基本情報の科目Bセキュリティは、アルゴリズムほど長い計算や複雑なトレースがない一方で、問題文の状況を読み違えると一気に失点しやすい分野です。「用語は覚えたのに選択肢で迷う」「攻撃名と対策名がごちゃごちゃになる」と感じている人も多いかなと思います。
この記事では、基本情報の科目Bセキュリティを4問の得点源にするために、問題文の読み方、頻出パターン、時間配分、復習方法まで整理します。暗記だけで終わらせず、ケース問題をどう読むかに寄せて解説するので、科目Bのセキュリティ問題で安定して点を取りたい人は参考にしてください。
- 科目Bセキュリティの問題文で最初に見る場所がわかる
- 攻撃名と対策を対応づけて覚えるコツがわかる
- 4問を取り切るための時間配分がわかる
- 演習後に点が伸びる復習ノートの作り方がわかる
基本情報の科目Bセキュリティの読み方
科目Bでの位置づけ
基本情報技術者試験の科目Bは、100分で20問を解く形式です。IPA公式の試験情報でも、科目Bは多肢選択式で20問と案内されています。実際の学習では、アルゴリズムとプログラミングが中心で、情報セキュリティは少数ながら確実に拾いたい領域として考えると計画を立てやすいですね。最新の実施方式や出題数は、必ずIPA公式の基本情報技術者試験ページで確認してください。
セキュリティ問題の大きな特徴は、知識をそのまま聞くだけではなく、短い事例の中で「何が起きているか」「どの対策が合うか」を判断させる点です。科目Aのように用語を一問一答で覚えているだけだと、本文中の登場人物、システム構成、操作手順、被害の流れを見落としてしまいます。ここが、科目Bのセキュリティで点が安定しない原因になりやすいです。
とはいえ、アルゴリズムほど一行ずつ変数を追う必要は少ないので、読み方を決めておけば得点源にしやすい分野でもあります。最初に「攻撃」「弱点」「被害」「対策」の4つに分けて読むだけでも、選択肢の見え方はかなり変わります。科目B全体の勉強順は、基本情報の科目B対策で勉強順と合格ラインを整理した記事でも扱っています。
| 見る観点 | 確認すること |
|---|---|
| 攻撃 | フィッシング、マルウェア、なりすまし、盗聴など何が起点か |
| 弱点 | 認証不足、権限設定ミス、暗号化不足、運用ルール不備がないか |
| 被害 | 情報漏えい、改ざん、サービス停止、権限悪用のどれか |
| 対策 | 技術対策、運用対策、教育、監視のどれが合うか |
先に全体像を押さえておくと、セキュリティ4問を「おまけ」として流さず、合格点を支える固定得点として扱いやすくなります。
問題文は登場人物から読む
科目Bセキュリティの問題文を読むときは、いきなり選択肢を見に行くより、登場人物とシステムの関係を先に押さえる方が安全です。たとえば「利用者」「管理者」「攻撃者」「外部委託先」「社内ネットワーク」「Webサーバ」「認証サーバ」のような要素が出てきたら、それぞれが何をできる立場なのかを軽く整理します。誰が、どこから、何にアクセスしているのかが見えないまま読むと、正しい対策を選びにくくなります。
特に注意したいのは、正規の利用者と攻撃者の区別です。セキュリティ問題では、攻撃者が最初からシステム内部にいるとは限りません。メールを受け取った従業員、盗まれたIDを使う第三者、設定を間違えた管理者など、問題によって入口が変わります。入口が変わると、必要な対策も変わります。メール訓練が有効なケースもあれば、多要素認証、権限分離、ログ監視、WAF、暗号化が有効なケースもあります。
私は、問題文に線を引けない環境でも、頭の中で「人」「場所」「操作」を分けるようにしています。人は誰か、場所は社内か社外か、操作はログインか送信か保存か。この3つを分けるだけで、本文の長さに飲まれにくくなります。選択肢の用語を見てから本文に戻ると、どうしてもそれっぽい単語に引っ張られるので、先に状況を読む癖を作るのがおすすめです。
- 誰が操作しているか
- どのネットワークや端末から操作しているか
- どの情報資産が守る対象か
- 攻撃前と攻撃後で何が変わったか
この読み方は、問題演習のたびに同じ順番で使うのがポイントです。毎回違う読み方をすると、正解しても再現性が残りにくくなります。
攻撃と対策を対応させる
