今回は、セキュリティ 分野 その 2 として 暗号化 の分野を取り上げます。

暗号化に関する用語

前回の連載でも説明しましたが、「セキュリティ」という言葉の語源は「心配事から離れる」という意味であり、 JIS では「情報セキュリティ」という用語を「情報の機密性、完全性及び可用性を維持すること」と定義しています。

今回のテーマである暗号化の目的は、情報が盗まれるという心配事から離れ、情報の機密性を維持することです。 コンピュータの利用において、ネットワークで伝達される情報自体が物理的に盗まれることを防げませんが、情報が暗号化されていれば内容がわからないので、盗まれたことになりません。

以下に、暗号化に関する基本的な用語を示します。これらの用語が、これ以降の説明の中で登場します。

平文

暗号化される前のデータ

暗号文

暗号化された後のデータ

暗号化

平文を暗号文にすること

復号

暗号文を平文にすること

鍵

暗号化と復号の計算で使われる数値

暗号アルゴリズム

暗号化と復号の計算手順

平文を暗号文にすることを「暗号化」と言いますが、暗号文を平文にすることは「復号化」ではなく「復号」と言います。 「化」が付かないのは、復号は元に戻るのであって、化けるのではないからです。

「復号」と似た言葉に「解読」がありますが、両者を混同しないようにしましょう。 復号は鍵を知っている人が、暗号を平文にすることです。 解読は、鍵を知らない人が、試行錯誤して暗号を平文にすることです。

暗号化の技法

暗号化の技法の種類

暗号化の技法には、大きく分けて「共通鍵暗号方式」と「公開鍵暗号方式」があります。それぞれ、以下に示した特徴があります。

label 共通鍵暗号方式

• 暗号化と復号で同じ値の鍵（共通鍵）を使う。
• 計算がシンプルなので処理が速いが、鍵をネットワークで送れない。

label 公開鍵暗号方式

• 暗号化と復号で異なる値の鍵（公開鍵と秘密鍵）を使う。
• 計算が複雑なので処理が遅いが、暗号化の鍵をネットワークで送れる。

共通鍵暗号方式の例

共通鍵暗号方式の有名な例として、古代ローマの政治家であるシーザー（紀元前 100 年～紀元前 44 年）が使った「シーザー暗号」があります。 平文を 3 文字ずらして暗号文にして、暗号文を逆方向に 3 文字ずらして平文にします。

たとえば、「 DOG 」という平文を暗号化すると、
D → E → F → G
O → P → Q → R
G → H → I → J
とずらして「 GRJ 」という暗号文になり、「 GRJ 」という暗号文を復号すると、逆方向にずらして「 DOG 」という平文になります。

この技法は、暗号化と復号で同じ 3 という鍵を使っているので、共通鍵暗号方式です。

公開鍵暗号方式の例

公開鍵暗号方式の代表的な例として、「 RSA 暗号」があります。 RSA は、この技法の考案者である 3 人（ Rivest 氏、 Shamir 氏、 Adleman 氏）の名前の頭文字です。

平文を、公開鍵でべき乗し、除数で割った余りを求めて暗号化し、暗号文を、秘密鍵でべき乗し、除数で割った余りを求めて復号します。

たとえば、除数を 55 、公開鍵を 3 、秘密鍵を 7 （実用的な RSA 暗号では、もっと桁数が多い数値が使われます）とした場合には、 1 文字ごとに以下の計算をします。 ここで、 Mod は、割り算の余りを求める演算子だとします。

label 暗号化

平文の 1 文字の 3 乗 Mod 55 → 暗号文の 1 文字

label 復号

暗号文の 1 文字の 7 乗 Mod 55 → 平文の 1 文字

この技法は、暗号化に 3 、復号に 7 という異なる鍵を使っているので、公開鍵暗号方式です。 公開鍵と秘密鍵は、あるルール（かなり複雑なルールなので説明は省略します）に従ってペアで作成します。 公開鍵で暗号化した暗号文は、それとペアになる秘密鍵だけで復号できます。

共通鍵暗号方式と公開鍵暗号方式の長所と短所

共通鍵暗号方式と公開鍵暗号方式には、それぞれ長所と短所があります。

共通鍵暗号方式は、計算が単純なので処理が速くなりますが（長所）、鍵をネットワークで送ることができません（短所）。 暗号文と鍵の両方を入手されてしまったら、誰にでも復号ができてしまうからです。

それに対して、公開鍵暗号方式は、計算が複雑なので処理が遅くなりますが（短所）、暗号化の鍵をネットワークで送れます（長所）。 暗号文と暗合化の鍵の両方を入手されても、復号の鍵（暗号化の鍵とは別の値です）がなければ復号できないからです。

暗号化の鍵は、ネットワークで公開されているのも同然なので「公開鍵」と呼びます。復号の鍵は、暗号文の受信者だけが知っているものなので「秘密鍵」と呼びます。

共通鍵暗号方式と公開鍵暗号方式の長所を組合せて使う技法もあり、これを「ハイブリッド暗号方式」と呼びます。 ハイブリッド暗号方式では、最初に 1 回だけ、遅い公開鍵暗号方式を使って共通鍵を暗号化して送り、それ以降は、速い共通鍵暗号方式を使います。

暗号化の過去問題

暗号化の分野の過去問題を 3 問ほど紹介しましょう。

暗号化の目的に関する問題

最初は、暗号化の目的に関する問題です。 電子メールを暗号化することよって得られるセキュリティ上の効果を考えてください。

共通鍵を公開鍵で暗号化して送るのですから、これはハイブリッド方式の暗号化です。

暗号化のセキュリティ上の効果は、情報が盗まれるという心配事から離れることなので、選択肢の中では「電子メールの本文の内容の漏えいの防止」が適切です。 したがって、正解は、選択肢エです。

共通鍵暗号方式と公開鍵暗号方式の特徴に関する問題

次は、共通鍵暗号方式と公開鍵暗号方式の特徴に関する問題です。 選択肢の中ら、共通鍵暗号方式の特徴であるものを選んでください。

選択肢ア

「鍵を相手と共有する必要があり」が共通鍵暗号方式の特徴ですが、それを「事前に平文で送付する」は不適切です。 暗号化せずに平文で送ったら、共通鍵の値を知られてしまうからです。

