学習目標
本講を終えると、以下の問いに答えられるようになる。
- 情報セキュリティの三要素「機密性 / 完全性 / 可用性」(CIA) がそれぞれ何を守るのかを説明できる
- 盗聴・改ざん・サービス停止のような事件が、CIAのどれを壊しているか判別できる
- 代表的な脅威(マルウェア、フィッシング、不正アクセス、内部犯行)の特徴を一言で言える
- セキュリティ対策には「技術的・物理的・人的」の3種類があり、組み合わせて使うことを理解する
- ファイアウォールの役割を「門番」のたとえで説明できる
- 強いパスワードの条件と「使い回し禁止」の理由を説明できる
- 不正アクセス禁止法の存在を知る
本講は、これまで学んできた
第1回(ネットワークの構成要素) や
第3回(プロトコル) の上で、「便利なインターネットには攻撃者もいる」という視点を加える回。具体的な暗号や認証の仕組み(共通鍵・公開鍵・ディジタル署名など)は
基礎 の第8回・第9回、ファイアウォールや TLS の中身は
標準 編で深く扱う。
このレッスンの目次
情報セキュリティの三要素 ― CIA
情報セキュリティの世界では、「情報をどう守るか」を考えるときに必ず登場する 3つの観点 があります。それが 機密性 / 完全性 / 可用性 の3つで、英語の頭文字をとって CIA と呼ばれます。「守る」と一口に言っても、何から守るかは1つではない、という発想です。
POINT
情報セキュリティ ≒ 情報資産の 機密性(C)・完全性(I)・可用性(A) を維持すること。
・機密性(Confidentiality): 見せていい人にだけ見える
・完全性(Integrity): 中身が正しく、書き換えられていない
・可用性(Availability): 使いたいときに使える
3つの「守るべきこと」を図で見る
図の見方:守るべき情報資産は、3つの観点(C・I・A)から同時に脅かされる可能性がある。どれか1つだけ強くしてもダメで、3つをバランスよく守る必要がある、というのがセキュリティの基本姿勢。
1つずつ、もう少していねいに
C 機密性
機密性(Confidentiality) ― 「許可された人だけが見られる」 ようにすること。
- 例: 自分のLINEのトーク履歴を、他の人に勝手に読まれないようにしたい
- 例: 病院のカルテは、担当の医師・看護師しか見られないようにしたい
- 守られないと → 情報漏えい(個人情報・パスワード・営業秘密が外に漏れる)
守るための代表的な手段: アクセス制御(誰がどこを使えるか管理)、認証(本当に本人か確認)、暗号化(横から見られても読めない形にする)。
I 完全性
完全性(Integrity) ― 「中身が正しく保たれている、勝手に書き換えられていない」 こと。
- 例: 銀行口座の残高が、知らないうちに減っていない
- 例: ダウンロードしたソフトウェアに、途中で悪意あるコードが混ぜ込まれていない
- 守られないと → 改ざん(成績表・取引データ・Webページの内容が書き換わる)
守るための代表的な手段: ハッシュ関数(中身が変わるとすぐ気づく仕組み)、ディジタル署名(誰が作ったかと改ざんの有無を確認できる印)。これらは第9回でくわしく扱う。
A 可用性
可用性(Availability) ― 「必要なときに、ちゃんと使える」 こと。
- 例: 受験当日に出願サイトがちゃんと開く
- 例: 災害が起きてもメールやチャットがつながる
- 守られないと → サービス停止(サイトが落ちる、ログインできない、データが消える)
守るための代表的な手段: システムの二重化(片方が壊れても片方が動く)、バックアップ(消えても戻せる)、定期的な保守。
考えてみよう: 「秘密のメモ帳に金庫の番号を書いて、家のすごく奥にしまう」と、機密性は最強。でも自分も取り出せない。これは 可用性が最低 という状態。CIAはどれか1つを極端にすると他が犠牲になることも多い。便利さと安全のバランスをとるのがセキュリティの腕の見せどころ。
情報Iで覚えること情報セキュリティの三要素は 機密性(C)・完全性(I)・可用性(A)。3つをバランスよく守ることが基本。
三要素が壊される ― 具体例
