📌 このページについて
頻出論点まとめ=「これだけは絶対に覚える」集
情報セキュリティマネジメント試験の午前問題・午後問題で繰り返し登場する論点を一覧にまとめました。
試験直前の総復習にも使えます。
CIAとセキュリティ対策の対応
| CIA | 意味 | 主な対策 |
|---|---|---|
| C:機密性 | 許可された者だけがアクセスできる | 暗号化・アクセス制御・認証 |
| I:完全性 | 改ざん・破損がない正確な状態 | ハッシュ・電子署名・バックアップ |
| A:可用性 | 必要な時にいつでも使える状態 | 冗長化・バックアップ・BCP |
暗号・署名の使う鍵まとめ
| 目的 | 使う鍵 |
|---|---|
| 受信者へデータを暗号化して送る | 受信者の公開鍵で暗号化 |
| 暗号文を復号する | 受信者の秘密鍵で復号 |
| 送信者が電子署名を作る | 送信者の秘密鍵で署名 |
| 電子署名を検証する | 送信者の公開鍵で検証 |
リスク対応の4種類
| 種類 | 内容 | 例 |
|---|---|---|
| 回避 | リスク原因ごとやめる | 危険サービスの廃止 |
| 低減(軽減) | 対策でリスクを小さくする | パッチ適用・暗号化 |
| 転嫁(移転) | 第三者にリスクを移す | 保険・業務委託 |
| 受容 | コスト等を考慮して許容する | 軽微なリスクを甘受 |
攻撃手法と対策の対応表
| 攻撃 | 主な対策 |
|---|---|
| フィッシング | メールフィルタ・SPF/DKIM・教育・MFA |
| 標的型攻撃 | 教育・メール訓練・EDR・ログ監視 |
| マルウェア | ウイルス対策・パッチ管理・USBポート制限 |
| SQLインジェクション | プレースホルダ・入力値検証・WAF |
| XSS | HTMLエスケープ・CSP・HTTPOnly |
| CSRF | CSRFトークン・Refererチェック・再認証 |
| パスワードアタック | MFA・アカウントロック・長いパスワード |
| 盗聴 | TLS/HTTPS・VPN・暗号化 |
FW・WAF・IDS/IPS の違い
| 技術 | 守る対象 | 動作 |
|---|---|---|
| FW | ネットワーク境界 | IP・ポートで許可/遮断 |
| WAF | Webアプリ | HTTP中身を解析・遮断 |
| IDS | ネットワーク全体 | 検知→警告のみ |
| IPS | ネットワーク全体 | 検知→自動遮断 |
ISMSとPDCAの関係
P:Plan
リスク評価・計画
→
D:Do
対策実施・運用
→
C:Check
監査・評価
→
A:Act
改善・是正
個人情報保護法の重要ポイント
- 個人情報=生存する個人を特定できる情報
- 利用目的を明示・通知し、目的外利用は禁止
- 第三者提供には原則本人の同意が必要
- 漏えい時は個人情報保護委員会への報告と本人通知義務あり(2022年改正)
- 委託元は委託先を監督する義務がある
よく混同されるキーワード整理
| セット | 違い・使い分け |
|---|---|
| 認証 vs 認可 | 認証=本人確認、認可=アクセス権限の付与 |
| 暗号化 vs ハッシュ | 暗号化は復号できる、ハッシュは一方向(復元不可) |
| IDS vs IPS | IDS=警告のみ、IPS=自動遮断 |
| 脅威 vs 脆弱性 | 脅威=攻撃の種類、脆弱性=システムの弱点 |
| BCP vs DR | BCP=事業継続計画、DR(ディザスタリカバリ)=システム復旧計画 |
| CSIRT vs SOC | CSIRT=インシデント対応チーム、SOC=常時監視センター |
試験直前チェックリスト
☐ CIA三要素とそれぞれの対策手段を言える
☐ 公開鍵・秘密鍵の使い分けを言える(暗号化・署名)
☐ リスク対応の4種類(回避・低減・転嫁・受容)を言える
☐ フィッシング・標的型攻撃の流れと対策を言える
☐ SQLインジェクション・XSS・CSRFの違いと対策を言える
☐ ISMSとPDCAの関係を説明できる
☐ 個人情報保護法の主な義務と漏えい時の対応を言える
☐ インシデント対応の7ステップを言える
🧠 確認クイズ
Q1. 電子署名の作成に使う鍵として正しいのは?
Q2. 「リスクを保険で補填する」はリスク対応の4種類のどれか?
Q3. XSSとCSRFの違いとして正しいのは?