選択肢イ

1 対 1 で暗号化通信するときに、共通鍵暗号方式では同じ値の共通鍵が 1 つだけ必要であり、公開鍵暗号方式では公開鍵と秘密鍵の 2 つの鍵が必要なので、「公開鍵暗号方式よりも多い」が不適切です。

選択肢ウ

「同じ程度の暗号強度をもつ鍵長」が同じ程度の桁数の鍵という意味であり、この場合には、計算が単純な共通鍵暗号方式の方が「公開鍵暗号方式と比較して、暗号化や復号に必要な時間が短い」ので、適切です。

選択肢エ

「鍵のペアを生成」「一方の鍵で暗号化」「他方の鍵だけで復号」が、共通鍵暗号方式ではなく公開鍵暗号方式の特徴なので、不適切です。

したがって、正解は、選択肢ウです。

公開鍵暗号方式の鍵の使い方に関する問題

最後は、公開鍵暗号方式の鍵の使い方に関する問題です。 暗号化された通信において、誰が鍵のペアを作り、どのように公開鍵と秘密鍵を使うかに注目してください。

公開鍵暗号方式では、公開鍵で暗号化して、秘密鍵で復号します。 秘密鍵の値は、受信者だけが知っています。 公開鍵と秘密鍵は、ペアで作るので、受信者が作ることになります。

この問題では、 X さんが送信者で、 Y さんが受信者です。 したがって、
Y さんが公開鍵と秘密鍵をペアで作成し、
X さんが Y さんの公開鍵で暗号化し、
Y さんが Y さんの秘密鍵で復号します。

正解は、選択肢ウです。

今回は「セキュリティ」その 2 として「暗号化」に関する基本的な用語、技法、および過去問題を紹介しました。

次回は、「開発技術」の分野を取り上げます。

それでは、またお会いしましょう！

The post IT初心者のための基本情報ではじめる 暗号化 入門 ～セキュリティ分野 2 first appeared on 基本情報技術者試験 受験ナビ｜科目A・科目B対策から過去問解説まで 250本以上の記事を掲載.

そこで、

1. 科目 A 試験
2. 科目 B 試験アルゴリズムとプログラミング
3. 科目 B 試験 情報セキュリティ

の 3 回に分けて、サンプル問題セットの内容から、新制度の試験の出題傾向と対策を解説します。 今回は、「科目 B 試験 情報セキュリティ」を取り上げます。

科目 B 試験 情報セキュリティ サンプル問題セットの分析

出題傾向 1科目 B 試験 情報セキュリティ 全 4 問の構成

まず、出題傾向です。 以下は、サンプル問題セットの科目 B 試験 情報セキュリティ全 4 問の構成を示したものです。

問

問題の番号です。

テーマ

筆者が独自に付けたものです。

難易度

筆者の講師経験から、受験者の正解率が 25 % 程度を「難」、 50 % 程度を「中」、 90 % 程度を「易」で示しています。

出題傾向 2難易度（ちゃんと勉強していればギリギリ合格点を取れる）

難易度を集計すると、

難 = 0 問
中 = 3 問
易 = 1 問

なので、

です。 60 % の正解が合格の基準なので、ちゃんと勉強していればギリギリですが合格点を取れるでしょう。 ただし、第 2 回で取り上げたアルゴリズムとプログラミングの期待値の 51 % と合わせると、科目 B 試験のサンプル問題セット全体の期待値は 53 % になり、合格の基準に達しません。

科目 B 試験は、かなり気合を入れて勉強しないと合格点を取れないでしょう。

出題傾向 3科目 B 試験は事例風になっている

情報セキュリティの問題は、科目 A 試験にも出題されます。 科目 A 試験と科目 B 試験の違いは、科目 A 試験が基本的な概念や用語の意味を問うものであるのに対し、科目 B 試験は事例風（架空の事例）になっているということです。

以下に、問題の例を示します。 これは、難易度に「易」を付けた問 19 です。 問題文が

A 社は従業員 200 名の通信販売業者である

から始まっていて、いかにも事例風であることがわかるでしょう。 ここでは、問題を解く必要はありません。 問題の雰囲気だけをつかんでください。

（この問題の正解は、選択肢エです）

出題傾向 4問題を解くために必要とされる知識

科目B試験の情報セキュリティの問題は、事例風ではあっても、旧制度の午後試験（旧制度も事例風でした）ほど長い問題ではないので、長文読解力は要求されません。 ただし、当然のことですが、情報セキュリティに関する様々な概念や用語を知っておかないと解けない内容になっています。

サンプル問題セットの 4 問を解くには、以下の知識が必要となります。問 19 は、「承認」や「権限」といった一般常識だけで解けるので、難易度を「易」としたのです。

科目 B 試験 情報セキュリティ 対策（勉強方法）

ここからは、情報セキュリティの出題傾向を踏まえて、試験対策の解説をさせていただきます。

試験対策 1試験要綱に示された科目 B 試験の出題範囲を知っておこう

第 2 回でも説明しましたが、2023 年 4 月の試験から、試験要綱 Ver.5.0 が適用されます。

情報処理技術者試験試験要綱 Ver.5.0

この試験要綱の中に、基本情報技術者試験の科目 B 試験の出題範囲（上記 PDF 39 ページより）が示されているので、自分に欠けている知識がないかを確認しておきましょう。

以下は、科目 B 試験の情報セキュリティの出題範囲です。もしも、この中に知らない概念や用語があれば、書籍や Web で調べて知識を補充してください。

試験対策 2午前試験の情報セキュリティの過去問題を数多く練習しよう

長文読解力は要求されないので、旧制度の午後試験の情報セキュリティの過去問題（かなり長文でした）を学習する必要はありません。 参考程度に旧制度の午後試験を学習するのは有りだと思いますが、もしも情報セキュリティの知識が不十分だと感じているなら、旧制度の午前試験の情報セキュリティの過去問題を数多く学習することをお勧めします。 情報セキュリティに関する様々な概念や用語に関する知識が得られるからです。

