Uパスワード流出のニュースを見て、「暗号化って何?」と調べたことが今回の学習の入口でした。調べはじめると、SSL/TLSやデジタル署名、PKIという言葉が次々と出てきて——最初は用語の多さに圧倒されたのですが、「CIA」という3要素を軸に整理したら、ぐっと見通しよくなりました。
情報セキュリティは、経営情報システムの中でも「暗号化・認証・脅威・対策」という4つの柱で出題されます。個々の技術名は覚えていても「なぜその仕組みが必要なのか」という文脈が曖昧だと、本番で迷いやすくなります。このページでは、3大要素CIAを出発点として、暗号化の原理から実際の脅威と対策まで、ひとつながりの流れで整理してみました。
目次
情報セキュリティの3大要素(CIA)
C
Confidentiality(機密性)
許可された人だけが情報にアクセスできる状態を保つこと。権限のない第三者に情報が漏れないよう制御する。
暗号化・アクセス制御・認証
I
Integrity(完全性)
情報が正確で改ざん・破損されていない状態を保つこと。データが意図せず変更されていないことを保証する。
ハッシュ関数・デジタル署名
A
Availability(可用性)
必要なときに情報やシステムを利用できる状態を保つこと。障害・攻撃があっても継続的にサービスを提供できる。
冗長化・バックアップ・DDoS対策
情報セキュリティの施策はすべて「C・I・Aのどれを守るためか」という視点で整理できます。たとえばランサムウェアは機密性(暗号化による人質)と可用性(ファイルへのアクセス不能)の両方を脅かします。試験でも「この対策はどの要素を高めるか」という問われ方をすることがあります。
暗号化の種類
| 比較項目 | 共通鍵暗号 | 公開鍵暗号 |
|---|---|---|
| 鍵の数 | 暗号化・復号に同じ1つの鍵 | 公開鍵(暗号化)と秘密鍵(復号)の2種類 |
| 処理速度 | 高速(大きなデータ向き) | 低速(小さなデータや鍵の交換に向く) |
| 鍵の配送問題 | 相手に安全に鍵を渡す必要がある(課題) | 公開鍵を公開するだけでよい(解決済み) |
| 鍵の管理数 | n人と通信するにはn本の鍵が必要 | 自分の秘密鍵1本だけ管理すればよい |
| 代表アルゴリズム | AES・DES・3DES | RSA・楕円曲線暗号(ECC) |
| 主な用途 | ファイル・ストレージの暗号化 | 鍵交換・デジタル署名・電子証明書 |
ハイブリッド暗号方式のしくみ
実際のSSL/TLSでは、2つの方式の長所を組み合わせたハイブリッド暗号が使われています。公開鍵暗号で「共通鍵そのもの」を安全に交換し、その後は高速な共通鍵暗号で通信データを暗号化します。
公開鍵暗号で
共通鍵を安全に交換
共通鍵で
通信データを高速暗号化
SSL/TLS完成
速さ+安全性を両立
SSL/TLSの役割
SSL(現在はTLSに移行)はWebブラウザとサーバー間の通信を暗号化するプロトコルです。URLが「https://」で始まる場合、この仕組みが動いています。OSI参照モデルの第6層(プレゼンテーション層)または第4〜5層相当に位置し、HTTP通信にセキュリティの層を加えます。
U公開鍵暗号の「鍵を配送しなくていい」という仕組みに気づいたとき、思わず「なるほど!」と声が出ました。公開鍵は誰に見られても問題ない——だから公開できる。秘密鍵は自分だけが持つ。この非対称さが、インターネット上の安全な通信を支えているのだと理解できると、RSS・デジタル署名・PKIがひとつの線でつながってきました。
認証技術
デジタル署名
送信者が秘密鍵で署名し、受信者が公開鍵で検証します。「誰が送ったか(なりすまし防止)」と「内容が変わっていないか(改ざん検知)」の2点を保証します。暗号化とは鍵の使い方が逆になる点に注意が必要です。
電子証明書(デジタル証明書)
「この公開鍵は本当にこの組織のものです」と第三者機関(CA)が保証する証明書です。SSL/TLS接続時にサーバーがブラウザに提示し、鍵の正当性を担保します。有効期限があり、失効した場合はCRLまたはOCSPで確認できます。
PKI(公開鍵基盤)
電子証明書の発行・管理・失効を担う仕組み全体のことです。認証局(CA)・登録局(RA)・証明書失効リスト(CRL)・OCSP(オンライン失効確認)で構成されます。インターネット上の信頼の基盤となっています。
ハッシュ関数
