忍者ブログ
情報処理技術者試験の合格を目指す全受験者のための、1問1問「徹底解説」ブログです。単なる過去問の暗記ではなく、なぜその答えになるのかを本質的に理解できるよう解説します。書籍などでは学べない最新用語やトレンドを踏まえてご紹介します。

【ネットワーク】一本道を独占!「回線交換方式」|情報処理問題1000本ノック

インターネットで主流の「小分けにして送る」方式とは対極にある、一度繋がったらその道を独占できる通信の仕組みを攻略しましょう。

1. 問題:通信路を占有する通信方式

【 問題 】 通信ネットワークにおいて、通信を行うユーザ間にエンドエンド(端から端まで)の物理的な伝送路をあらかじめ設定し、設定完了後に実際の通信を行う方式を何と呼ぶでしょうか?

① パケット交換   ② 回線交換   ③ フレームリレー   ④ ATM(非同期転送モード)

2. 正解:通信プロトコル・方式に関する正解

正解: ② 回線交換(Circuit Switching)

3. 解説:専用の「通り道」を確保する

回線交換は、主にアナログ電話などで使われてきた方式です。一度繋がると、その通信が終わるまで他の人はその道を通れません。

【図解:回線交換のメリットとデメリット】

■ メリット
品質が安定:帯域を占有するため、他のユーザーの通信量に左右されず、遅延もほぼ一定です。
リアルタイム性に強い:電話のように途切れてはいけない通信に向いています。

■ デメリット
効率が悪い:通信をしていない時間(無言の時間など)も回線を占有し続けるため、資源の無駄が生じます。
「話中」がある:回線がいっぱいのときは、新しく繋ぐことができません。
[ 対比して覚えたい:パケット交換 ]
パケット交換:データを細切れ(パケット)にして、複数のユーザーで一本の回線を共有する方式。インターネットの基本です。効率は良いですが、混雑すると遅延が発生します。

1. 理解のコツ: 回線交換は「線路を一台の専用列車が走り抜ける」イメージ。パケット交換は「一般道をたくさんのトラックが荷物を小分けにして走る」イメージです。
2. 試験対策の視点: 「占有」「あらかじめ設定(コネクション確立)」「物理的(または論理的)な伝送路の確保」という言葉があれば回線交換です。逆に「共有」「蓄積」「小分け」といった言葉があればパケット交換を指します。

4. まとめ

「通信路を占有し、端から端まで一本の道を確保する」。これが回線交換方式です。データの効率よりも、通信の安定性やリアルタイム性が最優先される場面で活躍する技術です。


PR

【セキュリティ】閲覧者のブラウザを操る!「クロスサイトスクリプティング」|情報処理問題1000本ノック

Webサイトの脆弱性を突き、正規の利用者のブラウザ上で悪意のあるスクリプトを実行させる攻撃手法。その仕組みと対策を攻略しましょう。

1. 問題:Webアプリケーションの脆弱性

【 問題 】 Webアプリケーションの脆弱性を利用し、サイトの訪問者のブラウザ上で意図しないJavaScriptなどのスクリプトを実行させる攻撃手法はどれでしょうか?

ア、クロスサイトスクリプティング(XSS)   イ、SQLインジェクション   ウ、コマンドインジェクション   エ、セッションハイジャック

2. 正解:Webセキュリティに関する正解

正解: ア、クロスサイトスクリプティング(XSS)

3. 解説:罠を仕掛けて「他人のブラウザ」で実行

XSSは、Webサイトへの入力内容をそのまま画面に表示してしまう不備を突く攻撃です。

【図解:クロスサイトスクリプティングの仕組み】

■ 攻撃の流れ
1. 攻撃者が、掲示板などの入力欄に悪意のあるスクリプト(例:<script>...</script>)を書き込みます。
2. 脆弱なサイトは、そのスクリプトを「データ」ではなく「プログラムの一部」として保存・表示してしまいます。
3. 一般の閲覧者がそのページを開くと、閲覧者のブラウザ上でそのスクリプトが自動的に実行されます。

