🛡️ 情報セキュリティの教科書:攻撃手法からリスクマネジメントまで【AP試験・実務対応】
情報処理技術者試験(応用情報レベル)において、「セキュリティ」は必須かつ得点源となる分野です。本記事では、入力データを基に、攻撃手法のメカニズムから組織の管理体制までを徹底解説します。
🚀 本記事の狙いと午後試験の出題ポイント
応用情報技術者試験(AP)において、情報セキュリティは午前試験で約10問、午後試験では「必須解答」となっている最重要科目です。近年の午後試験では、単に用語を暗記しているだけでは太刀打ちできず、「実際のシステム環境でその攻撃がどう成立し、どう防ぐべきか」という実務的なシナリオ把握能力が問われています。
🔑 登場する最重要キーワード
- インジェクション系(SQL, OSコマンド)
- セッション・認証系(XSS, CSRF, MITB)
- インフラ・DNS系(DNSキャッシュポイズニング, amp攻撃)
- 管理・評価基準(リスク対応4分類, ISMS, CVSS)
📈 午後試験の出題傾向
- ネットワーク構成図から脆弱なポイントを特定させる
- ログやパケット情報の断片から攻撃の種類を特定させる
- 導入予定のセキュリティ対策のメリット・デメリットを記述させる
- 「リスク保有」や「リスク移転」の判断根拠を問う
「知っている」を「解ける」に変えるために、各用語の仕組みを深く理解していきましょう!
1. 💥 試験に出る!不正行為・攻撃手法(AM/PM対応)
💻 Webアプリケーション・DBへの攻撃
| 手法名 | 内容と応用ポイント | 具体的な使用状況・対策 |
|---|---|---|
| バッファオーバフロー | 許容範囲を超えるデータを送り、戻りアドレスを書き換える。 | C言語等のメモリ管理が直接的なプログラムで発生。境界チェックの徹底が不可欠。 |
| SQLインジェクション | 入力フィールドにSQL文を注入し、DBを不正操作。 | サニタイジング(特殊文字除去)や、バインド機構(プレースホルダ利用)が根本対策。 |
| XSS(クロスサイトスクリプティング) | 罠サイト経由で、ターゲットのブラウザ上で悪意あるスクリプトを実行。 | セッションクッキーの奪取などに使われる。入力値のHTMLエスケープが必須。 |
| OSコマンドインジェクション | system関数等に不正なコマンドを渡し、サーバを乗っ取る。 | Web経由でサーバ内ファイルを削除されたり、バックドアを作られたりする。 |
| ディレクトリトラバーサル | 相対パス(../)を使い、非公開ディレクトリを横断。 | `/etc/passwd`などのシステム設定ファイルを閲覧されるリスク。 |
🌐 ネットワーク・誘導の攻撃
- DNSキャッシュポイズニング:偽のDNS応答を覚えさせ、偽サイトへ誘導。DNSSECの導入やポートランダマイズが有効。
- リフレクタ攻撃(DRDoS):送信元を標的に偽装。DNS ampやNTP増幅攻撃が代表。コネクションレスのUDPが狙われる。
- フィッシング / スミッシング:メールやSMSで偽サイトへ誘導。オープンリダイレクト脆弱性を悪用し、正規URLから偽サイトへ飛ばす手口もある。
- SEOポイズニング:検索結果の上位に悪意あるサイトを表示させ、正規の利用者をおびき寄せる。
🛡️ その他の高度な手法
- MITB攻撃:ブラウザ内のマルウェアが通信を改ざん。ネットバンキングの振込先書き換えなどに使われる。
- サイドチャネル攻撃:処理時間や消費電流から暗号鍵を推測。タイミング攻撃が有名。
- RLTrap:Unicodeの制御文字(RLO)を使い、`.exe`を`.doc`に見せかけて実行させる。
- Adversarial Examples:AIモデルに微細なノイズを加え、誤認識を誘発する。
2. 🧱 技術的・物理的セキュリティ対策
🛠️ 技術的評価と証拠
- ペネトレーションテスト:擬似攻撃による侵入テスト。運用面ではカオスエンジニアリング(意図的な障害発生)にも応用。
- デジタルフォレンジックス:法的証拠性を保つためのデータ保全・分析技法。
- 耐タンパ性:内部解析を拒絶する能力。物理的に壊れる回路など。
🏢 オフィスの物理対策
応用情報では用語の正確な意味が問われます。
💡 具体的な使用例:
- アンチパスバック:入室記録がないと出られない仕組み。共連れを防ぐ。
- インターロックゲート:二重扉。一人ずつしか通れない小部屋。
- TPMOR:セキュリティエリア内を「常に2人以上」にするルール(内部不正防止)。
- クリアデスク・クリアスクリーン:離席時の書類放置・画面放置の禁止。
