ITサポート:DAY75|セキュリティ復習

⚠️ SECURITY MISSION ⚠️
Lv.1
次のレベルまで 100 XP
0 / 100
🛡️
CIA完全把握
🎯
攻撃分類マスター
🔍
引っかけ全回避
💯
テスト満点
🏆
DAY75完全制覇
ITパスポート独学道場 DAY75 セキュリティ完全攻略

🐥 カイピヨくんと学ぶ ITサポート独学

DAY75|セキュリティ復習

― 重点ポイント ―

🎧
この記事は音声でも学べます
「セキュリティは守りではなく武器だ」
0:00
0:00
速度:

📖 はじめに|DAY75は「ここで合否が決まる」

なぜDAY75が合否の分かれ道なのか
📈
ほぼ毎回出る
全試験で必出の分野
基本問題が多い
知れば確実に取れる
差がつく分野
落とすと不合格直結
⚠️ セキュリティは最頻出&最重要分野。ここを落とすと不合格に直結!
🐥 カイピヨくんの一言(冒頭)
カイピヨくん

「セキュリティは"守り"じゃないピヨ。
"点を取りに行く武器"ピヨ!」

🐥🛡️

結論:この5つだけ覚えれば8割取れる!

第1章|結論:この5つだけ覚えろ

👇 各ピラーをタップすると説明が見られます

🛡️
CIA
情報セキュリティの3原則。機密性・完全性・可用性の英字の頭文字
🦠
マルウェア
悪意のあるプログラムの総称。ウイルス・ランサムウェア・スパイウェア等
🎣
フィッシング
偽メール・偽サイトでだまして情報を入力させる攻撃。人間を狙う
🔑
認証
本人確認の仕組み。パスワード+スマホ等2つの要素を使う二要素認証が重要
🔒
暗号化
データを読めなくする技術。HTTPS通信・機密情報の保護に使われる
試験対策は極めてシンプル。この5本柱を確実にするだけ!

第2章|最重要① CIA(絶対出る)

最重要①情報セキュリティの3原則CIA

🎮 復習ゲーム①:CIA 3原則タッチ

⚡ 各文字をタップして意味を確認しよう!
3つすべてタップするとバッジ獲得!用語と意味は必ずセットで覚える
C
機密性
Confidentiality
🔐 見せない
権限のない人にはアクセスさせない
I
完全性
Integrity
✏️ 改ざんさせない
データが正確・完全であることを保証する
A
可用性
Availability
🟢 使える
必要なときに情報・システムを利用できる

第3章・第4章|マルウェアとフィッシング

最重要②マルウェア(悪意のあるプログラム)
🐛ウイルス
他のプログラムに寄生して増殖・破壊を行うマルウェア。感染したファイルを開くことで広がる
🔒💰ランサムウェア
データを暗号化して人質に取り、復号と引き換えに金銭(身代金)を要求するマルウェア
🕵️スパイウェア
ユーザーに気づかれないよう潜伏し、個人情報・パスワード等を密かに収集・送信するマルウェア
試験の狙い目:「感染経路」と「被害内容」をセットで問われる!
最重要③フィッシング(だまして奪う)

🎣 フィッシング:システムではなく「人間」の心理を狙う攻撃

手口
偽メール・偽サイトで誘導
→ 本物そっくりに見せる
目的
ID・パスワードを自分で入力させる
→ 情報を盗む
⚠️ システムの欠陥ではなく「人の不注意・信頼」を突く攻撃!
試験での見分け方:マルウェアvsフィッシング
比較🦠 マルウェア🎣 フィッシング
攻撃の対象システム・PC人間(心理)
主な手口プログラムの感染・インストール偽メール・偽サイトへの誘導
最終目的破壊・身代金・情報窃取ID・パスワードの自己入力
攻撃対象が「機械」か「人」かを見極めろ!

🎮 復習ゲーム②:攻撃シナリオ分類

🎯 このシナリオはどの攻撃?当ててみよう!
状況を読んで、該当する攻撃種類を選んでください
正解: 0 / 6
読み込み中...
🦠 マルウェア感染
🎣 フィッシング
🔒 ランサムウェア
🕵️ スパイウェア
👤 ソーシャルエンジニアリング
🔑 パスワード攻撃

第5章・第6章|認証と暗号化

最重要④認証(本人確認の壁)

🔑 パスワード認証

知識情報(本人だけが知っていること)を使った認証。最も一般的だが単体では弱い
弱点:漏えい・使い回しで突破される

🛡️ 二要素認証(2FA)

異なる2種類の情報を組み合わせて確認する認証方式
🧠 知識:パスワード
📱 所有:スマホのOTP・SMS
👆 生体:指紋・顔認証
パスワード単体より強固な壁!
最重要⑤暗号化(通信を守る盾)

🔒 暗号化:データを読めなくする技術

元データ
「機密情報」
暗号化
「X4G7L9@#$」
受信側
復号して読める
HTTPS通信で使われる。途中で盗み見られても内容が分からない!
よく出る追加ポイント(守りの三種の神器)

第7章|守りの三種の神器(追加ポイント)

🏰
ファイアウォール
外部からの不正アクセスを検知・遮断する「壁」
💾
バックアップ
データの定期的な複製。万が一の時のデータ復旧手段
🔐
アクセス制御
「誰が何にアクセスできるか」を管理する権限管理
この3つは役割をセットで覚えるピヨ!
最大の弱点は人である

