いつかのプログラムと情報セキュリティ学習についてはこちらから。
一通り、「令和7年度ITパスポート超効率の教科書+よく出る問題集」の学習を終え、情報セキュリティの英単語の略語とキーワードの再学習を行うことにしました。
ちょっとズルをして、ChatGPT師匠に答えを聞いたものをまとめてみました。
ITパスポート学習記録~情報セキュリティ番外編~
情報セキュリティ
英単語
Bot攻撃(roBot attack)
ボット(自動化されたプログラム)を利用して、不正アクセスやスパム送信、DoS攻撃などを行うサイバー攻撃。感染したコンピュータは攻撃者の指示で一斉に動作し、大規模な攻撃に悪用される。
DoS攻撃(Denial of Service attack)
特定のサーバーやネットワークに大量のリクエストを送信し、処理能力を圧迫して正常なサービス提供を妨害する攻撃。システムダウンや遅延を引き起こすが、単一の攻撃元から行われるのが特徴。
DDoS攻撃(Distributed Denial of Service attack)
複数の攻撃元(ボットネットなど)を利用してDoS攻撃を行う手法。分散された攻撃元からの大量のリクエストにより、ターゲットのサーバーを過負荷状態にして機能不全にする。
IDS(Intrusion Detection System)
ネットワークやシステムへの不正アクセスや攻撃を検知するシステム。異常なトラフィックや攻撃の兆候を監視・記録し、管理者に通知するが、攻撃を自動で防御する機能は持たない。
IPS(Intrusion Prevention System)
IDSの機能に加え、検知した攻撃を自動的に遮断・防御するシステム。不正な通信をブロックし、ファイアウォールと組み合わせてネットワークのセキュリティを強化する。
WAF(Web Application Firewall)
Webアプリケーションへの攻撃(SQLインジェクションやXSSなど)を検知・防御するファイアウォール。アプリケーション層での攻撃対策を強化し、Webサービスのセキュリティを向上させる。
SSID(Service Set Identifier)
Wi-Fiネットワークの識別名で、無線LANのアクセスポイントごとに設定される。SSIDを非公開にすることで、不正アクセスのリスクを軽減できるが、完全なセキュリティ対策にはならない。
WPA2(Wi-Fi Protected Access 2)
Wi-Fiの暗号化規格で、強固なセキュリティを提供する方式。AES暗号を採用し、古いWEPよりも高い安全性を持つが、現在はWPA3がより強固な暗号化として推奨されている。
DMZ(DeMilitarized Zone)
インターネットと社内ネットワークの中間に設ける安全な領域で、公開サーバーを配置するために使用される。外部からの攻撃を直接社内ネットワークに届かせないようにする役割を持つ。
VPN(Virtual Private Network)
インターネット上に仮想的な専用回線を構築し、安全にデータ通信を行う技術。通信の暗号化により、遠隔地からの社内システムアクセスや、プライバシー保護に利用される。
SSL(Secure Sockets Layer)
インターネット上の通信を暗号化し、データの盗聴や改ざんを防ぐプロトコル。主にWebサイトのHTTPS通信で使用されていたが、脆弱性が指摘され、現在は後継のTLSに置き換えられている。
TLS(Transport Layer Security)
SSLの後継となる暗号化プロトコルで、通信の安全性を向上させた規格。TLS 1.2やTLS 1.3が広く使用され、WebサイトのHTTPS通信やVPNなど、さまざまなセキュリティ用途で利用される。
キーワード
情報資産
企業や個人が持つ価値のある情報(データ、システム、設備など)。適切な管理や保護が求められ、不正アクセスや漏洩のリスクがある。
情報セキュリティ
情報資産を保護するための技術や対策の総称。機密性・完全性・可用性を確保し、不正アクセスやサイバー攻撃から情報を守る。
盗聴
