【真面目版】基本情報技術者試験で出る「情報セキュリティ」を初心者向けにわかりやすく解説！

はじめに――なぜ情報セキュリティが重要なの？

しかしその便利さの裏側には、個人情報の流出・なりすまし・詐欺・システム停止といったリスクが常に存在しています。実際、大手企業がサイバー攻撃を受けて数百万件の顧客情報が漏れたというニュースは、もはや珍しくなくなりました。

「情報セキュリティ」とは、こうした脅威から大切なデータやシステムを守るための考え方・技術・仕組みの総称です。基本情報技術者試験でも頻出のテーマであり、ITを学ぶうえで避けて通れない分野です。本記事では、専門用語をできる限りかみ砕いて、試験に出るポイントをわかりやすく解説していきます。

---

情報セキュリティの3大原則「CIA」

① 機密性（Confidentiality）

「許可された人だけが情報にアクセスできる」という性質です。たとえばあなたの銀行口座の残高は、あなたと銀行だけが見られるべきであり、関係のない第三者には見せてはいけません。これが機密性の考え方です。

② 完全性（Integrity）

「情報が正確で改ざんされていない」という性質です。送ったはずのメッセージが途中で書き換えられていたり、契約書の金額が勝手に変更されていたりすると、信頼できるシステムとは言えません。データが正しい状態に保たれていることが完全性です。

③ 可用性（Availability）

「必要なときに情報やシステムを使える」という性質です。どれだけセキュリティが強固でも、システムが常に落ちていては意味がありません。ECサイトが24時間365日安定して動いていることや、病院の電子カルテがいつでも参照できることが可用性の具体例です。

試験では「CIAのうちどれに該当するか」を問う問題がよく出ます。この3つの概念は情報セキュリティ全体の土台になるので、しっかり覚えておきましょう。

---

代表的なサイバー攻撃の種類

マルウェア（不正プログラム）

「マルウェア（Malware）」は悪意あるソフトウェアの総称で、以下のように細かく分類されます。

• ウイルス：他のプログラムやファイルに寄生して自己増殖します。人間の風邪ウイルスと同じイメージです。
• ワーム：ウイルスと違い、他のプログラムに寄生せず単独でネットワークを通じて自己増殖します。気づかないうちに社内全体に広がることがあります。
• トロイの木馬：無害なアプリや便利そうなファイルに偽装して侵入し、内側から情報を盗んだりバックドア（裏口）を作ったりします。ギリシャ神話の「トロイの木馬」が由来です。
• ランサムウェア：ファイルを暗号化してアクセスできなくし、解除するための「身代金（Ransom）」を要求します。病院や自治体が被害を受けた事例が国内でも報告されています。
• スパイウェア：ユーザーの操作や入力したパスワードなどをこっそり記録して外部に送信します。

フィッシング詐欺

本物そっくりな偽サイトやメールを使い、IDやパスワード・クレジットカード番号などを騙し取る攻撃です。「あなたのアカウントが危険にさらされています。今すぐここをクリックしてください」というメールが典型例です。

DoS攻撃・DDoS攻撃

DoS（Denial of Service）攻撃は、Webサービスに大量のリクエストを送りつけてサーバーをパンクさせ、正規ユーザーが使えなくする攻撃です。DDoS（Distributed DoS）は複数のコンピューターから同時に行う、より大規模なバージョンです。可用性を狙い撃ちにする攻撃と言えます。

SQLインジェクション

Webサイトの検索フォームなどに、不正なSQL文（データベースを操作するプログラムの命令）を入力して、データベースの中身を盗んだり書き換えたりする攻撃です。適切な入力チェックをしていないWebアプリケーションが狙われます。

ソーシャルエンジニアリング

技術ではなく「人間の心理」を利用した攻撃です。「IT担当者を名乗って電話し、パスワードを聞き出す」「ゴミ箱の廃棄書類から情報を入手する（スカベンジング）」「正規社員に紛れて建物に入る（なりすまし）」などが代表例です。どれだけシステムが堅牢でも、人の隙を突かれると意味がありません。

