情報処理安全確保支援士 | 資格hacker

本書の構成と使い方

(1) 本書の構成と使い方
11章に分類したセキュリティ技術の説明と,各章の大きな節ごとの例題演習で構成しています。例題は,情報セキュリティスペシャリスト試験や応用情報技術者試験の午前問題です。インプットとアウトプットを組み合わせるのが効果的です。例題の解答解説は、全体をまとめて第12章に記載しています。

(2) 英字の略号のルビについて
ルビを付けているのは,アルファベット読みではないものです。読み方は唯一ではないものもあります。本書では代表的なものを掲載しています。
例 ARP “エーアールピー”ではなく“アープ”なのでルビを付けています。
TLS “ティーエルエス”なのでルビを付けていません。

(3) 法令,規格, ガイドラインについて
法令、規格,ガイドラインなどは、出版後に改正される可能性がありますので、必要に応じて最新の情報を確認してください。

Pick up ―情報処理安全確保支援士試験とは―
前述のとおり,本書は情報処理安全確保支援士試験の学習にもご活用いただけます。そこで、簡単に試験の概要を紹介します。※以下、IPAホームページ(https://www.jitec.ipa.go.jp/)より要約

(1) 「情報処理安全確保支援士」の創設
サイバー攻撃の急激な増加により、企業などにおけるサイバーセキュリティ対策の重要性が高まる一方、サイバーセキュリティ対策を担う実践的な能力を有する人材は不足しています。そこで、サイバーセキュリティに関する実践的な知識・技能を有する専門人材の育成と確保を目指して,国家資格「情報処理安全確保支援士」制度が創設されました。

「情報処理安全確保支援士」はサイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、サイバーセキュリティ対策の調査・分析・評価やその結果に基づく指導・助言を行います。

(2) 登録のメリット
・国家資格「情報処理安全確保支援士」の資格名称を使用ができる。
・情報セキュリティに関する高度な知識・技能を保有する証になる。
・毎年の講習受講により、情報セキュリティに関する最新知識や実践的な能力の維持ができる。

(3) 情報処理安全確保支援士試験
「情報処理安全確保支援士」制度の創設に伴い、従来の情報セキュリティスペシャリスト試験は廃止され,平成29年4月から新たに情報処理安全確保支援士試験が実施されています。情報処理安全確保支援士試験の合格者は、登録をすることによって、独占的に「情報処理安全確保支援士」の資格名称を使用することができます。

試験に関心をもたれた方、受験を考えている方は,IPAのWEBサイトで詳細情報をご確認ください。支援士資格の登録、講習の受講などに関するFAQも掲載されていまのすので、こまめに確認しておきましょう。
https://www.ipa.go.jp/siensi/index.html

セキュリティ技術の教科書　第2版

長嶋仁 (著)

出版社: アイテック (2020/3/18)、出典:出版社HP

11.2 情報セキュリティ関連規格,ガイドライン,制度
11.2.1 CRYPTREC
11.2.2 ISO/IEC 27000シリーズ
11.2.3 その他の関連規格・基準
11.2.4 情報セキュリティ関連ガイドライン
11.2.5 情報セキュリティ関連制度
11.2.6 例題演習 11.3 情報セキュリティ関連法規

11.3.1 サイバーセキュリティ基本法
11.3.2 刑法
11.3.3 不正アクセス禁止法
11.3.4 知的財産権関連法規
11.3.5 個人情報保護法
11.3.6 その他の情報セキュリティ関連法規
11.3.7例題演習

第12章　例題演習の解答・解説

用語 INDEX
参考文献/URL

セキュリティ技術の教科書　第2版

長嶋仁 (著)

出版社: アイテック (2020/3/18)、出典:出版社HP

ポケットスタディ情報処理安全確保支援士

はじめに

本書の狙い
筆者の村山直紀と申します。プロの講師陣が執筆する,秀和システム『ポケットスタディ』シリーズ (通称ポケスタ),その「情報処理安全確保支援士試験(情報セキュリティスペシャリスト試験)」(以下,SC試験)対応版を,お届けします。

本書は,旧試験で大反響を得た定番書籍「ポケットスタディ情報セキュリティスペシャリスト[第2版]」の,正統な後継。その書籍が,日本におけるサイバーセキュリティの普及啓発の一翼を担う書籍として社会に広く普及した事,そしてSC試験への合格という形で幾多の幸福に貢献できた事,筆者としてとても嬉しく思います。

さて本書。SC試験の合格に必要十分な知識と解答テクニックを御覧の通りの手頃なサイズに濃縮。そして「わかりやすさ」「がめつさ」「セミナー会場の臨場感」も御期待通り。また「出題のライフサイクル®」分析を踏まえ,皆様の素朴で切実な疑問「では,どう出す?どう答える?」への筆者からの回答「書くべき着眼点は,こうだ!」も,午後のスペシャルテクニック「速効サプリ®」として本書に結実しました。

合格するなら『ポケスタ』
本書は,解答テクニックを速修したい“現場のプロ”の強い味方。そしてSC(または相当)試験の合格者の,継続学習にも対応。本書は,企業等の人材育成担当者様,大学等の教職員様の,教育活動のネタ本としても御支持を頂く,ツボを押さえた割り切り設計です。

受験予定者はSC試験の実施機関(以下,IPA)がWebサイト上で無償公開する過去問題・解答例・シラバス等を入手し,本書と過去問題の精読で解法のツボを押さえ,必要ならばスマホ等で検索し,専門書の併読を。

やがて学習が進み,他の厚手のSC試験対策書も一通りこなされた頃には, 本書は通勤・通学・試験会場での総チェックにと,どこにでもお供します。本書は当落線上の読者様の“背中を最後に一押し”します。

