12月 21, 2025
31 分で読める

ジュニアセキュリティエンジニア面接質問と回答

interview
career-advice
job-search
entry-level
ジュニアセキュリティエンジニア面接質問と回答
Milad Bonakdar

Milad Bonakdar

著者

CIAトライアド、OWASP、脆弱性管理、TLS、SIEMアラート、パスワード保護、インシデント対応を面接向けに実践的に確認できます。

はじめに

ジュニアセキュリティエンジニアの面接では、基礎概念を説明できるだけでなく、脆弱性の優先順位付け、SIEMアラートの確認、パスワード保護、TLS確認、インシデント対応にどう使うかが見られます。

ここでは、概念と実務での行動を結びつけて答える練習ができる質問をまとめます。

セキュリティの基礎

1. CIAトライアドについて説明してください。

回答: CIAトライアドは、情報セキュリティの基礎です。

機密性 (Confidentiality):

  • 許可されたユーザーのみがデータにアクセスできる
  • 実現方法: 暗号化、アクセス制御、認証

完全性 (Integrity):

  • データが正確で変更されていない状態を維持する
  • 実現方法: ハッシュ化、デジタル署名、チェックサム

可用性 (Availability):

  • システムとデータが必要なときにアクセス可能である
  • 実現方法: 冗長性、バックアップ、DDoS防御
Loading diagram...

違反の例:

  • 機密性: 顧客情報を暴露するデータ漏洩
  • 完全性: 攻撃者が財務記録を改ざんする
  • 可用性: DDoS攻撃によるウェブサイトのダウン

希少性: 非常に一般的 難易度: 簡単

OWASP Top 10

2. OWASP Top 10から3つの項目を挙げて説明してください。

回答: OWASP Top 10は、最も重大なWebアプリケーションのセキュリティリスクをリストアップしています。

1. インジェクション (SQLインジェクション): 攻撃者が悪意のあるコードをクエリに挿入します。

# 脆弱なコード
username = request.GET['username']
query = f"SELECT * FROM users WHERE username = '{username}'"
# 攻撃: username = "admin' OR '1'='1"

# 安全なコード (パラメータ化されたクエリ)
cursor.execute("SELECT * FROM users WHERE username = %s", (username,))

2. 不適切なアクセス制御: ユーザーがアクセスすべきでないリソースにアクセスできてしまいます。

# 脆弱: 認証チェックなし
@app.route('/admin/users/<user_id>')
def get_user(user_id):
    return User.query.get(user_id)

# 安全: 認証チェックあり
@app.route('/admin/users/<user_id>')
@require_admin
def get_user(user_id):
    if not current_user.is_admin:
        abort(403)
    return User.query.get(user_id)

3. クロスサイトスクリプティング (XSS): 攻撃者が悪意のあるスクリプトをWebページに挿入します。

<!-- 脆弱 -->
<div>ようこそ, {{ username }}</div>

<!-- 攻撃 -->
username = "<script>alert('XSS')</script>"

<!-- 安全 (出力をエスケープ) -->
<div>ようこそ, {{ username | escape }}</div>

希少性: 非常に一般的 難易度: 中程度

3. どのように脆弱性管理を行いますか?

回答: 脆弱性管理は、セキュリティ上の弱点を特定、評価、および修復する継続的なプロセスです。ジュニア向けの良い回答では、資産管理、深刻度、悪用可能性、外部公開状況、ビジネス影響、修復担当、検証まで触れます。

CVSSスコアだけに頼らないことが重要です。実際に悪用されているもの、インターネット公開資産、重要資産、他の弱点と組み合わせやすいものを優先します。

プロセス:

Loading diagram...

脆弱性スキャン:

# Nmap脆弱性スキャン
nmap --script vuln 192.168.1.100

# OpenVASスキャン
openvas-start
# ウェブインターフェースへのアクセス: https://localhost:9392

# Nessusスキャン (商用)
# ウェブインターフェース経由で設定

Nessusの例:

