情報処理安全確保支援士試験の合格を目指す上で、避けては通れないのが「セキュリティ運用」に関する知識です。特に「脆弱性管理」「パッチ適用」「マルウェア対策」は、午前Ⅱだけでなく、午後試験で具体的なインシデントシナリオとして頻出します。「またパッチ未適用の話か…」と感じるかもしれませんが、その重要性と対策の全体像を体系的に理解できているでしょうか?例えば、近年注目されるEDR(Endpoint Detection and Response)と従来型アンチウイルスの違いを、明確に説明できますか?
本記事では、これらセキュリティ運用の核となる知識を、単なる一問一答の暗記で終わらせないために、ゼロから体系的に解説します。脆弱性の発見(CVE, CVSS)から始まり、パッチ・構成管理(WSUS, IaC)、そしてマルウェア対策とインシデント対応(EDR, SOC)まで、各要素がどのようにつながっているのかを明らかにします。
豊富な図解と「もしあなたがセキュリティ担当者なら?」という視点の具体例を交え、午後試験で問われる現場での応用力まで養える構成になっています。この記事を読み終える頃には、点と点だった知識が線としてつながり、セキュリティ運用の全体像を自信を持って語れるようになるはずです。
目次
情報処理安全確保支援士の基礎固め│脆弱性管理の全体像と主要用語(CVE・CVSS・JVN)
システムの安全性を語る上で、すべての起点となるのが「脆弱性(ぜいじゃくせい)管理」です。脆弱性とは、OSやソフトウェアに存在するセキュリティ上の欠陥や弱点のこと。これを放置することは、家のドアに鍵をかけずに外出するようなもので、サイバー攻撃者にとっては格好の侵入口となります。情報処理安全確保支援士の午後試験では、「なぜこの脆弱性が攻撃の起点となったのか?」を問うシナリオが頻出するため、その管理手法と関連用語の理解は不可欠です。
世界共通の識別子「CVE」:脆弱性の“背番号”
世界中で毎日新しい脆弱性が発見される中で、それらを正確に識別するために作られたのがCVE (Common Vulnerabilities and Exposures) です。発見された脆弱性には、「CVE-2021-44228」のような一意のIDが割り振られます。これは、いわば脆弱性の“背番号”や“マイナンバー”のようなもの。この共通番号があるおかげで、世界中の開発者やセキュリティ担当者は「あの脆弱性のことだね」と正確に情報を共有し、対策を進めることができるのです。
深刻度の評価基準「CVSS」:脆弱性の“危険度スコア”
発見された脆弱性が、一体どれくらい危険なのか? その深刻度を客観的に評価するための世界共通の仕組みがCVSS (Common Vulnerability Scoring System) です。CVSSは脆弱性を様々な側面から分析し、0.0〜10.0のスコアで評価します。スコアが高いほど、危険性が高いことを意味します。
【仕事での具体例:パッチ適用の優先順位付け】
あなたが企業のセキュリティ担当者だとします。今週、システムに関連する10件の脆弱性情報が公開されました。しかし、メンテナンスのためにシステムを停止できる時間は限られています。この時、CVSSスコアが役立ちます。CVSSスコアが「9.8 (Critical)」の脆弱性は即時対応が必要な最優先事項、一方で「5.3 (Medium)」のものは、影響範囲を調査した上で次週対応にする、といった合理的なトリアージ(優先順位付け)が可能になります。
CVSSは主に以下の3つの基準で評価されます。
| 評価基準 | 説明 |
|---|---|
| 基本評価基準 (Base Metrics) | 脆弱性そのものの特性を評価します。時間経過や環境で変化しない、最も基本的なスコアです。 |
| 現状評価基準 (Temporal Metrics) | 攻撃コードの存在や対策の普及状況など、時間と共に変化する要因を加えて再評価します。 |
| 環境評価基準 (Environmental Metrics) | 利用者のシステム環境など、個別の状況を考慮して最終的な深刻度を評価します。 |
支援士試験では、特に脆弱性そのものの特性を示す「基本評価基準」の理解が重要です。