試験対策 2テキパキと問題を解く習慣を付けておく

第 2 回でも説明しましたが、新制度の科目 B 試験では、 20 問を 100 分で解くので、解答時間の目安は 1 問あたり 5 分です（難易度に差があるのであくまでも目安です）。 旧制度と比べると長い問題ではなくなりましたが、 1 問が 5 分ですから、かなり忙しくなるはずです。 学習の段階から、テキパキと問題を解く習慣を付けておくことをお勧めします。

アルゴリズムとプログラミングの分野が苦手な受験者は、比較的時間がかからないと思われる情報セキュリティの分野を先に解くとよいでしょう。

今回は、サンプル問題セットの「科目 B 試験 情報セキュリティ」の内容から、新制度の試験の出題傾向と対策を解説しました。 サンプル問題セットが公開された 2022 年 12 月 26 日に、試験のリテイクポリシー（再受験の方針）も公開されました。 それによると、受験して残念な結果になってしまった場合は、前回の受験日の翌日から起算して 30 日を超えた日以降に再受験が可能です。 これを知って、がぜんやる気が出てきたでしょう。

基本情報技術者試験 リテイクポリシー と科目 A / 科目 B サンプル問題のフルセットが公開されました

合格するまで何度でもチャレンジを続けてください！

The post 科目 B 試験 情報セキュリティ 対策は旧午前試験の過去問で演習｜科目 A 試験・科目 B 試験サンプル問題セットからわかる傾向と対策 (3) first appeared on 基本情報技術者試験 受験ナビ｜科目A・科目B対策から過去問解説まで 250本以上の記事を掲載.

今回は、セキュリティ 分野 その 1 として セキュリティ全般 を取り上げます。

セキュリティという言葉の意味

もしも、学校の先生や会社の上司から「あなたが利用しているインターネット環境のセキュリティに関してレポートを書いてください」と言われたら、どうしますか。 「えっ！ いったい何を書けばよいの？」と思うでしょう。 それは、セキュリティという言葉の意味を理解していないからです。

セキュリティ（ security ）は、英語ですから、英和辞典で日本語の意味を調べてみましょう。

「安全」「無事」「安心」「防御」「保護」「警戒」「警備」など、数多くの訳語が示されています。 これでは、意味がよくわかりません。 それに、これらの訳語は、ちょっと変です。 筆者は、英語が得意ではありませんが、「安全」が safety で、「防御」が defense で、「警備」が guard であることぐらい知っています。

つまり、セキュリティという言葉は、漢字を並べた日本語には訳せない言葉なのです。 そのため、英和辞典では、意味の近い言葉をいくつも並べているのでしょう。

こうなったら、最後の手段です。 セキュリティの語源を調べてみましょう。

インターネットの英和辞典の多くには、語源が示さています。 筆者が調べた英和辞典では、セキュリティの語源は、ラテン語であり、「セ」が「離れる」、「キュリティ」が「心配事」と示されていました。セキュリティは、「心配事から離れる」という意味なのです。

「心配事から離れる」という意味だとわかれば、レポートを書けるでしょう。

「あなたが利用しているインターネット環境のセキュリティに関してレポートを書いてください」
とは、
「あなたが利用しているインターネット環境の心配事をあげて、それらからどのように離れているか、レポートを書いてください」
ということです。

「ウイルス感染が心配なので、ウイルス対策ソフトを導入している」
「不正アクセスが心配なので、パスワードを設定している」
「ハードディスク装置の故障が心配なので、毎日バックアップを取っている」
といったことをレポートに書けばよいのです。

「心配事から離れる」がセキュリティの本質であり、セキュリティの分野を理解するための基礎となる知識です。 技術用語では、堅苦しい言葉が好まれるので、「心配事」を「脅威」や「リスク」と呼び、「離れる」を「対策」と呼びます。

セキュリティの実践方法

一般用語としてのセキュリティは、「心配事を避ける」という意味ですが、情報セキュリティに限れば、 JIS （ Japanese Industrial Standards = 日本産業規格）に用語の定義があります。

機密性とは、情報が漏洩しないことです。
完全性とは、情報が改ざんされないことです。
可用性とは、情報の利用が停止しないことです。

ウイルスの混入も、ファイルが書き換えられるので、改ざんの一種です。 つまり、情報に関する心配事は、漏洩、改ざん、停止の 3 つなのです。 これらを避ける（これらが生じないように維持する）ことが、情報セキュリティです。

JIS の定義は、情報セキュリティを実践するときに役立ちます。 漠然と情報セキュリティ全体を考えると、何ともつかみどころがありませんが、機密性、完全性、可用性という視点に分けて考えれば、それぞれを維持するための対策が明確になるからです。

以下に例を示します。 ここでは、対策を予防、防止、検知、回復に分けています。

機密性と完全性に関する脅威への対策

予防

バージョンアップ、パッチ適用、脆弱性検査、暗号化、など

防止

アクセス制御、認証、ファイアウォール、など

検知

ウイルス対策ソフト、デジタル署名、ログ追跡、など

回復

システム再構築、バックアップデータによる復旧、など

可用性に関する脅威への対策

予防

冗長化、耐障害性を持つ機器、保守点検、など

防止

負荷分散、ファイアウォール、など

検知

監視システム、ログ追跡、など

回復

待機系システムへの切り替え、システム能力の増強、など

セキュリティの主要な用語

基本情報技術者試験のシラバス（情報処理技術者試験における知識・技能の細目）に示されたセキュリティの分野は、

• 情報セキュリティ
• 情報セキュリティ管理
• セキュリティ技術評価
• 情報セキュリティ対策
• セキュリティ実装技術

という項目に分けられています。

以下は、それぞれの項目における主要な用語です。 赤色で示した用語は、この記事の中で説明しています。

情報セキュリティ

機密性、完全性、可用性、不正アクセス、盗聴、なりすまし、改ざん、ソーシャルエンジニアリング、コンピュータウイルス、マクロウイルス、ワーム、ボット、トロイの木馬、スパイウェア、ランサムウェア、キーロガー、バックドア、総当たり（ブルートフォース）攻撃、クロスサイトスクリプティング、 SQL インジェクション、ディレクトリトラバーサル、 Dos 攻撃、共通鍵暗号方式、公開鍵暗号方式、デジタル署名、デジタル証明書
campaign 暗号化に関しては、次回の連載で詳しく説明します。