基本情報の科目Bセキュリティでは、攻撃名を知っているだけでは足りません。大事なのは、その攻撃に対して「何を防ぐ対策なのか」を対応させて覚えることです。フィッシングなら偽サイトや偽メールへの誘導、マルウェアなら感染経路と被害拡大、SQLインジェクションなら入力値を悪用した不正なSQL実行、クロスサイトスクリプティングなら利用者のブラウザ上での不正スクリプト実行、というように、攻撃の入口と被害をセットで考えます。
よくある失敗は、対策を「強そうな単語」で選んでしまうことです。暗号化、多要素認証、ファイアウォール、アクセス制御、バックアップ、ログ監視はどれも重要ですが、すべての問題に効く万能薬ではありません。盗聴を防ぐ話なら暗号化が自然ですし、盗まれたパスワードの悪用を抑える話なら多要素認証が合いやすいです。入力欄から不正な命令を送る話なら、入力値検証やプレースホルダの利用などが候補になります。
対策を対応づけるときは、「原因を消す対策」と「被害を小さくする対策」を分けると理解しやすいです。たとえばバックアップはマルウェア感染そのものを防ぐ対策ではありませんが、ランサムウェアでデータが暗号化された後の復旧には役立ちます。ログ監視も攻撃を完全に止めるというより、検知や追跡のための対策です。この違いを押さえると、選択肢の細かい言い回しにも対応できます。
| 攻撃・リスク | 見分けるヒント | 対策の例 |
|---|---|---|
| フィッシング | 偽メール、偽サイト、認証情報入力 | 多要素認証、利用者教育、URL確認 |
| マルウェア | 添付ファイル、感染、被害拡大 | 更新、検知、隔離、バックアップ |
| SQLインジェクション | 入力欄、不正SQL、DB操作 | 入力値検証、プレースホルダ |
| 盗聴 | 通信内容の読み取り | TLS、暗号化、証明書確認 |
設問の聞かれ方を分ける
科目Bセキュリティの設問は、毎回同じ聞き方をしてくれるわけではありません。「最も適切な対策はどれか」「この攻撃に該当するものはどれか」「この設定で防げるものはどれか」「この運用の問題点はどれか」のように、聞かれている軸が少しずつ変わります。ここを読み飛ばすと、知っている用語が出てきた選択肢を選んでしまい、設問の要求から外れることがあります。
まず分けたいのは、原因を問う問題か、対策を問う問題か、結果を問う問題かです。原因を問う問題なら「なぜその被害が起きたのか」を本文から探します。対策を問う問題なら「どの弱点をふさぐ対策か」を確認します。結果を問う問題なら「その対策を入れると何ができなくなるか、何が検知できるか」を考えます。同じ用語でも、原因として出る場合と対策として出る場合では読み方が変わります。
また、「防止」「検知」「復旧」の違いもよく見ます。防止は攻撃を起こりにくくする対策、検知は起きたことに気づく対策、復旧は被害後に戻す対策です。ログは検知や追跡に強く、バックアップは復旧に強く、認証強化は不正ログインの防止に強いです。設問が防止を聞いているのに復旧策を選ぶと、知識としては正しくても解答としてはズレてしまいます。
「防ぐ」「検知する」「復旧する」「該当する」「原因となる」のどれを聞かれているかを先に確認しましょう。本文の理解より先に設問の方向を見ておくと、読み戻しが少なくなります。
選択肢に迷ったら、本文に書かれていない前提を勝手に足していないかも確認してください。たとえば、問題文にWebアプリの入力欄の話がないのにSQLインジェクションを選ぶ、認証情報の盗用が書かれていないのに多要素認証だけで解決すると考える、といったズレです。科目Bでは、一般論として正しい対策より、その事例に合う対策を選ぶ意識が大切です。
迷った選択肢の切り方
科目Bセキュリティで最後に差がつくのは、2択まで絞った後の切り方です。どちらもそれっぽく見える場合は、まず「本文のリスクに直接効いているか」を見ます。たとえば、通信の盗聴が問題なら通信経路の暗号化が直接的です。利用者が偽サイトにIDとパスワードを入力してしまう話なら、多要素認証や利用者教育、ドメイン確認などが候補になります。正しい用語でも、問題のリスクに直接つながっていなければ優先度は下がります。
次に、対策の対象範囲を見ます。個人の端末だけに効く対策なのか、サーバ側で効く対策なのか、組織全体の運用に効く対策なのかを分けます。問題文がWebサーバの脆弱性を扱っているのに、利用者端末の設定だけを変える選択肢を選ぶとズレることがあります。逆に、従業員のメール開封が入口なら、サーバ設定だけではなく教育や検知の話が絡むこともあります。
