【DS検定対策】セキュリティ攻略：しらばっくれを許さない「否認防止」

情報セキュリティの7要素を順番に解説するシリーズ。今回は、操作が行われた事実を後から否定させない「否認防止」の概念を整理します。

1. 【 問題 】

情報セキュリティの要素の中で、実際にシステムで行った操作や取引に対して、「そんなことはやっていない」と後から否定することを防ぐ特性はどれでしょうか？

① なりすまし防止（真正性）
② 否認防止（Non-repudiation）
③ 証跡保存
④ 実行保存

---

2. 【 解答 】

正解： ② 否認防止（Non-repudiation）

---

3. 整理：操作の事実を「証明」する世界

否認防止とは、いわば「デジタルな証拠」を確実に残し、第三者から見てもその事実を覆せなくすることです。

【 否認防止のイメージ 】

[ 1. 操作の発生 ]
「AさんがBさんに100万円振り込む」というボタンを押した。

[ 2. 証拠の固定 ]
デジタル署名やタイムスタンプが付与され、操作の内容と時刻がロックされる。

[ 3. しらばっくれの発生 ]
後日、Aさんが「そんな操作はしていない」と主張する。

[ 4. 第三者による検証 ]
★ ここが否認防止！
記録された証拠を照合し、「間違いなくAさんが操作した」ことを客観的に証明する。

--------------------------

◎ ポイント： 真正性（本人の証明）と密接に関わりますが、その「事実を否定させない」という証拠能力に注目したものが「否認防止」です。

4. 代表的な技術手段

1. デジタル署名: 公開鍵暗号基盤（PKI）を用いて、誰がデータを作成したかを証明する。
2. タイムスタンプ: 第三者機関（時刻認証局）が、その時刻にデータが存在したことを証明する。
3. ログの改ざん防止: 記録そのものが書き換えられないよう、WORM（一度だけ書き込み可能）メディアなどに保存する。

---

5. DS検定形式：実戦4択クイズ

問：デジタル署名において、送信者が「確かにそのメッセージを送信した」ことを第三者が検証できるようにすることで実現されるセキュリティ特性はどれか。

① 機密性   ② 可用性   ③ 否認防止   ④ 信頼性

【 正解： ③ 】

解説： デジタル署名の主な役割は「真正性の確保（本人の証明）」と「否認防止（送信した事実の証明）」です。「やっていない」という主張を無効化する力が問われたら、否認防止を選びましょう。

---

6. まとめ

DS検定の用語問題では、「否定することを防止する」「事実を証明する」という表現が出てきたら「否認防止」が正解です。選択肢に似たような言葉（証跡保存など）が並んでも、国際標準（ISO/IEC 27000）で定義された「否認防止」というキーワードをしっかり選び抜きましょう！

DS検定対策】セキュリティ攻略：攻撃者を誘い出す「ハニーポット」

情報セキュリティの対策には、盾で守るだけでなく、あえて「隙」を見せて敵を観察する手法があります。今回は、攻撃者をおびき寄せる罠「ハニーポット」を解説します。

1. 【 問題 】

サイバー攻撃を誘い出すために、意図的に脆弱性を持たせたり、価値のある情報があるように見せかけたりしたネットワークやシステムを何と呼ぶでしょうか？

① ファイアウォール
② 侵入検知システム（IDS）
③ ハニーポット
④ プロキシサーバ

---

2. 【 解答 】

正解： ③ ハニーポット

---

3. 整理：あえて「隙」を作る目的

ハニーポット（蜜の入った壺）は、その名の通り攻撃者を誘い込み、安全な環境でその挙動を観察するための仕組みです。

【 ハニーポットの役割 】

[ 1. 攻撃の検知 ]
本物のシステムへの攻撃が始まる前に、囮へのアクセスで予兆を掴む。

[ 2. 手口の分析 ]
★ ここが重要！
攻撃者がどのようなツールを使い、どんな手順で侵入するかを記録する。

[ 3. 被害の回避 ]
攻撃者の関心を囮に向けさせることで、本物の重要データから遠ざける。

--------------------------

◎ 注意点： ハニーポット自体が踏み台にされて他所を攻撃しないよう、厳重な管理が必要です。

4. 運用のポイント

1. 低対話型: 一部のサービスだけを模倣する。安全だが得られる情報は少なめ。
2. 高対話型: 本物のOSを動かして攻撃者を深く誘い込む。多くの情報が得られるが、リスクも高い。
3. 収集したログ: 未知の脆弱性（ゼロデイ）を発見するための貴重な資料となる。