情報セキュリティ管理

リスク回避、リスク共有、リスク保有、情報セキュリティマネジメントシステム (ISMS) 、情報セキュリティ関連組織 (CSIRT)

セキュリティ技術評価

ペネトレーションテスト、耐タンパ性

情報セキュリティ対策

マルウェア対策ソフト、マルウェア定義ファイル、ビヘイビア法、ファイアウォール、WAF (Web Application Firewall)

セキュリティ実装技術

IPSec 、 SSH 、 HTTP over TLS (HTTPS) 、 WPA2 、 S/MIME (Secure MIME) 、パケットフィルタリング、バッファオーバーフロー対策

セキュリティの過去問題

セキュリティの分野の過去問題を 3 問ほど紹介しましょう。

情報セキュリティの定義に関する問題

最初は、 JIS の情報セキュリティの定義に関する問題です。

問 43　平成 24 年度 春期

図のようなサーバ構成の二重化によって期待する効果はどれか。

元の構成

play_arrow

二重化された構成

ア 可用性の向上　　
イ 完全性の向上
ウ 機密性の向上　　
エ 責任追跡性の向上

サーバを二重化して、サーバ 1 を稼働させ、サーバ 2 が待機してサーバ1の死活監視をしています。 稼働中のサーバ 1 が故障した場合には、サーバ 2 が稼働するので、情報の利用が停止しません。 これは、可用性の向上です。

したがって、選択肢アが正解です。

マルウェアの種類と特徴に関する問題

次は、マルウェアの種類と特徴に関する問題です。

マルウェアとは、悪さをするソフトウェアの総称です。 マル（ mal ）は、「悪」を意味する接頭語です。 よく耳にするコンピュータウイルスは、マルウェアの一種です。 他にも、様々な種類のマルウェアがあります。 様々な脅威の存在を知っておきましょう。

以下に、代表的なマルウェアの種類と特徴を示します。

トロイの木馬と比較したワームの特徴は、自己増殖することです。 これは、選択肢エの「自己増殖する」に該当するので、選択肢エが正解です。

選択肢アはランサムウェア、
選択肢イはトロイの木馬、
選択肢ウは「特定の条件」を「攻撃者からの指示」と解釈すればボットです。

情報システムへの攻撃手法と対策方法に関する問題

最後は、情報システムへの攻撃手法（脅威）と対策に関する問題です。 情報システムに脆弱性（セキュリティホール）があると、そこを狙った攻撃を受けてしまう恐れがあります。

この問題は、 SQL インジェクション攻撃と対策がテーマになっています。

SQL インジェクション攻撃とは、 Web アプリケーションの入力欄に悪意のある SQL の命令を入力することです。 Web アプリケーションに脆弱性があると、その命令を実行してしまい、不正アクセス、データの搾取、データの破壊などが行われる恐れがあります。

SQL インジェクション攻撃の対策は、入力された文字列の内容が SQL の命令として意味を持つものなら、それを無効にすることです。

したがって、選択肢アが正解です。

選択肢イ

悪意のある HTML のタグや JavaScript のプログラムを送り付けるクロスサイトスクリプティングの説明と対策です。

選択肢ウ

ディレクトリを指定してファイルを盗むディレクトリトラバーサルの説明と対策です。

選択肢エ

データの格納領域を超える大きなデータを送り付けて、プログラムを停止させたり不正な動作をさせたりするバッファオーバーフローの説明です。

今回は「セキュリティ」その 1 として「セキュリティ」という言葉の意味、実践方法、主要な用語、および過去問題を紹介しました。

次回は、「セキュリティ」その 2 として「暗号化」の分野を取り上げます。

それでは、またお会いしましょう！

The post IT初心者のための基本情報ではじめる セキュリティ 入門 ～セキュリティ分野 1 first appeared on 基本情報技術者試験 受験ナビ｜科目A・科目B対策から過去問解説まで 250本以上の記事を掲載.

この記事では、IPA（独立行政法人情報処理推進機構）が公開している「基本情報技術者試験 科目 B のサンプル問題」の中から情報セキュリティの問題を取り上げます。

サンプル問題（問 6 ）

現時点で公開されている情報セキュリティのサンプル問題は、 1 問だけです。以下に、問題を示します。 出題趣旨は、

「パブリッククラウド上での EC サイトのセキュアな運用を題材として、クラウドサービスを利用する際の、委託先などとの適切な責任共有の在り方を判断する能力を問う」

です。

問 6

　製造業の A 社では， EC サイト（以下， A 社の EC サイトを A サイトという）を使用し，個人向けの製品販売を行っている。 A サイトは， A 社の製品やサービスが検索可能で，ログイン機能を有しており，あらかじめ A サイトに利用登録した個人（以下，会員という）の氏名やメールアドレスといった情報（以下，会員情報という）を管理している。 A サイトは， B 社の PaaS で稼働しており， PaaS 上の DBMS とアプリケーションサーバを利用している。

　A 社は， A サイトの開発，運用を C 社に委託している。A 社と C 社との間の委託契約では， Web アプリケーションプログラムの脆弱性対策は， C 社が実施するとしている。

