情報セキュリティマネジメントの頻出用語解説

はじめに

ITパスポートや基本情報技術者試験など、ITが普及するにつれて、関連する資格も増加しています。IT知識の中でも、セキュリティに関する知識は、使用する人・管理する人・開発する人などIT技術に触れるすべての人にとって必要な知識です。ITの普及や進歩は、人々の社会に利便性をもたらし、生活を豊かにするものであるとともに、新たな脅威やリスクをもたらすものでもあります。こういった悪意や脅威から大切な情報を守るために、セキュリティについての知識は現代社会において必須の知識であるともいえます。今回はそんな情報セキュリティに関する資格である情報セキュリティマネジメント試験について、概要や出題範囲と過去問題に頻出した用語についてご紹介いたします。

情報セキュリティマネジメント試験

情報セキュリティマネジメント試験は、脅威から継続的に組織を守るため、情報セキュリティマネジメントの計画や運用、評価や改善を行い、組織の情報セキュリティの確保に貢献できる基本的なスキルを認定する試験で、平成28年から開始されました。ITパスポート試験の合格からさらにステップアップしたい人や個人情報を業務で取り扱う人や業務・管理部門などで情報管理を行う人が多く受験をしています。企業が大量の情報を保持できるようになり、そのリスクや脅威から情報を守るためには、情報セキュリティをマネジメントする知識は、情報技術に関連するすべての人に必要な知識です。そのため、エンジニアといった技術関連の職種の方のみならず、事務職や管理職の受験者も多いことが特徴です。

情報セキュリティマネジメント試験の出題範囲

情報セキュリティマネジメント試験は、セキュリティ管理業務に必要となる知識や技術に特化した出題となっており、ITパスポートや基本情報技術者試験と比べると出題範囲は限定されたものとなっています。出題範囲は以下の4分野です。

1. セキュリティ

情報セキュリティ

情報セキュリティの目的と考え方や重要性、脅威、脆弱性、攻撃者の種類、情報セキュリティ技術など

情報セキュリティ管理

情報セキュリティ管理や継続、諸規程、リスク分析と評価、情報セキュリティマネジメントシステム（ISMS）など

セキュリティ技術評価

PCI DSSやCVSS、ペネトレーションテストといったセキュリティ評価など

情報セキュリティ対策

人的・技術的・物理的セキュリティ対策など

セキュリティ実装技術

セキュアプロトコル、ネットワークセキュリティ、データベースセキュリティ、アプリケーションセキュリティなど

セキュリティ関連法務

知的財産権、セキュリティ関連法規、労働関連・取引関連法規、ガイドライン、技術者倫理など

2. テクノロジ

ネットワーク

ネットワーク方式・管理・応用、データ通信と制御、通信プロトコルなど

コンピュータシステム

システムの構成要素、システムの評価指標など

データベース

データベース方式・設計・応用、データ操作、トランザクション処理など

3. マネジメント

プロジェクトマネジメント

プロジェクトマネジメント、プロジェクトの統合・スコープ・資源・コスト・品質など

サービスマネジメント

サービスマネジメント、サービスマネジメントシステムの計画及び運用など

システム監査

システム監査の目的や手段、情報セキュリティ監査、コンプライアンス監査、内部統制など

4. ストラテジ

システム戦略

情報システム戦略、業務プロセス、ソリューションビジネスなど

システム企画

システム化計画、要件定義、調達計画・実施など

企業活動

経営・組織論、OR・IE、会計・財務、法務など

以上4つの分野の中で、重点分野とされているのは、『1. セキュリティ』となっています。今回は情報セキュリティマネジメント試験が開始された平成28年春期試験以降、セキュリティ分野から過去3回以上出題された頻出用語についてご紹介いたします。

頻出用語解説

上記でご紹介した出題範囲において、重点分野とされているセキュリティ分野から、使用する人・管理する人・開発する人のすべてが知っておくべき知識として、攻撃や脅威が挙げられます。攻撃や脅威に関する問題は例年出題されており、技術の進歩によって新しい攻撃手段も現れるでしょう。そんな攻撃や脅威に関する頻出用語について、実際の過去問題を元に解説していきます。

ソーシャル・エンジニアリング

パスワードなどの重要な情報を入力している際に覗き見るショルダーハッキングや、利用者や管理者のふりをして情報を聞き出すなど、インターネットなどの情報通信技術を介することなく重要な情報を入手する方法が、ソーシャル・エンジニアリングです。以下は情報セキュリティマネジメント試験に実際に出題された問題です。