# Nessusスキャンの自動化
import requests
import time

class NessusScanner:
    def __init__(self, url, access_key, secret_key):
        self.url = url
        self.headers = {
            'X-ApiKeys': f'accessKey={access_key}; secretKey={secret_key}'
        }
    
    def create_scan(self, name, targets):
        data = {
            'uuid': 'template-uuid',  # 基本ネットワークスキャン
            'settings': {
                'name': name,
                'text_targets': targets
            }
        }
        response = requests.post(
            f'{self.url}/scans',
            headers=self.headers,
            json=data,
            verify=False
        )
        return response.json()['scan']['id']
    
    def launch_scan(self, scan_id):
        requests.post(
            f'{self.url}/scans/{scan_id}/launch',
            headers=self.headers,
            verify=False
        )
    
    def get_results(self, scan_id):
        response = requests.get(
            f'{self.url}/scans/{scan_id}',
            headers=self.headers,
            verify=False
        )
        return response.json()

# 使用例
scanner = NessusScanner('https://nessus:8834', 'access_key', 'secret_key')
scan_id = scanner.create_scan('Weekly Scan', '192.168.1.0/24')
scanner.launch_scan(scan_id)

パッチ管理:

# Linuxパッチ管理
# Ubuntu/Debian
sudo apt update
sudo apt list --upgradable
sudo apt upgrade -y

# CentOS/RHEL
sudo yum check-update
sudo yum update -y

# 自動パッチ適用
sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades

優先順位付けマトリックス:

CVSSスコア攻撃の可能性資産の重要度優先度
クリティカル (9-10)公開されているエクスプロイト本番環境P1 (即時)
高 (7-8.9)PoC利用可能本番環境P2 (1週間)
中 (4-6.9)エクスプロイトなし内部P3 (1か月)
低 (0-3.9)エクスプロイトなし開発/テストP4 (次のサイクル)

修正の追跡:

# 脆弱性追跡
class VulnerabilityTracker:
    def __init__(self):
        self.vulnerabilities = []
    
    def add_vulnerability(self, vuln):
        self.vulnerabilities.append({
            'id': vuln['id'],
            'severity': vuln['severity'],
            'asset': vuln['asset'],
            'status': 'open',
            'discovered': datetime.now(),
            'sla_deadline': self.calculate_sla(vuln['severity'])
        })
    
    def calculate_sla(self, severity):
        sla_days = {
            'critical': 7,
            'high': 30,
            'medium': 90,
            'low': 180
        }
        return datetime.now() + timedelta(days=sla_days[severity])
    
    def get_overdue(self):
        return [v for v in self.vulnerabilities 
                if v['status'] == 'open' and 
                datetime.now() > v['sla_deadline']]

希少性: 一般的 難易度: 簡単〜中程度

暗号化の基本

4. 対称暗号化と非対称暗号化の違いは何ですか?

回答:

対称暗号化:

  • 暗号化と復号化に同じ鍵を使用します
  • 高速
  • 例: AES, DES, 3DES

非対称暗号化:

  • 公開鍵で暗号化し、秘密鍵で復号化します
  • 低速
  • 例: RSA, ECC
# 対称暗号化 (AES)
from cryptography.fernet import Fernet

# 鍵の生成
key = Fernet.generate_key()
cipher = Fernet(key)

# 暗号化
encrypted = cipher.encrypt(b"秘密のメッセージ")

# 復号化
decrypted = cipher.decrypt(encrypted)

# 非対称暗号化 (RSA)
from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography.hazmat.primitives import serialization

# 鍵ペアの生成
private_key = rsa.generate_private_key(
    public_exponent=65537,
    key_size=2048
)
public_key = private_key.public_key()

# 公開鍵で暗号化し、秘密鍵で復号化

ユースケース:

  • 対称: 大量のデータ (ファイル、データベース) の暗号化
  • 非対称: 鍵交換、デジタル署名、SSL/TLS

希少性: 非常に一般的 難易度: 簡単〜中程度

5. SSL/TLSはどのように機能し、証明書をどのように管理しますか?

回答: SSL/TLSは、クライアントとサーバーの間で転送中のデータを暗号化します。

TLSハンドシェイク:

Loading diagram...

仕組み:

  1. Client Hello: クライアントがサポートする暗号スイートを送信します
  2. Server Hello: サーバーが暗号を選択し、証明書を送信します
  3. 証明書の検証: クライアントが証明書チェーンを検証します
  4. 鍵交換: 共有秘密を確立します
  5. 暗号化された通信: 対称暗号化を使用します

証明書の構成要素:

# 証明書の詳細を表示
openssl x509 -in certificate.crt -text -noout

# 証明書に含まれるもの:
# - Subject (ドメイン名)
# - Issuer (CA)
# - 有効期間
# - 公開鍵
# - 署名

証明書管理:

CSR (証明書署名要求) の生成:

