SC試験対策-シラバス（午前II）

直近の変更は試験に出やすいかもなもでシラバスの変更点を確認

セキュリティ

１．情報セキュリティ

（１）情報セキュリティの目的と考え方

セキュアバイデザイン

（３）脅威

①脅威の種類
アクセス権の誤設定
AIに対する脅威
攻撃ベクトル（Attack Vector）
攻撃対象領域（アタックサーフェス：Attack Surface）

②マルウェア・不正プログラム
遠隔操作型ウィルス（RAT:Remote Access Trojan）

リバースシェル
→攻撃者がターゲットシステムにシェルアクセスを取得するための技術
　FWやNATをバイパスして外部からターゲットシステムをリモート操作することができる。

リバースシェルについて自分なりに整理してみた - Geecul

リバース シェル悪用の防御

エクスプロイトキット
→これは過去問にも載っている

エクスプロイトキットとは - 脅威データベース | Trend Micro (JP)

（４）脆弱性

職務分掌
→組織において各部署や各役職、担当者の行うべき仕事を配分して仕事の責任の所在と範囲を明確化すること。
→部署単位で業務はにと責任化を明確化させることを[業務分掌]という
→[セグリゲーション]は従業員の不正やミスを防止するために職務の役割と権限を明確化させること。

内部統制の不備

（５）不正のメカニズム

割れ窓理論
防犯環境計画

（６）攻撃者の種類、攻撃の動機

二重脅迫（ダブルエクストーション）
リークサイト

（７）攻撃手法

パスワードリスト攻撃（クレデンシャルスタッフィング）
オープンリダイレクトの悪用
フィッシング（スミッシングほか）
ドメインフロンティング攻撃
多要素認証疲労攻撃（Multi-Factor Authentication Fatigue Attack）
DRDoS攻撃
SEOポイズニング
サイドチャネル攻撃（テンペスト攻撃、プローブ攻撃、タイミング攻撃、電力解析攻撃）
エアギャップに対する攻撃
AIを悪用した攻撃
　標的型攻撃・フィッシング・なりすましの巧妙化
　マルウェア（バリアント（亜種））の生成
　システムの脆弱性発見の効率化
　ディープフェイク
　敵対的サンプル（Adversarial Example）
　プロンプトインジェクション
　データポイズニング
　モデルインバージョン攻撃
　メンバーシップ推測攻撃
　RaaS（Ransomware as a Service）
　ラテラルムーブメント

（８）情報セキュリティに関する技術

①暗号技術
認証暗号
　認証付き暗号
　秘密計算（秘密分散方式、準同型暗号方式）
　耐量子暗号（PQC（Post Quantum Cryptography:耐量子計算機暗号）
　軽量暗号
　ワンタイムパッド
　計算量（オーダー記号）
　暗号強度（ビットセキュリティ）
　情報量的安全性
　計算量的安全性
②認証技術
　メッセージダイジェスト
　CMAC
　エンティティ認証
③利用者認証
　パスワードレス認証（UAF, FIDO U2F, FIDO2, Passkeys）
　EMV 3-D セキュア（3D セキュア 2.0）
　アイデンティティ連携（Connect）
　IDaaS（Idntity as s Service）
　eKYC（electronic Know Your Customer）
④生体認証技術
　本人拒否率（FRR）
　他人受入率（FAR）
⑤公開鍵基盤
　トラストアンカー（信頼の起点）
　→OSやブラウザベンダが提供するソフトに登録されている認証局が発行した、ルート証明書のこと

Webブラウザと認証局、トラストアンカーを巡る技術動向 - JPNIC

　
　中間CA証明証
　CAA（Certificate Auchority Authorization）
　証明書自動発行（SCEP：Simple Certificate Enrollment Protocol）
　ACME：Automatic Certificate Management Environment
　CA/Browser Forum

２．情報セキュリティ管理

（１）情報セキュリティ管理

クラウドサービスの責任共有モデル
外部委託やクラウドサービスの利用時における情報セキュリティ
サイバーハイジーン
→ハイジーン＝衛生。コンピュータやネットワークを安全に保つための日常的な習慣や対策のこと。OSやソフトの更新、IT資産の把握、エンドポイント管理など。

（２）リスク分析と評価

③リスクの種類
地政学的リスク

（５）情報セキュリティマネジメントシステム（ISMS）

管理策タイプ（予防、検知、是正）
サイバーセキュリティ概念（識別、防御、検知、対応、復旧）

（６）情報セキュリティ管理におけるインシデント管理

テイクダウン

（７）情報セキュリティ組織・機関

情報セキュリティ関連組織（PSIRT）
エシカルハッカー

MITER
FIRST(Forum of Incident Response and Security Teams）
Trusted Web 推進協議会
情報セキュリティサービス基準
情報セキュリティサービス審査登録制度
情報セキュリティサービス基準適合
サービスリスト
ISMAP（政府情報システムのためのセキュリティ評価制度）
NOTICE
SECURITY ACTION
ISAC（Information Sharing and Analysis Center：セキュリティ情報共有組織）