　最近， A 社の同業他社が運営している Web サイトで脆弱性が悪用され，個人情報が漏えいするという事件が発生した。そこで A 社は，セキュリティ診断サービスを行っている D 社に， A サイトの脆弱性診断を依頼した。脆弱性診断の結果，対策が必要なセキュリティ上の脆弱性が複数指摘された。図 1 に D 社からの指摘事項を示す。

looks_one

サイトで利用している DBMS に既知の脆弱性があり，脆弱性を悪用した攻撃を受けるおそれがある。

looks_two

サイトで利用しているアプリケーションサーバの OS に既知の脆弱性があり，脆弱性を悪用した攻撃を受けるおそれがある。

looks_3

ログイン機能に脆弱性があり， A サイトのデータベースに蓄積された情報のうち，会員には非公開の情報を閲覧されるおそれがある。

図 1 D 社からの指摘事項

設問

図 1 中の項番 1. ～ 3. それぞれに対処する組織の適切な組合せを，解答群の中から選べ。

解答群

「適切な責任共有の在り方を判断する能力を問う」

という出題趣旨に沿って、 D 社からの指摘事項 1. ～ 3. に対処する責任がある組織を、 A 社、 B 社、 C 社の中から選んでみましょう。 そのためには、問題文の内容をよく読んで、正解を得るための裏付けを見つけてください。

looks_one

「 A サイトで利用している DBMS に既知の脆弱性があり、脆弱性を悪用した攻撃を受けるおそれがある」

対処する責任があるのは、 B 社です。

なぜなら、 DBMS を提供しているのは、 B 社の PaaS （ Platform as a Service 、 OS や DBMS など、アプリケーションを稼働させるための土台をサービスとして提供すること）だからです。 委託契約を結んでいる C 社に責任があると思われるかもしれませんが、委託契約の内容は

「 Web アプリケーションプログラムの脆弱性対策は、 C 社が実施するとしている」

であり、 DBMS の脆弱性対策は示されていません。

looks_two

「 Aサイトで利用しているアプリケーションサーバの OS に既知の脆弱性があり、脆弱性を悪用した攻撃を受けるおそれがある」

対処する責任があるのは、 B 社です。なぜなら、 OS を提供しているのは、 B 社の PaaS だからです。 OS の脆弱性なので、 OS のメーカーに責任があると思われるかもしれませんが、

「既知の脆弱性」

であることに注意してください。

既知の脆弱性であれば、 OS のメーカーからセキュリティパッチ（脆弱性を修正するためのプログラム）が提供されているはずです。 それを OS に適用していなかったのですから、既知の脆弱性に対する責任は、 B 社にあります。

looks_3

「ログイン機能に脆弱性があり、Aサイトのデータベースに蓄積された情報のうち、会員には非公開の情報を閲覧されるおそれがある」

対処する責任があるのは、 C 社です。 なぜなら、ログイン機能を提供しているのは、 Web アプリケーションであり、

「 Web アプリケーションプログラムの脆弱性対策は、 C 社が実施するとしている」

という委託契約があるからです。

以上のことから、正解は、選択肢オです。

サンプル問題の正解 問 6 － オ

情報セキュリティの出題範囲の変更と勉強方法

IPA は、サンプル問題だけでなく、試験要綱の変更点も公開しています。 以下は、試験要綱に示された情報セキュリティの出題範囲（変更前と変更後）です。 出題範囲に示されている項目を見る前に、分野の名称が「情報セキュリティに関すること」から「情報セキュリティの確保に関すること」に変わり、「確保」という言葉が追加されていることに注目してください。

変更前

情報セキュリティに関すること

情報セキュリティポリシ、情報セキュリティマネジメント、データベースセキュリティ、ネットワークセキュリティ、アプリケーションセキュリティ、物理的セキュリティ、アクセス管理、暗号、認証、不正アクセス対策、マルウェア対策（コンピュータウイルス、ボット、スパイウェアほか）、個人情報保護、など

変更後

情報セキュリティの確保に関すること

情報セキュリティ要求事項の提示（物理的及び環境的セキュリティ、技術的及び運用のセキュリティ）、マルウェアからの保護、バックアップ、ログ取得及び監視、情報の転送における情報セキュリティの維持、脆弱性管理、利用者アクセスの管理、運用状況の点検、など

出題範囲に示されている項目を見てみましょう。

「情報セキュリティ要求事項の提示」
「マルウェアからの保護」
「バックアップ、ログ取得及び監視」
「情報の転送における情報セキュリティの維持」
「脆弱性管理」
「利用者アクセスの管理」
「運用状況の点検」

であり、どの項目も、情報セキュリティ関連の用語や概念ではなく、情報セキュリティの確保に関するものです。 先ほど紹介したサンプル問題は、「脆弱性管理」をテーマにした問題でした。

科目 B 試験の情報セキュリティの対策としては、情報セキュリティ関連の用語や概念を学習することももちろん重要ですが、それだけで終わりにせずに、情報セキュリティの確保に関する学習も必要です。

そのためには、情報セキュリティの過去問題を学習するときに、テクノロジ系（これは用語や概念に該当します）の設問だけでなく、マネジメント系やストラテジ系の設問（これらは情報セキュリティの確保に該当します）にも重点を置いてください。

以上、「基本情報技術者試験 科目 B 試験のサンプル問題」の中から、情報セキュリティの問題を取り上げ、変更前と変更後の出題範囲の違いを説明しました。

2023 年 4 月以降に基本情報技術者試験を受験される方の参考になれば幸いです。

The post 新・基本情報 科目 B 情報セキュリティ サンプル問題 解説と勉強方法 first appeared on 基本情報技術者試験 受験ナビ｜科目A・科目B対策から過去問解説まで 250本以上の記事を掲載.

ここでは、基本情報技術者試験の変更内容のポイントと、 IPA が公開している変更後の科目 B 試験のサンプル問題を紹介します。

試験制度の変更内容

2023 年 4 月から、基本情報技術者試験の試験制度は、以下のように大きく変更されます。 いつでも受験できて、試験時間と問題が減り、科目 B 試験（変更前の午後試験）の問題が短くなるのですから、受験しやすく合格しやすい試験に変わると言えます。

シラバスの変更内容

試験制度の変更に応じて、試験の出題範囲の細目を示したシラバスも変更されます。 現時点で IPA から公開されている資料では、出題範囲から C 、 Java 、 Python 、アセンブラ言語、表計算ソフトが削除されたこと以外に、大きな変更はありません。

以下は、変更後のシラバスの一部を抜粋したものです。取り消し線がつけられた青色の部分が削除され、赤色の部分が追加されます。

科目 B 試験のサンプル問題（情報セキュリティ）

IPA では、科目 B 試験のサンプル問題を 6 問だけ公開しています。 ここでは、それらの中から「情報セキュリティ」と「アルゴリズムとプログラミング」の問題を、それぞれ 1 問ずつ紹介しましょう。

どちらの問題も、変更前の午後試験とは比べ物にならないほど短くて簡単です。 はたして、実際の試験でも、これと同レベルの問題が出るかどうかはわかりませんが、問題のボリュームは、この程度なのでしょう。

以下は、「情報セキュリティ」のサンプル問題です。

解答群の選択にあるのは、 A 社、 B 社、 C 社です。

A 社は、 A サイト（ EC サイト）で商品販売をしています。
B 社は、 A サイトの稼働環境（ PaaS 上の DBMS とアプリケーションサーバ）を提供しています。
C 社は、 A サイトの開発と運営を委託されています。

項番 1.