■ 被害の例
・Cookie情報(セッションID)が盗まれ、なりすましが行われる。
・偽の入力フォームを表示させ、パスワードを盗み出す(フィッシング)。
[ 他の選択肢との違い ]
SQLインジェクション:データベース(DB)を不正に操作する。
コマンドインジェクション:OSのコマンドを不正に実行させる。
セッションハイジャック:通信中のセッションIDを奪って本人になりすます。

1. 理解のコツ: サイトそのものを壊すのではなく、サイトを「罠の設置場所」として利用し、サイトを見に来た一般ユーザーを攻撃するのがXSSの特徴です。
2. 試験対策の視点: 「ブラウザ上でスクリプトを実行」というフレーズがあればXSSです。対策として「サニタイジング(無害化)」や「エスケープ処理(<&lt; に変換するなど)」という用語もセットで覚えましょう。

4. まとめ

「Webアプリケーションの脆弱性を突き、意図しないスクリプトを実行させる」。これがクロスサイトスクリプティング(XSS)です。ユーザーの個人情報を守るために、開発者が最も警戒すべき脆弱性の一つです。


【セキュリティ】物理的な侵入を許さない!「共連れ防止(アンチパスバック)」|情報処理問題1000本ノック

デジタルな攻撃だけでなく、オフィスやデータセンターへの「物理的な侵入」を防ぐこともセキュリティの重要な柱です。人の心理や隙を突いた侵入を防ぐ仕組みを学びましょう。

1. 問題:物理的セキュリティ対策

【 問題 】 オフィスやデータセンターの入退室管理において、正規の利用者が認証を行って解錠したドアから、認証を受けていない第三者が続いて入場してしまう行為(共連れ)を物理的に防止する仕組みや運用を何と呼ぶでしょうか?

ア、ソーシャルエンジニアリング   イ、アンチパスバック   ウ、テールゲート対策   エ、シングルサインオン

2. 正解:物理セキュリティに関する正解

正解: ウ、テールゲート対策(または共連れ防止)

※仕組みとしては「アンチパスバック(入室記録がないと退室できない)」も併用されます。

3. 解説:物理的な「実行」を阻止する

Webのスクリプト実行が「デジタルの意図しない動作」なら、物理セキュリティは「人の意図しない侵入」を阻止します。

【図解:代表的な物理セキュリティ手法】

■ サークルゲート(セキュリティゲート)
・一人分しか通れないスペースを確保し、認証が完了するまで次の扉が開かない仕組み。物理的に「共連れ」を不可能にします。

■ アンチパスバック
・「入室時の認証記録」がないと「退室時の認証」を受け付けない論理的な制御。これにより、外から誰かに続いて入った人は、中から出られなくなります。

■ バイオメトリクス認証
・指紋や静脈など、本人の身体的特徴を用いて「意図しないなりすまし」を防ぎます。
[ 関連用語:ソーシャルエンジニアリング ]
★ 「あ、開けておいてくれてありがとう!」という善意や油断に付け込んで侵入する手法。物理セキュリティでは、この心理的スキをシステムでどう埋めるかが鍵となります。

1. 理解のコツ: どんなに頑丈な金庫(ファイアウォール)があっても、入り口のドアで「どうぞどうぞ」と他人を入れてしまったら意味がありません。これを防ぐのが物理セキュリティの「共連れ防止」です。
2. 試験対策の視点: 情報処理試験の「セキュリティ」分野では、こうした物理的な入退室管理や、監視カメラの配置、UPS(無停電電源装置)の設置なども範囲に含まれます。デジタルと物理、両方の「入り口」を守る意識を持ちましょう。

4. まとめ

「許可なく続く侵入を物理的に阻止する」。これが物理セキュリティにおけるテールゲート対策共連れ防止です。ネットワーク上の脆弱性対策と同じくらい、現実世界の「鍵」と「ルール」の管理は重要です。


【情報セキュリティ】例外なき門番!「完全仲介システム」|情報処理問題1000本ノック

「一度許可したから次もOK」という甘さを排除し、あらゆるアクセスを毎回チェックする。強固なセキュリティを実現するための設計原則を攻略しましょう。

1. 問題:アクセス制御の設計原則

【 問題 】 情報システムのセキュリティ設計において、利用者やプログラムによるあらゆるリソースへのアクセスを、必ずセキュリティ機構(レフェリー)が仲介し、その都度ポリシー(許可ルール)を照合・強制する仕組みを何と呼ぶでしょうか?

