問題
問82
情報セキュリティにおける機密性、完全性及び可用性のうち、特に完全性の向上を目的とした取組として、最も適切なものはどれか。
- サーバをデュプレックスシステムで構成して運用する。
- システムの稼働率の向上策を検討する。
- システムの利用開始時にユーザ認証を求める。
- 情報の改ざんを防止する対策を施す。
[出典:ITパスポート試験 平成30年度秋期 問82]
正解
正解は「エ」です。
解説
正解は「情報の改ざんを防止する対策を施す」です。 情報セキュリティの3要素である機密性、完全性、可用性のうち、「完全性」は情報が正確であり、不正な改ざんや破壊がされていない状態を保つことを指します。つまり、情報が間違っていないこと、書き換えられていないことを保証する性質です。 情報の改ざん防止は、まさにこの完全性を高めるための直接的な対策となります。
例えば、重要な書類に封をして、開封されたら分かるようにするのと同じように、データが不正に変更されていないかを確認する仕組み(ハッシュ値の比較など)や、変更履歴を記録する仕組み(バージョン管理など)を導入することで、情報の正確性と信頼性を維持できます。 これにより、企業は常に正しい情報に基づいて意思決定を行い、顧客に対して信頼性の高いサービスを提供できるようになります。したがって、完全性を確保するためには、情報の改ざんを防止する対策が最も適切と言えます。
ア(サーバをデュプレックスシステムで構成して運用する。):
デュプレックスシステムは、システムを二重化して障害時に備えることで、「可用性」の向上を目的としています。情報が常に利用できる状態を保つための対策です。
イ(システムの稼働率の向上策を検討する。):
システムの稼働率向上は、「可用性」の向上を目的としています。システムが停止せずに利用できる時間を長くするための対策です。
ウ(システムの利用開始時にユーザ認証を求める。):
ユーザ認証は、許可された人だけが情報にアクセスできるようにする「機密性」の向上を目的としています。
難易度
この問題は、情報セキュリティの基本である「機密性」「完全性」「可用性」の3要素を理解しているかを問うもので、比較的解きやすい問題と言えます。特に「完全性」の定義と、それに対応する具体的な対策を結びつけることができれば、正解にたどり着くのは難しくありません。基本用語の知識が問われるため、初心者でも対策が立てやすいでしょう。
用語補足
完全性 (情報セキュリティ):
情報が正確であり、不正な改ざんや破壊がされていない状態を保つことです。例えば、重要な契約書が勝手に書き換えられないように、変更履歴を厳しく管理するようなイメージです。
機密性 (情報セキュリティ):
許可された人だけが情報にアクセスできるようにすることです。例えば、会社の機密情報をパスワードで保護して、関係者以外は見られないようにするような状態を指します。
可用性 (情報セキュリティ):
許可された人が、必要なときにいつでも情報やシステムを利用できる状態を保つことです。例えば、銀行のATMが年中無休でいつでも使えるようにしておくことなどが該当します。
デュプレックスシステム:
同一のシステムを2系統用意し、常に同じ処理を行わせておくシステム構成のことです。片方に障害が発生しても、もう片方が処理を引き継ぐことで、システム停止を防ぎ、サービスを継続させることができます。
対策
この問題を解くためのポイントは、情報セキュリティの基本である「機密性」「完全性」「可用性」の3要素(CIA)の定義を正確に理解しておくことです。それぞれの要素がどのような状態を目指すものか、どのような対策がそれに対応するのかを具体例とともに覚えることが重要です。特に、可用性と完全性の区別がつきにくい場合があるので、両者の定義を明確にしておくことが対策になります。
