【情報処理安全確保支援士】試験に出る「最重要用語体系マップ」

G検定

第1部:攻撃手法と脅威(Attacks)

【頻出・詳細】

  1. APT攻撃: 持続的標的型攻撃。執拗に特定の組織を狙う。

  2. ランサムウェア: 身代金要求型ウイルス。WannaCryが有名。

  3. サプライチェーン攻撃: 関連会社や取引先を経由した攻撃。

  4. ビジネスメール詐欺 (BEC): 経営者等になりすまし送金させる。

  5. ドライブバイダウンロード: 閲覧だけで感染させるWeb攻撃。

  6. 水飲み場型攻撃: よく見るサイトを改ざんして待ち伏せる。

  7. SQLインジェクション: DB操作言語を悪用しデータ盗難。

  8. クロスサイトスクリプティング (XSS): スクリプト埋め込み。Reflected/Stored/DOM-basedの3種がある。

  9. CSRF: ログイン中の権限で意図しない操作をさせる。

  10. ディレクトリトラバーサル: パスを遡り非公開ファイル閲覧。

  11. OSコマンドインジェクション: OSのシェルコマンドを不正実行。

  12. HTTPヘッダインジェクション: ヘッダ改ざんでCookie偽造等。

  13. セッションハイジャック: セッションIDを盗みなりすます。

  14. DNSキャッシュポイズニング: DNS情報を偽装し偽サイト誘導。

  15. バッファオーバーフロー: メモリ領域溢れを利用した誤作動誘発。

  16. ゼロデイ攻撃: 修正パッチ公開前の脆弱性を突く。

  17. DDoS攻撃: 多数の機器から一斉に負荷をかける。

  18. DoS攻撃: サービス停止攻撃。

  19. 辞書攻撃: 辞書にある単語でパスワード突破を試みる。

  20. ブルートフォース攻撃: 総当たり攻撃。

  21. リバースブルートフォース: パスワード固定でIDを変える。

  22. パスワードリスト攻撃: 流出リストの使い回しを狙う。

  23. レインボーテーブル攻撃: ハッシュ値の換算表を使う解読法。

  24. サイドチャネル攻撃: 消費電力や電磁波から鍵を推測。

  25. ソーシャルエンジニアリング: 人の心理や隙を突く(覗き見等)。

  26. スミッシング: SMSを使ったフィッシング詐欺。

  27. ビッシング: 音声通話を使った詐欺。

  28. クリックジャッキング: 透明なボタンを重ねてクリックさせる。

  29. MITM (中間者攻撃): 通信の間に割り込み盗聴・改ざん。

  30. Replay攻撃: 盗聴した認証データを再送信して不正ログイン。

【攻撃キーワード羅列】

  • マルウェア: トロイの木馬, ワーム, スパイウェア, キーロガー, ボット(Bot), ルートキット, バックドア, ロジックボム, マクロウイルス, ファイルレスマルウェア, エモテット(Emotet), IcedID

  • DoS系: SYN Flood, UDP Flood, ICMP Flood, Ping of Death, Smurf攻撃, Slowloris, Teardrop, DNS Amp(増幅攻撃), NTP Amp

  • メモリ・コード系: スタックオーバーフロー, ヒープオーバーフロー, NOPスレッド, シェルコード, ROP (Return-Oriented Programming), Use After Free, 競合状態(Race Condition), 整数オーバーフロー

第2部:ネットワーク・インフラ(Network)

【頻出・詳細】 31. DMZ: 外部・内部の中間セグメント。 32. Firewall (FW): パケットフィルタリング型, サーキットレベル, アプリケーションゲートウェイ。 33. WAF: Webアプリ専用FW。ブラックリスト/ホワイトリスト。 34. IDS (検知): NIDS(NW型)/HIDS(ホスト型)。シグネチャ型/アノマリ型。 35. IPS (防御): 攻撃を検知し遮断する。 36. UTM: 統合脅威管理。FW+VPN+AV+IPS等を1台で。 37. VPN: 仮想専用線。IPsec-VPN, SSL-VPN(L2/L3), L2TP/IPsec。 38. プロキシサーバ: 代理サーバ。フォワードプロキシ, リバースプロキシ。 39. SIEM: ログ統合監視・相関分析。 40. SDN: ソフトウェア定義NW。OpenFlow。 41. VLAN: 仮想LAN。タグVLAN(IEEE802.1Q), ポートVLAN。 42. 検疫ネットワーク: 接続前に端末の健全性を検査。

【プロトコル・技術羅列】

  • 下位層: ARP, RARP, Gratuitous ARP, Proxy ARP, ICMP, IGMP, DHCP, NAT/NAPT, IP Masquerade