ニュースで見る「セキュリティ事件」は、CIAのどれかが破られた事件だと整理できます。事件の種類と、それがどの要素を壊したのかを対応させて見てみましょう。
機密性(C)が壊れる例
盗聴(eavesdropping): ネットワーク上を流れるデータを、横から覗き見されてパスワードや個人情報が漏れる
情報漏えい: 顧客名簿が外部に流出する
のぞき見: カフェで肩越しに画面を見られる(ショルダーハッキング)
完全性(I)が壊れる例
改ざん(tampering): 学校のホームページが書き換えられて、関係ない画像が貼られる
なりすまし投稿: 他人のアカウントから勝手に投稿される
取引データの不正書き換え: 銀行の口座残高が数字だけ書き換えられる
可用性(A)が壊れる例
DoS / DDoS 攻撃: 大量のアクセスを送りつけてサーバを動けなくする → サイトが開かない
ランサムウェア: ファイルを暗号化されて使えなくされる(身代金を払うまで戻さない)
ハードウェア故障: 災害でサーバが壊れて利用できなくなる
用語ミニ補足:
・DoS(Denial of Service): 「サービス拒否」攻撃。1台から大量のリクエストを送ってサーバを止める。
・DDoS(Distributed DoS): 「分散型」DoS。世界中の乗っ取られた機器(ボットネット)から一斉に攻撃する。
詳しい仕組みは 標準・発展 編で扱う。
小問: 「ある通販サイトに大量のアクセスが押し寄せて、お客さんがページを開けない状態になった」。CIAのどれが破られた?
正解: C。「使いたいときに使えない」状態になっているので、これは 可用性 が破られた事件。サーバが動かないので商品を買えない、ログインできない、というのが代表的な被害。盗聴(C)や改ざん(I)とは別の問題で、対策も別(回線増強・サーバ多重化・DDoS対策サービスなど)。
考えてみよう: ランサムウェアは「データを勝手に暗号化する」ので、見方によっては 完全性 も壊しているし、その結果として「使えない」ので 可用性 も壊している。1つの事件で複数の特性が同時に破られることも珍しくない。
情報Iで覚えること盗聴 は機密性(C)、改ざん・なりすまし は完全性(I)、DoS/DDoS・ランサムウェア は可用性(A)を壊す代表例。
脅威の種類 ― 何があなたを狙うのか
CIAを壊そうとする「悪いこと」を 脅威(threat) と呼びます。脅威にはいろいろなタイプがあり、典型的なものを知っておくと、ニュースを見たときに「ああ、これはアレだな」と理解しやすくなります。
主な脅威の地図
図の見方:脅威は「外からの攻撃」だけではない。マルウェア・だまし・不正アクセス といった外部脅威と、内部犯行や操作ミス といった内部脅威の両方を考える必要がある。実は事故の多くは「悪意ある攻撃」より「うっかり」が原因とも言われる。
もう少し詳しく:代表的な脅威
もっと詳しく:ランサムウェアの動き
ランサムウェア(ransomware) は、感染した端末のファイルを 勝手に暗号化 して読めなくし、復号鍵と引き換えに 身代金(ransom) を要求するマルウェアです。
- 不審なメールの添付ファイルや、改ざんされたWebサイトから侵入
- パソコン内の文書・画像・データベースを片っ端から暗号化
- 「○○ビットコインを送れば鍵を渡す」と画面に脅迫メッセージを表示
- 支払っても 鍵をくれない ことも多い、というのが厄介な点
対策のキモは 事前にバックアップを取っておく こと(可用性の確保)、と 怪しいリンク・添付を開かない こと(感染を防ぐ)。組織であれば、感染端末を即座にネットから切り離す手順も大事。
もっと詳しく:フィッシングの典型パターン
フィッシング(phishing) は、本物のサービスのふりをした 偽メール・偽SMS・偽サイト でパスワードやクレジットカード番号を盗む手口。最近は AIで文面が自然になり、見分けが難しくなっている。
- 「アカウントが停止されました。今すぐログインを」 → リンク先は偽サイト
- 「不在で荷物を持ち帰りました。再配達は下記から」(SMSの場合スミッシングと呼ぶ)
- 「銀行から重要なお知らせ」と送ってくる(差出人を偽装)
見分け方の基本: URLをよく見る(本物は amazon.co.jp なのに偽は amazom-co.jp のような微妙な違い)。少しでも怪しければ、メール内のリンクからではなく ブックマークや公式アプリから 自分でアクセスし直す。
