「一般知識(基礎知識)」の法令科目をクリアしたら、次に立ちはだかるのが「情報通信・個人情報保護」分野の用語問題です。
「ランサムウェアって何?」「公開鍵と秘密鍵、どっちで暗号化するんだっけ?」
普段からITに詳しくない受験生にとって、カタカナ語が並ぶこの分野は苦痛以外の何物でもないかもしれません。
しかし、行政書士の実務においても、顧客の個人情報を守るためのセキュリティ知識は必須です。そのため、試験でも「基本的な用語の意味」や「攻撃の手口と対策」が毎年のように問われています。
この分野は、深く技術的なことを理解する必要はありません。「言葉の定義」と「仕組みのイメージ」さえ掴めれば、確実に得点できるボーナスステージになります。
この記事では、試験によく出る重要用語を厳選し、「Aさんのパソコンがウイルスに感染した!」「B社がハッカーに狙われた!」といった具体的なストーリーを交えてわかりやすく解説します。ITアレルギーを克服し、合格への決定打にしましょう!
1. サイバー攻撃の脅威と手口
まずは、敵(攻撃者)の手口を知ることから始めましょう。試験では、攻撃手法の名称とその内容を正しく結びつける問題が頻出です。
(1) マルウェア(悪意のあるプログラム)
「ウイルス」という言葉は有名ですが、正確には、悪意のあるソフトウェア全般を「マルウェア(Malware)」と呼びます。ウイルスはその一種にすぎません。
| 種類 | 特徴・振る舞い | 具体例・ストーリー |
|---|---|---|
| コンピュータウイルス | 他のファイルに寄生して増殖する。 | Aさんがメール添付ファイルを開いたら、PC内のWordファイルが次々と感染し、動かなくなった。 |
| ワーム | 単独で存在し、ネットワークを通じて勝手に増殖・拡散する。 | BさんのPCが感染し、勝手にネットワーク経由で社内の他のPCにコピーを送りまくった。 |
| トロイの木馬 | 有用なソフトを装って侵入し、裏で悪さをする(増殖はしない)。 | Cさんが「便利な時計アプリ」をインストールしたら、裏で個人情報を外部に送信していた。 |
| ランサムウェア (身代金ウイルス) |
データを勝手に暗号化して読めなくし、元に戻すための「身代金」を要求する。 | D社のサーバー内のデータが全て開けなくなり、「ビットコインを支払えば復号する」という画面が表示された。 |
| キーロガー | キーボードの操作履歴を記録し、パスワードなどを盗む。 | ネットカフェのPCに仕込まれており、Eさんが入力した銀行のパスワードが盗まれた。 |
特に近年、試験でもニュースでも話題なのが「ランサムウェア」です。病院や企業のシステムを停止させ、莫大な被害を出しています。「Ransom(身代金)」+「Software」の造語であることを覚えておきましょう。
(2) 騙しのテクニック(ソーシャルエンジニアリング等)
技術的なハッキングではなく、人の心理的な隙や行動のミスにつけ込んで情報を盗む手法です。
フィッシング(Phishing)
金融機関や有名企業を装った偽のメールを送りつけ、偽サイト(フィッシングサイト)に誘導して、IDやパスワード、クレジットカード番号を入力させる手口です。
※SMS(ショートメッセージ)を使ったものは「スミッシング」と呼ばれます。
ソーシャルエンジニアリング
「電話でパスワードを聞き出す」「肩越しにパスワード入力を見る(ショルダーハッキング)」「ゴミ箱から書類を漁る(トラッシング)」など、アナログな手段で情報を盗む行為の総称です。
標的型攻撃(APT攻撃)
不特定多数ではなく、特定の組織(官公庁や大企業など)をターゲットにして、業務メールを装ってウイルス付きメールを送るなどの執拗な攻撃です。
最近では、ターゲットがよく見るウェブサイトを改ざんし、閲覧しただけで感染させる「水飲み場攻撃」という手法もあります。
(3) サーバーへの攻撃(過負荷・乗っ取り)
DoS攻撃 / DDoS攻撃
DoS攻撃(Denial of Service attack)は、サーバーに大量のデータを送りつけて過負荷をかけ、サービスを停止(ダウン)させる攻撃です。
これを、乗っ取った複数のコンピュータ(ボットネット)から一斉に行うのがDDoS攻撃(Distributed DoS)です。
