忍者ブログ
情報処理技術者試験の合格を目指す全受験者のための、1問1問「徹底解説」ブログです。単なる過去問の暗記ではなく、なぜその答えになるのかを本質的に理解できるよう解説します。書籍などでは学べない最新用語やトレンドを踏まえてご紹介します。

【コンピュータ構成】次にやるべきことを忘れない!「プログラムカウンタ」|情報処理問題1000本ノック

CPUがプログラムを順番に実行できるのは、常に「次はこの場所(アドレス)」と教えてくれるガイドがいるからです。その役割を担う「プログラムカウンタ」を攻略しましょう。

1. 【 問題 】:CPU内のレジスタ

【 問題 】 CPUの構成要素であるレジスタのうち、次に実行すべき命令が格納されている主記憶装置(メインメモリ)のアドレスを保持しているものはどれでしょうか?

① アキュムレータ
② 命令レジスタ
③ プログラムカウンタ
④ インデックスレジスタ

2. 正解:

正解: ③ プログラムカウンタ(Program Counter)

3. 解説:CPUの「しおり」の役割

プログラムは主記憶(メモリ)上に一列に並んでいます。CPUはそれを一つずつ取り出して実行しますが、その「読み取り位置」を覚えているのがプログラムカウンタです。

【CPUが命令を実行する流れ】

1. 命令の取り出し(フェッチ)
プログラムカウンタが指すアドレスの命令を、メモリから読み出します。

2. カウントアップ
・命令を取り出したら、プログラムカウンタの値は自動的に次の命令のアドレスに更新されます。

3. 命令の解読と実行
・取り出した命令を「命令レジスタ」に入れ、解読(デコード)して実行します。
[ 混同しやすい「命令レジスタ」との違い ]
プログラムカウンタ:次に実行する命令の「場所(アドレス)」を指すもの。
命令レジスタ:取り出した命令の「中身そのもの」を一時的に置くもの。

1. 理解のコツ: 読書をしている時の「指先」や「しおり」をイメージしてください。今読んでいる場所ではなく、「次に読むべき行」を指し示しているのがプログラムカウンタです。
2. 試験対策の視点: 「次に実行すべき」「命令のアドレス」「記憶・保持」という言葉が揃ったらプログラムカウンタが正解です。分岐命令(ジャンプ)が実行されたときは、このカウンタの値がジャンプ先のアドレスに書き換えられることで、実行順序が飛びます。

4. まとめ

「次に実行する命令のアドレスを保持するレジスタ」。これがプログラムカウンタです。CPUが迷子にならずにプログラムを先へ進めるための、ナビゲーターのような存在です。


PR

【システム構成】サーバーも「コード」で書く時代!「IaC」|情報処理問題1000本ノック

マウスでポチポチ設定するのではなく、テキストファイルに設計図を書いてコマンド一つでインフラを立ち上げる。効率化の極致「IaC」を攻略しましょう。

1. 【 問題 】:インフラ構成の自動化

【 問題 】 サーバーの構築やネットワーク設定などのインフラ構成を、手作業ではなく設定ファイル(コード)を用いて定義し、実行ツールによって自動的に構築・管理する手法を何と呼ぶでしょうか?

① SaaS (Software as a Service)
② IaC (Infrastructure as Code)
③ PaaS (Platform as a Service)
④ IaaS (Infrastructure as a Service)

2. 正解:

正解: ② IaC(Infrastructure as Code)

3. 解説:インフラを「ソフト」のように扱う

IaCは、その名の通り「インフラをコードとして管理する」ことです。これにより、プログラム開発と同じような恩恵をサーバー管理にも持ち込めます。

【IaCによって得られる4つのメリット】

■ 再現性
・同じコードを実行すれば、誰でも、何度でも、全く同じ環境が作れます。

■ 自動化・高速化
・100台のサーバーもコマンド一つで数分のうちに立ち上がります。

■ 履歴管理(バージョン管理)
・Gitなどのツールを使い、「いつ、誰が、どこを変えたか」の履歴がすべて残ります。

■ イミュータブル・アーキテクチャの実現
・「直すより作り直す」が簡単にできるのは、コードですぐに新品が作れるからです。
[ 代表的なツール例 ]
Terraform:クラウド全体の構成を定義する。
Ansible:OSの中身(ソフトのインストール等)を設定する。
CloudFormation:AWS専用のIaCサービス。