3. 📊 リスクマネジメントとISMS(組織的管理)
🔄 リスクアセスメントのプロセス
- リスク特定:資産の価値と脅威、脆弱性を発見する。
- リスク分析:起こりやすさと結果(影響)からリスクレベルを算定。
- リスク評価:基準と比較し、対応の優先順位を決定。
🎯 リスク対応の4分類(最重要)
| 対応策 | 内容 | 実務での具体例 |
|---|---|---|
| リスク回避 | リスクの要因そのものを止める | 個人情報を保持するシステムの運用をやめる。 |
| リスク低減 | 発生確率や損害を減らす | ファイアウォールの設置、バックアップの取得。 |
| リスク移転 | 他者に肩代わりしてもらう | サイバー保険加入、業務の外部委託(アウトソース)。 |
| リスク保有 | 受容し、そのままにする | 対策費用が被害額より高い場合、経営判断で受け入れる。 |
4. 📜 セキュリティ評価基準と関連機関
- ISO/IEC 15408 (CC):IT製品の評価基準。EAL1〜7で評価。
- JIS Q 27001 (ISMS):組織のマネジメント認証。27002は実践規範(ガイドライン)。
- CVSS:脆弱性の深刻度評価。v4.0では「基本・現状・環境・補足」の4基準。
- JPCERT/CC:日本の窓口CSIRT。トリアージや助言を行う。
- J-CRAT:標的型サイバー攻撃に対応するサイバーレスキュー隊。
- CRYPTREC:電子政府推奨暗号リストの監視・検討。
- ISMAP:政府がクラウドサービスを調達するためのセキュリティ評価制度。
📝 まとめ:これだけは覚える要点リスト
- ✅ SQLインジェクションは「プレースホルダ」で防ぐ。
- ✅ DNSキャッシュポイズニングは「DNSSEC」で防ぐ。
- ✅ リフレクタ攻撃は「UDP」を悪用した送信元偽装攻撃。
- ✅ リスク分析には定量的評価(損失額×確率)と定性的評価がある。
- ✅ 不正のトライアングルは「機会・動機・正当化」が揃うと発生する。
- ✅ シャドーITは許可なくオンラインストレージ等を使う人的脆弱性。
✍️ 午後試験直結!記述解答の「定型文」リスト
応用情報技術者試験の記述問題で、得点に直結するキーワードを含んだ公式に近い解答パターンです。
Q. SQLインジェクション対策で「バインド機構」を用いる理由は?
解答例:ユーザーからの入力値を「命令」ではなく、単なる「データ」として強制的に処理させるため。
Q. DNSキャッシュポイズニング対策で「ソースポートをランダム化」する理由は?
解答例:DNS問い合わせ時の送信元ポート番号を固定せず、偽の応答パケットを送り込むための推測を困難にするため。
Q. ソーシャルエンジニアリングの「ダンプスターダイビング」とは何か?
解答例:ゴミ箱に捨てられた書類や記憶媒体を回収し、機密情報や個人情報を不正に入手する行為。
Q. XSS対策で「サニタイジング(エスケープ処理)」を行う目的は?
解答例:スクリプトとして機能する特殊文字を無効化し、ブラウザ上で意図しないスクリプトが実行されるのを防ぐため。
Q. リプレイ攻撃を防ぐために「ワンタイムパスワード」が有効な理由は?
解答例:一度使用した認証情報が無効になるため、盗聴したパスワードを再利用した不正ログインを防止できるから。
Q. サイドチャネル攻撃(タイミング攻撃)への根本的な対策は?
解答例:暗号化や復号の処理において、入力値や鍵の内容に関わらず処理時間が一定になるように実装する。
※「〜ため」「〜から」といった文末表現も、問いに合わせて調整してください。
☕ あとがき:セキュリティ学習の「その先」へ
ここまでお読みいただき、ありがとうございます。情報セキュリティの分野は、技術の進歩とともに「攻撃」と「防御」が常にアップデートされる、非常に変化の激しい領域です。
🌐 覚えておきたい周辺・背景知識
試験では、最新のキーワードとして「ゼロトラスト(何も信頼しない)」という考え方や、サプライチェーンの弱点を突く攻撃なども頻出しています。また、技術面だけでなく、「ISMS(情報セキュリティマネジメントシステム)」のような組織的なガバナンスがなぜ重要視されているのか、その背景にある「企業の社会的責任」という視点を持つと、記述問題での理解がより深まります。
応用情報技術者試験の合格はゴールではなく、ITプロフェッショナルとしてのスタートラインです。本記事で学んだ攻撃の仕組みやリスク管理の考え方は、設計・開発・運用のあらゆるフェーズで、あなたとあなたの組織を守る強力な武器になるはずです。
🏃 次のアクション:過去問の「セキュリティ」午後問題を1つ解いてみましょう!
