問題
問60
情報セキュリティにおける脅威と脆弱性のうち、脆弱性に該当するものはどれか。
- コンピュータウイルス
- ソーシャルエンジニアリング
- 通信データの盗聴
- 不適切なパスワード管理
[出典:ITパスポート試験 平成29年度春期 問60]
正解
正解は「エ」です。
解説
正解は「エ. 不適切なパスワード管理」です。脆弱性とは、情報システムや運用プロセスが持っている弱点や欠陥のことを指します。不適切なパスワード管理は、例えば推測されやすいパスワード(「password」や誕生日など)を使用していたり、パスワードを紙に書き出して放置していたりする状態を言います。
このようなパスワードの管理の甘さは、システムそのもののプログラム上の欠陥ではありませんが、情報セキュリティの観点からは、攻撃者によって悪用されやすい「弱点」となります。この弱点を突かれることで、不正ログインや情報漏えいにつながるため、脆弱性として分類されます。
ア(コンピュータウイルス):
コンピュータウイルスは、システムに損害を与える「脅威」の一種です。これは、システムが元々持っている弱点(脆弱性)ではなく、外部からシステムに侵入して危害を加える「攻撃の主体」や「攻撃手段」に該当します。
イ(ソーシャルエンジニアリング):
ソーシャルエンジニアリングは、人の心理的な隙や行動上の不注意を突いて、パスワードなどの機密情報を不正に取得する「脅威」の一種です。これは、システム自体の弱点ではなく、人を騙す「攻撃手法」に分類されます。
ウ(通信データの盗聴):
通信データの盗聴は、ネットワーク上を流れる情報を不正に傍受する「脅威」の一種です。これは、データの機密性を侵害する「攻撃行為」に該当します。もし通信が暗号化されていない場合は、盗聴されやすいという「脆弱性」があると言えますが、選択肢の「盗聴」は攻撃行為そのものを指しています。
難易度
この問題は、情報セキュリティにおける基本的な概念である「脅威」と「脆弱性」の違いを正確に理解しているかを問うものです。IT未経験者の方にとっては、それぞれの言葉のニュアンスが似ているように感じ、分類に迷うことがあるかもしれません。しかし、各選択肢が「攻撃行為」なのか「システムや運用の弱点」なのかを見極めることで、正解にたどり着くことができます。
用語補足
情報セキュリティ:
情報の機密性(許可された人だけが見られる)、完全性(情報が改ざんされていない)、可用性(必要なときに情報が使える)の3つの要素を維持することです。例えば、大切な日記に鍵をかけ(機密性)、誰も書き換えられないようにし(完全性)、いつでも読み返せる状態(可用性)に保つことです。
脅威:
情報セキュリティを侵害する可能性のある、あらゆる事象のことです。例えば、コンピュータウイルス、不正アクセス、地震や火災によるデータ損失などが「脅威」に該当します。家を襲う泥棒や火事が「脅威」であるとイメージすると分かりやすいでしょう。
脆弱性:
情報システムや運用プロセスが持つ弱点や欠陥のことです。この弱点があると、脅威が現実のものとなるリスクが高まります。例えば、ソフトウェアのバグ、セキュリティ設定の不備、推測しやすいパスワードなどが「脆弱性」です。家の鍵が開いていた、窓が壊れていた、といった「弱点」が「脆弱性」に当たります。
ソーシャルエンジニアリング:
情報システムを使わず、人の心理的な隙や行動上の不注意を突いて機密情報を不正に入手する詐欺的な手法です。例えば、「システム担当者です」と名乗ってパスワードを聞き出したり、捨てられたゴミから機密情報を探したりする行為がこれに該当します。
対策
この問題は、「脅威」と「脆弱性」の分類を理解しているかが鍵となります。脅威は「情報セキュリティに危害を加える原因や攻撃行為」であり、脆弱性は「その危害を受けやすくなる弱点や欠陥」です。各選択肢が「何かが起こる行動や事象」なのか「弱っている状態」なのかを判断する練習をしましょう。日常の例え(病原菌が脅威、免疫力の低下が脆弱性など)で覚えると良いでしょう。