1. 理解のコツ: 料理で例えると、「自分の勘で味付け(手動設定)」するのではなく、「完璧なレシピ(コード)」を作っておくようなものです。レシピがあれば、誰が作っても、何度作っても、分店(別環境)を出しても同じ味を再現できます。
2. 試験対策の視点: 「設定ファイルで定義」「自動構築」「バージョン管理が可能」といった言葉が出たらIaCです。IaaS(サービスとしてのインフラ)という言葉と似ていますが、IaCは「やり方(手法)」、IaaSは「提供されるモノ」と区別しましょう。

4. まとめ

「インフラの構成をコード化し、自動で構築・管理する」。これがIaCです。開発と運用の壁をなくす「DevOps」を支える、現代ITインフラの土台となる考え方です。


【システム構成】使い捨てが生む安定性!「イミュータブル・アーキテクチャ」|情報処理問題1000本ノック

「壊れたら直す」のではなく「新しいものに置き換える」。インフラ運用の常識を覆した、モダンな設計思想を攻略しましょう。

1. 【 問題 】:インフラ設計の新常識

【 問題 】 サーバーなどのインフラ構成を変更する際、稼働中のOSやソフトウェアを修正(更新)するのではなく、常に新しい環境を構築して丸ごと入れ替えるという設計手法を何と呼ぶでしょうか?

① モノリシック・アーキテクチャ
② サーバーレス・アーキテクチャ
③ イミュータブル・アーキテクチャ
④ マイクロサービス・アーキテクチャ

2. 正解:

正解: ③ イミュータブル・アーキテクチャ(Immutable Architecture)

3. 解説:「不変(Immutable)」という最強の防御

「イミュータブル」とは「不変(変わらない)」という意味です。一度動かしたサーバーには二度と手を加えない(変更しない)のがこの手法の核です。

【対比:これまでの運用 vs イミュータブル】

■ 従来の運用(ミュータブル / 可変)
・稼働中のサーバーにログインして設定変更やパッチ適用を行う。
弱点:長年運用すると、設定が複雑に入り組み「秘伝のタレ」化して再現不能になる。

■ イミュータブル・アーキテクチャ(不変)
・変更が必要なら、新しい設定のサーバーを別に作り、古いものと交換して捨てる。
利点:常に「新品」の状態で動くため、環境の不整合が起きず、復旧や複製が容易。
[ 関連キーワード ]
Blue-Green Deployment:新旧の環境を並行して作り、ロードバランサーで一気に切り替える手法。イミュータブルな運用の代表例。
IaC (Infrastructure as Code):コードから同じ環境を何度でも作れる技術が、このアーキテクチャを支えています。

1. 理解のコツ: 昔のテレビ(ブラウン管)が壊れたら近所の電気屋さんが裏蓋を開けて修理していましたが、今のスマホは壊れたら「本体交換」で対応することが多いですよね。あの「直さず新品に替える」という発想がイミュータブル・アーキテクチャです。
2. 試験対策の視点: 「変更(更新)せずに作り直す」「不変」「構築済みのサーバーを破棄」という表現が出てきたらこの用語を選びましょう。Dockerなどのコンテナ技術の説明とセットで出ることが多いです。

4. まとめ

「一度作った環境には手を加えず、変更のたびに作り直す」。これがイミュータブル・アーキテクチャです。クラウド時代のインフラ運用において、再現性と信頼性を高めるための必須知識と言えます。


【情報セキュリティ】なりすましを許さない!「真正性」|情報処理問題1000本ノック

情報セキュリティの7要素を解説するシリーズ。今回は、利用者や情報が「主張通り本物」であることを証明する「真正性」を攻略しましょう。

1. 【 問題 】:セキュリティの付加特性

【 問題 】 情報セキュリティの要素の中で、利用者、プロセス、システム、情報などが、主張通り本人(本物)であることを確実にする特性を指すものはどれでしょうか?