インプットの直後にアウトプットを行うことで、知識は「知恵」に変わります。
この記事があなたの試験合格と、エンジニアとしてのスキルアップの一助となれば幸いです。
🧠 限界暗記!重要用語フラッシュカード(全20枚)
カードに触れる(ホバー/タップ)と、覚えるべき「核心」が表示されます。
SQLインジェクション対策
バインド機構(プレースホルダ)の利用。入力値を「データ」として扱う。
DNSキャッシュポイズニング
偽情報をキャッシュさせ偽サイトへ誘導。対策はDNSSECやソースポートランダマイズ。
リフレクタ攻撃
送信元を標的に偽装し、第三者のサーバから大量の応答を送りつける。UDPが悪用される。
X-Frame-Options
クリックジャッキング対策。外部サイトからのiframe読み込みを制限する。
サニタイジング
特殊文字を無効な文字列に置換(エスケープ)すること。
ディレクトリトラバーサル
相対パス「../」等を用いて非公開ファイルへアクセスを試みる攻撃。
MITB攻撃
ブラウザ内のマルウェアが通信を監視・改ざん。HTTPSでも防げない。
CSRF
利用者が意図しない操作(購入や退会など)を強制的に実行させる攻撃。
リスク回避
リスクの原因となる資産の保有や活動そのものをやめること。
リスク低減
セキュリティ対策を講じて、発生確率や被害規模を下げること。
リスク移転
保険加入やアウトソーシングにより、リスクの負担を他者に転嫁すること。
リスク保有
対策コストが見合わない場合等に、リスクを許容しそのままにすること。
耐タンパ性
チップ内の解析や改ざんを物理的に防ぐ能力。
不正のトライアングル
内部不正の3要素「機会」「動機」「正当化」。
CVSS
脆弱性の深刻度評価基準。基本・現状・環境・補足の基準で数値化。
JPCERT/CC
日本のCSIRT連絡窓口。インシデント報告の受付や支援を行う。
アンチパスバック
入室記録がない者の退出を許可しない、共連れ防止の物理的対策。
サイドチャネル攻撃
処理時間や消費電流など、外部に漏れる物理量から暗号鍵を推測する。
ISMAP
政府調達のためのクラウドサービスセキュリティ評価制度。
デジタルフォレンジックス
証拠性を保ったままデータの保全・収集・分析を行う技法。
⚠️ 試験で狙われる!「ひっかけ」一問一答
※クリック(タップ)すると正解と解説が表示されます。
Q1リスク分析は、リスクへの対応優先順位を決めるプロセスである。◯か✕か?▼
✕ 正解は:✕(それは「リスク評価」)
解説:「リスク分析」はリスクの大きさを推定する工程。「リスク評価」は分析結果をリスク基準と比較して、対応の要否や優先順位を判断する工程です。
解説:「リスク分析」はリスクの大きさを推定する工程。「リスク評価」は分析結果をリスク基準と比較して、対応の要否や優先順位を判断する工程です。
Q2SQLインジェクションの根本対策として「サニタイジング」は最適である。◯か✕か?▼
✕ 正解は:✕(最適は「バインド機構」)
解説:サニタイジングは「場当たり的」な対応になりがちです。応用情報では、SQL文の構造を固定する「プレースホルダ(バインド機構)」の使用が根本対策とされます。
解説:サニタイジングは「場当たり的」な対応になりがちです。応用情報では、SQL文の構造を固定する「プレースホルダ(バインド機構)」の使用が根本対策とされます。
Q3DNSリフレクタ攻撃において、攻撃対象へ大量パケットを送るのは攻撃者本人である。◯か✕か?▼
✕ 正解は:✕(送るのは「踏み台にされたサーバ」)
解説:攻撃者は「送信元を標的のIPに偽装した問い合わせ」を送るだけです。実際に大量の応答パケットを標的に浴びせるのは、踏み台にされたDNSサーバ(リフレクタ)です。
解説:攻撃者は「送信元を標的のIPに偽装した問い合わせ」を送るだけです。実際に大量の応答パケットを標的に浴びせるのは、踏み台にされたDNSサーバ(リフレクタ)です。
Q4「リスク移転」には、サイバー保険への加入のほか、アウトソーシングも含まれる。◯か✕か?▼