DBMS の脆弱性なので、稼働環境である DBMS を提供する B 社が対処します。

項番 2.

OS の脆弱性なので、稼働環境である OS を提供する B 社が対処します。

項番 3.

Web アプリケーションプログラムの脆弱性であり、問題文に「 Web アプリケーションの脆弱性対策は、 C 社が実施するとしている」とあるので、 C 社が対処します。

したがって、選択肢オが正解です。

正解 オ

科目 B 試験のサンプル問題（アルゴリズムとプログラミング）

以下は、「アルゴリズムとプログラミング」のサンプル問題です。

変更前の問題と比べて大幅に短くなっていて、大幅に解きやすくなっています。 アルゴリズムとプログラミングの問題を苦手としている受験者にとって、これは正に朗報です。

○整数型: fee(整数型: age)
 整数型: ret
 if (age が 3 以下)
   ret ← 100
 elseif (  )
   ret ← 300
 else
   ret ← 500
 endif
 return ret

if (age が 3 以下) 

という条件に該当しないときに、

elseif ()

の条件がチェックされます。

この条件が真なら

ret ← 300

という処理が行われるので、正解は選択肢 カの age が 9 以下です。

正解 カ

以上、基本情報技術者試験の変更内容のポイントと、 IPA が公開している変更後の科目 B 試験のサンプル問題を紹介しました。

変更前よりも、受験しやすく合格しやすくなるのですから、これまで受験に躊躇していた人も、 2023 年 4 月以降の試験にぜひチャレンジしてください。

今後は、市販の教材や Web 記事なども、 2023 年 4 月以降の試験に合わせて大幅に改訂されるはずです。

The post 新しい基本情報技術者試験は「受験しやすく合格しやすくなる！」 サンプル問題から科目 B 問題の難易度を解説 first appeared on 基本情報技術者試験 受験ナビ｜科目A・科目B対策から過去問解説まで 250本以上の記事を掲載.

このコーナーでは毎週月曜に午後の必須選択問題から 1 問ピックアップして出題し、 解答欄 を設け、読者の皆さまにも解答してもらっています！

今週の午後問題は「 SSH による通信」でしたが、皆さん、手応えはいかがでしょうか？

金曜になりましたので、出題の 解答 と 矢沢久雄さんによる 解説 に加えて、皆さんの正解率を公開します。

今週の午後問題
2017 年度 秋期 SSH による通信

解答と解説

みんなの解答

ご解答いただいた皆さん、ありがとうございました！

では、正解率はいかがだったでしょうか？

なお、以下はこの問題の IPA の講評です。今後の参考になれば幸いです。

来週からは「アルゴリズム問題」を特集します！　多くの方が苦手にしがちなので、これを機会にじっくり挑戦してみてください！

The post 今週の午後問題〔解答〕情報セキュリティ SSH による通信 2017 年度 秋期 first appeared on 基本情報技術者試験 受験ナビ｜科目A・科目B対策から過去問解説まで 250本以上の記事を掲載.

このコーナーでは毎週月曜に午後の必須選択問題から 1 問ピックアップして出題し、 解答欄 を設け、読者の皆さまも参加して解答できます！　その週の金曜にはその解答と 矢沢久雄 さんによる 解説 ページを公開し、皆さんの正解率も発表します。

現在は「情報セキュリティ」に絞って出題中です！今回は 「 2017 年度 秋期 SSH による通信」です。

ぜひ腕試しにお使い下さい！

今週の午後問題
2017 年度 秋期 情報セキュリティ SSH による通信

問 1

SSH による通信に関する次の記述を読んで，設問 1 ～ 4 に答えよ。

　SSH は遠隔ログインのための通信プロトコル及びソフトウェアであり，通信データの盗聴対策や，通信相手のなりすましを防ぐ仕組みを備えている。 SSH では，サーバにログインしてデータをやり取りする通信 (以下，ログインセッションという) に先立って，安全な通信経路の確立と利用者認証を行う必要がある。安全な通信経路の確立，利用者認証及びログインセッションを合わせて SSH セッションと呼ぶ。その流れを，図 1 に示す。

〔安全な通信経路の確立の概要〕

　安全な通信経路の確立は，次のようにして行う。

1. クライアントがサーバにアクセスする。
2. サーバとクライアントが， SSH セッションで使用する暗号アルゴリズムについて合意する。
3. サーバとクライアントが，通信データの暗号化に使用するセッション鍵と，他の SSH セッションと区別するためのセッション識別子について合意する。
4. looks_oneクライアントがサーバ認証を行う。サーバ認証では，クライアントがあらかじめ入手して正当性を確認しておいたaを用い，サーバによるセッション識別子へのディジタル署名が正しいかどうかを検証する。
5. 合意した暗号アルゴリズムとセッション鍵を用いて，looks_two共通鍵暗号方式による通信データの暗号化を開始する。これ以降の通信は，全て暗号化される。

〔利用者認証の概要〕

　クライアントからサーバへのログインでは，サーバは利用者認証を行う。 SSH の利用者認証の方式には，ディジタル署名を用いる “公開鍵認証” とパスワードを用いる “パスワード認証” がある。

　 “公開鍵認証” では，クライアントの公開鍵を事前にサーバに登録しておき，この登録されている公開鍵に対応する秘密鍵をクライアントがもっていることをサーバが確認する。この確認では，クライアントがセッション識別子などに対するディジタル署名をサーバに送信し，サーバがbを用いてディジタル署名を検証する。