# 秘密鍵の生成
openssl genrsa -out private.key 2048

# CSRの生成
openssl req -new -key private.key -out request.csr

# CSRの表示
openssl req -text -noout -verify -in request.csr

自己署名証明書 (テスト用):

# 自己署名証明書の生成
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

# サーバーで使用するために結合
cat cert.pem key.pem > server.pem

証明書のインストール:

# Nginx
server {
    listen 443 ssl;
    server_name example.com;
    
    ssl_certificate /etc/nginx/ssl/cert.pem;
    ssl_certificate_key /etc/nginx/ssl/key.pem;
    
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
}

# Apache
<VirtualHost *:443>
    ServerName example.com
    
    SSLEngine on
    SSLCertificateFile /etc/apache2/ssl/cert.pem
    SSLCertificateKeyFile /etc/apache2/ssl/key.pem
    SSLCertificateChainFile /etc/apache2/ssl/chain.pem
    
    SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
    SSLCipherSuite HIGH:!aNULL:!MD5
</VirtualHost>

一般的な設定ミス:

1. 脆弱なプロトコル:

# 悪い例: SSLv3, TLSv1.0を許可
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

# 良い例: 最新のTLSのみ
ssl_protocols TLSv1.2 TLSv1.3;

2. 脆弱な暗号:

# SSL構成のテスト
sslscan example.com
nmap --script ssl-enum-ciphers -p 443 example.com

# またはオンラインツールを使用
# https://www.ssllabs.com/ssltest/

3. 証明書の期限切れ:

# 証明書の有効期限の確認
openssl s_client -connect example.com:443 -servername example.com < /dev/null 2>/dev/null | \
    openssl x509 -noout -dates

# 有効期限の監視
echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | \
    openssl x509 -noout -enddate

証明書の自動化 (Let's Encrypt):

# certbotのインストール
sudo apt install certbot python3-certbot-nginx

# 証明書の取得
sudo certbot --nginx -d example.com -d www.example.com

# 自動更新 (cron)
0 0 * * * certbot renew --quiet

トラブルシューティング:

# TLS接続のテスト
openssl s_client -connect example.com:443 -servername example.com

# 証明書チェーンの検証
openssl verify -CAfile ca-bundle.crt certificate.crt

# 証明書が秘密鍵と一致することを確認
openssl x509 -noout -modulus -in cert.pem | openssl md5
openssl rsa -noout -modulus -in key.pem | openssl md5
# ハッシュが一致する必要がある

希少性: 一般的 難易度: 中程度

ファイアウォール

6. ステートフルファイアウォールとステートレスファイアウォールの違いについて説明してください。

回答:

ステートレスファイアウォール:

  • 各パケットを独立して検査します
  • 接続状態の追跡なし
  • 高速だがセキュリティは低い
  • 例: 基本的なパケットフィルタ

ステートフルファイアウォール:

  • 接続状態を追跡します
  • 以前のパケットを記憶します
  • より安全
  • 例: 最新のファイアウォール
# iptables (ステートフル)
# 確立された接続を許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 新しいSSH接続を許可
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

# その他すべてをドロップ
iptables -A INPUT -j DROP

接続状態:

  • NEW: 接続の最初のパケット
  • ESTABLISHED: 既存の接続の一部
  • RELATED: 既存の接続に関連
  • INVALID: どの状態にも一致しない

希少性: 一般的 難易度: 中程度

SIEM

7. SIEMとは何ですか?また、なぜ重要ですか?

回答: SIEM (Security Information and Event Management) は、ログ収集と分析を一元化します。

コア機能:

  1. ログ収集: 複数のソースからログを収集
  2. 正規化: ログ形式を標準化
  3. 相関分析: パターンと関係を特定
  4. アラート: 疑わしいアクティビティを通知
  5. レポート: コンプライアンスとフォレンジック
Loading diagram...

ユースケース:

  • ブルートフォース攻撃の検出
  • データ流出の特定
  • 特権アクセスを監視
  • コンプライアンスレポート (PCI-DSS, HIPAA)

一般的なSIEMツール:

  • Splunk
  • ELK Stack (Elasticsearch, Logstash, Kibana)
  • IBM QRadar
  • ArcSight

希少性: 一般的 難易度: 中程度

8. IDSとIPSの違いは何ですか?

回答: IDS (Intrusion Detection System)IPS (Intrusion Prevention System) は、ネットワークトラフィックを監視して脅威を検出します。

主な違い:

機能IDSIPS
アクション検出してアラート検出してブロック
配置アウトオブバンド (パッシブ)インライン (アクティブ)
影響トラフィックの中断なし正当なトラフィックをブロックする可能性あり
対応手動自動
誤検知より重要ではないより重要

IDSの配置:

Loading diagram...

