AI時代のセキュリティ専門家必見:情報処理安全確保支援士試験の重要キーワード完全解説2025

近年のAI技術の急速な発展と、それに伴うサイバーセキュリティ脅威の高度化により、情報処理安全確保支援士(登録セキスペ)の価値が急上昇しています。本記事では、2025年の試験合格に向けて押さえておくべき重要キーワードを、最新のセキュリティトレンドを踏まえて深掘り解説します。単なる用語の暗記ではなく、セキュリティ専門家として実務でも活用できる知識の獲得を目指しましょう。

内容

  1. 最新の検知・対応技術:EDR/XDR
  2. セキュリティ自動化の要:SOAR
  3. サプライチェーンセキュリティの基盤:SBOM
  4. 取引先リスク管理の新標準:SCRM
  5. セキュアな開発手法:DevSecOps
  6. 設計段階からのセキュリティ:シフトレフト
  7. 境界防御の終焉:ゼロトラストネットワークアクセス
  8. 攻撃者視点の防御策:MITRE ATT&CK
  9. 試験対策のまとめと戦略

1. 最新の検知・対応技術:EDR/XDR

EDR(Endpoint Detection and Response)の進化

EDRは単なるアンチウイルスソフトの進化形ではなく、エンドポイント(端末)上での不審な振る舞いを検知・分析・対応するための包括的なセキュリティソリューションです。従来のシグネチャベース(既知のパターン検出)のアプローチとは異なり、EDRは異常な動作パターンを機械学習で検出します。

実装の3つのレベル

  1. 基本レベル:不審な動きの検知と警告
  2. 中間レベル:自動対応機能(プロセス停止、ネットワーク隔離など)
  3. 高度レベル:AIを活用した予測的防御と自動修復

最新のEDRでは、ファイルレス攻撃(メモリ上でのみ動作し、ディスクに痕跡を残さない攻撃)にも対応可能で、NGAV(次世代アンチウイルス)機能を統合したものが主流になっています。2024年から2025年にかけて、EDRベンダー各社は生成AIを活用した「コンテキスト理解型EDR」の開発競争を展開しており、単なる異常検知ではなく、その背景や意図までを分析する方向に進化しています。

XDR(Extended Detection and Response)のビジネス価値

XDRはEDRの概念を拡張し、エンドポイントに限らず、ネットワーク、クラウド、メール、IDaaS(Identity as a Service)など複数のセキュリティレイヤーからのデータを統合分析します。

XDRの主要コンポーネント

  1. データ収集層:多様なセキュリティ製品からのテレメトリデータを収集
  2. 分析エンジン:機械学習とAIを駆使した相関分析を実行
  3. 対応オーケストレーション:統合されたセキュリティ対応を自動化

XDRの最大の価値は「検知の盲点をなくす」点にあります。例えば、単体では疑わしくない複数のイベント(エンドポイントでの小さな設定変更、クラウドストレージへの小規模なデータ移動、VPN接続の増加など)が組み合わさると、データ漏洩の予兆として検出できるようになります。

2025年のXDR市場では、オープンXDRとネイティブXDRの2つのアプローチが競合しています。オープンXDRは多様なベンダーのセキュリティ製品と連携できる柔軟性がある一方、ネイティブXDRは単一ベンダーの製品群による統合性の高さを特徴としています。試験では両方のメリット・デメリットを理解しておくことが重要です。

2. セキュリティ自動化の要:SOAR

人材不足時代のセキュリティ運用効率化

SOAR(Security Orchestration, Automation and Response)は、セキュリティ運用の効率化と自動化を実現するためのプラットフォームです。セキュリティ人材の慢性的な不足と、日々増加するアラート数への対応が難しい現状を背景に、急速に採用が進んでいます。

SOARの3つの主要機能

  1. オーケストレーション:複数のセキュリティツールを連携させる
  2. 自動化:反復的なセキュリティタスクを自動的に実行する
  3. レスポンス:インシデントへの対応を効率化・標準化する

