勉強メモ_セキュリティスペシャリスト

作成日：2025/07/20 16:40:22
更新日：2025/10/12 16:35:19
トップページ

概要

ドットコム/セキュリティ関連

• 情報セキュリティマネジメント試験ドットコム
  • 情報セキュリティマネジメント試験ドットコム
• 情報処理安全確保支援士ドットコム
  • 情報処理安全確保支援士ドットコム

応用情報処理試験/過去問

• 11.1情報セキュリティ
• 11.2情報セキュリティ管理
• 11.3セキュリティ技術評価
• 11.4情報セキュリティ対策

Qiitaサイト

Qiita用語集

• Qiita/用語集：セキュリティ
  • 応用情報技術者試験の情報セキュリティ周りをやる
  • IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理
  • 応用情報技術者試験　情報セキュリティ分野の用語まとめ
  • セキュリティ攻撃一覧【応用情報】
• Qiita/勉強メモ
  • Qiita/git2024
  • 基本情報技術者試験対策/情報セキュリティ用語①脅威編
  • 基本情報技術者試験対策/情報セキュリティ用語②リスクマネジメント編
  • 基本情報技術者試験対策/情報セキュリティ/暗号技術とデジタル署名

勉強サイト

セキュリティスペシャリスト・技術公開サイト

• 情報処理安全確保支援士対策/SE娘の剣
  • トップページ
  • 02.セキュリティと脅威

Webページ

• Hello 情報処理安全確保支援士試験
  • Hello 情報処理安全確保支援士試験

テクノロジー：セキュリティ総合情報

• (ページ内)Qiitaサイト

テクノロジー：交換鍵

大分類 03: 技術要素
中分類 11: セキュリティ

PKI

「Public Key Infrastructure」の略で、 公開鍵暗号技術と電子署名を使って、 インターネット上で安全な通信ができるようにするための環境のことを言います。

• PKIとは

電子証明書

• 電子証明書

テクノロジー：ログイン認証

大分類 03: 技術要素
中分類 11: セキュリティ

OAuth2.0

• SCスペ令和07年春期午前2問16
• SCスペ令和06年秋期午前2問16

SAML(Security Assertion Markup Language)

SAMLとは、異なるドメイン間でユーザー認証情報を安全に交換するための標準規格です。シングルサインオン（SSO）を実現するための仕組みの一つで、XMLをベースにしています。 SAML (Security Assertion Markup Language) とは、異なるドメイン間でユーザー認証情報を安全に交換するための標準規格です。
シングルサインオン（SSO）を実現するための仕組みの一つで、XMLをベースにしています。

• SAML - Wikipedia
• SAML
• 応用情報技術者令和06年秋期午前問37

テクノロジー：メールセキュリティ

大分類 03: 技術要素
中分類 11: セキュリティ

OP25B(Outbound Port 25 Blocking)

OP25B(Outbound Port 25 Blocking)とは、 自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しようとする技術です。

• OP25B(Outbound Port 25 Blocking)とは

SMTP-AUTH

SMTP-AUTHとは、メールの送信・転送に用いるプロトコルであるSMTP（Simple Mail Transfer Protocol）を拡張して、SMTPサーバーがSMTPクライアント（メールの送信者）を認証できるようにした仕様です。
SMTP-AUTHはSMTP認証とも呼ばれます。

• SMTP-AUTHとは
• SGマネ令和01年秋期午前問28

テクノロジー：ファイアウォール

大分類 03: 技術要素
中分類 11: セキュリティ

FW/DMZ

• ネットワークセキュリティの基本！ファイアウォールとDMZを解説

IPS/IDP

• WAF・IDS・IPSってなにがどう違うの？やさしく使い分け整理
• 【基本情報】独学マラソン 情報セキュリティ Day 4
• AWS環境におけるDDoS対策
• NWスぺ令和05年春期午前2問18

テクノロジー：NW攻撃

大分類 03: 技術要素
中分類 11: セキュリティ

攻撃手法と対策

• (自ページ)Qiita用語集
• 73個の攻撃手法（情報処理安全確保支援士）
• 攻撃手法と対策（ネットワークスペシャリスト）
• 【応用情報技術者試験】セキュリティ攻撃の事例集
• 令和6年度秋季試験 午後問題 問1

