ITパスポートのセキュリティ分野では、情報を安全に守るための基本が出題されます。
セキュリティ用語は、1つずつ丸暗記しようとすると分かりにくくなります。
大切なのは、守るもの、危険のもと、弱いところ、被害が起きる可能性、対策を流れで理解することです。
この記事では、IT初心者向けに、ITパスポートで出やすいセキュリティの基本を、防犯の例で分かりやすく解説します。
ここだけ読めばOK
- 情報資産は、守るべき大切な情報
- 脅威は、危険のもと
- ぜい弱性は、攻撃や事故につながりやすい弱いところ
- リスクは、被害が起きる可能性
- 対策は、被害を防いだり小さくしたりする方法
ITパスポートでは、用語の意味だけでなく、「どの脅威にどの対策が合うか」を考えることが大切です。
ITパスポートのセキュリティは何を学ぶ分野?
ITパスポートのセキュリティ分野では、情報を安全に扱うための基本を学びます。
会社の顧客情報や売上データだけでなく、スマホ、メール、SNS、ネット銀行など、日常生活にも関係する大事な分野です。
情報を守るための基本を学ぶ
セキュリティとは、大切な情報を守るための考え方や仕組みのことです。
たとえば、会社には顧客情報、売上データ、社員の情報、取引先との資料などがあります。
これらが勝手に見られたり、盗まれたり、消されたりすると大きな問題になります。
そのため、情報を安全に使うためのルールや対策が必要になります。
セキュリティの基本をもう少し広く確認したい人は、セキュリティとは?も参考にしてください。
会社でも日常生活でも大事な分野
セキュリティは、会社だけの話ではありません。
スマホのパスワード、ネット銀行、通販サイト、メール、SNSなど、日常生活にも深く関係しています。
たとえば、あやしいメールのリンクを押してしまうと、偽サイトに誘導されることがあります。
そこでIDやパスワードを入力すると、第三者に悪用されるおそれがあります。
このように、セキュリティは仕事でも生活でも必要な知識です。
用語を単独で覚えるより関係で理解する
セキュリティ分野には、脅威、ぜい弱性、リスク、暗号化、認証、アクセス権、マルウェアなど、多くの用語が出てきます。
ただし、用語を1つずつ覚えるだけでは、問題で使いにくくなります。
大切なのは、次のようにつなげて考えることです。
- 守るものがある
- 危険のもとがある
- 弱いところがある
- 被害が起きる可能性がある
- 対策で被害を減らす
この流れで見ると、セキュリティ用語の意味がつながって理解しやすくなります。
かんたんに言うと、セキュリティは大切な情報を守ること
セキュリティをかんたんに言うと、大切な情報を守ることです。
家の現金や通帳を守るように、ITでは顧客情報、パスワード、メール、ファイル、システムなどを守ります。
家の防犯にたとえると分かりやすい
セキュリティは、家の防犯にたとえると分かりやすいです。
家の中に現金や通帳があるとします。これらは大切なものです。
そこに泥棒という危険があります。さらに、窓の鍵を閉め忘れていると、泥棒に入られやすくなります。
このとき、現金を盗まれる可能性がリスクです。
そして、鍵を閉める、防犯カメラを付ける、金庫に入れるといった行動が対策です。
- 資産:家の中の現金
- 脅威:泥棒
- ぜい弱性:窓の鍵の閉め忘れ
- リスク:泥棒に入られて現金を盗まれる可能性
- 対策:鍵を閉める、防犯カメラを付ける
ITのセキュリティも、考え方はこれと同じです。
鍵、見張り、予備の考え方がある
家を守るときは、いろいろな方法を組み合わせます。
- 鍵をかける
- 防犯カメラで見張る
- 大切なものを金庫に入れる
- 万一に備えて予備を用意する
ITでも同じように、1つの対策だけで守るのではなく、いくつかの対策を組み合わせます。
たとえば、パスワードで本人確認をする、暗号化で内容を読まれにくくする、アクセス権で使える人を制限する、バックアップで消失に備える、といった対策があります。
ITでも同じように情報を守る仕組みがある
ITの世界では、情報がデータとして保存されたり、ネットワークを通って送られたりします。
そのため、情報を守るには、保存している場所だけでなく、送るとき、使うとき、管理するときにも注意が必要です。
セキュリティは、情報を安全に扱うための基本です。
セキュリティを理解する基本の流れ
セキュリティは、次の流れで考えると分かりやすくなります。
