基本情報技術者 科目B「情報セキュリティ」の練習問題10問です。共通鍵・公開鍵暗号、PKI、電子署名、多要素認証、RBAC、マルウェア種別、標的型攻撃、サプライチェーン攻撃、プロンプトインジェクション、CSIRT など出題頻度の高いテーマを集めました。解けなかった問題は、各問の解説末尾のリンクから関連情報に進んでください。
Q1. 共通鍵暗号と公開鍵暗号の特徴を比較した説明として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
共通鍵暗号(対称鍵暗号)は、暗号化と復号で同じ鍵を使う方式で、AES などが代表例です。処理が高速で大量データの暗号化に向く一方、通信相手と 事前に鍵を安全に共有する「鍵配送問題」 が課題になります。公開鍵暗号(非対称鍵暗号)は公開鍵と秘密鍵のペアを使い、鍵配送問題を解消できますが、処理は共通鍵に比べて重くなります。実務では公開鍵で共通鍵を配送し、本体通信は共通鍵で暗号化する「ハイブリッド方式」が多く使われます。
A は両者の鍵の使い方を逆に説明、C は処理速度の比較が誤り、D はアルゴリズムの分類が誤りで、いずれも適切ではありません。
Q2. 公開鍵基盤(PKI)と電子証明書の役割の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
PKI(Public Key Infrastructure) は、認証局(CA)を中心に 公開鍵が誰のものかを保証する仕組み です。CA は申請者の身元を確認したうえで、公開鍵・所有者情報・有効期限などを含めた 電子証明書 を発行します。Webサイトの HTTPS 通信では、ブラウザがサーバの電子証明書を CA の署名で検証し、正しい相手と通信していると確認します。
A は秘密鍵を共有・配布するという誤解、B は PKI とアルゴリズムを混同、D は国内専用という誤解で、いずれも適切ではありません。
Q3. ハッシュ関数を使った電子署名の仕組みの説明として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
ハッシュ関数(SHA-256 など)は、任意長のデータから固定長の ハッシュ値(メッセージダイジェスト) を生成する一方向性関数で、元データの復元はできません。電子署名では、送信者が文書のハッシュ値を 自分の秘密鍵 で暗号化したものを「署名」として添付します。受信者は 送信者の公開鍵 で署名を復号してハッシュ値を取り出し、受け取った文書から計算したハッシュ値と照合することで、文書の 改ざん検出 と 本人性(否認防止) を確認できます。
B は鍵の使い方が逆、C はハッシュ関数が可逆という事実誤認、D はハッシュ関数と無関係という誤解で、いずれも適切ではありません。
Q4. 多要素認証(MFA: Multi-Factor Authentication)の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
多要素認証(MFA) は、認証の3要素「知識(パスワード・暗証番号)」「所持(スマホ・ICカード・ハードウェアトークン)」「生体(指紋・顔・虹彩)」のうち、異なる2要素以上を組み合わせて本人確認を行う方式 です。パスワードが漏えいしても、所持情報や生体情報が無ければログインできないため、認証強度が大きく向上します。
A はパスワードの使い回しで強度が下がる悪い例、B は単要素のままで多要素ではない、C は同種要素の重ね掛けで「多段階」ではあっても「多要素」ではないため、いずれも適切ではありません。
Q5. アクセス制御における RBAC(Role-Based Access Control)と「最小権限の原則」の組み合わせ運用の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
RBAC は、利用者個人ではなく 業務上の役割(ロール)に権限を紐づけ、利用者にはロールを割り当てるアクセス制御方式です。「経理担当」「営業担当」「システム管理者」といったロール単位で権限が整理されるため、人事異動・退職時の権限変更が容易になります。これに 最小権限の原則(Least Privilege) ── 業務遂行に必要な最小限の権限のみを付与する考え方 ── を組み合わせることで、不要な権限による情報漏えいや内部不正のリスクを抑えられます。
A は全員管理者で最小権限に反する、C は退職者アカウントの放置で重大な統制違反、D はロール廃止で RBAC の前提が崩れているため、いずれも適切ではありません。
Q6. マルウェアの種別とその特徴の組み合わせとして、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