自己啓発にも「ポケスタ」
そして「SC試験に合格」では終わらせないのが昨今の政策。本書は情報処理安全確保支援士(登録セキスペ)の維持に不可欠な,更新制度への備えにも最適です。過去にSC試験に合格された多忙な“現場のプロ”のフォローアップにも,本書の「速効サプリ」は役立ちます。

試験の合格率

上図はH24春期~H28秋期の,SC試験の通過率(延人数ベース,以下同じ)です。受験者の過半数を占める「午前I」免除者や,途中帰宅等によって図との差異は生じますが,受験者総数に占める合格者総数の率・平均合格率は約14.46%です。なお合格者総数の,「午前Ⅱ」受験者総数(「午前I」免除者+同・通過者)に占める率は約18.21%,不受験者を含む応募者総数に占める率は約9.63%です。

H28春期・情報セキュリティマネジメント(SG)試験の合格者の多くが,次のステップとして同年秋期・旧SC試験を受験し,「午前I」受験者数は半年で2,739名の増加。ですが「午前I」通過者数は,むしろ202名の減少。SG試験に合格ホヤホヤの人,歯が立っていません。そこで,「午前I(共通知識)」通過には,赤いボケスタ『高度試験共通』,青いポケスタ『応用情報技術者』,これらの最新版を併用して下さい。

本書でお伝えしたい事
本書の見開き番号1～80番は,知識と“答の軸”の獲得が中心,そして 81番は「午後I・II」記述式試験の魔道書「速効サプリ®」。

また,IPA公表の公式解答例に沿わないと合格できない実状を鑑み,本書は「解答例至上主義」を徹底。出題者が「こう答えて欲しい!」と示すヒント等,“その解答例こそが正しい”の論拠も,本書は明確です。

そして本書の目的は「午前II (専門知識)」当然の通過と,「午後I・II」への知識・テクニックの投入。その強力な助っ人が,次の仕掛けです。

・ついでに覚える! 関連知識へのリンク【→[見開き番号]】
・解答テクの即チャージ! これが噂の「速効サプリ」【→81】
・くすぐるあなたの達成感,80問の腕試し「Point check」
・見開き番号毎の「Key Word」は“調べ学習に効果を発揮!
・視野も広がる「コラム」, 心に刻め!「鉄則」「要暗記」
・ポカミス予防! 大反響「漢字かきとりテスト」【→59コラム】
・全問題に出題年・問番号を併記,信頼の証! 参考文献名も明示

H26秋期SC試験。当時の本書で学んだ2名の中学生が合格され,合格の最年少記録を更新しました。推薦の言葉を頂いております。

【合格時中学1年】井上勢大様
本番での発想を素早く,確信を持って文章にできるようになる一冊。

【合格時中学2年】青山昂生様
問題を「試験時間内」に解き切る為に必須の一冊。

読者様も筆者も,負けていられません。

情報処理講師
村山直紀(むらやま,なおき)

村山直紀 (著)

出版社: 秀和システム (2017/4/1)、出典:出版社HP

はじめに
受験手続きから合格までの流れ
情報処理安全確保支援士試験の出題範囲

第1部テクノロジ系
第1章技術要素
1 セキュリティ
1 暗号化技術①
2 暗号化技術②

3 認証技術①　ディジタル署名
4 認証技術②　時刻認証,ハッシュ関数
5 認証技術③　ワンタイムパスワード
6 認証技術④　ゼロ知識証明
7 認証技術⑤　PKI, その他

8 「暗号化・認証」出題ポイント①
9 「暗号化・認証」出題ポイント②

10 リスクの種類①　クラウド環境下のリスク
・IoT「5つの指針」出題予想①【分析】
11 リスクの種類②　仮想環境下のリスクー
12 リスクの種類③　OSとリスク
13 リスクの種類④　「なりすまし」出題対策
・コピったROMでPINを知る

14 リスクの種類⑤　漏えい時の対応
15 リスクの種類⑥　DNS
16 リスクの種類⑦　盗聴
17 リスクの種類⑧　パスワードクラック
18 リスクの種類⑨　不適切な認証

19 ISMS,情報セキュリティポリシ①
20 ISMS,情報セキュリティポリシ②

21 リスクマネジメント①　用語
22 リスクマネジメント②　出題ポイント
23 リスクマネジメント③　各種対策
・善かれと思って報告されても
24 リスクマネジメント④　リスク対応

25 BCP, コンティンジェンシープラン
26 情報セキュリティ関連機関
・IoT「5つの指針」出題予想②【方針】

27 アクセス制御①　役割と権限
28 アクセス制御②　アクセス制御
・IoT「5つの指針」出題予想③【設計】
29 「ログの管理」出題ポイント

30 ディジタルフォレンジックス①　解析の手法
31 ディジタルフォレンジックス②　アンチフォレンジックス

32 技術評価①　評価方法,評価指標
33 技術評価②　CC(コモンクライテリア)

34 人的対策①　ソーシャルエンジニアリング
35 人的対策②　利用者への対策
36 人的対策③　規則,その他

37 技術的対策①　「暗号化」出題ポイント
38 技術的対策②　サーバへの対策
39 技術的対策③　ボット対策
40 技術的対策④　マルウェア対策
41 技術的対策⑤　認証

42 技術的対策⑥　ファイアウォール
43 技術的対策⑦　フィルタリング
44 技術的対策⑧　WAF,IDS,IPS
45 技術的対策⑨　防御の手法
46 技術的対策⑩　電子メール①
47 技術的対策⑪　電子メール②

48 物理的セキュリティ対策
・奥義!言葉のパレート分析
49 実装技術①　セキュアプログラミング
50 実装技術②　IoT
・loT「5つの指針」出題予想④【構築・接続】
51 実装技術③ その他

2 ネットワーク
52 データ通信と制御①　WAN
53 データ通信と制御②　LAN
・インシデントの例

54 通信プロトコル①　SDN
55 通信プロトコル②　IPv6
56 通信プロトコル③　IPv4
57 通信プロトコル④　ICMP (ping)
・「できる」の判断基準
58 通信プロトコル⑤　DNS

