十分な情報が集まりました。ブログ記事形式で出力します。
第13章「脅威・攻撃手法と対策」キーワード別 参考リンク集
中小企業診断士試験 経営情報システム 学習サポート
この記事の使い方 第13章のテキストを読んだあと、各キーワードをより深く理解したい方向けのリンク集です。節ごとに整理しているので、苦手な箇所だけ選んで参照してください。すべて無料で閲覧できる日本語コンテンツです。
13-1 マルウェアとサイバー攻撃
■ マルウェア4種(ウイルス・ワーム・トロイの木馬・ランサムウェア)
試験で最も混同されやすいのがこの4種の違いです。「自己複製するか」「宿主ファイルが必要か」という2軸で整理してください。
🌐 Webサイト
- 「マルウェアとウイルスの違いとは?種類・特徴・感染経路をわかりやすく解説」(SQAT.jp) URL: https://www.sqat.jp/tamatebako/31226/ → マルウェア全体の分類から、ウイルス・ワーム・トロイの木馬・ランサムウェアの違いまで、図解を交えてわかりやすく整理されています。試験直前の確認に最適。
- 「ワームとは?特徴や種類、セキュリティ対策を解説」(SKYSEA Client View) URL: https://www.skyseaclientview.net/media/article/2651/ → ウイルス・ワーム・トロイの木馬を「宿主の有無」「自己増殖」の観点で対比解説。ワームが単独動作できる点など、試験頻出ポイントが明確。
- 「ランサムウェアはマルウェアと何が違うのか?」(ESET サイバーセキュリティ情報局) URL: https://eset-info.canon-its.jp/malware_info/special/detail/191031.html → ランサムウェアがマルウェアの「一種」である関係性を整理。WannaCryの事例も解説されており、教科書的に参照できます。
- 「ランサムウェアとは?攻撃手法や感染状況を図解と動画で解説」(トレンドマイクロ) URL: https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/threat-solution/ransomware.html → ランサムウェアの攻撃フローを図解。感染デモ動画(音声なし)も掲載されており、攻撃の全体像を視覚的に把握できます。
■ フィッシング・スピアフィッシング・スミッシング
🌐 Webサイト
- 「フィッシング詐欺とは?基本的な仕組みと危険な理由」(認証パートナー コラム) URL: https://ninsho-partner.com/isms/column/isms_latest/(フィッシング詐欺の項) → フィッシングの基本的な仕組みを平易に解説。スピアフィッシングとの違いを理解するための入口として最適です。
■ SQLインジェクション・XSS・CSRF
この3つはWebアプリケーションの「三大脅威」として試験に頻出します。「誰が被害を受けるか(DB?ユーザーのブラウザ?)」で区別しましょう。
🌐 Webサイト
- 「CSRF / XSS / SQLインジェクションの仕組みを理解する」(Qiita) URL: https://qiita.com/0xv80/items/26c5124a6ee3fe5e0dbb → 3つの攻撃を実際のコード例を交えて横断的に解説。銀行の送金APIへのCSRF攻撃例など、具体的でわかりやすい。
- 「SQLインジェクションとXSSの違い|攻撃手法と対策の比較解説」(GUARDIAN) URL: https://guardian.jpn.com/security/web-api/sql-injection/column/xss-difference/ → 「SQLインジェクション=企業の金庫を破る攻撃」「XSS=個別の財布を狙う攻撃」という対比が秀逸。被害者が誰かという視点で整理されており、試験対策に直結する内容。
- 「クロスサイトスクリプティング(XSS)とは?リスクや対策を徹底解説」(NECフィールディング) URL: https://www.fielding.co.jp/service/security/measures/column/column-9/ → XSS・CSRF・SQLインジェクションの3種を比較しながら解説。違いの整理が丁寧で、混同しやすい部分が明確になります。
- 「SQL/コマンドインジェクション、XSS等を横串で理解する」(GMO Flatt Security Blog) URL: https://blog.flatt.tech/entry/how_to_deal_with_injection_vulnerabilities → セキュリティ専門企業による深掘り解説。インジェクション全般を横断的に理解したい方向け。
- 「Webアプリケーションの脆弱性の解説&体験ページ」(RangeForce) URL: https://taiken.rangeforce.jp/ → XSS・SQLインジェクション・CSRFを「実際に試せる」体験型サイト。動かして理解したい方にはこれが最強。
■ ゼロデイ攻撃・APT(標的型攻撃)
🌐 Webサイト
- 「ランサムウェア対策シリーズ YouTube動画を公開」(日本ビジネスシステムズ) URL: https://www.jbs.co.jp/news/2025/0606 → APTとサプライチェーン攻撃の関係をわかりやすく解説するYouTube動画シリーズへのリンクを掲載。1本あたり6〜7分の短時間動画。