  • メール: SMTP, POP3, IMAP4, SMTP-AUTH, APOP, STARTTLS, Submission Port(587)

  • Web/管理: HTTP/1.1, HTTP/2, HTTP/3, QUIC, SNMP(v1/v2c/v3), Syslog, NTP, SNTP, Telnet, SSH

  • 無線LAN: WEP(危険), WPA, WPA2, WPA3, SAE, OWE, CCMP, TKIP, AES, PSK, EAP, IEEE802.1X

  • メール認証: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), DMARC

  • DNS: DNSSEC, コンテンツサーバ, キャッシュサーバ, 再帰的問合せ, 反復問合せ, ゾーン転送

第3部:認証・ID管理(Authentication)

【頻出・詳細】 43. 多要素認証 (MFA): 知識・所持・生体の3要素のうち2つ以上。 44. シングルサインオン (SSO): 1度の認証で複数システム利用。 45. SAML: XMLベースのSSO標準規格。IdPとSP。 46. OAuth 2.0: 認可フレームワーク。アクセストークン。 47. OpenID Connect (OIDC): 認証プロトコル。IDトークン(JWT)。 48. FIDO: 生体認証等の標準。FIDO2, WebAuthn, CTAP。 49. Kerberos: チケット方式の認証。KDC, TGT。 50. RADIUS: 認証・認可・課金のプロトコル(AAA)。UDP利用。 51. LDAP: ディレクトリサービスへのアクセス。 52. CHAP: チャレンジレスポンス方式。パスワードを流さない。

【認証系キーワード羅列】

  • EAPファミリー: EAP-TLS(電子証明書), EAP-PEAP, EAP-TTLS, EAP-MD5

  • その他: Biometrics(生体認証), FRR(本人拒否率), FAR(他人受入率), CAPTCHA, マトリクス認証, ワンタイムパスワード(OTP), TOTP(時間ベース), HOTP(イベントベース), リスクベース認証, クレデンシャル

第4部:暗号・PKI(Cryptography)

【頻出・詳細】 53. 共通鍵暗号: AES, DES, 3DES, Camellia, KCaesar, RC4。鍵配送問題あり。 54. 公開鍵暗号: RSA, ElGamal, 楕円曲線暗号(ECC)。処理は遅い。 55. ハッシュ関数: SHA-256, SHA-1, MD5。不可逆、固定長出力。 56. HMAC: 秘密鍵とハッシュ関数によるメッセージ認証コード。 57. デジタル署名: 送信者の秘密鍵で暗号化→公開鍵で検証。 58. PKI (公開鍵基盤): CA, RA, VA, リポジトリ。 59. CA (認証局): ルートCA, 中間CA, パブリックCA, プライベートCA。 60. CRL: 証明書失効リスト。 61. OCSP: 証明書の有効性をリアルタイム確認。

【暗号系キーワード羅列】

  • 共通鍵利用モード: ECB(危険), CBC, CFB, OFB, CTR, GCM(認証付き), CCM

  • アルゴリズム詳細: DH法(Diffie-Hellman), ECDH, DSA, ECDSA, EdDSA

  • SSL/TLS: Handshakeプロトコル, Recordプロトコル, Alertプロトコル, Change Cipher Spec, Session Resumption, Perfect Forward Secrecy (PFS), POODLE, HEARTBLEED

第5部:開発・クラウド・最新技術(Dev & Cloud)

【頻出・詳細】 62. DevSecOps: 開発・運用・セキュリティの融合。 63. CI/CD: 継続的インテグレーション/デリバリー。 64. コンテナ: Docker, Kubernetes。軽量な仮想化。 65. マイクロサービス: アプリを小さなサービスの集合にする。 66. APIエコノミー: API連携による経済圏。API Gateway。 67. クラウド責任共有モデル: 利用者と事業者の責任範囲。 68. IaaS / PaaS / SaaS: クラウドの提供形態。 69. CASB: クラウド利用の可視化・制御。 70. CSPM: クラウド設定ミスの管理。 71. CWPP: クラウドワークロード保護。 72. SASE: NWとセキュリティのクラウド統合(Zero Trust)。

【技術キーワード羅列】

  • 解析: サンドボックス, 静的解析(SAST), 動的解析(DAST), IAST, ファジング(Fuzzing), リバースエンジニアリング, 逆アセンブル, 逆コンパイル, 難読化, パッカー

  • IoT/制御: IoT, OT, SCADA, PLC, 制御システム, スマートメータ, コネクテッドカー, CAN, ECU

  • ハードウェア: TPM (Security Chip), HSM (Hardware Security Module), セキュアブート, 耐タンパ性

第6部:マネジメント・法規(Management & Law)