① 真正性(Authenticity)
② 責任追跡性(Accountability)
③ 否認防止(Non-repudiation)
④ 信頼性(Reliability)

2. 正解:

正解: ① 真正性(Authenticity)

3. 解説:その「自称」は本当か?を検証する

真正性とは、情報の作成者やアクセスしようとしている人が「偽物ではない」と証明されている状態です。

【 情報セキュリティの7要素:再掲 】

[ 基本の3要素:CIA ]
1. 機密性 (C):漏洩防止。
2. 完全性 (I):改ざん防止。
3. 可用性 (A):停止防止。

[ 付加的な4要素 ]
4. 真正性「なりすまし防止」。本人が作成・アクセスしたと証明できる。 ← ココ!
5. 責任追跡性:誰が何をしたか追跡できる。
6. 否認防止:後から事実を否定できない。
7. 信頼性:意図した通りに正しく動作する。

「本人が作成したことを証明する」「なりすましではない」は、真正性の定義です。
[ 具体的な対策例 ]
デジタル署名:メールの送信者が「自称・社長」ではなく、本当に社長本人であることを証明する。
多要素認証:生体認証などを組み合わせ、ログインしているのが本人であることを確実にする。
デジタル証明書:アクセスしているWebサイトが「本物の銀行」であることを証明する。

1. 理解のコツ: ホテルのチェックインをイメージしてください。「私は〇〇です」と名乗るだけでは不十分で、免許証(真正性の証明)を見せて初めて鍵がもらえますよね。ITの世界でも、デジタル署名などが免許証の役割を果たします。
2. 試験対策の視点: 「主張通り本人であること」「なりすまし防止」「本物であることの確実性」というキーワードが出たら「真正性」を選びましょう。完全性(中身が正しい)と真正性(作成者が正しい)を混同しないように注意です。

4. まとめ

「相手や情報が、偽物ではなく本物であると保証されている状態」。これが真正性です。ゼロトラスト(何も信じない)という現代のセキュリティの考え方において、最も重要視されている要素の一つです。

【情報セキュリティ】改ざんを許さない!「完全性」|情報処理問題1000本ノック

情報セキュリティの7要素を解説するシリーズ。今回は、データが正確であることを保証する「完全性」を攻略しましょう。

1. 【 問題 】:セキュリティの基本要素

【 問題 】 情報セキュリティの要素の中で、情報が正確で、最新の状態に保たれていること、および不当な改ざんや破壊が行われていない状態を指すものはどれでしょうか?

① 機密性(Confidentiality)
② 完全性(Integrity)
③ 可用性(Availability)
④ 真正性(Authenticity)

2. 正解:

正解: ② 完全性(Integrity)

3. 解説:情報の「正しさ」と「完璧さ」を守る

完全性とは、情報が意図せず書き換えられたり、壊されたりしていないことを指します。いわば、情報の「品質保証」です。

【 情報セキュリティの7要素:再掲 】

[ 基本の3要素:CIA ]
1. 機密性 (C):漏洩防止。
2. 完全性 (I)「改ざん防止」。情報が正確で最新である。 ← ココ!
3. 可用性 (A):停止防止。いつでも使える。

[ 付加的な4要素 ]
4. 真正性:なりすまし防止。
5. 責任追跡性:誰が何をしたか追跡できる。
6. 否認防止:後から事実を否定できない。
7. 信頼性:意図した通りに正しく動作する。

「情報が正確で最新」「改ざんされていない」は、完全性の定義です。
[ 具体的な対策例 ]
デジタル署名:ファイルが途中で書き換えられていないかチェックする。
バックアップ:万が一データが破壊されても、正しい状態に戻せるようにする。
ハッシュ値の比較:ダウンロードしたファイルが正規のものか確認する。

1. 理解のコツ: 銀行の預金残高をイメージしてください。他人にバレないこと(機密性)も大事ですが、勝手に数字を書き換えられないこと(完全性)が担保されていなければ、恐ろしくて預けられませんよね。
2. 試験対策の視点: 「情報の正確性」「不当な改ざん」「破壊」というキーワードが出たら「完全性」を選びましょう。機密性(漏らさない)と完全性(正しさを守る)をセットで押さえておくのが合格への近道です。

4. まとめ

「情報が正確で、かつ書き換えられていない状態」。これが完全性です。ハッシュ関数やデジタル署名といった技術は、まさにこの完全性を証明するために存在しています。


【情報セキュリティ】情報の「秘密」を死守する!「機密性」|情報処理問題1000本ノック

情報セキュリティには、守るべき基本の3要素(CIA)に4つの特性を加えた「7要素」という考え方があります。今回はその中でも最も基本となる「機密性」を攻略しましょう。

1. 【 問題 】:セキュリティの基本要素

【 問題 】 情報セキュリティの要素の中で、アクセスを許可された者だけが情報にアクセスでき、意図した相手以外に情報が漏れないようにすることを何と呼ぶでしょうか?

