基本情報技術者 2016年 秋期 午前(科目A) 問59
問題文
情報セキュリティ監査において、可用性を確認するチェック項目はどれか。
選択肢
ア:外部記憶媒体の無断持出しが禁止されていること
イ:中断時間を定めたSLAの水準が保たれるように管理されていること(正解)
ウ:データ入力時のエラーチェックが適切に行われていること
エ:データベースが暗号化されていること
可用性を確認するチェック項目はどれか【午前2 解説】
要点まとめ
- 結論: 可用性を確認するチェック項目はイで、SLAの中断時間や稼働率が管理されていることを確認する項目です。
- 根拠: 可用性はシステムやサービスの稼働時間・復旧時間で評価され、SLA中の中断時間は可用性評価の代表的な指標だからです。
- 差がつくポイント: CIA(機密性・完全性・可用性)の区別を即座に行い、SLA、MTTR、RTO等の用語の意味を押さえておくことが重要です。
正解の理由
正解: イ
可用性(availability)は「サービスやシステムが要求されたときに利用可能であること」を指し、SLAで定める中断許容時間や稼働率(アップタイム)を守る管理はまさに可用性の確認項目です。SLAに基づく中断時間の管理は、計画外停止や復旧時間が許容範囲内にあるかを直接評価できるため、可用性監査の典型的なチェック項目となります。
可用性(availability)は「サービスやシステムが要求されたときに利用可能であること」を指し、SLAで定める中断許容時間や稼働率(アップタイム)を守る管理はまさに可用性の確認項目です。SLAに基づく中断時間の管理は、計画外停止や復旧時間が許容範囲内にあるかを直接評価できるため、可用性監査の典型的なチェック項目となります。
よくある誤解
- 暗号化や外部記憶媒体の管理を見て「可用性」と考える誤り:これらは主に機密性の対策であり、可用性の直接指標ではありません。
- エラーチェックを可用性に結び付ける誤解:データ入力時のエラーチェックはデータの完全性(整合性)を担保する対策であり、可用性評価とは目的が異なります。
- 「可用性=故障しないこと」と短絡する誤解:可用性は故障しないだけでなく、復旧手順や許容停止時間(RTOなど)の管理まで含みます。
解法ステップ
- 問題文のキーワード「可用性」を確認する。
- 可用性の定義(サービスが利用可能であること、稼働率や復旧時間)を思い出す。
- 各選択肢をCIA(機密性・完全性・可用性)で分類する。
- SLAや中断時間・稼働率に該当する選択肢を選ぶ(イが該当)。
短い覚え方:可用性→稼働率・中断時間・復旧(SLA/MTTR/RTO)を探す。
選択肢別の誤答解説
- ア: 外部記憶媒体の無断持出しが禁止されていること
- 主に機密性の確保策です。情報漏えい防止が目的であり、可用性の直接的確認項目ではありません。
- イ: 中断時間を定めたSLAの水準が保たれるように管理されていること — 正解
- SLAでの中断時間管理は稼働率や許容停止時間の管理に直結し、可用性監査の代表的チェック項目です。
- ウ: データ入力時のエラーチェックが適切に行われていること
- データの完全性(integrity)を確保する対策であり、可用性とは目的が異なります。
- エ: データベースが暗号化されていること
- 暗号化は主として機密性(confidentiality)対策で、可用性の評価項目には該当しません(ただし運用ミスで可用性に悪影響を与える可能性はある)。
補足コラム
可用性の定義や代表的指標:可用性は一般に稼働時間の割合で表され、計算式は次の通りです。
SLAの例として「99.9%(three nines)」は年間の許容ダウンタイムが約8.76時間に相当します。可用性を高める対策には冗長化、フェールオーバー、バックアップと迅速な復旧手順(MTTRの短縮)などがあります。
SLAの例として「99.9%(three nines)」は年間の許容ダウンタイムが約8.76時間に相当します。可用性を高める対策には冗長化、フェールオーバー、バックアップと迅速な復旧手順(MTTRの短縮)などがあります。
おさえておきたい用語:
- MTTR(Mean Time To Repair): 平均修復時間、短いほど可用性向上。
- RTO(Recovery Time Objective): 復旧目標時間、SLAで定められることが多い。
- RPO(Recovery Point Objective): 復旧時点で許容できるデータ損失量。
FAQ
Q1: 外部記憶媒体の管理は全く可用性に関係しないですか?
A1: 直接の可用性指標ではなく主に機密性対策ですが、例えば重要バックアップが持ち出されると復旧不能になり可用性に影響する間接的リスクはあります。
A1: 直接の可用性指標ではなく主に機密性対策ですが、例えば重要バックアップが持ち出されると復旧不能になり可用性に影響する間接的リスクはあります。
Q2: 暗号化が可用性を損なうことはありますか?
A2: 暗号化自体は機密性向上策ですが、鍵管理に失敗するとアクセス不能になり可用性を損なう可能性があります。設計で可用性への影響も考慮する必要があります。
A2: 暗号化自体は機密性向上策ですが、鍵管理に失敗するとアクセス不能になり可用性を損なう可能性があります。設計で可用性への影響も考慮する必要があります。
Q3: 可用性と完全性は混同しやすいです。簡単な見分け方は?
A3: 「可用性=利用できるか」「完全性=改ざんや誤りがないか」で区別すると分かりやすいです。SLAや稼働率は可用性、チェックサムや入力検査は完全性です。
A3: 「可用性=利用できるか」「完全性=改ざんや誤りがないか」で区別すると分かりやすいです。SLAや稼働率は可用性、チェックサムや入力検査は完全性です。
関連キーワード: 可用性、SLA、稼働率、MTTR、RTO、RPO、機密性、完全性
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!