◯ 正解は:◯(正しい)
解説:リスクを自社以外(保険会社や委託先)に引き受けてもらうのが移転です。ただし、「責任」まで完全に移転できるわけではない点に注意。
解説:リスクを自社以外(保険会社や委託先)に引き受けてもらうのが移転です。ただし、「責任」まで完全に移転できるわけではない点に注意。
Q5CVSSの評価において、値が大きいほど脆弱性の深刻度は低い。◯か✕か?▼
✕ 正解は:✕(大きいほど深刻度が高い)
解説:CVSSは0.0〜10.0のスコアで表され、数値が大きいほど(10.0に近いほど)緊急度・深刻度が高いことを示します。
解説:CVSSは0.0〜10.0のスコアで表され、数値が大きいほど(10.0に近いほど)緊急度・深刻度が高いことを示します。
間違いやすい「用語の定義」を正確に把握することが、午前合格の近道です!
📚 セキュリティ重要用語・網羅解説リスト(完全版)
💥 攻撃手法(Web・ソフトウェア・誘導)
バッファオーバフロー攻撃 メモリの許容範囲を超えるデータを送り込み、リターンアドレス等を書き換えて悪意あるコードを実行させる。
ディレクトリトラバーサル攻撃 相対パス(../等)を悪用し、Web公開されていない上位ディレクトリのファイル(設定ファイル等)を奪取する。
SQLインジェクション攻撃 入力値にSQL文の一部を注入し、DBの不正閲覧や削除を行う。対策はサニタイジングやバインド機構。
OSコマンドインジェクション攻撃 Perlのsystem関数やPHPのexec関数等に渡される文字列を操作し、OSコマンドを不正実行させる。
クロスサイトスクリプティング攻撃 Webブラウザを介して脆弱なサイトにスクリプトを送り込み、閲覧者のブラウザ上で実行させて情報を盗む。
フィッシング / スミッシング攻撃 実在企業を装ったメールやSMSで偽サイトへ誘導し、情報を盗む。SMSを使うものがスミッシング。
オープンリダイレクト脆弱性脆弱性 リダイレクト先を外部から指定できる処理の不備。フィッシングサイトへの誘導に悪用される。
SEOポイズニング攻撃 検索結果の上位に悪意あるサイトを意図的に表示させ、ユーザーを誘導する手法。
ドライブバイダウンロード攻撃 Webサイトを閲覧しただけで、ユーザーが気づかないうちに不正プログラムをダウンロード・実行させる。
クリックジャッキング攻撃 透明なiframeを重ね、意図しないリンクやボタンをクリックさせる。対策はX-Frame-Optionsの設定。
クリプトジャッキング攻撃 マルウェア感染等により、他人のPCのCPU資源を勝手に暗号資産のマイニングに利用する。
Adversarial Examples攻撃 画像等に知覚できないノイズを加え、AIモデル(画像認識等)を意図的に誤認識させる攻撃。
RLTrap (RLO)攻撃 制御文字RLO(右から左へ表示)を悪用し、「cod.exe」を「exe.doc」のようにファイル名を偽装する。
🌐 ネットワーク・標的型・特殊攻撃
DNSキャッシュポイズニング攻撃 DNSのキャッシュ機能に偽のドメイン情報を覚え込ませる。対策はDNSSECの導入やIDのランダム化。
オープンリゾルバ不備 外部の不特定多数からの再帰的問合せを許可しているDNSサーバ。DDoS攻撃の踏み台にされる。
リフレクタ(反射)攻撃攻撃 送信元を標的に偽装してサーバに問合せを送り、その応答パケットを標的に集中させる。UDPが狙われる。
DNS amp / NTP増幅攻撃攻撃 リフレクタ攻撃の一種。問合せに対し、何十倍ものサイズの応答パケットを標的に送らせる。
Smurf攻撃攻撃 送信元を標的に偽装したICMPエコー要求をブロードキャストし、大量の応答で標的を過負荷にする。
DoS / DDoS攻撃攻撃 大量のデータや不正データを送りつけサービスを妨害する。複数台から行うのがDDoS。
SYN Flood / ICMP Flood攻撃 SYNパケットやPingを大量に送り、サーバの接続リソースや帯域を使い果たさせる攻撃。