SOARは単独で機能するわけではなく、通常はSIEM(Security Information and Event Management)と連携して動作します。SIEMがログを収集・分析してアラートを生成し、SOARがそのアラートに基づいて自動対応を実行するという流れです。

プレイブックとインテリジェンスの融合

SOARの中核となるのは「プレイブック」と呼ばれる対応手順の定義です。これは「IF-THENルール」の集合体で、例えば「不審なログインが検知されたら、そのアカウントを一時停止し、ユーザーに確認メールを送信し、セキュリティチームに通知する」といった一連の処理を定義します。

2025年の最新トレンドとしては、脅威インテリジェンスとSOARの統合が進んでいます。例えば、ある攻撃がAPT29(ロシアの国家支援ハッカーグループ)の特徴と一致した場合、そのグループの典型的な攻撃パターンに基づいた特別なプレイブックが自動的に起動するような仕組みです。

実務での活用事例

  1. フィッシングメール対応:ユーザーから報告されたフィッシングメールの自動分析、同様のメールの全社からの削除、送信元IPのブロックなど
  2. 脆弱性管理:新たな脆弱性情報をもとに、影響を受けるシステムの自動特定、パッチ適用の優先順位付け、修正状況の追跡
  3. ランサムウェア対応:初期検知時の感染拡大防止のための自動隔離、フォレンジック情報の収集、復旧プロセスの開始

試験では、SOARの実装における課題(プレイブックの正確な定義、誤検知への対応、複雑なケースでの人間の判断の必要性など)も理解しておくことが求められます。

3. サプライチェーンセキュリティの基盤:SBOM

ソフトウェアサプライチェーンの可視化

SBOM(Software Bill of Materials)は、ソフトウェアを構成するすべてのコンポーネント(ライブラリ、フレームワーク、サードパーティモジュールなど)のリストを体系的に管理するための仕組みです。食品の原材料表示のようなもので、そのソフトウェアが「何で作られているか」を透明化します。

2021年のバイデン大統領による行政命令以降、特に米国政府機関向けのソフトウェア開発ではSBOMの提供が義務化されつつあり、日本でも重要インフラや金融機関を中心に採用が広がっています。

SBOMの標準フォーマット

  1. SPDX(Software Package Data Exchange):Linux Foundationが策定
  2. CycloneDX:OWASPが主導する軽量なフォーマット
  3. SWID(Software Identification Tags):ISO/IEC 19770-2で標準化

Log4jショックとSBOMの重要性

2021年末に発覚したLog4jの脆弱性(Log4Shell)は、SBOMの重要性を世界に知らしめる契機となりました。この深刻な脆弱性が発見された際、多くの組織は自社システムのどこにLog4jが使われているのか把握できておらず、対応に大きな混乱が生じました。

SBOMがあれば、脆弱性が報告された直後に「この脆弱なコンポーネントを使用しているすべてのシステム」を即座に特定でき、迅速な対応が可能になります。

実践的SBOM導入ステップ

  1. 収集:開発環境での自動生成ツールの導入(Dependency-Track、Syftなど)
  2. 検証:生成されたSBOMの完全性・正確性の確認
  3. 保管:バージョン管理を含めた一元的な保管体制の構築
  4. 活用:脆弱性管理、コンプライアンス、サプライチェーンリスク評価での利用
  5. 更新:システム変更時のSBOM更新プロセスの確立

2025年の最新トレンドとして、「動的SBOM」と呼ばれる新しいアプローチが注目されています。これは実行時環境で実際に使用されているコンポーネントを継続的に監視・記録する手法で、コンテナ環境やサーバレスアプリケーションのような動的に変化するシステムでのセキュリティ管理に特に有効です。