【イメージ】
お店(サーバー)に対して、嫌がらせ電話(アクセス)をかけ続けて、一般のお客さんが電話できないようにする行為です。
SQLインジェクション
ウェブサイトの入力フォームなどに、データベースを操作する言語(SQL)の断片(インジェクション=注入)を入力し、データベース内の情報を不正に盗み出したり消去したりする攻撃です。
クロスサイトスクリプティング(XSS)
掲示板などのウェブページに悪意のあるスクリプト(プログラム)を埋め込み、そのページを見た利用者のブラウザ上でスクリプトを実行させる攻撃です。偽サイトへの誘導やクッキー(Cookie)情報の盗難に使われます。
2. 暗号化技術の仕組み(共通鍵と公開鍵)
情報を守るための砦が「暗号化」です。ここは試験の最頻出ポイントであり、かつ受験生が最も混乱しやすい部分です。「どちらの鍵で締めて、どちらで開けるのか」を整理しましょう。
(1) 共通鍵暗号方式(Sさん方式)
「暗号化する鍵」と「復号(元に戻す)する鍵」が同じ方式です。
家の玄関の鍵と同じイメージです。閉める鍵と開ける鍵は同じものを使います。
- メリット:処理速度が速い。
- デメリット:鍵を相手に渡すときに盗まれるリスクがある(鍵配送問題)。鍵を渡す相手が増えると、管理する鍵の数が膨大になる。
【具体例】
AさんがBさんに秘密のデータを送りたい。Aさんは「共通鍵」でデータを暗号化してメールで送った。
しかし、Bさんがそのデータを読むためには、Aさんが使ったのと同じ「共通鍵」が必要だ。
Aさんはどうやってその鍵をBさんに渡そうか?メールで送ったら盗聴されるかもしれない…。これが「鍵配送問題」です。
(2) 公開鍵暗号方式(Pさん方式)
この「鍵配送問題」を解決するために考案されたのが、「暗号化する鍵」と「復号する鍵」を別々にする方式です。
- 公開鍵:みんなにばら撒く鍵(誰でも使える)。暗号化に使う。
- 秘密鍵:自分だけが持つ鍵(絶対に他人に見せない)。復号に使う。
【仕組みのイメージ:南京錠と鍵】
1. Bさんは、誰でも閉められる「南京錠(公開鍵)」を世界中に配ります。「私への手紙はこの南京錠で箱に鍵をかけて送ってね」と。
2. Aさんは、Bさんが配った「南京錠(公開鍵)」を使って、手紙を入れた箱にロック(暗号化)をかけます。
3. 一度ロックされた箱は、南京錠を配ったBさんしか持っていない「本物の鍵(秘密鍵)」でしか開きません。
4. これなら、南京錠(公開鍵)が盗まれても、箱を開けることはできないので安全です。
| 項目 | 共通鍵暗号方式 | 公開鍵暗号方式 |
|---|---|---|
| 鍵の種類 | 1つ(共通鍵) | 2つ(公開鍵・秘密鍵) |
| 暗号化 | 共通鍵 | 受信者の公開鍵 |
| 復号 | 共通鍵 | 受信者の秘密鍵 |
| 処理速度 | 速い | 遅い(計算が複雑) |
| メリット | 大量のデータを高速処理できる | 鍵を安全に受け渡しできる |
実際のインターネット通信(SSL/TLSなど)では、両者のいいとこ取りをした「ハイブリッド暗号方式」が使われています。
1. 最初の「共通鍵」の受け渡しだけを「公開鍵暗号方式」で安全に行う。
2. 鍵が渡った後の実際のデータ通信は、処理の速い「共通鍵暗号方式」で行う。
これが現在のスタンダードです。
(3) 電子署名(デジタル署名)の仕組み
公開鍵暗号技術を応用して、「文書が改ざんされていないこと」と「本人が作成したこと」を証明するのが電子署名です。
面白いことに、暗号通信とは鍵の使い方が逆になります。
- 暗号通信:相手の「公開鍵」で暗号化 → 自分の「秘密鍵」で復号。(目的:盗聴防止)
- 電子署名:自分の「秘密鍵」で暗号化 → 相手が自分の「公開鍵」で復号。(目的:本人証明)
【理屈】
「Aさんの公開鍵」で復号できたということは、その暗号文は「世界でAさんしか持っていない秘密鍵」で暗号化されたものに間違いない、という論理です。
電子署名では、文書全体を暗号化すると時間がかかるため、文書を要約した短いデータ(ハッシュ値)を作成し、そのハッシュ値を秘密鍵で暗号化します。
ハッシュ関数には「データが少しでも変わるとハッシュ値が全く別物になる」という性質があり、これによって改ざん検知を行います。
3. 認証技術とネットワークセキュリティ