ア、最小権限の原則   イ、完全仲介(Complete Mediation)   ウ、多層防御   エ、デフォルト・ディナイ

2. 正解:セキュリティ設計に関する正解

正解: イ、完全仲介(Complete Mediation)

3. 解説:ショートカットを許さない徹底管理

完全仲介は、ソルトザーとシュローダーが提唱した「安全なシステムの設計原則」の一つです。

【図解:完全仲介のポイント】

■ 基本的な考え方
・リソース(ファイル、データベース、APIなど)への「隠れ道」を一切作らせない。
・アクセスが発生するたびに、権限があるかを必ず確認する。

■ なぜ「毎回」なのか?
・最初の確認時には権限があっても、次の瞬間には権限が剥奪されている可能性があるからです。
・キャッシュされた古い許可情報(トークンなど)を使い回しすぎると、この原則から外れてしまいます。
[ ゼロトラストとの深い関係 ]
★ 現代の「ゼロトラスト」は、この完全仲介の概念をネットワーク全体に広げたものです。社内・社外を問わず、全ての通信(アクセス)を仲介装置(プロキシやゲートウェイ)がインターセプトし、検証することを求めます。

1. 理解のコツ: どんなに「顔なじみ」の人であっても、建物に入るたびに必ずIDカードの提示と指紋認証を求める厳しいガードマンのような存在です。「顔パス」という例外を作らないのが完全仲介です。
2. 実務・試験の視点: 「あらゆるアクセス」「必ず仲介」「ポリシーの強制」という言葉がセットで出たら、この用語を思い出してください。OSのカーネルがリソースアクセスを監視する仕組み(リファレンスモニタ)の要件としてもよく登場します。

4. まとめ

「あらゆる通信を仲介し、ポリシーを適用・強制する」。これが完全仲介システムです。システムの安全性を「信頼(思い込み)」ではなく、継続的な「検証」によって担保する、セキュリティの鉄則です。



【情報セキュリティ】数式で鍵をあぶり出す!「線形解読法」|情報処理問題1000本ノック

現代の暗号は非常に強固ですが、入力(平文)と出力(暗号文)の間にわずかでも「統計的な偏り」があると、そこから鍵を推測されるリスクがあります。高度な解読理論を攻略しましょう。

1. 問題:暗号解読手法の分類

【 問題 】 暗号解読手法のうち、平文のビットと暗号文のビットを組み合わせた排他的論理和(XOR)の値と、鍵のビットとの間に成り立つ「線形近似式」を求め、その確率的な偏りを分析することで、効率的に鍵を推測する手法はどれでしょうか?

ア、線形解読法   イ、差分解読法   ウ、ブルートフォース法   エ、辞書攻撃法

2. 正解:暗号解読に関する正解

正解: ア、線形解読法(Linear Cryptanalysis)

3. 解説:わずかな「偏り」を鍵にする

線形解読法は、平文と暗号文の対応関係を数式(線形近似式)で表し、その式が成り立つ確率が「0.5(50%)」からどれだけズレているかに注目します。

【図解:代表的な解読手法の比較】

■ 線形解読法 ★今回の正解
特徴:平文と暗号文の関係を「1次式」で近似し、統計的な偏りから鍵を予測します。
効果:すべての鍵を試す総当たりよりも、少ない計算量で解読できる場合があります。

■ 差分解読法 ★選択肢イ
特徴:2つの平文の「差分」が、暗号化した後にどのような「差分」として現れるかを分析します。これも統計的な偏りを利用します。

■ ブルートフォース法(総当たり攻撃) ★選択肢ウ
特徴:理論的な弱点を探るのではなく、すべての鍵のパターンをしらみつぶしに試します。

■ 辞書攻撃法 ★選択肢エ
特徴:よく使われる単語やパスワードのリスト(辞書)を使って効率的に試行します。
[ 現代暗号の対策 ]
Sボックスの設計:DESやAESなどのブロック暗号では、内部の変換テーブル(Sボックス)を設計する際、線形解読法や差分解読法に対して十分な耐性(偏りが出ないこと)を持つよう数学的に工夫されています。