まず守るものがあり、それに対して危険のもとがあります。さらに弱いところがあると、被害が起きる可能性が高くなります。その被害を減らすために対策をします。
守るものがある
まず、セキュリティでは「何を守るのか」を考えます。
会社であれば、顧客情報、社員情報、売上データ、メール、業務システムなどが守る対象になります。
個人であれば、スマホの中の写真、ネット銀行の情報、SNSのアカウント、メールアドレス、パスワードなどが守る対象になります。
危険のもとがある
次に、守るものに対して危険のもとがあります。
たとえば、マルウェア、フィッシング詐欺、不正アクセス、情報漏えいなどです。
これらは、情報を盗んだり、壊したり、不正に使ったりする原因になります。
弱いところがある
危険があっても、守りがしっかりしていれば被害を受けにくくなります。
しかし、弱いところがあると、そこを利用されることがあります。
たとえば、パスワードが簡単すぎる、ソフトを更新していない、アクセス権が広すぎる、バックアップを取っていない、といった状態です。
被害が起きる可能性がある
危険のもとと弱いところが合わさると、被害が起きる可能性が高くなります。
この「被害が起きる可能性」をリスクといいます。
たとえば、簡単なパスワードを使っていると、不正ログインされるリスクが高くなります。
対策で被害を減らす
リスクを完全にゼロにすることは難しいです。
しかし、対策をすることで、被害が起きる可能性を下げたり、被害を小さくしたりできます。
たとえば、パスワードを強くする、二段階認証を使う、暗号化する、バックアップを取る、ログを確認する、といった対策があります。
情報資産とは?守るべき大切な情報
セキュリティを考えるときは、まず「何を守るのか」をはっきりさせることが大切です。
その守るべき情報を、情報資産といいます。
会社や個人にとって大切な情報
情報資産とは、会社や個人にとって価値のある情報のことです。
「資産」という言葉は、お金や建物だけに使うものではありません。情報も、会社や個人にとって大切な財産です。
たとえば、顧客情報が外に漏れると、会社の信用を失うおそれがあります。売上データが消えると、仕事に支障が出ることもあります。
個人情報、顧客情報、売上データなどがある
情報資産には、次のようなものがあります。
- 個人情報
- 顧客情報
- 社員情報
- 売上データ
- 商品情報
- 契約書や見積書
- メールの内容
- IDやパスワード
これらは、勝手に見られたり、消えたり、書き換えられたりすると困る情報です。
情報資産を守る理由
情報資産を守る理由は、会社や個人の信用、仕事、生活に関わるからです。
たとえば、顧客情報が漏れると、会社の信用が下がります。
パスワードが盗まれると、アカウントを悪用されるおそれがあります。
そのため、情報資産を正しく守ることが大切です。
情報セキュリティの3大要素
ITパスポートでは、情報セキュリティの3大要素も大切です。
3大要素とは、機密性、完全性、可用性のことです。
- 機密性:許可された人だけが情報を見られること
- 完全性:情報が正しく、勝手に書き換えられていないこと
- 可用性:必要なときに情報やシステムを使えること
たとえば、顧客情報を勝手に見られないようにするのが機密性です。データを正しい状態に保つのが完全性です。必要なときにシステムを使えるようにするのが可用性です。
ITパスポートでは、この3つの意味を選ぶ問題が出ることがあります。漢字の意味とセットで覚えると分かりやすいです。
脅威・ぜい弱性・リスクの違い
脅威、ぜい弱性、リスクは、ITパスポートのセキュリティ分野で特に大事な言葉です。
似て見えますが、それぞれ意味が違います。
脅威は危険のもと
脅威とは、情報に被害を与える原因になるものです。
家の防犯で言えば、泥棒が脅威です。
ITでは、マルウェア、フィッシング詐欺、不正アクセス、自然災害、操作ミスなどが脅威になります。
ぜい弱性は弱いところ
ぜい弱性とは、攻撃や事故につながりやすい弱いところのことです。
家の防犯で言えば、窓の鍵の閉め忘れがぜい弱性です。
ITでは、古いソフトを使っている、パスワードが簡単すぎる、設定ミスがある、アクセス権が広すぎる、といった状態がぜい弱性になります。
リスクは被害が起きる可能性
リスクとは、被害が起きる可能性のことです。
家の防犯で言えば、泥棒に入られて現金を盗まれる可能性がリスクです。