【頻出・詳細】 73. ISMS: ISO/IEC 27001。PDCAサイクル。 74. 情報セキュリティ3要素: 機密性, 完全性, 可用性 (+真正性, 責任追跡性, 否認防止, 信頼性)。 75. リスクアセスメント: 特定→分析→評価。 76. リスク対応: 回避, 低減(緩和), 移転(転嫁), 受容(保有)。 77. CSIRT: インシデント対応組織。PoC(窓口)。 78. SOC: セキュリティ監視センター。 79. 個人情報保護法: 要配慮個人情報, 匿名加工情報, 仮名加工情報。 80. 不正アクセス禁止法: 識別符号窃用, セキュリティホール攻撃。 81. サイバーセキュリティ基本法: 国の責務等を規定。 82. プロバイダ責任制限法: 発信者情報開示請求。 83. 電子署名法: 電子署名の効力。 84. 外為法: 暗号技術の輸出規制。

【組織・規格羅列】

  • 組織: IPA, JPCERT/CC, J-CSIP, J-CRAT, CRYPTREC, NICT, NISC, FIRST

  • 規格: PCI DSS(クレカ), ISO/IEC 15408(コモンクライテリア/CC), JIIMA, NIST SP800シリーズ(特にSP800-171, SP800-53, SP800-63)

  • 脆弱性指標: CVE(ID), CVSS(スコア), CWE(種類), CPE(製品名), CAPEC(攻撃パターン), JVN (Japan Vulnerability Notes)

第7部:略語地獄(Acronyms)

試験問題文で唐突に出てくる略語たちです。

  • A: ACL, AD, AES, AH, AP, APT, ARP, AS, ASP, ATP

  • B: BCP, BEC, BGP, BIA, BIOS, BYOD

  • C: CA, CAPTCHA, CASB, CBC, CC, CCMP, CERT, CHAP, CIA, CISO, CMAC, CNAME, COCOA, CORS, CPU, CRL, CSIRT, CSR, CSRF, CVE, CVSS, CWPP

  • D: DAST, DB, DDoS, DEP, DES, DHCP, DKIM, DMZ, DNS, DoS, DPI, DSA

  • E: EAP, ECB, ECC, ECDH, EDR, EOS, ERP, ESP, ESSID

  • F: FIDO, FTP, FTPS, FW

  • G: GDPR, GPU, GRE

  • H: HDD, HIDS, HMAC, HSTS, HTTP, HTTPS

  • I: IaaS, ICMP, ID, IdP, IDS, IEEE, IKE, IMAP, IoT, IP, IPS, IPsec, IPv4, IPv6, IR, ISMS, ISP, IV

  • J: JSON, JWT

  • K: KDC, KPI, KVM

  • L: L2TP, LAN, LDAP, LPWA, LTE

  • M: MAC, MAM, MDM, MFA, MIME, MITM, MQTT, MTBF, MTTR, MX

  • N: NAC, NAS, NAT, NFC, NFS, NIC, NIST, NMAP, NTP

  • O: OA, OAuth, OCR, OCSP, OIDC, OS, OSINT, OSS, OTP

  • P: PaaS, PAT, PC, PCI, PDF, PGP, PHP, PIN, PII, PKI, PoC, POP, POS, PPP, PPTP, PSK

  • Q: QR, QoS, QUIC

  • R: RADIUS, RAID, RAM, RARP, RAT, RC4, RDP, REST, RFC, RFID, RIP, ROP, RPA, RSA, RTOS

  • S: SaaS, SAML, SAN, SASE, SCADA, S/MIME, SDN, SHA, SIEM, SIP, SLA, SMB, SMS, SMTP, SNMP, SOA, SOC, SOP, SPF, SQL, SSH, SSID, SSL, SSO, STP

  • T: TACACS+, TCP, TFTP, TGT, TLS, TOR, TOTP, TPM, TTL

  • U: UDP, UEBA, UEFI, UPS, URI, URL, USB, UTM, UUID

  • V: VLAN, VM, VPN, VPS, VRN

  • W: WAF, WAN, WEP, WIDS, WiFi, WIPS, WPA, WPS, WWW

  • X: X.509, XML, XSS, XDR

  • Z: ZTNA (Zero Trust Network Access)

このリストの使い方

  1. 知らない単語をマークする: ざっと眺めて、意味が即答できないものをチェックしてください。

  2. ググる: 「[単語] IPA」や「[単語] わかりやすく」で検索し、意味をノートに1行で書き出します。

  3. 関連付ける: 例えば「WPA3」を覚えるときは、セットで「SAE」「OWE」も確認すると記憶が定着します。

このリストにある用語を8割理解できれば、午前IIは余裕で通過し、午後試験の問題文もスムーズに読めるようになります。

タイトルとURLをコピーしました