（８）情報セキュリティに関する基準

情報セキュリティに関する基準、指針を理解する
　コンピュータウィルス対策基準
　コンピュータ不正アクセス対策基準
　ソフトウェア製品等の脆弱性関連情報に関する取扱規程
　政府機関等の情報セキュリティ対策のための統一基準群
　サイバーセキュリティ経営ガイドライン
　中小企業の情報セキュリティ対策ガイドライン
　IoT セキュリティガイドライン
　サイバー・フィジカル・セキュリティ対策フレームワーク
　金融機関等コンピュータシステムの安全対策基準・解説書
　PCI DSS
　サイバーセキュリティフレームワーク（CSF）
　NIST SP 800シリーズ

３．セキュリティ技術評価

（２）ISO/IEC 15408、ISO/IEC 18045
　CC（Common Criteria：コモンクライテリア、ISO/IEC 18045）
　PP（Protection Profile：プロテクション　プロファイル）
　ISO/IEC 18045

（４）脆弱性評価

SCAP（Security Content Automatic Protocol：セキュリティ設定共通化手順）
CPE（Common Platform Enumeration）
KEV（Known Exploited Vulnerability）

（５）セキュリティ情報共有技術

TLP（Traffic Light Protocol）
Ioc（Indicator of Comprpmise）
脅威インテリジェンス（OSINTなど）の利用

４．情報セキュリティ対策

（１）情報セキュリティ対策の種類

①人的セキュリティ対策
UBA（User Behavior Analytics）
UEBA（User and Entity Behavior Analytics）
セキュリティクリアランス
秘密保持契約・誓約書

②技術的セキュリティ対策
ランサムウェア対策
　データのバックアップ
　3-2-1ルール
→データを３つ作成、２つの異なるメディアで保存、１つは別の場所で保管

イミュータブルバックアップ
→データを固定し、変更不可にし、削除、暗号化、変更されることが無いことを保証するデータ保護方法

Immutable backup | イミュータブルバックアップ

匿名化の手法
　（項目削除／レコード削除／セル削除
　　トップ（ボトム）コーディングなどの一般的手法
　　k-匿名化など高度な手法
ソフトウェア構成分析（SCA：Software Composition Analysis）
SBOM（Software Bill of Material）
セキュアブート（UEFI：Unified Extensible Firmware Interface）

データマスキング
→元の文字や数字を変更してデータを隠すプロセス

データマスキングとは何か? - 静的データマスキングと動的データマスキングの説明 - AWS

暗号化消去法（CE：Cryptographic Erase）
AIを使ったセキュリティ技術（AI for Security）
AIそのものを守るセキュリティ技術（Security for AI）
連合学習
脅威ハンティング（Threat Hunting）
XDR（Extended Detection and Response）
MDR（Managed Detection and Response）
CSPM（Cloud Security Posture Management）
SSPM（SaaS Security Posture Management）
CWPP（Cloud Workload Protection Platform）
Webアイソレーション
SORA（Security Orchestration and Response）
MSS（Managed Security Service）

③物理的セキュリティ対策
セキュリティゾーニング
機械警備
記憶媒体の管理
装置のセキュリティを保った処分又は再利用

５．セキュリティ実装技術

（１）セキュアプロトコル

QUIC
Enhanced Open

（２）認証・認可技術
なりすましによる不正接続、サービスの不正利用を防ぐ認証・認可技術の種類と効果を理解する。

DMAC
IEEE 802.1X

（６）アプリケーションセキュリティ

CSP（Content Security Policy）

（７）マルウェア解析

PE（Portable Executable）ファイル
PEヘッダー

---

ネットワーク

３．通信プロトコル

（１）プロトコルとインターフェース

⑤アプリケーションプロトコル
HTTP/2
HTTP/3

⑦LANとWANのインターフェース
10GBASE-T
IEEE 802 ax
Wi-Fi 4/5/6/6E

４．ネットワーク管理

（２）ネットワーク運用管理ツール

　ネットワークの運用管理に利用されているツールやユーティリティの機能、仕組みを理解する

ip
ss
dig
パケットアナライザー（tcpdump、Wiresharkほか）

５．ネットワーク応用

（１）インターネット

②Web
QUIC（Quick UDP Internet Connection）

（６）モバイルシステム

①モバイル通信サービス
ローカル5G
SA（Stand Alone）方式
NSA（Non-Stand Alone）方式
ネットワークスライシング
eSIM（embedded SIM）