59 通信プロトコル⑥　TCP, UDP
・漢字かきとりテスト[サイバーセキュリティ編] 60 通信プロトコル⑦　その他
61 ネットワーク管理

62 電子メール①　電子メールでの認証
63 電子メール②　「メール」出題対策
64 電子メール③　その他

3 データベース
65 データベース①　データ操作
66 データベース②　データベース応用
・「である」に潜む「する」の出題価値

第2章開発技術
4 システム開発技術
67 システム開発技術①　テスト技法,XML
68 システム開発技術②　オブジェクト指向

5 ソフトウェア開発管理技術
69 ソフトウェア開発管理技術①　プロセス
70 ソフトウェア開発管理技術②　知財
・記述問題の採点基準例
71 ソフトウェア開発管理技術③　脆弱性対策
・「所与」について

第2部マネジメント系
第3章サービスマネジメント
6 サービスマネジメント
72 サービスマネジメント①　ITIL
73 サービスマネジメント②　ITILのプロセス
74 サービスマネジメント③　高信頼性設計
75 サービスマネジメント④　ファシリティマネジメント

7 システム監査
76 システム監査・情報セキュリティ監査①
77 システム監査・情報セキュリティ監査②
78 内部統制
・IoT「5つの指針」出題予想⑤【運用・保守】

79 関連法規①
80 関連法規②
・文字数削減の極意

第3部午後試験対策
第4章午後対策
●午後のスペシャルテクニック
81 「速効サプリ」こんな特効薬が欲しかった!

索引
練習用解答用紙

村山直紀 (著)

出版社: 秀和システム (2017/4/1)、出典:出版社HP

受験手続きから合格までの流れ

試験のスケジュール

・試験名
情報処理安全確保支援士試験(SC)

・試験日(通例)
春期試験：4月第3日曜日　秋期試験：10月第3日曜日

・試験時間
午前I：9:30～10:20(50分,途中退室不可) 四肢択一 30問必須
午前II：10:50～11:30(40分,途中退室不可) 四肢択一 25問必須
午後Ⅰ：2:30～14:00(90分) 記述式3問出題2問解答
午後II：14:30～16:30(120分) 記述式2問出題1問解答
注1：「午前I免除」が認められた受験者は「午前II」からの受験が可
注2：時間は監督員の時計が基準,開始20分前までに着席

出願について
・出願期間
例年,春期試験は1月中旬,秋期試験は7月中旬からの約1ヶ月間です。詳しくは,情報処理技術者試験センターのWebサイト等でご確認下さい。一定の基準を満たせば,出願時の明示的な申請により「午前I免除」を適用できます。

・Webサイトからの出願
情報処理技術者試験センターのWebサイトから,指示に従って情報を入力するだけで出願できます。受験手数料は5,700円(本稿執筆現在),最新の値は都度ご確認下さい。

・案内書・手書きによる願書の入手先
①情報処理技術者試験センター　②全国主要書店
案内書は,情報処理技術者試験センターのWebサイトからもダウンロードできます(この場合,願書は付いていません)。

・受験票の到着
通例,試験実施当月の初頭に,受験票が郵送されます。届かない場合や, 受験票の記載事項に問題がある場合は,情報処理技術者試験センターに問い合わせる必要があります。

試験当日の注意
当日の交通機関は休日ダイヤです。また,試験時間中の携帯電話の使用・着信(含・バイプレータ)は即退場(=不合格)であり,ボールペンでの答案記入も使用可能な筆記具の規定に反します。その他詳細は,受験票および会場係員の指示に従ってください。

点数配分,お勧めの労力配分
「午前I」「午前II」「午後I」「午後II」の全てが「満点の60%以上」で合格です。午後の試験(記述式)は,まずは設問から目を通すのが鉄則。本文中の不自然な会話・注記・「だが」といった逆接表現など“妙にひっかかる”部分こそが,出題者からのヒントだと肝に銘じて下さい。

午前Ⅰ試験（9:30~10:20）	3.4点×30問点数の上限は100点（平均100秒/問）	全て同じ点数です。「脊髄反射」で解ける、得意分野で短い文の出題からの着手が得策です。
午前Ⅱ試験（10:50~11:30）	4点×25問（平均96秒/問）	「初めてみた」出題なら昼休みに要サーチ。その用語が当日の「午後」に出る可能性も。
午後Ⅰ試験（12:30~14:00）	50点×2問（問1~3から選択）	全設問の2回読込みで、後ろの方の設問（高得点の長文）を書く自信がない1問を捨ててください。
午後Ⅱ試験（14:30~16:30）	100点×1問（問1~2から選択）	10分かけて2問の比較・吟味。本文中に「ここは設問n（と関係あり）」等、残り60分で丁寧に答案を埋める進行がお勧め。

合格発表
発表日は,おおむね試験日の2ヶ月後です。その後,合格者にのみ,合格証書が発送されます。受験票は失くさず,合格証書到着まで保管しておいて下さい。

※試験制度に関する詳細や最新の情報は「情報処理技術者試験センター」Webサイトをご参照下さい。

村山直紀 (著)

出版社: 秀和システム (2017/4/1)、出典:出版社HP

情報処理安全確保支援士試験の出題範囲

●午前の試験

●午後の試験
1　情報セキュリティシステムの企画・要件定義・開発・運用・保守に関すること
情報システムの企画・要件定義・開発,物理的セキュリティ対策, アプリケーション(Webアプリケーションを含む)のセキュリティ対策, セキュアプログラミング, データベースセキュリティ対策,ネットワークセキュリティ対策, システムセキュリティ対策など

2　情報セキュリティの運用に関すること
情報セキュリティポリシ, リスク分析, 業務継続計画, 情報セキュリティ運用・管理,脆弱性分析,誤使用分析,不正アクセス対策,インシデント対応,ユーザセキュリティ管理,障害復旧計画,情報セキュリティ教育, システム監査(のセキュリティ側面), 内部統制など