① 機密性(Confidentiality)
② 完全性(Integrity)
③ 可用性(Availability)
④ 真正性(Authenticity)

2. 正解:

正解: ① 機密性(Confidentiality)

3. 解説:情報セキュリティの7要素

基本の3要素(CIA)に、さらに4つの特性を加えた「7要素」を整理します。試験ではそれぞれの定義の「違い」が問われます。

【 情報セキュリティの7要素 】

[ 基本の3要素:CIA ]
1. 機密性 (C)「漏洩防止」。許可された人だけが使える。
2. 完全性 (I)「改ざん防止」。情報が正確で最新である。
3. 可用性 (A)「停止防止」。必要な時にいつでも使える。

[ 付加的な4要素 ]
4. 真正性「なりすまし防止」。利用者や情報が本物であると証明できる。
5. 責任追跡性「ログの証拠」。誰がいつ何をしたか追跡できる。
6. 否認防止「しらばっくれ防止」。後から事実を否定できない。
7. 信頼性「処理の確実性」。システムが意図した通りに正しく動作する。

「意図した相手以外に漏れない」は、機密性の定義です。
[ 覚え方のヒント ]
機密性を保つ手段 = ID/パスワードによる制限、データの暗号化など。
真正性を保つ手段 = デジタル署名、多要素認証など。

1. 理解のコツ: 「機密性」は、大切なラブレターに封をして、宛てた相手以外には読ませないようにするイメージです。情報が外に漏れ出すことを防ぐのが最大の目的です。
2. 試験対策の視点: DS検定や情報処理試験において、セキュリティの定義を問う問題は得点源です。特に「機密性(漏洩)」と「真正性(本人の証明)」などは、言葉の響きが似ていても役割が全く異なるため、正確に判別しましょう。

4. まとめ

「アクセス権がある人だけが見られる状態にすること」。これが機密性です。機密性・完全性・可用性の3要素に、さらに4要素を加えた合計7つの視点を持つことが、プロフェッショナルなセキュリティ管理の第一歩です。


【システム構成】再開までのタイムリミット!「RTO」|情報処理問題1000本ノック

システムが止まったとき、ビジネスを止めてもいい「制限時間」を定義する重要指標を攻略しましょう。

1. 【 問題 】:目標復旧時間(RTO)

【 問題 】 システム障害が発生した際、業務を再開するまでに要する時間の目標値を何と呼ぶでしょうか?

① RPO (Recovery Point Objective)
② RTO (Recovery Time Objective)
③ MTBF (Mean Time Between Failures)
④ SLA (Service Level Agreement)

2. 正解:

正解: ② RTO(Recovery Time Objective)

3. 解説:キーワードは「いつまでに直すか」

RTOは、障害発生から「業務再開」までの経過時間に関する目標です。この値が短いほど、高度な復旧体制が必要になります。

【図解:RTOの考え方】

■ RTO (Recovery Time Objective)
焦点:サービス停止の「期間」。
決まり方:予備機の準備状況や復旧手順の習熟度で決まる。

■ 混同しやすい RPO との違い
RPO (目標復旧時点)「いつのデータ」まで戻せるか。(過去への遡り)
RTO (目標復旧時間)「いつまでに」直せるか。(未来への所要時間)
[ 現場での考え方 ]
「RTOを10分にする」:自動切り替えなどの高価な仕組み(ホットスタンバイ)が必要。
「RTOを3日にする」:サーバーを新しく買ってきてセットアップする時間がある。

1. 理解のコツ: 料理で例えると、冷蔵庫が壊れてから「何時間以内に修理を終えて、再び冷やし始めるか」がRTOです。その間、中身の食材(ビジネス)が傷まないうちに再開しなければなりません。
2. 試験対策の視点: 「業務再開までの時間」「サービス停止の許容期間」という表現があればRTOが正解です。RPO(Point=時点)とRTO(Time=時間)の頭文字を絶対に入れ替えないよう注意しましょう。