ITでは、不正アクセスによって情報が盗まれる可能性、マルウェアによってデータが壊れる可能性、操作ミスで情報が漏れる可能性などがリスクになります。
防犯の例で3つを理解する
脅威、ぜい弱性、リスクの違いは、次のように考えると分かりやすいです。
| 考え方 | 防犯の例 | ITの例 |
|---|---|---|
| 資産 | 家の中の現金 | 顧客情報、売上データ |
| 脅威 | 泥棒 | マルウェア、不正アクセス |
| ぜい弱性 | 窓の鍵の閉め忘れ | 簡単なパスワード、古いソフト |
| リスク | 現金を盗まれる可能性 | 情報が盗まれる可能性 |
| 対策 | 鍵を閉める、防犯カメラを付ける | 認証、暗号化、バックアップ |
この関係を理解しておくと、ITパスポートのセキュリティ問題がかなり読みやすくなります。
よくあるセキュリティの脅威
ここでは、ITパスポートで出やすい主な脅威を整理します。
それぞれの意味だけでなく、どんな対策が必要かもセットで覚えましょう。
マルウェア
マルウェアとは、コンピューターやスマホに悪い動きをさせるソフトの総称です。
たとえば、データを壊す、情報を盗む、勝手に外部へ通信する、といった動きをするものがあります。
ウイルスもマルウェアの一種です。
マルウェアの基本を確認したい人は、マルウェアとは?も参考にしてください。
マルウェアの代表例には、ウイルス、ランサムウェア、トロイの木馬などがあります。
トロイの木馬は、一見安全なアプリやファイルのように見せかけて、裏側で悪い動きをするマルウェアです。
ITパスポートでは、マルウェアの種類として名前が出ることがあるため、意味だけでもおさえておきましょう。
フィッシング詐欺
フィッシング詐欺とは、本物に見せかけたメールやWebサイトで、IDやパスワード、クレジットカード情報などをだまし取る手口です。
たとえば、銀行や通販サイトを名乗るメールが届き、偽サイトに誘導されることがあります。
見た目が本物に似ていることがあるため、URLや送信元を確認することが大切です。
くわしい手口や見分け方は、フィッシング詐欺とは?で解説しています。
不正アクセス
不正アクセスとは、使う権限がない人が、勝手にシステムやアカウントに入ることです。
たとえば、他人のIDとパスワードを使ってログインする行為が当てはまります。
不正アクセスを防ぐには、パスワード管理、二段階認証、アクセス権の管理が大切です。
ランサムウェア
ランサムウェアとは、データを使えない状態にして、元に戻す代わりに金銭を要求するマルウェアです。
たとえば、会社のファイルが開けなくなり、「元に戻したければお金を払え」と表示されることがあります。
ランサムウェアへの備えとして、バックアップを取ることが重要です。
ランサムウェアの意味は、ランサムウェアとは?でも解説しています。
情報漏えい
情報漏えいとは、本来外に出てはいけない情報が外部に出てしまうことです。
原因は、攻撃だけではありません。メールの送り間違い、書類の紛失、設定ミス、USBメモリの紛失などでも起こります。
そのため、技術的な対策だけでなく、日ごろの確認やルールも大切です。
また、人の心理的なすきやミスを利用して情報を盗む手口を、ソーシャルエンジニアリングといいます。
たとえば、パスワードを入力するところを後ろから盗み見たり、捨てられた書類から情報を集めたりする手口があります。
セキュリティ対策では、システムだけでなく、人の行動にも注意することが大切です。
本人確認に関する対策
本人確認に関する対策は、ITパスポートでもよく出る内容です。
認証、パスワード、二段階認証、パスキーの違いを整理しておきましょう。
認証とは本人かどうかを確認すること
認証とは、利用者が本人であるかを確認することです。
家で言えば、玄関で「この家の人かどうか」を確認するようなものです。
ITでは、ログインするときにIDとパスワードを使って本人確認をすることがよくあります。
パスワード認証
パスワード認証とは、あらかじめ決めた文字列を使って本人確認をする方法です。
ただし、短いパスワードや分かりやすいパスワードは、第三者に推測されやすくなります。
そのため、同じパスワードを使い回さない、長くて分かりにくいパスワードにする、といった工夫が必要です。
パスワードの作り方や管理方法は、パスワードとは?でも解説しています。
二段階認証
二段階認証とは、パスワードに加えて、もう1つの方法で本人確認をする仕組みです。
たとえば、パスワードを入力したあとに、スマホに届いた確認コードを入力する方法があります。