③モバイル通信技術
ビームフォーミング

④IoTシステムのネットワーク
LPWA（LTE-M、NB-IoT、Wi-SUN、LoRaWAN）
802.11ah（Wi-Fi HaLow）

---

データベース

１．データベース方式

（１）データベース

③データベースのデータモデル
グラフ型のデータモデル（プロパティグラフ、トリプルストア）

（２）データベース管理システム

⑤データベース管理システムの種類と特徴
　代表的なデータベース管理システムの種類と特徴、関係データベース管理システムとNoSQLのデータベース管理システムとの違い、取り扱う上での留意事項、関連する機能を理解する。

関係データベース（MySQL、PostgresSQL、SQLite）
NoSQLデータベース（Apache　Cassandra、Apache CouchDB、MongoDB、Redis、Neo4j）

２．データベース設計

（２）データベースの設計

③データベースの論理設計
サロゲートキー

３．データ操作

（２）データベース言語

②データベース言語（SQL）
（a）データ定義言語
　　CASCADE TRIGGER
（b）データ操作言語（SELECT文）
　　ウィンドウ関数
（c）その他のデータ操作言語
　　GRANT文

４．トランザクション処理

（１）同時実行制御（排他制御）

２相ロッキングプロトコル
Wait-Die方式
Wound-Wait方式
ダーティリード
ノンリピータブルリード
ファントムリード
隔離性水準
保証トランザクション
TCCパターン
Sageパターン
スキュー（skew）

（２）障害回復

フォワードリカバリ
バックワードリカバリ
シャドウページ法

（４）データベースの性能向上

B-tree インデックス
ビットマップインデックス
ハッシュインデックス
カバリングインデックス
転置インデックス

（５）データへのアクセス制御

SQLによる権限の定義と変更の方法

５．データベース応用

（２）分散データベース

スプリットブレイン
BASE特製
結果生合成
シャーディング

（３）データ資源管理

分散ファイルシステム
　HDFS（Hadoop Distributed File System）
　Ceph
　GlusterFS
　大規模データセットのクエリエンジン（Apache Hive、Preto）

---

システム開発技術

１．システム要件定義・ソフトウェア要件定義

（３）システム要件の定義

③その他の要件
　UX（User Experience）を考慮した要件の定義
　UXデザイン
　アシュアランスケース

（６）ソフトウェアの境界及び要件の定義

①ソフトウェアの境界及び要件の定義の目的
トレーサビリティマトリクス
UXデザイン

（７）ソフトウェア要件の評価及びレビュー

トレーサビリティマトリクス
アシュアランスケース

（８）業務分析や要件定義に用いられる手法

③モックアップ及びプロトタイプ
垂直型プロトタイプ
水平型プロトタイプ

２．設計

（２）システム設計

⑤システム処理方式の決定
マイクロサービスアーキテクチャ
サービスメッシュ
サーキットブレーカー
サーバーレスアーキテクチャ

（４）アーキテクチャ及びシステム要素の評価及びレビュー

クリーンアーキテクチャ

（５）インターフェース設計

②インターフェース設計
UXデザイン
ユーザインターフェース

（９）ソフトウェア設計手法

④オブジェクト指向設計
ソフトウェア設計原則（SOLID）

⑤ドメイン駆動設計（DDD）
ドメイン駆動設計の考え方、手順、手法を理解する

ドメイン
ドメインモデル
ドメインロジック
コンテキストマップ
ユビキタス言語
エンティティ
値オブジェクト
サービス

（１２）部品化と再利用

COTS（Commercial Off-The-Shelf）

（１４）デザインパターン

GoF

３．実装・構築

（２）ソフトウェアユニットの作成

アスペクト指向プログラミング

（５）コーディング支援手法

オートインデント
ブレークポイント

（６）コードレビュー

再クロマティック複雑度

（７）デバッグ

トレーサー
スナップショット

（８）ソフトウェアユニットのテスト

②テストの手順
テストオラクル

③テストの実施と評価
テスト密度
欠陥密度（バグ密度）

④テストの手法
ミューテーションテスト
ドメイン分岐テスト

４．統合・テスト

（１１）システム検証テスト

探索的テスト

５．導入・受入れ支援

（４）導入

①システム及び／又はソフトウェアの導入計画の作成
カナリアリリース
ブルーグリーンデプロイメント

（５）受入れ支援

③教育訓練
カークパトリックの教育効果の４段階モデル

④利用者用文書類（利用者マニュアル）
利用者用文書類（ウィザード、学習書（チュートリアル）、オンラインヘルプ）
組込文書類
分離形文書類
文書類のテスト

６．保守・廃棄

（１）保守のタスク

リファクタリング

（３）保守のタイプ及び形態

改良保守

（４）保守の手順

⑤再発防止策の実施
STAMP/STPA

---

ソフトウェア開発管理技術

１．開発プロセス・手法

（１）ソフトウェア開発技術

①ソフトウェア開発モデル
MLOps

②アジャイル
（a）アジャイルの概要
ユーザ機能駆動開発（FDD）
インセプションデッキ
INVEST
モブプログラミング
KPT（Keep, Problem, Try）
エンタープライズアジャイル（SAFe、Less（Large-Scale Scrum））
DA（Discipliend Agile）

