ターム 1：デジタル技術の基礎

本資料はさくらインターネット株式会社の公式オンライン教材 202602（シラバス v2.0、CC BY-SA 4.0）を元に作成・再構成しています。詳細は NOTICE を参照してください。

このタームのゴール：クラウド・ハードウェア・ネットワーク・セキュリティ・運用・基盤技術の汎用概念を理解する。Sakura 固有の話はターム 2 以降。GCP 経験者は対応関係を素早く接続して進めば良い。

このタームの中項目：

• 1.1 クラウド
• 1.2 ハードウェアとソフトウェア
• 1.3 ネットワーク
• 1.4 セキュリティ
• 1.5 システムマネジメント
• 1.6 クラウドインフラの基盤技術

---

1.1 クラウド

1.1.1 クラウドサービスの歴史

学習目標：クラウドサービスがどのように発展し、DX で活用される標準的なデジタル技術の一つとなったのか理解する キーワード：クラウドの概念、NIST クラウド定義、提唱者

概要

クラウドコンピューティングは「インターネット越しにコンピューティングリソースを必要なときに利用する」モデル。自前で機械を買って設置する代わりに、共有の機械を時間貸しで借りる発想に近い。

クラウド概念の歴史（v2.0 教材より、試験頻出）

年	出来事
1997	ラムナト・チェラッパ教授（Ramnath K. Chellappa、米国の経営情報システム学者）がクラウドの概念を提唱
2006	Google の CEO エリック・シュミット（Eric Schmidt）がクラウドに言及して用語が一般化
2006	Amazon Web Services（AWS）が EC2 等を提供開始
2008	Google Cloud（Google App Engine 等）が提供開始
2010	Microsoft Azure が提供開始

IMPORTANT

「クラウドを提唱した人は誰か」「広めたのは誰か」は試験頻出。

• 提唱（1997）= ラムナト・チェラッパ教授（学術界、概念の生みの親）
• 言及・普及（2006）= エリック・シュミット（Google CEO、産業界での一般化）

「教授 vs CEO」の役割の違いで覚える。

米国国立標準技術研究所（NIST）が 2011 年に公表した SP 800-145 が、現在も世界標準のクラウド定義として使われている。本検定はこの NIST 定義を強く下敷きにしている。

NIST クラウドの定義（公式定義文）

公式教材（SCB1.1.1 p.12）に掲載されている NIST の定義文をそのまま示す：

共用の構成可能なコンピューティングリソース（ネットワーク、サーバー、ストレージ、アプリケーション、サービス）の集積に、どこからでも、簡便に、必要に応じて、ネットワーク経由でアクセスすることを可能とするモデルであり、最小限の利用手続きまたはサービスプロバイダとのやりとりで速やかに割当てられ提供されるものである。

このうち下線級のキーワードは「共用の構成可能なコンピューティングリソース」「どこからでも・簡便に・必要に応じて」「最小限の利用手続き」。試験ではこれらの語の有無で正誤判定する選択肢が出る。

NIST は以下の 3 要素でクラウドを定義する：

1. 5 つの基本的な特徴（次節 1.1.2）
2. 3 つのサービスモデル：SaaS / PaaS / IaaS
3. 4 つの配置モデル：パブリック / プライベート / コミュニティ / ハイブリッド

TIP

GCP としては：GCP も NIST 定義に従ったクラウドサービス。Compute Engine = IaaS、App Engine = PaaS、Google Workspace = SaaS という対応で考えると Sakura の対応もスムーズに頭に入る。

✅ キーワードチェックリスト

• [ ] クラウドが「インターネット経由でリソースを利用するモデル」と説明できる
• [ ] NIST が世界標準のクラウド定義を公表していると説明できる

---

1.1.2 クラウドの基本的な特徴

学習目標：クラウドの基本的な特徴を知り、それらが社会やビジネスにどのようなメリットをもたらすのか理解する キーワード：オンデマンド・セルフサービス、幅広いネットワークアクセス、リソースの共用、スピーディな拡張性、サービスが計測可能

概要：NIST が定める 5 つの特徴

特徴	内容	ビジネス的メリット
オンデマンド・セルフサービス	利用者が必要なときに自分で調達できる（営業に電話不要）	リードタイムがほぼゼロ
幅広いネットワークアクセス	標準的なネットワーク経由で多様な端末から利用可能	リモートワーク前提の業務に適合
リソースの共用	物理リソースを多テナントで共有（マルチテナンシー）	単価が劇的に下がる
スピーディな拡張性	需要に応じて瞬時にスケールアウト / イン	繁忙期対応が容易
サービスが計測可能	利用量を計測し従量課金や使用状況の可視化ができる	コストの透明性

IMPORTANT

この 5 つは試験で問われる頻出ポイント。「5 つに含まれないものを選べ」型の出題に備えて、5 つを暗唱できる状態にする。

WARNING

「完全な独立性」「完全プライベートな専有」などは NIST の 5 特徴には含まれない。マルチテナント前提のクラウドとは設計思想が逆。

✅ キーワードチェックリスト

• [ ] NIST の 5 特徴を 30 秒で全部列挙できる
• [ ] 各特徴が「なぜビジネスメリットになるか」を 1 文で説明できる

🎯 確認問題

問 1：NIST が定義するクラウドの 5 つの基本特徴に含まれないものはどれか。

• (A) オンデマンド・セルフサービス
• (B) 幅広いネットワークアクセス
• (C) 完全な物理的独立性
• (D) スピーディな拡張性

解答

(C)。NIST 5 特徴は「オンデマンド・セルフサービス / 幅広いネットワークアクセス / リソースの共用 / スピーディな拡張性 / サービスが計測可能」。リソースの共用（マルチテナンシー）が原則で、「完全な物理的独立性」とは矛盾する。

問 2：「サービスが計測可能」がもたらす最も直接的なメリットはどれか。

• (A) 利用者が他のテナントから物理的に隔離される
• (B) 利用量に基づく従量課金とコストの可視化が可能になる
• (C) 利用者が SLA を自由に変更できる
• (D) リソースの上限が無くなる

解答

(B)。計測（measured service）は従量課金・利用状況の見える化・最適化判断の基礎となる。

---

1.1.3 クラウドサービスの形態

学習目標：クラウドサービスモデルの個々の特性を把握し、それらがどのようなケースで利用されるのか理解する キーワード：SaaS、IaaS、PaaS、サービスモデル

IaaS / PaaS / SaaS の違い

抽象度（マネージドの度合い）で整理する：

モデル	提供範囲	利用者の責任	公式教材の例（SCB1.1.3 p.8-10）
IaaS	サーバ / ストレージ / ネットワーク / 仮想化	OS から上の全部	AWS / Microsoft Azure / Google Cloud / さくらのクラウド
PaaS	+ OS + ミドルウェア + ランタイム	アプリとデータのみ	サイボウズ社の Kintone / Salesforce 社の Heroku
SaaS	+ アプリ	データの使い方のみ	Microsoft 365 / Dropbox / iCloud

IMPORTANT

公式教材は SaaS = Microsoft 365 / Dropbox / iCloud、PaaS = Kintone / Heroku、IaaS = AWS / Azure / Google Cloud / さくらのクラウド を例示。試験では「Microsoft 365 はどれか」「Heroku はどれか」のようにサービス名から区分を当てる問題が出るため、上記の組み合わせをそのまま暗記する。

TIP

GCP としては：Compute Engine = IaaS、App Engine / Cloud Run = PaaS（に近い）、Workspace = SaaS。Sakura の場合「さくらのクラウド」が IaaS、「AppRun」が PaaS、「レンタルサーバ」は SaaS 寄り（個人向けは PaaS とも）。

NOTE

コラム：PaaS と CaaS（Containers as a Service） Cloud Run や AppRun を「PaaS」と呼ぶか「CaaS」と呼ぶかは業界で意見が分かれる。試験では IaaS / PaaS / SaaS の 3 区分の枠で問われる。

✅ キーワードチェックリスト

• [ ] IaaS / PaaS / SaaS をマネージド範囲の違いで説明できる
• [ ] 各モデルの代表サービスを 1 つずつ挙げられる

🎯 確認問題

問 1：「OS とミドルウェアの保守が不要で、アプリのデプロイだけに専念したい」要件に最も合うのはどれか。

• (A) IaaS
• (B) PaaS
• (C) SaaS
• (D) ハウジング

解答

(B) PaaS。OS / ミドルウェア / ランタイムまでマネージドで、利用者はアプリとデータに集中できる。

---

1.1.4 クラウドとオンプレミス

学習目標：クラウド環境とオンプレミス環境の違いを比較し、さらにクラウドの各種類と特性を把握することで、ニーズに適したインフラストラクチャとクラウドサービスを選択するためのポイントを理解する キーワード：パブリッククラウド、プライベートクラウド、ハイブリッドクラウド、ベアメタル

クラウドの配置モデル

配置モデル	内容	用途
パブリック	不特定多数の利用者で共有	一般的な Web サービス・新規事業
プライベート	単一組織の専有	厳しい規制業界・社内システム
コミュニティ	同業者など特定集団で共有	業界団体・教育機関連合など
ハイブリッド	複数の配置を組み合わせる	クラウド + オンプレ、または複数クラウド

クラウド vs オンプレミス vs ベアメタル

観点	オンプレミス	パブリッククラウド（IaaS）	ベアメタル
初期コスト	高（機器購入）	低（即課金開始）	中（クラウド経由だが物理機 1 台借り）
スケーラビリティ	物理的に制約	ほぼ無制限	限定的（物理 1 台単位）
ノイジーネイバー	なし	あり得る	なし（物理専有）
性能の予測可能性	高	中（共有のため）	高

TIP

GCP としては：Bare Metal Solution が「ベアメタル」に対応。Sakura では「専用サーバ PHY」「高火力 PHY」が同じ役割を担う。

✅ キーワードチェックリスト

• [ ] パブリック / プライベート / ハイブリッドを 1 文ずつ説明できる
• [ ] 「ベアメタル」が物理サーバ専有を意味することを説明できる

---

1.2 ハードウェアとソフトウェア

1.2.1 コンピュータを構成するハードウェア

学習目標：コンピュータを構成する主要なハードウェアコンポーネントとそれらの役割を理解する。プログラムの実行と演算の仕組み、論理回路の基本を理解する キーワード：CPU、メモリ、ディスク、NIC、GPU、プログラム、演算の仕組み、論理回路

コンピュータの 5 大装置（公式フレーム、SCB1.2.1 p.12-13）

公式教材は最初に「5 大装置」のフレームでコンピュータを語る。試験ではこの 5 区分が問われやすい。

装置	説明	例
制御装置（CU、Control Unit）	コンピュータの他の部分が何をすべきか指示を出す	CPU の一部
演算装置（ALU、Arithmetic Logic Unit）	数字の足し算・引き算など計算を行う	CPU の一部
記憶装置	データを保存する	主記憶（RAM）、補助記憶（HDD / SSD）
入力装置	コンピュータへデータや指令を送る	キーボード、マウス、タッチスクリーン、スキャナー、ウェブカメラ
出力装置	コンピュータが処理した結果を出力する	モニター、プリンター、スピーカー、プロジェクター

IMPORTANT

CPU = 制御装置 + 演算装置。「CPU と 5 大装置はどちらが上位か」と問われたら、「CPU は 制御装置と演算装置の 2 つを内包する部品」が正解。NIC・タッチスクリーン等は入出力（I/O）デバイスで、入力装置と出力装置の両方の機能を兼ねる。

主要コンポーネントと役割（実装視点での補足）

5 大装置を実物のパーツに対応させると以下の通り：

コンポーネント	5 大装置上の役割	試験的ポイント
CPU	制御装置 + 演算装置	コア数 / 周波数 / キャッシュで性能が決まる
メモリ（RAM）	主記憶装置	揮発性（電源切断で消える）
ディスク（HDD / SSD）	補助記憶装置	SSD は HDD より高速だが単価高
NIC	入出力装置（I/O）	帯域（Gbps）が性能指標
GPU	演算装置の特殊版	行列演算特化、AI / 3D 描画で重要

論理回路（AND / OR / NOT）

CPU 内部では論理回路の組み合わせで演算を実現する。基本となる 3 つの論理演算は AND / OR / NOT。

AND 回路の真理値表（公式 SCB1.2.1 p.28）

「二つの入力が両方とも 1 のときのみ 1 を出力」する回路。

入力 1	入力 2	AND 出力
0	0	0
0	1	0
1	0	0
1	1	1

OR / NOT のイメージ

演算	出力が 1 になる条件
AND（論理積）	入力 1 と入力 2 が両方とも 1
OR（論理和）	入力 1 と入力 2 の少なくとも片方が 1
NOT（否定）	入力が 0 のとき出力 1（反転）

