最終更新日:2026年5月6日
sg sg-security-measures it_security_operations incident_management
まず結論
技術的セキュリティ対策は、「侵入前 → 侵入後 → 検知・分析 → 証拠化・対応」の流れで整理すると理解しやすいです。
SG試験では、製品名や用語を暗記するだけでなく、どの段階で何をする対策かを判断できることが重要になります。
全体像
セキュリティ対策は1つでは不十分です。攻撃を完全に防ぐ前提ではなく、複数の対策を組み合わせて被害を小さくします。
| 段階 | 目的 | 代表例 |
|---|---|---|
| 侵入前対策 | そもそも攻撃されにくくする | パッチ適用、セキュアコーディング、ファイアウォール |
| 侵入後対策 | 侵入されても被害を広げない | 出口対策、DLP、検疫ネットワーク |
| 検知・監視 | 異常を早く見つける | IDS/IPS、SIEM、SOC、UEBA |
| 分析・調査 | 何が起きたか調べる | マルウェア解析、ハニーポット、ログ分析 |
| 証拠化・対応 | 証拠を保全し再発防止につなげる | デジタルフォレンジック、SOAR、インシデント対応 |
このページでは、上の流れに沿って主要記事を整理します。
主要用語の整理
1. 侵入前対策(予防)
攻撃される前に弱点を減らす対策です。SG試験では「脆弱性を修正する」「通信を制御する」「脆弱性を作り込まない」といった表現が出やすいです。
- セキュリティパッチとは?脆弱性対策の基本【SG試験】
脆弱性を修正して攻撃を受けにくくする対策です。 - パッチ管理とは?修正プログラムを適用する運用【SG試験】
パッチを継続的に確認・適用する運用面の対策です。 - セキュアコーディングとは?脆弱性を作り込まない考え方【SG試験】
開発段階で脆弱性の混入を防ぐ考え方です。 - ファイアウォールとは?通信を制御する基本対策【SG試験】
通信の許可・拒否によって不正な通信を制御します。 - WAFとは?Webアプリを守る仕組みを理解する【SG試験】
Webアプリケーションへの攻撃を検知・遮断する対策です。
2. 侵入後対策(被害拡大防止)
侵入や感染が起きた後に、被害の拡大や情報流出を抑える対策です。「防ぐ」よりも「広げない」「外へ出さない」「隔離する」という言葉で判断します。
- 出口対策とは?外部通信を制御して情報流出を防ぐ【SG試験】
感染端末などから外部へ出ていく通信を制御します。 - DLPとは?機密情報の持ち出しを防ぐ仕組み【SG試験】
重要情報の送信・持ち出しを検知または制御します。 - 情報漏えい対策とは?技術的対策と運用対策を整理【SG試験】
情報が外部へ漏れる経路と対策をまとめて整理します。 - 検疫ネットワークとは?接続前に端末を確認する仕組み【SG試験】
条件を満たさない端末を通常ネットワークへ接続させない仕組みです。 - ブラウザの脆弱性対策とは?Web閲覧時のリスクを減らす方法【SG試験】
Web閲覧をきっかけにした感染や攻撃のリスクを減らします。
3. 検知・監視
攻撃や異常を早く見つけるための対策です。SG試験では、防御装置なのか、検知する仕組みなのか、監視する組織なのかを切り分けます。
- IPSとは?不正侵入を検知して遮断する仕組み【SG試験】
不正通信を検知し、必要に応じて遮断します。 - IDS・IPSとファイアウォールの違い【SG試験】
通信制御、検知、遮断の違いをまとめて確認できます。 - SIEMとは?ログを集約して異常を検知する仕組み【SG試験】
複数のログを集め、相関分析して異常を見つけます。 - SOCとは?SIEMを使って監視する組織【SG試験】
ログやアラートを監視し、異常を分析する組織です。 - UEBAとは?利用者や端末のふるまいから異常を見つける仕組み【SG試験】
通常と異なる行動をもとに不審な動きを検知します。
4. 分析・調査
攻撃や感染が疑われるときに、原因や影響範囲を調べる段階です。「調べる」「分析する」「観察する」という表現が出たらこの分類を考えます。
- マルウェア解析とは?静的解析と動的解析の違い【SG試験】
マルウェアの構造や動作を調べます。 - ハニーポットとは?攻撃者をおびき寄せる仕組み【SG試験】
攻撃者の行動を観察し、攻撃手法の把握に使います。 - ログ管理とは?証跡と異常検知の役割を整理【SG試験】
操作や通信の記録を残し、調査や監査に使えるようにします。 - セキュリティテストの種類まとめ【SG試験】
SAST、DAST、ペネトレーションテストなどの違いを整理します。 - 静的解析と動的解析の違いとは?検査タイミングで整理【SG試験】
実行前に調べるのか、実行しながら調べるのかで切り分けます。
5. 証拠化・事後対応
インシデント後に、証拠を保全し、対応を進め、再発防止につなげる段階です。「証拠」「保全」「対応手順」「自動化」がキーワードです。
- デジタルフォレンジックとは?証拠としてのデータ活用【SG試験】
証拠として扱える形でデータを保全・分析します。 - 監査ログとは?不正検知と追跡の基本【SG試験】
後から操作や事象を追跡するための記録です。 - SOARとは?インシデント対応を自動化する仕組み【SG試験】
検知後の調査・通知・初動対応を自動化します。 - インシデント対応とは?初動対応の判断基準を整理【SG試験】
発生後の封じ込め、復旧、再発防止につなげる対応です。
SG試験でのひっかけポイント
| 混同しやすい組み合わせ | 切り分けのポイント |
|---|---|
| ファイアウォール / IDS / IPS | 通信を制御するのか、検知するのか、遮断するのか |
| SIEM / SOC / SOAR | SIEMは仕組み、SOCは監視組織、SOARは対応自動化 |
| マルウェア解析 / フォレンジック | 解析は動作や原因を調べる、フォレンジックは証拠保全を重視する |
| パッチ管理 / 脆弱性診断 | パッチ管理は修正を適用する運用、診断は弱点を見つける活動 |
| DLP / 出口対策 | DLPは情報の持ち出し防止、出口対策は外部通信制御を広く扱う |
迷ったら、次のフレーズで判断します。
- 防ぐ・修正する → 侵入前対策
- 制御する・隔離する・外へ出さない → 侵入後対策
- 検知する・監視する → 検知・監視
- 調べる・観察する → 分析・調査
- 証拠にする・記録する・対応を自動化する → 証拠化・事後対応
おすすめの学習順序
- セキュリティ対策の違いを一発で整理|防御・検知・分析・証拠の切り分け【SG試験】
- IDS・IPSとファイアウォールの違い【SG試験】
- SIEMとは?ログを集約して異常を検知する仕組み【SG試験】
- SOARとは?インシデント対応を自動化する仕組み【SG試験】
- デジタルフォレンジックとは?証拠としてのデータ活用【SG試験】
まとめ(試験直前用)
- 技術的セキュリティ対策は「侵入前・侵入後・検知監視・分析調査・証拠化対応」で整理する
- 防御、検知、分析、証拠化は役割が違う
- SIEMはログ分析の仕組み、SOCは監視組織、SOARは対応自動化
- フォレンジックは単なる調査ではなく、証拠保全がキーワード
- 用語を見たら「どの段階で何をする対策か」を先に考える