情報Iで覚えること脅威は マルウェア(ウイルス・ランサムウェア等)・フィッシング・不正アクセス・内部犯行/操作ミス に大別できる。外部攻撃だけでなく内部のうっかりも要注意。
対策の3本柱 ― 技術・物理・人
脅威に対する対策は、大きく 3種類 に分けて考えるのが定番です。技術だけ、設備だけ、教育だけではダメで、3つを組み合わせて初めて意味が出ます。
POINT
対策は 技術的対策 + 物理的対策 + 人的対策 の三本柱。
最強の暗号も、付箋にパスワードを貼ったらゼロ。最高の入退室管理も、内部の人がメールで送信したらゼロ。「弱いところから破られる」のがセキュリティの世界。
図の見方:3つの柱が揃って初めて、家全体を守れる。技術的対策(=門と鍵)、物理的対策(=塀と扉)、人的対策(=家族みんなが鍵をかける習慣)、と考えるとイメージしやすい。
「いつ効く対策か」で見ると
対策は「攻撃が起きる前/最中/後」で4種類の役割があります。これも知っておくと整理しやすいです。
| 役割 | いつ効くか | 対策の例 |
|---|
| 抑止 | 起きる前 | セキュリティ教育、罰則のアナウンス |
| 予防 | 起きる前 | パスワード強化、脆弱性検査、暗号化 |
| 検知 | 起きた最中 | ウイルス検査、不正アクセスの監視 |
| 回復 | 起きた後 | バックアップから復元、対応訓練 |
「完全に防ぐ」ことはできない。これがセキュリティの大事な前提。だから「予防」だけでなく、「検知」と「回復」も必ずセットで考える。バックアップが大事と言われるのは、これが 回復 の最後の砦だから。
情報Iで覚えることセキュリティ対策は 技術的・物理的・人的 の3本柱を組み合わせる。役割で見ると 抑止・予防・検知・回復 の4つ。
ファイアウォールという「門番」
技術的対策の代表選手が ファイアウォール(firewall, 防火壁) です。家庭のWi-Fiルータや会社のネットワーク機器に組み込まれていて、ネットワークの 入口 でやり取りを監視し、怪しい通信をブロックします。
POINT
ファイアウォール = ネットワークの
「門番」。事前に決めた
ルール に従って、通していい通信だけを通し、それ以外は遮断する。
※ 中身まで読んでくれるわけではない。詳しい仕組み(パケットフィルタ・状態監視)は
標準編(準備中) で扱う。
門番のたとえで見るファイアウォール
図の見方:ファイアウォールはインターネットと社内・家庭との 境目 に立つ。あらかじめ決めたルール(例:「Webアクセスは通す、知らないポートへの接続は通さない」)に従って、通信を通したり遮断したりする。100%安全になるわけではないが、明らかに怪しい通信を入口で減らす 効果がある。
注意: ファイアウォールは すべての攻撃を防ぐ万能な仕組みではありません。ルールで許可された通信(例:Webアクセス)に紛れ込ませた攻撃や、メール添付・USB経由のマルウェア、内部からの情報持ち出しなどは、ファイアウォール単体では止められません。だからこそウイルス対策ソフト・パスワード管理・教育などと 組み合わせる(多層防御) 必要があります。
つながる知識: 家庭用Wi-Fiルータには簡易なファイアウォール機能が標準で入っている。会社では専用機器を置く。さらに、ファイアウォールでは見抜けない攻撃(正常な見た目だが悪意ある中身)に対処するため、IDS/IPS / WAF という別の仕組みも併用される(これは 標準 編)。
情報Iで覚えることファイアウォール はネットワークの「門番」。決められたルールに従い、通していい通信だけを通し、それ以外を遮断する。
パスワード管理の心得
認証(本人確認)の基本がパスワードです。あなた自身がいちばん簡単にできる、いちばん効く対策がここにあります。「パスワードは 長く・推測されにくく・使い回さない」が現代の3原則です。
Q. 「強いパスワードとはどんなもの?」自分の答えを思い浮かべてからクリック。
- 長い(目安として12〜16文字以上)。短いと総当たり攻撃ですぐ破られる
- 推測されにくい(誕生日・名前・password123・qwerty のような有名なものは即アウト)