SI 接頭辞と 2 進接頭辞（公式 SCB1.2.1 p.22）

データ量の単位は SI 接頭辞は 1000 倍ごと、2 進接頭辞は 1024 倍ごと と分かれている。

倍率	SI 接頭辞（10 進）	2 進接頭辞
10³ / 2¹⁰	k（キロ、1,000）	Ki（キビ、1,024）
10⁶ / 2²⁰	M（メガ、100 万）	Mi（メビ、2^20 = 1,048,576、約 104.86 万）
10⁹ / 2³⁰	G（ギガ、10 億）	Gi（ギビ、約 10.7 億）
10¹² / 2⁴⁰	T（テラ）	Ti（テビ）
10¹⁵ / 2⁵⁰	P（ペタ）	Pi（ペビ）
10¹⁸ / 2⁶⁰	E（エクサ）	Ei（エクスビ）
10²¹ / 2⁷⁰	Z（ゼタ）	Zi（ゼビ）

IMPORTANT

100 Gbps = 100,000,000,000 bps（SI 解釈）、10 TiB = 10,995,116,277,760 B（2 進解釈）。小文字の k がキロ、大文字の K で 1024 を表す慣習もあるので注意（公式 p.22 注記）。

帯域幅（bps と B/s、公式 SCB1.2.1 p.23）

帯域幅は単位時間あたりに転送できるデータ量。

単位	意味
bps（bits per second）	1 秒間に転送できる bit 数
B/s（Bytes per second）	1 秒間に転送できる Byte 数

8 bit = 1 B なので、8 bps = 1 B/s、つまり 1 Gbps = 0.125 GB/s（公式 p.23）。「Gbps と GB/s は 8 倍違う」と覚える。

プログラムの実行モデル

プログラムは「メモリに置かれた命令を CPU が 1 つずつ読み出して実行する」モデルで動作する。全ての情報を 0 と 1（ビット）で処理し、コンピュータの世界の「言語」となる（公式 p.20）。

参考：このように「プログラムも演算データも同じメモリに置く」モデルは慣習的にフォン・ノイマン型と呼ばれるが、シラバス v2.0 のキーワードには含まれない。試験は 5 大装置・論理回路・SI/2 進接頭辞・帯域幅で問われる。

TIP

GCP としては：Compute Engine のマシンタイプ（e2/n2/c3/a3 等）が「CPU + メモリ + NIC」の組み合わせを抽象化したもの。Sakura の「サーバプラン」も同じ抽象。

✅ キーワードチェックリスト

• [ ] 5 大装置（制御 / 演算 / 記憶 / 入力 / 出力）を即答できる
• [ ] CPU = 制御装置 + 演算装置だと説明できる
• [ ] AND 真理値表が書ける
• [ ] 1 Gbps = 0.125 GB/s と即答できる
• [ ] SI 接頭辞（k/M/G）と 2 進接頭辞（Ki/Mi/Gi）を区別できる
• [ ] RAM が揮発性であることを理解している

---

1.2.2 コンピュータの種類

学習目標：コンピュータの種類とそれぞれの用途を理解する キーワード：PC、スマートフォン、サーバ

コンピュータの 3 軸分類（公式 SCB1.2.2 p.9-11）

公式教材は「用途 / サイズ / 処理能力」の 3 軸でコンピュータを分類する。試験では「組み込みシステムは何の分類か」「メインフレームはサイズ別ではどの位置か」のように軸を答えさせる問題が出る。

分類軸	区分	説明
① 用途別	PC（パーソナルコンピュータ）	デスクトップ / ラップトップ等、個人が使う
	サーバ	他のコンピュータにデータやサービスを提供する用に設計
	組み込みシステム	特定タスク特化（自動車・家電・産業機械等）
	スーパーコンピュータ	高度な科学技術計算・大規模データ分析向け
② サイズ別	マイクロコンピュータ	単一 IC チップ上に CPU / メモリ / I/O を集積した小型
	ミニコンピュータ	中小規模ビジネス・科学計算向けの中型
	メインフレーム	銀行・保険等の大規模業務処理に使う大型
③ 処理能力別	汎用コンピュータ	様々なタスクをこなす柔軟性（PC・サーバの多くが該当）
	特化型コンピュータ	特定用途設計（組み込み・ゲームコンソール等）

身近な区分（PC / スマホ / サーバ）

種類	特徴	主用途
PC	個人作業向け、対話的操作	オフィスワーク・開発
スマートフォン	携帯・タッチ操作・通信機能	パーソナル利用・モバイル業務
サーバ	24/365 稼働・遠隔操作前提・高信頼パーツ	サービス提供基盤

NOTE

コラム：「サーバ」は役割の名前 ハードウェアそのものに「これがサーバ」という決まった形があるわけではない。「24 時間動かして他のコンピュータの要求に応えるソフトウェアが動いている計算機」を慣習的にサーバと呼ぶ。

✅ キーワードチェックリスト

• [ ] 用途 / サイズ / 処理能力の 3 軸を即答できる
• [ ] 「組み込みシステム」が用途別分類だと答えられる
• [ ] サーバが「他者の要求に応える」役割の機械であることを説明できる

---

1.2.3 ソフトウェアの種類

学習目標：ソフトウェアの種類とそれぞれの役割を理解する キーワード：OS、アプリケーション、ミドルウェア、OSS

公式 SCB1.2.3 の 3 階層分類

公式教材は (1) アプリケーション / (2) 基本ソフト（OS）/ (3) その他のソフトウェア の 3 階層でソフトウェアを区分する。

階層	内容
(1) アプリケーション	エンドユーザーが直接使う機能（Web アプリ、業務システム等）
(2) 基本ソフト（OS）	ハードウェア抽象化・プロセス管理・I/O 制御
(3) その他のソフトウェア	プログラミング言語 / ミドルウェア / ドライバ / OSS / データベース

4 区分での試験対策上の整理（補足）

下表は試験対策のための独自整理（公式 3 階層の (3) その他 を分解して提示）。

種類	役割	例
OS（オペレーティングシステム）	ハードウェア抽象化・プロセス管理・I/O 制御	Linux、Windows、macOS
ミドルウェア	OS とアプリの間に立つ汎用基盤	Web サーバ（Nginx）、DB（MySQL）
アプリケーション	エンドユーザーが直接使う機能	Web アプリ、業務システム
OSS（オープンソースソフトウェア）	ソースコードが公開され改変・再配布可	Linux、Firefox、MySQL

その他のソフトウェア区分（公式 SCB1.2.3 p.10）

公式教材は上記 4 区分に加えて、以下の用途別ソフトウェアを示している。

種類	役割
プログラミング言語	ソフトウェア開発者が必要とするプログラミング・ツールを提供
ドライバ・ソフトウェア	コンピュータ・デバイスや周辺機器を操作するためのソフトウェア
データベースソフトウェア	データを保存・管理する。**DBMS（データベース管理システム）**とも呼ばれ、検索・更新等の操作を担う

データベース：RDB と NoSQL（公式 SCB1.2.3 p.11）

種類	特徴	利用例
RDB（リレーショナル DB）	データを表（テーブル）の形式で整理し、表同士を関係付けて扱う。SQL という言語で操作	伝票・名簿・売上など表形式で表せるデータ
NoSQL	表の形にとらわれず柔軟な構造でデータを管理。決まった操作言語がなく、データ構造ごとに使い方が異なる	SNS 投稿、IoT ログ、リアルタイム処理など表にしにくいデータ

IMPORTANT

試験では「RDB / NoSQL の違い」「DBMS とは何か」が出る。RDB = 表 + SQL、NoSQL = 表に縛られない柔軟構造でセットで覚える。

TIP

GCP としては：Compute Engine で OS イメージ選び、Cloud SQL は MySQL/PostgreSQL（RDB / OSS）のマネージド版、Firestore / Bigtable は NoSQL。「OS / ミドル / アプリ」の境界線を引いてマネージド範囲を考える発想は IaaS/PaaS の選択にも直結する。

✅ キーワードチェックリスト

• [ ] OS / ミドルウェア / アプリの役割の違いを説明できる
• [ ] プログラミング言語 / ドライバ / DBMS の役割を区別できる
• [ ] RDB と NoSQL の違いを 1 文で説明できる
• [ ] OSS のメリット（ベンダーロックイン回避、コミュニティ品質）を 1 つ挙げられる

---

1.2.4 サーバの種類

学習目標：サーバの種類とそれぞれの用途を理解する。各サーバがネットワーク内でどのように機能するのか理解する キーワード：Web、アプリケーション、DB、プロキシ・CDN、DNS、DHCP、FTP、ファイルサーバ

コンピュータの歴史的経緯（v2.0 教材より）

年代	形態
1960 年代	コンピュータはかなり大型で、1 台で集中的な処理（メインフレーム時代）
1980 年代	アメリカでクライアント・サーバ型システムが誕生（処理の分散化が始まる）
2000 年代以降	クラウドコンピューティング、コンテナ、サーバレスへ

TIP

試験では「クライアント・サーバ型がいつ生まれたか」「メインフレームの時代はどんな処理形態か」が問われやすい。クラウド以前の歴史的背景として押さえる。

役割別のサーバ一覧

サーバ種別	主な仕事	代表的なプロトコル
Web サーバ	HTTP リクエストを受けて静的コンテンツ返却	HTTP / HTTPS
アプリケーションサーバ	動的処理を実行（API/ロジック）	HTTP/RPC
DB サーバ	データの永続化と検索	SQL（独自プロトコル）
プロキシ	クライアントとサーバの中継	HTTP/HTTPS
CDN	コンテンツを地理的に分散配信	HTTP/HTTPS
DNS	ドメイン名 ↔ IP アドレスの解決	DNS（UDP/TCP 53）
DHCP	端末に IP アドレスを動的配布	DHCP（UDP 67/68）
FTP	ファイル転送	FTP（TCP 20/21）
ファイルサーバ	LAN 内のファイル共有	SMB / NFS

NOTE

公式 SCB1.2.4 ではキーワード一覧に「プロキシ・CDN」と並列で挙がるが、説明スライドはプロキシのみ。CDN 詳細は補足扱い。

Web 3 層構造（公式呼称、SCB1.2.4 p.13）

公式教材ではこの構成を「Web 3 層構造」と呼ぶ。最も基本的な Web サービス構成：

クライアントが Web サーバへリクエスト、Web サーバが AP サーバへ処理要求、AP サーバが DB サーバへデータ要求を行い、逆順でレスポンスが戻る。役割分担によりスケーリングしやすい / 障害切り分けが容易 / セキュリティを層で守れるという利点を持つ。試験頻出の構成パターン。

IMPORTANT

「DNS は何をするサーバか」「DHCP の役割」のような単発の知識問題が出やすい。役割と代表ポート番号をセットで覚える。

✅ キーワードチェックリスト

• [ ] Web 3 層構造（Web / AP / DB）を絵に描ける
• [ ] DNS / DHCP / プロキシ / CDN の役割を 1 文で説明できる

🎯 確認問題

問 1：DNS サーバの主な役割はどれか。

• (A) クライアントに IP アドレスを動的に配布する
• (B) ドメイン名を IP アドレスに変換する
• (C) HTTP リクエストを別サーバに中継する
• (D) コンテンツを地理的に分散配信する

解答

(B)。(A) は DHCP、(C) はプロキシ、(D) は CDN。

---

1.3 ネットワーク

1.3.1 ネットワークを構成するハードウェア

学習目標：ネットワークを構成する主要なハードウェアコンポーネントとそれらの役割を理解する キーワード：スイッチ、ルーター、ロードバランサ、ファイアウォール、UTM

機器	レイヤ	役割
スイッチ	L2	MAC アドレスを見て同一セグメント内で転送
ルーター	L3	IP アドレスを見て別セグメントに転送
ロードバランサ	L4 / L7	複数サーバへトラフィックを分散
ファイアウォール	L3-L7	パケットを許可 / 拒否でフィルタリング
UTM	統合	FW + IPS + アンチウイルス + Web フィルタを 1 台に