(1) 認証の3要素(多要素認証)
セキュリティを高めるために、「IDとパスワード」だけでなく、複数の要素を組み合わせて本人確認を行うことが推奨されています。これを「多要素認証(MFA)」と呼びます。
認証には以下の3つの要素があります。
- 知識情報(WYK: What You Know):パスワード、PINコード、秘密の質問など。「本人が知っていること」。
- 所持情報(WYH: What You Have):スマホ、ICカード、ハードウェアトークンなど。「本人が持っているもの」。
- 生体情報(WYA: What You Are):指紋、顔、虹彩、静脈など。「本人そのもの」。
【多要素認証のルール】
「パスワード」+「秘密の質問」は、どちらも「知識情報」なので、2つあっても「多要素認証」とは呼びません(二段階認証ではありますが)。
「パスワード(知識)」+「スマホへのSMS通知(所持)」のように、異なる2つの要素を組み合わせるのが多要素認証です。
(2) ネットワークを守る壁
ファイアウォール(Firewall)
社内ネットワークとインターネットの境界に設置し、怪しい通信を遮断する「防火壁」です。
通信の送信元やポート番号を見て、「許可された通信だけを通す」役割をします。
DMZ(DeMilitarized Zone:非武装地帯)
外部(インターネット)と内部(社内LAN)の中間に設けられる緩衝地帯です。
外部に公開しなければならないサーバー(Webサーバーやメールサーバー)をここに置きます。
もしWebサーバーが乗っ取られても、そこから社内LANへの侵入はファイアウォールで防ぐことができるため、被害を最小限に抑えられます。
VPN(Virtual Private Network)
公衆のインターネット回線を使っているのに、あたかも専用線でつないでいるかのように安全に通信する技術です。
データをカプセル化(トンネリング)し、暗号化することで盗聴を防ぎます。テレワークで自宅から社内システムにアクセスする際によく使われます。
4. 【実戦演習】本試験レベル問題に挑戦
ここまでの知識を整理するために、本試験形式の多肢選択式問題に挑戦しましょう。
1. ランサムウェアとは、PC内のファイルを勝手に暗号化するなどして使用不能にし、その復旧と引き換えに金銭を要求するマルウェアのことである。
2. DDoS攻撃とは、特定のターゲットに対して、業務に関係のあるメールを装ってウイルス付きのメールを送信し、組織内部の情報を盗み出す攻撃手法のことである。
3. フィッシングとは、キーボードの入力履歴を記録するソフトウェアを密かにインストールさせ、パスワードやクレジットカード情報を盗み出す行為のことである。
4. ソーシャルエンジニアリングとは、サーバーに大量のアクセス集中を発生させ、システムの処理能力をパンクさせてサービスを停止させる攻撃のことである。
5. トロイの木馬とは、ネットワークを通じて自己増殖を繰り返し、次々と他のコンピュータに感染を広げていくウイルスのことである。
正解・解説を見る
正解 1
解説:
1. 妥当である。ランサムウェア(身代金ウイルス)の正しい定義です。
2. 妥当でない。これは「標的型攻撃(APT攻撃)」の説明です。DDoS攻撃は、複数のPCから一斉に大量のアクセスを送る攻撃です。
3. 妥当でない。これは「キーロガー」の説明です。フィッシングは、偽サイトに誘導して情報を盗む手口です。
4. 妥当でない。これは「DoS攻撃」の説明です。ソーシャルエンジニアリングは、人間の心理的な隙や行動のミスにつけ込む手口(電話で聞く、肩越しに見る等)です。
5. 妥当でない。自己増殖するのは「ワーム」の特徴です。トロイの木馬は、有用なソフトを装って侵入しますが、自己増殖はしません。
1. 共通鍵暗号方式は、暗号化と復号に同じ鍵を用いる方式であり、処理速度が速いという利点があるが、通信相手ごとに異なる鍵を用意する必要があり、鍵の管理数が多くなるという課題がある。
2. 公開鍵暗号方式は、暗号化する鍵と復号する鍵が異なる方式であり、受信者は自分の公開鍵を広く公開し、送信者はその公開鍵を使って暗号化して送信する。
3. 公開鍵暗号方式において、暗号化されたデータを復号できるのは、ペアとなる秘密鍵を持っている受信者本人だけであるため、鍵の配送問題を解決することができる。