テクノロジー：情報セキュリティ技術評価

大分類 03: 技術要素
中分類 11: セキュリティ

ペネトレーションテスト

• 用語集
• システム監査において，ペネトレーションテスト
• ペネトレーションテスト
• 応用情報技術者平成26年春期午前問42
• SGマネ平成31年春期午前問18

テクノロジー：情報セキュリティ対策(対策方法)

大分類 03: 技術要素
中分類 11: セキュリティ

ウイルスの検出方法

• マルウェアの種類とその検出
• ビヘイビア法について説明

テクノロジー：情報セキュリティ対策(技術製品)

大分類 03: 技術要素
中分類 11: セキュリティ

SIEM(Security Information and Event Management)

各機器のログを収集・分析し管理者に通知するソリューションです。

• SIEM(Security Information and Event Management)
• SIEMとCASB
• 【基本情報】独学マラソン SIEM Day 23
• SGマネ令和07年秋期午前問02
• [応用情報技術者平成29年秋期午前問38]https://www.ap-siken.com/kakomon/29_aki/q38.html

SBOM

• 応用情報技術者令和06年秋期午前問43
• 応用情報技術者令和07年秋期午前問40

CASB（Cloud Access Security Broker：キャスビー）

CASBとは、企業が利用するクラウドサービスへのアクセスを監視・制御し、セキュリティを強化するソリューションです。
従業員によるクラウド利用の可視化、データ流出の防止、マルウェアなどの脅威からの保護、コンプライアンス遵守の支援など、主に可視性、データセキュリティ、脅威防御、コンプライアンスという4つの機能を提供し、急増するクラウド利用に伴うリスクを管理します。

テクノロジー：脆弱性の指標

大分類 03: 技術要素
中分類 11: セキュリティ

• 代表的な脆弱性の指標
  • CVE（Common Vulnerabilities and Exposures）
  • CWE（Common Weakness Enumeration）
  • CVSS（Common Vulnerability Scoring System)
• 脆弱性管理
• セキュリティで知っておきたい基礎用語集/リンク集
• ざっくり分かる脆弱性指標 - CVE CVSS CWE

テクノロジー：情報セキュリティガイドライン

大分類 03: 技術要素
中分類 11: セキュリティ

組織における内部不正防止ガイドライン

• 組織における内部不正防止ガイドライン
• SGマネ令和01年秋期午前問04

CRYPTREC暗号リスト(電子政府推奨暗号リスト)

• CRYPTREC
• CRYPTREC暗号リスト
• 試験ドットコム/用語集(CRYPTREC暗号リスト)
• 応用情報技術者令和07年秋期午前問35

テクノロジー：情報セキュリティ組織

大分類 03: 技術要素
中分類 11: セキュリティ

概要

• セキュリティに関する組織
• 情報セキュリティ組織・機関
• IPA、JIPDEC、JPCERT/CC、NISC

過去問

• 11.2情報セキュリティ管理
• 11.4情報セキュリティ対策

JPCERT/CC

JPCERT/CC（ジェーピーサート/シーシー）は、「一般社団法人 JPCERTコーディネーションセンター」の略称。
コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人。

• JPCERT/CC
• 応用情報技術者平成27年春期午前問40

NISC(National center of Incident readiness and Strategy for Cybersecurity

内閣サイバーセキュリティセンター)は、内閣官房に設置され、情報セキュリティ政策に係る基本戦略の立案、官民における統一的、横断的な情報セキュリティ政策の推進に係る企画などを行う機関です。

• NISC
• 応用情報技術者平成30年秋期午前問36

IPAセキュリティセンター（IPA/ISEC）

IPAセキュリティセンター（IPA/ISEC）では国内外の関係機関と連携を図りつつ、民間では収集が困難な情報収集、分析とそれらの知見の一般化を行っています。

• セキュリティセンター
• セキュリティセンターの事業概要

サイバーレスキュー隊 J-CRAT

• サイバーレスキュー隊 J-CRAT（ジェイ・クラート）について

プライバシーマーク制度

• ソフトウェア開発技術者平成17年秋期午前問76

テクノロジー：情報セキュリティ組織(企業内)