4. まとめ

「障害発生からサービスを復旧させるまでの目標時間」。これがRTOです。RPOとともに、システムの冗長性(バックアップサイトをどこまで作り込むかなど)を決定する際の最も重要な基準となります。



【システム構成】データの巻き戻し限界点!「RPO」|情報処理問題1000本ノック

システム障害や災害が発生した際、「バックアップからどの時点の状態まで戻す必要があるか」を定義する重要指標を攻略しましょう。

1. 【 問題 】:目標復旧時点(RPO)

【 問題 】 事業継続計画(BCP)やシステムの運用設計において、障害発生時に「失われたデータをどの時点の状態まで復旧させるか」という目標を示す指標はどれでしょうか?

① RTO (Recovery Time Objective)
② RPO (Recovery Point Objective)
③ MTTR (Mean Time To Repair)
④ SLA (Service Level Agreement)

2. 正解:

正解: ② RPO(Recovery Point Objective)

3. 解説:キーワードは「どの時点のデータか」

RPOは、バックアップの間隔(頻度)に直結する概念です。この値が小さいほど、データ損失が少ないことを意味します。

【図解:RPOの考え方】

■ RPO (Recovery Point Objective)
焦点:失われるデータの量(鮮度)。
決まり方:バックアップの頻度で決まる。1日1回ならRPOは最大24時間。

■ 混同しやすい RTO との違い
RTO (Recovery Time Objective):障害発生から「いつまでに(時間内)」復旧させるかという目標。
RPO (Recovery Point Objective):障害発生から「どこまで(時点)」遡ったデータで復旧するかという目標。
[ 試験によく出るケース ]
「24時間前のデータで復旧した」→ RPOは24時間。
「リアルタイムでミラーリングしている」→ RPOはほぼ0。

1. 理解のコツ: Point(時点)の P は、過去の「地点」を指すピンのようなイメージです。一方、Time(時間)の T は、未来へ向かって進むストップウォッチのイメージで区別しましょう。
2. 試験対策の視点: 「どの時点の状態まで」「消失を許容できるデータの範囲」という表現があればRPOが正解です。システム構成の設計において、バックアップ装置の選定基準として登場します。

4. まとめ

「障害時にどの時点のデータまで戻せるかの目標」。これがRPOです。データの重要度が高いシステムほど、コストをかけてRPOを短く(=バックアップ頻度を高く)設定する必要があります。



【情報セキュリティ】防御不能の空白期間!「ゼロデイ攻撃」|情報処理問題1000本ノック

ソフトウェアの弱点が見つかってから、修正プログラム(パッチ)が配布されるまでの「無防備な時間」を突く、極めて対策が難しい攻撃を攻略しましょう。

1. 【 問題 】:ゼロデイ攻撃の定義

【 問題 】 ソフトウェアの脆弱性が発見された際、その修正プログラム(セキュリティパッチ)が提供されるよりも前に行われるサイバー攻撃を何と呼ぶでしょうか?

① ブルートフォース攻撃
② ゼロデイ攻撃
③ フィッシング攻撃
④ DoS攻撃

2. 正解:情報セキュリティの脅威に関する正解

正解: ② ゼロデイ攻撃(Zero-day Attack)

3. 解説:修正プログラムが出るまでの「空白期間」

ゼロデイ攻撃が恐ろしいのは、防御側が「盾(パッチ)」を持っていない状態で攻撃が始まる点にあります。

【図解:攻撃のタイムライン】

1. 脆弱性の発見:OSやソフトに、攻撃の糸口となる「穴」が見つかる。
2. 攻撃開始(Day 0)★ ゼロデイ攻撃! 開発者が修正プログラムを作る前に、攻撃者が穴を突く。
3. 脆弱性の公表:世の中に「危ない穴がある」と知れ渡る。
4. パッチの公開:ようやく修正プログラムが配られ、穴が塞がる。

◎ 名前の由来:パッチ公開(公表)から数えて「0日目(Zero-day)」、あるいはそれ以前に攻撃が始まることから。
[ ゼロデイ攻撃を防ぐための技術 ]
振る舞い検知(ヒューリスティック検知):過去のウイルスデータ(シグネチャ)に頼らず、プログラムの「不審な動き」を見てブロックする。
サンドボックス:隔離された仮想環境で一度実行してみて、安全か確かめる。