4. 電子署名は、公開鍵暗号技術を応用したものであり、送信者は自分の「公開鍵」を使ってハッシュ値を暗号化し、受信者は送信者の「秘密鍵」を使ってそれを復号することで、本人性を確認する。
5. ハイブリッド暗号方式は、共通鍵暗号方式と公開鍵暗号方式を組み合わせたものであり、共通鍵の受け渡しには公開鍵暗号方式を用い、実際のデータ通信には処理の速い共通鍵暗号方式を用いるものである。
正解・解説を見る
正解 4
解説:
1. 妥当である。共通鍵暗号方式の特徴(高速、鍵管理が大変)に関する正しい記述です。
2. 妥当である。公開鍵暗号方式の手順(受信者の公開鍵で暗号化)に関する正しい記述です。
3. 妥当である。公開鍵は誰に見られても良いため、安全に受け渡し(公開)が可能です。
4. 妥当でない。電子署名における鍵の使い方が逆です。送信者は自分の「秘密鍵」で暗号化(署名)し、受信者は送信者の「公開鍵」で復号(検証)します。
5. 妥当である。SSL/TLSなどで使われているハイブリッド方式の正しい説明です。
1. ログイン画面で、IDとパスワードを入力させた後、さらに「母親の旧姓は?」という秘密の質問に回答させる。
2. スマートフォンのロック解除において、指紋認証が失敗した場合に、バックアップとしてパスコード(数字)を入力させる。
3. 銀行のATMで、キャッシュカード(ICカード)を挿入し、さらに暗証番号を入力して出金する。
4. Webサイトへのログイン時に、パスワードを入力した後、あらかじめ登録しておいた第2のパスワードを入力させる。
5. 入室管理システムにおいて、社員証(ICカード)をかざして解錠する。
正解・解説を見る
正解 3
解説:
1. 不適切。パスワードも秘密の質問も、どちらも「知識情報」です。これは二段階認証ですが、多要素認証ではありません。
2. 不適切。これは代替手段の用意であり、2つの要素を「組み合わせて」はいません。
3. 適切。キャッシュカードは「所持情報」、暗証番号は「知識情報」です。異なる2つの要素を組み合わせているため、多要素認証に該当します。
4. 不適切。どちらも「知識情報」です。
5. 不適切。「所持情報」のみの単要素認証です。
5. まとめ:用語の「対比」で覚える
情報セキュリティ用語は、単独で覚えるよりも「対比」させて覚えると定着しやすくなります。
- 共通鍵(速い・鍵配送問題あり) vs 公開鍵(遅い・安全)
- 暗号通信(相手の公開鍵で暗号化) vs 電子署名(自分の秘密鍵で暗号化)
- 知識認証(パスワード) vs 所持認証(カード・スマホ) vs 生体認証(指紋)
- DoS攻撃(単独) vs DDoS攻撃(分散・複数)
この分野を得点源にできれば、基礎知識科目での足切り回避がグッと近づきます。
特に「電子署名」の鍵の使い方は、行政書士の実務(電子申請)でも基本となる概念ですので、今のうちに完璧にしておきましょう。
よくある質問(FAQ)
- Q1. 共通鍵と公開鍵、どっちがどっちか分からなくなります。
- 「南京錠」をイメージしてください。南京錠(公開鍵)は誰でもカチッと閉められます(暗号化)。でも、それを開けられるのは、その鍵(秘密鍵)を持っている本人だけです。このように「閉めるのは誰でもできる(公開)、開けるのは本人だけ(秘密)」と覚えましょう。
- Q2. 「デジタル署名」と「電子署名」は違うのですか?
- 広義には同じ意味で使われますが、厳密には「電子署名」は法律上の定義(電子署名法など)を含む広い概念で、「デジタル署名」は公開鍵暗号技術を使った特定の技術的仕組みを指すことが多いです。試験対策としては、電子署名法における「電子署名」の要件(本人性+非改ざん性)と、技術的な「デジタル署名」の仕組み(秘密鍵で暗号化)を押さえておけば十分です。
- Q3. VPNって何ですか?
- VPN(Virtual Private Network)は、インターネットという公衆の道路の中に、自分専用のトンネルを作って安全に通るような技術です。外からはトンネルの中が見えない(暗号化されている)ため、盗聴されずにデータをやり取りできます。
↓基礎知識の全体像を確認する↓
基礎知識Webテキスト一覧ページへ戻る