TIP

GCP としては：VPC のサブネット = L2/L3 を仮想化、Cloud Load Balancing = L4/L7 LB、VPC Firewall Rules = FW。物理機器がクラウドでは「設定で実現する仮想機能」になる。

✅ キーワードチェックリスト

• [ ] L2（スイッチ）/ L3（ルータ）/ L4-L7（LB / FW）の役割境界を説明できる
• [ ] UTM が複数機能の統合機器であると説明できる

---

1.3.2 ネットワークの仕組み

学習目標：ネットワーク経由のデータ通信の基本原理を理解する。通信プロトコルの役割と重要性、特に OSI 参照モデルの各層の役割と、TCP/IP が通信を成立させるためにどのように寄与しているのか理解する キーワード：LAN/WAN、通信プロトコル、TCP/IP、OSI 参照モデル、IP アドレスとサブネット、ルーティング、NAT

OSI 参照モデルと TCP/IP モデル

OSI 層	役割	TCP/IP モデル	プロトコル / 媒体の具体例
7 アプリケーション	アプリ間通信	アプリケーション層	HTTP / FTP / SSH / SMTP / DNS
6 プレゼンテーション	暗号化・文字コード変換	同上	TLS / SSL
5 セッション	通信の確立・維持	同上	-
4 トランスポート	信頼性のあるデータ転送	トランスポート層	TCP / UDP
3 ネットワーク	エンドツーエンドの経路選択	インターネット層	IP（IPv4 / IPv6） / ICMP
2 データリンク	デバイス間のデータ転送（隣接ノード間の通信）	リンク層（= ネットワークインターフェイス層）	Ethernet（イーサネット）, Wi-Fi
1 物理	電気・光信号	同上	ケーブル：銅線 / 光ファイバー、無線：Wi-Fi / Bluetooth

IMPORTANT

**TCP/IP 4 層の最下層は公式に「リンク層」と表記されている（SCB1.3.2 NetworkMechanism1 p.23）。「リンク層はネットワークインターフェイス層と呼ぶ場合もある」**と公式注記あり（小書き「ィ」表記）。試験で両方の呼称が出ても同じものと判定する。

公式の TCP/IP リンク層は Ethernet と Wi-Fi の両方を例示（SCB1.3.2 NetworkMechanism1 p.23）。OSI 物理層の具体例として「Wi-Fi / Bluetooth（無線）」「銅線 / 光ファイバー（有線）」、データリンク層の具体例として「Ethernet」を結びつけて覚える（SCB1.3.2 NetworkMechanism2 p.16）。

IMPORTANT

試験では「OSI の第 X 層は何をするか」「TCP は何層か」が頻出。TCP/UDP = 4 層、IP = 3 層をまず叩き込む。

暗記用の語呂「あぷせとでねぶ」（上から下、第 7 層 → 第 1 層）

語呂	層名	層番号
あ	アプリケーション	7
ぷ	プレゼンテーション	6
せ	セッション	5
と	トランスポート	4
ね	ネットワーク（IP）	3
で	データリンク（Ethernet）	2
ぶ	物理	1

WARNING

語呂の方向に注意：「あぷせとでねぶ」は 上の層から下の層への並び（7 → 1）。「ね（ネットワーク層）= 3 層」「で（データリンク層）= 2 層」。下から数える層番号と方向が逆なので、混同しやすい。

覚え方のコツ：

• 「IP は『ね』、TCP は『と』」（識別子は同じ「ね」「と」で覚える）
• 「ね＝ネ＝net＝3」（3 文字目に出てくる「ね」と層番号 3 がリンク）

LAN / WAN

• LAN（Local Area Network）：オフィスや家庭内など限られた範囲のネットワーク
• WAN（Wide Area Network）：地理的に広い範囲（複数拠点間、インターネット含む）を結ぶネットワーク

IP アドレスとサブネット

• IPv4：32 bit、約 43 億個（枯渇問題で IPv6 が登場）
• IPv6：128 bit、事実上無限
• サブネットマスク：IP アドレスのうち「ネットワーク部」と「ホスト部」を分ける境界（例：192.168.1.0/24 の /24 部分）
• CIDR 表記：/24 のように prefix 長で表す方式

プライベート IP アドレスの範囲（v2.0 教材より、試験頻出）

クラス	範囲	コンピュータの数（公式表記）
クラス A	10.0.0.0 ～ 10.255.255.255	約 1600 万個
クラス B	172.16.0.0 ～ 172.31.255.255	約 65000 個
クラス C	192.168.0.0 ～ 192.168.255.255	254 個

NOTE

公式 SCB1.3.2 NetworkMechanism1 p.19 のラベル表記は「コンピュータの数」。一般的には「利用可能なホスト数」と同義（ネットワークアドレス・ブロードキャストアドレスを除く）。

NOTE

上表の A/B/C は クラスフルアドレッシングによる分類。現在は CIDR ベースのクラスレスが主流で、サブネットマスクで柔軟に境界を切る。プライベート IP の範囲指定としてクラス名が現役で使われている。

IMPORTANT

プライベート IP の 3 クラスは試験頻出。クラス A は 10.*、クラス B は 172.16-31、クラス C は 192.168.*。家庭用ルータが配るのはほぼクラス C（192.168.x.x）。クラウド設計でも VPC のアドレス帯選定で必要な知識。

数値の見方の注釈：

• クラス C の 254 個は /24 単位（1 サブネット）でのホスト数。192.168.0.0/24 だと 192.168.0.1 ～ 192.168.0.254 の 254 個（.0 と .255 はネットワーク / ブロードキャスト用に予約）。
• クラス C 全範囲（192.168.0.0/16） であれば理論上 192.168.0.1 ～ 192.168.255.254 で約 65000 個を扱える。
• 公式教材の数値（クラス C = 254 個）は /24 単位で読むのが本来の意図。試験ではこの数値をそのまま暗記すれば良い。

ルータ / ゲートウェイ / L3 スイッチ（公式 SCB1.3.2 NetworkMechanism2 p.2）

機器	役割
ルータ（= L3 スイッチ）	異なるネットワーク間の接続を行うハードウェア。IP アドレスを見て転送する
ゲートウェイ	異なるプロトコルを変換する機能。ルータはゲートウェイの 1 つ（包含関係）

IMPORTANT

「ルータ = L3 スイッチ」（公式 p.2 表記）。「ゲートウェイ ⊃ ルータ」の包含関係（ゲートウェイの中にルータが含まれる）も試験頻出。

ルーティング（経路決定）

ルーティングはルーティングテーブルに基づいて経路を決定する。設定方式は 2 種類。

方式	特徴
スタティックルーティング	管理者が手動で固定設定。信頼性が高いが、障害時に経路自動切替できない
ダイナミックルーティング	自動的にルートを設定。ネットワーク条件に柔軟に対応できる（障害時に経路を切り替える）

NAT と NAPT（公式 SCB1.3.2 NetworkMechanism2 p.7-8）

用語	変換内容
NAT（Network Address Translation）	グローバル IP ⇔ プライベート IP の変換
NAPT / IP マスカレード（Network Address Port Translation）	グローバル IP ⇔ プライベート IP + ポート番号の変換。1 つのグローバル IP に複数の機器をぶら下げられる

NAT の設定方式

方式	特徴
スタティック NAT	1 対 1 の固定変換（グローバル IP の数だけ接続）。管理者が設計。信頼性高いが大規模化困難
ダイナミック NAT	多数対多数で変換。接続した機器から IP を割り当てる

IMPORTANT

一般的な家庭用ルータが行う「1 つのグローバル IP に複数台がぶら下がる」変換は NAPT（= IP マスカレード）。「単に NAT」と言うときは厳密にはアドレスのみ変換だが、実装上は NAPT を指すことが多い。

ARP（IP → MAC 変換、公式 SCB1.3.2 NetworkMechanism2 p.20）

L3 の IP アドレスから L2 通信を成立させるには MAC アドレスが必要。ARP は IP アドレスから MAC アドレスを調べるプロトコル。

1. ARP リクエスト：ネットワーク全体に「この IP は誰？」とブロードキャストで送信
2. ARP リプライ：該当する機器が「私です（MAC はこれ）」と返答
3. MAC と IP の対応が確立、以降の通信が可能になる

ルーティングと NAT のまとめ

• ルーティング：パケットの宛先 IP を見て次のホップを決定すること
• NAT（Network Address Translation）：プライベート IP とグローバル IP を変換する仕組み。IPv4 枯渇対応・セキュリティ向上に寄与

TIP

GCP としては：VPC のサブネットは IP レンジで定義、Cloud NAT が外部通信用 NAT。Sakura の「ローカルルータ」「VPC ルータ」も同じ役割。

✅ キーワードチェックリスト

• [ ] OSI の 7 層を順番に言える
• [ ] TCP/UDP が 4 層、IP が 3 層と即答できる
• [ ] CIDR /24 がサブネット 256 個分（実利用 254）と分かる
• [ ] NAT の役割を説明できる

🎯 確認問題

問 1：OSI 参照モデルの第 4 層に該当するプロトコルはどれか。

• (A) HTTP
• (B) IP
• (C) TCP
• (D) Ethernet

解答

(C) TCP。HTTP は 7 層、IP は 3 層、Ethernet は 2 層。

---

1.3.3 インターネットの仕組み

学習目標：インターネット上のデータ通信の基本的なプロセスを理解する。インターネットの主要な構成要素がどのように連携して動作するのか理解する キーワード：IX、ISP、データセンター、バックボーン、WWW、DNS、ドメイン、URL

インターネットの階層構造

要素	役割
ISP（Internet Service Provider）	利用者をインターネットに接続する事業者
IX（Internet eXchange）	複数 ISP を相互接続する中継点
バックボーン	ISP 間や国際間を結ぶ大容量基幹回線
データセンター	サーバ群を集約して 24/365 運用する施設
DNS	ドメイン名 → IP アドレスの変換

DNS の 2 つの役割（v2.0 教材より、試験頻出）

DNS サーバは役割が分かれている。混同しやすいので明確に：

サーバ種別	役割	持っているもの
権威 DNS サーバ	自分が管轄するドメインの「正解」を返す	ゾーンファイル（ドメインと IP の対応付け情報）
キャッシュ DNS サーバ	クライアントの代理で権威 DNS に問い合わせ、結果をキャッシュして返す	キャッシュ（一時的な解決結果）

IMPORTANT

問い合わせフロー：クライアント → キャッシュ DNS → 権威 DNS → 結果がクライアントへ戻る。キャッシュ DNS は再帰問い合わせを担当、権威 DNS は自分の管轄範囲だけ回答する。

さくらのクラウドの DNS アプライアンスは権威 DNS サーバ（ゾーンファイルを持つ側）。

DNS レコード（公式 SCB1.3.3 p.20-21）

ゾーンファイルの 1 行 1 行が DNS レコード。代表的な種類：

レコード	役割
A レコード（正引き）	ドメイン名に対応する IPv4 形式の IP アドレスを保持
AAAA レコード	ドメイン名に対応する IPv6 形式の IP アドレスを保持
MX レコード	メールの配送先を定義
PTR レコード（逆引き）	IP アドレスに対応するドメイン名を定義（A の逆方向）

DNS レコードの形式

DNS レコードは以下の項目で構成される：

項目	内容
TTL（Time To Live）	キャッシュした情報の保存時間
クラス	レコードのクラス（通常 IN = インターネット）
タイプ	レコードの種類（A / AAAA / MX / PTR 等）
値	実際のデータ（IP アドレス / ドメイン名等）

IMPORTANT

試験では「A と AAAA の違い」「MX は何のレコードか」「PTR の役割」が出る。A = IPv4、AAAA = IPv6、MX = メール、PTR = 逆引きでセットで暗記。

URL とドメインの階層構造（公式 SCB1.3.3 p.23-24）

URL は以下のように分解できる：

https://www.example.co.jp/blog/exfile
└──┬──┘ └──────────┬────────┘└──────┬──────┘
プロトコル   ホスト名+ドメイン名         ディレクトリ/ファイル名
           （FQDN）

NOTE

実務補足（公式範囲外）：実際の URL はこの公式構成要素に加え、ポート番号（:443 等、省略時はプロトコル既定値）やクエリ文字列（?query=1 等）を持つこともある。例：https://www.example.co.jp:443/blog/exfile?query=1。試験対策上は公式の プロトコル / ホスト名 / ドメイン名 / ディレクトリ / ファイル名 を押さえる。