13-2 ネットワークセキュリティ対策
■ ファイアウォール(パケットフィルタリング・ステートフル・プロキシ型)
🌐 Webサイト
- 「【入門】ファイアーウォールとは?機能や種類、仕組みをわかりやすく」(カゴヤのサーバー研究室) URL: https://www.kagoya.jp/howto/engineer/infosecurity/firewall/ → パケットフィルタリング・ステートフルインスペクション・プロキシ型の3方式を丁寧に比較。IDS/IPSやWAFとの違いも一緒に整理できます。
- 「FW、IPS、IDS、WAFとは?違いも詳しく解説」(クレスコ・デジタルテクノロジーズ) URL: https://biz.cresco-dt.co.jp/blog/c29 → ファイアウォールの「通信の中身を見ない」という限界を丁寧に説明。なぜIDS/IPSやWAFが別途必要かを理解するための好記事。
■ IDS・IPS の違いと配置
試験最頻出のひっかけ。「IDSは検知のみ・IPSは遮断あり」を絶対に混同しないために。
🌐 Webサイト
- 「IPSとファイアウォールの違いとは?WAF・IDSとの関係や併用の必要性を解説」(ITトレンド) URL: https://it-trend.jp/ids-ips/article/difference → IDS・IPS・FW・WAFの違いを比較表で一覧化。どの製品が何を防ぐかが一目でわかります。
- 「IDS・IPSとファイアウォールとWAFの違いをわかりやすく解説」(セカンドラボ) URL: https://2ndlabo.com/article/638/ → 「IDS/IPSは見張り役、FWは壁」という直感的なたとえで整理。DMZとの組み合わせでの配置図解も参考になります。
- 「IDSとは?IPS・WAFとの違いや種類・導入のメリットを解説」(CTC) URL: https://financial.ctc-g.co.jp/itinfo/ids%E3%81%A8%E3%81%AF → IDSの4分類(アノマリ型・シグネチャ型 × ネットワーク型・ホスト型)を詳しく解説。深掘りしたい方向け。
- 「IPS・IDSとは?UTMやファイアウォールとの違いも解説」(OA幹事) URL: https://oa-kanji.com/posts/ips → 「IPSはガードマン、IDSは監視カメラ」「IPSはスプリンクラー、IDSは火災報知器」という対比が非常にわかりやすい。
■ DMZ(非武装地帯)
🌐 Webサイト
- 「IDS・IPSとファイアウォールとWAFの違いをわかりやすく解説」(セカンドラボ) URL: https://2ndlabo.com/article/638/ → ファイアウォールとDMZの関係(外部FW→DMZ→内部FW→内部LAN)の配置図が充実。DMZに何を置くべきかが明確になります。
■ VPN(IPsec・SSL-VPN・L2TP)
🌐 Webサイト
- 「IPSとは?ファイアウォールとの違い・仕組みをわかりやすく解説」(ITトレンド) URL: https://it-trend.jp/ids-ips/article/257-199 → VPN関連の概念を含む、ネットワークセキュリティ全体の整理に役立つ記事です。
■ WAF(Webアプリケーションファイアウォール)
🌐 Webサイト
- 「WAF、IPS/IDS、F/W(ファイアウォール)との違い」(DigiCert) URL: https://www.digicert.com/jp/waf/waf-ips-ids → WAF・IPS/IDS・FWの3者を保護対象レイヤーの違いで明快に整理。「なぜWAFだけでは不十分か」も理解できます。
- 「IDS・IPSとは?ファイアウォールやWAFとの違いを解説」(インターコム) URL: https://www.intercom.co.jp/malion/column/ids-ips/ → WAFがHTTPリクエストの「中身」まで検査する点を具体的に解説。通常FWとの違いが試験問題レベルで理解できます。
13-3 セキュリティ管理と法規
■ 情報セキュリティポリシー・ISMS(ISO 27001)
🌐 Webサイト(公式・権威あるソース)
- 「ISMSとは?」(情報マネジメントシステム認定センター ISMS-AC / 公式) URL: https://isms.jp/isms/ → ISMS認証制度の公式サイト。ISMSの定義・要求事項・PDCAサイクルを権威ある一次情報として確認できます。試験対策の基準となる定義を押さえたい方に。
- 「ISMS(ISO27001)とは?あいまいになりがちな用語も整理して解説」(認証パートナー) URL: https://ninsho-partner.com/isms/column/isms/ → ISMSとISO27001の関係、機密性・完全性・可用性の3要素をわかりやすく解説。PDCAサイクルとの対応関係も整理されています。
- 「ISO27001とは?ISMSとの違いや要求事項の詳細について解説します」(Assured) URL: https://assured.jp/column/knowledge-iso27001 → ISO27001の組織的・人的・物理的・技術的管理策の4分類を詳しく解説。要求事項の体系を把握したい方向け。
- 「ISO27001(ISMS)とプライバシーマークの違い」(GCERTI-JAPAN) URL: https://gcerti.jp/column/kojinjouhou-iso27001-privacymark-chigai/ → ISMSとプライバシーマークを対比する問題は試験でも出題例あり。保護対象範囲・適用範囲の違いを明快に整理しています。