1. 理解のコツ: 「平文と暗号文を足し引き(XOR)してみたら、完全なランダムではなく、わずかに鍵のヒントが見えてしまった」という現象を利用するのが線形解読法です。
2. 試験対策の視点: 「平文と暗号文のビットの排他的論理和」「線形近似式」「統計的」といったキーワードが出たら線形解読法です。差分解読法とセットで「既知平文攻撃(平文と暗号文のペアが手に入っている状態での攻撃)」の代表例として覚えましょう。

4. まとめ

「暗号化鍵を統計的に予測して、計算量を減らす」。これが線形解読法です。力任せではなく、数学的な「透かし」を見つけることで、暗号の城壁を内側から崩そうとする知的な攻撃手法です。

【情報セキュリティ】統計で壁を崩す!「頻度分析」による暗号解読|情報処理問題1000本ノック

どれほど複雑に見える暗号文でも、使われている言語の「癖」を分析することで糸口が見えてきます。古典暗号から現代に続く解読の基本思考を攻略しましょう。

1. 問題:暗号文の統計的解読手法

【 問題 】 暗号文に出現する各文字や記号の出現確率を数え上げ、それを特定の言語(英語や日本語など)における文字の出現確率の統計データと比較することで、平文を推測・特定しようとする解読手法を何と呼ぶでしょうか?

ア、総当たり攻撃   イ、差分解読法   ウ、頻度分析   エ、辞書攻撃

2. 正解:暗号解読に関する正解

正解: ウ、頻度分析(Frequency Analysis)

3. 解説:言語が持つ「偏り」を利用する

文章には、よく使われる文字とそうでない文字の「偏り」が必ず存在します。この統計的な特徴は、単純な入れ替え暗号(単換字暗号)では隠しきることができません。

【図解:頻度分析のイメージ】

■ 文字の出現確率の例(英語の場合)
・最もよく使われる文字は「e」、次いで「t」「a」「o」……という統計があります。

■ 解読のプロセス

【情報セキュリティ】繰り返すことで強くなる!暗号の「ラウンド」構造|情報処理問題1000本ノック

AESやDESといったブロック暗号では、単純な計算を何度も積み重ねることで、スパコンでも解読不可能な強固な壁を作り上げます。その計算の「単位」について攻略しましょう。

1. 問題:暗号化工程の繰り返し単位

【 問題 】 ブロック暗号において、置換(Substitution)や変換(Permutation)といった特定の計算ステップを1段階とし、これを複数回繰り返し実行することで暗号の強度を高める仕組みがあります。この繰り返される一連の処理単位を何と呼ぶでしょうか?

ア、セグメント   イ、ラウンド   ウ、フェーズ   エ、サイクル

2. 正解:暗号アルゴリズムに関する正解

正解: イ、ラウンド(Round)

3. 解説:繰り返すほどに複雑さが増す

1回だけの計算では元のデータの規則性が残ってしまいますが、何度も「ラウンド」を重ねることで、データは完全に「かき混ぜられ」ます。

【図解:ラウンドの役割と仕組み】

■ ラウンド関数
・各ラウンドで実行される具体的な計算処理のことです。各ラウンドでは通常、共通鍵から生成された異なる「ラウンド鍵」が使用されます。

■ ラウンド数と強度の関係
・AESの場合、鍵の長さに応じて10回、12回、14回といった具合にラウンド数が決まっています。
・ラウンド数が多いほど解読は困難になりますが、その分計算量が増え、処理速度は低下します。
[ 関連用語:ラウンド鍵 ]
★ 元の共通鍵(マスターキー)から、スケジューリングという処理を経て、各ラウンドごとに専用の鍵が作られます。これにより、全ラウンドを通じて同じ鍵を使い回すよりも格段に安全性が向上します。

1. 理解のコツ: ボクシングの試合のように、「第1ラウンド、第2ラウンド…」と何度も攻撃(計算)を重ねて相手(解読者)を翻弄するイメージです。最終的な暗号文は、この繰り返しの果てに完成します。
2. 試験対策の視点: 「SPN構造」や「フェイステル構造」の解説文の中で、「~という処理をn回繰り返す」といった文脈でよく登場します。この繰り返しの単位が「ラウンド」であることを覚えておきましょう。