最後は、選択肢の表現が強すぎないかを確認します。「完全に防げる」「必ず検出できる」のような断定は、セキュリティ分野では怪しいことが多いです。もちろん試験問題なので文脈次第ですが、現実のセキュリティ対策は多層防御が基本です。1つの対策であらゆる攻撃を防げるわけではないため、表現が広すぎる選択肢は慎重に読むとよいですね。
- 本文にない前提を足して選ぶ
- 強そうな単語だけで選ぶ
- 防止策と復旧策を混同する
- 端末側の対策とサーバ側の対策を混同する
本番では、完全に自信がある問題ばかりではありません。だからこそ、迷ったときの確認順を決めておくと、焦って選び直す回数を減らせます。
基本情報の科目Bセキュリティ対策
最初に覚える頻出テーマ
基本情報の科目Bセキュリティ対策では、いきなり分厚いセキュリティ用語集を全部覚えようとしなくて大丈夫です。まずは、問題文の事例に出やすいテーマから固める方が効率的です。具体的には、認証、アクセス制御、暗号化、マルウェア、フィッシング、Webアプリケーションの脆弱性、ログ監視、バックアップ、情報漏えい対策あたりを優先すると、演習で見たことのある状況が増えていきます。
認証では、パスワードだけに頼る危険性、多要素認証、ワンタイムパスワード、生体認証などを整理します。アクセス制御では、必要最小限の権限、職務分掌、管理者権限の扱いがよく絡みます。暗号化では、通信の暗号化、データ保存時の暗号化、公開鍵と共通鍵の役割を混同しないことが大切です。こうした基本用語は、科目Aの知識にもつながるので先に整えておく価値があります。
Webアプリケーションの脆弱性は、SQLインジェクション、クロスサイトスクリプティング、CSRFなどが代表例です。名前だけを見ると難しく感じますが、試験対策では「どこから不正な入力が入るのか」「誰の画面やデータが影響を受けるのか」を説明できればかなり楽になります。広い情報セキュリティ全体の勉強法は、基本情報技術者試験の情報セキュリティ対策ガイドも参考になります。
- 認証とアクセス制御を先に固める
- 暗号化は通信・保存・本人確認に分ける
- 攻撃名は被害とセットで覚える
- バックアップやログ監視は役割を分けて理解する
頻出テーマを一周した後は、知らない用語を増やすより、知っている用語を事例の中で使えるかを確認する段階に移ると効率的です。
4問の時間配分
科目Bは100分で20問なので、単純計算では1問あたり5分です。ただし、アルゴリズム問題は読む量も考える量も多くなりやすいので、セキュリティ問題では必要以上に時間を使わないことが大切です。目安としては、セキュリティ1問あたり3〜4分で解き、迷う問題でも5分を超えたら一度仮決めして次へ進むくらいが現実的かなと思います。
セキュリティ問題で時間を使いすぎる原因は、本文を何度も最初から読み直すことです。最初に設問を見て、何を聞かれているかを押さえたうえで、本文の該当箇所だけを探すようにすると読み戻しを減らせます。問題文が長い場合でも、すべての文が解答に同じ重みで関係するわけではありません。攻撃の流れ、弱点、対策候補に関係する文を優先して拾いましょう。
アルゴリズムに時間を残すためにも、セキュリティは「短く読んで、根拠を持って選ぶ」練習が必要です。擬似言語やトレースに苦手意識がある人ほど、セキュリティ4問を丁寧に取りに行きたくなりますが、そこで時間を使い切ると全体の得点が伸びません。擬似言語の読み方は、基本情報の擬似言語対策とトレース手順の記事で別に整理しています。
| 状況 | 目安 | 判断 |
|---|---|---|
| すぐ分かる問題 | 2〜3分 | 根拠を確認して次へ進む |
| 本文整理が必要 | 3〜4分 | 登場人物と弱点を分ける |
| 2択で迷う問題 | 5分まで | 仮決めして後で戻る |
| 用語が不明 | 深追いしない | 消去法で選び次へ進む |
時間配分は、練習時から測っておくと本番で崩れにくくなります。普段から制限時間を意識しないと、試験当日に急に速く読むのは難しいです。
普段の演習でも、時計を置くだけで読み方の雑さに気づけます。
過去問アプリの使い方
科目Bセキュリティは、参考書を読むだけでは得点に直結しにくいです。理由は、覚えた用語を事例の中で使う練習が必要だからです。最初のインプットが終わったら、短い時間でも演習を回して、問題文から攻撃と対策を抜き出す練習に切り替えましょう。今すぐ問題に触れたい場合は、基本情報の過去問アプリで無料演習できます。
