問題
問87
情報セキュリティにおける機密性・完全性・可用性に関する記述のうち、完全性が保たれなかった例はどれか。
- 暗号化して送信した電子メールが第三者に盗聴された。
- オペレータが誤ってデータ入力し、顧客名簿に矛盾が生じた。
- ショッピングサイトがシステム障害で一時的に利用できなかった。
- データベースで管理していた顧客の個人情報が漏えいした。
[出典:ITパスポート試験 平成28年度秋期 問87]
正解
正解は「イ」です。
解説
正解は「イ」です。情報セキュリティにおける「完全性」とは、情報が正確で、改ざんや破壊がなく、一貫性を保っている状態を指します。例えば、銀行の預金残高が正しい金額であることや、商品の在庫数が実際の数と一致していることなどが完全性が保たれている状態です。
選択肢「イ」の「オペレータが誤ってデータ入力し、顧客名簿に矛盾が生じた」という状況は、本来正確であるべき顧客名簿の情報が、誤った入力によって不正確になったり、データ同士の間に矛盾が生じたりしたことを意味します。これは、情報の正確性や整合性が失われた状態であり、「完全性」が損なわれた例に当たります。
このように、人の手によるミスやシステムの不具合など、意図しない形でデータが書き換えられたり、本来あるべき姿から逸脱したりすることは、完全性侵害の典型的なケースです。完全性を確保するためには、データの入力規則を設定したり、複数人でのチェック体制を設けたりするなどの対策が重要になります。
ア(暗号化して送信した電子メールが第三者に盗聴された。):
これは「機密性」が保たれなかった例です。機密性とは、許可された人だけが情報にアクセスできる状態を指します。盗聴は、許可されていない第三者に情報が知られてしまうことですので、機密性の侵害にあたります。
ウ(ショッピングサイトがシステム障害で一時的に利用できなかった。):
これは「可用性」が保たれなかった例です。可用性とは、情報システムやデータが、必要なときにいつでも利用できる状態を指します。システム障害によって利用できない状態は、可用性の侵害にあたります。
エ(データベースで管理していた顧客の個人情報が漏えいした。):
これは「機密性」が保たれなかった例です。個人情報が漏えいすることは、本来アクセスを許可されていない第三者に情報が知られてしまうことですので、機密性の侵害にあたります。
難易度
この問題の難易度は、情報セキュリティの三大要素である「機密性」「完全性」「可用性」の基本的な定義を理解していれば、比較的容易に解答できるでしょう。各選択肢がどのセキュリティ要素の侵害に当たるかを正確に区別することがポイントです。特に「完全性」と「機密性」は混同しやすい概念なので、それぞれの意味を具体的な例と紐づけて理解しておくことが重要です。
用語補足
機密性:
情報セキュリティの三大要素の一つで、許可された人だけが情報にアクセスし、閲覧や利用ができる状態のことです。例えば、自分しか見られないはずのパスワード付きファイルが、他の人に勝手に開かれてしまった場合、機密性が損なわれたと言えます。
完全性:
情報セキュリティの三大要素の一つで、情報が正確で、改ざんや破壊がなく、一貫性を保っている状態のことです。例えば、銀行の残高データが実際の金額と異なっている場合や、テストの点数を間違って入力してしまった場合、データの完全性が損なわれたことになります。
可用性:
情報セキュリティの三大要素の一つで、情報システムやデータが、必要なときにいつでも利用できる状態のことです。例えば、急いでインターネットで情報を調べたいのに、ネットワークが繋がらない場合、インターネットの可用性が損なわれたと言えます。
情報セキュリティ:
情報資産を「機密性」「完全性」「可用性」の3つの側面から保護し、適切に管理することです。例えば、個人情報が保存されたパソコンにパスワードを設定したり、ウイルス対策ソフトを導入したりすることは、情報セキュリティ対策の一環です。
対策
この問題を解くためのポイントは、情報セキュリティの基本である「機密性」「完全性」「可用性」の3つの要素を正確に理解することです。それぞれの定義を具体的な例とともに覚え、どのような状況が各要素の侵害に当たるかを区別できるようにしましょう。特に、機密性と完全性は混同しやすいので、不正アクセスや情報漏えいは「機密性」、データ改ざんや誤入力は「完全性」、システム停止やサービス停止は「可用性」と明確に区別して覚えることが重要です。過去問を繰り返し解き、各要素に関連する事例を数多く学ぶことで、応用力が身につきます。