日本の情報源「JVN」と脆弱性情報の流れ
JVN (Japan Vulnerability Notes)は、日本の情報セキュリティ対策を推進するIPA(情報処理推進機構)とJPCERT/CCが共同で運営する、日本語の脆弱性対策情報ポータルです。海外で発見された重要な脆弱性情報も、日本の専門家によって分析され、日本語で分かりやすく提供されます。日本のシステム管理者やセキュリティ担当者にとって、最も信頼できる情報源の一つです。
これらの関係性をまとめると、脆弱性情報の流れは以下のようになります。
A[ソフトウェア開発者や研究者が脆弱性を発見] --> B{CVE IDの採番};
B --> C{CVSSによる深刻度評価};
C --> D[JVN/NVD(米国)などの
データベースで情報公開];
D --> E[システム管理者が情報をキャッチ];
E --> F[CVSSスコアを参考に
パッチ適用などの対策を実施];
(※ mermaid 構文による図解です)
「脆弱性診断」と「ゼロデイ攻撃」
脆弱性管理には、公開された情報に対応するだけでなく、自社のシステムに未発見の脆弱性がないか積極的に探す活動も含まれます。これが脆弱性診断で、システムの「健康診断」に例えられます。定期的に診断を行うことで、攻撃者に悪用される前に弱点を発見し、対策を講じることができます。
一方、最も警戒すべき攻撃の一つがゼロデイ攻撃です。これは、ソフトウェアの開発者が脆弱性を認識し、修正パッチを提供する「前」に、その脆弱性を悪用して行われる攻撃のこと。対策(パッチ)が存在しない“無防備な日(ゼロデイ)”を狙うため、防御が非常に困難です。この脅威があるからこそ、単にパッチを待つだけでなく、侵入をいち早く検知し対応する仕組み(EDRなど)が重要になるのです。
脆弱性対策の核心│午後問題で問われるパッチ管理と構成管理(WSUS・IaC)
前のセクションでは、システムの「弱点」である脆弱性を発見・評価する方法を学びました。しかし、弱点を見つけるだけでは安全とは言えません。次に行うべき最も重要な対策が、その弱点を確実に塞ぐこと、すなわちパッチ管理です。情報処理安全確保支援士の午後問題では、「既知の脆弱性が放置されていたため、攻撃者に侵入された」というシナリオが定番中の定番であり、パッチ管理の重要性は繰り返し問われています。
「なぜ迅速なパッチ適用が重要か?」をシナリオで理解する
パッチとは、発見された脆弱性や不具合を修正するための追加プログラムのことです。なぜ、パッチの適用を急ぐ必要があるのでしょうか。それは、攻撃者も私たちと同じように、公開された脆弱性情報を常に監視しているからです。
【午後問題 想定シナリオ】
月曜日の朝、あなたが管理するWebサーバーのソフトウェアに、CVSSスコア9.8の深刻な脆弱性が存在するという情報(CVE-2025-XXXX)が公開されました。あなたは「影響範囲の調査が必要だ。週末のメンテナンス時間で対応しよう」と計画しました。しかし、攻撃者はその脆弱性を悪用する攻撃プログラムを水曜日には完成させ、インターネット上で無差別に攻撃を開始。あなたの会社のWebサーバーも攻撃を受け、ランサムウェアに感染してしまいました。
このシナリオのように、脆弱性情報が公開されてから攻撃が本格化するまでの時間は、年々短くなる傾向にあります。そのため、パッチを迅速に適用し、攻撃者に付け入る隙を与えないことが極めて重要になるのです。
WSUSによる効率的なパッチ管理
個人のPCであれば手動で更新プログラムを適用できますが、数百・数千台の端末を抱える組織では非現実的です。そこで活用されるのが、WSUS (Windows Server Update Services) のようなパッチ管理システムです。これは、組織内のWindows端末に適用する更新プログラムを、管理者が一元的にコントロールするための仕組みです。
【身近な例え:社内専用のパッチ配布センター】
WSUSは、社内にMicrosoftの更新サーバーの“出張所”を作るようなものです。まず管理者が、Microsoftから配信されたパッチの中から「どのパッチを」「どの部署のPCに」「いつ」適用するかを決定・承認します。その後、各端末はインターネット上のMicrosoftサーバーではなく、社内のWSUSサーバーから一斉にパッチを取得するため、ネットワーク負荷の軽減と確実な適用状況の管理が実現できます。
