読み込み中...
読み込み中...
読み込み中...
読み込み中...
読み込み中...
FE試験の科目Bでは、セキュリティに関するシナリオ問題が出題されます。科目Bは全20問中4問程度がセキュリティ分野から出題され、残りはアルゴリズムとプログラミングです。セキュリティ問題は長文のシナリオを読み解く必要がありますが、パターンを理解していれば確実に得点できる分野です。
このセクションでは、セキュリティシナリオ問題の 出題傾向 、 長文の読み方 、 設問パターンと解答テクニック 、そして 頻出テーマ を体系的に解説します。
科目Bのセキュリティ問題には、明確な特徴があります。科目A(知識問題)とは異なり、単語の意味を問うのではなく、 具体的な状況で何をすべきか を判断する力が求められます。
| 項目 | 内容 |
|---|---|
| 出題数 | 全20問中 約4問 |
| 解答形式 | 多肢選択式 |
| 問題文の長さ | 1問あたり400〜800字程度のシナリオ |
| 制限時間の目安 | 1問あたり約5分(科目B全体で100分) |
| 配点比率 | アルゴリズム問題と同じ配点 |
セキュリティ問題は大きく分けて以下の3パターンで出題されます。
いずれのパターンでも、 セキュリティの基礎知識 と 問題文の正確な読解 の両方が必要です。知識だけでは解けず、読解だけでも解けないのがセキュリティ問題の特徴です。
セキュリティ問題のシナリオは長文ですが、闇雲に読むのではなく 構造を意識して 読むことが重要です。
ほとんどのシナリオは以下の構成で書かれています。
ステップ1: 設問を先に読む
問題文を読む前に、まず設問と選択肢に目を通します。これにより「何を聞かれているか」が分かり、シナリオのどこに注目すべきか明確になります。
ステップ2: 登場人物とシステム構成を把握する
シナリオに登場する組織・人物・システムの関係を整理します。特に以下の要素に注目してください。
ステップ3: 「違和感」を探す
セキュリティ問題では、シナリオの中に 意図的に脆弱性や問題点 が埋め込まれています。「この運用は危険ではないか」「この設定で本当に安全か」という視点で読み進めてください。
「〜を防止するために適切な対策はどれか」という形式です。
解答テクニック:
よくあるひっかけ例:
「〜が発生した原因として最も適切なものはどれか」という形式です。
解答テクニック:
「インシデント発生時の対応手順として適切なものはどれか」という形式です。
解答テクニック:
アクセス制御は、 誰が ・ 何に ・ どの操作を できるかを管理する仕組みです。シナリオ問題では、アクセス権限の設定ミスや、権限昇格の問題が頻出します。
| 要素 | 説明 | 具体例 |
|---|---|---|
| 識別(Identification) | ユーザーが誰であるか名乗る | ユーザーIDの入力 |
| 認証(Authentication) | 名乗った本人であることを確認する | パスワード、生体認証 |
| 認可(Authorization) | 認証済みユーザーに権限を与える | ファイルの読取/書込権限 |
| 方式 | 英語 | 説明 | 特徴 |
|---|---|---|---|
| 任意アクセス制御 | DAC | 資源の所有者が権限を設定 | 柔軟だが管理が煩雑 |
| 強制アクセス制御 | MAC | システム管理者が一元管理 | 厳格だが運用が硬直的 |
| 役割ベースアクセス制御 | RBAC | 役割(ロール)に権限を付与 | 管理が容易で最も普及 |
試験での注意点: シナリオ中で「一般社員がサーバの管理者権限を持っている」「退職者のアカウントが残っている」といった記述があれば、それがセキュリティリスクです。 最小権限の原則 (必要最小限の権限のみを付与する)に反していないか確認してください。
認証は「本人確認」の仕組みです。シナリオ問題では、認証方式の選択や多要素認証の導入が問われます。
| 要素 | 説明 | 例 |
|---|---|---|
| 知識情報 | 本人だけが知っている情報 | パスワード、PIN、秘密の質問 |
