情報セキュリティスペシャリスト試験（平成24年秋期 午後Ⅱ

問1）の過去問を徹底解説します。レガシーシステムで発生した脆弱性事例を振り返りながら、2026年現在の最新セキュリティ技術へと知識をアップデートできる内容です。過去の定石が現代ではどう変わったのか、サクラ先輩とモモちゃんと一緒にサイバーセキュリティの普遍的な基本と最新の最適解を楽しく学びましょう。 本動画で学習できる重要なセキュリティキーワードとその背景について説明します。まず、管理画面へのアクセス保護についてです。過去の試験では、総当たりでパスワードを試すブルートフォース攻撃を防ぐため、公開鍵認証を用いたSSHポートフォワーディングによる境界防御が定石とされていました。しかし現代では、ネットワークの境界ではなくアイデンティティでアクセスを制御するゼロトラストの概念が主流となり、ZTNAやIAPを用いたアプリケーション単位の認可やFIDO2認証を利用することが推奨されています。次に、Webアプリケーションの脆弱性としてセッション固定攻撃があります。これは、攻撃者が用意したセッションIDを利用者に踏ませ、ログイン成功後も新しいセッションIDを再発行せずに同じIDを使い続けることで、なりすましを許してしまう致命的な欠陥です。また、クロスサイトスクリプティング、いわゆるXSSも重要です。過去の開発現場では、開発者が手動でエスケープ処理を行っていたため、属性値を囲む二重引用符を忘れるなどのエラーが頻発していました。現在のモダンなWebフロントエンド開発では、フレームワーク側で自動エスケープ機構が備わっているため構造的に発生しにくくなっています。さらにCSPヘッダを設定し、インラインスクリプトの実行を強制ブロックする多層防御が常識となっています。データ保護の観点では、キャッシュ制御も試験で頻出するポイントです。no-cacheはキャッシュを使う前にサーバに有効性を確認するという意味で物理的なデータ保存はされてしまうため、痕跡を残さないためにはそもそも保存を禁止するno-storeを指定する必要があります。自動診断ツールの運用についても注意が必要です。当時の動的テストツールは状態を持った複数画面の遷移を伴う診断が苦手であり、入力した値が次画面以降で処理される場合、ツールには検知できない機能的な限界がありました。最後に、組織としてのセキュリティ対策のあり方です。かつては属人的なチェックシートを開発者に丸投げする運用が見られましたが、現在ではDevSecOpsが基本です。チェックシートはCI/CDパイプラインに組み込まれ、コードを書いた瞬間に静的解析ツールやAIが自動で脆弱性を検知するシフトレフトの仕組みを構築することが正解とされています。加えて、認証と認可を混同しないことも重要です。管理画面が露出しているのは認可の不備ではなく、IDやパスワードを破られる認証のリスクであることを理解し、技術の普遍的な原則を身につけることが求められます。 www.youtube.com