ITパスポートのセキュリティ分野を完全攻略【頻出用語30+過去問パターン解説】
この記事でわかること(30秒サマリ)
- セキュリティ分野の出題数・近年の傾向変化
- 頻出用語30選(攻撃手法・防御技術・暗号化・法制度の4分類)
- 過去問頻出パターン3選の解説
- 「攻撃と防御のペア」で効率的に覚える記憶法
「用語を羅列で暗記しようとしたが覚えられない」という方に向けて、用語の背景・出題パターン・記憶術をセットで解説します。
---
セキュリティ分野の出題傾向【テクノロジ系の中核】
出題数・配点の目安
テクノロジ系は全100問中の約45問を占め、その中でもセキュリティは最大の出題テーマです。過去問を分析すると、テクノロジ系の問題のうちセキュリティ関連が20〜25%程度と推定されます。
テクノロジ系でセキュリティを落とすと合格基準(300点以上)の達成が難しくなるため、3分野の中で最も優先度の高い個別テーマといえます。
近年の出題傾向の変化(生成AI・ゼロトラスト等の新用語増加)
シラバス6.5の改定を受けて、近年のセキュリティ出題には次のような変化が見られます。
増加しているテーマ:
- ゼロトラストセキュリティ(境界型セキュリティとの違い)
- 生成AIのセキュリティリスク(プロンプトインジェクション・AIハルシネーション)
- クラウドセキュリティ(共有責任モデル)
- サプライチェーン攻撃
引き続き頻出のテーマ:
- マルウェア(ウイルス・ワーム・スパイウェア・ランサムウェア)
- 情報セキュリティの3要素(CIA)
- 公開鍵暗号・デジタル署名・PKI
- 個人情報保護法・不正アクセス禁止法
シラバス6.5全体の新出用語についてはシラバス6.5 変更点まとめを参照してください。
---
頻出用語30選【分類別に整理】
攻撃手法(マルウェア・フィッシング・ランサムウェア・DDoS等)
| 用語 | 定義 | 覚え方のポイント |
|---|---|---|
| ウイルス | 他のプログラムに寄生して感染を広げるマルウェア | 「寄生型」と覚える |
| ワーム | 単独で自己増殖するマルウェア(寄生不要) | 「自走型」と覚える |
| スパイウェア | ユーザーの情報を収集して外部に送信するマルウェア | 「盗聴型」と覚える |
| ランサムウェア | ファイルを暗号化して身代金を要求するマルウェア | 「人質型」と覚える(ransom=身代金) |
| フィッシング | 偽メール・偽サイトで個人情報を騙し取る攻撃 | 釣り(fishing)のたとえ |
| スミッシング | SMSを使ったフィッシング攻撃 | フィッシングのSMS版 |
| DoS/DDoS攻撃 | サーバに大量リクエストを送り機能停止させる攻撃 | DDoSは複数の端末から |
| SQLインジェクション | 不正なSQL文を入力してDBを攻撃する手法 | 入力欄からDB侵入 |
| クロスサイトスクリプティング(XSS) | Webサイトに悪意あるスクリプトを埋め込む攻撃 | Webサイト経由で感染 |
| ソーシャルエンジニアリング | 人間の心理を利用して情報を騙し取る攻撃 | 技術ではなく人間を標的 |
防御技術(ファイアウォール・WAF・VPN・多要素認証等)
| 用語 | 定義 | 覚え方のポイント |
|---|---|---|
| ファイアウォール | 不正な通信をブロックするネットワーク境界の防御装置 | 「防火壁」(firewall) |
| WAF(Web Application Firewall) | WebアプリへのSQLインジェクション等を防ぐ特化型FW | WebアプリのFW |
| IDS/IPS | 不正侵入を検知(IDS)・防御(IPS)するシステム | 検知と防御の違い |
| VPN | 公衆回線上に暗号化した仮想専用線を構築する技術 | 「仮想プライベート網」 |
| 多要素認証 | 知識・所持・生体の2つ以上を組み合わせた認証 | パスワード+スマホ等 |
| シングルサインオン(SSO) | 1回の認証で複数サービスにアクセスできる仕組み | 一度ログインで全て使える |
| DMZ(非武装地帯) | 外部と内部ネットワークの中間に置くセキュリティ領域 | 公開サーバを配置する場所 |
| ゼロトラスト | 内外問わず全ての通信を信頼しない前提のセキュリティ設計 | 「境界の外=危険」を廃止 |
| EDR | エンドポイント(端末)での脅威を検知・対応するツール | PCやスマホの監視 |