- 使い回さない(あるサイトから漏れたパスワードを、攻撃者は他のサイトでも試してくる ― これを パスワードリスト攻撃 と呼ぶ)
- 定期変更より長さ重視。昔は「3か月ごとに変えよう」と言われたが、今は「無闇に変えるとかえって弱いものを選びがち」とされ、長く強いものを長期間使う方が良いという考え方が主流
- パスワード管理ツール(パスワードマネージャ) の活用がおすすめ。サイトごとに違う長いパスワードを覚えなくてよい
- 多要素認証(MFA / 2FA) をセットで使う。スマホのアプリやSMSで追加の確認をする仕組みで、万一パスワードが漏れても乗っ取られにくい
図の見方:強いパスワードだけで終わりにしない。サイトごとに違う長いパスワードを管理ツールで保管し、多要素認証(MFA)を組み合わせると、漏えい時の被害を止めやすくなる。
良いパスワード vs 悪いパスワード
悪いパスワード(やってはいけない)
- password / 123456 / qwerty
- 自分の名前・誕生日(tanaka2008)
- 「短くて意味のある単語」(apple, summer)
- すべてのサイトで 同じ パスワード
- 付箋に書いてモニタに貼る
- 家族・友人と共有する
良いパスワード
- 長い(12〜16文字以上)
- 意味のない文字列、または 無関係な単語を3〜4個つなげた覚えやすい合言葉(例: cat-piano-river-42)
- サイトごとに 違う パスワードを使う
- パスワード管理ツールで安全に保管する
- 多要素認証(MFA)を併用
注意: 「同じパスワードをいろんなサイトで使う」のは現代では もっとも危険な習慣 の1つ。あるサイトから漏れたら、他のサイトのアカウントも芋づる式に乗っ取られる。これを パスワードリスト攻撃 と呼び、SNS乗っ取り事件の常套手段になっている。
パスワード対策の限界: どれだけ強いパスワードを作っても、サービス側からの漏えい(運営側の事故・サーバ侵入)を利用者側で完全に防ぐことはできません。現代のセキュリティでは「いつかは漏れるかもしれない」を前提に、多要素認証(MFA / 2FA)を併用 し、漏えいに気付いたら 速やかにパスワードを変更する ことが推奨されます。
考えてみよう: なぜ「定期的にパスワードを変える」だけだと逆効果になることがあるのだろう?― 人間は変えるたびに 覚えやすい弱いパターン(spring2025 → summer2025) を選びがちで、結局推測されやすくなるから。「強いものを使い回さず長く使う」+「漏れたとき即変える」が現代の合言葉。
情報Iで覚えることパスワードは 長く・推測されにくく・使い回さない が3原則。多要素認証(MFA) を併用すると安全性が大きく上がる。
そもそも法律で禁止されている ― 不正アクセス禁止法
技術的に守るのも大事ですが、社会のルールとして そもそも他人のシステムに勝手に入ることは法律違反 です。日本には 不正アクセス禁止法(正式名:不正アクセス行為の禁止等に関する法律)があり、他人のIDやパスワードを使って勝手にシステムにログインする行為などを禁じています。
不正アクセス禁止法で禁止されている主な行為(概要)
・他人のID・パスワードを無断で使ってネット上のシステムにログインする
・セキュリティの穴を突いて、本来入れない場所に侵入する
・他人のIDやパスワードを 勝手に保管 したり 提供 したりする
違反すると懲役や罰金の対象になる。[要確認] 具体的な罰則の詳細は最新の条文を確認のこと。
「興味本位だから」「ちょっと試しただけ」では済みません。たとえ友達のアカウントでも、勝手にログインしたら違法になり得ます。許可のないアクセスはしない、させない。これは技術以前の大前提です。
注意(法令の扱いについて): 本講で扱う不正アクセス禁止法やその他関連法の説明は、学習用の 概要 です。条文・罰則・適用範囲は改正されることがあるため、実際に判断が必要な場面では、必ず 最新の法令や公的資料(e-Gov 法令検索、警察庁・総務省・IPA などの公式情報) で確認してください。
もっと詳しく:他にも関連する法律
- 個人情報保護法:個人情報を扱う事業者にルールを課す