3　情報セキュリティ技術に関すること
アクセス管理技術,暗号技術,認証技術, マルウェア(コンピュータウイルス,ボット,スパイウェアなど)対策技術,攻撃手法(ソーシャルエンジニアリング,サイバー攻撃など), セキュリティ応用システム(署名認証,侵入検知システム, ファイアウォール, セキュアな通信技術(VPNほか),鍵管理技術,PKIなど。また,周辺機器も対象とする),監査証跡のためのログ管理技術など

4　開発の管理に関すること
開発ライフサイクル管理,システム文書構成管理, ソフトウェアの配布と操作,人的管理手法 (チーム内の不正を起こさせないような仕組み),開発環境の情報セキュリティ管理,脆弱性情報収集管理など

5　情報セキュリティ関連の法的要求事項などに関すること
情報セキュリティ関連法規,国内・国際標準,ガイドライン,著作権法, 個人情報保護,情報倫理など

『情報処理技術者試験情報処理安全確保支援士試験試験要綱 Ver 3.0』より作成

村山直紀 (著)

出版社: 秀和システム (2017/4/1)、出典:出版社HP

令和02年【春期】【秋期】情報処理安全確保支援士合格教本

はじめに

「情報処理安全確保支援士」は極めて有望な資格です。

日本が今後,経済の発展やプレゼンスの強化を狙うのであれば,国民全体のITリテラシの底上げや,ITに従事する人材の育成は避けて通れません。ITのインフラ化, 社会のITへの依存を考えると,IT教育の重要性は増すことはあっても,減ることはほぼ考えられません。高度な能力を持つ人材は引く手あまた,いくらいても足りない状況です。

IoTやAIなど,便利である反面,セキュリティ面で極めてセンシティブなシステムも激増します。その中核を担う情報処理安全確保支援士は,この分野での仕事を志す方は是非取得しておくべき資格です。キャリアパスを考えるときに,極めて大きなアドバンテージになるでしょう。

情報処理技術者関連資格では初めての名称独占資格,CCSFレベル4相当の高いプレミアム性があり,資格を取得した受験者は高い信頼と稀少価値を獲得できます。

そのプレミアム性に相応しい難しい試験ですが,臆する必要はありません。情報処理安全確保支援士のシラバスは,連綿と続いた情報セキュリティスペシャリスト試験 (廃止)などのセキュリティ系資格をベースにしており,その対策ノウハウや解答テクニックは長期間に渡って積み重ねられてきました。

本書を使って,安心して試験対策を進めてください。また,過去問演習はとても役に立ちます。本書特典のWebアプリや過去問の書籍にも目を通すと得点力が更に増します。

セキュリティの個別技術を問うというより,受験者のこの分野に対するポテンシャルや全体を俯瞰してセキュリティデザインを考える能力を見ることに主眼がおかれているため,実践的でないという批判もある試験ですが,高度なセキュリティ人材を多く育てていきたいという目標にはうまく合致した試験です。

注意しておきたいのは,情報処理安全確保支援士への登録です。登録や維持に高額の費用が必要なので,これを個人が負担し続けることはストレスになるでしょう。試験合格だけでも能力の証明になりますので,特に会社にお勤めの場合は,維持費補助などの制度をよく調べて登録するとよいでしょう。是非試験に合格して,キャリアパスを次のステージに移行させてください。

岡嶋裕史

岡嶋裕史 (著)

出版社: 技術評論社 (2019/12/14)、出典:出版社HP

1.13 DoS攻撃
1.13.1 サービス妨害とは
1.13.2 TCP SYN Flood
1.13.3 Connection Flood
1.13.4 UDP Flood
1.13.5 Ping Flood(ICMP Flood)
1.13.6 Ping of Death
1.13.7 DDoS攻撃
1.13.8 分散反射型 DoS攻撃
1.13.9 その他のDoS攻撃
1.13.10 サービス妨害の法的根拠
もっと掘り下げるボット

1.14 Webシステムへの攻撃
1.14.1 Webビーコン
1.14.2 フィッシング
1.14.3 ファーミング
1.14.4 MITB(Man In The Browser)

1.15 スクリプト攻撃
1.15.1 クロスサイトスクリプティング
1.15.2 クロスサイトリクエストフォージェリ
1.15.3 SQLインジェクション
1.15.4 OSコマンドインジェクション
1.15.5 HTTPヘッダインジェクション
1.15.6 キャッシュサーバへの介入

1.16 DNSキャッシュポイズニング
1.16.1 DNSキャッシュポイズニングとは
1.16.2 DNS Changer

1.17標的型攻撃
1.17.1 標的型攻撃とは
もっと掘り下げる APT

1.18 その他の攻撃方法
1.18.1 ソーシャルエンジニアリング
1.18.2 ランサムウェア
1.18.3 スパムメール
1.18.4 ファイル名の偽装
1.18.5 スパイウェア
1.18.6 メール爆撃
1.18.7 ルートキット

1.19 マルウェア
1.19.1 マルウェアの分類
もっと掘り下げるダークネット,サーフェスウェブ,ディープウェブ,ダークウェブ
1.19.2 マルウェアの感染経路①媒体感染
1.19.3 マルウェアの感染経路②ネットワーク
1.19.4 マクロウイルス

1.20 マルウェアへの対策
1.20.1 セキュリティ対策ソフト
1.20.2 セキュリティ対策ソフトの限界と対策
1.20.3 ネットワークからの窓断
1.20.4 感染後の対応
1.20.5 マルウェア対策の基準
理解度チェック・解答