| 所持情報 | 本人だけが持っている物 | ICカード、ワンタイムパスワードトークン、スマートフォン |
| 生体情報 | 本人の身体的特徴 | 指紋、虹彩、顔、静脈 |
上記3要素のうち 2つ以上を組み合わせる 認証方式です。「パスワード+ワンタイムパスワード」のように、異なる要素を組み合わせることでセキュリティを強化します。
注意: 「パスワード+秘密の質問」は両方とも知識情報なので、多要素認証では ありません 。これは 多段階認証 と呼ばれ、多要素認証よりセキュリティ強度は低くなります。
一度の認証で複数のシステムにアクセスできる仕組みです。利便性が高い反面、認証情報が漏洩した場合に全システムが危険にさらされるリスクがあります。
暗号化はデータの機密性を守る基本技術です。シナリオ問題では、暗号化方式の選択や鍵管理が問われます。
| 項目 | 共通鍵暗号 | 公開鍵暗号 |
|---|---|---|
| 鍵の種類 | 暗号化と復号に同じ鍵 | 公開鍵で暗号化、秘密鍵で復号 |
| 処理速度 | 高速 | 低速 |
| 鍵配送の問題 | あり(鍵を安全に渡す必要) | なし(公開鍵は公開してよい) |
| 代表的な方式 | AES | RSA |
| 鍵の数(n人の通信) | n(n-1)/2 個 | 2n 個 |
実際の通信では、共通鍵暗号と公開鍵暗号を組み合わせた ハイブリッド暗号方式 が使われます。HTTPS(TLS)がその代表例です。
データの 改ざん検知 と 送信者の本人確認 を行う技術です。送信者が秘密鍵で署名し、受信者が公開鍵で検証します。公開鍵暗号の鍵の使い方が 逆 になることに注意してください。
| 目的 | 使う鍵 |
|---|---|
| 暗号化(機密性) | 受信者の 公開鍵 で暗号化 → 受信者の 秘密鍵 で復号 |
| デジタル署名(認証・改ざん検知) | 送信者の 秘密鍵 で署名 → 送信者の 公開鍵 で検証 |
シナリオ問題では、ログ(記録)を読み解いてインシデントの原因を特定する問題が出題されます。
| ログの種類 | 記録内容 | 活用場面 |
|---|---|---|
| アクセスログ | Webサーバへのリクエスト記録 | 不正アクセスの検知 |
| 認証ログ | ログイン成功・失敗の記録 | 不正ログイン試行の発見 |
| 操作ログ | ユーザーのシステム操作記録 | 内部不正の調査 |
| イベントログ | システムの動作記録 | 障害原因の分析 |
| 通信ログ | ネットワーク通信の記録 | マルウェア通信の検出 |
試験でのコツ: ログ分析の問題では、問題文中のログデータを注意深く読み、 正常な動作 と 異常な動作 を区別してください。「通常は発生しないはずの通信先」「業務時間外のアクセス」「権限のないリソースへのアクセス」が異常の手がかりになります。
セキュリティインシデント(セキュリティ上の問題となる事象)が発生した場合の対応手順は、試験で非常によく問われるテーマです。
1. 検知: IDS/IPS、ウイルス対策ソフト、ログ監視などで異常を発見します。ユーザーからの報告で発見されることもあります。
2. 初動対応: 被害の拡大を防ぐことが最優先です。感染端末の ネットワークからの切り離し が典型的な初動対応です。ただし、電源を切るとメモリ上の証拠が消えるため、 電源は切らない のが原則です。
3. 証拠保全: ログ、メモリダンプ、ディスクイメージなどを保存します。 証拠保全は原因調査より先に行う ことが重要です。調査の過程で証拠が上書きされるリスクがあるためです。
4. 原因調査: 保全した証拠をもとに、攻撃手法・侵入経路・影響範囲を特定します。
5. 復旧: クリーンなバックアップからのリストア、パッチの適用、パスワードの変更などを行います。
6. 再発防止: 脆弱性の修正、セキュリティポリシーの見直し、従業員教育の実施などを行います。
試験での注意: 「まず何をすべきか」という問いに対して、「原因調査」を選びがちですが、正解は 「初動対応(被害拡大の防止)」 または 「証拠保全」 であることが多いです。
ポイント