FQDN とドメインの階層

FQDN（Fully Qualified Domain Name、完全修飾ドメイン名） = ホスト名 + ドメイン名。

www.example.co.jp を階層分解すると：

階層	例	役割
ホスト名	www	サーバの識別子
サードレベルドメイン	example	組織名
セカンドレベルドメイン	co	組織の種別（co = 営利企業）
トップレベルドメイン（TLD）	jp	国・分類（jp / com / org 等）

IMPORTANT

階層は右から左に大きい範囲 → 小さい範囲へ並ぶ。試験では「co.jp のうちどれがトップレベルか」「FQDN とドメイン名の違い」が問われる。TLD = 一番右（jp）、FQDN = 全部つなげたもの。

NOTE

コラム：WWW（World Wide Web、参考） 「インターネット」と「WWW」は同じではない。インターネットは通信網全体、WWW はその上で HTTP/HTML を使う情報空間。

参考：WWW は Tim Berners-Lee が 1989 年に CERN で考案したとされるが、この具体的事項は公式教材 SCB1.3.3 には記載されていない（公式範囲外の参考情報）。試験には出ない。

✅ キーワードチェックリスト

• [ ] ISP / IX / バックボーンの違いを説明できる
• [ ] URL のスキーム / ホスト / パスを指し示せる
• [ ] WWW とインターネットの違いを説明できる

---

1.4 セキュリティ

1.4.1 情報セキュリティ管理

学習目標：情報セキュリティ管理の基本的な考え方を把握し、情報資産の概念と CIA（機密性、完全性、可用性）の定義、およびリスク分析について理解する。災害復旧の観点から緊急時対応計画を立てることの重要性と、実際に発生しうる様々な情報セキュリティ事象に対して取り得る予防策を理解する キーワード：情報資産、CIA、情報セキュリティ事象、情報セキュリティインシデント、リスク分析、緊急時対応計画、災害復旧、ISMS、情報セキュリティ関連組織

CIA トライアド

セキュリティの目標は CIA の 3 要素で表される：

要素	意味	守るべきもの
C：機密性（Confidentiality）	認可された者だけがアクセスできる	個人情報・営業秘密
I：完全性（Integrity）	情報が改ざんされず正確である	DB の値・送金額・ログ
A：可用性（Availability）	必要なときに使える	サービス稼働率

IMPORTANT

CIA は試験で必ず出る。各要素の英語と日本語、典型例まで一気に押さえる。

CIA に加わる 4 要素（公式 SCB1.4.1 p.12）

公式教材では CIA トライアドに、現代の情報セキュリティで重視される 4 要素を追加する形が示されている（7 要素モデル）。

追加要素	意味
真正性（Authenticity）	利用者・データが本物であることを保証する
信頼性（Reliability）	システムや処理結果が期待通りに動作する
責任追跡性（Accountability）	誰がいつ何をしたかが追跡可能である（ログ・監査）
否認防止（Non-repudiation）	行為を行った当人が後から**「やっていない」と言えない**ようにする（電子署名等）

IMPORTANT

CIA「3 要素」だけでなく、「CIA + 4 要素 = 情報セキュリティの 7 要素」として公式教材は提示する（情報セキュリティポリシーは「7 つの要素をもとに作成」と明記、SCB1.4.1 p.18）。試験で「真正性 / 信頼性 / 責任追跡性 / 否認防止」の名前が選択肢に出たら情報セキュリティ要素の一部と認識する。

情報セキュリティ事象 vs インシデント

• 情報セキュリティ事象：セキュリティに影響しうる事象一般（例：不審なログイン試行）
• 情報セキュリティインシデント：実際に被害が発生 / 発生する可能性が高い事象（例：不正アクセス成功）

NOTE

※ 公式 SCB1.4.1 は両用語の厳密区別はせず併記のみ。本資料の区別は ISO/IEC 27001 由来の業界標準。

ISMS と PDCA サイクル（公式 SCB1.4.1 p.14）

ISMS（Information Security Management System）：組織的にセキュリティを管理する仕組み。国際規格は ISO/IEC 27001（JIS Q 27001）。情報セキュリティマネジメントは PDCA サイクル で運用する。

フェーズ	主な活動
Plan（計画）	情報資産の洗い出し / リスクの分析 / 情報セキュリティポリシーの策定
Do（運用・実行）	技術的な実際の対策 / リスク管理についての教育 / 障害発生時の対策
Check（評価）	システムの評価 / システムの監視
Act（改善）	システムの改善 / セキュリティポリシーの改善

リスク分析とリスク値（公式 SCB1.4.1 p.15）

リスク分析は以下の流れで進める：

1. 情報資産の識別
2. 脅威の識別
3. 脆弱性の識別
4. リスクの評価
5. リスクの優先順位付け
6. リスクに対する対策を考える

そしてリスク値は次の式で表される：

リスク値 = 資産価値レベル × 脅威レベル × 脆弱性レベル

IMPORTANT

「リスク値 = 資産価値 × 脅威 × 脆弱性」の 3 要素の掛け算は試験頻出。脅威か脆弱性のどちらかが 0 なら理論上リスクも 0、という覚え方で 3 つの要素全てが必要だと理解する。

CSIRT と SOC（公式 SCB1.4.1 p.17）

セキュリティインシデント対応のための代表的な組織体制：

組織	主な役割
CSIRT（Computer Security Incident Response Team）	組織内に専門部署として設置。インシデント発生時の対応・被害最小化・復旧を専門的に担う
SOC（Security Operations Center）	サイバー攻撃や脅威の監視・検知・分析・予防を 24 時間体制で行い、組織全体のセキュリティを維持する。脅威の早期発見や防御が中心

IMPORTANT

CSIRT vs SOC は試験頻出の混同ペア。**CSIRT = 起きたら動く（インシデント対応）、SOC = 常時見張る（24 時間監視）**で覚える。

緊急時対応計画と 6 段階プロセス（公式 SCB1.4.1 p.21）

緊急時対応計画は災害や攻撃に備える計画群の総称で、以下を含む：

• 運用継続計画
• 災害時事業復旧計画
• 災害時システム復旧計画
• その他の計画

IT 緊急時対応計画のプロセス（6 段階）

公式教材は IT 緊急時対応計画を 6 段階のプロセスとして明示している。

段階	内容
1	ポリシーステートメントの策定
2	事業への影響分析
3	予防対策の特定
4	復旧の戦略の策定
5	テスト、訓練、演習の計画
6	計画の保守

IMPORTANT

「6 段階」と「順序」が試験で問われる可能性。「ポリシー → 影響分析 → 予防 → 復旧戦略 → テスト → 保守」の流れを覚える。

関連組織

関連組織：IPA（情報処理推進機構）、JPCERT/CC、NISC

TIP

GCP としては：Google Cloud は ISO 27001 / 27017 / 27018 等を取得。Sakura もデータセンター・クラウド共に複数の第三者認証を保持（詳細はターム 3.2.2）。

✅ キーワードチェックリスト

• [ ] CIA の 3 要素を英語フル + 日本語で言える
• [ ] CIA に加わる 4 要素（真正性 / 信頼性 / 責任追跡性 / 否認防止）を列挙できる
• [ ] ISMS の PDCA サイクル（計画 / 運用 / 評価 / 改善）を説明できる
• [ ] リスク値 = 資産価値 × 脅威 × 脆弱性 の式が言える
• [ ] CSIRT と SOC の役割の違いを説明できる
• [ ] 緊急時対応計画の 6 段階プロセスを言える
• [ ] 事象とインシデントの違いを説明できる
• [ ] ISMS が ISO 27001 系の枠組みであると説明できる

---

1.4.2 情報セキュリティ対策

学習目標：人的・技術的・物理的セキュリティ対策のそれぞれの特性を把握し、これらの対策の重要性を理解する キーワード：利用者アクセスの管理、ログ管理、不正アクセス対策、マルウェア対策、多層防御、アクセス制御、脆弱性管理、侵入防止、侵入検知、DMZ、ファイアウォール、WAF、IPS、IDS、UTM、SSL アクセラレータ（※ 公式 SCB1.4.3 のキーワード一覧に分類されているが、関連性から 1.4.2 でも触れる）、監視カメラ、施錠管理、入退室管理

対策の 3 分類

分類	内容	例
人的対策	人の行動に依存	教育・誓約書・運用手順
技術的対策	機器・ソフトで実装	FW・WAF・IDS/IPS・アクセス制御
物理的対策	場所そのものを守る	監視カメラ・施錠・入退室管理

多層防御と DMZ

公式 SCB1.4.2 p.15-16 準拠の構成（単一 FW で DMZ と内部 LAN を分岐）：

📚 補足：業界一般の二重 FW 構成（参考）

公式教材は単一 FW 構成で説明しているが、実務では外側 FW と内側 FW を分けた二重構成も採用される（外側 FW 障害時の防御強度を上げる目的）：

DMZ（DeMilitarized Zone）：外部からアクセス可能なサーバを置く中間地帯。内部 LAN と完全に分離することで、Web サーバが破られても内部 DB に直接到達されない。

セキュリティ機器の使い分け

機器	守る対象	動作
ファイアウォール（FW）	ネットワーク境界	ポート / IP でフィルタ
WAF（Web Application Firewall）	Web アプリ	HTTP リクエストの内容を検査（SQLi / XSS 対策）
IDS（Intrusion Detection System）	内部ネットワーク	不審通信を検知してログ
IPS（Intrusion Prevention System）	同上	不審通信を検知＋遮断
UTM	統合	FW + IDS/IPS + アンチウイルス等を統合
SSL アクセラレータ	LB / Web サーバ前段	SSL/TLS の暗号化処理をオフロード

WARNING

IDS と IPS は試験頻出の混同ペア。**IDS = 検知（Detection）、IPS = 防御（Prevention）**で「IDS は止めない、IPS は止める」と覚える。

NOTE

次世代ファイアウォール：従来の FW（宛先・送信元の情報から判断）と WAF（中身を見てから判断）の両方の機能をもつもの（公式 SCB1.4.2 p.19）。

IDS / IPS の検知方式（公式 SCB1.4.2 p.19）

IDS / IPS の検知方式は以下の 2 種類。

方式	検知の考え方
シグニチャ型	既知の攻撃パターン（シグニチャ）と一致したら検知。誤検知が少ないが、未知攻撃に弱い
アノマリ型	**平常時との異常（アノマリ）**を検知。未知攻撃にも対応できるが、誤検知が多くなりやすい

IMPORTANT

試験では「シグニチャ型とアノマリ型の違い」が出る。シグニチャ = パターン照合、アノマリ = 異常検知。

ソーシャルエンジニアリング 4 種（公式 SCB1.4.2 p.8-9）

技術ではなく人をだましてパスワードや情報を盗む手口の総称。公式教材は具体的 4 手法を提示している。

手法	内容
なりすまし	相手になりすましてメールや電話でパスワードや重要な情報を聞き出す
ショルダーハッキング	画面・キーボード操作を肩越しにのぞき見してパスワード等を盗む
トラッシング	ゴミ箱を漁って捨てられた書類など（公式記載：書かれたもの）から情報を得る
構内侵入	他のソーシャルエンジニアリング手口を行うための予備動作として、物理的に社内に侵入する

IMPORTANT

ソーシャルエンジニアリングは 4 種類（なりすまし / ショルダーハッキング / トラッシング / 構内侵入）。「技術的攻撃ではなく人をだます手口」が共通点。対策は教育・施錠・シュレッダー等の人的・物理的対策。

認証（authentication）と認可（authorization）の違い（公式 SCB1.4.2 p.12）

概念	役割
認証（authentication）	「あなたは誰か？」を確認する。本人確認
認可（authorization）	「あなたに何を許可するか？」を制御する。権限制御

認証と認可を行うことで、利用者本人確認と正しい権限制御が可能になる。

IMPORTANT

認証 = Who、認可 = What。「ログインできるか」と「ログイン後に何ができるか」は別問題。試験では「認証と認可の違い」が直球で問われる。

多要素認証（MFA）の 3 要素（公式 SCB1.4.2 p.13）

MFA（Multi-Factor Authentication、多要素認証）は、以下の異なる種類の要素を2 つ以上組み合わせる認証方式。

要素	内容	例
知識情報（Something you know）	本人だけが知っている情報	パスワード、PIN、秘密の質問
所持情報（Something you have）	本人だけが持っているもの	スマートフォン、IC カード、ハードウェアトークン
生体情報（Something you are）	本人の身体的特徴	指紋、虹彩、顔、声紋

