【SG試験】技術的対策の基本｜ネットワークとデータを守る「盾」の仕組み

情報セキュリティマネジメント試験（SG）において、攻撃から組織を守るための具体的な手段を学ぶのが「技術的対策」の分野です。

ITの専門家でなくても、どのような仕組みで不正アクセスを防ぎ、データの安全を保っているのかを知ることは、セキュリティ管理の要となります。今回は、試験で必ず問われるネットワークセキュリティと暗号化の基礎を、実務での活用シーンを交えて徹底的に解説します。

ネットワークの境界を守る「ファイアウォール」とDMZ
侵入を検知・防御する「IDS」「IPS」「WAF」
データの安全を支える「暗号化技術」
本人であることを証明する「デジタル署名」と「多要素認証」
【攻略のヒント】科目Bでのシナリオと「ゼロトラスト」
まとめ：技術的対策は「多層防御」が基本

ネットワークの境界を守る「ファイアウォール」とDMZ

外部ネットワーク（インターネット）と内部ネットワーク（社内LAN）の境界に設置され、不正な通信を遮断する仕組みがファイアウォール（防火壁）です。

パケットフィルタリングの仕組み

ファイアウォールの代表的な機能が「パケットフィルタリング」です。通信データ（パケット）のヘッダー情報（送信元・宛先のIPアドレス、ポート番号）を確認し、あらかじめ決めたルールに基づいて通過を許可するか拒否するかを判断します。

ここで試験に出やすいのが「デフォルト・デナイ（Default Deny）」という考え方です。「許可するもの以外はすべて拒否する」という設定にすることで、未知の脅威からの侵入リスクを最小限に抑えます。

DMZ（非武装地帯）の役割

外部に公開するWebサーバーやメールサーバーを配置するための、社内LANからもインターネットからも隔離された中間のエリアをDMZと呼びます。

なぜわざわざ分けるのでしょうか。それは、万が一外部にさらされているWebサーバーが乗っ取られたとしても、そこから直接社内LANへ侵入されるのを防ぐためです。この「エリアを分けて被害を食い止める」考え方は、物理的なセキュリティ（入退室管理など）とも共通する重要な概念です。

侵入を検知・防御する「IDS」「IPS」「WAF」

ファイアウォールは「誰がどこに通信するか」はチェックしますが、「通信の中身が攻撃コードを含んでいるか」までは見きれない場合があります。そこを補うのが以下のシステムです。

IDSとIPSの違い

IDS（侵入検知システム）： ネットワーク上の通信を監視し、パターンマッチングなどで攻撃を検知したら管理者に通知します。いわば「高性能な監視カメラ」です。
IPS（侵入防止システム）： 検知するだけでなく、その不正な通信をリアルタイムで遮断します。こちらは「自動で鍵をかける警備員」の役割を果たします。

WAF（Web Application Firewall）

近年、試験での重要度が急上昇しているのがWAFです。一般的なファイアウォールやIPSがネットワークレベルを監視するのに対し、WAFは「Webアプリ（HTTP通信）」の中身を詳しく見ます。第4回で学んだ「SQLインジェクション」や「クロスサイトスクリプティング（XSS）」といった、Webアプリ特有の攻撃を防ぐための専用の盾です。

データの安全を支える「暗号化技術」

万が一データが盗まれても、中身を読めなくするのが「暗号化」です。SG試験では、2種類の方式の違いと「使い分け」が頻出します。

共通鍵暗号方式

暗号化と復号（元に戻すこと）に同じ鍵を使います。

特徴： 処理速度が速いため、大容量のデータ送信に向いています。
課題： 「鍵を相手にどうやって安全に渡すか」という鍵配送問題があります。

公開鍵暗号方式

「公開鍵（誰にでも渡す）」と「秘密鍵（自分だけが持つ）」という、ペアになる異なる鍵を使います。

特徴： 送信者は相手の公開鍵で暗号化し、受信者は自分の秘密鍵で復号します。鍵を渡す際のリスクがないのが最大のメリットです。
課題： 計算が複雑で、処理速度が遅いという欠点があります。

ハイブリッド暗号方式

実務（SSL/TLS通信など）では、両者のいいとこ取りをしたハイブリッド暗号方式が使われます。「公開鍵暗号」を使って、その場限りの「共通鍵」を安全に送り、実際のデータ通信は高速な「共通鍵暗号」で行うという仕組みです。

本人であることを証明する「デジタル署名」と「多要素認証」

技術的対策は、データの保護だけでなく「なりすまし」の防止にも使われます。

デジタル署名とハッシュ関数

公開鍵暗号方式の仕組みを逆に使い（送信者の秘密鍵で暗号化する）、送信者が本人であることと、データが途中で改ざんされていないこと（完全性）を証明します。ここで使われるのがハッシュ関数です。データから「ハッシュ値（指紋のような短い固定値）」を生成し、一文字でも変われば値が劇的に変わる性質を利用して改ざんを検知します。

多要素認証（MFA）

知識（パスワード）、所持（スマホ・トークン）、生体（指紋・顔）のうち、2つ以上の要素を組み合わせて認証します。「パスワード（知識）」が漏洩しても、「自分のスマホ（所持）」に届く認証コードがなければログインできないため、現代のセキュリティ対策では必須となっています。

【攻略のヒント】科目Bでのシナリオと「ゼロトラスト」

科目Bの事例問題では、「社外からVPN経由でアクセスする際の設定」などがよく問われます。VPN（仮想専用線）は通信を暗号化して専用のトンネルを作りますが、最近ではさらに進んだ「ゼロトラスト」という考え方も問われ始めています。

「社内（内側）だから安全」という前提を捨て、どこからのアクセスであっても、常に「誰が」「どのデバイスで」「どのような権限で」操作しているかを検証し続ける考え方です。SG試験においても、「境界線での防御」だけでなく「継続的な認証」の重要性がシナリオに含まれることが増えています。

まとめ：技術的対策は「多層防御」が基本

どれか一つの対策をすれば完璧、ということはありません。

境界防御： ファイアウォール、DMZで侵入を制限する。
検知と防御： IDS/IPS、WAFで攻撃を遮断する。
データの保護： 暗号化、ハッシュ関数で機密性と完全性を保つ。
認証： 多要素認証でなりすましを防ぐ。

このように複数の「盾」を重ねる「多層防御」の考え方が、マネジメントにおいて最も重要です。技術はあくまで手段。それをどう組み合わせて、組織のリスクを最小化するかを考えるのがSG試験の醍醐味です。

次回の記事では、技術だけでは防げない「人の隙」を埋めるための「組織的・人的セキュリティ対策（ISMSなど）」について解説します。