　 “パスワード認証” では，クライアントが利用者 ID とパスワードを送信し，サーバは受け取ったパスワードが当該利用者のパスワードと一致していることを検証する。

　なお， looks_3“パスワード認証” は， “公開鍵認証” に比べて，安全性が低いと考えられている。

設問 1

本文中のに入れる適切な答えを，解答群の中から選べ。

a, b に関する解答群

ア

安全な通信経路の確立時に合意したセッション鍵

イ

クライアントの公開鍵

ウ

クライアントの秘密鍵

エ

サーバの公開鍵

オ

サーバの秘密鍵

設問 2

本文中の下線 looks_one によって防ぐことができる攻撃として適切な答えを，解答群の中から選べ。

解答群

ア　DoS 攻撃　　
イ　SQL インジェクション
ウ　クロスサイトスクリプティング　　
エ　総当たり攻撃
オ　中間者攻擊

設問 3

本文中の下線 looks_two について，通信データの暗号化に公開鍵暗号方式ではなく共通鍵暗号方式を用いる理由として適切な答えを，解答群の中から選べ。

解答群

ア

共通鍵暗号方式は，公開鍵暗号方式よりも暗号処理が高速である。

イ

共通鍵暗号方式は，公開鍵暗号方式よりも解読に時間が掛かる。

ウ

共通鍵暗号方式は，公開鍵暗号方式よりも鍵の再利用が容易である。

エ

共通鍵暗号方式は，公開鍵暗号方式よりも鍵の配布が容易である。

設問 4

本文中の下線 looks_3 のように考えられている理由として適切な答えを，解答群の中から選べ。

解答群

ア

“パスワード認証” では，サーバが攻撃者に乗っ取られていた場合，送信したパスワードを攻撃者に取得されてしまう。

イ

“パスワード認証” では，正当なサーバとは異なるサーバに接続させられてしまっても利用者が気づけない。

ウ

“パスワード認証” では，パスワードだけを用いるが， “公開鍵認証” では，パスワードの他にディジタル署名も用いる。

エ

“パスワード認証” では，利用者のパスワードが平文でネットワーク上を流れるので，盗聴されるとパスワードを取得されてしまう。

みんなの解答欄

こちらから解答できます！

今週の金曜に解答解説ページを、ご解答頂いた方の正解率とともに公開します !!

The post 今週の午後問題〔問題〕情報セキュリティ SSH による通信 2017 年度 秋期 first appeared on 基本情報技術者試験 受験ナビ｜科目A・科目B対策から過去問解説まで 250本以上の記事を掲載.

このコーナーでは毎週月曜に午後の必須選択問題から 1 問ピックアップして出題し、 解答欄 を設け、読者の皆さまにも解答してもらっています！

今週の午後問題は「 Web サービスを利用するためのパスワードを安全に保存する方法」でしたが、皆さん、手応えはいかがでしょうか？

金曜になりましたので、出題の 解答 と 矢沢久雄さんによる 解説 に加えて、皆さんの正解率を公開します。

今週の午後問題
2018 年度 春期 Web サービスを利用するためのパスワードを安全に保存する方法

解答と解説

みんなの解答

ご解答いただいた皆さん、ありがとうございました！

では、正解率はいかがだったでしょうか？

なお、以下はこの問題の IPA の講評です。今後の参考になれば幸いです。

来週も引き続き、情報セキュリティから出題します！ぜひ挑戦してみてください！

The post 今週の午後問題〔解答〕情報セキュリティ パスワードを安全に保存する方法 2018 年度 春期 first appeared on 基本情報技術者試験 受験ナビ｜科目A・科目B対策から過去問解説まで 250本以上の記事を掲載.

このコーナーでは毎週月曜に午後の必須選択問題から 1 問ピックアップして出題し、 解答欄 を設け、読者の皆さまも参加して解答できます！　その週の金曜にはその解答と 矢沢久雄 さんによる 解説 ページを公開し、皆さんの正解率も発表します。

現在は「情報セキュリティ」に絞って出題中です！今回は 「 2018 年度 春期 Web サービスを利用するためのパスワードを安全に保存する方法」です。

ぜひ腕試しにお使い下さい！

今週の午後問題
2018 年度 春期 情報セキュリティ Web サービスを利用するためのパスワードを安全に保存する方法

問 1

Web サービスを利用するためのパスワードを安全に保存する方法に関する次の記述を読んで，設問 1 ～ 3 に答えよ。

　A 社が提供する Web サービスを利用するには，利用者が決めた利用者 ID とパスワードを， Web アプリケーションが動作するサーバに登録しておく必要がある。 A 社の Web アプリケーションでは，利用者が Web アプリケーションにログインするときに， Web ブラウザから利用者 ID とパスワードがサーバに送信される。サーバは，受信した利用者 ID とパスワードを，照合することによって認証する。利用者が決めたパスワードは，パスワードファイルに平文で保存されている。

　近年，パスワードファイルが漏えいし，不正ログインが発生したと考えられる事件が多数報道されている。そこで， A 社に勤める C さんは，自社の Web アプリケーションにおけるパスワードファイルが漏えいした際の不正ログインを防止するための対策について，上司から検討を命じられた。

　C さんは対策として，パスワードを平文で保存するのではなく，ハッシュ関数でパスワードのハッシュ値を計算 (以下，ハッシュ化という) し，そのハッシュ値を保存する方式を提案することにした。この方式におけるログイン時の認証では，受信したパスワードから求めたハッシュ値を，パスワードファイルに保存されているハッシュ値と照合する。パスワードの保存の流れと，照合の流れを図 1 に示す。

　C さんは，パスワードのハッシュ化には，ハッシュ関数の一つである。 aを用いることにした。ハッシュ化に用いるハッシュ関数は，一般的に次のような特徴を備えているので，パスワードが一致していることの確認に用いることができる。また，利用者のパスワードを平文で保存する場合と比べて，パスワードファイルが漏えいしても，より安全だと考えたからである。

〔ハッシュ化に用いるハッシュ関数の特徴〕

1. パスワードの長さに関係なく，ハッシュ値は固定長になる。
2. b
3. ハッシュ値からパスワードを推測することが非常に困難である。
4. パスワードが 1 文字でも異なれば，ハッシュ値は大きく異なる。