使い方のコツは、最初から正答率だけを追わないことです。1回目は、問題文のどこを根拠に選んだかを言葉にすることを優先します。正解していても、根拠があいまいなら復習対象です。逆に不正解でも、攻撃の種類までは合っていたなら、対策の役割を整理すれば伸びます。正解か不正解かだけでなく、どの段階でズレたかを見ると勉強の密度が上がります。
演習は、1日まとめて大量に解くより、10分から15分で数問だけ解いて復習する方が続けやすいです。特に社会人や学生でまとまった時間が取りにくい人は、通学や休憩時間にセキュリティ問題だけを短く回すのもありですね。ただし、解きっぱなしにすると同じ間違いを繰り返しやすいので、必ず「なぜ違ったか」を1行で残してください。
何を聞かれているかを確認してから本文を読みます。
攻撃、弱点、被害、対策に分けて根拠を探します。
間違えた理由を短く残し、次回同じ型で迷わないようにします。
アプリ演習で正答率が上がってきたら、解く順番も試してみてください。セキュリティを先に解くか後に解くかは、人によって集中しやすい流れが違います。
同じ問題を解き直すときも、前回より根拠を速く見つけることを目標にすると力が残ります。
間違いノートの作り方
科目Bセキュリティの復習では、長いノートを作る必要はありません。むしろ、長く書きすぎると見返さなくなります。おすすめは、間違えた問題ごとに「攻撃」「弱点」「正しい対策」「自分の勘違い」を1行ずつ残す方法です。たとえば、フィッシングの問題でファイアウォールを選んでしまったなら、「偽サイトへ認証情報を入力する話なので、多要素認証や教育が候補」と書くだけで十分です。
ノートでやってはいけないのは、参考書の説明を丸写しすることです。丸写しは達成感がありますが、次に同じ型の問題が出たときに使える形になりにくいです。試験で必要なのは、用語の百科事典的な説明ではなく、問題文から何を見つければよいかです。自分がどこで勘違いしたのかを残すと、短い復習でも弱点が見えます。
復習ノートは、週に1回だけまとめて見直すより、演習前に3分だけ眺める方が効果的です。直前に「自分は防止策と復旧策を混同しやすい」「認証と認可を混ぜやすい」と思い出してから問題を解くと、読み方が変わります。セキュリティ分野は似た用語が多いので、自分専用のひっかかりリストを作る感覚で進めると続けやすいです。
| 項目 | 書く内容 |
|---|---|
| 攻撃 | 何が起きた問題か |
| 弱点 | どの設定や運用が甘かったか |
| 正しい対策 | どの弱点に効く対策か |
| 勘違い | 自分が選んだ理由とズレ |
科目Bが苦手なら
アルゴリズムや擬似言語は、読むだけでなく手を動かして解く量が大切です。科目Bに絞って対策したい人向けです。
ノートを見返して同じ勘違いが3回出ているなら、そこが次の重点テーマです。弱点が見えたら、関連する問題だけを短く解き直すと効果が出やすいです。
基本情報の科目Bセキュリティまとめ
基本情報の科目Bセキュリティは、用語を暗記するだけでは安定しません。問題文の中で、誰が、どこから、何に対して、どんな弱点を突いたのかを読む力が必要です。とはいえ、アルゴリズムのように複雑な処理を長く追い続ける問題ばかりではないので、読み方と頻出テーマを固めれば得点源にしやすい分野です。
まずは、攻撃、弱点、被害、対策の4観点で本文を読む癖をつけましょう。次に、フィッシング、マルウェア、SQLインジェクション、暗号化、認証、アクセス制御、ログ監視、バックアップなどを、攻撃名と対策名のセットで覚えます。最後に、演習で間違えた理由を1行で残して、同じ勘違いを減らしていく。この流れなら、短い勉強時間でも積み上げやすいです。
試験制度やシラバスは更新されることがあるため、正確な情報は公式サイトをご確認ください。学習計画や受験判断に迷う場合は、スクールや講師など専門家に相談するのも有効です。この記事では読み方の型を中心に整理しましたが、最終的には自分で問題を解き、根拠を説明できる状態にすることが合格への近道ですね。
まずはセキュリティ問題を3問だけ解き、攻撃・弱点・被害・対策を1行ずつメモしてみましょう。点数よりも、本文の根拠を説明できるかを重視すると伸びやすくなります。
科目B全体で見ると、セキュリティだけで合格点に届くわけではありません。ただ、ここを安定させるとアルゴリズムで多少迷っても気持ちに余裕が出ます。4問を雑に流さず、短時間で確実に拾う分野として仕上げていきましょう。
今日の演習から、まずは1問ごとに根拠を口に出して確認してみてください。小さな確認ですが、選択肢に振り回されない読み方を作る練習になります。
コメント