通信内容を第三者が不正に傍受する行為。暗号化技術(TLS/SSLなど)を利用することで、盗聴のリスクを低減できる。
改ざん
データやシステムが不正に変更されること。攻撃者がデータを書き換えることで、偽情報の拡散やシステムの誤動作を引き起こす。
破壊
情報システムやデータを意図的に消去・破損させる行為。ハードウェア障害やサイバー攻撃(ランサムウェアなど)によって発生する。
情報セキュリティポリシー
企業や組織が情報セキュリティを維持するための基本的な方針。ポリシー・基準・手順の3つで構成され、従業員の遵守が求められる。
基本方針(ポリシー)
情報セキュリティの目的や管理方針を示す最上位のルール。組織全体の指針として、経営層が定めることが多い。
対策基準(スタンダード)
セキュリティを確保するための具体的な基準やガイドライン。パスワード管理やアクセス制御などのルールを明確化する。
実施手順(プロシージャ)
対策基準を実際に運用するための具体的な手順書。システム管理やインシデント対応の方法を定め、現場での実践を支援する。
サプライチェーン攻撃
取引先や関連企業を経由して標的の企業へ攻撃を仕掛ける手法。脆弱なサプライヤーを狙い、マルウェアを拡散させるケースが多い。
ペネトレーション
システムの脆弱性を実際に攻撃して検証する「侵入テスト」。企業が自社のセキュリティ対策の有効性を確認するために実施する。
セキュリティ・バイ・デザイン
システム開発の初期段階からセキュリティ対策を組み込む考え方。後付けではなく、設計時点でリスクを最小限に抑えることが重要。
サイバーキルチェーン
攻撃者がサイバー攻撃を成功させるまでの7つのステップを示すモデル。「探偵」から「目的達成」までの流れを分析し、対策を立てる。
探偵(偵察)
攻撃対象の情報収集を行う段階。企業の公開情報やSNS、脆弱なシステムを調査し、攻撃の準備を進める。
武器化
攻撃に利用するマルウェアやエクスプロイトコードを開発・準備する段階。攻撃対象の脆弱性に適した手法を選定する。
配送
標的にマルウェアを送り込む段階。フィッシングメールや悪意あるWebサイトを利用し、攻撃対象のシステムに侵入を試みる。
攻撃
実際にマルウェアや不正コードを実行し、システムへの侵入を行う段階。脆弱性を突いて権限昇格やデータ窃取を行うことがある。
インストール
侵入後にバックドアやマルウェアを設置し、攻撃者が継続的にアクセスできる環境を構築する段階。
遠隔操作
攻撃者が侵入したシステムを制御し、データ窃取や追加攻撃を実行する段階。ボットネット化する場合もある。
目的達成
機密情報の窃取、システム破壊、金銭要求など、攻撃者の目的を達成する段階。ランサムウェアやデータ漏洩などが該当する。
デジタルフォレンジックス
サイバー犯罪や不正アクセスの証拠を収集・分析する技術。PCやネットワークのログを解析し、攻撃の経路や被害状況を特定する。
人的脅威
内部の従業員や関係者による情報漏洩や不正行為。悪意のある行動や、誤操作によるセキュリティリスクが含まれる。
ソーシャルエンジニアリング
人間の心理を利用してパスワードや機密情報を盗み出す手法。詐欺電話やなりすましメールが典型例。
ショルダーハッキング
他人がパスワード入力や機密情報を覗き見する行為。ATMやオフィスでの注意が必要。
トラッシング
ゴミ箱から捨てられた書類や記録媒体を拾い、機密情報を入手する手法。適切なシュレッダー処理が重要。
クラッキング
不正にシステムへ侵入し、データの破壊や改ざんを行う行為。倫理的に許される「ハッキング」とは異なる。
フィッシング
偽のメールやWebサイトを使い、ユーザーのID・パスワード、クレジットカード情報などを盗む詐欺手法。銀行や有名企業を装うケースが多く、対策としては公式サイトのURL確認や二要素認証の活用が有効。
廃棄時の情報漏洩防止策
不要になったデータや機器を安全に処理し、情報漏洩を防ぐ対策。データ消去ソフトの使用、物理破壊(ハードディスクの破砕)やシュレッダー処理が一般的。
物理的脅威
地震や火災、盗難など、物理的な要因によって情報資産が損害を受けるリスク。データセンターの耐震構造や、防犯カメラ・入退室管理によるセキュリティ対策が重要。