■ 第2章　セキュリティ技術　対策と実装
2.1 ファイアウォール
2.1.1 ファイアウォールとは
2.1.2 レイヤ3フィルタリング(IPアドレス使用)
2.1.3 レイヤ4フィルタリング(+ポート番号, プロトコル種別)
もっと掘り下げるポート攻撃
2.1.4 ルータとの違い
2.1.5 レイヤクフィルタリング
2.1.6 ルールベース作成の注意
2.1.7 パーソナルファイアウォール
2.1.8 コンテンツフィルタリング

2.2 シングルサインオン
2.2.1 プロキシサーバ
2.2.2 リバースプロキシとシングルサインオン
2.2.3 その他のシングルサインオン

2.3 WAF
2.3.1 WAF とは

2.4 DMZ
2.4.1 公開サーバをどこに設置するか
2.4.2 第3のゾーンを作る-DMZ

2.5 リモートアクセス
2.5.1 リモートアクセス技術
2.5.2 PPP
2.5.3 PPPの認証技術

2.6 VPN
2.6.1 VPNの基本構成
2.6.2 VPNの種類
2.6.3 VPNの2つのモード
2.6.4 VPNを実現するプロトコル
2.6.5 ネットワーク仮想化

2.7 IPsec
2.7.1 IPsecとは
2.7.2 SA
2.7.3 AHとESP

2.8 IDS
2.8.1 IDSとは
2.8.2 IDSのしくみ

2.9 IPS
2.9.1 IPSとは
2.9.2 IPSの配置
2.9.3 IPSとファイアウォールの関係

2.10 不正データの排除
2.10.1 サニタイジング
2.10.2 エスケープ処理

2.11 プレースホルダー
2.11.1 プレースホルダとは

2.12 信頼性の向上①RASIS
2.12.1 RASIS

2.13信頼性の向上②耐障害設計
2.13.1 耐障害設計の考え方
2.13.2 フォールトアボイダンス
2.13.3フォールトトレランス
2.13.4 耐障害設計の手法
2.13.5 性能管理

2.14 信頼性の向上③バックアップ
2.14.1 バックアップとは
2.14.2 バックアップ計画
2.14.3 バックアップ方法
2.14.4 バックアップ運用

2.15 信頼性の向上④その他のバックアップ技術
2.15.1 NAS
2.15.2 SAN
もっと掘り下げるデータ爆発

2.16 ネットワーク管理技術
2.16.1 syslog
2.16.2 NTP
2.16.3 管理台帳の作成
2.16.4 SNMP

2.17 セキュア OS
2.17.1 Trusted OS
2.17.2 セキュア OS

2.18クラウドとモバイル
2.18.1 クラウド技術の弱性と対策
2.18.2 クラウドサービスの種類
2.18.3 モバイル機器の脆弱性と対策

2.19人的セキュリティ対策
2.19.1 アカウント管理
2.19.2 アクセス管理
2.19.3 IDの制限
理解度チェック・解答

■ 第3章　セキュリティ技術 -暗号と認証
3.1 セキュリティ技術の基本
3.1.1 セキュリティ技術とは
3.1.2 セキュリティ技術の種類

3.2 暗号①暗号化の考え方
3.2.1 盗聴リスクと暗号化
3.2.2 暗号の基本と種類
3.2.3 暗号を評価する団体

3.3 暗号②共通鍵暗号方式
3.3.1 共通鍵暗号方式
3.3.2 共通鍵暗号方式のしくみ
3.3.3 共通鍵暗号方式の実装技術
3.3.4 秘密鍵の管理

3.4 暗号③公開鍵暗号方式
3.4.1 公開鍵暗号方式
3.4.2 公開鍵暗号方式のしくみ
3.4.3 公開鍵暗号の実装技術

3.5 認証①認証システム
3.5.1 アクセスコントロールと認証システム
3.5.2 パスワード認証

3.6 認証②ワンタイムパスワード
3.6.1 ワンタイムパスワードとは
3.6.2 S/KEY
3.6.3 時刻同期方式

3.7 認証③パスワード運用の注意
3.7.1 パスワード認証の運用
3.7.2 パスワード作成上の要件
3.7.3 パスワード作成要件の矛盾
3.7.4 ユーザーID発行上の注意
3.7.5 クッキーによる認証

3.8 認証④認証の強化方法
3.8.1 バイオメトリクス認証
3.8.2 その他の認証強化方法

3.9 認証⑤ディジタル署名
3.9.1 ディジタル署名とは
3.9.2 ディジタル署名のしくみ
3.9.3 メッセージダイジェスト,ハッシュ値
3.9.4 ディジタル署名と公開館時号の使われ方
3.9.5 電子メールのエンコードと暗号化

3.10 認証⑥PKI(公開鍵基盤)
3.10.1 ディジタル署名の弱点
3.10.2 PKI
3.10.3 ディジタル証明書の失効
3.10.4 ディジタル証明書が証明できないもの
3.10.5 PKIで問われる関連技術
3.10.6 タイムスタンプ

3.11 認証⑦認証サーバの構成
3.11.1 認証サーバとは
3.11.2 RADIUS
3.11.3 Kerberos(ケルベロス)

3.12 認証⑧SSL/TLS
3.12.1 SSL
3.12.2 SSLの通信手順

3.13 認証⑨新しい認証方式
3.13.1 事物による認証
3.13.2 ICカードの認証プロセス
3.13.3 ICカードの問題点
3.13.4 多要素認証
3.13.5 RFID
3.13.3 ICカードの問題点
理解度チェック・解答

岡嶋裕史 (著)

出版社: 技術評論社 (2019/12/14)、出典:出版社HP

■ 第4章　セキュリティマネジメント
4.1情報セキュリティポリシー
4.1.1 情報セキュリティポリシとは
4.1.2 法律との違い
4.1.3 JIS Q 27000とISMS
4.1.4 情報セキュリティポリシの種類
4.1.5 他の社内文書等との整合性
4.1.6 情報セキュリティポリシを具体化する組織（CSIRT,SOC）

