く攻撃。対処が難しい	機密性・完全性・可用性すべて

ランサムウェアについて過去問で改めて確認したとき、「なぜランサムウェアは可用性への脅威に分類されるのか」がずっと腑に落ちていませんでした。ファイルが暗号化されてしまうと、そのデータを使いたいときに使えなくなる——つまり「使えない状態になること」が可用性の侵害だと気づいたとき、CIA全体の整理がすっきりしたように感じました。

暗号化の仕組み

暗号化は「データを鍵で変換し、正規の受信者しか元に戻せない状態にする」技術です。試験では共通鍵暗号と公開鍵暗号の違い、およびデジタル署名・SSL/TLSへの応用が頻繁に問われます。まず2方式の比較から始めましょう。

共通鍵暗号 vs 公開鍵暗号

共通鍵暗号（対称鍵暗号）

代表例：AES（Advanced Encryption Standard）

暗号化と復号に同じ鍵を使用する

処理速度が速く、大量データの暗号化に向く

n人が通信する場合、n(n-1)/2本の鍵が必要

課題：鍵を安全に相手に届ける「鍵配送問題」がある

公開鍵暗号（非対称鍵暗号）

代表例：RSA（Rivest-Shamir-Adleman）

公開鍵で暗号化し、秘密鍵で復号する

n人が通信する場合、n対（2n本）の鍵でよい

処理速度が遅く、大量データ処理には不向き

鍵配送問題を解決できるのが大きな利点

実際の通信（SSL/TLS等）ではどちらも使う：まず公開鍵暗号で「共通鍵を安全に交換」し、その後は共通鍵暗号で高速に通信する「ハイブリッド暗号」方式が主流です。

デジタル署名の仕組み

デジタル署名は「この文書は本当に送信者が作成したものか（真正性）」「途中で改ざんされていないか（完全性）」を証明する仕組みです。公開鍵暗号を逆方向に使う点がポイントです。

送信者がハッシュ値を生成する

送信するメッセージからハッシュ関数（SHA-256等）でハッシュ値（メッセージダイジェスト）を計算する。元データの「指紋」のようなもの。

送信者の秘密鍵で暗号化する（署名の作成）

ハッシュ値を送信者の秘密鍵で暗号化したものが「デジタル署名」。メッセージに添付して送信する。

受信者が公開鍵で復号して確認する

受信者は送信者の公開鍵で署名を復号してハッシュ値Aを得る。受信したメッセージからも独自にハッシュ値Bを計算する。

A＝B なら正当と判断する

ハッシュ値AとBが一致すれば、改ざんなく・送信者本人から届いたことが確認できる。一致しない場合は改ざんまたはなりすましの可能性がある。

PKIと電子証明書

デジタル署名の検証には「その公開鍵が本当にその人物のものか」という確認が必要です。これを担う仕組みが PKI（Public Key Infrastructure：公開鍵基盤） です。

PKIの信頼チェーン

信頼の根拠ルート認証局
（Root CA）

証明書発行中間認証局
（Intermediate CA）

証明書取得サーバ・個人
（エンドエンティティ）

検証ブラウザ・利用者

用語	説明
認証局（CA）	公開鍵が本人のものであることを証明する第三者機関。電子証明書を発行する
電子証明書（デジタル証明書）	公開鍵に認証局の署名を付けた文書。「この公開鍵はこの人物のもの」と保証する
SSL/TLS	WebのHTTPS通信で使われるプロトコル。公開鍵で鍵交換し、共通鍵で通信を暗号化する
CRL（証明書失効リスト）	失効した証明書の一覧。鍵漏洩時などに証明書を無効化するための仕組み

認証技術

「本当にその人物か」を確認する認証は、情報セキュリティの最前線です。認証要素は大きく3種類に分類され、「何を使って証明するか」によって安全性と利便性が変わります。

KNOWLEDGE FACTOR

知識要素

・パスワード・PIN
・秘密の質問
・暗証番号

「知っているもの」で証明

POSSESSION FACTOR

所持要素

・スマートフォン（SMS認証）
・ICカード・ハードウェアトークン
・ワンタイムパスワード（OTP）

「持っているもの」で証明

INHERENCE FACTOR

生体要素

・指紋認証・顔認証
・虹彩認証・静脈認証
・声紋認識

「自分自身」で証明

多要素認証（MFA）の仕組み

複数の認証要素を組み合わせることで、1要素が漏洩しても不正アクセスを防ぐ仕組みが 多要素認証（MFA：Multi-Factor Authentication） です。「同じ種類の2要素を組み合わせても多要素認証とは呼ばない」点に注意が必要です。

