令和4年度 ITパスポート試験 公開問題 問69 解説 サイバーキルチェーン

サイバーキルチェーンという言葉は、軍事用語のキルチェーン（標的の発見から攻撃までの一連の流れ）をサイバーセキュリティに応用したものです。この問題は、名称から「攻撃の段階（チェーン・連鎖）」をイメージできるかどうかが判断の根拠となります。

情報システムへの攻撃は、一度の操作で完了するわけではありません。攻撃者は、標的の弱点を探し、侵入ルートを確保し、目的を達成するまで、いくつかのステップを順番に踏んでいきます。サイバーキルチェーンは、この一連のプロセスを「偵察」「武器化」「配送」「攻撃」「インストール」「遠隔操作」「目的実行」といったフェーズに分解してモデル化したものです。

このモデルを理解することの最大の利点は、防御側が攻撃の「どこで」食い止めるべきかが見えてくることです。例えば、メールでウイルスが届く「配送」の段階で遮断できれば、その後の「攻撃」や「遠隔操作」まで進まれることはありません。このように、攻撃の各段階で防御策を配置し、どこか一つでも防げれば全体として攻撃を無効化できる、という考え方の基盤となっています。

選択肢にある他の用語もITパスポート試験で頻出です。これらと混同しないように整理しておきましょう。

選択肢イの「数珠つなぎに接続する接続方式」は、デイジーチェーン接続と呼ばれるものです。ネットワーク機器の接続形態（トポロジ）に関する用語です。

選択肢ウは、ブロックチェーンの説明です。取引記録をブロック単位で管理し、ハッシュ値でつなぐことで改ざんを非常に困難にする技術です。

選択肢エは、チェーンメールの説明です。ネットワーク上で不特定多数に転送を促すメールを指します。

サイバーキルチェーンは、近年の標的型攻撃への対策を考える際の共通言語として使われます。試験では、単に言葉の定義を問うものだけでなく、攻撃の早期段階で検知することの重要性を問う問題などにも発展する可能性があります。「攻撃者は段階を踏んでやってくる」という流れを意識しておきましょう。

• サイバーキルチェーン（Cyber Kill Chain）とは？（NTTコミュニケーションズ）
• 情報セキュリティの重要概念（IPA 情報処理推進機構）