fhhm’s blog

情報処理安全確保支援士の試験勉強のまとめ。『情報処理教科書 情報処理安全確保支援士 2026年版』をベースにしている。

情報処理教科書 情報処理安全確保支援士 2026年版 | 翔泳社

信頼と実績で選ばれ続ける。圧倒的支持率の定番対策書！ 過去の試験傾向を分析し、合格に必要な知識を網羅。 セキュリティの専門家がわかりやすく解説するので、 基礎項目から最新傾向問題まで効率的に学び合格が目指せます。 【本書の特徴】 ・本試験の最新傾向を徹底分析 ・幅広い出題範囲を丁寧に解説 ・実際の試験形式で理解度を確認するために、節のテーマに沿った確認問題を掲載 ・旧SC試験を含めた23回分の過去問題解説をWebダウンロード ・令和7年10月試験の解答・解説をWebで提供 ・チェックシートで直前の総仕上げもバッチリOK ・2色刷りで読みやすい紙面 【シリーズ累計310万部超の人気No.…

https://www.shoeisha.co.jp

• ISO/IEC 27000ファミリーでは、情報セキュリティを情報の機密性、完全性及び可用性を維持すること。さらに真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもあると定義している
• 情報セキュリティは下記の二つに大別できる
  • 物理的セキュリティ: 建物や設備を対象とする
    • e.g. 耐震設備、電源設備、入退室管理設備、災害に備えたバックアップ設備
  • 論理的セキュリティ: 物理的セキュリティ以外の全て
    • システム的セキュリティ: システムやネットワークにおける技術的なセキュリティ
      • e.g. アクセス制御、暗号化、マルウェア対策
    • 管理的セキュリティ: 組織やシステムの運用管理面におけるセキュリティ
      • e.g. 情報セキュリティポリシーの策定、運用、監査、見直し
    • 人的セキュリティ: 人に起因することに対するセキュリティ(管理的セキュリティに含められることもある)
      • e.g. 雇用/委託契約におけるセキュリティ、教育、ポリシー違反の懲戒手続き

• 情報セキュリティの主な特性として機密性、完全性、可用性がある
• システムの性質によって求められるレベルや優先順位は異なる
• 情報資産の価値や性質、利用者のニーズを正しく認識し、それに応じて各特性を適切なレベルで確保維持することが重要

• ある情報資産へのアクセスに対して、権限者だけが許可された範囲で活動できるようにすること
  • 📝 見せてはいけない人に見せないこと
• アクセス制御や認証などを使って実現する
• 権限者は人間だけでなくプログラムも含まれる

• データの正当性、正確性、網羅性、一貫性を維持すること
  • e.g. あるデータの処理過程(入力、編集、保存、削除など)で欠落や重複、改ざんなどが発生せずに正しく処理される
  • 📝 正しい人が正しい手順で正しい内容にだけ変更できること

• システムが必要なときに、いつでも正常なサービスを提供できる状態を維持すること
  • 📝 使いたいときにちゃんと使えること
• 設備の多重化やリソースの確保などで実現する

• 利用者、プロセス、システム、情報などが主張どおりであることを確実にすること
  • 📝 なりすましでないこと
• 生体情報や証明書で対象者を識別することなどで実現する

• 利用者、プロセス、システムなどの動作について、主体と動作内容を追跡できることを確実にすること
  • 📝 誰が何をしたかを、あとから特定できること
• 下記などによって実現する
  • 主体(利用者など)を一意に識別できる仕組み
  • 入退室記録、アクセス状況、ログ

• ある活動や事象が起きたことを、後から否認されないように証明できること
  • 📝 あとから『やっていない』と言えないようにすること
• 真正性、責任追跡性を適切に確保しつつ、証跡の完全性を確保する

• 実行した操作や処理の結果に矛盾がないことを確実にすること
  • 📝 システムや情報が、期待どおり正しく動き続けること
• 信頼性の高い設備を用いる、テストを強化してバグや脆弱性の発見/対処を行う

• 情報セキュリティ対策には下記に挙げる機能があり、各対策は少なくとも一つ以上の機能を持っている
• 対策としての効果を高めるには、それぞれの対策についてよく認識し、特定の機能に偏りすぎないように注意する
• 情報セキュリティの特性と同様に、対象となる脅威によって比重をかけるべき機能は異なる

• 不正行為を思いとどまらせるように働きかけ、問題を未然に防ぐこと
  • 📝 悪いことをしようと思わせない
• 未知の攻撃者に対しては難しいので、対象は社員など内部の人間となる
• 情報セキュリティポリシーの策定や運用、監査、ネットワークの監視などが該当する
  • 監視は実際に行わなくても社員に告知するだけでも抑止/抑制となる(用法用量に注意は必要)