- 刑法(電子計算機損壊等業務妨害罪・電磁的記録不正作出罪 など):データの改ざんやシステム妨害を処罰
- 著作権法:他人のデータ・プログラムの不正利用を制限
細かい範囲や運用は時代とともに改正されるため、興味があれば最新の解説を読んでみよう。[要確認]
情報Iで覚えること不正アクセス禁止法 により、他人のID・パスワードを無断で使ってログインする等は違法。たとえ友達のアカウントでも勝手に入ってはいけない。
シナリオで見る:フィッシング被害の流れ
最後に、フィッシング攻撃が成功してしまったときの 1人称シナリオ を、ステップで追ってみましょう。「どこで止められたか」を考えながら見るのがポイントです。
ステップ1. 「【重要】口座が一時停止されました」という不安をあおるメールが届く。差出人はそれっぽいが、よく見ると @bank-secure.example のような 怪しいドメイン。本物の銀行のドメインではない。
ステップ2. メール内のリンクをクリック。表示されるのは 本物そっくりの偽ログインページ。最近はSSLマーク(鍵マーク)も付いていることがあり、見た目では本物と区別が難しい。
ステップ3. 急かされてID・パスワードを入力。「ログインに失敗しました」と表示されるが、実は入力情報は 攻撃者のサーバに送信済み。被害者は気付かない。
ステップ4. 攻撃者は奪ったID・パスワードで 本物の銀行サイトにログイン。残高を移したり、登録情報を変えてさらに乗っ取りを進める。気付いたときには手遅れ、というのが典型パターン。
ステップ5. 振り返ると、止められるチャンスは複数あった: ①メールのドメインを疑う、②メールのリンクを踏まずに公式アプリ・ブックマークから入る、③多要素認証(MFA)を有効にしておく。1つの対策だけに頼らない、多重で防ぐ のがセキュリティの鉄則。
1 / 5
図の見方:1つの攻撃を止めるチャンスは1か所だけではない。気付くポイントを複数知っておけば、どれかで踏みとどまれる可能性が上がる。これが 多層防御(defense in depth) の考え方。
情報Iで覚えることフィッシング対策は 差出人とURLを確認・メール内リンクではなくブックマーク/公式アプリから・多要素認証(MFA)を有効化 の3点で 多層防御。
まとめと用語チェック
SUMMARY
1. 情報セキュリティ = 情報資産の 機密性 / 完全性 / 可用性 (CIA) を守ること
2. 盗聴は C、改ざんは I、DoSは A を壊す。1事件で複数破られることもある
3. 脅威の代表: マルウェア(ウイルス・ランサムウェア)、フィッシング、不正アクセス、内部犯行
4. 対策の3本柱は 技術的・物理的・人的。役割で見ると 抑止・予防・検知・回復
5. ファイアウォール はネットワークの「門番」。完璧ではないが入口を絞る
6. パスワードは 長く・推測されにくく・使い回さない。多要素認証(MFA) を併用
7. 不正アクセスは 法律で禁止 されている。技術以前に「許可のないアクセスはしない」
用語チェック
| 用語 | 1行説明 |
|---|
| 情報セキュリティ | 情報資産のCIAを維持すること |
| 機密性 (Confidentiality) | 許可された人だけが情報を見られる状態 |
| 完全性 (Integrity) | 情報が正しく、勝手に書き換えられていない状態 |
| 可用性 (Availability) | 必要なときに情報・システムを使える状態 |
| CIA(三要素) | 機密性・完全性・可用性の頭文字をとった呼び方 |
| 盗聴 | 通信内容を横から覗き見する行為(機密性を破る) |
| 改ざん | データの中身を勝手に書き換える行為(完全性を破る) |
| DoS / DDoS | 大量アクセスでサーバを停止させる攻撃(可用性を破る) |
| マルウェア | 悪意あるソフトウェアの総称(ウイルス・ランサムウェアなど) |
| ランサムウェア | ファイルを暗号化して身代金を要求するマルウェア |
| フィッシング | 偽メール・偽サイトで認証情報を盗む手口 |
| 不正アクセス | 許可なく他人のシステムに入る行為(法律で禁止) |
| 内部犯行 | 組織内部の人間による情報持ち出しや破壊 |
| ファイアウォール | ネットワークの境目で通信をフィルタする「門番」 |