任意の長さのデータを固定長の「ハッシュ値(ダイジェスト)」に変換する一方向性の関数です。元のデータが1文字でも変わるとハッシュ値が大きく変わるため、改ざん検知に利用されます。代表的なアルゴリズムはSHA-256です。パスワードの保存にも使われます。
デジタル署名の流れ(図解)
送信
送信者:ハッシュ値を計算し、秘密鍵で署名
元の文書からハッシュ値を生成し、自分の秘密鍵で暗号化(=署名)します。文書本体と署名をセットで送ります。
受信
受信者:送信者の公開鍵で署名を復号
受け取った署名を送信者の公開鍵で復号し、ハッシュ値Aを取り出します。
検証
受信したデータ自体のハッシュ値Bと比較
A=B なら「改ざんなし・本人送信」。A≠Bなら「改ざんあり or なりすまし」と判断できます。
主な脅威と攻撃手法
マルウェア(ウイルス)
他のプログラムに寄生して自己複製する不正プログラム。感染したファイルを開くと動作し、データ破壊や情報窃取を行います。
完全性・可用性の脅威
ランサムウェア
ファイルを暗号化してアクセス不能にし、復号と引き換えに身代金を要求します。近年は企業・病院への攻撃が増加しています。
機密性・可用性の脅威
トロイの木馬 / スパイウェア
正規ソフトに見せかけてインストールさせ(トロイ)、バックグラウンドで情報を収集・送信します(スパイ)。自己複製はしません。
機密性の脅威
フィッシング
正規サービスを装った偽メール・偽サイトに誘導し、IDやパスワード・クレジットカード番号を詐取します。多要素認証の導入が有効な対策です。
機密性の脅威
DoS / DDoS 攻撃
大量のリクエストを送りつけてサーバーを過負荷にし、サービスを停止させます。DDoSは複数の踏み台端末(ボットネット)から行うため防御が困難です。
可用性の脅威
SQLインジェクション / XSS / ソーシャルエンジニアリング
SQLインジェクション:入力欄にSQL文を埋め込みDBを不正操作。
XSS:悪意あるスクリプトをWebページに埋め込みユーザーを攻撃。
ソーシャルエンジニアリング:技術ではなく人の心理・習慣を利用した情報詐取(なりすまし電話など)。
XSS:悪意あるスクリプトをWebページに埋め込みユーザーを攻撃。
ソーシャルエンジニアリング:技術ではなく人の心理・習慣を利用した情報詐取(なりすまし電話など)。
機密性・完全性の脅威
セキュリティ対策の全体像
ファイアウォール
外部と内部ネットワークの境界でパケットをフィルタリングし、不正なアクセスを遮断します。DMZ(非武装地帯)を設けることで外部公開サーバーを保護する設計が一般的です。
境界防御
IDS / IPS
IDS(侵入検知システム)は不審な通信を検知して管理者に通知します。IPS(侵入防止システム)はさらに自動でブロックする機能を持ちます。ファイアウォールの補完的役割を担います。
検知・防御
WAF(Webアプリケーションファイアウォール)
HTTPレベルでWebアプリへの攻撃(SQLインジェクション・XSS等)を検知・遮断します。通常のファイアウォールでは対応できないアプリケーション層の攻撃を防ぎます。
アプリ層防御
VPN(仮想専用線)
インターネット上に暗号化されたトンネルを構築し、安全な通信路を確保します。テレワーク時に社内ネットワークへ接続する際の標準的な手段です。IPsecやSSL-VPNが代表プロトコルです。
通信の機密性
多要素認証(MFA)
知識(パスワード)・所持(スマートフォン)・生体(指紋)のうち2つ以上を組み合わせて認証します。パスワード漏洩だけでは不正アクセスできないため、フィッシング対策として有効です。
認証強化
情報セキュリティポリシー
組織全体のセキュリティに関する方針・基準・手順を文書化したものです。基本方針→対策基準→実施手順の3階層で構成されます。技術的対策と人的対策・物理的対策を包括的に規定します。
組織的対策
身近な場面で考えてみると
ネットショッピングで「購入する」ボタンを押してから決済完了するまでの間に、これまで整理してきた技術がすべて稼働しています。
1
ブラウザがhttps接続を開始SSL/TLS
URLが「https://」で始まっていることを確認します。ブラウザとショッピングサイトのサーバーがTLSハンドシェイクを行い、安全な通信路を確立します。
2
サーバーが電子証明書を提示PKI・CA
サーバーは認証局(CA)が発行した電子証明書を送ります。ブラウザがこれを検証し、本物のサイトであることを確認します(なりすましサイトとの区別)。
3