公式の典型例：ID/パスワード（知識情報）+ スマートフォンに送られるワンタイムパスワード（所持情報）。MFA により不正アクセスやなりすましのリスクを大幅に減らせる。

IMPORTANT

MFA の「多要素」は同じ要素を 2 つ重ねるのではなく、異なる要素を組み合わせることを意味する。パスワード 2 個は多要素ではなく多段階。試験では「知識 / 所持 / 生体」の 3 要素の名前が選択肢で問われる。

✅ キーワードチェックリスト

• [ ] 人的・技術的・物理的の 3 分類を分けて例を挙げられる
• [ ] DMZ の意義を説明できる
• [ ] FW / WAF / IDS / IPS / UTM の役割を区別できる
• [ ] シグニチャ型とアノマリ型の違い、次世代 FW が両方持つことを説明できる
• [ ] ソーシャルエンジニアリング 4 種を列挙できる
• [ ] 認証と認可の違いを 1 文で説明できる
• [ ] MFA の 3 要素（知識 / 所持 / 生体）を列挙できる

🎯 確認問題

問 1：SQL インジェクション攻撃から Web アプリを守るのに最も適した機器はどれか。

• (A) ファイアウォール（FW）
• (B) WAF
• (C) IDS
• (D) UTM のアンチウイルス機能

解答

(B) WAF。SQLi は HTTP リクエストの内容（パラメータ）を悪用するので、L7 で内容検査できる WAF が直接の対策。FW はポート単位、IDS は検知のみで遮断しない。

---

1.4.3 セキュリティ実装技術

学習目標：サイバー攻撃手法と対策の基本を理解する。セキュリティを強化するための技術が、どのように通信の安全性を保証し、それらが実際のネットワーク環境でどのように利用されるのか理解する キーワード：IPSec、SSL/TLS、SSH、HTTPS、パケットフィルタリング、VPN、サイバー攻撃手法と対策

暗号化方式（共通鍵・公開鍵）とその応用（デジタル署名）（v2.0 教材より、試験頻出）

※公式では暗号化方式は共通鍵 / 公開鍵の 2 種類であり、デジタル署名は公開鍵暗号方式の応用として別概念で扱われる。

方式	鍵の使い方	特徴	用途
共通鍵暗号方式	暗号化と復号に同じ鍵を使用	処理が速い。大容量ファイルの暗号化に適する。取り扱う人が増えると鍵の量が大幅増	大量データの暗号化
公開鍵暗号方式	公開鍵 + 秘密鍵のペアを使用	複雑な計算で処理に時間がかかる。小データ向け、本人確認が可能	鍵交換、デジタル署名
デジタル署名	公開鍵暗号方式の応用	文書のハッシュ値を秘密鍵で暗号化して署名、受信者は公開鍵で検証	改ざん防止 + 本人確認

IMPORTANT

共通鍵 vs 公開鍵の使い分け：「速さの共通鍵、安全な鍵交換の公開鍵」。実際の SSL/TLS は両者を組合せ — 公開鍵で共通鍵を渡し、本文は共通鍵で暗号化（ハイブリッド方式）。

SSL/TLS のバージョン履歴（IETF RFC 出典）

プロトコル	期間
SSL 1.0	リリースされていない
SSL 2.0	1995年 〜 2011年に終了
SSL 3.0	1996年 〜 2015年に終了
TLS 1.0	1999年 〜 2021年に終了
TLS 1.1	2006年 〜 2021年に終了
TLS 1.2	2008年 〜 現役
TLS 1.3	2018年 〜 現役

出典：IETF RFC 8446（TLS 1.3）/ RFC 5246（TLS 1.2）/ RFC 8996（TLS 1.0/1.1 廃止）/ RFC 6176（SSL 2.0 廃止）/ RFC 7568（SSL 3.0 廃止）

IMPORTANT

公式 v2.0 PDF p.30 との差異：公式教材は以下のように記載しているが、これは IETF RFC 公開年と乖離している。本資料は IETF RFC 値を採用。試験で公式教材値が問われる可能性があるため、両方の数値を覚えておくことを推奨。

バージョン	公式 v2.0 PDF	IETF RFC（本資料採用）
SSL 2.0	1995年 〜 2018年	1995年 〜 2011年（RFC 6176）
TLS 1.0	1999年 〜 2020年終了	1999年 〜 2021年3月廃止（RFC 8996）
TLS 1.1	2006年 〜 2020年終了	2006年 〜 2021年3月廃止（RFC 8996）
TLS 1.2	2006年 〜 現役	2008年 〜 現役（RFC 5246）
TLS 1.3	2008年 〜 現役	2018年 〜 現役（RFC 8446、10 年差）

WARNING

「SSL」と呼ばれているプロトコルの多くは実際には TLS。SSL は全バージョン廃止済み。試験では「SSL は古い名前で、現役は TLS 1.2 / 1.3」を押さえる。

SSL/TLS を用いた暗号通信の流れ（5 ステップ）

1. サーバの証明書と公開鍵を取得
2. サーバの公開鍵を使って共通鍵を暗号化
3. 暗号化した共通鍵をサーバに送信
4. サーバが秘密鍵で復号し共通鍵を取得
5. 以降は共通鍵で通信内容を暗号化して送受信

主要な通信保護技術

技術	レイヤ	用途
IPSec	L3	IP パケットレベルで暗号化（VPN によく使われる）
SSL/TLS	L4-L7 の境界	TCP の上で暗号化（HTTPS の中身）
SSH	L7	サーバへのリモートシェル / ファイル転送
HTTPS	L7	HTTP を TLS で保護
パケットフィルタリング	L3-L4	送受信元・ポートで許可 / 拒否
VPN	L3 中心	仮想的に専用線を作る
SSL アクセラレータ	-	SSL/TLS の暗号処理を専用ハードで高速化するアプライアンス

代表的なサイバー攻撃

攻撃	概要	主な対策
SQL インジェクション	DB 操作文字列を悪用	パラメータ化クエリ、WAF
XSS（クロスサイトスクリプティング）	他人のブラウザで JS 実行	出力エスケープ、CSP
CSRF	別サイト経由で不正リクエスト	CSRF トークン
DoS	大量のデータや不正なデータを送りつけてシステムを稼働できない状態にする（DDoS との対比では攻撃元が単一）	レート制限、IP ブロック
DDoS	DoS の分散型。ウィルス感染した複数台を遠隔操作で一斉に攻撃に使う	CDN、Anti-DDoS サービス
フィッシング	偽サイトで認証情報詐取	利用者教育、二要素認証
マルウェア	不正プログラム感染	アンチウイルス、サンドボックス

IMPORTANT

DoS と DDoS は別物として独立に問われる。DoS = 単一の攻撃元、DDoS（Distributed DoS） = 複数の攻撃元から分散的に。DDoS はボットネット（ウィルスに感染した一般 PC 群）を踏み台にすることが多い（公式 SCB1.4.3 p.12）。

マルウェアの 5 分類（公式 SCB1.4.3 p.19）

マルウェアは悪意あるソフトウェアの総称。ウィルスはマルウェアの一種であって同義ではない。公式教材は 5 種類を提示している。

種類	動作
ウィルス	プログラムを少し書き換え、第三者に感染させる
トロイの木馬	無害なソフトを装って侵入し、コンピュータを乗っ取って外部から操る
ワーム	自己増殖を行うことができる（他のプログラムに寄生しなくても単独で動く）
スパイウェア	コンピュータ内部にある情報を収集して外部へ送信する
ランサムウェア	ファイルを暗号化し、身代金を要求する

対策の代表は ウィルスを含むマルウェアを排除する対策ソフト（アンチウイルスソフト）。

IMPORTANT

マルウェア ⊃ ウィルス（マルウェアの中にウィルスがある）。試験では「マルウェアの分類で正しいものを選べ」「ランサムウェアは何をするか」「ワームの特徴」が出る。5 種の動作の違いで覚える。

VPN を実現する 4 つの仕組み（公式 SCB1.4.3 p.35）

VPN（Virtual Private Network、仮想専用通信網）：インターネットを用いた通信で、主に IPsec 技術を利用する。私道（専用線）を作らず公道（インターネット）の中に「自動車（VPN）」でプライベート空間を確保する仕組み。

VPN は以下の 4 つの仕組みで実現される：

仕組み	役割
トンネリング	インターネット上に仮想的な「通路」を作る
認証	通信相手が正しい相手であることを確認する
暗号化	通信内容を第三者に読めない形に変換する
カプセル化	内側のパケットを別パケットで包んで送る

IMPORTANT

「VPN を実現する仕組みを 4 つ挙げよ」が試験頻出。トンネリング / 認証 / 暗号化 / カプセル化の 4 つを暗記する。

TIP

GCP としては：Cloud Armor が DDoS / WAF、Identity-Aware Proxy が認証ゲートウェイ、Cloud VPN が IPsec VPN。Sakura では「エンハンスドロードバランサ」が WAF 機能を持つ。

✅ キーワードチェックリスト

• [ ] IPSec / SSL/TLS / SSH / HTTPS の用途違いを説明できる
• [ ] SQLi / XSS / CSRF / DoS / DDoS の代表的な対策を 1 つずつ挙げられる
• [ ] DoS と DDoS の違いを「攻撃元の数」で説明できる
• [ ] マルウェア 5 種（ウィルス / トロイの木馬 / ワーム / スパイウェア / ランサムウェア）を列挙できる
• [ ] VPN を実現する 4 つの仕組み（トンネリング / 認証 / 暗号化 / カプセル化）を列挙できる

---

1.4.4 セキュリティ関連法規

学習目標：主要なセキュリティ関連法規の基本的な内容を理解する キーワード：サイバーセキュリティ基本法、不正アクセス禁止法、個人情報保護法、情報セキュリティに関する基準

法令	概要
サイバーセキュリティ基本法	国のサイバーセキュリティ施策の基本方針を定める法律（2014 年成立、2015 年 1 月施行）
不正アクセス禁止法	他人の ID/パスワードでの不正アクセスを禁止
個人情報保護法	個人情報の取得・利用・第三者提供等を規制

情報セキュリティ関連の主な基準・ガイドライン

• 政府情報システム統一基準群 ※ 公式 SCB1.4.4 範囲外（ISMAP の根拠基準として補足記載）
• NIST SP 800 シリーズ（特に 800-53、800-171）※ 公式教材範囲外の補足知識
• ISO/IEC 27001（ISMS）、27017（クラウド）、27018（個人情報）

業界・民間の基準（公式仕様）

基準	概要
PCI DSS（Payment Card Industry Data Security Standard）	クレジットカード業界のセキュリティ基準。American Express / Discover / JCB / MasterCard / VISA の 5 社が共同で PCI SSC（Payment Card Industry Security Standards Council）を設立し、PCI SSC によって PCI DSS が運用・管理されている
ISMS クラウドセキュリティ認証	クラウドサービスに特化した情報セキュリティの要件を満たしている企業が取得できる制度。通常の **ISMS（JIS Q 27001）認証に加えて、クラウドサービス固有の管理策（ISO/IEC 27017）**が適切に導入・実施されているかを基準とする（公式 SCB1.4.4 p.13）
プライバシーマーク制度	個人情報の取り扱いを適切に行う事業者を認定する制度。JIS Q 15001（個人情報保護マネジメントシステム）に準拠

IMPORTANT

ISMS クラウドセキュリティ認証 = JIS Q 27001（通常 ISMS）+ ISO/IEC 27017（クラウド固有）。試験で「クラウド事業者向けの ISMS 上乗せ規格は何か」と問われたら ISO/IEC 27017。さくらインターネットも取得済み（後述 1.6.1）。

TIP

GCP としては：Google Cloud は PCI DSS Level 1 の認証を取得済み（決済処理に利用可能）。プライバシーマーク相当の認定は日本国内の事業者（GCP リセラー等）が個別に取得しているケースが多い。

NOTE

コラム：「不正アクセス」は他人事ではない 自分用テスト目的で他社のサーバに侵入するのは、技術力に関係なく不正アクセス禁止法違反。検定試験対策のテスト環境は自社 / 自分が契約したリソース内で行う。

✅ キーワードチェックリスト

• [ ] サイバーセキュリティ基本法 / 不正アクセス禁止法 / 個人情報保護法の対象範囲を 1 文で説明できる
• [ ] PCI DSS を策定した 5 社（Amex / Discover / JCB / MasterCard / VISA）と PCI SSC を答えられる
• [ ] ISMS クラウドセキュリティ認証 = JIS Q 27001 + ISO/IEC 27017 と即答できる
• [ ] プライバシーマーク制度の基となる JIS 規格（JIS Q 15001）を答えられる