---

5. DS検定形式：実戦4択クイズ

問：ハニーポットなどを活用し、攻撃者の技術や手法、目的などを分析した情報のことを一般に何と呼ぶか。

① インシデントレポート   ② スレットインテリジェンス   ③ ホワイトリスト   ④ デジタルフォレンジック

【 正解： ② 】

解説： 攻撃者の情報を収集・分析し、先回りして防御に活かす知見を「スレットインテリジェンス（脅威インテリジェンス）」と呼びます。ハニーポットはこの情報を得るための重要な情報源の一つです。

---

6. まとめ

DS検定において「意図的な脆弱性」「おとり」「攻撃を誘い出す」というキーワードが出たら「ハニーポット」が正解です。守るだけでなく、敵を知るためのツールであるという側面をセットで押さえておきましょう。

ゼロデイ攻撃 セキュリティパッチが公開されるまでに行われる攻撃のこと。

情報セキュリティの脅威の中でも、特に対策が難しいとされるのが「ゼロデイ攻撃」です。なぜ防ぐのが難しいのか、その仕組みと定義を整理しましょう。

1. 【 問題 】

ソフトウェアの脆弱性が発見された際、その修正プログラム（セキュリティパッチ）が提供されるよりも前に行われるサイバー攻撃を何と呼ぶでしょうか？

① ブルートフォース攻撃
② ゼロデイ攻撃
③ フィッシング攻撃
④ DoS攻撃

---

2. 【 解答 】

正解： ② ゼロデイ攻撃

---

3. 整理：修正プログラムが出るまでの「空白期間」

ゼロデイ攻撃が恐ろしいのは、防御側が「盾（パッチ）」を持っていない状態で攻撃が始まる点にあります。

【 攻撃のタイムライン 】

[ 1. 脆弱性の発見 ]
OSやソフトに、攻撃の糸口となる「穴」が見つかる。

[ 2. 攻撃開始（Day 0） ]
★ ここがゼロデイ攻撃！
開発者が修正プログラムを作る前に、攻撃者が穴を突く。

[ 3. 脆弱性の公表 ]
世の中に「危ない穴がある」と知れ渡る。

[ 4. パッチの公開 ]
ようやく修正プログラムが配られ、穴が塞がる。

--------------------------

◎ 名前の由来： パッチ公開から「0日目（Zero-day）」に攻撃が始まることから。

4. 対策の考え方

1. EDRの導入: パッチがない未知の攻撃でも、不審な挙動（振る舞い）を検知して止める。
2. サンドボックス: 怪しいファイルを隔離された仮想環境で実行し、安全か確かめる。
3. 迅速な更新: 修正パッチが公開されたら、1秒でも早く適用する。

---

5. DS検定形式：実戦4択クイズ

問：ゼロデイ攻撃に対する有効な防御策の一つとして、プログラムの「挙動」を監視して未知の脅威を防ぐ手法を何と呼ぶか。

① シグネチャ法   ② 振る舞い検知   ③ ホワイトリスト方式   ④ パケットフィルタリング

【 正解： ② 】

解説： 過去のウイルスデータと照合する「シグネチャ法」では、未知のゼロデイ攻撃は防げません。そのため、不自然な動きを察知する「振る舞い検知（ヒューリスティック検知）」が重要になります。

---

6. まとめ

DS検定において「修正パッチが公開される前」「脆弱性公表前」というキーワードが出たら、迷わず「ゼロデイ攻撃」を選びましょう。防御側が常に後手に回るリスクを理解しておくことが、セキュリティ管理の基本です。

【DS検定】セキュリティ攻略⑧：混同注意！「認証」と「認可」の違い

情報セキュリティを学ぶ上で、避けて通れないのが「認証」と「認可」の区別です。言葉は似ていますが、役割は全く異なります。今回はその決定的な違いを整理します。

1. 【 問題 】

情報セキュリティにおける「認証」と「認可」の説明として、適切なものはどれでしょうか？

① 認証は「本人であるか」を確認することであり、認可は「特定の操作を許可する権限」を与えることである。
② 認証は「特定の操作を許可する権限」を与えることであり、認可は「本人であるか」を確認することである。
③ 認証と認可は同じ意味であり、どちらもパスワードの入力によって完了するプロセスを指す。
④ 認証はシステムの「可用性」を高めるための手続きであり、認可は「機密性」を高めるための手続きである。

