ITパスポート 2013年 秋期 問75
問題文
情報セキュリティの機密性を直接的に高めることになるものはどれか。
選択肢
ア:一日の業務の終了時に機密情報のファイルの操作ログを取得し、漏えいの痕跡がないことを確認する。
イ:機密情報のファイルにアクセスするときに、前回のアクセス日付が適正かどうかを確認する。
ウ:機密情報のファイルはバックアップを取得し、情報が破壊や改ざんされてもバックアップから復旧できるようにする。
エ:機密情報のファイルを暗号化し、漏えいしても解読されないようにする。(正解)
🔒 解説は解答すると表示されます
情報セキュリティの機密性を直接的に高めるもの【ITパスポート 解説】
正解の理由
機密性とは、許可された人だけが情報を見られる状態を指します(英語:Confidentiality)。選択肢の中で、情報が外部に漏れてしまっても「読めない状態」にするのが最も直接的に機密性を高めます。ファイルを暗号化することは、その目的をそのまま達成します。暗号化(encryption:データを第三者に読めない形に変える処理)は、たとえファイルが流出しても正しい鍵(暗号を解く情報)を持たない人は内容を解読できません。したがって、エの「機密情報のファイルを暗号化し、漏えいしても解読されないようにする」が正解です。
(補足)ここで言う「暗号化」はファイルそのものを暗号化する手法や、保存時・転送時に暗号化する手法を含みます。鍵(key)の管理が重要です。鍵が漏れると暗号化の意味が無くなります。
解法ステップ
- 問題の目的を確認する:機密性(Confidentiality)を「直接的に」高めるものを探す。
- CIAトライアド:Confidentiality(機密性)、Integrity(完全性:改ざんされないこと)、Availability(可用性:使えること)
- 各選択肢がどの性質に関係するかを分類する。
- 防止(予防)か、検出(後から分かる)か、復旧(壊れたとき戻す)かを見分ける。
- 「漏えいしても読めないようにする」方法は機密性の直接的な手段であると判断する。
- よって暗号化であるエを選ぶ。
選択肢別の誤答解説
-
ア: 一日の業務の終了時に機密情報のファイルの操作ログを取得し、漏えいの痕跡がないことを確認する。
→ 操作ログ(操作履歴を記録するもの)は、後から「誰が何をしたか」を分かるようにする検出・追跡の手段です。漏えいを未然に防ぐというより、漏えい後の追及や原因特定に役立ちます。機密性を「直接的に」高めるものではありません。 -
イ: 機密情報のファイルにアクセスするときに、前回のアクセス日付が適正かどうかを確認する。
→ 前回アクセス日付の確認は、不審なアクセスの兆候を見つけるための検査です(不正利用の発見)。やはり検出的な対策であり、情報を他人の手で読めなくする直接的手段ではありません。 -
ウ: 機密情報のファイルはバックアップを取得し、情報が破壊や改ざんされてもバックアップから復旧できるようにする。
→ バックアップは可用性(Availability:利用可能であること)や完全性(改ざんからの復旧)を高めます。情報が漏れる(外部に出る)ことを防ぐ手段ではなく、漏えい後の防御にも直結しません。 -
エ: 機密情報のファイルを暗号化し、漏えいしても解読されないようにする。
→ 暗号化は第三者がデータを読めなくするため、機密性を直接的に高める手段です。正解となる根拠です。ただし鍵管理が重要で、鍵が漏れると効果が無くなる点に注意します。
よくある誤解
-
「バックアップを取っておけば安全(=機密性が高まる)」
- バックアップはデータを失わないための対策です。バックアップ自体が適切に保護されていなければ、かえって漏えいリスクが増えます。機密性向上には暗号化やアクセス制御が必要です。
-
「ログを取れば漏えいしない」
- ログは発生後に原因を追えるようにするもので、漏えいそのものを防ぐわけではありません。監査や追跡には有効ですが、未然防止策とは別物です。
-
「暗号化すれば全部安心」
- 暗号化は非常に有効ですが、鍵管理(鍵の保管・配布・更新)を怠ると意味がありません。また、端末の不正アクセスや操作する正規ユーザーの不注意は防げない場合があります。多層防御(暗号化+アクセス制御+ログ監視等)が重要です。
補足コラム
- 暗号化の基本種類(簡単な違い)
- 対称鍵暗号(symmetric key encryption):同じ鍵で暗号化と復号を行う方式。処理が速く、ファイル暗号化で多く使われます。例:AES(Advanced Encryption Standard)。
- 公開鍵暗号(asymmetric key encryption):公開鍵と秘密鍵のペアを使う方式。公開鍵で暗号化し、対応する秘密鍵で復号します。鍵の配布が比較的安全に行える利点があります。例:RSA。
- 実務での注意点
- 暗号化は「鍵が安全に管理されること」が前提です。鍵をUSBに置きっぱなしにしたり、メールで送ったりすると意味がありません。
- ファイルの暗号化は、保存(ディスク)と転送(ネットワーク)それぞれで適用できます。両方を保護するとより安全です。
- 身近な例
- スマホのロック画面は一種の暗号化代替で、端末を盗まれても中身を見られないようにする仕組みです。ただしロック解除のパスワード(=鍵)を他人に教えないことが重要です。
FAQ
Q1: 暗号化とアクセス制御(パスワードやユーザー管理)はどちらが重要ですか?
A1: 両方重要です。アクセス制御は「許可された人だけが触れる」ことを防ぐ一次的対策、暗号化は「もし触られても読めない」ようにする二次的対策です。重ねて使うことで安全性が高まります。
A1: 両方重要です。アクセス制御は「許可された人だけが触れる」ことを防ぐ一次的対策、暗号化は「もし触られても読めない」ようにする二次的対策です。重ねて使うことで安全性が高まります。
Q2: バックアップを暗号化すれば機密性は確保できますか?
A2: はい、バックアップ自体を暗号化すれば、バックアップが漏れても内容は読み取れません。ただし復号用の鍵を安全に管理する必要があります。
A2: はい、バックアップ自体を暗号化すれば、バックアップが漏れても内容は読み取れません。ただし復号用の鍵を安全に管理する必要があります。
Q3: ログを見れば誰が漏らしたか分かりますか?
A3: 多くの場合、操作ログで誰がどのファイルにアクセスしたかは分かります。しかしログが改ざんされていたり、ログ自体が十分に残っていないと特定は難しくなります。ログは証拠になりますが、漏えいを防ぐ直接策ではありません。
A3: 多くの場合、操作ログで誰がどのファイルにアクセスしたかは分かります。しかしログが改ざんされていたり、ログ自体が十分に残っていないと特定は難しくなります。ログは証拠になりますが、漏えいを防ぐ直接策ではありません。
Q4: 暗号化をかけると運用が難しくなりますか?
A4: 運用は若干増えます(鍵の配布や復旧手順の整備など)。しかし適切なツールやポリシーを使えば、一般ユーザーでも扱えるようになります。セキュリティと利便性のバランスを設計することが重要です。
A4: 運用は若干増えます(鍵の配布や復旧手順の整備など)。しかし適切なツールやポリシーを使えば、一般ユーザーでも扱えるようになります。セキュリティと利便性のバランスを設計することが重要です。
関連キーワード: 情報セキュリティ、機密性、暗号化、鍵管理、ログ監査、バックアップ、可用性、完全性、アクセス制御、対称鍵、公開鍵

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