構成管理:パッチを当てるべき対象を正確に把握する
適切なパッチ管理は、管理対象のシステム構成を正確に把握していることが大前提となります。この「どのようなハードウェアやソフトウェアが、どのような設定で動いているか」を正確に把握・維持する活動を構成管理 (Configuration Management) と呼びます。
構成管理ができていないと、「管理台帳に載っていないサーバーが存在し、パッチが適用されず放置されていた」といった深刻なセキュリティホールを生み出す原因となります。そのために重要となるのが、安全な状態の基準となるベースライン構成です。これは「あるべき理想の構成」を定めたもので、新しく導入するPCの初期設定テンプレートや、既存のサーバー設定が不正に変更されていないかをチェックする際の基準点として機能します。
IaC (Infrastructure as Code) による構成管理の自動化
近年、構成管理をより効率的・確実に行うためのアプローチとしてIaC (Infrastructure as Code) が注目されています。これは、サーバーやネットワークなどのインフラ構成を、プログラムコードのようにテキストファイルで記述・管理する手法です。
【図解:手作業による構築 vs IaCによる構築】
subgraph 手作業による構築
A[管理者1] --> B1[サーバーA
(Web)
];
A --> B2[サーバーB
(DB)
];
B1 -- 手順書Aで設定 --> D1{設定完了};
B2 -- 手順書Bで設定 --> D2{設定完了};
note over B1,B2 "手作業による
設定ミスや
バラツキが発生しやすい"
end
subgraph IaCによる構築
E[構成コード(レシピ)] --> F{自動化ツール};
F --> G1[サーバーA'
(Web)
];
F --> G2[サーバーB'
(DB)
];
note over G1,G2 "常に同じ品質の
サーバーが迅速に完成"
end
(※ mermaid 構文による図解です)
手作業で1台ずつサーバーを構築すると、どうしても設定ミスや担当者による差異(属人性)が生まれます。一方、IaCでは、一度作成した「構成コード」という“レシピ”を使えば、誰が実行しても同じ品質のインフラを、迅速かつ自動で何度でも構築できます。これにより、構成の一貫性が保たれ、セキュリティレベルの維持・向上に大きく貢献します。
知っておきたいマルウェアの種類│支援士試験で問われるワーム・ランサムウェアの違い
脆弱性をなくし、パッチを迅速に適用しても、残念ながらセキュリティリスクをゼロにはできません。攻撃者は、人間の心理的な隙を突くフィッシングメールなど、様々な手口で不正なプログラム「マルウェア」を組織内に送り込もうとします。マルウェアと一言でいっても、その性質や目的は様々です。ここでは、情報処理安全確保支援士試験で頻出の代表的なマルウェアを、その特徴や違いに注目して解説します。
自己増殖で感染を広げる「ワーム」
ワームは、ネットワークを通じて自分自身のコピーを作成し、他のコンピュータへ次々と感染を広げていくマルウェアです。最大の特徴は、人間がファイルを開くなどの操作をしなくても、自律的に活動・増殖できる点にあります。USBメモリなどを介して感染を広げるタイプも存在します。
【身近な例え:感染力の強いウイルス】
ワームは、生物のウイルスが人から人へと伝染っていく様子によく似ています。一度ネットワーク(=コミュニティ)に侵入すると、脆弱性を悪用しながら、人間が介在しなくても勝手に周囲のPC(=人)に感染を広げていきます。
正体を偽り侵入する「トロイの木馬」
トロイの木馬は、一見すると無害なソフトウェア(例:便利なフリーソフト、ゲームなど)に見せかけてPCにインストールさせ、裏では攻撃者が意図した不正な活動を行うマルウェアです。ギリシャ神話の「トロイアの木馬」が名前の由来です。ワームと違い、自己増殖する能力は持ちません。
