📅 公開日:2026年3月20日
【応用情報技術者試験】セキュリティ完全解説|暗号化・PKI・攻撃手法を体系的に理解する
応用情報技術者試験において、セキュリティ分野は午前・午後ともに必出のテーマです。暗号化の仕組み、公開鍵基盤(PKI)、そして多様な攻撃手法まで、幅広い知識が求められます。本記事では試験頻出のセキュリティ知識を体系的に整理します。
1. 暗号化の基礎
なぜ暗号化が必要か
インターネット上のデータのやり取りは、郵便ポストに投函した手紙のようなものです。封筒に入れず(暗号化なし)送れば、途中で誰でも中身を読めてしまいます。暗号化とは、データを特定の鍵がなければ読めない形式に変換することで、第三者による盗聴・改ざんを防ぐ仕組みです。
共通鍵暗号方式
送信者と受信者が同じ鍵で暗号化・復号する方式です。
- 長所:処理が高速
- 短所:鍵を安全に相手に渡す手段(鍵配送問題)が難しい
- 代表的なアルゴリズム:AES(現在の標準)、DES(旧来、現在は非推奨)、3DES
南京錠に例えると、送受信者が同じ鍵のコピーを持っているイメージです。問題は「最初にどうやって鍵を渡すか」です。
公開鍵暗号方式
公開鍵(誰でも使える)と秘密鍵(本人だけが持つ)のペアを使う方式です。
- 公開鍵で暗号化 → 秘密鍵でのみ復号できる
- 秘密鍵で署名 → 公開鍵で署名の正当性を検証できる
- 長所:鍵配送問題が解決される
- 短所:処理が遅い(共通鍵の約1000倍)
- 代表的なアルゴリズム:RSA、楕円曲線暗号(ECC)
郵便受けに例えると、公開鍵は「誰でも手紙を投函できる郵便受けの投入口」、秘密鍵は「郵便受けを開けられる本人だけが持つ鍵」です。
ハイブリッド暗号方式
公開鍵暗号の「鍵配送問題が解決される」メリットと、共通鍵暗号の「高速」メリットを組み合わせた方式です。
- 共通鍵を公開鍵暗号で安全に交換する
- 実際のデータ通信は共通鍵暗号で行う
HTTPSはこのハイブリッド方式を採用しています。
| 比較項目 | 共通鍵暗号 | 公開鍵暗号 |
|---|---|---|
| 鍵の種類 | 1種類(共通) | 2種類(公開鍵・秘密鍵) |
| 処理速度 | 高速 | 低速 |
| 鍵配送問題 | あり | なし |
| 代表例 | AES, DES | RSA, ECC |
2. ハッシュ関数とデジタル署名
ハッシュ関数
ハッシュ関数とは、任意の長さのデータを固定長のハッシュ値(ダイジェスト)に変換する関数です。
- 同じデータからは必ず同じハッシュ値が得られる
- ハッシュ値から元データを復元できない(一方向性)
- データが1ビットでも変わるとハッシュ値が大きく変わる
- 代表例:SHA-256、SHA-3(MD5・SHA-1は現在は非推奨)
ハッシュ値は「データの指紋」と言えます。ファイルのダウンロード後にハッシュ値を確認することで、改ざんされていないかを検証できます。
デジタル署名
デジタル署名は「送信者の本人確認」と「データの改ざん検出」を同時に実現する仕組みです。
署名の手順:
- 送信者がデータのハッシュ値を計算する
- ハッシュ値を送信者の秘密鍵で暗号化する(これが署名)
- データと署名をセットで送る
検証の手順:
- 受信者が送信者の公開鍵で署名を復号し、ハッシュ値Aを得る
- 受信したデータのハッシュ値Bを計算する
- A と B が一致すれば「改ざんなし・送信者本人の署名」と確認できる
3. PKI(公開鍵基盤)
PKIとは
公開鍵暗号方式では「この公開鍵は本当にその人のものか?」という問題が残ります。PKI(Public Key Infrastructure)は、認証局(CA) が公開鍵の正当性を証明する仕組みです。
デジタル証明書(公開鍵証明書)
認証局が発行する「公開鍵の身分証明書」です。証明書には以下が含まれます。
- 所有者の情報(ドメイン名など)
- 所有者の公開鍵
- 認証局のデジタル署名
- 有効期限
パスポートに例えると、認証局は「国(外務省)」、デジタル証明書は「パスポート」、デジタル署名は「パスポートの偽造防止印」に相当します。
認証局(CA)の階層構造
PKIは階層構造になっています。
ルートCA(最上位・自己署名)
└── 中間CA
└── サーバ証明書(hidecker.com など)
ブラウザはルートCAの証明書をあらかじめ信頼リストに持っており、チェーンをたどって最終的にサーバ証明書を検証します。これを証明書チェーンと呼びます。
CRL と OCSP
証明書が期限前に無効化された場合の仕組みです。
- CRL(証明書失効リスト):失効した証明書のリストをCAが定期公開する
- OCSP:証明書の有効性をリアルタイムで問い合わせるプロトコル
4. 主な攻撃手法
マルウェアの種類
| 種類 | 特徴 |
|---|---|
| ウイルス | 他のプログラムに寄生して感染を広げる |
| ワーム | 自己増殖しネットワークを通じて拡散する |
