応用情報技術者 ― セキュリティ 問題一覧・解説
全15問の問題文・選択肢・正解・解説を掲載しています。 フラッシュカード形式で実際に解いてみたい方は「練習する」ボタンをご利用ください。
🎴 フラッシュカードで練習する(15問)情報セキュリティの3要素(CIA)に含まれないものはどれか。
📝 解説
情報セキュリティの基本となるCIAの3要素をしっかり整理しましょう!C=機密性(Confidentiality)は「許可された人だけが情報にアクセスできる」性質です。金庫に重要書類を保管し鍵を持つ人しか開けられないイメージです。I=完全性(Integrity)は「情報が改ざんされず正確・完全である」性質です。データが途中で書き換えられていないことの保証です。A=可用性(Availability)は「必要なときに情報やシステムにアクセスできる」性質です。電力会社が24時間365日電気を供給できる状態を維持するようなイメージです。「信頼性(Reliability)」はシステムが故障なく安定して動作し続けるという概念で、情報セキュリティのCIAの3要素には含まれません。JIS Q 27001(ISO/IEC 27001)でもCIAの3要素として定義されており、真正性・責任追跡性・否認防止・信頼性を加えた7要素版もありますが、基本試験では「CIA=機密性・完全性・可用性の3つ」です。「信頼性はCIAに含まれない」という引っかけ問題に注意しましょう!',["信頼性"
第三者が本人になりすまして、Webサイトなどから個人情報を盗み出す攻撃を何と呼ぶか。
📝 解説
フィッシング(Phishing)とは「本物そっくりの偽のエサで魚(個人情報)を釣り上げる(Fishing)」攻撃です。実在する銀行・クレジットカード会社・ECサイトなどを装った偽のメールを送り、本物そっくりの偽サイトへ誘導して、ログインIDやパスワード・クレジットカード番号などを盗み取ります。「お客様のアカウントに不審なアクセスがありました。至急こちらから確認してください」という緊急性を演出した文面でURLをクリックさせる手法が典型例です。近年はSMS経由のスミッシング、音声電話のビッシングも急増しています。対策としては①メール内のURLではなく検索やブックマークから公式サイトへアクセスする、②送信元メールアドレスのドメインを確認する(微妙に違う偽ドメインに注意)、③多要素認証を有効にする、④疑わしいリンクは絶対にクリックしないことが重要です。「ブルートフォース攻撃」はパスワードの総当たり試行、「SQLインジェクション」はDBへの不正SQL挿入で、どちらもフィッシングとは攻撃の仕組みが全く異なります!',["フィッシング"
公開鍵暗号方式において、送信者が受信者に暗号化して送る際に使用する鍵はどれか。
📝 解説
公開鍵暗号方式は「南京錠と鍵」に例えると直感的に理解できます。受信者は自分の「南京錠(公開鍵)」を誰にでも配ります。送信者はその南京錠で箱を閉めて(公開鍵で暗号化して)送ります。この箱は南京錠に対応した「鍵(秘密鍵)」を持っている受信者だけが開けられます(秘密鍵で復号)。ポイントは「暗号化は受信者の公開鍵を使い、復号は受信者の秘密鍵を使う」ことです。これにより、秘密の鍵を直接やり取りしなくても安全に通信できます(共通鍵暗号の「鍵配送問題」の解決)。デジタル署名では使い方が逆になります。署名は「送信者の秘密鍵で署名(暗号化)し、送信者の公開鍵で検証(復号)」します。誤答の「送信者の公開鍵」はデジタル署名の検証に使うもの、「受信者の秘密鍵」は受信者だけが持つ復号用の鍵です。「暗号化送信=相手(受信者)の公開鍵で暗号化」「デジタル署名=自分(送信者)の秘密鍵で署名」というセットで覚えれば試験でも確実に正解できます!',["受信者の公開鍵"
デジタル署名を用いることで、防ぐことができる事象はどれか。
📝 解説
デジタル署名は「送信者本人が書いた電子サイン」で、「改ざん検知」と「なりすまし防止」の2つを同時に実現します。仕組みを順に説明します。①送信者は「文書のハッシュ値(文書の指紋)」を自分の秘密鍵で暗号化して署名を作ります。②文書と署名をセットで受信者に送ります。③受信者は送信者の公開鍵で署名を復号してハッシュ値を取り出し、自分で文書から計算したハッシュ値と比較します。④一致していれば「送信者は秘密鍵を持つ本人(なりすましでない)」かつ「文書は改ざんされていない」ことが証明されます。「盗聴防止(通信内容を第三者に見られない)」はデジタル署名の機能ではなく、公開鍵暗号による暗号化で実現します。ウイルス感染の防止や不正アクセスの防止もデジタル署名の範囲外です。TLSで使われているように実際の通信では「暗号化でプライバシーを守り、デジタル署名で真正性を証明する」という組み合わせが使われています。「改ざん+なりすまし防止=デジタル署名の2大機能」と覚えましょう!',["送信内容の改ざんと、送信者のなりすまし。"