4. 取引先リスク管理の新標準:SCRM

サプライチェーンリスク管理の重要性

SCRM(Supply Chain Risk Management)は、自社だけでなく取引先や外部サービスプロバイダーを含めたサプライチェーン全体のセキュリティリスクを管理する体系的なアプローチです。2020年のSolarWinds攻撃、2021年のKaseyaインシデントなど、サプライチェーンを経由した大規模攻撃の増加により、その重要性が高まっています。

SCRMの4つの柱

  1. リスク特定:サプライチェーン全体におけるリスク要因の洗い出し
  2. リスク評価:各リスクの影響度と発生可能性の分析
  3. リスク対応:制御措置の実装と残存リスクの管理
  4. リスク監視:継続的なモニタリングと対応の最適化

一般的なセキュリティリスク管理との大きな違いは、自社の直接的な制御範囲外のリスクを扱う点にあります。このため、契約管理、ベンダー評価、デューデリジェンスなどの「間接的な制御手段」が重要になります。

最新のSCRMフレームワークと評価指標

2025年においては、SCRMはもはや「あれば良い」取り組みではなく、多くの業界で「必須」の要件になりつつあります。特に金融業界やヘルスケア業界、防衛産業などの規制の厳しい分野では、SCRM体制の有無が取引の前提条件になるケースも増えています。

主要SCRMフレームワーク

  1. NIST SP 800-161:米国標準技術研究所による政府機関向けガイダンス
  2. ISO 28000:サプライチェーンセキュリティマネジメントシステムの国際標準
  3. C-SCRM(Cyber Supply Chain Risk Management):NISCが策定した日本政府機関向けガイドライン

最新の評価手法として、「サプライチェーンセキュリティスコア」の概念が普及し始めています。これは取引先の成熟度を数値化したもので、以下のような要素で構成されます:

  • セキュリティ認証(ISO 27001、ISMSなど)の取得状況
  • インシデント対応体制の整備状況
  • 脆弱性管理プログラムの実施状況
  • 従業員のセキュリティ意識向上プログラムの実施状況
  • サードパーティリスク管理プログラムの有無(多層化サプライチェーンへの対応)

試験では、SCRMの実装における現実的な課題(リソース制約、小規模取引先への対応、グローバルサプライチェーンの管理など)についても理解しておく必要があります。

5. セキュアな開発手法:DevSecOps

セキュリティと開発の融合

DevSecOps(Development, Security, Operations)は、ソフトウェア開発のライフサイクル全体にセキュリティを組み込むアプローチです。従来のウォーターフォール型開発では、セキュリティテストは開発後半や運用直前に実施されることが多く、問題が見つかった場合の修正コストが高いという課題がありました。DevSecOpsでは、計画段階から運用まで、各フェーズにセキュリティを統合します。

DevSecOpsの実装のための5つの基本原則

  1. 自動化の最大化:セキュリティテストの自動化により、人的ミスを減らし効率を向上
  2. 共有責任モデル:セキュリティは専門チームだけでなく、全員の責任であるという文化の醸成
  3. 継続的なフィードバック:セキュリティ問題の早期発見と迅速な修正のためのフィードバックループの確立
  4. 可視性の確保:セキュリティ状況の透明性を高め、全ステークホルダーが現状を把握できる環境作り
  5. コンプライアンスの自動化:規制要件への準拠状況を継続的に評価・文書化

CI/CDパイプラインへのセキュリティ統合

CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインへのセキュリティ統合は、DevSecOpsの核心部分です。2025年の最新実装では、以下のようなセキュリティ検査が各段階に組み込まれています:

コード段階

  • SAST(Static Application Security Testing):ソースコードの静的解析
  • SCA(Software Composition Analysis):オープンソースコンポーネントの脆弱性チェック
  • シークレットスキャン:ソースコード内のハードコードされた認証情報の検出

ビルド段階

  • SBOM生成:ソフトウェア部品表の自動生成
  • コンテナスキャン:コンテナイメージの脆弱性検査
  • コンプライアンスチェック:社内セキュリティポリシーへの準拠確認

