[{"data":1,"prerenderedAt":127},["ShallowReactive",2],{"unit:shindanshi\u002Fjoho\u002Fsecurity\u002Fkyoi":3},{"unit":4,"drills":107,"related":113,"topicUnits":118},{"id":5,"exam":6,"subject":7,"subjectName":8,"topic":9,"title":10,"tier":11,"hindo":12,"kijunbi":13,"readingMinutes":14,"sources":15,"factcheck":20,"blocks":24,"pairs":38,"drills":60,"links":104},"shindanshi\u002Fjoho\u002Fsecurity\u002Fkyoi","shindanshi","joho","経営情報システム","セキュリティ","攻撃と対策 — 手口には、それぞれ決まった盾があります",1,"A","2026-05-01",5,[16],{"kind":17,"label":18,"url":19},"kokai","日本中小企業診断士協会連合会「令和8年度第1次試験案内」（代表的攻撃手法と対策の対応は情報セキュリティの標準知識。URLは試験科目・制度の確認用）","https:\u002F\u002Fwww.jf-cmca.jp\u002Fattach\u002Ftest\u002Fr08\u002Fr08_1ji_annai.pdf",{"status":21,"date":22,"scope":23},"passed","2026-07-16","独立監査（opus・2026-07-16）: 共通鍵\u002F公開鍵\u002Fハイブリッド暗号の構造とn(n−1)\u002F2・電子署名の3歩（ハッシュ→送信者秘密鍵で署名→送信者公開鍵で検証）・PKI（CA\u002FX.509\u002FCRL\u002FOCSP）・TLS動作とTLS1.0\u002F1.1廃止（RFC 8996・2021年3月で独立確認）・認証3要素とMFA（異系統2つ以上）・SSO\u002Fフェデレーション標準・ウェルノウンポート（80\u002F443\u002F53\u002F25\u002F21）・攻撃と対策10対の全数照合——全点正確。ドリル18\u002F18正確（calcの45個・20人190個・公開鍵20個の検算含む）・比喩の承認継承忠実（印鑑証明アナロジーは電子署名の標準的説明慣行＝reader-lens適合と判定）・PPAP批判のマッピング妥当・文字混入ゼロ・リンク9件全実在・hindo全一致（★★★→A×4）。S\u002FA\u002FB級ゼロ。C級2点（hookの改ざん検知の先取り→是正済み／OAuthは厳密には認可の枠組み→素材・試験慣行どおり並記を維持）。合格可能性約93%。PASS。",{"hook":25,"question":26,"intuition":27,"rigor":30,"pitfall":33,"jitsumu":36,"payoff":37},"\n        \u003Cp>「銀行を名乗るSMSが来て、リンク先でパスワードを入れてしまった」——これが\u003Cb>フィッシング\u003C\u002Fb>（偽サイトへ誘導する詐欺）。「ECサイトの検索窓に変な文字列を入れたら、会員情報が漏れた」——これが\u003Cb>SQLインジェクション\u003C\u002Fb>（入力欄にSQL文を混ぜてデータベースを操る攻撃）です。\u003C\u002Fp>\n        \u003Cp>試験が問うのは手口の詳細ではなく、\u003Cb>手口と盾の対応表\u003C\u002Fb>——「この攻撃には、この対策」の組を崩さずに持ち帰れるかです。\u003C\u002Fp>","代表的な攻撃手法には、それぞれどんな対策が対応しているのでしょうか。",{"heading":28,"html":29},"「入口で騙す・入力で壊す・量で潰す」の3系統で見取り図を作ります","\n        \u003Cp>攻撃は狙い所で整理できます。\u003Cb>人の入口を騙す\u003C\u002Fb>系——フィッシング（対策＝\u003Cb>多要素認証＋利用者教育\u003C\u002Fb>）・ブルートフォース＝パスワード総当たり（\u003Cb>アカウントロック＋MFA\u003C\u002Fb>）。\u003Cb>プログラムの入力を壊す\u003C\u002Fb>系——SQLインジェクション（\u003Cb>プリペアドステートメント・入力検証\u003C\u002Fb>）・XSS＝掲示板等に悪意あるスクリプトを仕込む（\u003Cb>入力・出力のサニタイズ\u003C\u002Fb>）・CSRF＝ログイン中の利用者に意図しない操作をさせる（\u003Cb>CSRFトークン\u003C\u002Fb>）。\u003Cb>量や仕組みで潰す\u003C\u002Fb>系——DoS\u002FDDoS＝大量アクセスでサーバーを止める（\u003Cb>CDN・レートリミット\u003C\u002Fb>）です。