標的型攻撃 / APT攻撃 特定の組織を狙い、執拗に継続される攻撃。APT(Advanced Persistent Threat)とも呼ばれる。
水飲み場型攻撃攻撃 標的がよく利用するWebサイトに罠を仕掛け、アクセスした時だけ攻撃コードを実行させる。
やり取り型攻撃攻撃 無害なメールで信頼関係を築いた後、ウイルス付きメールを送って感染させる。
ビジネスメール詐欺 (BEC)攻撃 巧みな騙しで偽のメールを送り、従業員に攻撃者の口座へ送金させる詐欺行為。
中間者 (MITM) 攻撃攻撃 通信者間に割り込み、気づかれないよう盗聴や改ざんを行うパケットリレー型攻撃。
MITB攻撃攻撃 ブラウザに侵入したマルウェアが、HTTPS通信を監視・改ざんする。通信経路上での防御が困難。
リプレイ攻撃攻撃 盗聴した認証情報をそのまま再利用して不正ログインを行う。ワンタイムパスワードが有効な対策。
SSL/TLSダウングレード攻撃攻撃 通信を脆弱な暗号スイート(TLS 1.2以前等)に強制し、解読しやすくさせる攻撃。
サイドチャネル攻撃物理 装置の処理時間(タイミング攻撃)、消費電流、電磁波等の物理量から機密情報を推測する。
テンペスト技術物理 ディスプレイやケーブルから漏洩する微弱な電磁波を傍受して情報を盗む。シールドが対策。
ソーシャルエンジニアリング人的 盗み聞きやダンプスターダイビング(ゴミ拾い)等、非電子的な方法で情報を盗む手法。
📊 リスクマネジメント・管理基準
リスクアセスメント管理 リスク特定、リスク分析、リスク評価を網羅するプロセス全体のこと。
リスクレベル定義 JIS Q 27000で定義。「結果とその起こりやすさの組合せ」として表現される。
純粋リスク / 投機的リスク分類 損失のみのリスクと、利益の可能性も伴うリスク。リスク分析では両方が対象。
定量的評価 / 定性的評価手法 損失額×確率で算出するのが定量、資産価値や脅威を相対値で評価するのが定性的手法。
リスク回避 / 低減 / 移転 / 保有対応 リスク対応の4類型。保険は移転(ファイナンス)、対策コスト大でそのままにするのは保有。
ISO/IEC 15408 (CC)製品 IT製品のセキュリティ評価基準。EAL1〜7の段階があり、PPやSTを作成して認証を受ける。
ISMS / JIS Q 27001 / 27002組織 組織のセキュリティ管理体制。27001が認証基準、27002がガイドライン(実践規範)。
不正のトライアングル理論 内部不正の3要素「機会・動機・正当化」。全て揃うと不正が発生しやすくなる。
シャドーIT不備 IT部門の許可を得ず、従業員が勝手に業務利用しているデバイスやクラウドサービス。
🛠️ 技術対策・評価指標・関連機関
ペネトレーションテスト手法 実際に侵入を試みる擬似攻撃テスト。カオスエンジニアリングとして運用に応用も。
デジタルフォレンジックス手法 不正アクセスの証拠データを保全、収集、分析する法的な技法。
耐タンパ性能力 内部の機密情報を物理的・論理的に解析や改変から保護する能力。
アンチパスバック / TPMOR物理 共連れ防止や「最低2名以上」のルールによる物理的な入退室管理。
CVSS指標 共通脆弱性評価システム。基本、現状、環境、(v4.0では補足)の基準で評価。
CVE / CWE / CCE識別 脆弱性個別のID(CVE)、種類(CWE)、共通設定項目(CCE)を体系化した識別子。
CSIRT / JPCERT/CC / J-CRAT機関 インシデント対応組織。JPCERT/CCは日本の窓口、J-CRATは標的型攻撃レスキュー隊。
CRYPTREC / ISMAP制度 電子政府推奨暗号の評価プロジェクト(CRYPTREC)と政府クラウド評価制度(ISMAP)。
OP25B / ベイジアンフィルタメール 迷惑メール対策。25番ポート遮断や統計理論による迷惑メールの自動判定。
© 2026 Gemini IT Partners - 応用情報技術者試験 対策シリーズ
この記事へのコメント