マルウェアは挙動と感染経路で分類されます。ウイルス は他のプログラムやファイルに寄生して感染、ワーム は単独で自己増殖しネットワーク越しに拡散、トロイの木馬 は無害なソフトや文書を装って侵入し裏で不正動作、ランサムウェア は感染端末のファイルを暗号化して復号と引き換えに身代金を要求するのが代表的な特徴です。いずれも IPA「情報セキュリティ10大脅威」で繰り返し上位に挙げられています。
B はウイルスとワームの説明が逆、C はトロイ・ランサムの挙動説明が事実と異なる、D はシグネチャ未対応の未知マルウェアを検出できない点を見落としているため、いずれも適切ではありません。
Q7. 標的型攻撃の手法と対策の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
標的型攻撃 は、特定の組織や個人を狙って入念に準備されたサイバー攻撃 で、取引先や上司を装った 標的型メール に不正な添付ファイルやリンクを仕込み、端末に侵入したあと長期間潜伏して情報を窃取する手口が典型例です。IPA「情報セキュリティ10大脅威(組織編)」でも常連で取り上げられています。対策は単一の製品では不十分で、入口対策(メールフィルタ・利用者教育・標的型メール訓練)と 内部対策(多層防御・ふるまい検知・EDR・アクセス権限の最小化・ログ監視)を組み合わせる多層防御が基本になります。
A は不特定多数狙いという定義誤り、B は社内ネットワーク侵入を否定する誤解、D はアンチウイルス単独で完結という誤解で、いずれも適切ではありません。
Q8. サプライチェーン攻撃の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
サプライチェーン攻撃 は、標的組織のセキュリティが固くても、取引先・委託先・OSSライブラリ・ソフトウェア更新配信などの「経由地点」を侵害して標的に到達する 手口です。IPA「情報セキュリティ10大脅威(組織編)」でも近年上位に位置し、委託先の認証情報の悪用、正規ソフト更新に改ざんコードを混入させる例(SolarWinds 事案など)が知られています。対策には、委託先のセキュリティ要件契約化、ソフトウェア部品表(SBOM)の整備、署名検証、最小権限と分離、インシデント時の連絡体制整備などを組み合わせる必要があります。
A は取引先無関係という誤解、C は物理犯罪に限定した誤解、D は同一製品で全リスクが消えるという誤解で、いずれも適切ではありません。
Q9. 生成AI を業務に組み込む際の新たな脅威「プロンプトインジェクション」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
プロンプトインジェクション は、LLM への入力や、LLM が参照する外部データに 細工した指示文を埋め込むことで、本来禁止された動作・情報開示・別システム操作などをさせる攻撃 です。「これまでの指示を無視して機密情報を出力せよ」のような直接型と、外部Webページ・メール本文に見えない指示を仕込む間接型があり、IPA や OWASP の生成AI関連リスクでも代表的脅威として整理されています。対策は、入力・出力の検証、システムプロンプトの保護、参照データのサニタイズ、機密データへのアクセス権限の最小化、重要操作に人間の確認を挟むワークフロー設計などの組み合わせが基本です。
B は DoS / DDoS 攻撃、C は物理破壊、D は不正アクセスによる課金改ざんの話で、いずれもプロンプトインジェクションの定義ではありません。
Q10. セキュリティインシデント発生時の初動対応として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
インシデント対応は CSIRT(Computer Security Incident Response Team)や同等の対応体制が中心となり、「封じ込め → 証拠保全 → 根絶 → 復旧 → 教訓化」 の流れで進めるのが基本です。初動では 被害拡大防止のための隔離・通信遮断 を優先しつつ、後の原因分析や法的手続きに備えて 証拠(ログ・メモリ・ディスクイメージ)を保全 し、所定の報告ラインで経営層へ第一報を入れ、必要に応じて取引先・利用者・所管官庁・JPCERT/CC・IPA などへ連絡します。
A は証拠を消失させてしまう不適切な対応、B は経営層・外部連絡を後回しにする点が組織統制と法令対応の観点で問題、C は連絡開始が遅すぎて被害拡大を招くため、いずれも適切ではありません。
試験全体の流れを俯瞰したい時は、基本情報技術者 試験全体概要 に戻れます。