大分類 03: 技術要素
中分類 11: セキュリティ

概要

• 情報セキュリティ委員会
  • 企業全体の情報セキュリティをマネジメントするために設置される、全社横断的な組織
• CSIRT
  • セキュリティ上の問題として捉えられる事象であるインシデントが発生した際に対応するチーム
• SOC（Security Operation Center）
  • サイバー攻撃の検知や分析を行い、その対策を講じることなどを専門とする組織
• CRYPTREC
  • 電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト
• 情報セキュリティ組織・機関

マネジメント：情報セキュリティマネジメント

大分類 03：技術要素
中分類 11：セキュリティ

ISO規格・JIS規格

• ISO規格
  • ISO/IEC 27000:2018
  • ISO/IEC 27001:2022
  • ISO/IEC 27002:2022
• ISO規格(情報セキュリティガバナンス)
  • ISO/IEC 27014
  • ISO/IEC 27017
• JIS規格
  • JIS Q 27000:2019
  • JIS Q 27001:2025
  • JIS Q 27002:2024
• JIS規格(情報セキュリティガバナンス)
  • JIS Q 27014
  • JIS Q 27017
• iso.org
  • ISO/IEC 27000:2018
  • ISO/IEC 27001:2022
  • ISO/IEC 27002:2022
  • ISO/IEC 27000 family
• Wikipedia情報
  • ISO/IEC 27000 シリーズ - Wikipedia
• JIS/参考情報
  • JIS Q 27001:2025（ISO/IEC 27001:2022+Amd 1:2024)発行のお知らせ

ISO/IEC 27001

ISO27001とは、国際標準化機構（ISO）が制定した情報セキュリティマネジメントシステムに関する規格。

ISO/IEC 27001の要求事項

ISMS認証を取得するためには、国際規格であるISO/IEC 27001の要求事項に沿った ISMSの構築・運用が求められます。 ISO/IEC 27001の要求事項を以下まとめる。

• ISO/IEC 27001の要求事項
  1. 適用範囲
  2. 引用規格
  3. 用語及び定義
  4. 組織の状況
  5. リーダーシップ
  6. 計画
  7. 支援
  8. 運用
  9. パフォーマンス評価
  10. 改善
• ISMSの国際規格 ISO/IEC 27001 の要求事項一覧
• ISMSとは？ 認証に必要な取り組みやメリット、取得の流れを解説
• ISO27001の規格要求事項とは？認証取得のキホンを徹底解説!
• ISMS道場/「規格要求事項の解説」一覧

情報セキュリティマネジメントシステム(ISMS)/概要

ISMS（Information Security Management System：情報セキュリティマネジメントシステム）は、企業が情報資産を適切に管理し、機密性、完全性、可用性を確保するための仕組みです。

• ISMSとは？意味から認証取得のメリット、運用ポイントを徹底解説
• 情報セキュリティマネジメントシステム(ISMS)とは？
• ISMS運用の流れとは
• 【応用情報】情報セキュリティマネジメント(ISMS)とリスクマネジメントについて解説

ISMS適合性評価制度

ISMS適合性評価制度は、認証基準である「JIS Q 27001: 2014　情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項」に組織が適合していることを評価する第三者認証制度。
JIPDECでは、2002年4月より、本格運用を開始しています。

• ISMS適合性評価制度
• 基本情報技術者平成27年秋期午前問40

情報セキュリティの3要素

ISMSでは、情報セキュリティの主な3要素について次のように定義している。
また、追加4要素を含める場合もある。

• セキュリティ3要素
  • 機密性
  • 完全性
  • 可用性
• 追加4要素
  • 真正性（Authenticity）
  • 責任追跡性（Accountability）
  • 否認防止（non-repudiation）
  • 信頼性（Reliability）
• 情報セキュリティの３要素
• 情報セキュリティ3要素とは？定義や対策をわかりやすく解説
• 応用情報技術者令和01年秋期午前問40

マネジメント：情報セキュリティマネジメント/用語集

大分類 03：技術要素
中分類 11：セキュリティ

ISMS/用語集

• JIS Q 27000：2019/情報キュリティマネジメントシステム−用語
  • 3.5 認証（authentication）
    • エンティティの主張する特性が正しいという保証の提供
      