利用者がだまされて実行することで初めて活動を開始し、PC内部にバックドア(裏口)を作成して、攻撃者がいつでも侵入できる手引きをします。
データを人質に身代金を要求する「ランサムウェア」
ランサムウェアは、感染したPCやサーバー内のデータを勝手に暗号化し、読み取れない状態にしてしまうマルウェアです。「データを元に戻してほしければ身代金(Ransom)を支払え」と要求することから、この名前がついています。近年、企業にとって最も深刻な脅威の一つであり、支援士試験の午後問題でも、感染後のログ解析や対応を問うシナリオが頻繁に出題されます。
キーボード入力を盗み見る「キーロガー」と遠隔操作される「ボット」
その他、特定の目的に特化したマルウェアも存在します。
- キーロガー:キーボードの入力内容を記録し、攻撃者に送信するマルウェアです。IDやパスワード、クレジットカード情報といった機密情報を盗み出すことを目的としています。
- ボット:感染すると、攻撃者のC&Cサーバー(指令サーバー)からの命令に従う「ロボット(ボット)」になってしまうマルウェアです。多数のボットで構成されるネットワークは「ボットネット」と呼ばれ、DDoS攻撃や迷惑メールの一斉送信などに悪用されます。感染したPCの利用者は、自分のPCが攻撃に加担していることに気づかないケースがほとんどです。
マルウェア種類別 特徴まとめ表
それぞれの特徴を比較して、頭の中を整理しておきましょう。
| マルウェアの種類 | 例え | 最大の特徴 | 主な目的 |
|---|---|---|---|
| ワーム | 感染力の強いウイルス | ネットワーク経由で自己増殖する | 感染拡大、ネットワークの混乱 |
| トロイの木馬 | ギリシャ神話の木馬 | 無害なプログラムに偽装する(自己増殖しない) | バックドアの設置、情報窃取 |
| ランサムウェア | データの誘拐犯 | ファイルを暗号化して利用不能にする | 身代金(金銭)の要求 |
| キーロガー | キー入力の盗聴器 | キーボードの入力内容を記録・送信する | ID、パスワードなどの情報窃取 |
| ボット | 操り人形、ゾンビPC | 攻撃者からの遠隔操作に従う | DDoS攻撃、スパムメール送信 |
マルウェア対策の進化│アンチウイルスからEDR・SOC連携まで
様々な種類のマルウェアが存在することを学びましたが、それらの脅威からシステムをどう守ればよいのでしょうか。ここでは、伝統的なマルウェア対策とその限界、そして近年の主流となっている「侵入後」を前提とした対策アプローチ(EDR)までを解説します。
伝統的な対策:アンチウイルスソフトとその限界
最も基本的なマルウェア対策は、アンチウイルスソフトの導入です。その多くは、過去に見つかったマルウェアの特徴を記録した定義ファイル(シグネチャ)と照合し、一致したものを検知・駆除するブラックリスト方式を採用しています。
【身近な例え:指名手配書】
ブラックリスト方式は、マルウェアの「指名手配書」リストを持っているようなものです。PCに入ってこようとするプログラムを手配書と見比べ、リストに載っている犯人(既知のマルウェア)がいれば侵入を防ぎます。しかし、手配書に載っていない新人・変装した犯人(未知・亜種のマルウェア)は、そのまま素通りさせてしまう弱点があります。
この弱点を補うため、許可されたプログラム以外は一切実行を許可しないホワイトリスト方式や、怪しいプログラムを隔離環境で実際に動かしてみて挙動を確かめるサンドボックスといった技術も利用されます。これらの予防技術を組み合わせたエンドポイント保護製品は総称してEPP (Endpoint Protection Platform) と呼ばれます。
発想の転換:「侵入前提」で考えるEDR
巧妙化するサイバー攻撃の前では、EPPによる「侵入させない」対策(予防)だけではいずれ限界が訪れます。そこで生まれたのが、「侵入は完全に防ぎきれない」という前提に立ち、侵入後の迅速な検知と対応に重点を置くEDR (Endpoint Detection and Response) という考え方です。
EDRは、PCやサーバー(エンドポイント)内のあらゆる操作ログ(プロセスの実行、ファイルアクセス、通信ログなど)を常時監視・記録します。そして、その膨大なログの中から「マルウェアに感染した後に見られる特有の不審な振る舞い」を検知し、管理者に警告します。