4. まとめ

「暗号化のステップを1単位として繰り返すこと」。これがラウンドです。一見シンプルな計算でも、ラウンドを重ねることで数学的に極めて強固な暗号へと進化するのです。

【情報セキュリティ】被害を最小限に抑える!「対策の3段階分類」|情報処理問題1000本ノック

セキュリティ対策は、単に「守る」だけではありません。万が一の発生を想定し、いかに早く気づき、いかに適切に対処するかという多層的な視点が不可欠です。対策の3つの柱を攻略しましょう。

1. 問題:セキュリティ対策の役割による分類

【 問題 】 情報セキュリティ対策のうち、不正アクセスやマルウェア感染などのインシデントが「発生したこと」を早期に突き止め、管理者に通知する役割を持つものはどれでしょうか?

ア、防止機能   イ、検出機能   ウ、対応機能   エ、抑止機能

2. 正解:セキュリティ管理に関する正解

正解: イ、検出機能

3. 解説:守り・気づき・動くのサイクル

セキュリティ対策は、その目的(機能)によって大きく3つに分類されます。これらを組み合わせることで「多層防御」を実現します。

【図解:対策の3大分類】

1. 防止機能 (Preventive)
・インシデントが起きないようにするための対策。
・例:ファイアウォール、アクセス制御、暗号化、入退室管理。

2. 検出機能 (Detective) ★今回の正解
・インシデントが起きたことに気づくための対策。
・例:IDS(侵入検知システム)、ログ監視、ウイルススキャン、検印。

3. 対応機能 (Corrective/Responsive)
・起きてしまった後に被害を抑え、復旧させるための対策。
・例:バックアップからのリストア、CSIRTによる緊急対応、システムの隔離。
[ 補足:もう一つの「抑止」 ]
抑止機能 (Deterrent):防犯カメラの設置や罰則規定の明示など、「攻撃を思いとどまらせる」心理的な対策を指します。

1. 理解のコツ: 「防止」は家の鍵をかけること、「検出」は防犯アラームが鳴ること、「対応」は警備員が駆けつけたり保険を適用したりすること、とイメージすると非常に分かりやすくなります。
2. 試験対策の視点: 各具体的な技術(例えば「IDS」や「バックアップ」)が、この3つのうちどこに分類されるか、という組み合わせ問題がよく出題されます。それぞれの対策の「一番の目的」が何かを考えましょう。

4. まとめ

「防ぐ・見つける・対処する」。この3つの機能が揃って初めて、実効性のあるセキュリティ体制となります。インシデントは100%防げないという前提に立ち、特に検出対応を強化するのが現代のトレンドです。

【情報セキュリティ】最強の解読条件!「選択暗号文攻撃」|情報処理問題1000本ノック

暗号解読のシナリオにおいて、攻撃者が「復号(元に戻す)プロセス」を自由に利用できる場合があります。攻撃者が最も優位に立つこの手法の脅威を攻略しましょう。

1. 問題:暗号解読の高度な攻撃モデル

【 問題 】 暗号解読における攻撃手法のうち、攻撃者が任意に選択した「暗号文」をターゲットのシステムに復号させ、それに対応する「平文」を入手することで、鍵の特定や情報の奪取を試みる手法はどれでしょうか?

ア、暗号文単独攻撃   イ、既知平文攻撃   ウ、選択平文攻撃   エ、選択暗号文攻撃

2. 正解:暗号攻撃手法に関する正解

正解: エ、選択暗号文攻撃(Chosen Ciphertext Attack / CCA)

3. 解説:復号器を「オラクル(神託)」として利用する

選択暗号文攻撃は、攻撃者が「中身(鍵)は分からないが、入力した暗号文を復号してくれる装置」を自由に使える極めて強力な攻撃モデルです。

【図解:選択暗号文攻撃のイメージ】

■ 攻撃の手順
1. 攻撃者が、解読したい暗号文を少しだけ加工した「偽の暗号文」を自由に作成する。
2. それをターゲットの復号システムへ送り、復号結果(平文)を入手する。
3. 得られた平文のパターンを分析し、そこから本物の暗号文を解くための「鍵」を数学的に割り出す。