\u003C\u002Fp>\n        \u003Cdiv class=\"chorus\">\u003Cspan class=\"chorus-k\">攻防の合言葉\u003C\u002Fspan>\u003Cspan class=\"chorus-t\">\u003Cb>入口で騙す・入力で壊す・量で潰す\u003C\u002Fb>——SQLインジェクションには\u003Cb>プリペアドステートメント\u003C\u002Fb>、XSSには\u003Cb>サニタイズ\u003C\u002Fb>\u003C\u002Fspan>\u003C\u002Fdiv>",{"heading":31,"html":32},"残りの対応も対で固定します——盾の名前まで正確に","\n        \u003Cp>続きの対応表です。\u003Cb>中間者攻撃\u003C\u002Fb>（通信に割り込む）＝\u003Cb>TLS・証明書ピンニング\u003C\u002Fb>。\u003Cb>ランサムウェア\u003C\u002Fb>（データを暗号化して身代金要求）＝\u003Cb>バックアップ＋ソフトウェアの最新化\u003C\u002Fb>。\u003Cb>ゼロデイ攻撃\u003C\u002Fb>（修正パッチ公開前の脆弱性を突く）＝\u003Cb>WAF・ふるまい検知\u003C\u002Fb>（パッチが存在しない以上、入口と挙動で守る）。\u003Cb>APT\u003C\u002Fb>（特定組織を狙う持続的な標的型攻撃）＝\u003Cb>SIEM・SOC\u003C\u002Fb>（ログの相関分析と監視体制）です。\u003C\u002Fp>\n        \u003Cp>ポイントは、\u003Cb>盾が「なぜその攻撃に効くのか」\u003C\u002Fb>——ランサムウェアにバックアップが効くのは「暗号化されても戻せる」から、ゼロデイにWAFなのは「パッチがまだ無い」から。理由ごと覚えると入れ替え肢に強くなります。\u003C\u002Fp>",{"heading":34,"html":35},"攻撃と対策の対応の入れ替えが、ほぼ唯一の出題手口です","\n        \u003Cp>定番の誤り肢は\u003Cb>盾の付け替え\u003C\u002Fb>——「SQLインジェクション対策としてサニタイズのみを行う」「XSS対策としてプリペアドステートメントを用いる」のような\u003Cb>隣の盾との交換\u003C\u002Fb>です（正＝SQLインジェクション→\u003Cb>プリペアドステートメント\u003C\u002Fb>、XSS→\u003Cb>サニタイズ\u003C\u002Fb>。どちらも入力の無害化という点は似ているからこそ的にされます）。\u003C\u002Fp>\n        \u003Cp>\u003Cb>「ランサムウェア対策は身代金の支払い準備」\u003C\u002Fb>のような論外肢も出ます——正解は\u003Cb>バックアップ\u003C\u002Fb>。\u003Cb>CSRFとXSSの混同\u003C\u002Fb>も的——スクリプトを「仕込む」のがXSS、ログイン済み利用者に「操作させる」のがCSRFです。\u003C\u002Fp>","\n        \u003Cp>「うちは狙われるほどの会社じゃない」が顧問先の定番の誤解です——攻撃者は大企業の\u003Cb>取引先（サプライチェーン）の弱い入口\u003C\u002Fb>から侵入するため、中小企業こそ踏み台として狙われます。診断士が置いていける最初の一枚は、この対応表の縮約版——①MFA有効化（入口）②バックアップの分離保管（ランサム）③ソフトの自動更新（脆弱性）。この3つだけで主要な手口の大半に盾が立ちます。\u003C\u002Fp>","\n        冒頭の問いに答えます。フィッシング→MFA＋教育、ブルートフォース→アカウントロック、SQLインジェクション→プリペアドステートメント、XSS→サニタイズ、CSRF→トークン、DDoS→CDN・レートリミット、中間者→TLS、ランサムウェア→バックアップ、ゼロデイ→WAF・ふるまい検知、APT→SIEM・SOC——手口と盾の対を崩さないことがこの論点の全てです。これでセキュリティの4枚が揃いました。次のWaveは、データを整える側——データベースと開発の作法へ。",[39,50],{"label":40,"left":41,"right":45,"hinge":49},"SQLインジェクションとXSS",{"badge":42,"name":43,"note":44},"SQLインジェクション","データベースを狙う","入力欄にSQL文を混入——盾はプリペアドステートメント",{"badge":46,"name":47,"note":48},"XSS","利用者のブラウザを狙う","ページにスクリプトを仕込む——盾はサニタイズ","狙い先がDBか閲覧者か。似た者どうしなので盾の交換が定番の的です。",{"label":51,"left":52,"right":55,"hinge":59},"XSSとCSRF",{"badge":46,"name":53,"note":54},"スクリプトを仕込む","閲覧しただけで悪意あるコードが動く",{"badge":56,"name":57,"note":58},"CSRF","操作させられる","ログイン中の利用者に意図しないリクエストを送らせる——盾はトークン","「仕込む」か「させられる」か。