【EPPとEDRの違い:城の警備に例えると】
EPP(アンチウイルス)は、城の門を固める屈強な「門番」です。既知の敵が来るのを水際で防ぎます。
EDRは、城内に設置された無数の「監視カメラと、その映像を24時間監視する警備員」です。門番をすり抜けて侵入した敵が、城内で不審な動き(例:宝物庫に近づく、機密文書を漁る)をした瞬間にそれを検知し、即座に駆けつけ対処します。
以下の表で両者の役割の違いを整理しましょう。
| 項目 | EPP(従来型アンチウイルス) | EDR |
|---|---|---|
| 目的 | マルウェアの侵入防止(Prevention) | 侵入後の検知と対応(Detection & Response) |
| 主な手法 | シグネチャ照合(ブラックリスト) | 振る舞い検知、ログ監視 |
| 得意な相手 | 既知のマルウェア | 未知のマルウェア、ゼロデイ攻撃 |
EDRとSOC:機械の目と人間の頭脳
EDRは膨大なアラートを生成するため、そのアラートが本当に危険なものなのか、どう対処すべきかを判断するには高度な専門知識が必要です。そこで登場するのがSOC (Security Operation Center) です。
SOCは、セキュリティ専門家が24時間365日体制でEDRなどのセキュリティ製品から上がってくるログやアラートを監視・分析し、インシденト対応を行う専門チームまたは拠点です。EDRが「機械の目」として不審な動きを捉え、SOCのアナリストが「人間の頭脳」として分析・判断・対処するという連携によって、高度なサイバー攻撃に対応するのです。
【図解:マルウェア対策ソリューションの連携イメージ】
subgraph エンドポイント
A[PC/サーバー]
end
subgraph セキュリティ対策
B(EPP: 門番) -- 侵入をブロック --> A;
C(EDR: 監視カメラ) -- 内部の動きを常時監視 --> A;
end
subgraph セキュリティ運用
C -- 膨大なログ/アラートを送信 --> D{EDRコンソール/SIEM};
D -- 専門家が分析・判断 --> E[SOCアナリスト];
E -- 脅威と判断し、対処を指示 --> A;
end
B -- 既知の脅威をブロック --> F([侵入阻止]);
C -- 未知の脅威の不審な振る舞いを検知 --> E;
(※ mermaid 構文による図解です)
情報処理安全確保支援士試験の午後問題では、このEDRのログを読み解き、インシデントの状況を把握する能力が問われます。
まとめ:知識を繋げて午後試験の応用力を養う
本記事では、情報処理安全確保支援士試験の合格に不可欠なセキュリティ運用の知識について、体系的に解説してきました。最後に、全体の流れを振り返り、重要ポイントを再確認しましょう。
- 脆弱性管理(すべての起点):システムの「弱点」を発見し、CVEで識別、CVSSで危険度を評価することから対策は始まります。
- パッチ・構成管理(守りの基本):発見された弱点をパッチで迅速に塞ぎ、そもそも守るべき対象を構成管理で正確に把握することが、攻撃を防ぐ基本です。
- マルウェア対策(多層防御):それでも侵入を試みるマルウェアに対し、EPP(門番)で予防しつつ、万一の侵入をEDR(監視カメラと警備員)で検知・対応する多層的な防御が求められます。
これらの知識は、それぞれが独立しているわけではなく、密接に連携しています。例えば、「パッチ未適用(パッチ管理)のサーバーの脆弱性を突かれ、ランサムウェア(マルウェア)に感染し、その不審な挙動をEDR(検知・対応)が検知した」というように、実際のインシデントはこれらの要素が連なって発生します。
情報処理安全確保支援士試験、特に午後問題では、まさにこのような実務に即したシナリオが出題されます。一問一答形式の知識を暗記するだけでなく、なぜそれが必要で、各対策がどう連携するのかという「繋がり」を意識することが、応用力を養う上で最も重要です。本記事で解説した基本概念を土台とし、過去問演習を通じて、実際のシナリオに当てはめる訓練を重ねていきましょう。