■ なぜそんなことが可能なのか?
・例えば、サーバーが「復号に失敗した」というエラーメッセージを返したり、復号にかかった時間の差(サイドチャネル攻撃)を利用したりすることで、実質的に復号結果の一部を知ることができる場合があります。
[ 攻撃手法の強さの階層 ]
選択平文攻撃 (CPA):好きな平文を「暗号化」できる。
選択暗号文攻撃 (CCA):好きな暗号文を「復号」できる。 ← 最も強力!
※ 現代の公開鍵暗号(RSAなど)は、このCCAに対して耐性を持つ「適応的選択暗号文攻撃 (IND-CCA2) 安全性」が求められます。

1. 理解のコツ: 攻撃者が「魔法の翻訳機」をこっそり借りているような状態です。解読したい暗号文そのものは復号させてもらえなくても、それに似た暗号文を大量に試すことで、内部の鍵の仕組みを暴き出します。
2. 試験対策 of 視点: 「任意に選んだ暗号文」という言葉があれば、この選択暗号文攻撃が正解です。特にRSAなどの公開鍵暗号の脆弱性(パディング・オラクル攻撃など)と関連して議論されることが多いトピックです。

4. まとめ

「攻撃者が選んだ暗号文の復号結果を利用して解読する」。これが選択暗号文攻撃です。この攻撃に耐えられることが、現代の高度なセキュリティ製品における事実上の標準要件となっています。


【情報セキュリティ】暗号化の仕組みを逆手に取る!「選択平文攻撃」|情報処理問題1000本ノック

暗号を解読する手法にはいくつか種類がありますが、攻撃者が自由に「テストデータ」を暗号化できる環境にある場合、解読の難易度は大きく変わります。この戦略的な攻撃手法を攻略しましょう。

1. 問題:暗号解読の攻撃モデル

【 問題 】 暗号解読における攻撃手法のうち、攻撃者が任意に選択した平文を、解読したい暗号化アルゴリズムによって暗号化させ、それに対応する暗号文を入手することで、鍵や隠された情報を推測しようとする手法はどれでしょうか?

ア、暗号文単独攻撃   イ、既知平文攻撃   ウ、選択平文攻撃   エ、選択暗号文攻撃

2. 正解:暗号攻撃手法に関する正解

正解: ウ、選択平文攻撃(Chosen Plaintext Attack / CPA)

3. 解説:自由に「実験」ができる攻撃者

選択平文攻撃は、攻撃者が「暗号化を行う装置(ブラックボックス)」を自由に使える状態にあることを想定した、非常に強力な攻撃手法です。

【図解:選択平文攻撃のイメージ】

■ 攻撃の手順
1. 攻撃者が「AAAAA」や「12345」など、特定のパターンを持つ平文を自由に選ぶ
2. それをターゲットのシステムに放り込み、出てきた暗号文を観察する
3. 平文の変化に対して暗号文がどう変わるかの法則性を分析し、鍵を特定しようとする。

■ なぜそんなことが可能なのか?
・例えば、ICカードや暗号チップなどを物理的に入手した場合、内部の鍵は見えなくても、「好きなデータを入力して暗号化させる」ことは可能です。この状況が選択平文攻撃のチャンスとなります。
[ 攻撃レベルの比較 ]
暗号文単独:暗号文しか持っていない(最も難しい)。
既知平文:偶然手に入れた「過去の平文と暗号文のペア」を使う。
選択平文:自分でペアを自由に作れる(より強力)。
選択暗号文:特定の暗号文を「復号」させた結果を得られる(最強)。

1. 理解のコツ: 攻撃者が「暗号化マシンを借りている」ような状態です。好きな言葉を入力して、どう変わるかを何度も試せるので、ただ暗号文を眺めているだけの攻撃より格段に効率よく解読が進みます。
2. 試験対策の視点: 「攻撃者が任意に選んだ平文」というフレーズがあれば、この選択平文攻撃が正解です。また、これに耐えられる暗号(安全性)を「選択平文攻撃に対して安全である」と表現します。

4. まとめ

「攻撃者が選んだ平文のペアを利用して解読する」。これが選択平文攻撃です。現代の暗号アルゴリズムは、この攻撃を受けても鍵を特定されないような高度な数学的強度が求められています。