IPSの配置:

Loading diagram...

Snortの設定 (IDS/IPS):

# Snortのインストール
sudo apt install snort

# ネットワークの設定
sudo vi /etc/snort/snort.conf
# HOME_NETの設定
ipvar HOME_NET 192.168.1.0/24
ipvar EXTERNAL_NET !$HOME_NET

# IDSモードで実行
sudo snort -A console -q -c /etc/snort/snort.conf -i eth0

# IPSモードで実行 (インライン)
sudo snort -Q -c /etc/snort/snort.conf -i eth0

Snortのルール:

# ルールの構文
# action protocol src_ip src_port -> dst_ip dst_port (options)

# SQLインジェクションの検出
alert tcp any any -> $HOME_NET 80 (msg:"SQL Injection Attempt"; \
    content:"UNION SELECT"; nocase; sid:1000001; rev:1;)

# ポートスキャンの検出
alert tcp any any -> $HOME_NET any (msg:"Port Scan Detected"; \
    flags:S; threshold:type both, track by_src, count 20, seconds 60; \
    sid:1000002; rev:1;)

# ブルートフォースSSHの検出
alert tcp any any -> $HOME_NET 22 (msg:"SSH Brute Force"; \
    flags:S; threshold:type both, track by_src, count 5, seconds 60; \
    sid:1000003; rev:1;)

# 悪意のあるIPのブロック (IPSモード)
drop tcp 203.0.113.50 any -> $HOME_NET any (msg:"Blocked Malicious IP"; \
    sid:1000004; rev:1;)

Suricata (最新の代替手段):

# Suricataのインストール
sudo apt install suricata

# ルールの更新
sudo suricata-update

# Suricataの実行
sudo suricata -c /etc/suricata/suricata.yaml -i eth0

# アラートの表示
sudo tail -f /var/log/suricata/fast.log

アラート分析:

# Snortアラートの解析
import re
from collections import Counter

def analyze_snort_alerts(log_file):
    alerts = []
    
    with open(log_file, 'r') as f:
        for line in f:
            # アラートの解析
            match = re.search(r'\[\*\*\] \[(\d+):(\d+):(\d+)\] (.+?) \[\*\*\]', line)
            if match:
                alerts.append({
                    'sid': match.group(1),
                    'message': match.group(4),
                    'line': line
                })
    
    # 上位のアラート
    alert_counts = Counter([a['message'] for a in alerts])
    print("上位10件のアラート:")
    for alert, count in alert_counts.most_common(10):
        print(f"{count:5d} - {alert}")
    
    return alerts

# 使用例
alerts = analyze_snort_alerts('/var/log/snort/alert')

一般的な攻撃シグネチャ:

# SQLインジェクション
content:"' OR 1=1--";
content:"UNION SELECT";

# XSS
content:"<script>";
content:"javascript:";

# コマンドインジェクション
content:";cat /etc/passwd";
content:"|whoami";

# ディレクトリトラバーサル
content:"../../../";

# Shellshock
content:"() { :; };";

ベストプラクティス:

  • シグネチャを定期的に更新する
  • 誤検知を減らすためにルールを調整する
  • ブロックされた正当なトラフィックについてIPSを監視する
  • 相関分析のためにSIEMと統合する
  • IPSを有効にする前にIDSモードでテストする

希少性: 一般的 難易度: 中程度

セキュリティのベストプラクティス

9. パスワードをどのように保護しますか?

回答: 多層的なパスワードセキュリティ:

1. ハッシュ化 (暗号化ではない):

import hashlib
import os

def hash_password(password):
    # ソルトの生成
    salt = os.urandom(32)
    
    # パスワードをソルトでハッシュ化
    key = hashlib.pbkdf2_hmac(
        'sha256',
        password.encode('utf-8'),
        salt,
        100000  # 反復回数
    )
    
    # ソルト + ハッシュを保存
    return salt + key

def verify_password(stored_password, provided_password):
    salt = stored_password[:32]
    stored_key = stored_password[32:]
    
    key = hashlib.pbkdf2_hmac(
        'sha256',
        provided_password.encode('utf-8'),
        salt,
        100000
    )
    
    return key == stored_key

2. パスワードポリシー:

