科目B「情報セキュリティ」とは?
科目Bの情報セキュリティ分野は、全20問中約4問(20%)が出題されます。具体的なシナリオをもとに、セキュリティリスクの識別・対策・管理について考える問題が中心です。
科目Aの暗号化・認証などの技術知識と組み合わせて学ぶと効果的です。
セキュリティの基礎
- 情報セキュリティの3要素(CIA):機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)
- 脅威の種類:マルウェア(ウイルス・ランサムウェア・スパイウェア)・フィッシング・DOS/DDOS攻撃
- 脆弱性:ゼロデイ攻撃・SQLインジェクション・XSS・バッファオーバーフロー
- 攻撃手法:ソーシャルエンジニアリング・パスワードクラッキング・中間者攻撃(MITM)
リスクマネジメント
情報セキュリティリスクを識別・評価・対処するプロセスを理解します。
- リスク識別:情報資産の洗い出し・脅威の分析・脆弱性の確認
- リスク評価:リスクの大きさ=影響度×発生可能性
- リスク対応:回避・低減(対策設置)・移転(保険)・受容(このまま受け入れる)
- ISMS:情報セキュリティマネジメントシステム(ISO/IEC 27001)・PDCA
セキュリティ対策技術
- ファイアウォール:不正アクセスの防止・パケットフィルタリング・DMZ
- IDS/IPS:不正侵入の検知・防止(シグネチャ形式・アノマリ方式)
- 暗号化:共通鍵(AES)・公開鍵(RSA)・ハッシュ関数(SHA)・デジタル署名
- PKI:公開鍵基盤・認証局(CA)・デジタル証明書・証明書の失効
- VPN:仮想プライベートネットワーク・IPsec・SSL-VPN
出題傾向と対策
科目Bのセキュリティ問題は、シナリオ型の事例問題が中心です。「ある会社でこのような事象が起きた。このとき最も適切な対応はどれか」という形式が多く出題されます。
- 攻撃手法の名称と特徴、対策方法をセットで覚える
- ISMSやPDCAサイクルなどのフレームワークも押さえておく
- リスク対応の4種類(回避・低減・移転・受容)を具体的な事例で理解する
- 過去問・サンプル問題を繰り返し解いて問題形式に慣れる