2要素認証（2FA）の例

ATMでの「キャッシュカード（所持）＋暗証番号（知識）」。2種類の異なるカテゴリを組み合わせている点がポイント。

2段階認証との違い

2段階認証は「2回確認する」という意味で、要素の種類が同一でも該当する。「パスワード＋SMS番号」は2段階かつ2要素（所持）の認証。

OTP（ワンタイムパスワード）

1回限り有効なパスワード。TOTP（時間同期型）とHOTP（カウンタ型）がある。認証アプリ（Google Authenticator等）が代表的。

シングルサインオン（SSO）

1回の認証で複数のシステムやサービスを利用できる仕組みが SSO（Single Sign-On） です。利用者の利便性向上と、パスワード管理の簡略化を同時に実現できます。

方式	概要	特徴・用途
SAML（Security Assertion Markup Language）	XMLベースの認証情報交換プロトコル	企業向けのWebSSOで広く使われる。IdPとSPの分離が特徴
OAuth 2.0	認可（アクセス権限の委譲）のためのプロトコル	「Googleアカウントでログイン」等の認可に使われる
OpenID Connect	OAuth 2.0の上に認証層を追加したプロトコル	SNSアカウントによる第三者サービスへのログインに使用
Kerberos	チケットベースの認証プロトコル	Active Directory等の企業内ネットワークで広く使用

セキュリティ対策技術

脅威に対抗するための技術的対策は、「入口で防ぐ」「中に入られた場合に検知する」「通信路を保護する」という3つの考え方に分類できます。試験では各ツールの役割と違いを問う問題が頻出です。

対策技術	主な機能・役割	対象とする脅威	配置場所
ファイアウォール（FW）	IPアドレス・ポート番号に基づいて通信を許可/拒否するフィルタリング	不正アクセス、ポートスキャン	ネットワーク境界（インターネットとLANの間）
IDS（侵入検知システム）	不審な通信・アクティビティを検知してアラートを発する（通信は止めない）	不正侵入の検知・ログ記録	DMZや内部ネットワーク上
IPS（侵入防止システム）	不審な通信をリアルタイムで遮断する（IDSの機能＋遮断機能）	不正侵入の防止・ブロック	インライン（通信経路上）に配置
WAF（Webアプリケーションファイアウォール）	Webアプリへの攻撃を検知・遮断。HTTP/HTTPSの中身を解析する	SQLインジェクション、XSS、CSRF	WebサーバとクライアントのHTTP通信上
VPN（仮想プライベートネットワーク）	インターネット上に仮想的な専用回線を構築し、通信を暗号化する	盗聴、中間者攻撃	リモートアクセス・拠点間接続
EDR（Endpoint Detection and Response）	端末（PC・スマートフォン）上でのマルウェア検知・隔離・復旧を行う	マルウェア感染、標的型攻撃	各エンドポイント端末

ファイアウォールの種類

パケットフィルタリング型

IPアドレス・ポート番号・プロトコルで通信を制御。処理が軽快だがアプリ層の内容は見られない。最も基本的な方式。

ステートフルインスペクション型

接続の状態（セッション）を追跡して通信を制御。パケット単体ではなく、一連の通信の文脈を判断できる。

アプリケーションゲートウェイ型（プロキシ型）

アプリケーション層（HTTP・FTPなど）の内容を解析して制御。高精度だが処理負荷が高い。

次世代ファイアウォール（NGFW）

上記を統合し、IDSやアプリ識別機能も合わせ持つ現代的なFW。深いパケットインスペクション（DPI）が可能。

VPNの主要プロトコル

プロトコル	特徴
IPsec	ネットワーク層（IP層）で暗号化。拠点間VPNによく使われる。トンネルモードとトランスポートモードがある
SSL-VPN（TLS-VPN）	SSL/TLSを使ったVPN。Webブラウザから利用できるため、クライアントソフト不要のケースが多い
L2TP/IPsec	L2TPでトンネルを作りIPsecで暗号化する組み合わせ方式。モバイル端末からの接続に使われてきた
WireGuard	シンプルな設計で高速・軽量な新世代VPNプロトコル。近年急速に普及している

日常の場面で考えてみると

セキュリティ対策は、建物のセキュリティに例えると整理しやすくなります。オフィスビルに置き換えて考えてみましょう。

オフィスの仕組み	ITセキュリティ	目的
入口の警備員（入館証確認）	ファイアウォール	入口で不審者を弾く
館内カメラ・センサー	IDS	不審な動きを検知してアラート
警備員が不審者を即座に排除	IPS	検知と同時に遮断まで行う
金庫・書類の施錠管理	暗号化	中身を読まれても意味をなさなくする
IC社員証で入退室管理	多要素認証	「持っているもの＋知識」で本人確認
ビル専用の内線電話網	VPN	外部から切り離された安全な通信路