---

1.5 システムマネジメント

1.5.1 システム運用

学習目標：システム運用の基本的な概念と考え方を理解する（システムの安定性や信頼性を維持する全体的なアプローチを含む）。システム監視、変更管理、構成管理など、システム運用において必要となる主要なプロセスを理解する キーワード：システム監視、変更管理、構成管理、資産管理、キャパシティ管理、abuse

運用プロセスの主要プロセス

プロセス	内容
システム監視	リソース使用率・死活・障害を継続的に観測
変更管理	変更を計画・承認・記録するプロセス
構成管理	IT システムを構成するハードウェアやソフトウェアなどの要素を管理（※ ITIL 由来の補足用語：CI = Configuration Item）
資産管理	ハードウェア・ソフトウェアライセンスを管理
キャパシティ管理	リソースが将来枯渇しないよう予測・計画
abuse 対応	不正利用報告（spam、phishing 等）への対応

システム監視の観点

• 死活監視：サーバ・サービスが応答するか
• リソース監視：CPU・メモリ・ディスク使用率
• アプリ監視：応答時間・エラー率・トランザクション数
• ログ監視：異常パターンの検知

TIP

GCP としては：Cloud Monitoring（メトリクス）+ Cloud Logging（ログ）が監視の中心。Sakura の「シンプル監視」「アクティビティグラフ」が同等機能。

NOTE

コラム：「abuse」とは何か クラウド利用者がフィッシングサイトを置いたり spam メール送信元にしたりするケースに、被害者から ISP / クラウド事業者へ通報されること。Sakura の場合 abuse@ メールで受け付け、利用者への警告 / 停止対応が行われる。

✅ キーワードチェックリスト

• [ ] 監視・変更管理・構成管理・資産管理・キャパシティ管理を区別できる
• [ ] abuse 対応がクラウド事業者の責務に含まれることを理解する

---

1.5.2 事業継続計画

学習目標：事業継続計画（BCP）と災害復旧（DR）の概念を理解し、企業のリスク管理にどう適用されるかを理解する。DR の観点から可用性を保つための冗長化や負荷分散の重要性を把握し、稼働率や SLA の考え方を理解する。バックアップとリストア、システム複製の基本を学ぶ キーワード：BCP、DR、可用性、冗長化、負荷分散、稼働率、SLA、バックアップとリストア、複製（クローン）

BCP / DR の関係

• BCP（Business Continuity Plan）：災害・障害時にも事業を継続する経営レベルの計画
• DR（Disaster Recovery）：BCP の中のIT 復旧計画部分

IMPORTANT

BCP ⊃ DR：BCP が広い概念、DR はその一部。試験ではこの包含関係が問われる。

可用性の確保

手段	内容
冗長化	同じ機能を複数用意して片方が落ちても継続
負荷分散	複数台に負荷を分配（冗長化と組み合わせる）
バックアップ	データを別の場所にコピー保管
リストア	バックアップしたデータを元に戻す操作。損失軽減・早期回復に寄与
クローン（複製）	システム全体のスナップショットを別環境に複製

スタンバイ方式（公式 SCB1.5.2 p.15）

冗長化の具体的な実現方式として、待機機の動作状態で 2 種類に分かれる。

方式	内容	切替時間
コールドスタンバイ	電源オフの状態の予備機を用意しておく	復旧までに時間がかかる
ホットスタンバイ	同じ稼働システム環境を別に用意し、データもリアルタイムに同期しておく	障害時に即座に切り替え可能

IMPORTANT

コールドスタンバイ vs ホットスタンバイは試験頻出の混同ペア。コールド = 電源オフ・切替に時間、ホット = リアルタイム同期・即切替。コストはホットの方が高い（常時稼働させるため）。

バックアップとリストアの関係

• バックアップ：データやシステムのコピーを作成し、別の場所に保存しておく
• リストア：バックアップされたデータやシステムのコピーからデータを戻す操作

「バックアップなしのリストアは存在しない」「バックアップしておけばリストアで早期回復できる」が原則。

稼働率と SLA

• 稼働率：稼働時間 ÷（稼働時間 + 停止時間）× 100（％）。例：99.99% = 年間ダウンタイム約 53 分
• SLA（Service Level Agreement）：事業者が利用者に約束する稼働率や応答性能の水準

稼働率の早見表（参考）

SLA	年間許容停止時間
99.0%	約 3.6 日
99.9%	約 8.8 時間
99.99%	約 53 分
99.999%	約 5 分

TIP

GCP としては：Compute Engine 単一インスタンスの SLA は 99.5%、リージョン分散構成で 99.99%（GCP 公式 SLA より、構成依存）。Sakura のクラウド SLA は月間サーバ稼働率 99.95% 以上（後述 3.3.1）。

✅ キーワードチェックリスト

• [ ] BCP と DR の包含関係を説明できる
• [ ] 「冗長化」と「負荷分散」の違いを説明できる
• [ ] 99.99% が年間どの程度のダウンタイム許容かが分かる

🎯 確認問題

問 1：BCP と DR の関係として最も適切なものはどれか。

• (A) BCP は IT 復旧、DR は経営レベルの計画
• (B) BCP は経営レベルの事業継続計画で、DR はその IT 復旧部分にあたる
• (C) BCP と DR は同義
• (D) BCP は計画文書、DR は実行手順を指す

解答

(B)。BCP（経営） ⊃ DR（IT）の包含関係。

---

1.6 クラウドインフラの基盤技術

1.6.1 データセンター

学習目標：データセンターの役割と機能の全体像を理解する。物理的構造（スペースの利用、電力供給、空調システム、通信回線の配置と管理）の基本について学び、それらがデータセンターの運用と信頼性にどのように寄与するのか理解する キーワード：スペース、電力、空調、回線、電源冗長、回線冗長、入退館管理、24/365 監視

データセンターの主要構成要素

要素	役割
スペース（ラック）	サーバを搭載する物理的な場所。1U / 2U 等のサイズ単位
電力	商用電源 + UPS（無停電電源装置）+ 自家発電
空調	サーバ発熱を排出。ホットアイル / コールドアイルで効率化
回線	複数 ISP 接続、冗長化された外部接続
入退館管理	物理セキュリティ（IC カード・生体認証）
24/365 監視	専任スタッフによる常時監視

電源冗長と回線冗長

• 電源冗長：商用 2 系統 + UPS + 自家発電。1 系統が落ちても運用継続
• 回線冗長：複数 ISP / 物理経路を分けた接続。1 系統断でも切替

石狩データセンターが備える 3 つの災害リスク対策（公式 SCB1.6.1 p.13）

さくらの石狩データセンターは以下の 3 種類の災害リスクに対する立地優位を持つ。

リスク	立地の優位性
地震リスク	大規模地震による影響を受けにくい立地
津波リスク	津波到達点より高い立地
液状化リスク	液状化リスクが低く、仮に発生しても地盤沈下を回避できる地盤

IMPORTANT

「石狩 DC の災害対策 3 リスク」は試験で問われる可能性。地震 / 津波 / 液状化の 3 つを順序通り暗記する。

サーバルームの 4 重セキュリティ（公式 SCB1.6.1 p.16）

サーバルームは 24/365 監視に加え、4 重のセキュリティで入退室を管理する。

セキュリティ機構	役割
監視カメラ	不審な行動やトラブルを監視
フラッパーゲート	事前の身元照会と IC カード認証
生体認証装置	サーバルーム入室に高いセキュリティ
ローターゲート	二重侵入を防止する回転式ゲート

IMPORTANT

「監視カメラ / フラッパーゲート / 生体認証 / ローターゲート」の 4 つが公式の 4 重セキュリティ。試験では「4 つに含まれないものを選べ」型で出る可能性。

さくらインターネットが取得している認証・準拠ガイドライン（公式 SCB1.6.1 p.17）

認証・基準	内容
ISMAP（Information system Security Management and Assessment Program）	政府情報システムのためのセキュリティ評価制度。政府が求めるセキュリティ要求を満たす
ISMS	情報セキュリティマネジメントの認証基準を取得
PCI DSS	クレジットカード情報を安全に扱うセキュリティ基準
SOC2 Type2 / SOC3	セキュリティと可用性の第三者監査報告書
プライバシーマーク	個人情報保護に関する認定（JIS Q 15001 準拠）

IMPORTANT

「ISMAP = 政府向けクラウドセキュリティ評価制度」「SOC2 Type2 / SOC3 = 第三者監査報告」の 2 つは公式独自に押さえるべきキーワード。試験では「日本政府向けのセキュリティ評価制度は何か」で ISMAP が直球で出る。

NOTE

コラム：データセンターの Tier（参考）

参考：公式範囲外。シラバス v2.0 教材 SCB1.6.1 には Uptime Institute の Tier 格付けは記載されていない。一般的な業界標準としては、Uptime Institute による Tier I-IV の格付けがあり、Tier IV は完全冗長で年間ダウンタイム 26.3 分以下（≒99.995%）。石狩データセンターは大規模・寒冷地立地の特徴を持つ（冷却コストが優位）が、Tier 表記は公式教材で使われていないため試験には出ない。

✅ キーワードチェックリスト

• [ ] DC の主要要素（スペース / 電力 / 空調 / 回線 / 入退館 / 監視）を列挙できる
• [ ] 電源冗長 / 回線冗長の必要性を説明できる
• [ ] 石狩 DC の 3 災害リスク（地震 / 津波 / 液状化）を列挙できる
• [ ] サーバルームの 4 重セキュリティを列挙できる
• [ ] ISMAP が日本政府向けクラウドセキュリティ評価制度だと即答できる

---

1.6.2 仮想化技術

学習目標：仮想化の基本概念を理解する。仮想化技術の仕組みを把握し、どのようにリソースの効率的な利用を可能にするのか理解する キーワード：仮想化、ハイパーバイザー、KVM

サーバ仮想化の仕組み

1 台の物理サーバ上に複数の仮想マシン（VM）を動かす技術。ハイパーバイザーが VM 間でリソースを分配する。

ハイパーバイザーの 2 種類

種類	配置	例
Type 1（ベアメタル型）	ハードウェア直上で動作	KVM、Xen、Hyper-V、VMware ESXi（公式 SCB1.6.2 の例示は KVM のみ。Xen / Hyper-V / VMware ESXi は業界知識として補足）
Type 2（ホスト型）	ホスト OS 上で動作	VMware Workstation、VirtualBox

クラウドでは Type 1 が主流。KVM（Kernel-based Virtual Machine） は Linux カーネルに統合された OSS ハイパーバイザーで、さくらのクラウド・GCP（の一部）が採用。

仮想サーバを移行させる手段（公式 SCB1.6.2 p.13）

機能	内容
ライブマイグレーション機能	動作中の仮想サーバをほぼ停止させることなく別のホストへ移す機能。メンテナンス時など、計画的に仮想サーバを移動させたいときに使用
HA 機能（High Availability）	仮想サーバが動いているホストサーバに障害が発生したとき、自動的に別のホストサーバへ切り替える機能。手動ではなく自動でサーバを切り替え、ホストサーバの復旧を待つことなく数分で仮想サーバを再起動できる（一時的にダウンはする）

IMPORTANT

ライブマイグレーション = 計画的（メンテ用、停止しない）、HA 機能 = 障害対応（自動、一時的にダウンする）。試験ではこの 2 つを混同させる選択肢が出る。

TIP

GCP としては：Compute Engine の VM も KVM ベース。Live Migration（GCP）が公式機能としてホストメンテナンス時の無停止移行を実現。Sakura も KVM 採用なので、内部実装の発想が近い。

✅ キーワードチェックリスト

• [ ] 仮想化が「物理リソースを論理的に分割する技術」と説明できる
• [ ] ハイパーバイザーの Type 1 / 2 を区別できる
• [ ] KVM が OSS Type 1 ハイパーバイザーであると説明できる
• [ ] ライブマイグレーション（計画的・無停止）と HA 機能（障害時・自動切替）の違いを説明できる

---

1.6.3 コンテナ

学習目標：コンテナの基本概念を理解する。仕組みを把握し、どのようにアプリケーションの開発と運用を効率化するのか理解する キーワード：コンテナ、Docker、名前空間、cgroups、Kubernetes