| トロイの木馬 | 正常なプログラムに見せかけて悪意ある動作をする |
| ランサムウェア | ファイルを暗号化して身代金を要求する |
| スパイウェア | ユーザの情報を密かに収集・送信する |
| ルートキット | 管理者権限を奪い、侵入の痕跡を隠蔽する |
ソーシャルエンジニアリング
技術的な手段ではなく、人間の心理や行動の隙を突く攻撃手法です。
- フィッシング:本物に似せた偽サイトやメールで認証情報を騙し取る
- スミッシング:SMSを使ったフィッシング
- ビッシング:電話を使った詐欺
- 標的型攻撃メール:特定の組織・個人を狙った巧妙な偽メール
技術的な防御だけでなく、従業員教育が不可欠な理由がここにあります。
Webアプリケーションへの攻撃
SQLインジェクション
Webフォームなどに不正なSQL文を埋め込み、データベースを不正操作する攻撃です。
正常な入力:yamada
攻撃入力:' OR '1'='1
→ WHERE username='' OR '1'='1' が常にTRUEになりログイン回避
対策:プリペアドステートメント(パラメータ化クエリ)の使用
XSS(クロスサイトスクリプティング)
Webページに悪意あるスクリプトを埋め込み、閲覧者のブラウザで実行させる攻撃です。Cookie の窃取やフィッシングページへの誘導に使われます。
対策:出力時のHTMLエスケープ処理
CSRF(クロスサイトリクエストフォージェリ)
ログイン済みユーザに意図しない操作(送金・パスワード変更など)をさせる攻撃です。
対策:CSRFトークンの使用
ネットワークへの攻撃
DoS攻撃・DDoS攻撃
大量のリクエストを送りつけてサービスを停止させる攻撃です。DDoS は複数の踏み台(ボット)を使った分散型攻撃で、より規模が大きく対処が難しいです。
中間者攻撃(MITM)
通信の途中に割り込み、データの盗聴・改ざんを行う攻撃です。公衆Wi-Fiの偽アクセスポイント(Evil Twin)などが典型例です。
DNSキャッシュポイズニング
DNSサーバのキャッシュに偽の情報を書き込み、ユーザを偽サイトに誘導する攻撃です。
パスワード攻撃
| 種類 | 内容 |
|---|---|
| ブルートフォース攻撃 | すべての組み合わせを試す総当たり攻撃 |
| 辞書攻撃 | よく使われる単語・パスワードリストを使って試す |
| リスト型攻撃 | 他サービスから流出したIDとパスワードを使い回す |
| レインボーテーブル攻撃 | ハッシュ値から元のパスワードを逆引きする |
レインボーテーブル攻撃への対策がソルト(ハッシュ化前にランダム文字列を付加すること)です。
5. セキュリティ対策の仕組み
ファイアウォール
ネットワークの境界でパケットを検査し、許可・拒否するシステムです。
- パケットフィルタリング型:IPアドレス・ポート番号で制御(処理が速い)
- ステートフルインスペクション型:通信の状態(セッション)を追跡して制御
- WAF(Webアプリケーションファイアウォール):HTTPの中身を検査してSQLインジェクションやXSSを遮断
IDS と IPS
- IDS(侵入検知システム):不正アクセスを検知して通知する
- IPS(侵入防止システム):不正アクセスを検知して自動遮断する
IDSは「警備員が異常を報告する」、IPSは「警備員が自ら侵入者を止める」イメージです。
多要素認証(MFA)
認証の要素は3種類あります。
- 知識情報:パスワード、暗証番号
- 所持情報:スマートフォン、ICカード
- 生体情報:指紋、顔認証
2種類以上の要素を組み合わせることで、パスワード漏洩だけでは突破できなくなります。
6. 試験頻出の用語まとめ
| 用語 | 意味 |
|---|---|
| ゼロデイ攻撃 | パッチが公開される前の脆弱性を突く攻撃 |
| APT攻撃 | 特定の標的に長期間・継続的に行われる高度な攻撃 |
| ペネトレーションテスト | 疑似攻撃でシステムの脆弱性を発見するテスト |
| 脆弱性スキャン | 既知の脆弱性がないか自動でチェックするツール |
| SIEM | ログを一元管理してリアルタイムに脅威を検知するシステム |
| DMZ | 外部ネットワークと内部ネットワークの中間に置く隔離ゾーン |
| VPN | 公衆回線上に暗号化された仮想専用線を構築する技術 |
7. まとめ
セキュリティ分野は暗記事項が多いですが、「攻撃者がどんな隙を突くのか」という視点で理解すると記憶に残りやすくなります。
- 暗号化は共通鍵・公開鍵の使い分けとハイブリッド方式を押さえる
- PKIはデジタル証明書と認証局の役割を理解する
- 攻撃手法はSQLインジェクション・XSS・CSRFの違いを整理する
- 対策技術はファイアウォール・IDS/IPS・多要素認証を組み合わせて理解する
HiDeckerのセキュリティ問題で実際に問題を解いて、知識の定着を確認してみましょう。