• 組織、システムなどの脆弱な部分に対して、対策を行うこと
  • 📝 そもそも起こさせない
• 本来、抑止/抑制も予防/防止に含まれるが、人間の意識以外の要素に働きかけるものをとして区別している
• 機器の定期保守、脆弱性検査、バージョンの最新化、認証の強化などが該当する

• サイバー攻撃や内部犯罪を速やかに発見/通知するとともに、その原因や影響範囲の特定に必要な情報を取得/保全することで、問題の拡大を防ぎ損害を最小限に抑えること
  • 📝 起きたことに気づき、原因をたどれる
• マルウェアの常時検査、ログ取得/分析、サイバー攻撃の監視/記録、重要な資産を扱う場所への監視カメラ設置などが該当する

• サイバー攻撃や内部犯罪、機器障害等によって発生した問題に対して、正常な状態に復旧させること
  • 📝 壊れても元に戻せる
• バックアップの取得/保存、復旧手順書の整備、不測事態発生時の体制の明確化などが該当する

• まず想定されるリスクについて分析/評価することで、実施する対策の目的や効果が明確になる

• 組織の情報資産やそれを利用するシステムとしてどんなものがあるかを認識し、何が重要化、何を守るべきかを認識する

• 脅威を認識し、その種類や手口について調査/把握する
• 実際に自社のシステムに対してどのような攻撃が行われているのか調査/把握する
• 第三者からの攻撃や自然災害など外部の脅威をゼロにすることは不可能

• 脆弱性は、脅威と結びつくことで、リスクを顕在化させたり、脅威を増幅することになる
• 脆弱性は自助努力によって取り除いたり低減させることが可能
• どのような脆弱性がどこにあり、それによってどんなリスクを顕在化させることになるのか認識/対処する

• 方針/基準を明確にすることで、関係者の意識や認識を合わせることや、限られたリソース(予算、要員、設備)を有効活用できる
• 対策を実施できるように手順を整備する

• 一般的にセキュリティと利便性はトレードオフ
• リスクを考慮した上でバランスを取ることが重要

• 未然防止できるように脆弱性への対処は必要
• しかしインシデントをゼロにはできないので、対策も行う

• 実施した対策の抜けや不備を発見するためにレビューを受ける
• 対象となるシステムなどの変更のたびに受けるとともに、最低一年に一回の頻度で定期的に受けるとよい

• 情報資産へアクセスする人、プログラムに対して、常に必要最小限の権限/有効期間のみを付与する

• ある人、プログラムに複数の業務を行う権限を付与すると、確認不足、ミス、不正が発生する要因となるため、業務ごとに担当を適切に分離する
• 牽制する意味合いもある

• インターネット接続はマルウェア感染の大きな原因となっている
• 機密情報を扱うシステムはインターネットから分離する
• 分離が難しい場合は、VDIなどを活用して論理的に分離する

• 何らかの障害が発生したときに、安全側に倒れるようにする
  • e.g. FW障害時にすべてのパケットを通さないようにする
• サービスの継続性にも関わるため、セキュリティを犠牲にせざるを得ない場合もある

• ネットワークやサーバーの構成は単純であるほどセキュリティを担保しやすくなる
  • e.g. あるサーバーに複数の役割を兼ねさせると、設定が複雑になり、障害原因の追求が困難になる

• 重要なシステムを冗長化したり、バックアップデータを地理的に分散した箇所に保存する
• PCとその認証デバイスを分離して持ち運び盗難時のリスクを低減することなども該当する

• 二重、三重の防御を行うことで効果が格段に高まる
  • e.g. OS、ミドルウェアの脆弱性に対処した上で、FWを設置する

• 様々な事象に対して、それを発生させた主体を一意に識別できるようにする
• 事象についてのログの保存をするとともに、改ざん、滅失等が発生しないようにする

セキュリティについて体系的に勉強したことはなかったので、どんな特性や概念、考え方があるのかはとてもためになった。

一般的にセキュリティと利便性はトレードオフであるためバランスを取らないといけない点や、システム特性を考慮して対策の優先度を変えなければいけない点、防御する側のシステムと攻撃する側の手口の両方を把握しないといけない点などを踏まえると、かなり総合力(?)が求められるなあと感じた。

本の先の方ではTCP/IPやSMTPなど、これまで深く関わったことのない低レイヤーの技術についても書かれていたので、総合力を高められるように頑張って勉強していきたい。