家の防犯で言えば、鍵だけでなく、もう1つ確認を増やすようなものです。
二段階認証の意味は、二段階認証とは?でも確認できます。
パスキー
パスキーとは、パスワードを使わずに、スマホやパソコンの本人確認機能を使ってログインする仕組みです。
たとえば、指紋認証や顔認証、端末のロック解除などを使います。
パスワードを入力しないため、フィッシング詐欺への対策としても役立ちます。
パスキーの仕組みは、パスキーとは?でも解説しています。
認証を強くする理由
認証を強くする理由は、本人ではない人に使われるのを防ぐためです。
パスワードだけに頼ると、漏えいしたり、推測されたりしたときに危険です。
そのため、二段階認証やパスキーなどを組み合わせて、より安全に本人確認をします。
情報を守るための対策
セキュリティ対策には、いろいろな種類があります。
それぞれ役割が違うため、「何を防ぐための対策か」をセットで理解しましょう。
暗号化で読まれにくくする
暗号化とは、情報をそのままでは読めない形に変えることです。
家の防犯で言えば、大切な書類を金庫に入れるようなものです。
もし第三者にデータを見られても、暗号化されていれば内容を読まれにくくなります。
暗号化の基本は、暗号化とは?でも解説しています。
アクセス権で使える人を分ける
アクセス権とは、誰がどの情報を見たり使ったりできるかを決める権限のことです。
たとえば、全社員がすべての顧客情報を見られる状態は危険です。
必要な人だけが必要な情報を使えるようにすることで、情報漏えいのリスクを下げられます。
アクセス権の意味は、アクセス権とは?でも確認できます。
ファイアーウォールで通信を見張る
ファイアーウォールとは、ネットワークの出入り口で通信を確認し、危険な通信を通さないようにする仕組みです。
家の防犯で言えば、門や警備員のような役割です。
すべての危険を防げるわけではありませんが、外部からの不正な通信を防ぐために役立ちます。
ファイアーウォールの基本は、ファイアーウォールとは?でも解説しています。
バックアップで消失に備える
バックアップとは、大切なデータのコピーを別の場所に保存しておくことです。
データが消えたり、壊れたり、ランサムウェアで使えなくなったりしたときに、元に戻すために使います。
バックアップは、被害をゼロにする対策ではありません。しかし、被害を受けたあとの復旧に役立ちます。
バックアップの意味や考え方は、バックアップとは?でも解説しています。
ログであとから確認する
ログとは、システムや機器の動きの記録です。
たとえば、誰がいつログインしたか、どのファイルを開いたか、どのような通信があったかを記録します。
問題が起きたときにログを見ることで、原因を調べやすくなります。
ログの意味を確認したい人は、ログとは?も参考にしてください。
セキュリティで初心者が間違えやすい点
セキュリティでは、似た言葉や対策の役割を間違えやすいです。
ここでは、初心者が特に注意したい点を整理します。
パスワードだけで安全とは限らない
パスワードを設定していても、それだけで安全とは限りません。
簡単なパスワードを使っていたり、同じパスワードをいろいろなサービスで使い回していたりすると、危険が高くなります。
パスワードに加えて、二段階認証やパスキーなどを使うことが大切です。
ウイルスとマルウェアは完全に同じ意味ではない
ウイルスとマルウェアは、似た場面で使われる言葉です。
ただし、マルウェアは悪意のあるソフト全体を指す広い言葉です。ウイルスは、その中の一種です。
つまり、ウイルスはマルウェアの一部と考えると分かりやすいです。
ウイルスの基本は、コンピューターウイルスとは?でも解説しています。
暗号化してもすべての危険を防げるわけではない
暗号化は、情報を読まれにくくするための大切な対策です。
しかし、暗号化していればすべて安全というわけではありません。
たとえば、本人のアカウントが乗っ取られると、正しい利用者として情報を見られてしまうことがあります。
そのため、暗号化だけでなく、認証やアクセス権の管理も必要です。
バックアップは被害をゼロにする対策ではない
バックアップは、データを元に戻すための対策です。
ただし、情報が外に漏れた場合、バックアップがあっても漏えいそのものをなかったことにはできません。
バックアップは大切ですが、情報を盗まれないための対策とは役割が違います。
ITパスポートではセキュリティがどう出る?