仮想化との違い

• VM：仮想ハードウェア + ゲスト OS を丸ごと持つ。重い
• コンテナ：ホスト OS のカーネルを共有し、アプリと依存だけを隔離。軽い

コンテナを支える Linux カーネル機能

• 名前空間（namespaces）：プロセス / ネットワーク / マウント等を隔離（公式表記は Namespaces）
• cgroups（control groups）：CPU・メモリ等のリソース上限を制御（公式表記は Cgroups）

Docker と Kubernetes

• Docker：コンテナを作る / 動かす / 配布するための代表的なツール
• Kubernetes（k8s）：多数のコンテナを宣言的に管理（オーケストレーション）するプラットフォーム

Docker の開発から運用までの 3 ステップ（公式 SCB1.6.3 p.11）

公式教材は Docker のワークフローを BUILD / SHARE / RUN の 3 段階で説明する。

ステップ	内容	代表的なコマンド
BUILD（構築）	ソースコード・設定ファイル・ライブラリを Docker イメージに集約	docker image build（docker build）
SHARE（共有）	Docker イメージを Docker Hub（公開レジストリ）等に送信 / 取得して共有・コラボレーション	docker image push / pull
RUN（実行）	Docker イメージから Docker コンテナを起動してアプリケーションを実行	docker container run（docker run）

Docker イメージとコンテナの違い

概念	性質
Docker イメージ	静的なテンプレート。アプリと依存をまとめたパッケージ
Docker コンテナ	イメージから起動された実行中のプロセス（実体）

1 つのイメージから複数のコンテナを起動できる（クラスでオブジェクトを複数 new するイメージ）。

Kubernetes の管理単位「ポッド（Pod）」（公式 SCB1.6.3 p.14）

観点	Docker	Kubernetes
基本概念	コンテナ型の仮想化技術。1 つのアプリをコンテナとしてパッケージ化	コンテナオーケストレーションシステム。複数コンテナを管理・自動化
主な用途	単一コンテナの作成・開発・実行	大規模なコンテナアプリのデプロイ・管理・スケーリング
スケーリング	手動 / サードパーティツール	自動スケーリングを含む高度な機能
運用環境	ローカル開発環境から本番環境まで幅広く	主にクラウド環境や大規模な本番環境
管理単位	コンテナ	ポッド（Pod、複数のコンテナのグループ）

IMPORTANT

Kubernetes の最小デプロイ単位は「ポッド（Pod）」で、ポッドの中に複数のコンテナをまとめて配置できる。「Kubernetes はコンテナ単位ではなくポッド単位で管理」が試験頻出のポイント。

TIP

GCP としては：GKE = マネージド Kubernetes、Cloud Run = フルマネージドのサーバレスコンテナ、Artifact Registry = Docker Hub 相当の private registry。Sakura の「AppRun」が Cloud Run 相当。

✅ キーワードチェックリスト

• [ ] VM とコンテナの違い（OS を持つか / 共有するか）を説明できる
• [ ] namespaces / cgroups がコンテナの基盤機能であると説明できる
• [ ] Docker（実行）と Kubernetes（オーケストレーション）の役割を区別できる
• [ ] Docker フロー BUILD / SHARE / RUN を即答できる
• [ ] Docker Hub が公開レジストリだと説明できる
• [ ] イメージ（静的）とコンテナ（実行中）の違いを説明できる
• [ ] Kubernetes の管理単位はポッド（複数コンテナ）と説明できる

🎯 確認問題

問 1：コンテナと仮想マシンの違いとして正しいものはどれか。

• (A) コンテナはハイパーバイザーを使い、VM は使わない
• (B) コンテナはホスト OS のカーネルを共有するが、VM はゲスト OS を持つ
• (C) コンテナのほうが VM より重い
• (D) VM は Kubernetes で管理し、コンテナはハイパーバイザーで管理する

解答

(B)。コンテナはカーネル共有で軽量、VM は OS まるごとで重い。

---

1.6.4 クラウドネイティブ

学習目標：API とクラウドネイティブの基本概念を理解する。スケーリングと自動化の手法を理解する。クラウドネイティブの運用スタイルを理解する キーワード：API、クラウドネイティブ、オートスケール、IaC、サーバレス、DevOps、CI/CD

クラウドネイティブとは

クラウドネイティブとは現代のソフトウェア開発と運用のアプローチであり、アプリケーションやサービスをクラウド環境で最大限に活用するために設計された技術や方法論の集合。

**2015 年に設立された CNCF（Cloud Native Computing Foundation）**という団体が定義している：

• スケーラブルなアプリケーションを構築および実行するための能力を組織にもたらす
• 回復性、管理力、および可観測性のある疎結合システムが実現する

IMPORTANT

「CNCF」「2015 年設立」「回復性 / 管理力 / 可観測性 / 疎結合」は試験頻出のキーワード。「3 つ + 1 つ」（回復性・管理力・可観測性 / 疎結合）として並列で出題される傾向がある。

クラウドネイティブの 5 つの構成技術（公式 SCB1.6.4 p.10、試験頻出）

公式教材はクラウドネイティブのアプローチとして 5 つの技術を順序通り提示している。「4 つ」ではなく「5 つ」で、先頭はコンテナである点に注意。

#	技術	説明
1	コンテナ	アプリケーションとその実行に必要なライブラリ・依存関係を一つにパッケージ化し、隔離されたプロセスを実行する技術
2	サービスメッシュ	マイクロサービス間の通信を制御・監視する専用インフラ（Istio / Linkerd 等）
3	マイクロサービス	小さなサービスを組み合わせて、一つのアプリケーションを開発する
4	イミュータブルインフラストラクチャ	サーバをアップグレードせず、常に新しいサーバを作ってインフラを差し替える運用方式
5	宣言型 API	アプリケーションやインフラストラクチャの望ましい状態を「宣言」する方法

IMPORTANT

「回復性、管理力、および可観測性のある疎結合システムが実現する」が v2.0 教材の表現。試験では コンテナ / サービスメッシュ / マイクロサービス / イミュータブルインフラストラクチャ / 宣言型 API の 5 つを並べる問題が出る。「4 つ」と書いてある選択肢は間違い。先頭の「コンテナ」を忘れやすいので注意。

Web API（試験頻出は RESTful）

公式キーワードでは API が試験範囲。RESTful の定義だけ確実に押さえる。

形式	特徴
RESTful API	HTTP/HTTPS の仕組みだけでデータをやり取りする軽量で扱いやすい Web API。GET/POST/PUT/DELETE のメソッドでリソース操作

📚 発展：その他の API 形式（試験範囲外、理解補助）

シラバス v2.0 のキーワードは「API」のみで、以下は試験出題範囲外。実務やアドバンスドで参考になる程度。

形式	特徴
GraphQL	必要なフィールドだけ取得できるクエリ言語型 API
gRPC	Protocol Buffers ベースのバイナリ RPC（高速・型安全）

CNCF は他にも 100 以上のプロジェクトを抱え、観測性（Prometheus / OpenTelemetry）やパッケージング（Helm）等もエコシステムに含む。試験では「マイクロサービス / サービスメッシュ / イミュータブル / 宣言型 API」の 4 要素を最優先で覚える。

スケーリングの 2 軸：垂直 vs 水平（公式 SCB1.6.4 p.12）

スケーリングとは「システムの処理能力や規模を拡張・縮小すること」。方向で 2 種類に分かれる。

軸	名称	内容
垂直スケーリング	1 台のマシンの CPU やメモリを強化して性能を上げる	台数は変わらない、スペックを増減させる
水平スケーリング	同じ構成のサーバを複数並べて処理を分散する	スペックは変わらない、台数を増減させる

スケールアップ / アウト / イン / ダウンの 4 用語

操作	方向	台数 / スペック
スケールアップ	垂直の増	台数：変わらず / スペック：増
スケールダウン	垂直の減	台数：変わらず / スペック：減
スケールアウト	水平の増	台数：増 / スペック：変わらず
スケールイン	水平の減	台数：減 / スペック：変わらず

IMPORTANT

「アップ / ダウンは垂直、アウト / インは水平」と覚える。試験ではこの 4 用語を入れ替える選択肢が出る。台数を増やす = アウト、性能を上げる = アップ。

オートスケールとは（公式 SCB1.6.4 p.13）

負荷に応じて、自動的にサーバの台数を増減させること。準備リソースが少なすぎても多すぎてもコスト効率が悪く、オートスケールでリソースを自動調整することでアクセス増にも対応しコストも最適化できる。

クラウドネイティブの中核要素（実践レベル）

要素	説明
API	サービス間連携の境界（HTTP/REST、gRPC）
オートスケール	負荷に応じて自動でリソース増減
IaC（Infrastructure as Code）	インフラを Terraform 等のコードで管理
サーバレス	利用者がサーバ管理しない実行モデル（関数 / コンテナ）
DevOps	開発（Dev）と運用（Ops）を統合する文化・実践
CI/CD	CI = Continuous Integration（継続的インテグレーション、コード変更を早期にビルド・テスト）/ CD = Continuous Delivery（継続的デリバリー、CI 通過成果物を自動デプロイ）

サーバレスと FaaS（公式 SCB1.6.4 p.18-19）

サーバレスとは「開発者がサーバの管理を気にすることなくアプリケーションの構築と実行を可能にするクラウドネイティブの開発モデル」。

概念	関係
サーバレス	サーバ管理が不要な実行モデル全般
FaaS（Function as a Service）	サーバレスの一種。イベントに応じて関数単位で処理を実行できる仕組み（例：フォーム入力 → 関数実行 → メール送信）

IMPORTANT

FaaS ⊂ サーバレス（FaaS はサーバレスの一種）。試験では「FaaS とは何か」「サーバレスと FaaS の関係」が問われる。関数単位で実行するならFaaS、より広い概念がサーバレス。

サーバレスのメリット（公式 SCB1.6.4 p.19）

メリット	内容
サーバ構築・運用が不要	OS / ミドル / パッチ管理から解放
小さく始めて大きくスケールできる	利用量ゼロから自動拡張
イベント駆動型で、反応が速い	HTTP / メッセージ / スケジュール起動
従量課金（無駄なコストが出にくい）	利用していない時間は課金されない

マネージドサービスと責任範囲

クラウドサービスは「どこまで事業者がマネージドするか」で IaaS / PaaS / SaaS / サーバレス（FaaS）に分かれる。マネージドの範囲が広がるほど利用者の責任範囲は狭くなり、運用負荷は下がるが、自由度（カスタマイズ性）は下がる。

モデル	利用者の責任範囲	事業者の責任範囲
IaaS	OS から上の全部（OS / ミドル / アプリ / データ）	仮想化 / ハードウェア / ネットワーク
PaaS	アプリ・データのみ	+ OS / ミドルウェア / ランタイム
SaaS / サーバレス（FaaS）	データ・関数コードのみ	+ アプリケーション / 実行環境すべて

IMPORTANT

「責任共有モデル」の発想。マネージド度合いが上がるほど利用者は楽だがロックイン / カスタマイズ自由度とのトレードオフがある。「IaaS で OS のパッチ管理を事業者がやってくれる」のような選択肢は誤り。

自動化の対象（v2.0 教材より、3 領域）

自動化の対象	具体例
インフラ構築	仮想サーバやネットワークの自動作成（IaC）
スケーリング	アクセスが増えたら自動でサーバを追加（オートスケーリング）
デプロイ	コードを更新したら自動でアプリを再配置（CI/CD）

IaC のコード例（イメージ）

# Terraform で Sakura のサーバを宣言する例（雰囲気）
resource "sakuracloud_server" "web" {
  name        = "web-1"
  zone        = "is1a"
  core        = 2
  memory      = 4
  disks       = [sakuracloud_disk.web.id]
  description = "三層構成の Web 層"
}

宣言的に「あるべき状態」を書くと、ツールが現状と差分を計算して適用する。手作業をコード化することで再現性と監査性が確保できる。

TIP

GCP としては：gcloud / Terraform google provider / Cloud Deploy / Cloud Build が同じ役割。「IaC は手段、CI/CD は流れ、DevOps は文化」と覚えると 3 つの関係が掴みやすい。

NOTE

コラム：サーバレスは「サーバなし」ではない サーバは存在するが「利用者から見えない / 管理しなくて良い」のがサーバレス。Cloud Run も AppRun も裏でサーバが動いている。