共通鍵を安全に交換ハイブリッド暗号
公開鍵暗号を使って共通鍵(セッション鍵)を安全に交換します。以降の通信はこの共通鍵で暗号化されます。
4
カード情報が暗号化されて送信AES共通鍵暗号
クレジットカード番号や個人情報は共通鍵で暗号化された状態でサーバーに届きます。途中で傍受されても解読できません(機密性の確保)。
5
ログイン認証で本人確認多要素認証・ハッシュ
パスワードはハッシュ化されてDBに保存されており、平文では保管されていません。SMS認証や生体認証を追加することで多要素認証が成立します。
このひとつの購買体験の中に、機密性(暗号化・認証)・完全性(ハッシュ・デジタル署名)・可用性(DDoS対策・冗長化)という3要素がすべて関係しています。CIAは抽象的な概念に見えますが、日常の行動にすでに埋め込まれています。
過去問で確認する
平成30年度 第8問(経営情報システム)
暗号化・公開鍵
公開鍵暗号方式とデジタル署名に関する記述として最も適切なものはどれか。
- ア デジタル署名では、送信者は受信者の公開鍵で署名し、受信者は自分の秘密鍵で検証する。
- イ 公開鍵暗号方式は共通鍵暗号方式よりも処理速度が速く、大量データの暗号化に適している。
- ウ デジタル署名では、送信者が自分の秘密鍵で署名し、受信者が送信者の公開鍵で検証する。← 正解
- エ 公開鍵暗号方式では、暗号化と復号に同じ鍵を使用する。
解説
デジタル署名は「秘密鍵で署名、公開鍵で検証」というのがポイントです。ア(公開鍵で署名)は逆。イ(公開鍵暗号が速い)も逆で、公開鍵暗号は計算コストが高く処理が遅いため、実際には共通鍵と組み合わせて使います。エ(同じ鍵)は共通鍵暗号の説明です。暗号化では「公開鍵で暗号化→秘密鍵で復号」、デジタル署名では「秘密鍵で署名→公開鍵で検証」と、鍵の使い方の向きが逆になる点は必ず押さえておきましょう。
令和3年度 第9問(経営情報システム)
セキュリティの3要素
情報セキュリティの管理において、情報の「機密性」「完全性」「可用性」に関する記述の組み合わせとして最も適切なものはどれか。
(各選択肢は「a=機密性、b=完全性、c=可用性」の定義をそれぞれ異なる順で記述している形式)
(各選択肢は「a=機密性、b=完全性、c=可用性」の定義をそれぞれ異なる順で記述している形式)
- ア a:許可された利用者が必要なときに情報を利用できる b:情報が正確で完全である c:許可された者だけが情報にアクセスできる
- イ a:許可された者だけが情報にアクセスできる(機密性) b:情報が正確・完全で改ざんされていない(完全性) c:必要なときに情報を利用できる(可用性)← 正解
- ウ a:情報が正確で完全である b:許可された者だけがアクセスできる c:必要なときに情報を利用できる
- エ a:必要なときに情報を利用できる b:許可された者だけがアクセスできる c:情報が正確で完全である
解説
CIA の定義は頻出です。Confidentiality(機密性)=アクセス制御・許可された者だけ。Integrity(完全性)=改ざんなし・正確性の保証。Availability(可用性)=必要なときに使える。頭文字C・I・Aとセットで、定義と具体的な対策技術(暗号化・ハッシュ関数・冗長化)をひも付けて覚えておくと選択肢が絞りやすくなります。
U のメモ
セキュリティは用語が多くて最初は面食らいました。でも「CIAの3要素」という軸を最初に固めてから、「この技術はどの要素を守るためか」と考えながら整理すると、ぐっと頭に入りやすくなりました。
特に混同しやすいのが暗号化とデジタル署名の鍵の使い方の違いです。暗号化は「公開鍵で閉じて、秘密鍵で開ける」、デジタル署名は「秘密鍵で押して、公開鍵で確かめる」——方向が逆になります。試験本番でも、この逆転関係を問う選択肢が紛れているので要注意です。
脅威カードで整理した攻撃手法は、CIAのどの要素を侵害するかとセットで記憶しておくと、対策との対応関係も見えやすくなると感じています。
特に混同しやすいのが暗号化とデジタル署名の鍵の使い方の違いです。暗号化は「公開鍵で閉じて、秘密鍵で開ける」、デジタル署名は「秘密鍵で押して、公開鍵で確かめる」——方向が逆になります。試験本番でも、この逆転関係を問う選択肢が紛れているので要注意です。
脅威カードで整理した攻撃手法は、CIAのどの要素を侵害するかとセットで記憶しておくと、対策との対応関係も見えやすくなると感じています。
