解答必須で重要度は高い! 午後試験におけるセキュリティの傾向と対策

選択問題
スポンサーリンク

基本情報技術者試験における午後試験のセキュリティ問題。

もしかしたらプログラミングやアルゴリズムと違って、配点が低いからといって適当に勉強を済ませてはいませんか?

そういう考えを持っている方は、セキュリティに関する考えを改める必要があるかも知れません。

何故ならば基本情報技術者試験では、2020年から実施される改正により、
午後試験におけるセキュリティの問題の配点が変わるからです。

具体的には、12点から20点といった具合に。

だからこそセキュリティという分野を軽視して試験に挑むと、痛い目を見るようになるため注意が必要です。

 

そこで今回は、基本情報技術者試験の午後試験で出題される、セキュリティ問題の傾向と重要キーワードについてまとめてみました。

今回紹介するキーワードに関しては、過去に行われた試験から、問題に登場した回数によって、絶対に覚えるべき用語と余裕があるならば覚えるべき用語を分けてみました。

セキュリティ問題について、苦手意識を持っている方は、まず今回紹介する用語から勉強を始めてみてはいかがでしょうか?

出典および参考資料:IPA(情報処理推進機構)の過去問題ページより、各回の過去問題(平成21年春期試験~平成30年秋期試験)を引用・抜粋しています。
シロ
シロ

セキュリティに関する用語って、なんで似たような用語が多いのかね・・・

チョコ
チョコ

同じような用語だが意味や動き方は、全く違うものばかりだから厄介だな

シロ
シロ

特に共通鍵とか公開鍵とかね。覚えづらいことこの上ないよ。・・・

チョコ
チョコ

そんな用語暗記が苦手な人は、以下の記事を参考にしてくれ

用語や単語を効率よく暗記するには? 基本情報の暗記法!
基本情報技術者試験の用語や単語を効率よく暗記するには? 関連した用語、用語のイラスト、過去問題といった様々な要素を活用しましょう。

・セキュリティの問題はネットワークの要素が混じる

基本情報技術者試験におけるセキュリティ問題には、
ネットワーク関連の要素が含まれているという点を頭に入れておきましょう。

例えば、平成29年秋期に出題されたセキュリティ問題の以下の文章をご覧ください。

平成29年秋期 午後試験 問1-1

出典:平成29年秋期 午後試験 問1より抜粋

上記の文章は、セキュリティに関する安全な通信経路を聞いていますが、内容にはしきりにクライアントとサーバといった用語が登場します。

そのためクライアントサーバシステムに関する内容が頭に入っていないと、文章に書かれているシステムが、想像しにくく、問題を解くのが難しくなるでしょう。

だからこそセキュリティの勉強をする際には、
セキュリティとネットワーク両方の分野を並行して進めるか、両方の分野を続けて勉強を進める方法がおススメです。

シロ
シロ

セキュリティとネットワークっていう分野は、関連性が深い分野だから、まとめて覚えてしまう方が効率的だよ

チョコ
チョコ

用語や知識を覚える際には、関連する用語を繋げていくように覚える方法がおすすめだ。1つでも用語が思い出せれば、連鎖的に用語が思い出せるようになるからな

スポンサーリンク

・セキュリティの問題では計算問題も出題される

基本情報技術者試験における午後試験のセキュリティ問題では、
たまに計算を含んだ問題が出題されます

もしかしたら計算問題というと身構えてしまう人もいるかも知れませんが、計算自体は単純な四則演算と分数による計算が必要な程度であり、特に難しくはありません。

例えば平成28年春期に出題されたセキュリティ問題では、以下のような暗号の長さを求める問題が出題されました。

平成28年春期 午後試験 問1-1
平成28年春期 午後試験 問1-2

出典:平成28年春期 午後試験 問1より抜粋

こういった問題は、セキュリティ問題の基礎とも言える内容であるため、是非とも正解して点を稼いでおきたい問題となっています。

 

ちなみに問題に書かれている文章と選択肢を見ると、なにやら難しそうな内容を想像してしまいますが、やっていることは非常に単純。

計算自体は、中学生でも解ける内容となっています。

  • 問題の解説
    例えば「d」の問題ならば、まず(a)を26(英小文字26種)^6(パスワードの長さ)と考えて、(b)を26^8とします。
    あとは上記の数字で差を考えると、答え26^2(となる訳です。
    式:26^8/26^6 = 26^2

    また「e」もやっていることは同じです。
    (c)を26(英小文字26種)+26(英大文字26種)^8(パスワードの長さ)を52^8として、(b)と共に差を考えると、答え2^8(となります。
    式:26^8*2^8/26^8

ちなみに出題率は、全17回中3回と出題率自体も低いため、あまり気負う必要はないでしょう。

チョコ
チョコ

ちなみにセキュリティで出題される計算問題は、どんな計算が題材になっているんだ?