ソーシャルエンジニアリングに該当するものはどれか。

ア. オフィスから廃棄された紙ごみを、清掃員を装って収集して、企業や組織に関する重要情報を盗み出す。

イ. キー入力を記録するソフトウェアを、不特定多数が利用するPCで動作させて、利用者IDやパスワードを窃取する。

ウ. 日本人の名前や日本語の単語が登録された辞書を用意して、プログラムによってパスワードを解読する。

エ. 利用者IDとパスワードの対応リストを用いて、プログラムによってWebサイトへのログインを自動的かつ連続的に試みる。

出典：情報セキュリティマネジメント試験　平成29年春期 午前問21

ソーシャル・エンジニアリングの代表的な手法として、『スキャビンジング』があります。スキャビンジングとは、企業やオフィスのゴミ箱に捨てられている書類を収集し、重要な情報に再構成する手法です。ソーシャル・エンジニアリングは、昔からある原始的な方法であり、IT技術が進歩し他の脅威が増したことで、見落としがちな攻撃のため、利用されてしまうこともしばしばあります。対策としては、重要情報が記載された書類をシュレッダーにかけたり、溶解処理を行うなどして、復元不可な状態にして捨てることやオフィス以外での情報の取り扱いについて規定を決める、などが挙げられます。

以上を踏まえると、正解は技術的な方法を用いていない『ア』となります。

ディレクトリトラバーサル

攻撃者が親ディレクトリを表す(../)などの相対パス指定を行いプログラムに表示させて、アクセスして欲しくないファイルやディレクトリの位置を特定し、秘匿にされているファイルを不正に閲覧・取得すること方法がディレクトリトラバーサルです。以下は情報セキュリティマネジメント試験に実際に出題された問題です。

ディレクトリトラバーサル攻撃に該当するものはどれか。

ア. 攻撃者が，Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し，管理者の意図していないSQL文を実行させる。

イ. 攻撃者が，パス名を使ってファイルを指定し，管理者の意図していないファイルを不正に閲覧する。

ウ. 攻撃者が，利用者をWebサイトに誘導した上で，WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し，利用者のWebブラウザで悪意のあるスクリプトを実行させる。

エ. セッションIDによってセッションが管理されるとき，攻撃者がログイン中の利用者のセッションIDを不正に取得し，その利用者になりすましてサーバにアクセスする。

出典：情報セキュリティマネジメント試験　平成29年春期 午前問23

サーバは、ディレクトリ構造があり、パス名を入力することで、プログラム内でURLを参照したり、ファイルの位置を特定することができます。絶対パスを入力しなくとも、親ディレクトリを表す(../)など相対パス指定によって参照でき、プログラムは実際の位置を参照できます。この仕組みを悪用し、管理者の意図していないファイルなどを閲覧・取得する方法がディレクトリトラバーサル攻撃です。

以上を踏まえると、正解は『イ』となります。

クロスサイトスクリプティング

掲示板やTwitterなどのSNSなど、Webサイト閲覧者側がWebページを制作することのできる動的サイトに、悪意あるスクリプトを挿入することによって、攻撃者の意図する操作を実行させたり、サイトを横断してユーザの個人情報などを取得するサイバー攻撃の方法がクロスサイトスクリプティングです。以下は情報セキュリティマネジメント試験に実際に出題された問題です。

クロスサイトスクリプティングの手口はどれか。

ア. Webアプリケーションに用意された入力フィールドに，悪意のあるJavaScriptコードを含んだデータを入力する。

イ. インターネットなどのネットワークを通じてサーバに不正にアクセスしたり，データの改ざん・破壊を行ったりする。

ウ. 大量のデータをWebアプリケーションに送ることによって，用意されたバッファ領域をあふれさせる。

エ. パス名を推定することによって，本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。

出典：情報セキュリティマネジメント試験　平成28年秋期 午前問22

クロスサイトスクリプティングは、スクリプトを利用して攻撃され、使用されるスクリプトは「JavaScript」や「HTMLタグ」などが挙げられます。特に「JavaScript」はできることの範囲が広く、攻撃されると大きな被害を及ぼす可能性が高いです。脆弱性のあるサイトを作らないように、製作者はサーバやアプリケーションを常に最新の状態に保持したり、クロスサイトスクリプティングに対してフィルタ機能を持つWAFを導入するなどして対策を行うことが必要となります。

以上を踏まえると、正解は『ア』となります。

おわりに

今回は情報セキュリティマネジメント試験において、重要分野であるセキュリティ分野から、攻撃・脅威に関する頻出用語をご紹介しました。ご紹介した以外にも、情報セキュリティ対策であるディジタルフォレンジックスや暗号学的ハッシュ関数なども頻出用語となっています。留まることがないIT技術の進歩により、今よりもっとITが当たり前に活用されることが予想されます。情報セキュリティに関する知識は、必須の知識といえるでしょう。より安全に情報技術を活用するためにも、ぜひ情報セキュリティマネジメント試験に挑戦してみてはいかがでしょうか。