（c）スクラム特徴
スクラムチーム
　プロダクトオーナー
　開発者
　スクラムマスター

③DevOps
　開発チームと運用チームが連携し、迅速かつ柔軟にソフトウェア開発を行うDevOpsの特徴を理解する。
CALMSフレームワーク
　Culture（文化）
　Automation（自動化）
　Lean（リーン）
　Measurement（測定）
　Sharing（共有）
SRE（Site Reliability Engineering：サイト信頼性エンジニアリング）
継続的インテグレーション（CI）
継続的デリバリー（CD）
継続的デプロイ
テスト駆動開発（TDD）
カオスエンジニアリング
Four Keys
　デプロイの頻度
　変更のリードタイム
　変更障害率
　平均修復時間（MTTR）
オブザビリティ（可観測性）
OpenTelemetry
DevSecOps

④ローコード／ノーコード開発
専門的なコーディングの知識や経験がなくてもソフトウェアの開発が可能となるローコード／ノーコード開発の特徴、利点、留意事項を理解する。

⑦マッシュアップ
プレゼンテーションマッシュアップ
データマッシュアップ
ロジックマッシュアップ

⑧モバイルアプリケーションソフトウェア開発
PWA（Progressive Web App：プログレッシブウェブアプリ）

（３）形式手法

モデル検査
Z言語
SPIN

（４）開発プロセス

①ソフトウェアライフサイクルプロセス
合意プロセス
組織のプロジェクトイネーブリングプロセス
テクニカルマネジメントプロセス
テクニカルプロセス
プロセス修製
完全適合
修整適合

②プロセス成熟度
開発と保守のプロセスを評価、改善するに当たって、システム開発／ソフトウェア開発を行う組織のプロセス成熟度の水準を識別するための成熟度モデルがあること、プロセスの能力を6段階で定義して進化の道筋を示した能力水準や進化レベルの内容、より高次のレベルに達するために必要な方策を理解する。
JIS X 33001
JIS X 33020
組織の標準プロセス
プロセス改善
不完全なプロセス

３．開発環境管理

（１）開発環境構築

SCM（Source Code Management：ソースコード管理）
ステージング環境

（２）管理対象

②設計データ編集
リポジトリ

４．構成管理・変更管理

（１）構成管理

SBOM（Software Bill of Materials）

---

サービスマネジメント

１．サービスマネジメント

（４）SLA（Service Level Agreement）

SLO、SLI、SLAとは何か?

SLO（Service Level Objective）
→サービスレベル目標 ある一定期間におけるパーセンテージで表される

SLI（Service Level Indicator）
→システムの可用性に関するユーザ体験を対象とした定量的な測定値
　成功したとみなせるアウトプットをパーセンテージで表す

２．サービスマネジメントシステムの計画及び運用

（４）資産管理

JIS X 0164 シリーズ

（７）サービスレベル管理

サービスレベル指標

（１２）変更管理

③変更管理の活動

変更のカテゴリー（標準変更、通常の変更、プロジェクト変更、緊急変更など）

（１７）問題管理

回避策、解決策

（１８）サービス可用性管理

MTBSI
MTRS

（１９）サービス継続管理

RL0（目標復旧レベル）

３．パフォーマンス評価及び改善

（２）改善

②継続的改善

KGI（Key Goal Indicator：重要目標達成指標）

４．サービスの運用

（１）システム運用管理

AIOps

５．ファシリティマネジメント

（１）ファシリティマネジメント

②施設管理・設備管理

消化設備（泡消火設備、ハロゲン化物消化設備、不活性ガス消化設備など）
エアフロー
データファシリティスタンダード（ティア（Tier）基準）

④環境速面
ZEB（net Zero Enery Building）
LEED（Leadership in Energy & Environmental Design）　認証
GHGプロトコル

---

システム監査

１．システム監査

（８）その他のシステム関連の監査

①情報セキュリティ監査
クラウド情報セキュリティ管理基準

③コンプライアンス監査
職務分掌

（９）情報システムに関係する監査関連法規

②情報セキュリティ関連法規
JIS Q 27001
ISMS適合性評価制度

２．内部統制

（２）ITガバナンス
データガバナンス