4.2 ISMSの運用
4.2.1 ISMS運用のポイント

4.3 ISMS 審査のプロセス
4.3.1 ISMS適合性評価制度の審査
4.3.2 ISMS審査の手順

4.4 セキュリティシステムの実装
4.4.1 セキュリティ製品の導入
4.4.2 ペネトレーションテスト(弱性検査)の実施

4.5 セキュリティシステムの運用
4.5.1 セキュリティパッチの適用
4.5.2 ログの収集
4.5.3ログの監査

4.6 サービスマネジメント
4.6.1 サービスマネジメントとは
4.6.2 サービスレベルアグリーメント(SLA)
4.6.3 JIS Q 20000
4.6.4 サービスデスク
4.6.5 ファシリティマネジメント

4.7 セキュリティ教育
4.7.1 ユーザへの教育
4.7.2 セキュリティ技術者・管理者への教育
4.7.3 セキュリティ教育の限界

4.8 リスクマネジメント
4.8.1 リスクとは
もっと掘り下げる受容水準
4.8.2 JIS Q 31000シリーズ

4.9リスクアセスメント①取組み方法の策定
4.9.1 リスクアセスメントとは
4.9.2 取組み方法の種類

4.10 リスクアセスメント②リスク評価の実際
4.10.1 リスクの識別と分析
4.10.2 リスク評価
4.10.3 リスク評価の方法
4.10.4 リスクの受容水準

4.11 リスク対応
4.11.1 リスク対応の手段
4.11.2 リスク対応の選択
4.11.3 リスク対応のポイント

4.12 セキュリティインシデントへの対応
4.12.1 セキュリティインシデントの対応手順
4.12.2 初動処理
4.12.3 影響範囲の特定と要因の特定
4.12.4 システムの復旧と再発防止
4.12.5 ディジタルフォレンジックス
4.12.6 BCP
4.12.7 BCM

4.13 システム監査
4.13.1 システム監査とは
4.13.2 監査基準
4.13.3 監査の種類
4.13.4 監査人の選定
4.13.5 監査の流れ
4.13.6 監査活動のステップ
4.13.7 被監査者側が対応すべきこと
4.13.8 システム監査の今後
もっと掘り下げる覚えておきたいその他の文書
理解度チェック・解答

■ 第5章　ソフトウェア開発技術とセキュリティ
5.1 システム開発のプロセス
5.1.1 システム開発の流れ
5.1.2 システム開発の基本的骨格

5.2 ソフトウェアのテスト
5.2.1 視点による分類
5.2.2 プロセスによる分類
5.2.3 結合テストの手法
5.2.4 テストデータの作り方
5.2.5 脆弱性チェックツール

5.3 システム開発技術
5.3.1 個々のプロセスの進め方
もっと掘り下げるペアプログラミング
5.3.2 システム設計のアプローチ方法
5.3.3 開発を取り巻く環境
5.3.4 JIS X 25010 システム及びソフトウェア品質モデル
もっと掘り下げる入出力データの管理

5.4セキュアプログラミング①C/C++
5.4.1 C言語はなぜ施弱か
5.4.2 C言語で安全なプログラムを書く方法
5.4.3 代表的なC/C++の脆弱性

5.5 セキュアプログラミング②Java
5.5.1 サンドボックスモデル
5.5.2 クラス
5.5.3 パーミッションの付与方法

5.6 セキュアプログラミング③ECMAScript
5.6.1 ECMAScript
5.6.2 ECMAScriptによるエスケープ処理
理解度チェック・解答

■ 第6章　ネットワーク
6.1 ネットワークの基礎
6.1.1 プロトコル
6.1.2 OSI 基本参照モデル
6.1.3 OSI基本参照モデルの詳細
6.1.4 パケット交換方式
6.1.5 コネクション型通信とコネクションレス型通信

6.2 TCP/IP
6.2.1 IPとTCP/IPプロトコルスイート
6.2.2 IPの特徴
6.2.3 IPヘッダ
6.2.4 IPバージョン6(IPv6)
6.2.5 TCP
6.2.6 UDP
6.2.7 トランスポート層のプロトコルとポート番号

6.3 IPアドレス
6.3.1 IPアドレス
6.3.2 ネットワークアドレスとホストアドレス
6.3.3 IPアドレスクラス
6.3.4 プライベートIPアドレス
6.3.5 MACアドレス

6.4 ポート番号
6.4.1 トランスポートの役割
6.4.2 ポート番号
6.4.3 ポート番号の使われ方

6.5 LAN間接続装置①物理層
6.5.1 リピーター
6.5.2 ハブ
6.5.3 LANの接続

6.6 LAN間接続装置②データリンク層
6.6.1ブリッジ
6.6.2 スイッチングハブ

6.7 LAN問接続装置③ネットワーク層
6.7.1 ルータ
6.7.2 L3スイッチー
6.7.3 VLAN

6.8 その他のネットワーク機器
6.8.1 loT
6.8.2 プロトコルアナライザ
6.8.3 LANその他の間接続機器

6.9 アドレス変換技術
6.9.1 NAT
6.9.2 IPマスカレード
6.9.3 NAT, IP マスカレードの注意点
6.9.4 UPnP

6.10 アプリケーション層のプロトコル①DNS
6.10.1 アプリケーション層の役割
6.10.2 DHCP
6.10.3 DNS

6.11 アプリケーション層のプロトコル②メールプロトコル
6.11.1 メールプロトコル
6.11.2 その他のメールプロトコル
6.11.3 セキュアなメールプロトコル

6.12アプリケーション層のプロトコル③HTTP その他
6.12.1 HTTP
6.12.2 HTTPS
6.12.3 FTP
6.12.4 Telnet
6.12.5 SSH

6.13 無線LAN
6.13.1 無線LAN
6.13.2 無線LANの規格
6.13.3 無線LAN のアクセス手順
6.13.4 WEP暗号
6.13.5 WPA/WPA2
6.13.6 IEEE 8021X認証の導入
理解度チェック・解答

