ITパスポート「テクノロジ系（セキュリティ）」の出題ポイント解説

ITパスポートで年々比重が増しているのが情報セキュリティ分野です。テクノロジ系約50問のうち10問前後が情報セキュリティから出題され、社会インフラのデジタル化に伴い実務的な対策知識が問われるようになっています。頻出パターンを押さえて確実に得点しましょう。

この章の重要度

近年のITパスポートでは情報セキュリティ関連が10問以上出題されるケースが珍しくなく、合格の鍵を握る分野となっています。技術知識だけでなく、社内ルール・個人情報保護・インシデント対応など実務的な観点からの出題も増加。最新の脅威（ランサムウェア・標的型攻撃・サプライチェーン攻撃）への理解も必須です。

頻出トピック一覧

1. 情報セキュリティの3要素（CIA）

機密性（認可された者のみアクセス可）、完全性（改ざんされない）、可用性（必要時に使える）。追加4要素（真正性・責任追跡性・否認防止・信頼性）を含めた7要素フレームも近年出題。

2. 暗号技術（共通鍵・公開鍵・ハッシュ）

共通鍵暗号（AES・DES）：高速だが鍵配送問題あり。公開鍵暗号（RSA・楕円曲線）：暗号化＝公開鍵、復号＝秘密鍵。ハッシュ関数（SHA-256）：不可逆変換、改ざん検知に利用。ハイブリッド暗号方式（SSL/TLS）も頻出。

3. 認証技術（多要素認証・生体認証・SSO）

3要素認証：知識（パスワード）・所持（トークン）・生体（指紋・顔）。多要素認証（MFA）、シングルサインオン（SSO）、ワンタイムパスワード（OTP）、リスクベース認証の概念。

4. デジタル署名と電子証明書・PKI

デジタル署名：送信者の秘密鍵で署名→受信者が公開鍵で検証。認証局（CA）が発行する電子証明書、PKI（公開鍵基盤）、SSL/TLSサーバ証明書の役割。

5. サイバー攻撃の種類

マルウェア（ウイルス・ワーム・トロイの木馬・ランサムウェア・スパイウェア）、標的型攻撃、フィッシング、SQLインジェクション、クロスサイトスクリプティング（XSS）、DDoS攻撃、ゼロデイ攻撃、サプライチェーン攻撃の手口と対策。

6. セキュリティ対策機器・技術

ファイアウォール（パケットフィルタリング）、IDS（侵入検知）・IPS（侵入防止）、WAF（Webアプリ保護）、DMZ（非武装地帯）、VPN（仮想プライベートネットワーク）、EDR（エンドポイント検知対応）。

7. 情報セキュリティマネジメント（ISMS）

ISMS（ISO/IEC 27001）の要求事項、PDCAサイクル、情報セキュリティポリシー（基本方針・対策基準・実施手順）、リスクマネジメント（識別→分析→評価→対応）、リスク対応4つ（回避・低減・移転・受容）。

8. 関連法規・CSIRT

不正アクセス禁止法、サイバーセキュリティ基本法、個人情報保護法の安全管理措置、CSIRT（インシデント対応組織）、SOC（監視組織）、IPAの公開する脅威レポート。

覚え方のコツ

セキュリティ分野は「攻撃手法と対策の対応表」を作るのが最強。例えばSQLインジェクション＝入力値エスケープ、XSS＝出力時エスケープ、CSRF＝ワンタイムトークン、のようにセット暗記。暗号技術は「共通鍵＝速いが鍵配送の問題、公開鍵＝遅いが鍵配送問題解決、ハイブリッド＝両方のいいとこ取り」の流れで理解。多要素認証の3要素は「知って・持って・体で」と語呂記憶。CIA3要素は「きかんか（機完可）」、ISMSリスク対応は「回減移受」（かいげんいじゅ）で暗記。マルウェアの区分（ウイルス＝寄生、ワーム＝自己複製、トロイ＝偽装）は「感染スタイル」で分類すると覚えやすい。ランサムウェアなど新しい攻撃手法はIPAの10大脅威レポートが出典源なので、最新版を一読しておくと新問題にも対応可能です。

よくあるひっかけ

セキュリティ分野の頻出ひっかけ。①公開鍵暗号の鍵使用：暗号化＝相手の公開鍵、復号＝自分の秘密鍵。デジタル署名では逆（署名＝自分の秘密鍵）。②IDSとIPSの違い：IDS＝検知のみ（アラート）、IPS＝検知＋遮断。③ファイアウォールとWAF：FW＝ネットワーク層、WAF＝アプリケーション層（Web）。④生体認証の本人拒否率・他人受入率：FRR（本人拒否）とFAR（他人受入）はトレードオフ関係、両方ゼロは不可能。⑤共通鍵暗号の鍵数：n人で相互通信にはn(n-1)/2個の鍵が必要（組合せ）。⑥ハッシュ関数の特徴：不可逆・同じ入力は同じ出力・入力が1bit変われば出力が大きく変わる。⑦ソーシャルエンジニアリング：技術的攻撃ではなく人間の心理を突く手口（なりすまし電話・肩越し覗き見）で、ITシステムではなく教育で対策。⑧CSIRTの役割：事前予防ではなくインシデント発生時の対応（検知・分析・封じ込め・復旧・事後対策）。