  • 3.6 真正性（authenticity）
    • エンティティは，それが主張するとおりのものであるという特性
      説明文
  • 3.7 可用性（availability）
    • 認可されたエンティティが要求したときに，アクセス及び使用が可能である特性
      説明文
  • 3.16 修正（correction）
    • 検出された不適合（3.47）を除去するための処置
      
  • 3.17 是正処置（corrective action）
    • 不適合（3.47）の原因を除去し，再発を防止するための処置
      
  • 3.48 否認防止（non-repudiation）
    • 主張された事象（3.21）又は処置の発生，及びそれらを引き起こしたエンティティを証明する能力
      説明文
  • 3.65 リスクコミュニケーション及び協議（risk communication and consultation）
    • リスク（3.61）の運用管理について，情報の提供，共有又は取得，及びステークホルダー（3.37）との対話を行うために，組織が継続的に及び繰り返し行う一連のプロセス（3.54）
      説明文
  • 責任追跡性
    • 説明文
• JIS Q 27000:2019/情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－用語
• SCスペ令和07年春期午前2問10
• 情報セキュマネ令和01年春期午前問05

マネジメント：情報セキュリティポリシー(情報セキュリティ方針)

大分類 03：技術要素
中分類 11：セキュリティ

ISMS/情報セキュリティ方針(情報セキュリティポリシー)/概要

ISMSの情報セキュリティ方針とは、以下で構成される企業や組織の情報セキュリティにおける方針（行動指針）です。

• 情報セキュリティ方針の構成要素
  • 基本方針(ポリシー)
  • 対策基準(スタンダード)
  • 実施手順(プロシージャ)
• ISMSセキュリティ方針の作り方を3つのポイントに分けて解説
• 情報セキュリティ方針とは？ISO27001(ISMS)における考え方を解説
• 情報セキュリティポリシーとは
• 説明文

情報セキュリティ基本方針

• 情報セキュリティ基本方針
• (Wordファイル)付録2「情報セキュリティ基本方針（サンプル）」
• 情報セキュマネ平成30年秋期午前問09

中小企業の情報セキュリティ対策ガイドライン

• IPA/中小企業向けガイド
  • 中小企業向けガイド
  • 中小企業の情報セキュリティ対策ガイドライン
  • (PDF)中小企業の情報セキュリティ対策ガイドライン
• 中小企業の情報セキュリティ対策ガイドライン

マネジメント：リスクマネジメント

大分類 03：技術要素
中分類 11：セキュリティ

JIS Q 31000

JIS Q 31000とは、国際規格であるISO 31000を基に作成されており、リスクマネジメントの原則、枠組み、プロセスを定義しています。

• (PDF)リスクマネジメント－原則及び指針
• JIS Q 31000
• Q 31000：2019 (ISO 31000：2018)
• 管理システム Q

ITセキュリティ評価及び認証制度（JISEC）

「ITセキュリティ評価及び認証制度 (JISEC:Japan Information Technology Security Evaluation and Certification Scheme)」とは、IT関連製品のセキュリティ機能の適切性・確実性を、セキュリティ評価基準の国際標準であるISO/IEC 15408に基づいて第三者（評価機関）が評価し、その評価結果を認証機関が認証する、わが国の制度です。

• ITセキュリティ評価及び認証制度
• ITセキュリティ評価及び認証

Common Criteria (ISO/IEC 15408)

• コモンクライテリア - Wikipedia
• CC(ISO/IEC 15408)概説
• Common Criteria (ISO/IEC 15408)
• 説明文/ISO・IEC 15408
• 情報セキュマネ平成28年秋期午前問30

リスクマネジメント

「リスク特定→分析→評価→対応」で進める。

• リスクマネジメント ：説明文
  • リスクアセスメント ：説明文
    • リスク特定
    • リスク分析
    • リスク評価 説明文
  • リスク対応(リスクコントロール) ：説明文 説明文
    • リスク回避：説明文
    • リスク低減
    • リスク移転：説明文
    • リスク保有（受容）：説明文
• 62-01.リスクマネジメント
• 応用情報技術者令和04年秋期午前問41
• 情報セキュマネ平成29年春期午前問06
• 情報セキュマネ初回サンプル問題問01