過去問で確認する

公開鍵暗号方式に関する記述として、最も適切なものはどれか。

ア　暗号化に使う公開鍵と復号に使う秘密鍵は同一の鍵である。
イ　暗号化に使う公開鍵は公開されているため、誰でも暗号文を作成できるが、復号には対応する秘密鍵が必要である。
ウ　公開鍵暗号方式は共通鍵暗号方式よりも処理速度が速いため、大量のデータ暗号化に適している。
エ　n人が相互に安全に通信するには、n(n-1)/2個の公開鍵が必要である。

正解と解説

正解：イ
公開鍵暗号では、公開鍵（誰でも使える）で暗号化し、対応する秘密鍵（持ち主だけが知る）でのみ復号できます。
・ア：公開鍵と秘密鍵は異なります（これは共通鍵暗号の説明）
・ウ：逆です。公開鍵暗号は共通鍵暗号より処理が遅く、大量データには向きません
・エ：公開鍵はn人分（n個）用意すれば足ります。n(n-1)/2は共通鍵暗号の話

デジタル署名に関する記述として、最も適切なものはどれか。

ア　受信者が送信者の公開鍵でメッセージを暗号化することで、送信者だけが内容を確認できる。
イ　送信者がメッセージのハッシュ値を計算し、そのハッシュ値を受信者の公開鍵で暗号化したものをデジタル署名とする。
ウ　送信者がメッセージのハッシュ値を計算し、そのハッシュ値を送信者自身の秘密鍵で暗号化したものをデジタル署名とする。
エ　デジタル署名はメッセージの機密性を保証するが、改ざんの検知はできない。

正解と解説

正解：ウ
デジタル署名は「送信者の秘密鍵でハッシュ値を暗号化したもの」です。受信者は送信者の公開鍵で復号してハッシュ値を確認し、メッセージの改ざん有無と送信者の真正性を検証します。
・イ：鍵の使い方が逆です。「受信者の公開鍵」ではなく「送信者自身の秘密鍵」を使います
・エ：デジタル署名はハッシュ値の比較で改ざんを検知することが主目的のひとつです

マルウェアの種類とその説明の組み合わせとして、最も適切なものはどれか。

ア　ランサムウェア ─ 感染したPCのファイルを他のPCに複製しながら拡散するプログラム
イ　ワーム ─ 正規のソフトウェアを装って侵入し、バックドアを設けるプログラム
ウ　スパイウェア ─ PCのファイルを暗号化して復号のための身代金を要求するプログラム
エ　トロイの木馬 ─ 有用なソフトウェアに偽装してインストールされ、内部で悪意ある処理を実行するプログラム

正解と解説

正解：エ
トロイの木馬は「正規のソフトウェアを装って侵入し、裏で悪意ある動作をする」マルウェアです。自己増殖はしません。
・ア：これはワームの説明（自己増殖・拡散）
・イ：これはトロイの木馬的な説明ですが「バックドア設置」の具体例で、設問上はエが正確な定義として適切
・ウ：これはランサムウェアの説明（スパイウェアは情報収集を行うもので、身代金要求はしない）

過去問を3問解いてみて気づいたことがあります。選択肢の「誤り」が、別のマルウェアや別の技術の正しい説明になっていることが多いのです。選択肢の誤りを「どの概念の正しい説明か」まで確認しておくと、1問で複数の知識が整理できます。情報セキュリティは覚えることが多く見えますが、こうした対応関係の整理が一番効いているかもしれません。

U のメモ

情報セキュリティを勉強して特に整理に時間がかかったのが「公開鍵と秘密鍵の使い方の向き」でした。暗号化は公開鍵で、デジタル署名は秘密鍵で——と覚えようとすると混乱するのですが、「目的が何か」から考えると整理できました。

暗号化の目的は「受信者しか読めないようにすること」→受信者の公開鍵で暗号化し、受信者の秘密鍵で復号する。
署名の目的は「送信者が本物であること・改ざんがないことを証明すること」→送信者の秘密鍵で署名し、送信者の公開鍵で検証する。

“誰に対して、何を保証したいか” を問いの起点にすると、鍵の使い方が自然に出てくるようになりました。試験本番でも、この問い方を使うようにしています。