シロ
シロ

よくあるのはさっきも例題に挙げた、パスワードの長さに関する問題だね。あとはセキュリティシステムを導入する際の費用を算出するといった問題かな。

チョコ
チョコ

ただどの問題も見るかぎり難易度は高くないから、気負う必要はなさそうだな

スポンサーリンク

・セキュリティの問題を解く際に重要なのは知識

基本情報技術者試験におけるセキュリティの勉強をする際には、あるポイントを頭に入れておいてください。

それは
セキュリティの問題を解くためには、絶対的にセキュリティの知識が必要だというポイントです。

もしかしたら

セキュリティの問題を解くために、セキュリティの知識が必要、そんなの当然だろ?

という声が挙がるかも知れませんが、実は午後試験を解き慣れてしまうと、問題を解くことに執着して、知識の吸収や覚えた内容の確認を怠る人がいるといった傾向があります。

だからこそセキュリティの勉強を進める際には、
セキュリティに関する用語や用語の内容をしっかり覚えてから、過去問題の復習に取り組むようにしましょう。

チョコ
チョコ

セキュリティの問題を解くためには、そんなにセキュリティの知識が必要になるのか?

シロ
シロ

セキュリティという分野に関しては、知識と経験のバランスが7:3ぐらいで必要かな。他の分野に関しては、5:5や3:7で済むパターンもあるね

チョコ
チョコ

そう考えると、ちょっとセキュリティという分野が特殊なのかも知れないな。

シロ
シロ

だからこそセキュリティの勉強を進める際には、用語の暗記を完璧にしておこうね

・絶対に覚えるべきセキュリティ用語

・「共通鍵」「公開鍵」「秘密鍵」

基本情報技術者試験を受ける場合、確実に覚えておきたいセキュリティ用語、それが「共通鍵」「公開鍵」「秘密鍵」の3つです。

共通鍵、公開鍵、秘密鍵は、出題率が他の用語に比べて群を抜いて高いため、確実に覚えておくべき用語と言えるでしょう。

問題の出題例を見てみると平成25年秋期の問題では、以下のようなセキュリティ問題が出題されました。

平成25年秋期 午後試験 問1-1
平成25年秋期 午後試験 問1-2

出典:平成25年秋期 午後試験 問1より抜粋

上記の内容を見て分かる通り、「共通鍵」「公開鍵」「秘密鍵」の知識を完璧に備えていないと、
問題を解くのが難しいという点が分かると思います。

そのため「共通鍵」「公開鍵」「秘密鍵」の知識は完璧にして、本番に備えておきましょう。

 

ちなみに今回解説した「公開鍵」「秘密鍵」「共通鍵」といった用語は、以下のような割合で試験に使用されました。

鍵の種類使用された回数(全17回)
公開鍵6回
秘密鍵5回
共通鍵3回

また今回は、公開鍵証明書や公開鍵認証方式といった内容のキーワードは、重複しないように集計したため、実際の使用率はもっと高いと思ってください。

秘密鍵と共通鍵に関しては、公開鍵に比べて使用率が低いですが、まとめて覚えるべき用語であるため、同じ枠組みの用語として覚えてしまいましょう。

スポンサーリンク

・SQLインジェクション

SQLインジェクションは、
過去10年間で全17回中5回も問題文に登場。

また平成30年秋期の試験では、以下のようなSQLインジェクションに関する問題が出題されました。

平成30年春期 午後試験 問1-1
平成30年春期 午後試験 問1-2

出典:平成30年秋期 午後試験 問1より抜粋

上記の問題は、SQLインジェクションをキッチリ把握していないと解けない問題となっているため、是非ともSQLインジェクションに関しては、内容を完璧に覚えておきましょう。