---

2. 【 解答 】

正解： ①

---

3. 【 解説 】：認証（Authentication）と認可（Authorization）

それぞれの役割を、現実世界のイメージ（例えばホテルの宿泊）に例えて整理すると分かりやすくなります。

[ 1. 認証 (Authentication) ]
→ 「あなたは誰か？」を確認する
（例：ホテルのフロントで身分証を提示して、予約した本人だと証明する）
・ID / パスワード
・指紋、顔などの生体情報
・ワンタイムパスワード

[ 2. 認可 (Authorization) ]
→ 「あなたに何を許可するか？」を決める
（例：チェックイン後に渡されるルームキー。これによって予約した部屋だけに入れるようになる）
・閲覧権限、編集権限の割り当て
・管理者権限の設定
・特定のフォルダへのアクセス許可

--------------------------

★ 認証（Who are you?）→ 認可（What can you do?）の順番で処理されるのが一般的です。

■ 間違いやすいポイント
「パスワードを入力したから認可された」と思いがちですが、パスワード入力自体は「認証」のプロセスです。その結果として、特定のページが見られるようになることが「認可」の結果です。

---

4. まとめ

「認証＝本人確認」「認可＝権限付与」と短く覚えてしまいましょう。試験で「アクセス権限の管理」という言葉が出たら認可、「IDとパスワードによる本人特定」が出たら認証を正解に選べるようにしておくのがポイントです。

【DS検定】セキュリティ7要素を攻略⑦：意図した動作を保証する「信頼性」

情報セキュリティの7要素を順番に解説するシリーズ、いよいよ最終回です。第7回は、システムが期待通りに正しく機能し続けることを指す「信頼性」を取り上げます。

1. 【 問題 】

情報セキュリティの要素の中で、システムや処理が、意図した通りの動作や結果を一貫して出力し、不具合や矛盾が生じない特性を指すものはどれでしょうか？

① 真正性（Authenticity）
② 責任追跡性（Accountability）
③ 否認防止（Non-repudiation）
④ 信頼性（Reliability）

---

2. 【 解答 】

正解： ④ 信頼性（Reliability）

---

3. 【 解説 】：情報セキュリティの7要素

基本の3要素（CIA）に、さらに4つの特性を加えた「7要素」を整理します。試験ではそれぞれの定義の「違い」が問われます。

[ 基本の3要素：CIA ]

1. 機密性（Confidentiality）
　→ 「漏洩防止」。許可された人だけが使える。

2. 完全性（Integrity）
　→ 「改ざん防止」。情報が正確で最新である。

3. 可用性（Availability）
　→ 「停止防止」。必要な時にいつでも使える。

[ 付加的な4要素 ]

4. 真正性（Authenticity）
　→ 「なりすまし防止」。本人が作成したと証明できる。

5. 責任追跡性（Accountability）
　→ 「ログの証拠」。誰がいつ何をしたか追跡できる。

6. 否認防止（Non-repudiation）
　→ 「しらばっくれ防止」。後から事実を否定できない。

7. 信頼性（Reliability）
　→ 「処理の確実性」。意図した通りに正しく動作する。

--------------------------

★ 「意図した通りの動作や結果」「不具合がない」は、信頼性の定義です。

■ 具体的な対策例（信頼性）
・厳密なテスト: 開発段階でバグを徹底的に排除し、予期せぬ動作を防ぐ。
・エラーハンドリング: 異常な入力があった場合でも、システムが矛盾した状態にならないよう制御する。
・標準化: 処理手順を標準化し、誰が操作しても同じ結果が得られるようにする。

---

4. まとめ

DS検定や情報処理試験において、「意図した通りの動作」「欠陥のない処理」というキーワードが出たら「信頼性」を選びましょう。全7回にわたって解説してきた「情報セキュリティの特性」は、試験の頻出分野です。それぞれの定義の違いを正確にマスターして、得点源にしましょう！