標的型攻撃の対策として、組織内で不審なメールへの注意喚起などを行う教育はどの対策に分類されるか。
📝 解説
セキュリティ対策は大きく4種類に分類されます。工場のセキュリティで例えましょう。技術的対策はファイアウォールやウイルス対策ソフトなど「機械・システムによる対策」です。物理的対策は入退室管理や監視カメラなど「建物・設備による対策」です。組織的対策はセキュリティポリシーの策定や緊急対応体制の整備など「ルール・仕組みによる対策」です。そして人的対策は「人間の行動・心理面へのアプローチ」で、セキュリティ教育・訓練・意識啓発活動が含まれます。不審なメールへの注意喚起・標的型攻撃メール訓練・パスワード管理研修などは「人間が騙される・誤操作する」というリスクへの対策ですから人的セキュリティ対策に分類されます。どんなに高度な技術的対策を導入しても、人間が騙されてパスワードを教えてしまえば意味がありません。「ソーシャルエンジニアリングは人間を狙う攻撃→人的対策で防ぐ」「マルウェア感染を防ぐウイルス対策ソフトは技術的対策」という対応関係をセットで覚えましょう!',["人的セキュリティ対策"
SQLインジェクション攻撃の対策として、最も適切なものはどれか。
📝 解説
SQLインジェクションは「Webフォームに悪意ある入力でデータベースを乗っ取る」攻撃です。ログイン画面でユーザ名に「'' OR ''1''=''1」と入力すると、SQL文が「WHERE ユーザ名='''' OR ''1''=''1''」となり常に真になって不正ログインが可能になります。これはユーザの入力がSQL文の「構造」を変えてしまうために起きます。料理のレシピに例えると、シェフが「材料を入れてください」と言ったのに、客がレシピそのものを書き換える命令文を入れてしまうようなものです。対策の最善手は「プレースホルダ(バインド変数)を使ったプリペアドステートメント」です。SQL文の骨格を先にデータベースへ渡し、後からパラメータとして値だけを渡す方法で、入力値がSQL文の構造を変えられなくなります。「SELECT * FROM users WHERE id = ?」の「?」がプレースホルダです。OSの更新・パスワード強化・ファイアウォールのポート遮断はSQLインジェクションの直接的な対策にはなりません。「SQLインジェクション対策の最善手=プレースホルダ(プリペアドステートメント)」と覚えましょう!',["入力値に対してプレースホルダを利用し、エスケープ処理を行う。"
ソーシャルエンジニアリングに該当する行為はどれか。
📝 解説
ソーシャルエンジニアリングは「システムの脆弱性ではなく、人間の心理的な弱点」を突く攻撃です。どんなに強固なセキュリティシステムを構築しても、人間が騙されたり油断したりすれば意味がありません。最もわかりやすい例が「管理者を装った電話」で、「IT部門ですが緊急のセキュリティ点検のためパスワードを確認させてください」といった電話がかかってきたとき、権威への服従心理や緊急性による焦りから情報を漏らしてしまいます。他の代表的な手法として「ショルダーハッキング(画面や入力の覗き見)」「トラッシング(ゴミ箱から情報を入手する)」「なりすましメール(フィッシング)」があります。誤答の「辞書にある単語を組み合わせてログインを試みる」はパスワード攻撃(辞書攻撃)、「大量のパケットを送りつけてサーバをダウンさせる」はDoS攻撃、「脆弱性のあるサーバに不正なプログラムを仕込む」はマルウェア感染・不正アクセスです。いずれも技術的な攻撃であり、人間の心理を狙うソーシャルエンジニアリングとは本質的に異なります。「人間の心理・行動の隙を突く攻撃=ソーシャルエンジニアリング」と覚えましょう!',["管理者を装って電話をかけ、パスワードを聞き出す。"
共通鍵暗号方式の代表的なアルゴリズムはどれか。
📝 解説