第9章|セキュリティは"人"が弱点

技術がどれだけ進化しても、結局は「人」が狙われる

🎣 フィッシング:騙されて偽サイトに情報を入力してしまう
🔑 パスワードの使い回し:1つが漏れると全アカウントが危険に
📧 メールの誤送信:宛先や添付ファイルの確認不足による情報漏えい
人が原因のセキュリティ事故が試験の頻出テーマ!
システムの欠陥より人間の心理・不注意を突く攻撃に要注意。
試験官の罠!引っかけパターンを回避せよ

第8章|引っかけパターン3選

❌ 罠:「HTTPSは安全ではない」
✅ 真実:TLS/SSLで暗号化されており安全。間違い選択肢に注意
❌ 罠:「パスワードだけで安全」
✅ 真実:パスワード単体は不十分。二要素認証(2FA)が必要
❌ 罠:「ウイルス=全部同じ」
✅ 真実:ランサムウェア・スパイウェア等、目的ごとに種類が違う
用語の微妙なズレを狙ってくるので要注意!

📊 エビデンス確認:セキュリティ用語の正確な定義

CIA(情報セキュリティの3要素):ISO/IEC 27001(情報セキュリティマネジメントシステム規格)およびIPAの「情報セキュリティマネジメントガイドライン」で定義。Confidentiality(機密性)=権限のない者への情報アクセス防止、Integrity(完全性)=情報と処理方法の正確さ・完全さの保護、Availability(可用性)=権限のある利用者が必要時に情報・関連資産にアクセスできることの確実化。ITパスポートで最頻出の概念(IPA「情報セキュリティポリシー」)。

マルウェアの種類:IPA「情報セキュリティ10大脅威2024」によると、ランサムウェアは3年連続で組織向け脅威1位。スパイウェアは情報窃取型マルウェアの一種。ウイルスは宿主プログラムに寄生して複製・拡散する(IPA「コンピュータウイルス対策基準」)。マルウェアはこれらを包含する上位概念。

フィッシング(Phishing):実在する金融機関・企業を装った偽メール・偽サイトで認証情報を詐取する攻撃。ソーシャルエンジニアリングの代表的手口(IPA「フィッシング対策ガイドライン」、フィッシング対策協議会2024年統計)。国内のフィッシング報告件数は年々増加しており2024年は過去最多水準(フィッシング対策協議会)。

二要素認証(2FA/MFA):NIST SP 800-63B(デジタルアイデンティティガイドライン)で定義。認証要素は①知識(パスワード等)②所有(スマホ・ICカード等)③生体(指紋・顔認証等)の3種類。異なる種類の要素を2つ以上組み合わせることで認証強度が大幅に向上(IPA「多要素認証」解説)。パスワード単体はリスト型攻撃等で突破される可能性があり、2FAが推奨される。

暗号化:HTTPS(HTTP Secure)はTLS(Transport Layer Security)プロトコルによる暗号化通信。現在はTLS 1.2/1.3が標準。通信内容を暗号化することで盗聴・改ざんを防止(RFC 8446 / IPA「TLS暗号設定ガイドライン」)。

人的要因:IPAの「情報セキュリティ10大脅威2024(個人)」ではフィッシング詐欺が1位。パスワードの使い回しによる不正アクセス被害も多数報告。メールの誤送信は個人情報保護委員会への報告義務が生じる場合もある(改正個人情報保護法2022年施行)。

第11章|DAY75で覚えればOKなこと

今日はこれだけ覚えればOK。
  • CIA:C=機密性(見せない)・I=完全性(改ざんさせない)・A=可用性(使える)
  • マルウェア:ウイルス(増殖破壊)・ランサムウェア(身代金)・スパイウェア(情報窃取)
  • フィッシング:偽メール・偽サイトで人間を騙してID・パスワードを奪う
  • 認証:パスワード+スマホ等の二要素認証(2FA)が強固
  • 暗号化:HTTPS(TLS)で通信を守る。途中で盗まれても読めない
DAY75最終確認クイズ(実戦テスト)

📝 確認クイズ(DAY75)

セキュリティの5本柱が身についたか確認しよう

Q1
CIAの「C」は何の略?
Q2
フィッシングの主な目的は?
Q3
HTTPSの最大の特徴は?
🐥 カイピヨくんの最後の一言
カイピヨくん

「セキュリティは"覚える"じゃないピヨ。
"守る意識"ピヨ!」

🐥🛡️

DAY75ミッション・コンプリート! 次回予告DAY76業務・法務復習

📝 DAY75まとめ

CIA(超頻出):C=機密性(見せない)、I=完全性(改ざんさせない)、A=可用性(使える)。ISO/IEC 27001で定義された情報セキュリティの3要素

マルウェア:ウイルス(増殖・破壊)、ランサムウェア(身代金要求・IPA10大脅威1位)、スパイウェア(情報窃取)。感染経路+被害内容をセットで覚える

フィッシング:偽メール・偽サイトで「人間を騙して」情報を入力させる。マルウェアと違い攻撃対象は「人間の心理」

認証:二要素認証(2FA)=知識×所有×生体の中から異なる2種類を組み合わせる。パスワード単体は不十分

暗号化:TLS/SSLによるHTTPS通信。ファイアウォール(外部からの壁)・バックアップ(復旧)・アクセス制御(権限管理)もセットで覚える

人的要因:フィッシング・パスワード使い回し・誤送信が試験頻出テーマ。技術より人間が最大の弱点

💬 次回予告(DAY76)

👉 DAY76:「業務・法務復習 ― よく出る分野 ―」
ストラテジ系の得点源を狙い撃ち!

\ 最新情報をチェック /