ちなみにSQLインジェクションは、攻撃方法としてだけでなく、脆弱性に関する意味も含みます。

そのためSQLインジェクション攻撃は攻撃方法、SQLインジェクションは脆弱性、と使い分けも考えて覚えておきましょう。

・「機密性」「可用性」「完全性」

情報セキュリティの三要素である「機密性」「可用性」「完全性」は、セキュリティ問題の中でも使用率が高いキーワードです。

例えば、平成28秋期には「機密性」「可用性」「完全性」に関する以下のような問題が出題されました。

平成28年秋期 午後試験 問1-3
平成28年秋期 午後試験 問1-4

出典:平成28年秋期 午後試験 問1より抜粋

上記の問題も、「機密性」「可用性」「完全性」の3要素をキッチリ把握していないと、問題を解くのは困難と言えるでしょう。

ちなみに「機密性」「可用性」「完全性」は、過去10年間で全17回中3回ずつ、基本的に3つの用語がセットで問題文に使用されています。

また機密性、可用性、完全性を題材とした問題は、セキュリティリスクに関する内容が中心。

それぞれのキーワードに状況を当てはめるような問題も出題されるため、機密性、可用性、完全性の内容を把握しておきましょう。

スポンサーリンク

・余裕があるならば覚えるべきセキュリティ用語

・HTTPS

HTTPSは、Webセキュリティの分野におけるセキュリティ用語です。

問題文における使用率は全17回中3回

HTTPSは解答の選択肢として、使用される可能性はかなり低いですが、出題されても良いように概要だけでも把握しておきましょう。

・DoS攻撃や総当たり攻撃といった各種攻撃方法

基本情報技術者試験における午後試験のセキュリティ問題では、以下の攻撃方法が出題されています。

  • DoS攻撃
  • 総当たり攻撃
  • クロスサイトスクリプティング
  • SQLインジェクション
  • 中間者攻撃
  • 辞書攻撃
  • ディレクトリトラバーサル
  • トラッシング
  • ブルートフォース攻撃
  • なりすまし

どの内容も出題率および使用率は、全17回中1~2回。(SQLインジェクションは例外です)

あまり出題率は高くありませんが、どの用語も意味を知らなければ解答をするのは困難という点を頭に入れて勉強を進めてください。

 

ちなみに攻撃方法に関しては、過去に以下のような問題が出題されました。

平成27年春期 午後試験 問1-4

出典:平成27年春期 午後試験 問1より抜粋

パッと見ると問題文に穴埋めする内容だから、問題文を熟読すれば良いと思いきや、それぞれの内容をハッキリ把握していないと解けない問題となっています。

そのためDoS攻撃や総当たり攻撃といったセキュリティのキモとなる内容は、できる限り言葉の意味や概要を覚えるようにして試験に備えてください。

スポンサーリンク
チョコ
チョコ

うーん。セキュリティの問題は覚えるべき用語が多いな・・・

シロ
シロ

そんな時は用語を覚えやすいように、イラストから関連するように用語を暗記すると良いよ。

チョコ
チョコ

でもよ、イラストって参考書によっては、載っているのと載っていないのがあるよな?

シロ
シロ

そうだね。でも以下の記事でレビューしているイラストに特化した参考書「キタミ式 イラストIT塾基本情報技術者」という物もあるよ

レビュー『キタミ式イラストIT塾 基本情報技術者』
『キタミ式イラストIT塾 基本情報技術者』は、名前の通りイラストによる解説がメインになっている参考書です。ただ、イラストがメインとはいえ、内容はもの凄くしっかりした参考書となっています。

・2020年の改正による配点の変更について

基本情報技術者試験では、2020年の試験から午後試験における問題割合が、以下のように改正されます。

今回解説したセキュリティに関して言えば、
配点が12点から20点に大幅アップするため必ず頭に入れておくようにしてください。

チョコ
チョコ

100点満点中20点って、かなり配点比率が変わったな

シロ
シロ

だからセキュリティの問題は、「午後試験の合否におけるカギを握っている」と言っても過言ではないかもね

スポンサーリンク

まとめ

今回は基本情報技術者試験における午後試験のセキュリティ問題について、出題されやすいキーワードと問題の特徴について解説しました。

  • セキュリティにおける問題の特徴とポイント
    • セキュリティの問題は、ネットワークの要素が混じる
    • セキュリティの問題では、計算問題も出題される
    • セキュリティに関する用語や用語の内容を覚えてから、過去問題の復習に取り組む
  • 絶対に覚えるべき用語
    「共通鍵」「公開鍵」「秘密鍵」
    「SQLインジェクション」
    「機密性」「可用性」「完全性」
  • ・余裕があるならば覚えるべき用語
    「HTTPS」
    「各種攻撃手法」
2020年の試験改正により、セキュリティの配点が20点にアップしました

午後試験におけるセキュリティ問題は、必須問題。

避けては通れない道であるため、是非とも高得点を取れるように、念入りに勉強をするようにしてください。

コメント