1. 理解のコツ: 泥棒が「最新の鍵の壊し方」を見つけたけれど、鍵メーカーが「対策済みの新しい鍵」を発売する前の状態です。家主がどれだけ用心深くても、鍵そのものに欠陥があるため防げない、というもどかしい状況を指します。
2. 試験対策の視点: 「パッチ公開前」「脆弱性公表前」「時間差を利用した攻撃」というキーワードが出たらゼロデイ攻撃です。対策として問われる「振る舞い検知」や「サンドボックス」もセットで押さえましょう。

4. 実戦4択クイズ(DS検定形式)

問:ゼロデイ攻撃に対する有効な防御策の一つとして、プログラムの「挙動」を監視して未知の脅威を防ぐ手法を何と呼ぶか。

① シグネチャ法   ② 振る舞い検知   ③ ホワイトリスト方式   ④ パケットフィルタリング

【 正解: ② 】

解説: 過去のウイルスデータと照合する「シグネチャ法」では、未知のゼロデイ攻撃は防げません。そのため、不自然な動きを察知する「振る舞い検知」が重要になります。

5. まとめ

「修正パッチが配布される前に行われる攻撃」。これがゼロデイ攻撃です。従来の「パターンマッチング」による防御をすり抜けてくるため、多層防御や最新の検知技術を組み合わせることが不可欠です。


【情報セキュリティ】甘い罠で敵を暴く!「ハニーポット」|情報処理問題1000本ノック

情報セキュリティの対策には、盾で守るだけでなく、あえて「隙」を見せて敵を観察する手法があります。攻撃者をおびき寄せる罠「ハニーポット」を攻略しましょう。

1. 【 問題 】:おとりのシステム

【 問題 】 サイバー攻撃を誘い出すために、意図的に脆弱性を持たせたり、価値のある情報があるように見せかけたりしたネットワークやシステムを何と呼ぶでしょうか?

① ファイアウォール
② 侵入検知システム(IDS)
③ ハニーポット
④ プロキシサーバ

2. 正解:セキュリティ対策技術に関する正解

正解: ③ ハニーポット(Honeypot)

3. 解説:あえて「隙」を作る目的

ハニーポット(蜜の入った壺)は、その名の通り攻撃者を誘い込み、安全な環境でその挙動を観察するための仕組みです。

【図解:ハニーポットの3つの役割】

■ 1. 攻撃の検知
・本物のシステムへの攻撃が始まる前に、囮へのアクセスで予兆を掴みます。

■ 2. 手口の分析(最重要!)
・攻撃者がどのようなツールを使い、どんな手順で侵入するかを詳細に記録します。

■ 3. 被害の回避
・攻撃者の関心を囮に向けさせることで、本物の重要データから遠ざけます。
[ 注意点とリスク ]
★ ハニーポット自体が完全に乗っ取られ、他組織を攻撃する「踏み台」にされないよう、外部への通信制限など厳重な管理(サンドボックス化など)が必要です。

1. 理解のコツ: 泥棒に入られる前に、あえて偽の金庫を置いておき、そこに隠しカメラを仕掛けておくようなものです。泥棒の顔や手口を安全に確認できます。
2. 試験対策の視点: 「意図的な脆弱性」「おとり」「攻撃を誘い出す」というキーワードが出たらハニーポットです。また、これによって得られた知見をスレットインテリジェンスと呼ぶ点もセットで覚えましょう。

4. 実戦4択クイズ(DS検定形式)

問:ハニーポットなどを活用し、攻撃者の技術や手法、目的などを分析した情報のことを一般に何と呼ぶか。

① インシデントレポート   ② スレットインテリジェンス   ③ ホワイトリスト   ④ デジタルフォレンジック

【 正解: ② 】

解説: 攻撃者の情報を収集・分析し、先回りして防御に活かす知見を「スレットインテリジェンス(脅威インテリジェンス)」と呼びます。ハニーポットはこの情報を得るための重要なソースです。

5. まとめ

「攻撃者を誘い出し、その手口を観察する罠」。これがハニーポットです。防御側が受動的になるだけでなく、能動的に敵の情報を掴みに行くための戦略的なツールです。