カタカナ略語の混同を狙われます。",[61,72,85,92,99],{"type":62,"id":63,"prompt":64,"options":65,"correct":70,"explanation":71},"quiz","joho-kyoi-q1","攻撃手法と対策の組み合わせとして、最も適切なものはどれか。",[66,67,68,69],"SQLインジェクション——プリペアドステートメントの使用と入力値の検証","ランサムウェア——身代金の支払い資金をあらかじめ確保しておく","フィッシング——CDNの導入とレートリミットの設定","ゼロデイ攻撃——公開済みの修正パッチを速やかに適用する",0,"\u003Cstrong>正解：ア\u003C\u002Fstrong>　SQL文の混入を無害化するプリペアドステートメントが正対の盾です。\u003Cbr>イ＝ランサム対策はバックアップ＋最新化（支払い準備は対策ではない）、ウ＝CDN・レートリミットはDDoSの盾、エ＝ゼロデイは「パッチ公開前」の攻撃なので適用すべきパッチがまだ無い（盾はWAF・ふるまい検知）。盾の付け替えが手口です。",{"type":73,"id":74,"prompt":75,"ask":76,"choices":77,"correctKey":79,"explanation":84},"judge","joho-kyoi-j1","「XSS（クロスサイトスクリプティング）対策としては、入力・出力のサニタイズ（無害化）が有効である」との記述がある。","この記述は適切か。",[78,81],{"key":79,"label":80},"ok","適切",{"key":82,"label":83},"ng","不適切","\u003Cb>適切\u003C\u002Fb>です。仕込まれたスクリプトを「ただの文字列」に無害化するのがサニタイズ。隣の盾（SQLインジェクション→プリペアドステートメント）との交換が定番の的です。",{"type":73,"id":86,"prompt":87,"ask":76,"choices":88,"correctKey":82,"explanation":91},"joho-kyoi-j2","「CSRFは、Webページに悪意あるスクリプトを埋め込み、閲覧した利用者のブラウザ上で実行させる攻撃である」との記述がある。",[89,90],{"key":79,"label":80},{"key":82,"label":83},"\u003Cb>不適切\u003C\u002Fb>です。スクリプトを仕込んで実行させるのは\u003Cb>XSS\u003C\u002Fb>。CSRFは\u003Cb>ログイン中の利用者に意図しないリクエストを送らせる\u003C\u002Fb>攻撃で、盾はCSRFトークンです。「仕込む」か「させられる」かで切り分けます。",{"type":73,"id":93,"prompt":94,"ask":76,"choices":95,"correctKey":79,"explanation":98},"joho-kyoi-j3","「標的型の持続的攻撃（APT）への対策としては、SIEMによるログの相関分析やSOCによる監視体制の整備が挙げられる」との記述がある。",[96,97],{"key":79,"label":80},{"key":82,"label":83},"\u003Cb>適切\u003C\u002Fb>です。長期間潜伏する標的型攻撃は単発の盾では防ぎきれず、ログの相関分析（SIEM）と監視組織（SOC）で「挙動の異常」を捕まえます。",{"type":100,"id":101,"prompt":102,"answer":103},"blank","joho-kyoi-b1","ランサムウェアはデータを暗号化して身代金を要求する攻撃であり、対策の中心は〔?〕とソフトウェアの最新化である。","バックアップ（分離保管——暗号化されても戻せる状態を作る）",[105,106],"shindanshi\u002Fjoho\u002Fsecurity\u002Ftls-ninsho","shindanshi\u002Fjoho\u002Fdodai\u002Fosi-tcpip",[108,109,110,111,112],{"unitId":5,"unitTitle":10,"topic":9,"item":61},{"unitId":5,"unitTitle":10,"topic":9,"item":72},{"unitId":5,"unitTitle":10,"topic":9,"item":85},{"unitId":5,"unitTitle":10,"topic":9,"item":92},{"unitId":5,"unitTitle":10,"topic":9,"item":99},[114,116],{"id":105,"title":115},"HTTPSと認証 — 錠前マークの裏側と、3つの本人確認",{"id":106,"title":117},"OSI 7層 — メッセージは7つの仕事を順に通って届きます",[119,122,125,126],{"id":120,"title":121},"shindanshi\u002Fjoho\u002Fsecurity\u002Fangou","暗号の使い分け — 同じ鍵で速く、南京錠で安全に",{"id":123,"title":124},"shindanshi\u002Fjoho\u002Fsecurity\u002Fshomei-pki","電子署名とPKI — 秘密鍵で署名し、公開鍵で確かめる",{"id":105,"title":115},{"id":5,"title":10},1784183227531]