情報処理安全確保支援士試験（登録セキスペ／SC）の頻出論点を1枚に凝縮した無料チェックシートです。情報セキュリティマネジメント（SG）から一段上の、技術の深掘りが問われる午前II〜午後対策の総点検にお使いください。最後にオリジナルのミニ模試（5問・午前II形式・解説つき）も用意しました。

登録セキスペ（SC）要点チェックシート（2026）

1. 暗号・PKI

• 共通鍵 vs 公開鍵：共通鍵は高速だが鍵配送と鍵管理数（n人ならn(n-1)/2）が課題。公開鍵は鍵配送に強いが低速→ハイブリッド方式（本文は共通鍵・鍵交換は公開鍵）。
• PKI：CA／RA、証明書の階層（ルート→中間→サーバ）、失効確認はCRL（一覧DL）とOCSP（個別問い合わせ・リアルタイム）の違い。OCSPステープリングも頻出。
• 電子署名：完全性＋否認防止（機密性は別＝暗号化の役割）。ハッシュ衝突耐性（SHA-2/3、MD5・SHA-1は非推奨）。
• 鍵交換：DH／ECDH、前方秘匿性（PFS）。TLS 1.3 は RSA鍵交換を廃止し (EC)DHE に限定・1-RTT。

2. ネットワークセキュリティ

• 境界防御：ファイアウォール（パケットフィルタ／ステートフル）、WAF（アプリ層）、IDS/IPS、プロキシ、DMZ設計。
• 通信の保護：TLS、IPsec（トランスポート／トンネル）、SSH、VPN。
• 送信ドメイン認証：SPF（送信元IP）／DKIM（電子署名で改ざん・ドメイン検証）／DMARC（SPF・DKIM結果に基づくポリシーと報告）。なりすましメール対策の三点セット。
• DNS：DNSSEC（応答の真正性）、DNSキャッシュポイズニング対策。

3. 認証・アクセス制御

• 認証要素：知識・所持・生体の多要素（MFA）、FIDO2／パスキー、リスクベース認証。
• 連携：SAML、OAuth 2.0（認可）、OpenID Connect（認証）、Kerberos（チケット）。OAuthとOIDCの役割の違いが頻出。
• 認可モデル：最小権限、RBAC／ABAC、ゼロトラスト（常に検証）。

4. セキュアプログラミング・脆弱性対策

• SQLインジェクション：プレースホルダ（プリペアドステートメント）が本質対策。エスケープは補助。
• XSS：出力時のエスケープ、CSP、HttpOnly／Secure 属性。
• CSRF：リクエストごとの秘密トークン、SameSite Cookie、Refererチェック。
• その他：ディレクトリトラバーサル、OSコマンドインジェクション、安全でないデシリアライズ、セキュリティ・バイ・デザイン／シフトレフト。

5. インシデント対応・運用監視

• 脆弱性管理：CVE／CWE、CVSS（基本＝脆弱性固有／現状＝攻撃コード流通／環境＝資産重要度）、パッチ管理。
• 監視・分析：SIEM、SOC、ログ相関、EDR、フォレンジック（揮発性の高い順に保全）。
• CSIRT：検知→トリアージ→封じ込め→根絶→復旧→事後分析。

6. 法制度・マネジメント・最新動向

• ISMS（ISO/IEC 27001）：PDCA、リスクアセスメント、適用宣言書（SoA）。
• 法規：個人情報保護法（要配慮・漏えい報告）、不正アクセス禁止法、サイバーセキュリティ基本法、不正競争防止法（営業秘密）。
• サプライチェーン：委託先管理、SBOM、ゼロトラスト、クラウドの責任共有モデル。

オリジナル・ミニ模試（5問・午前II形式）

本番（午前II）と同形式のオリジナル問題です。解答・解説は各問の下に折りたたんでいます。

Q1. TLS 1.3 で行われた主な変更として適切なものはどれか。

• ア. 共通鍵暗号が廃止され公開鍵暗号のみになった
• イ. RSAによる鍵交換が廃止され、前方秘匿性のある鍵交換に限定された
• ウ. サーバ証明書による認証が不要になった
• エ. ハンドシェイクが2-RTTに増加した

解答・解説

答え：イ。TLS 1.3 は静的RSA鍵交換を廃止し (EC)DHE に限定、前方秘匿性を確保しつつ1-RTT化した。ア・ウは誤り、ハンドシェイクは短縮（エが逆）。

Q2. 証明書の失効状態を、一覧をダウンロードせず個別にリアルタイムで問い合わせる仕組みはどれか。

• ア. OCSP
• イ. SCEP
• ウ. HSTS
• エ. SNI

解答・解説

答え：ア。OCSPは個別の証明書状態を問い合わせる。CRLは失効一覧のDL方式。SCEPは証明書登録、HSTSはHTTPS強制、SNIはホスト名指定。

Q3. 電子署名を用いて、メール本文・ヘッダの改ざん検知と送信元ドメインの正当性を検証する送信ドメイン認証技術はどれか。

• ア. SPF
• イ. DKIM
• ウ. DMARC
• エ. PTRレコード

解答・解説

答え：イ。DKIMは電子署名でドメインと完全性を検証。SPFは送信元IPの照合、DMARCはSPF/DKIM結果に基づくポリシーと報告。

Q4. CSRF（クロスサイトリクエストフォージェリ）への対策として最も適切なものはどれか。

• ア. 出力時のHTMLエスケープ処理
• イ. SQLのプレースホルダ（プリペアドステートメント）の利用
• ウ. リクエストごとに秘密のトークンを発行し検証する
• エ. 保存するパスワードのハッシュ化

解答・解説

答え：ウ。CSRFはトークン照合（＋SameSite Cookie）が本質対策。アはXSS、イはSQLインジェクション、エは認証情報保護の対策。

Q5. CVSS の基本評価基準（Base Metrics）に含まれるものはどれか。

• ア. 被害を受けた組織の損害賠償額
• イ. 攻撃元区分（AV）や攻撃条件の複雑さ（AC）など脆弱性固有の特性
• ウ. 攻撃コードや対策の流通状況
• エ. 利用環境ごとの資産の重要度

解答・解説

答え：イ。基本評価基準は脆弱性そのものの特性（AV/AC/PR/UI 等）。ウは現状評価基準（Temporal）、エは環境評価基準（Environmental）。

さらに本番形式で演習したい方へ

上のミニ模試で手応えをつかんだら、本番同等の260問・全選択肢の詳細解説つきで総仕上げができます。当ブログ読者向けに割引クーポンをご用意しました。

▶ 登録セキスペ（情報処理安全確保支援士）模擬試験260問（クーポン適用）

関連：その前段の情報セキュリティマネジメント（SG）も学習中の方は、無料チェックシートをこちらにご用意しています。
▶ 情報セキュリティマネジメント（SG）要点チェックシート【無料】

※クーポンは予告なく終了する場合があります。価格はクーポン適用後の表示をご確認ください。