■ 個人情報保護法・GDPR
🌐 Webサイト(公式・権威あるソース)
- 「個人情報保護委員会 公式サイト」(個人情報保護委員会) URL: https://www.ppc.go.jp/ → 個人情報保護法の条文・ガイドライン・Q&Aが全て掲載されている一次情報。「要配慮個人情報」「仮名加工情報」「漏洩時の報告義務」(2022年改正)の定義確認に。
- 「GDPR(EU一般データ保護規則)とISO27001の関係」(ビューローベリタスジャパン) URL: https://www.bureauveritas.jp/certification/standard/C005 → GDPRとISO27001の関係・違いを対比で解説。「GDPRは日本企業にも適用される」という点の理由も丁寧に説明されています。
- 「情報セキュリティ:ISO27001取得がGDPRのためにできること」(ビューローベリタス) URL: https://www.bureauveritas.jp/certification/standard/C005 → GDPRとISMSの項目対比(マッピング)を掲載。GDPR固有の「忘れられる権利」「データポータビリティ」という試験出題ポイントも確認できます。
■ 不正アクセス禁止法・電子署名法・サイバーセキュリティ基本法・著作権法
🌐 Webサイト(公式・一次情報)
- 「不正アクセス行為の禁止等に関する法律」(e-Gov 法令検索) URL: https://laws.e-gov.go.jp/law/411AC0000000128 → 条文の一次情報。「不正取得・保管」も禁止されている点(試験頻出)を条文で確認できます。
- 「電子署名及び認証業務に関する法律」(e-Gov 法令検索) URL: https://laws.e-gov.go.jp/law/412AC0000000102 → 電子署名法の条文。「電磁的記録への電子署名は手書き署名と同等効力」という規定を一次情報で確認できます。
- 「サイバーセキュリティ基本法」(e-Gov 法令検索) URL: https://laws.e-gov.go.jp/law/426AC0000000104 → 2015年施行。NISCの設置根拠となる法律。試験では施行年と所管を問われることがあります。
- 「著作権法(プログラムの著作物)」(文化庁) URL: https://www.bunka.go.jp/seisaku/chosakuken/ → 「プログラムのコードは著作物、アルゴリズムは非保護」という試験頻出ポイントの根拠を公式情報で確認できます。
■ CSIRT・インシデント対応・フォレンジクス
🌐 Webサイト(公式・権威あるソース)
- 「CSIRT(シーサート)とは?構築と運用のポイント」(JPCERT/CC 公式) URL: https://www.jpcert.or.jp/csirt_material/ → 日本のCSIRT活動を支援する公式機関による解説資料。CSIRTの役割・種類・構築手順が体系的にまとまっています。
- 「インシデントハンドリングマニュアル」(JPCERT/CC 公式) URL: https://www.jpcert.or.jp/research/2020/IR_manual_20200901.pdf → 検知→封じ込め→根絶→復旧→事後分析の5ステップが詳細に解説されています。インシデント対応の標準手順として参照価値が高い。
- 「デジタル・フォレンジック研究会」(一般社団法人 DFRWS Japan) URL: https://digitalforensic.jp/ → フォレンジクスの概念・手法・証拠保全ルールに関する情報が集約されています。「証拠能力」「チェーン・オブ・カストディ」を深掘りしたい方向け。
おすすめ学習サイト(横断的に使えるもの)
| サイト名 | URL | 特徴 |
|---|---|---|
| IPA(情報処理推進機構)情報セキュリティ | https://www.ipa.go.jp/security/ | 試験実施機関による公式情報。脅威・攻撃・対策の最新情報が揃う |
| JPCERT/CC | https://www.jpcert.or.jp/ | 国内のサイバーセキュリティ対応機関。インシデント事例・注意喚起が豊富 |
| 総務省 国民のためのサイバーセキュリティサイト | https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/ | わかりやすい図解でセキュリティの基礎を学べる |
| 中小企業向けサイバーセキュリティ対策の極意 | https://www.ipa.go.jp/security/sme/ | IPA発行。中小企業診断士の支援現場で直接使えるコンテンツ |
| Qiita(セキュリティタグ) | https://qiita.com/tags/security | エンジニア向け詳細解説。SQLインジェクション・XSS等の技術的理解を深めたい方に |
📌 学習のヒント リンクを全部読む必要はありません。テキストで「なんとなくわかったけど自信がない」と感じたキーワードだけを選んで参照してください。特にIDS vs IPS、マルウェア4種の区別、SQLインジェクション vs XSS vs CSRFの3点は、試験で繰り返し問われるため、1〜2サイト読んで確実に定着させることをおすすめします。
\ 最新情報をチェック /
