問題
問38
SNSの事例におけるITサービスマネジメントの要件に関する記述のうち、機密性に該当するものはどれか。
- 24時間365日利用可能である。
- 許可されていないユーザはデータやサービスにアクセスできない。
- サーバ設置場所に地震などの災害が起こっても、1時間以内に利用が再開できる。
- 投稿した写真の加工や他のユーザのフォローができる。
[出典:ITパスポート試験 平成31年度春期 問38]
正解
正解は「イ」です。
解説
正解は「イ」です。許可されていないユーザはデータやサービスにアクセスできないという記述は、情報セキュリティにおける機密性(Confidentiality)を直接的に表しています。情報セキュリティは、一般的に「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の3つの要素(C-I-A)で構成されていると定義されます。機密性とは、情報へのアクセスを許可された者だけが利用できる状態を保つことを指します。
つまり、秘密にすべき情報が、許可されていない第三者に漏れたり、見られたりすることを防ぐための対策です。SNSの事例で言えば、ユーザの個人情報や非公開の投稿内容が、本人や許可された友人以外に見られてはならない、という要件が機密性に該当します。選択肢イのように、アクセス権限のないユーザの利用を防ぐことは、機密性を確保するための具体的な対策です。日常生活の例では、家の鍵やパスワードを設定して、許可された家族や本人以外が中に入ったり見たりできないようにすることが機密性に当たります。
ア(24時間365日利用可能である。):
これは、情報が必要なときにいつでも利用できる状態を指す「可用性(Availability)」に該当します。
ウ(サーバ設置場所に地震などの災害が起こっても、1時間以内に利用が再開できる。):
これは、災害時でも継続してサービスを利用できる状態を指す「可用性(Availability)」に該当します。
エ(投稿した写真の加工や他のユーザのフォローができる。):
これは、サービスの「機能」に関する記述であり、情報セキュリティの要件(機密性、完全性、可用性)には直接該当しません。
難易度
この問題は、情報セキュリティの三大要素である「機密性」「完全性」「可用性」(C-I-A)の定義を理解しているかを確認する基本的な問題です。それぞれの要素がどのような状態を指すのかを明確に区別できていれば、容易に正解できるため、難易度は低いです。ITパスポート試験では、これらの定義や具体的な事例が頻繁に出題されますので、定義をしっかりと押さえることが重要です。
用語補足
機密性 (Confidentiality):
許可された者だけが情報にアクセスできる状態を確保することです。情報が不正な閲覧や漏えいから守られていることを意味します。重要な書類に鍵をかけて保管したり、パソコンにパスワードを設定したりする行為がこれに該当します。
可用性 (Availability):
認可された利用者が、必要なときにいつでも情報やITシステムを利用できる状態を確保することです。銀行のATMが24時間365日いつでも稼働していることや、災害が発生してもシステムがすぐに復旧できる状態がこれに当たります。
完全性 (Integrity):
情報が正確であり、改ざんや破壊が行われていない状態を確保することです。データが正しい状態に保たれていることを意味します。契約書の内容が、知らない間に誰かに書き換えられていないこと、またはデータ入力の際に間違いがないことを保証することです。
ITサービスマネジメント:
ITサービスを顧客のニーズに合わせて継続的に提供し、改善していくための管理活動全般のことです。顧客がITシステムを快適に、そして安全に使い続けられるように、システムの運用や保守、改善を一貫して行うことです。
対策
情報セキュリティの3要素(C-I-A)、「機密性」「完全性」「可用性」の定義を完全に区別できるように学習することが対策のポイントです。特に、それぞれの用語が具体的な事例(例えば、「データを見せない」「データを改ざんさせない」「システムを止めない」)のどれに対応するのかを結びつけて覚えると理解が深まります。本問のようなITサービス提供の要件として問われることが多いです。