ITパスポートでは、セキュリティ用語の意味だけでなく、具体的な場面でどう判断するかも問われます。
脅威と対策をセットで考えられるようにしておきましょう。
用語の意味を問う問題
ITパスポートでは、セキュリティ用語の意味を問う問題が出ます。
たとえば、マルウェア、フィッシング、認証、暗号化、アクセス権、バックアップなどの意味を理解しておく必要があります。
単語だけを覚えるのではなく、「何を防ぐためのものか」まで考えると理解しやすくなります。
脅威と対策の組み合わせを問う問題
セキュリティでは、脅威と対策の組み合わせがよく問われます。
たとえば、フィッシング詐欺には、URLを確認する、公式アプリやブックマークからアクセスする、二段階認証を使う、といった対策があります。
ランサムウェアには、バックアップやソフトの更新、あやしい添付ファイルを開かないことが対策になります。
日常業務での判断を問う問題
ITパスポートでは、日常業務でどう行動すべきかを問う問題もあります。
たとえば、あやしいメールが届いたとき、添付ファイルをすぐに開くのではなく、送信元や内容を確認する必要があります。
また、個人情報を含むファイルを送るときは、宛先やアクセス権を確認することが大切です。
個人情報や情報漏えいに関する問題
個人情報や情報漏えいに関する問題も出ます。
情報漏えいは、外部からの攻撃だけでなく、人のミスでも起こります。
メールの送り間違い、書類の置き忘れ、USBメモリの紛失なども原因になります。
そのため、セキュリティでは技術だけでなく、日ごろの確認やルールも大事です。
セキュリティを勉強するときのポイント
セキュリティは、用語を丸暗記するより、脅威と対策の組み合わせで覚えると分かりやすくなります。
また、ネットワークやクラウドとも関係が深いため、他の分野とつなげて学ぶことも大切です。
脅威と対策をセットで覚える
セキュリティを勉強するときは、脅威と対策をセットで覚えると分かりやすくなります。
| 脅威 | 主な対策 |
|---|---|
| フィッシング詐欺 | URL確認、公式サイトからアクセス、二段階認証 |
| 不正アクセス | 強い認証、アクセス権の管理 |
| マルウェア | 更新、あやしいファイルを開かない、対策ソフト |
| ランサムウェア | バックアップ、更新、メール添付に注意 |
| 情報漏えい | アクセス権、暗号化、宛先確認、ログ管理 |
「何が危ないのか」と「どう防ぐのか」をつなげて理解しましょう。
身近な例で考える
セキュリティは、身近な例で考えると理解しやすいです。
たとえば、パスワードは家の鍵、ファイアーウォールは門番、暗号化は金庫、バックアップは予備のコピーのようなものです。
このように置き換えると、用語の役割が見えやすくなります。
ネットワークやクラウドと一緒に理解する
セキュリティは、ネットワークやクラウドとも関係が深い分野です。
インターネットで通信するときは、通信の安全性が大切です。クラウドを使うときは、誰がデータにアクセスできるかを考える必要があります。
そのため、セキュリティだけを切り離して覚えるのではなく、ネットワークやクラウドと一緒に理解すると効果的です。
関連する分野は、ITパスポートのネットワーク入門やITパスポートのクラウド・システム入門もあわせて読むと理解しやすくなります。
ITパスポート全体の勉強の進め方は、ITパスポートの勉強方法で解説しています。
確認問題
最後に、この記事の内容を確認しましょう。
ぜい弱性とは何ですか?
答え:攻撃や事故につながりやすい弱いところのことです。
解説:防犯でいえば、窓の鍵の閉め忘れがぜい弱性です。ITでは、簡単なパスワード、古いソフト、設定ミスなどが当てはまります。
フィッシング詐欺への対策は何ですか?
答え:URLや送信元を確認し、公式サイトや公式アプリからアクセスすることです。
解説:フィッシング詐欺は、本物に見せかけたメールやサイトで情報をだまし取る手口です。メール内のリンクをすぐ押さず、正しいサイトか確認することが大切です。二段階認証も有効な対策です。
バックアップの目的は何ですか?
答え:データが消えたり壊れたりしたときに、元に戻せるようにすることです。
解説:バックアップは、被害を受けたあとの復旧に役立ちます。ただし、情報漏えいそのものを防ぐ対策ではありません。
ウイルスとマルウェアの違いは何ですか?
答え:マルウェアは悪意のあるソフト全体を指す言葉で、ウイルスはその一種です。
解説:ウイルスはマルウェアの一部です。試験では、マルウェアの方が広い意味だと覚えておきましょう。
まとめ
ITパスポートのセキュリティ分野では、情報を守るための基本を学びます。
大切なのは、用語を単独で覚えることではなく、次の流れで理解することです。
- 情報資産:守るべき大切な情報
- 脅威:危険のもと
- ぜい弱性:弱いところ
- リスク:被害が起きる可能性
- 対策:被害を減らすための方法
家の防犯にたとえると、セキュリティはとても分かりやすくなります。
現金を守るために鍵や防犯カメラを使うように、ITでも、認証、暗号化、アクセス権、ファイアーウォール、バックアップ、ログ管理などを使って情報を守ります。
ITパスポートでは、用語の意味だけでなく、脅威と対策の組み合わせ、日常業務での判断、情報漏えいへの注意などが問われます。
まずは「何を守るのか」「何が危ないのか」「どんな対策があるのか」をつなげて理解しましょう。