技術的脅威
コンピュータウイルスやハッキング、ゼロデイ攻撃など、技術を悪用したサイバー攻撃によるリスク。ファイアウォール、ウイルス対策ソフト、暗号化などの技術で防御する。
コンピュータウイルス
自己増殖や他のプログラムへ感染し、データの破壊や盗難を行う悪意のあるプログラム。感染を防ぐには、セキュリティソフトの導入や不審なファイルの開封を避けることが重要。
ワーム
単体で動作し、ネットワークを通じて自己増殖するマルウェア。感染が拡大しやすく、システムの動作を遅くしたり、企業ネットワーク全体に影響を与えることがある。
スパイウェア
ユーザーの行動を密かに監視し、個人情報やパスワードを外部に送信するマルウェア。無料ソフトのインストール時に混入することが多く、注意が必要。
トロイの木馬
有用なソフトウェアを装って侵入し、内部で不正な動作を行うマルウェア。単独で増殖はしないが、バックドアを作成したり、個人情報を盗む目的で使われる。
キーロガー
キーボード入力を記録し、ユーザーのID・パスワードなどを盗み取る不正プログラム。オンラインバンキングやSNSの認証情報を狙うことが多い。
バックドア
攻撃者が不正アクセスを行うためにシステム内に作成する裏口。正規のセキュリティ対策を回避し、管理者の知らない間に侵入を続ける。
ランサムウェア
感染したPCのデータを暗号化し、解除のために金銭(身代金)を要求するマルウェア。バックアップの保持や、不審なメールの添付ファイルを開かないことが重要な対策となる。
セキュリティホール
システムやソフトウェアに存在する脆弱性(セキュリティ上の欠陥)。攻撃者はこれを悪用して不正アクセスを行うため、定期的なアップデートが必要。
クロスサイトスクリプティング(XSS)
悪意のあるスクリプトをWebサイトに仕込み、訪問者のブラウザで実行させる攻撃。Cookieの盗難やフィッシング詐欺に悪用される。
SQLインジェクション
Webアプリケーションのデータベース処理の脆弱性を突き、不正なSQL文を実行させる攻撃。データの改ざんや漏洩につながるため、入力値の適切な検証が必要。
ゼロデイ攻撃
脆弱性が発見された直後、修正パッチが提供される前に行われる攻撃。対策としては、最新のセキュリティ更新を適用し、IPS/IDSの導入が推奨される。
バッファオーバーフロー攻撃
プログラムが処理できる以上のデータを送り込み、メモリ領域を破壊してシステムを乗っ取る攻撃。適切なメモリ管理と境界チェックが重要な対策となる。
辞書攻撃
一般的に使われる単語やフレーズを試行し、パスワードを破る攻撃。強力なパスワード(長く、ランダムな文字列)を設定することで防げる。
総当たり攻撃(ブルートフォース攻撃)
あらゆる組み合わせのパスワードを順番に試し、ログインを突破しようとする攻撃。アカウントロック機能や二要素認証が有効な対策。
パスワードリスト攻撃
流出したID・パスワードのリストを用いて、他のサービスに不正ログインを試みる攻撃。異なるパスワードを使い回さないことが重要。
情報セキュリティマネジメントシステム(ISMS)
情報セキュリティを管理・運用するための仕組み。リスク評価やポリシー策定を行い、継続的に改善することが求められる。
機密性
許可された人だけが情報にアクセスできる性質。暗号化やアクセス制御により、データの漏洩を防ぐ。
完全性
データが正しく保たれ、改ざんや誤操作が行われていないことを保証する性質。チェックサムやデジタル署名で検証する。
可用性
必要なときに情報やシステムを利用できる性質。障害対策や冗長化を行い、システム停止を最小限に抑えることが重要。
真正性
情報が正当な発信元によるものであることを保証する性質。デジタル証明書や電子署名が真正性の確認に使われる。
信頼性
システムやデータが正確であり、期待通りに動作する性質。誤動作を防ぐための品質管理やテストが求められる。
責任追跡性
誰が、いつ、どのような操作を行ったかを記録し、追跡できる性質。ログ管理やアクセス監視が重要な対策となる。
否認防止
ユーザーが行った操作や取引を後から否定できないようにする性質。電子署名やタイムスタンプがよく用いられる。