■ 第7章　国際標準・法務
7.1 国際標準とISMS
7.1.1 ISO/IEC 15408
7.1.2 OECDプライバシーガイドライン
7.1.3 ISMS標準化の流れ
7.1.4 PCI DSS

7.2 国内のガイドライン
7.2.1 政府機関の情報セキュリティ対策のための統一基準
7.2.2 情報セキュリティ監査制度
7.2.3 情報システム安全対策基準
7.2.4 コンピュータウイルス対策基準
7.2.5 システム監査基準
7.2.6 コンピュータ不正アクセス対策基準
7.2.7プライバシーマーク制度
7.2.8 個人情報保護に関するコンプライアンス
7.2.9 SLCP-JCF2013
7.2.10 クラウドサービス利用のための情報セキュリティマネジメントガイドライン
7.2.11 サイバーセキュリティ経営ガイドライン
7.2.12 組織における内部不正ガイドライン
7.2.13 重要インフラのサイバーセキュリティを向上させるためのフレームワーク

7.3 法令
7.3.1 コンピュータ犯罪に対する法律
7.3.2 個人情報保護
7.3.3 知的財産保護
7.3.4 電子文書
7.3.5 サイバーセキュリティ基本法
7.3.6 プロバイダ責任制限法
7.3.7 派遣と請負
理解度チェック・解答

第Ⅱ部　長文問題演習 -午後Ⅰ・Ⅱ問題対策-
午後問題の出題
午後問題で知っておくべきネットワーク

■ 午後I　問題の対策
1 ソフトウェアの脆弱性対策
解答のポイント
2 標的型攻撃
解答のポイント
3 スマホアプリのセキュリティチェック
解答のポイント
4 パブリッククラウドサービス
解答のポイント
5 SSL/TLSを用いたサーバの設定と運用
解答のポイント
6 情報セキュリティ対策の強化
解答のポイント

■ 午後Ⅱ　問題の対策
1 セキュリティインシデントへの対応
解析のポイント
2 公開サーバの情報セキュリティ対策
解析のポイント
3 スマホを利用したリモートアクセス環境
解析のポイント
4 IoTシステムのセキュリティ対策
解析のポイント

索引
午前問題演習「DEKIDAS-Web」について

岡嶋裕史 (著)

出版社: 技術評論社 (2019/12/14)、出典:出版社HP

受験のてびき

■情報処理安全確保支援士試験とは
情報処理安全確保支援士試験とは,情報処理技術者試験とともに,経済産業省が主催する国家試験です。CCSFレベル4相当となる難易度の高い試験で,これに合格すれば,名実ともにセキュリティの専門家としてのキャリアを踏み出すことになります。

多肢選択式の午前試験と記述式の午後問題によって知識と実務経験がバランスよく試されます。実務経験は必須ではありませんが,あった方が得点しやすいでしょう。ベンダ側,ユーザ側両方の業務への理解が問われることも特徴です。近年の実業務では両者の相互理解が必須であることを考慮すれば当然の傾向といえます。

情報処理安全確保支援士試験の合格者に期待される業務と役割,技術水準はシラバスに示されていますが,2020年4月の試験で改訂がかかりました。情報セキュリティ全般を業務ドメインとする専門家であることはもちろんなのですが,その役割がややマネジメント, コンサルティングよりにシフトしています。リスクアセスメントやインシデント発生時の証拠収集・分析への言及も増えました。過去問に当たるときに留意してください。

■試験実施日
情報処理安全確保支援士試験は,春・秋の年2回の実施となります。

試験実施日　4月第3日曜日/10月第3日曜日
受験申込み手続きや試験の注意事項等については,必ず情報処理技術者試験センターのホームページ等でご確認ください。
【試験センター】 https://www.jitec.ipa.go.jp/

■出題形式,試験区分
情報処理安全確保支援士試験は,午前Iと午前II,午後Iと午後IIの試験区分に分かれます。午前試験は,期待される技術水準に達しているかどうかの「知識」を問うことで受験者の能力を評価するもの,午後試験は,課題発見能力,抽象化能力,課題解決能力などの「技能」を問うことで受験者の能力を評価するものとされています。

試験区分	午前Ⅰ	午前Ⅱ	午後Ⅰ	午後Ⅱ
出題形式	多肢選択式（四肢択一）高度試験共通問題	多肢選択式（四肢択一）	記述式	記述式
出題数と必要解答数	30問出題/30問解答	25問出題/25問解答	3問出題/2問解答	2問出題/1問解答

■シラバス,人材像の変更など
2020年春試験よりシラバスが変更になります。主にセキュリティ系の強化やAI・IoT等の新技術の追加であり,午前の試験範囲は基本的には変わりませんが,午後はマネジメント寄りに強化されています。詳しくはp.578を参照してください。

また,情報処理安全確保支援士試験の対象者像のうち,「業務と役割」「期待する技術水準」は大きく変わりましたので,以下のURLより新しい「試験要項 Ver4.4」をご確認ください。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_hanni_skill.html

■合格基準点と多段階選抜方式
情報処理安全確保支援士試験の午前Ⅰ,午前II,午後Ⅰ,午後II試験には,それぞれ基準点が設けられています。基準点はそれぞれ,100点満点中の60%となっています。

また,各試験で基準点に達しない場合は,以下のとおり以降の試験の採点が行われずに不合格となります。

・午前I試験の得点が基準点に達しない場合,午前II・午後I・午後II試験の採点を行わずに不合格とする。
・午前II試験の得点が基準点に達しない場合,午後I・午後II試験の採点を行わずに不合格とする。
・午後I試験の得点が基準点に達しない場合,午後II試験の採点を行わずに不合格とする。

■午前I免除制度
情報処理技術者試験の高度試験と情報処理安全確保支援士試験に共通する知識を問う午前I試験では,以下の1～3の条件のいずれかを満たしていれば,その後2年間の受験が免除されます。