科目Bのセキュリティ問題は全20問中 約4問。 対策選択型 ・ 原因分析型 ・ 手順判断型 の3パターンがある。シナリオは「背景→現状→問題発生→対応」の構成で、 設問を先に読む のが鉄則。頻出テーマは アクセス制御 (最小権限の原則、RBAC)、 認証 (多要素認証の3要素: 知識・所持・生体)、 暗号化 (共通鍵と公開鍵の違い、デジタル署名の鍵の使い方が暗号化と逆)、 ログ分析 (時系列整理と異常パターンの発見)、 インシデント対応 (検知→初動対応→証拠保全→原因調査→復旧→再発防止の順序)。インシデント発生時は 被害拡大防止と証拠保全 が原因調査より優先される。
用語
このセクションでは、架空企業 テックソリューション株式会社 を題材に、実践的なセキュリティシナリオを学びます。実際の FE 試験科目Bに近い形式で、企業のセキュリティ課題と対応策を具体的に解説します。
テックソリューション株式会社は従業員50名の中小 IT 企業で、Web アプリケーション開発を主力事業としています。社内にはオフィス LAN と開発用サーバが設置されており、顧客データの取り扱いもあるためセキュリティ対策が不可欠です。
テックソリューション株式会社では、以下のネットワーク構成でシステムを運用しています。
情報システム部のK氏は、以下のファイアウォールルールを設定しました。
| ルール番号 | 送信元 | 宛先 | プロトコル | ポート | 許可/拒否 |
|---|---|---|---|---|---|
| 1 | インターネット | Web サーバ | TCP | 443(HTTPS) | 許可 |
| 2 | インターネット | メールサーバ | TCP | 25(SMTP) | 許可 |
| 3 | 社内 LAN | インターネット | TCP | 443(HTTPS) | 許可 |
| 4 | 社内 LAN | DMZ | TCP | すべて | 許可 |
| 5 | DMZ | 社内 LAN | TCP | すべて | 拒否 |
| 6 | インターネット | 社内 LAN | TCP | すべて | 拒否 |
| 7 | 上記以外 | 上記以外 | すべて | すべて | 拒否 |
このルール設定のポイントを確認しましょう。
DMZ(非武装地帯)の役割: 外部に公開するサーバを社内LANとは別のセグメントに配置します。 DMZ から社内 LAN への通信を拒否 (ルール5)することで、万が一 Web サーバが侵入されても社内 LAN への被害拡大を防ぎます。
ルール4の問題点: 社内 LAN から DMZ へ「すべてのポート」を許可しています。これは 過剰な許可 です。本来は必要なポート(例: HTTPS の 443、SSH の 22)のみを許可すべきです。不要なポートを開放していると、マルウェアが DMZ のサーバを踏み台にするリスクがあります。
改善案: ルール4を分割して、必要な通信のみを個別に許可します。
| ルール番号 | 送信元 | 宛先 | プロトコル | ポート | 許可/拒否 |
|---|---|---|---|---|---|
| 4-1 | 社内 LAN | Web サーバ | TCP | 443(HTTPS) | 許可 |
| 4-2 | 社内 LAN | Web サーバ | TCP | 22(SSH) | 許可 |
| 4-3 | 社内 LAN | メールサーバ | TCP | 587(SMTP) | 許可 |
| 4-4 | 社内 LAN | メールサーバ | TCP | 993(IMAPS) | 許可 |
テックソリューション株式会社では、顧客から預かった個人情報(氏名、メールアドレス、電話番号)を開発サーバ上のデータベースで管理しています。最近、同業他社で個人情報漏洩事故が発生したことを受け、情報システム部は自社の情報漏洩対策を見直すことになりました。
調査の結果、以下の問題点が見つかりました。
問題1: アクセス権限の不備
問題2: データの暗号化不足
問題3: 監査ログの不備
対策1: アクセス制御の強化
対策2: データ保護
対策3: 監視と監査