設問 1

本文中のに入れる適切な答えを,解答群の中から選べ。

a に関する解答群

ア　AES　　イ　Diffie-Hellman　　ウ　RSA
エ　SHA-256　　オ　TLS

b に関する解答群

ア

異なるパスワードをハッシュ化したとき，同じハッシュ値になる可能性が高い。

イ

同一のパスワードをハッシュ化すると，同じハッシュ値になる。

ウ

パスワードをハッシュ化した結果のハッシュ値を再度ハッシュ化すると，元のパスワードになる。

エ

秘密鍵を使用してハッシュ値から元のパスワードを復元できる。

設問 2

次の記述中のに入れる適切な答えを，解答群の中から選べ。

　C さんは，自身が提案する方式について，社内の情報セキュリティ責任者にレビューを依頼したところ，この方式は漏えいしたパスワードファイルを攻撃者に入手された場合，事前計算による辞書攻撃に弱いという指摘を受けた。この攻撃では，あらかじめ攻撃者はパスワードとしてよく使われる文字列を，よく使われているハッシュ関数でハッシュ化し，ハッシュ値から元のパスワードが検索可能な一覧表を作成しておく。その後，攻撃者が漏えいしたパスワードファイルを入手したとき，この作成した一覧表からハッシュ値を検索する。ハッシュ値が一覧表に載っている場合は，元のパスワードを容易に知ることができる。

　C さんは，事前計算による辞書攻撃を難しくする方式を調査し，ソルトを用いる方式を提案することにした。ソルトとは，十分な長さをもつランダムな文字列である。

　この方式におけるパスワードの保存では，まず，サーバは新しいパスワードの保存の都度，新しいソルトを生成し，ソルトとパスワードを連結した文字列をハッシュ化する。このとき得られるハッシュ値は，パスワードだけをハッシュ化した場合のハッシュ値c。次に，ハッシュ化に使用したソルトと得られたハッシュ値をパスワードファイルに保存する。

　この方式におけるパスワードの照合では，まず，サーバはパスワードファイルからソルトとハッシュ値を読み出す。次に，読み出したソルトと受信したパスワードを連結した文字列をハッシュ化し，得られたハッシュ値を，読み出したハッシュ値と照合する。ソルトを用いたパスワードの保存の流れと，照合の流れを図 2 に示す。

　ソルトを用いる方式が，事前計算による辞書攻撃の対策として効果があるのは，dからである。

c に関する解答群

ア　と同じ値になる　　
イ　とは異なる値になる
ウ　よりも長さが長い　　
エ　よりも長さが短い

d に関する解答群

ア

攻撃者が，ハッシュ値からではなくソルトから元のパスワードを検索するための一覧表を事前に作成しておく必要がある

イ

攻撃者がパスワードファイルからソルトを入手できない

ウ

攻撃者がパスワードファイルを入手するのが困難になる

エ

攻撃者が一つのパスワードに対して事前に求めるハッシュ値の数が膨大になる

設問 3

次の記述中のに入れる適切な答えを，解答群の中から選べ。

　C さんは，オフライン総当たり攻撃についても，対策を検討することにした。漏えいしたパスワードファイルに対するオフライン総当たり攻撃とは，攻撃者が，パスワードファイルを入手した後，全てのパスワードの候補を逐次生成してはハッシュ化し，得られたハッシュ値がパスワードファイルに保存されているハッシュ値と一致するかどうか，しらみつぶしに確認することによって，ハッシュ値の元のパスワードを見つける攻撃方法である。

　C さんは，オフライン総当たり攻撃を難しくする方式として，ストレッチングという方式があることを知った。

　この方式では，まず，ソルトとパスワードを連結した文字列をハッシュ化してハッシュ値を得る。次に，得られたハッシュ値の後にソルトとパスワードを連結し，その連結結果をハッシュ化する。この操作を指定した回数だけ繰り返すことによって，パスワードの照合に用いるハッシュ値を得る。パスワードファイルには，ソルト及びパスワードの照合に用いるハッシュ値に加えて，繰返し回数も保存する。この方式では，ハッシュ化の操作を 1 回だけ行う方式と比べると，攻撃者が，オフライン総当たり攻撃を行う際，。

解答群

ア

生成すべきパスワードの候補の最大文字列長が長くなる

イ

一つのパスワードの候補から求めたハッシュ値の長さが長くなる

ウ

一つのパスワードの候補から求めたハッシュ値を，パスワードファイルのハッシュ値と比較する回数が増える

エ

一つのパスワードの候補からハッシュ値を求める時間が増加する

みんなの解答欄

こちらから解答できます！

今週の金曜に解答解説ページを、ご解答頂いた方の正解率とともに公開します !!

The post 今週の午後問題〔問題〕情報セキュリティ パスワードを安全に保存する方法 2018 年度 春期 first appeared on 基本情報技術者試験 受験ナビ｜科目A・科目B対策から過去問解説まで 250本以上の記事を掲載.

このコーナーでは毎週月曜に午後の必須選択問題から 1 問ピックアップして出題し、 解答欄 を設け、読者の皆さまにも解答してもらっています！

今週の午後問題は「情報セキュリティ事故と対策」でしたが、皆さん、手応えはいかがでしょうか？

金曜になりましたので、出題の 解答 と 矢沢久雄さんによる 解説 に加えて、皆さんの正解率を公開します。

今週の午後問題
2018 年度 秋期 情報セキュリティ事故と対策

解答と解説

みんなの解答

ご解答いただいた皆さん、ありがとうございました！

皆さんの手応えはいかがだったでしょうか？

なお、以下はこの問題の IPA の講評です。今後の参考になれば幸いです。

来週も引き続き、情報セキュリティから出題します！ぜひ挑戦してみてください！

The post 今週の午後問題〔解答〕情報セキュリティ 情報セキュリティ事故と対策 2018 年度 秋期 first appeared on 基本情報技術者試験 受験ナビ｜科目A・科目B対策から過去問解説まで 250本以上の記事を掲載.