| SIEM | ログを一元収集してセキュリティ分析するシステム | ログ統合管理 |
暗号化・認証(公開鍵・秘密鍵・デジタル署名・PKI等)
| 用語 | 定義 |
|---|---|
| 共通鍵暗号 | 暗号化と復号に同じ鍵を使う方式(処理速度が速い) |
| 公開鍵暗号 | 公開鍵(暗号化)と秘密鍵(復号)を使う非対称暗号方式 |
| デジタル署名 | 送信者の秘密鍵で署名し、受信者が公開鍵で検証する仕組み |
| PKI(公開鍵基盤) | 公開鍵証明書の発行・管理を行う認証基盤 |
| SSL/TLS | Web通信を暗号化するプロトコル(HTTPS通信で使用) |
法制度・ガイドライン(個人情報保護法・サイバーセキュリティ基本法等)
| 法律・制度 | 概要 |
|---|---|
| 個人情報保護法 | 個人情報の収集・利用・管理を規制する法律 |
| サイバーセキュリティ基本法 | サイバーセキュリティ対策の基本方針を定めた法律 |
| 不正アクセス禁止法 | 他人のコンピュータへの不正アクセスを禁止する法律 |
| 電子署名法 | 電子文書の署名・認証に関する法律 |
| ISMS(情報セキュリティマネジメントシステム) | 情報セキュリティ管理の国際規格(ISO/IEC 27001) |
---
過去問で確認する頻出パターン3選
パターン1:攻撃手法の名称と説明の組み合わせ
出題形式の例:
「多数のコンピュータを踏み台にして、特定のサーバに大量のデータを送信し、サービスを停止させる攻撃を何というか。」
選択肢:①フィッシング ②DDoS攻撃 ③ランサムウェア ④SQLインジェクション
正解:②DDoS攻撃
攻略ポイント: 「多数の端末から・大量送信・サービス停止」というキーワードの組み合わせがDDoSを指します。攻撃の手段(どうやるか)と目的(何をするか)をセットで覚えると間違いが減ります。
パターン2:対策技術の選択(状況に合う技術を選ぶ)
出題形式の例:
「社員が外出先から社内ネットワークに安全に接続するための技術として最も適切なものはどれか。」
選択肢:①ファイアウォール ②WAF ③VPN ④SIEM
正解:③VPN
攻略ポイント: 「状況(外出先から社内接続)」に対して「最も適切な技術」を選ぶ問題は、用語の用途を理解しているかが問われます。定義の丸暗記ではなく「どのシーンで使う技術か」を意識して覚えることが有効です。
パターン3:情報セキュリティの3要素(CIA)の適用
出題形式の例:
「バックアップを定期的に取得し、障害時に迅速に復旧できる体制を整えることは、情報セキュリティの3要素のうち何を確保する取り組みか。」
選択肢:①機密性 ②完全性 ③可用性 ④否認不可能性
正解:③可用性
攻略ポイント: CIA(機密性・完全性・可用性)の各要素が「どういう状況・対策に対応するか」を具体例でイメージできるようにしておきます。
- 機密性:「許可された人のみがアクセスできる」→アクセス制御・認証
- 完全性:「データが改ざんされていない」→デジタル署名・ハッシュ
- 可用性:「必要なときにアクセスできる」→バックアップ・冗長化
---
セキュリティ用語を1問1答で効率的に覚える方法
「攻撃と防御のペア」で記憶に残す
セキュリティ用語は単独で覚えるより、「攻撃と防御のペア」で覚えると記憶の定着率が上がります。
| 攻撃 | 対応する防御 |
|---|---|
| フィッシング | 多要素認証・メールフィルタリング |
| ランサムウェア | バックアップ・EDR |
| DDoS攻撃 | CDN・レートリミット・WAF |
| SQLインジェクション | WAF・入力値バリデーション |
| 不正アクセス | ファイアウォール・VPN・ゼロトラスト |
「なぜこの攻撃にはこの防御が有効か」を理解することで、問い方が変わっても対応できます。
AI解説で「なぜ」を即座に理解する
「ゼロトラストとは何か」をテキストで読んでも、従来の境界型セキュリティとの違いがわかりにくいことがあります。AI解説を今すぐ体験(無料)を使うと、具体的なシナリオで即座に理解できます。
---
まとめ:セキュリティ用語の定着を過去問で確認しよう
セキュリティ分野は「用語の定義」と「どのシーンで使われるか」の両方を理解することが合格への近道です。30用語を4カテゴリに分けて覚え、過去問パターン3選を体で覚えれば、セキュリティ分野で安定して得点できます。
テクノロジ系全体の攻略方針は3分野の違いと対策法、最新シラバスの新出用語はシラバス6.5 変更点まとめもあわせてご確認ください。
---