暗号アルゴリズムには「共通鍵暗号」と「公開鍵暗号」の2種類があります。共通鍵暗号は「送信者と受信者が同じ鍵(合鍵)を共有」して暗号化・復号を行う方式です。家の合鍵を持っている人だけが出入りできる仕組みと同じですね。AES(Advanced Encryption Standard)は米国政府標準として採用された現在最も広く使われている共通鍵暗号アルゴリズムで、128・192・256ビットの鍵長があり安全性と処理速度のバランスが優れています。Wi-FiのWPA2/WPA3・HTTPSの通信暗号化・ファイル暗号化ソフトなどで広く使われています。共通鍵暗号の弱点は「どうやって安全に鍵を相手に渡すか(鍵配送問題)」ですが、これはRSAなどの公開鍵暗号を使って解決します。誤答のRSAは公開鍵暗号の代表アルゴリズム(鍵配送に使う)、SHA-256はハッシュ関数(暗号化ではなくデータの指紋を生成する)、DSAはデジタル署名アルゴリズムです。「共通鍵暗号の現代標準=AES」と確実に覚えましょう!',["AES"
WAF(Web Application Firewall)が防御対象とする攻撃として、適切なものはどれか。
📝 解説
WAF(Web Application Firewall)は「Webアプリケーション専門のボディガード」です。通常のファイアウォールがIPアドレスやポート番号を見てネットワーク層でトラフィックを制御するのに対し、WAFはHTTPリクエストの中身(アプリケーション層=第7層)を深く解析して悪意のある攻撃を検知・遮断します。WAFが対応する代表的な攻撃はSQLインジェクション・XSS(クロスサイトスクリプティング)・CSRF(クロスサイトリクエストフォージェリ)・パスインクルードなどです。XSS(クロスサイトスクリプティング)は「悪意のあるスクリプトをWebページに埋め込み、訪問者のブラウザ上で実行させる」攻撃で、セッションCookieの盗取や偽フォームの表示に悪用されます。誤答の「SYNフラッド攻撃」はTCPのハンドシェイクを悪用したDoS攻撃でOSI第4層が対象のためWAFでは防げません。「ポートスキャン」はネットワーク偵察でL3/L4レベルの話です。「WAF=Webアプリ層(L7)の攻撃(SQLi・XSS等)を防ぐ」と確実に覚えましょう!',["クロスサイトスクリプティング(XSS)"
ISMS(情報セキュリティマネジメントシステム)の構築において行われるPDCAサイクルの「D」に該当するものはどれか。
📝 解説
ISMS(情報セキュリティマネジメントシステム)はPDCAサイクルで継続的に改善するマネジメントの仕組みです。工場の品質管理と同じ考え方で情報セキュリティに適用します。P(Plan=計画)では情報資産を特定してリスクアセスメントを行い、リスク対応策を計画します。D(Do=実施)では計画した情報セキュリティの管理策(対策)を実際に導入・運用します。具体的にはアクセス制御の設定・パスワードポリシーの適用・社員への教育実施・マルウェア対策ソフトの導入などです。C(Check=点検)では内部監査や経営陣によるレビューで計画通りに実施されているかを評価します。A(Act=処置)では評価結果に基づいてセキュリティポリシーを見直し改善します。「D」は「Do(実施する)」の頭文字で、計画した対策を実際にやる段階です。誤答の「リスクアセスメントの計画立案」はP(計画)、「内部監査による評価」はC(点検)、「ポリシーの見直し」はA(処置)に対応します。「D=Do=計画した対策を実際に実施・運用する」と覚えましょう!',["セキュリティポリシに基づいた具体的な対策の実施。"
SQLインジェクション攻撃の対策として最も有効なものはどれか?
📝 解説
SQLインジェクションは「Webフォームなどの入力欄に悪意のあるSQL文を入力してデータベースを不正操作する攻撃」です。図書館の検索システムに例えると、検索窓に「本のタイトル; DROP TABLE books;」と入力したら本の検索と同時に本の一覧が全削除される、というイメージです。対策として最も有効なのはプリペアドステートメント(バインド変数)の使用です。通常はSQL文と入力値を一緒にデータベースに渡しますが、プリペアドステートメントではSQL文の構造を先にコンパイルし、入力値は後から「データ」として差し込みます。これにより入力値がSQL命令として解釈されることがなくなり、SQLインジェクションを根本的に防げます。パスワードの複雑化はパスワード攻撃対策で、SQLインジェクションには無関係です。ファイアウォールはネットワーク境界の防御で、SQLインジェクションのようなアプリ層の攻撃は防げません。SSLは通信の暗号化で攻撃内容は暗号化されたまま届きます。「SQLインジェクション対策の最善手=プリペアドステートメント」を確実に覚えましょう!