テスト段階

  • DAST(Dynamic Application Security Testing):実行環境での動的セキュリティテスト
  • IAST(Interactive Application Security Testing):実行時の内部からの分析
  • ペネトレーションテスト:自動化された侵入テスト

デプロイ段階

  • インフラストラクチャアズコード検証:IaCテンプレートのセキュリティレビュー
  • 設定チェック:セキュリティ設定の検証
  • コンプライアンスゲート:基準を満たさない場合のデプロイ停止

運用段階

  • RASP(Runtime Application Self-Protection):実行時の自己防御
  • 脆弱性スキャン:定期的な脆弱性チェック
  • 異常検知:AI/MLを活用した異常行動の検出

この一連のプロセスを「セキュリティパイプライン」と呼び、2025年のDevSecOps成熟組織では、これらの多くが自動化されています。試験では、この各段階で使用される具体的なツールやテクノロジーについても理解しておくことが求められます。

6. 設計段階からのセキュリティ:シフトレフト

早期セキュリティ対策の経済的合理性

シフトレフトセキュリティは、セキュリティ対策を開発ライフサイクルの早い段階(「左側」)に移動させるアプローチです。この考え方の根底には、「欠陥の修正コストは発見が遅れるほど指数関数的に増加する」という経済的合理性があります。

実際のデータによれば、設計段階で発見されたセキュリティ問題の修正コストは、本番環境で発見された場合と比較して最大100分の1という調査結果も存在します。シフトレフトは単なる技術的アプローチではなく、経営戦略としても重要な概念です。

シフトレフトの段階的実装

  1. 要件定義段階:セキュリティ要件の明確化と優先順位付け
  2. 設計段階:脅威モデリング、セキュアアーキテクチャレビュー
  3. 実装段階:セキュアコーディング、コードレビュー
  4. テスト段階:自動化されたセキュリティテストの実施
  5. デプロイ前段階:最終セキュリティ評価、リスクアセスメント

脅威モデリングの実践技法

シフトレフトの中核技術の一つが「脅威モデリング」です。これはシステムの設計段階で潜在的な脅威を特定し、対策を講じるプロセスです。2025年のセキュリティ先進企業では、以下のような構造化された脅威モデリング手法が採用されています:

STRIDE法

  • Spoofing(なりすまし):認証メカニズムの評価
  • Tampering(改ざん):データ整合性検証の確認
  • Repudiation(否認):監査ログの有無と保全状況
  • Information disclosure(情報漏洩):機密データの保護措置
  • Denial of service(サービス拒否):可用性確保の手段
  • Elevation of privilege(権限昇格):アクセス制御の検証

PASTA(Process for Attack Simulation and Threat Analysis)

ビジネス目標からの分析を重視した7段階の手法:

  1. ビジネス目標の定義
  2. 技術スコープの決定
  3. アプリケーション分解と分析
  4. 脅威分析
  5. 脆弱性分析
  6. 攻撃モデリング
  7. リスク分析と軽減策

試験では、これらの手法を実際のシステム開発に適用する際の具体的なステップや、各フェーズでの成果物について理解していることが求められます。また、ビジネス制約(時間、予算、リソース)がある中でのシフトレフト導入の現実的なアプローチについても問われる可能性があります。

7. 境界防御の終焉:ゼロトラストネットワークアクセス

「信頼しない、常に検証する」の原則

ゼロトラストネットワークアクセス(ZTNA)は、「境界内のすべてを信頼する」従来のネットワークセキュリティモデルを根本から覆す考え方です。「Never trust, always verify(決して信頼せず、常に検証する)」という原則に基づき、ネットワーク上の位置に関わらず、すべてのアクセス要求を検証します。

2010年代後半から注目され始めたこの概念は、リモートワークの普及とクラウド移行の加速により、2025年には主要企業のほとんどが何らかの形でゼロトラストモデルを採用するまでに至っています。