---

情報を守るための主な技術

暗号化

情報を第三者に読めない形に変換する技術です。大きく2種類あります。

共通鍵暗号（対称暗号）は、暗号化と復号に同じ鍵を使う方式です。AES（Advanced Encryption Standard）が代表例で、処理速度が速いという特徴があります。ただし、送信者と受信者の間で鍵を安全に共有する必要があるのが課題です。

公開鍵暗号（非対称暗号）は、「公開鍵（誰でも知ってOK）」と「秘密鍵（自分だけが持つ）」のペアを使います。RSAが有名で、「公開鍵で暗号化 → 秘密鍵で復号」という流れです。鍵の配送問題を解決できますが、共通鍵暗号より処理が遅いため、実際のシステムでは両者を組み合わせて使います（ハイブリッド暗号）。

デジタル署名

「この文書は確かに私が作成し、途中で改ざんされていない」ことを証明する仕組みです。手書きのサインと同様の役割をデジタルで実現します。自分の秘密鍵で署名し、公開鍵で検証することで、なりすましと改ざんの両方を防ぎます。

認証の仕組み

本人確認の方法には以下のような種類があります。

• パスワード認証：最も一般的ですが、漏れやすいため単体での利用はリスクが高い。
• 二要素認証（2FA）：パスワードに加え、スマートフォンへのSMSコードや専用アプリのワンタイムパスワードを組み合わせる。セキュリティが格段に上がります。
• 生体認証：指紋・顔・虹彩などの生体情報を使う認証。スマートフォンのロック解除などで普及しています。

ファイアウォール

社内ネットワークとインターネットの境界に設置し、不正な通信を遮断する「門番」のような存在です。あらかじめ設定したルールに基づき、通過を許可・拒否します。

IDS / IPS

IDS（侵入検知システム）は、不正な通信やアクセスを検知して管理者に通知します。IPS（侵入防止システム）は、検知するだけでなく自動的に遮断まで行います。ファイアウォールが「入口の門番」なら、IDSとIPSは「建物内の警備員」のイメージです。

PKI（公開鍵基盤）

インターネット上で安全に公開鍵を配布・管理するための仕組みです。認証局（CA）と呼ばれる信頼できる第三者機関が「この公開鍵は確かに○○さんのものです」と証明するデジタル証明書を発行します。WebサイトのURLが「https://」になっているのは、この仕組みが使われているからです。

---

アクセス制御の考え方

代表的なアクセス制御の方式として、RBAC（Role-Based Access Control：ロールベースアクセス制御）があります。「部長」「一般社員」「外部業者」といった役割（ロール）ごとにアクセス権を設定する方式で、企業のシステム管理で広く使われています。

---

リスク管理とセキュリティポリシー

リスクアセスメントとは、「どんな脅威があって、どれくらい被害が出て、どれだけ対策コストをかけるべきか」を整理することです。リスクへの対応は4つに分類されます。

• リスク回避：リスクのある活動そのものをやめる（例：個人情報が不要ならそもそも収集しない）
• リスク低減：セキュリティ対策を導入して被害を減らす
• リスク移転：保険に入るなどして損失を第三者に肩代わりしてもらう
• リスク受容：コストと見合わないと判断し、あえてそのリスクを受け入れる

セキュリティポリシーとは、組織として情報セキュリティをどのように管理するかを定めた方針文書です。「どんな機器を使ってよいか」「パスワードは何文字以上か」「社外でのPCの取り扱いは?」などの規則が含まれます。

---

まとめ――情報セキュリティは「技術 × 人 × 組織」

情報セキュリティは単なる技術の話ではありません。どれだけ優れたシステムを導入しても、使う人が不注意なパスワードを使ったり、不審なメールのリンクをクリックしてしまったりすれば意味がありません。

基本情報技術者試験では、本記事で紹介した以下のポイントが特に頻出です。

• CIAの3原則（機密性・完全性・可用性）
• 各種マルウェアの特徴（ウイルス・ワーム・トロイの木馬・ランサムウェア）
• 攻撃手法（フィッシング・DoS/DDoS・SQLインジェクション・ソーシャルエンジニアリング）
• 暗号化の仕組み（共通鍵・公開鍵・ハイブリッド）
• 認証・デジタル署名・PKI
• ファイアウォール・IDS・IPSの役割
• リスク管理の4つの対応方針

---