クロスサイトスクリプティング(XSS)攻撃とは何か?
📝 解説
XSS(クロスサイトスクリプティング)は「WebアプリケーションのセキュリティホールにJavaScriptなどの悪意あるスクリプトを埋め込み、そのページを閲覧したユーザーのブラウザ上でスクリプトを実行させる攻撃」です。掲示板サイトに例えると、悪意ある人が「こんにちは<script>悪意あるコード</script>」という投稿を行い、別のユーザーがその投稿を見た瞬間に悪意あるコードが実行されてしまう状態です。被害としては、Cookieに保存されたセッション情報の窃取(セッションハイジャック)、フィッシングサイトへのリダイレクト、キーロガーによるキー入力の盗聴などがあります。主な対策は①入力値のエスケープ処理(HTMLの特殊文字を無効化)②Content Security Policy(CSP)ヘッダーの設定③HTTPOnlyフラグでCookieをJavaScriptからアクセス不可に設定、などです。SQLインジェクションとXSSは混同しやすいですが、SQLインジェクションはDBへの攻撃、XSSはブラウザ上での攻撃という点が異なります。「XSS=スクリプト埋め込み→閲覧者のブラウザで実行」が核心です!
公開鍵暗号方式において、暗号化に使用する鍵はどれか?
📝 解説
公開鍵暗号方式は「鍵のペア(公開鍵と秘密鍵)を使って安全な通信を実現する」仕組みです。鍵のかかった透明な郵便受けに例えると、郵便受けの投入口(公開鍵)は誰でも使って手紙を入れられますが、取り出す鍵(秘密鍵)は宛先の人だけが持っています。暗号化するときは「受信者の公開鍵」を使います。公開鍵は誰でも知っていてOKです。受信者は自分の「秘密鍵」でのみ復号できます。この仕組みで送信者と受信者が事前に秘密の鍵を共有しなくても安全に暗号化通信が実現できます。誤答との整理をすると、「送信者の公開鍵で暗号化」では受信者が復号できません(送信者の公開鍵に対応する秘密鍵は送信者が持つから)。「受信者の秘密鍵で暗号化」すると受信者の公開鍵で誰でも復号できてしまい機密性がありません(これはデジタル署名の使い方)。「送信者の秘密鍵で暗号化」はデジタル署名に使う方法です。「暗号化=受信者の公開鍵、復号=受信者の秘密鍵」というペアを確実に覚えましょう!
デジタル署名の目的は何か?
📝 解説
デジタル署名は「送信者が自分の秘密鍵でデータのハッシュ値に署名し、受信者が送信者の公開鍵で検証する」仕組みです。印鑑に例えると、送信者の秘密鍵が「その人しか持っていない印鑑」で、送信者の公開鍵が「誰でも確認に使える印影の見本帳」です。デジタル署名で実現できることは2つあります。①送信者の認証(なりすまし防止):秘密鍵を持つ本人しか署名できないため、「確かにこの人が送った」と証明できます。②データの改ざん検知:ハッシュ値で署名しているため、データが途中で1ビットでも変わるとハッシュ値が変わり、署名の検証が失敗します。一方「通信内容の暗号化」は公開鍵暗号の別の使い方で、デジタル署名の目的ではありません。「データの圧縮」や「受信者の認証」もデジタル署名の役割ではありません。「デジタル署名=送信者の秘密鍵で署名→送信者の公開鍵で検証=なりすまし防止+改ざん検知」というセットを確実に押さえましょう!
ゼロデイ攻撃とは何か?
📝 解説
ゼロデイ攻撃は「ソフトウェアの脆弱性が発見・公表されてから修正パッチが提供されるまでの「無防備な期間(ゼロデイ)」に行われる攻撃」です。水道管に亀裂が入ったことに誰も気づいていない間に洪水が起きる状態に例えられます。脆弱性が公表された時点でベンダーは修正作業を開始しますが、パッチが完成・配布されるまでには時間がかかります。その間は攻撃者だけが脆弱性の存在を知っており、防御側は対策のしようがありません。これがゼロデイの恐ろしさです。対策としては、WAF(Webアプリケーションファイアウォール)・IDS/IPS(侵入検知・防御システム)・ネットワークの分離・最小権限の原則など多層防御が重要です。誤答の「パスワードを0日間で解読」は語呂合わせの誤り、「ゼロトラストネットワークへの攻撃」はゼロトラストは別のセキュリティモデルで無関係、「深夜0時に行われる攻撃」は完全な誤りです。「ゼロデイ=パッチ提供前の無防備期間を狙った攻撃」を正確に覚えましょう!