不正のトライアングル
犯罪が発生する要因として、「機会」「動機」「正当化」の3要素が揃うことを示す概念。企業では内部不正を防ぐため、適切な監査や内部統制が求められる。
機会
不正行為を実行できる環境や状況が存在すること。アクセス権の適切な管理や監視体制の強化により、不正の機会を減らすことができる。
動機
経済的困窮や業績プレッシャーなど、不正を行う理由や動機があること。従業員のメンタルケアや公正な評価制度の導入が抑止策となる。
正当化
不正を働くことに対して、自分を納得させる考え方。不満や自己正当化を防ぐため、公平な職場環境を整え、倫理教育を徹底することが重要。
ワンタイムパスワード
1回限り有効な使い捨てパスワードで、固定パスワードのリスクを軽減する認証方法。スマホアプリやメール・SMSで送信されることが多い。
コールバック
ユーザーが入力した情報を確認のために再入力させる、またはシステム側から本人確認のために連絡を行う方式。不正利用防止のための認証手段として用いられる。
バイオメトリクス認証
指紋・虹彩・顔認識などの生体情報を用いた本人認証技術。パスワード不要で利便性が高いが、データ流出時のリスクが大きいため慎重な管理が必要。
2要素認証
異なる2つの認証手段(知ってる「知識」、持ってる「所持」、有してる「生体認証」のいずれか2つ)を組み合わせることで、セキュリティを強化する方式。不正ログインを防ぐ有効な手段として広く採用されている。
ファイアウォール
ネットワークの境界で通信を監視し、不正なアクセスを遮断するセキュリティ機能。ソフトウェア型とハードウェア型があり、内部ネットワークの保護に重要な役割を持つ。
セキュアブート
OSの起動時に改ざんや不正プログラムの介入を防ぐ機能。デジタル署名を用いた認証により、信頼されたソフトウェアのみが実行される。
MACアドレスフィルタリング
特定のMACアドレス(機器固有の識別番号)を持つデバイスのみがネットワークに接続できるよう制限するセキュリティ対策。不正端末の接続を防ぐ手段の一つ。
耐タンパ性
ハードウェアやソフトウェアが不正な改ざんや解析を防ぐ仕組みを持つこと。ICカードや暗号化チップなどに搭載され、セキュリティ強化に貢献する。
情報の暗号化
データを特定のアルゴリズムを用いて変換し、第三者が解読できないようにする技術。通信の盗聴やデータ漏洩を防ぐ重要なセキュリティ対策。
共通鍵暗号方式
暗号化と復号に同じ鍵を使用する方式。AESなどが代表例で、処理が高速だが、鍵の安全な共有が課題となる。
公開鍵暗号方式
暗号化と復号に異なる鍵(公開鍵・秘密鍵)を使用する方式。鍵の管理がしやすく、電子署名やSSL/TLS通信に利用される。
デジタル署名
送信されたデータが改ざんされていないことを保証し、送信者の真正性を確認する技術。公開鍵暗号を利用し、電子文書の信頼性を高める。
デジタル証明書
認証局(CA)が発行する電子的な証明書で、特定の公開鍵が正当なものであることを証明するもの。SSL/TLS通信でのサイト認証などに利用される。
Ankiアプリ用データ
以下のサイトより、Ankiアプリで活用できるITパスポートのストラテジ系+マネジメント系+テクノロジ系の暗記データがダウンロードできます。
パスワードは半角で、「shirakawa」です。
ぜひ、学習にご活用ください。
ファイル名:ITパスポート(ストラテジ系、マネジメント系、テクノロジ系).apkg
上のファイルがうまく適用できなかった場合はこちらをダウンロードしてみてください。
ファイル名:コレクション-2025-02-18@14-19-12.colpkg
Ankiアプリの使い方
Ankiアプリの簡単な使い方をご紹介しています。ぜひ、ご一読ください。
合わせて読みたい
参考文献
今回、学習用として参考にさせていただいているのがこちらの教本です。AmazonではPDF版もあるようです。セクションごとにQRコードを読み取って小テストを受けることができ、学習の確認もできて頼りがいのある一冊です。また、YouTubeでの解説動画もありますので、そちらも参考に学習を進めると良いでしょう。
ポチップ
コメント