問題
問100
電子商取引において、注文した事実やその内容について否認されることを防止するために、取引の相手に実施を依頼することとして、最も適切なものはどれか。
- 相手が取引に使用するPCには、OSのログインパスワードを設定してもらう。
- 相手のイントラネット内のウイルス対策を行ってもらう。
- 注文データにディジタル署名を付与してもらう。
- 注文データを暗号化してから送ってもらう。
[出典:ITパスポート試験 平成31年度春期 問100]
正解
正解は「ウ」です。
解説
正解は「ウ 注文データにディジタル署名を付与してもらう。」です。ディジタル署名は、電子データが誰によって作成されたものか(作成者の認証)と、データが作成されてから改ざんされていないか(完全性の保証)を証明する技術です。これにより、取引の相手が「注文した事実」や「注文内容」について後で「否認する」ことを防ぐことができます。
例えば、オンラインで契約書にサインするようなものです。ディジタル署名があることで、「この契約は確かに私が承認したもので、内容も変更されていない」という強い証拠が残るため、電子商取引における信頼性を大幅に向上させることが可能です。
ア(相手のPCにOSのログインパスワードを設定してもらう。):
OSのログインパスワードは、PCへの不正アクセスを防ぐためのもので、特定の取引データが本人によって作成されたことや、その内容が改ざんされていないことを証明する「否認防止」の目的には直接関係ありません。
イ(相手のイントラネット内のウイルス対策を行ってもらう。):
ウイルス対策はシステム全体のセキュリティを高めるための重要な措置ですが、特定の取引データが誰によって送られたか、その内容が正しいかを証明し、後からの否認を防ぐ機能はありません。
エ(注文データを暗号化してから送ってもらう。):
暗号化は、データの内容を第三者から隠し、盗聴を防ぐ「機密性」を確保するための技術です。しかし、データが誰によって作成されたか、あるいは改ざんされていないかを証明する機能はないため、否認防止には繋がりません。
難易度
この問題は、情報セキュリティの重要な概念である「否認防止」と、それを実現するための技術「ディジタル署名」の関係性を問うものです。ITパスポート試験のセキュリティ分野では、各セキュリティ要素(機密性、完全性、可用性、否認防止など)と、それらを達成する技術の理解が求められます。用語の意味を正確に把握していれば、比較的容易に解答できるでしょう。
用語補足
ディジタル署名:
電子文書やデータが本物であること(作成者の認証)と、改ざんされていないこと(完全性の保証)を証明する技術です。例えば、インターネットバンキングで送金する際に、その取引が本当に自分が行ったものであることを証明するために使われます。
否認防止:
情報セキュリティの要素の一つで、ある行動をした人が後から「私はそんなことをしていない」と言い逃れするのを防ぐことです。電子商取引で注文をした顧客が「注文していない」と主張するのを防ぐために、ディジタル署名などが用いられます。
暗号化:
データを特定のルールに従って変換し、許可された人以外には内容が分からないようにすることです。データの秘密を守る「機密性」を高める目的で使われます。例えば、Webサイトでパスワードを入力する際に、その情報が暗号化されて送られることで、途中で盗み見されるのを防ぎます。
機密性:
情報セキュリティの三要素(機密性、完全性、可用性)の一つで、情報が許可された人だけがアクセスできるように保護されている状態を指します。パスワードやアクセス制限、暗号化などが機密性を保つための対策です。
対策
この問題を解くためのポイントは、情報セキュリティの各要素(機密性、完全性、可用性、そして否認防止)の意味と、それぞれの要素を実現するための技術を正確に理解することです。特に、「暗号化」は機密性を高めますが否認防止にはなりません。「ディジタル署名」は否認防止とデータの完全性を高める重要な技術です。各用語がどのような目的で使われるのかを区別して覚えることが、同様の問題に対応する上で有効な対策となります。