条件1：応用情報技術者試験に合格する
条件2：いずれかの高度試験または支援士試験に合格する
条件3：いずれかの高度試験または支援士試験の午前I試験で基準点以上の成績を得る

なお,高度試験とは,以下の8つの試験を指します。
・ITストラテジスト試験
・システムアーキテクト試験
・プロジェクトマネージャ試験
・ITサービスマネージャ試験
・システム監査技術者試験
・ネットワークスペシャリスト試験
・データベーススペシャリスト試験
・エンベデッドシステムスペシャリスト試験

■午前Ⅱ免除制度
2017年11月1日より情報処理安全確保支援士の午前II試験の免除制度がスタートしました。これはIPAより午前II免除の認定を受けた教育機関の学科の課程を修了した者は,課程修了2年以内に受験する午前II試験の免除が受けられるというものです。認定の対象となる教育機関は

1.大学院
2.大学(短期大学を除く)
3.専門学校(高度専門士の称号が付与されるものに限る)

で,認定の対象となる学科等は「情報セキュリティに関する知識を専門的に修得するための研究科,研究科の専攻,学部学科又はこれらに相当する課程」となります。詳しくは https://www.jitec.ipa.go.jp/1_81menjo/_index_sc_am2menjo.html
を参照してください。

■情報処理安全確保支援士の登録制度について,
情報処理安全確保支援士試験がこれまでの情報セキュリティスペシャリスト試験と大きく異なるのは,試験合格者が国家資格「情報処理安全確保支援士」の登録対象になることです。

情報処理安全確保支援士は登録制の名称独占資格で,2016年10月21日から制度が開始されました。登録事務は独立行政法人情報処理推進機構(略称：IPA)が行います。資格の登録可能対象者を以下に参照します。

・情報処理安全確保支援士試験合格者
・情報処理安全確保支援士試験合格者と同等以上の能力を有する方
情報処理の促進に関する法律施行規則第一条の規定に基づき,以下に該当する方が対象となります。
・経済産業大臣が認定した方 (警察,自衛隊,内閣官房,情報処理安全確保支援士試験委員のうち,所定の要件を満たす方)
・経済産業大臣が情報処理安全確保支援士試験の全部を免除した方 (IPAの産業サイバーセキュリティセンターが行う中核人材育成プログラムを修了した方)

登録者には,氏名,生年月日等を記載した「情報処理安全確保支援士登録簿」が作成され,経済産業省に備えられます。「情報処理安全確保支援士登録簿」には公開必須事項として,「登録者の登録番号」「登録年月日」「情報処理安全確保支援士試験に合格した年月」「講習の修了年月日」があり,IPAのWebサイトにて公開されます。その他にも,「氏名」「生年月」「資格試験合格証書番号」「自宅住所」「勤務先名称」「勤務先住所」という項目がありますが,これらの情報公開は本人の任意です。

■登録申請に必要な書類
資格登録に必要な書類は以下の通りです(詳細は「登録の手引き」https://www. ipa.go.jp/files/000063891.pdf を参照ください)。

1. 登録申請書(PDFに入力して印刷し署名押印登録免許税の収入印紙(9,000円)・登録手数料(10,700円)の振込を証明する書類が必要)
2. 現状調査票(1.と同じPDFに入力して印刷)
3. 誓約書(PDFを印刷し,記入,署名押印)
4. 登記されていないことの証明書(法務局等で取得,原本を提出)
5. 身分証明書(本籍地の市区町村役所などで取得,原本を提出)
6. 情報処理安全確保支援士試験の合格証書のコピー又は合格証明書の原本
7. 戸籍の謄本若しくは抄本又は住民票の写し(市区町村役所等で取得,原本を提出)
8. 登録事項等公開届出書(PDFを印刷し,記入,署名押印)
9. 登録申請チェックリスト(PDFを印刷し,記入)

■登錄申請期間
資格の登録申請はIPAが随時受け付けています。登録簿への登録は,以下の年2回実施します。
・4月1日【申請締切:1月31日(当日消印有効)】
・10月1日【申請締切:7月31日(当日消印有効)】

■資格を維持するための講習制度
また情報処理安全確保支援士は登録すれば完了,ではなく資格を維持するために講習の受講が義務付けられています。IPAがサイバーセキュリティに関する有料講習(知識・技能・倫理)を継続的に実施します。受講上の義務に違反した者は取消し又は資格名称の使用停止となることがあります。資格の有効期間は3年間で14万円の費用がかかります。以下に講習の詳細について参照します。

①オンライン講習：登録日を起点とし,年1回(6時間)受講
②集合講習：登録日を起点とし,3年目に1回(6時間)受講
③4年目以降は,①と②を3年サイクルで繰り返す

ただし,試験合格日から登録日までの期間が3年を超過している場合は,登録日を起点として1年以内に「オンライン講習」「集合講習」の受講が義務付けられ,2年目以降,①から③のサイクルに準じて受講する必要があります。

■情報処理安全確保支援士の通称名
経済産業省では,情報処理安全確保支援士が社会全体で活用され,企業などにおけるセキュリティ対策を進めるため,通称名を設けています。以下に,法律上の名称に加え,通称名を記します。

法律名：情報処理安全確保支援士
通称名：登録情報セキュリティスペシャリスト(登録セキスペ)
英語名：Registered Information Security Specialist (RISS)

■問合せ先
独立行政法人情報処理推進機構
IT人材育成センター国家資格・試験部
登録・講習グループ
TEL:03-5978-7561
受付時間：10:00～12:30, 13:30～17:00(土日・祝日,年末年始(12月29日~ 1月3日)は休業) MAIL：riss-grp@ipa.go.jp(添付ファイル不可)

岡嶋裕史 (著)

出版社: 技術評論社 (2019/12/14)、出典:出版社HP