| ウイルス対策ソフト | マルウェアを検知・駆除するためのソフト |
| 暗号化 | 第三者に内容を読まれないようデータを変換する技術 |
| 認証 | 本人確認の仕組み(パスワード・ICカード・生体など) |
| 多要素認証 (MFA) | パスワードに加えて別の確認要素を組み合わせる方式 |
| パスワードリスト攻撃 | 漏れたID・パスワードの組を別サイトで試す攻撃 |
| セキュリティポリシ | 組織が守るべきセキュリティ規定をまとめた文書 |
| 不正アクセス禁止法 | 無断ログインなどを禁じる日本の法律 |
確認問題
問1. 情報セキュリティの「三要素(CIA)」の組み合わせとして正しいものを1つ選べ。
次の選択肢から最も適切なものを選択してください。
A. Confidentiality / Internet / Availability
B. Confidentiality / Integrity / Availability
C. Cryptography / Integrity / Authentication
D. Confidentiality / Integrity / Authentication
正解:B
CIAは 機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)。AはInternetが余計、Cは「機密性」が「暗号」になっており、Dは「可用性」が「認証」に置き換わっている。認証や暗号はCIAを 支える手段 であって、三要素そのものではない。
問2. 「あるWebサービスがDDoS攻撃を受けて、ユーザがアクセスできなくなった」。この事件で主に破られた特性はどれか。
次の選択肢から最も適切なものを選択してください。
A. 可用性
B. 完全性
C. 機密性
D. 認証性
正解:A
「使いたいときに使えない」状態は 可用性 の問題。DDoSは大量のアクセスでサーバを動けなくする攻撃で、データの中身が漏れる(機密性) のでも書き換わる(完全性) のでもなく、「サービスが提供できない」ことに直撃する。
問3. パスワードに関する記述として最も適切なものを1つ選べ。
次の選択肢から最も適切なものを選択してください。
A. パスワードは短く覚えやすい単語にすると安全である
B. 同じパスワードを複数のサイトで使い回すと安全になる
C. パスワードは机のすぐ見えるところに付箋で貼っておくのがよい
D. 推測されにくい長いパスワードを、サイトごとに違うものに分けて使う
正解:D
強いパスワードの条件は「長く・推測されにくく・使い回さない」。Aは短い単語は総当たりですぐ破れるので逆。Bは パスワードリスト攻撃 の格好の餌食になる。Cは物理的に他人に見られるリスクが大きい。覚えきれない場合はパスワード管理ツールの利用を検討する。
問4. ファイアウォールの役割として最も適切なものを1つ選べ。
次の選択肢から最も適切なものを選択してください。
A. メールの内容を暗号化して、第三者に読まれないようにする
B. 壊れたデータを自動的に元に戻す
C. ネットワークの境目で、ルールに合わない通信を遮断する
D. すべてのマルウェアを完璧に駆除する
正解:C
ファイアウォールは「ネットワークの 門番」で、事前に決めたルールに従って通信を 通す/遮断する 装置。Aは暗号化技術(TLSなど)、Bはバックアップ・冗長化、Dはウイルス対策ソフトの仕事(しかも「完璧」とは言えない)で、それぞれ別の対策。1つの仕組みで全部解決はしない、というのがセキュリティの基本。
問5. 情報セキュリティ対策の「3本柱」に 含まれない ものを1つ選べ。
次の選択肢から最も適切なものを選択してください。
A. 技術的対策(ファイアウォール・暗号化など)
B. 経済的対策(セキュリティ予算の最大化)
C. 物理的対策(入退室管理・施錠・防火設備など)
D. 人的対策(教育・規定・訓練など)
正解:B
対策の3本柱は 技術的・物理的・人的。予算は重要だが「対策の柱」の分類軸ではない。技術だけ、施設だけ、教育だけではダメで、3つを組み合わせて初めて効果が出るのがポイント。攻撃者は いちばん弱いところ を突いてくる、と覚えておくとよい。