✅ キーワードチェックリスト

• [ ] API / オートスケール / IaC / サーバレス / DevOps / CI/CD を 1 文ずつ説明できる
• [ ] クラウドネイティブの 5 つの構成技術（コンテナ / サービスメッシュ / マイクロサービス / イミュータブル / 宣言型 API）を順序通り列挙できる
• [ ] 垂直スケーリング（アップ / ダウン）と水平スケーリング（アウト / イン）の 4 用語を区別できる
• [ ] FaaS がサーバレスの一種で関数単位の実行モデルだと説明できる
• [ ] マネージド度合いと利用者の責任範囲のトレードオフを説明できる
• [ ] IaC が「宣言的にインフラを管理する」手法だと理解する
• [ ] サーバレスが「サーバが無い」ではなく「管理不要」であると説明できる

🎯 確認問題

問 1：IaC（Infrastructure as Code）の主な利点として最も適切なものはどれか。

• (A) GUI 操作の速度向上
• (B) インフラ構成の再現性と監査性の確保
• (C) クラウド利用料の自動的な削減
• (D) ハイパーバイザーの自動アップデート

解答

(B)。コード化により、誰がいつ何をどう変えたかが履歴に残り、同じ構成を別環境にも再現できる。

---

ターム 1 総合確認問題

ターム 1 のシラバス全範囲をカバーする追加 30 問。試験形式（4 択即答）に合わせて作問。

問 11：NIST が提唱したクラウドの「3 つのサービスモデル」に該当しないものはどれか。

• (A) IaaS
• (B) PaaS
• (C) SaaS
• (D) NaaS（Network as a Service）

解答

(D)。NIST 定義は IaaS / PaaS / SaaS の 3 つ。NaaS は業界で使われる用語だが NIST 公式の 3 区分には含まれない。

問 12：プライベートクラウドの定義として最も適切なものはどれか。

• (A) インターネット上に公開される共有のクラウド
• (B) 単一組織のために運用されるクラウド
• (C) 複数組織で共同利用するクラウド
• (D) 物理サーバを直接利用する形態

解答

(B)。プライベートは「単一組織専有」。コミュニティが「複数組織共有」、パブリックが「不特定多数」。

問 13：「IaaS」の利用者が管理する範囲として正しいものはどれか。

• (A) 仮想化基盤まで
• (B) ハードウェアまで
• (C) ゲスト OS 以上（アプリ・データを含む）
• (D) アプリのデータのみ

解答

(C)。IaaS は仮想化基盤までが事業者、ゲスト OS から上が利用者。

問 14：揮発性メモリの例として正しいものはどれか。

• (A) HDD
• (B) SSD
• (C) RAM
• (D) 光ディスク

解答

(C) RAM。電源を切ると内容が失われる。HDD / SSD / 光ディスクはいずれも不揮発。

問 15：DHCP サーバの役割として正しいものはどれか。

• (A) ドメイン名を IP に変換する
• (B) IP アドレスを動的に配布する
• (C) ファイルを転送する
• (D) HTTP を中継する

解答

(B)。DHCP = Dynamic Host Configuration Protocol。

問 16：OSI 参照モデルの第 3 層はどれか。

• (A) データリンク層
• (B) ネットワーク層
• (C) トランスポート層
• (D) セッション層

解答

(B) ネットワーク層。IP プロトコルが動く層。

問 17：CIDR 表記 192.168.0.0/24 のホスト部のビット長はどれか。

• (A) 8 ビット
• (B) 16 ビット
• (C) 24 ビット
• (D) 32 ビット

解答

(A) 8 ビット。IPv4 の 32 ビット中、ネットワーク部 24 ビットを除いた 8 ビットがホスト部。

問 18：NAT が解決する問題として最も中心的なものはどれか。

• (A) DNS の遅延
• (B) IPv4 アドレスの不足
• (C) ARP の効率
• (D) TCP の輻輳

解答

(B)。NAT は IPv4 アドレス枯渇への対応策の代表。プライベート IP とグローバル IP を変換することで多数の機器を少数のグローバル IP で共有できる。

問 19：CIA の「I（Integrity）」が守る性質はどれか。

• (A) 認可された者のみがアクセスできる
• (B) 情報が改ざんされず正確である
• (C) 必要なときに使える
• (D) 通信が暗号化されている

解答

(B) 完全性（Integrity）。情報が改ざんされない・正確である状態を守る。(A) が機密性、(C) が可用性。

問 20：DMZ の設置目的として最も適切なものはどれか。

• (A) 内部 LAN を完全に遮断する
• (B) 外部公開サーバと内部 LAN を分離して防御を強化する
• (C) すべての通信を暗号化する
• (D) DNS サーバを冗長化する

解答

(B)。DMZ = 外部公開ゾーン。Web サーバが破られても DB がある内部 LAN にすぐ到達できないようにする多層防御の中核。

問 21：IDS と IPS の違いとして正しいものはどれか。

• (A) IDS は L7、IPS は L3 で動作する
• (B) IDS は検知のみ、IPS は検知＋遮断
• (C) IDS は暗号化、IPS は復号する
• (D) IDS は外部向け、IPS は内部向け

解答

(B)。Detection と Prevention の違い。IPS は通信を実際に止められる。

問 22：HTTPS が利用するセキュリティ技術として正しい組み合わせはどれか。

• (A) HTTP + IPSec
• (B) HTTP + SSL/TLS
• (C) FTP + SSL/TLS
• (D) SSH + SSL/TLS

解答

(B)。HTTPS = HTTP over TLS。SSL は旧称（現在の標準は TLS）。

問 23：「他人のサーバへの不正な侵入」を直接禁じる日本の法律はどれか。

• (A) サイバーセキュリティ基本法
• (B) 不正アクセス禁止法
• (C) 個人情報保護法
• (D) 著作権法

解答

(B) 不正アクセス禁止法。他人の ID/パスワードでのアクセス等を禁じる。

問 24：システム運用における「構成管理」の主な目的はどれか。

• (A) 利用者教育
• (B) 構成要素（CI）の状態を正しく把握・管理する
• (C) ライセンスコストを削減する
• (D) 機器を物理的に施錠する

解答

(B)。Configuration Management。公式は『IT システムを構成する要素を管理』表現。CI（Configuration Item）は ITIL 業界用語で公式教材本文には記載なし。

問 25：稼働率 99.9% の年間許容停止時間はおよそどれか。

• (A) 53 分
• (B) 5 分
• (C) 8.8 時間
• (D) 3.6 日

解答

(C) 8.8 時間。99.99% で 53 分、99.999% で 5 分、99.0% で 3.6 日。覚え方として「9 が 1 つ増えるとダウンタイムは約 1/10 に」。

問 26：BCP の最上位概念に対する説明として正しいものはどれか。

• (A) IT システムの復旧手順書
• (B) 災害・障害時にも事業を継続するための経営レベルの計画
• (C) サーバの自動バックアップ機能
• (D) クラウド事業者の SLA 文書

解答

(B)。BCP = Business Continuity Plan。DR（Disaster Recovery）は BCP の IT 復旧部分。

問 27：データセンターの「電源冗長」が必要な理由として最も適切なものはどれか。

• (A) 課金を分散するため
• (B) 商用電源 1 系統の停止時にも運用継続するため
• (C) サーバ性能を倍にするため
• (D) ネットワーク回線を増やすため

解答

(B)。商用 2 系統 + UPS + 自家発電の組み合わせで「片系統断時にも継続」を保証する。

問 28：ハイパーバイザーの Type 1 と Type 2 の違いとして正しいものはどれか。

• (A) Type 1 はホスト OS 上、Type 2 はハードウェア直上
• (B) Type 1 はハードウェア直上、Type 2 はホスト OS 上
• (C) Type 1 はサーバ用、Type 2 はクライアント用と決まっている
• (D) Type 1 は無料、Type 2 は有償と決まっている

解答

(B)。Type 1（ベアメタル型）はハードウェア直上、Type 2（ホスト型）はホスト OS 上で動く。クラウドでは Type 1 が主流。

問 29：コンテナを支える Linux カーネル機能の組み合わせとして正しいものはどれか。

• (A) namespaces と cgroups
• (B) HyperThreading と TLB
• (C) NUMA と RDMA
• (D) systemd と journald

解答

(A)。namespaces（隔離）と cgroups（リソース制限）の組み合わせがコンテナの基盤。

問 30：「Cloud Run / AppRun」のような「サーバを意識せずコンテナをデプロイ・自動スケール」モデルを表す概念はどれか。

• (A) IaaS
• (B) サーバレス
• (C) DevOps
• (D) ベアメタル

解答

(B)。サーバレスは「サーバが無い」ではなく「管理不要」の意味。

問 31：「OS 上にゲスト OS を丸ごと持つ」モデルはどれか。

• (A) コンテナ
• (B) 仮想マシン
• (C) サーバレス関数
• (D) ベアメタル

解答

(B) 仮想マシン。コンテナはホスト OS のカーネルを共有して軽量。

問 32：「インフラ構成をコードで宣言的に管理する」アプローチを最もよく表す用語はどれか。

• (A) DevOps
• (B) IaC
• (C) CI/CD
• (D) サーバレス

解答

(B) IaC（Infrastructure as Code）。DevOps はカルチャー、CI/CD は流れの自動化、サーバレスは実行モデル。

問 33：ファイアウォール、IDS/IPS、アンチウイルスを統合した機器を一般に何と呼ぶか。

• (A) WAF
• (B) UTM
• (C) GSLB
• (D) DLP

解答

(B) UTM（Unified Threat Management）。

問 34：SSL/TLS の主な役割として正しいものはどれか。

• (A) 物理的な隔離
• (B) 通信の暗号化と相手の認証
• (C) IP アドレスの動的配布
• (D) ファイルの圧縮

解答

(B)。TLS は暗号化 + 認証（証明書による相手の信頼性確認）の組み合わせ。

問 35：「IX」の役割として正しいものはどれか。

• (A) エンドユーザーを ISP に接続する
• (B) 複数の ISP を相互接続する中継拠点
• (C) ドメイン名を IP に変換する
• (D) Web サイトを高速配信する

解答

(B) IX = Internet eXchange。ISP 同士を交換接続する場所。

問 36：マルチテナント環境において、テナント間で共有しているリソースとして正しいものはどれか。

• (A) 暗号鍵
• (B) ハイパーバイザーや物理ホスト
• (C) アカウント情報
• (D) ストレージ上の他テナントのデータ

解答

(B)。クラウドは物理ホストやハイパーバイザーを共有し、ハイパーバイザーで論理隔離する。暗号鍵やデータは共有しない。

問 37：オートスケールを設定するときの「トリガー」として典型的なものはどれか。

• (A) 日付
• (B) CPU 使用率や接続数のしきい値
• (C) ライセンス期限
• (D) IP アドレスの種類

解答

(B)。負荷指標がしきい値を超えたら台数を増やし、下回ったら減らす。

問 38：OSS のメリットとして最も適切なものはどれか。

• (A) すべてベンダーがサポートする
• (B) ソースが公開され改変・再配布が可能で、ベンダーロックインを避けやすい
• (C) ライセンス管理が一切不要
• (D) 自動的にバージョンアップする

解答

(B)。OSS は「ソース公開・改変・再配布可」が原則。ライセンスは依然として遵守必要（GPL / MIT 等）。

問 39：ISMS の国際規格番号として正しいものはどれか。

• (A) ISO/IEC 9001
• (B) ISO/IEC 14001
• (C) ISO/IEC 27001
• (D) ISO/IEC 20000

解答

(C) ISO/IEC 27001。情報セキュリティマネジメントの国際規格。

問 40：プロキシサーバの役割として正しいものはどれか。

• (A) ドメイン名解決
• (B) クライアントとサーバ間の通信を中継・代理する
• (C) IP アドレス配布
• (D) 物理的なファイアウォール

解答

(B)。Proxy = 代理。クライアント側の代理（forward proxy）、サーバ側の代理（reverse proxy）両方の使い方がある。

---

ターム 1 全体まとめ

• クラウドの定義は NIST 5 特徴 / 3 サービスモデル / 4 配置モデル
• ハードウェア・ソフトウェア・ネットワークは IT インフラの基礎用語
• セキュリティは CIA + 3 種対策（人的・技術的・物理的）+ 機器の役割
• 運用は 監視 / 変更管理 / 構成管理 / キャパシティ管理 / BCP・DR
• クラウド基盤技術は データセンター / 仮想化 / コンテナ / クラウドネイティブ

次は ターム 2 でこれらの汎用概念が Sakura のサービスに具体化される様子を見る。