問題
問83
情報セキュリティにおいて,可用性が損なわれる事象はどれか。
- 機密情報のコピーが格納されたUSBメモリが盗難にあった。
- 顧客情報管理システムの顧客情報が誤った内容のまま運用されていた。
- 社内のサーバに不正侵入されて、社外秘の情報が漏えいした。
- 取引先との電子決済システムが DoS 攻撃を受け、処理ができなくなった。
[出典:ITパスポート試験 平成28年度春期 問83]
正解
正解は「エ」です。
解説
正解は「エ」です。情報セキュリティにおける可用性とは、システムやデータが、許可されたユーザーによって、必要なときに継続して利用できる状態を維持することを指します。DoS攻撃(Denial of Service attack:サービス妨害攻撃)は、システムに対して大量のデータやリクエストを送りつけ、処理能力を超過させることで、システムの動作を停止させたり、応答を著しく遅らせたりする攻撃です。
選択肢エでは、電子決済システムがDoS攻撃を受けて「処理ができなくなった」とあるため、本来利用できるはずのサービスが利用できなくなり、可用性が損なわれた事象に該当します。例えば、インターネットバンキングが、アクセス集中などにより突然アクセスできなくなり、振込などの取引が完了しない状況を想像すると分かりやすいかと思います。このように、ユーザーがサービスを使いたいときに使えない状態になるのが、可用性が損なわれることです。
ア(機密情報のコピーが格納されたUSBメモリが盗難にあった。):
これは機密性が損なわれる事象です。機密性とは、許可された人だけが情報にアクセスでき、それ以外の人がアクセスできないように保護することです。USBメモリの盗難により、許可されていない人が情報にアクセスできる可能性が生じます。
イ(顧客情報管理システムの顧客情報が誤った内容のまま運用されていた。):
これは完全性が損なわれる事象です。完全性とは、情報が正確で改ざんされていない状態を維持することです。誤った内容で運用されているということは、情報の正確性が失われている状態を指します。
ウ(社内のサーバに不正侵入されて、社外秘の情報が漏えいした。):
これは機密性が損なわれる事象です。不正侵入により、社外秘の情報が許可されていない外部に漏えいしたため、情報にアクセスできる人が制限されていない状態となります。
難易度
%difficulty level%
用語補足
情報セキュリティ:
情報の「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」を維持することです。この三つの頭文字をとって「CIA」とも呼ばれます。例えば、重要な手紙(情報)を鍵のかかる箱(機密性)に入れ、封印が破られていないか確認し(完全性)、いつでも取り出せる場所(可用性)に保管するようなものです。
可用性:
システムやデータが、使いたいときにいつでも使える状態であることです。例えば、コンビニのATMが24時間365日いつでも利用できる状態であることや、ウェブサイトが常に閲覧できる状態であることを指します。災害やサイバー攻撃などによってサービスが停止しないように対策を講じることが重要です。
機密性:
許可された人だけが情報にアクセスでき、それ以外の人がアクセスできないように保護することです。例えば、パスワードでロックされたスマートフォンや、会社の機密文書を保管する鍵付きのキャビネットなどが、機密性を保つための対策です。情報漏えいを防ぐために重要視されます。
DoS攻撃:
多数のコンピュータから標的となるシステムに大量のデータや処理要求を送りつけ、システムを過負荷状態にさせてサービスを停止させたり、応答を遅くしたりするサイバー攻撃です。「Denial of Service」の略で、サービス妨害攻撃と訳されます。例えば、大勢の人が一斉に狭いドアに殺到して、誰も中に入れないような状況に似ており、正規の利用者がサービスを利用できないようにします。
対策
この問題を解くためのポイントは、情報セキュリティの三大要素である「機密性」「完全性」「可用性」それぞれの定義を正確に理解することです。特に、「可用性」は「必要な時にサービスが利用できる状態であること」を意味し、DoS攻撃によってシステムが停止し、サービスが利用できなくなる事象は可用性の侵害に直結します。他の選択肢も、それぞれ機密性や完全性の侵害例として頻出なので、どのような事象がどの要素に該当するかをまとめて覚えておくと、類似問題に対応しやすくなります。