ゼロトラストの5つの基本原則

  1. ネットワーク上の場所を信頼しない:社内ネットワークも外部と同等のリスクとして扱う
  2. デバイスを信頼しない:すべてのデバイスの状態を継続的に評価する
  3. ユーザーを無条件に信頼しない:アイデンティティと行動を継続的に検証する
  4. サービスへのアクセスを制限する:最小権限の原則を徹底する
  5. すべてのトラフィックを監視・分析する:異常を迅速に検知し対応する

最小特権アクセスの実装方法

ゼロトラストモデルの中核となる「最小特権アクセス」の原則を実装するには、以下のコンポーネントが必要です:

1. 強固なアイデンティティ基盤

  • MFA(多要素認証):単一の認証要素ではなく、複数の要素を組み合わせる
  • コンテキストベース認証:時間、場所、デバイス、行動パターンなどの文脈情報も考慮
  • 継続的認証:セッション中も定期的に再認証を要求

2. マイクロセグメンテーション

  • ワークロードベースのセグメンテーション:アプリケーションやサービス単位での分離
  • ソフトウェア定義境界(SDP):ネットワークレベルではなく、アプリケーションレベルでのアクセス制御
  • リアルタイムの通信制御:必要な接続のみを一時的に許可

3. 可視性とアナリティクス

  • ネットワークトラフィック分析:すべての通信を監視し異常を検知
  • ユーザー行動分析(UEBA):通常とは異なるユーザー行動パターンを特定
  • リアルタイムリスクスコアリング:各アクセス要求のリスクレベルを動的に評価

2025年のZTNAは単なる概念ではなく、実装技術も成熟しており、特に以下の3つのアプローチが主流となっています:

  1. ZTNA 1.0:アプリケーションレベルのアクセス制御に焦点
  2. ZTNA 2.0:アプリケーション内のコンテンツレベルまで制御を拡張
  3. SASE(Secure Access Service Edge)との統合:クラウドベースのネットワークとセキュリティの統合サービス

試験では、これらの概念に加えて、ゼロトラスト導入の現実的な課題(レガシーシステムとの共存、段階的導入のアプローチ、ユーザビリティとのバランスなど)についても理解していることが求められます。

8. 攻撃者視点の防御策:MITRE ATT&CK

サイバーキルチェーンの包括的理解

MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)フレームワークは、実際の攻撃者が使用する戦術・技術・手順(TTP)を体系化したナレッジベースです。防御側が「攻撃者の思考法」を理解し、効果的な防御策を構築するための参照モデルとして機能します。

従来の「Lockheed Martin Cyber Kill Chain」が攻撃の7段階を線形的に捉えるのに対し、MITRE ATT&CKはより包括的で詳細な攻撃マトリクスを提供します。2025年時点で、エンタープライズ、モバイル、ICS(産業制御システム)、クラウド環境向けのマトリクスが整備されています。

MITRE ATT&CKのエンタープライズマトリクス14戦術

  1. 初期アクセス:システムへの侵入口の確保
  2. 実行:悪意のあるコードを実行する
  3. 持続:システム内での永続的なアクセスを維持
  4. 特権昇格:より高い権限を取得する
  5. 防御回避:セキュリティ対策を回避する
  6. 認証情報アクセス:ユーザー名やパスワードの窃取
  7. 探索:環境についての情報収集
  8. 横方向移動:他のシステムへの移動
  9. 収集:目的の情報を収集する
  10. コマンド&コントロール:攻撃者との通信チャネル
  11. 流出:データの持ち出し
  12. 影響:システムやデータの改ざん・破壊

脅威ハンティングへの実践的応用

MITRE ATT&CKは単なる参照モデルではなく、積極的な「脅威ハンティング」活動の基盤としても活用されています。脅威ハンティングとは、アラートやインシデントの発生を待つのではなく、環境内に潜在する脅威を能動的に探索する活動です。

よろしければTwitterフォローしてください。

Default