ある月曜日の朝、テックソリューション株式会社の営業部のS氏が、取引先を装ったメールの添付ファイルを開封しました。添付ファイルは請求書を装った Word ファイルでしたが、実際にはマクロ型マルウェアが仕込まれていました。
S氏がファイルを開いた直後、以下の異常が発生しました。
情報システム部は、以下の手順でインシデントに対応しました。
ステップ1: 報告と初動対応
S氏は異常に気づいた時点で、 自分で対処しようとせず 情報システム部に連絡しました。これは正しい対応です。自分で対処しようとしてPC を再起動すると、メモリ上の証拠が消失してしまいます。
情報システム部はS氏の PC を ネットワークから物理的に切断 しました。LANケーブルを抜き、Wi-Fi を無効にします。これにより、マルウェアが他の PC やサーバに感染を広げること、および外部のC&C サーバ (Command and Control サーバ: 攻撃者がマルウェアに指令を送るサーバ)との通信を遮断します。
重要: やってはいけないこと
ステップ2: 証拠保全
ネットワーク切断後、PC のメモリダンプ(メモリ内容のスナップショット)と、各種ログファイルを保存します。これは 原因調査より先に 行います。
ステップ3: 影響範囲の確認
ファイアウォールの通信ログ、ファイルサーバのアクセスログなどを確認し、他の端末への感染やデータの外部送信がないか調査します。
ステップ4: 原因調査
保全した証拠をもとに、マルウェアの種類(ランサムウェア、スパイウェア、ワームなど)を特定し、攻撃の手法と目的を分析します。
ステップ5: 駆除と復旧
マルウェアを完全に駆除した後、クリーンなバックアップからデータを復元します。感染前のバックアップを使用し、復元後にウイルススキャンで安全性を確認します。
ステップ6: 再発防止策
テックソリューション株式会社は、これまで明文化されたセキュリティポリシーがありませんでした。しかし、取引先から情報セキュリティ対策の状況について質問を受けたことをきっかけに、経営層の指示でセキュリティポリシーを策定することになりました。
情報セキュリティポリシーは、以下の3階層で構成されます。
| 階層 | 名称 | 内容 | 策定者 |
|---|---|---|---|
| 第1階層 | 基本方針 | 組織の情報セキュリティに対する基本的な考え方・方針 | 経営層 |
| 第2階層 | 対策基準 | 基本方針を実現するための具体的な規則・基準 | 情報システム部 |
| 第3階層 | 実施手順 | 対策基準を日常業務で実行するための具体的な手順書 | 各部門 |
パスワードポリシー(対策基準):
注意: 以前は「定期的なパスワード変更」が推奨されていましたが、現在のガイドラインでは 定期変更を強制すべきではない とされています。定期変更を強制すると、ユーザーが推測されやすい簡単なパスワードを設定する傾向があるためです。ただし、パスワード漏洩の疑いがある場合は即座に変更が必要です。
テレワークポリシー(対策基準):
インシデント報告ポリシー(実施手順):
4つのシナリオを通じて、セキュリティ実践の重要なポイントを確認しました。最後に、試験で確実に得点するための実践的なアドバイスをまとめます。
ネットワーク・ファイアウォールの問題では:
情報漏洩対策の問題では:
インシデント対応の問題では:
セキュリティポリシーの問題では:
ポイント
セキュリティ実践シナリオでは ネットワーク構成 ・ 情報漏洩対策 ・ インシデント対応 ・ セキュリティポリシー の4テーマが重要。ネットワークでは DMZ が外部公開サーバと社内LANを分離し、ファイアウォールは 必要最小限のポートのみ許可 する。情報漏洩対策は 最小権限の原則 ・ データ暗号化 ・ ログの取得と保存 の3本柱。インシデント対応は「初動対応(ネットワーク切断)→証拠保全→原因調査→復旧→再発防止」の順序が鉄則で、 電源を切らない ・ 証拠保全は調査より先 が重要。セキュリティポリシーは 基本方針 ・ 対策基準 ・ 実施手順 の3階層構造で、パスワードの定期変更は現在のガイドライン(NIST SP 800-63B)では 非推奨 。
用語