  • 強制的な複雑性より、長いパスワードやパスフレーズを重視する
  • パスワードマネージャー、貼り付け、オートフィルを許可する
  • 漏えい済みまたはよく使われるパスワードをブロックする
  • 可能な場合はMFAを必須にする
  • 定期変更だけでなく、侵害の証拠がある場合にリセットを強制する

3. 追加のセキュリティ:

  • 多要素認証 (MFA)
  • 試行失敗後のアカウントロックアウト
  • パスワード強度メーター
  • 侵害の検出 (Have I Been Pwned API)

絶対にしないこと:

  • パスワードをプレーンテキストで保存する
  • 脆弱なハッシュ化を使用する (MD5, SHA1)
  • ソルトなしでハッシュ化する

希少性: 非常に一般的 難易度: 中程度

インシデントレスポンス

10. インシデントレスポンスの段階は何ですか?

回答: NISTインシデントレスポンスライフサイクル:

1. 準備:

  • IR計画の策定
  • チームのトレーニング
  • ツールと監視の設定

2. 検出と分析:

  • インシデントの特定
  • 範囲と影響の分析
  • 対応の優先順位付け

3. 封じ込め:

  • 短期: 影響を受けたシステムの隔離
  • 長期: パッチの適用、システムの再構築

4. 根絶:

  • マルウェアの削除
  • 脆弱性の解消
  • 防御の強化

5. 復旧:

  • システムの復元
  • 再感染の監視
  • 通常の運用への復帰

6. インシデント後:

  • 教訓の文書化
  • 手順の更新
  • 防御の改善
Loading diagram...

希少性: 一般的 難易度: 中程度

結論

ジュニアセキュリティエンジニアの面接では、基礎を説明し、それを実際の環境でどう使うかを示せるように準備しましょう。重点を置くべき領域は次のとおりです。

  1. 基礎: CIAトライアド、最小権限、認証、認可
  2. OWASP: 不適切なアクセス制御、暗号化の失敗、インジェクション、ログと監視
  3. 脆弱性管理: 資産の重要度、悪用可能性、修復、検証
  4. 暗号化とTLS: 暗号化、ハッシュ化、証明書、最新のプロトコル設定
  5. 防御ツール: ファイアウォール、SIEM、IDS/IPS、アラート調整
  6. パスワード保護: ハッシュ化、ソルト、MFA、漏えいパスワード確認
  7. インシデント対応: 準備、検知、封じ込め、復旧、振り返り

ラボ、学校や個人プロジェクト、インターン、自宅環境などの具体例で練習してください。面接官はすべてのツールの暗記よりも、明確な reasoning、優先順位付け、正直なコミュニケーションを見ています。

Newsletter subscription

実際に機能する週次のキャリアのヒント

最新の洞察をメールボックスに直接お届けします

関連投稿

ジュニアフロントエンド開発者の面接質問:HTML・CSS・JavaScript
12月 21, 2025
39 分で読める

ジュニアフロントエンド開発者の面接質問:HTML・CSS・JavaScript

セマンティックHTML、レスポンシブCSS、JavaScriptのスコープ、非同期処理、DOMイベント、配列メソッドを32問で確認できます。

Milad BonakdarMilad Bonakdar
ジュニアフロントエンド面接質問:Reactとツール
12月 21, 2025
31 分で読める

ジュニアフロントエンド面接質問:Reactとツール

React、Git、ビルドツール、Webパフォーマンス、デバッグ、アクセシビリティ、テストを扱う21問で、ジュニアフロントエンド面接に備えましょう。

Milad BonakdarMilad Bonakdar
Node.jsバックエンド開発者(ジュニア)面接質問
12月 21, 2025
43 分で読める

Node.jsバックエンド開発者(ジュニア)面接質問

JavaScript基礎、非同期処理、イベントループ、Express、REST API、データベース、セキュリティ、テスト、デバッグを扱うジュニア向けNode.js面接質問35問で練習できます。

Milad BonakdarMilad Bonakdar

次の面接は履歴書一つで決まる

数分でプロフェッショナルで最適化された履歴書を作成。デザインスキルは不要—証明された結果だけ。

私の履歴書を作成

この投稿を共有

50%速く採用される

プロフェッショナルなAI強化履歴書を使用する求職者は、標準的な10週間に比べて平均5週間で職を得ています。待つのをやめて、面接を始めましょう。

就職活動を加速