IT業界に興味を持ちはじめた人にとって、一番に耳にする資格が「ITパスポート試験」でしょう。
ITの基礎が問われる試験ということは知っているけど、内容までは詳しく分からないという方に向けて、学習を始める前の事前知識として役立つ内容を解説していきます。
ITパスポートの試験範囲について
ITパスポートの試験科目は、大きく分けて「ストラテジ系(経営全般)」「マネジメント系(IT管理)」「テクノロジ系(IT技術)」の3つとなります。
- ストラテジ系:企業と法務・経営戦略・システム戦略
- マネジメント系:開発技術・プロジェクトマネジメント・サービスマネジメント
- テクノロジ系:基礎理論・コンピュータシステム・技術要素
また、問題の配分としては、ストラテジ系が35問程度、マネジメント系が20問程度、テクノロジ系が45問程度出題されます。
本記事では、「テクノロジ系」の出題範囲にあたる「情報セキュリティ」分野に特化して概要を解説していきます。
情報セキュリティとは?
インターネットは、生活の必需品と言えるほどに世界中に普及されました。
一方で、インターネットを利用しデータを盗むなど悪意のあることをされるリスクも生まれました。
このようなリスクに対して、安全を確保することを「情報セキュリティ」と言います。
そして、情報セキュリティを脅かすリスクを「脅威」といい、大きく次の3つに分類されます。
人的脅威
人によって引き起こされる脅威のことを指します。
具体的には、悪意を持った人がコンピュータに不正アクセスをしたり、意図的にパスワードなどが盗まれることです。
人的脅威には次のような種類があります。
クラッキング
悪意をもってコンピュータに侵入し、データを盗み見たり破壊したりすること。
ソーシャルエンジニアリング
人間の心理的な隙を利用して秘密情報を手に入れること。
技術的脅威
技術的な手段によって引き起こされる脅威のことを指します。
コンピュータウイルスなどが、技術的脅威にあたります。
代表的な技術的脅威には次のような種類があります。
ランサムウェア
PCなどを使用できないようにした上で、回復のために金銭を要求するソフトウェアのこと。
ランサムウェアに感染すると、正常にPCなどにアクセスできなくなります。
フィッシング
利用者を偽サイトに誘導し、暗証番号やクレジットカード番号などを入力させて、それらの情報を不正に取得すること。
フィッシング詐欺という言葉をよく耳にしますが、正にこれにあたります。
SPAM
受け取る人の許可なしに、無差別に送付されるメールのこと。
よく使う言葉にすると迷惑メールがそれにあたります。
物理的脅威
施設や機器などが物理的な手段によって損害を受ける脅威のことを指します。
具体的には、第三者がサーバ室へ侵入しデータを盗み出すことや、災害により機器が停止するようなことが挙げられます。
暗号技術について
インターネットの普及により、多くの脅威が存在するようになると対応策が必要になります。
そして、多くのセキュリティ対策方法が生まれました。
対応策の最も基本的なものを「暗号技術」といい、文章を読めなくする技術のことを指します。
暗号技術を利用すれば、他者に解読されずに特定の相手だけに文章を届けることが可能になります。
具体的には、入力したクレジットカード番号がそのままの番号ではなく、暗号化され解読ができない状態になることです。
この暗号技術は、大きく次の2つに分類されます。
共通鍵暗号方式
暗号化するときと、暗号化された文章を元に戻すときに、同じ鍵を使う暗号化方式です。
家の鍵を閉めるときと開けるときで同じ鍵を使うのと、同じようなイメージとなります。
同じ鍵(共通鍵)を使い暗号化すると、その鍵を持っていない他者は文章を読むことができず、共通鍵を持っている人だけが解読することができます。
公開鍵暗号方式
共通鍵を第三者に盗まれてしまうと、共通鍵で暗号化したものが第三者にも読まれてしまいます。
このリスクを補うために、公開暗号方式が生まれました。
誰でも入手できる「公開鍵」と、自分だけの「秘密鍵」を使う暗号化方式となります。
「公開鍵」と「秘密鍵」がペアになっていないと、暗号化された文章を元に戻すことができません。
そのため、暗号化は誰にでもできますが、元に戻すことは特定の人にしかできません。
セキュリティ対策の種類
セキュリティ対策では、基本的に暗号技術が使われていることが分かりました。
ここでは、さらに具体的なセキュリティ対策例を解説していきます。
ファイアウォール
攻撃者からサーバを守る壁のことを指します。
攻撃者から守る壁は3段階あり、ファイアウォールはそのうちの1段階目の壁です。
インターネットを通じた不正アクセスから、社内ネットワークを守るための役割を果たします。
残り2段階の壁では、それぞれで社内システムの「OS」と「Webアプリケーション」部分を守る役割を果たしています。
VPN
インターネットなどの公共の通信回線を、あたかも専用回線のように利用できる技術のことを指します。
VPNを使用すると、外出先や自宅などからインターネット経由で職場のネットワークに安全にアクセスできます。
リモートワークなどで活用されています。
ワンタイムパスワード
一度しか使うことができない使い捨てのパスワードのことを指します。
具体的には、ネットバンクなどから他者に振り込みを行う際に、一時的に表示されるワンタイムパスワードの入力を行うなどが挙げられます。
まとめ
情報セキュリティの脅威と対応策について解説してきました。
情報セキュリティに関する知識は、インターネットが普及された世の中で身を守るために、欠かすことのできない知識のひとつです。
そのため、ITパスポート試験のための学習に留まらず、インターネットを日常的に利用する人にとって必ずつけておくべき基礎知識といえます。
未経験エンジニアにとって慣れない用語が多く出てくるため、理解するまでに時間がかかるかもしれませんが、まずは基礎の理解から始めていきましょう。