ITパスポート 2014年 秋期 問58
問題文
不正アクセスなどに利用される、コンピュータシステムやネットワークに存在する弱点や欠陥のことを何というか。
選択肢
ア:インシデント
イ:セキュリティホール(正解)
ウ:ハッキング
エ:フォレンジック
🔒 解説は解答すると表示されます
不正アクセスに利用される弱点や欠陥の呼び名は何か【ITパスポート 解説】
正解の理由
この問題で問われているのは、「不正アクセスなどに利用される、コンピュータシステムやネットワークに存在する弱点や欠陥」を何と呼ぶか、です。正しい用語は イ のセキュリティホールです。
セキュリティホール(security hole:コンピュータやネットワークの弱点や欠陥)は、その名の通り「守るべきところに穴が開いている」状態を指します。攻撃者はその穴を見つけて入り込み、情報の盗み出しや不正操作を行います。したがって「不正アクセスに利用される弱点や欠陥」にぴったり当てはまる用語がセキュリティホールです。
※同義語として「脆弱性(ぜいじゃくせい、vulnerability:攻撃を受けやすい欠点)」という言い方もよく使われます。
解法ステップ
- 問題文のキーワードを探す:「弱点」「欠陥」「不正アクセスに利用される」。
- 用語の意味を思い出す:
- セキュリティホール=弱点・欠陥(攻撃に利用される)→候補に合致。
- 他の選択肢(インシデント、ハッキング、フォレンジック)は「出来事」や「行為」、「調査技術」を示す語で、弱点そのものではない。
- より短く確信を持てるものを選ぶ:イ が正しい。
選択肢別の誤答解説
- ア: インシデント(incident:出来事・事故)
- 意味は「情報セキュリティ上の問題が発生した出来事」です。被害や問題そのものを指しますが、「弱点・欠陥(攻撃に利用される原因)」ではありません。例えば「不正アクセスが発生した」はインシデントです。
- イ: セキュリティホール(security hole:弱点・欠陥)
- 正解。システムの脆弱性で、攻撃者が利用して不正アクセスなどを行います。
- ウ: ハッキング(hacking:不正アクセスや改変などの行為)
- ハッキングは「攻撃する行為」や「技術的な操作」を表します。弱点そのものではないため不正解です(ただしハッカーがセキュリティホールを利用してハッキングを行います)。
- エ: フォレンジック(forensic:調査・証拠解析)
- コンピュータフォレンジックは「発生したインシデントの原因調査や証拠収集」を指します。弱点を意味する語ではありません。
よくある誤解
- 「インシデント」と混同する
- インシデントは「問題が起きた事象」です。セキュリティホール(弱点)があってインシデント(被害発生)になる、という順序を押さえておきましょう。
- 「ハッキング=セキュリティホール」と考える
- ハッキングは行為、セキュリティホールはその対象(攻撃されやすい部分)です。似ている場面で出会う言葉ですが役割が違います。
補足コラム
- 脆弱性の例と対策
- 例:ソフトの入力チェック不足(パスワード欄に文字制限がなくSQLが送れてしまう)→ 対策:入力検証とエスケープ処理。
- 例:古いソフトの未更新→ 対策:パッチ(patch:不具合を修正する更新)適用や自動更新設定。
- よく使われる用語
- エクスプロイト(exploit:脆弱性を利用する手法やプログラム)
- CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子。脆弱性に付けられる番号)
- 「ゼロデイ脆弱性(zero-day vulnerability)」
- 公表前や対策がない脆弱性のこと。発見されてから対策まで時間がかかるため危険度が高いです。
FAQ
Q1: セキュリティホールと脆弱性は同じですか?
A1: 基本的には同じ意味で使われます。どちらも「攻撃に利用される欠点」を指します。脆弱性は少し専門的な言い方で、セキュリティホールは日常語に近い表現です。
A1: 基本的には同じ意味で使われます。どちらも「攻撃に利用される欠点」を指します。脆弱性は少し専門的な言い方で、セキュリティホールは日常語に近い表現です。
Q2: セキュリティホールを見つけたらどうすればいいですか?
A2: 一般利用者はソフトの提供元に報告し、アップデート(パッチ)が出たら速やかに適用します。企業では脆弱性対応の手順(情報共有、緊急対応、再発防止)を行います。
A2: 一般利用者はソフトの提供元に報告し、アップデート(パッチ)が出たら速やかに適用します。企業では脆弱性対応の手順(情報共有、緊急対応、再発防止)を行います。
Q3: セキュリティホールはどうやって見つかるのですか?
A3: 開発者やセキュリティ研究者がテストで見つける場合、または攻撃者が見つける場合があります。見つかったらCVEなどで登録され、修正が行われます。
A3: 開発者やセキュリティ研究者がテストで見つける場合、または攻撃者が見つける場合があります。見つかったらCVEなどで登録され、修正が行われます。
Q4: セキュリティホールがあると必ず被害に遭いますか?
A4: 必ずではありません。攻撃者がその脆弱性を見つけ、利用する条件が揃ったときに被害が発生します。とはいえ放置は危険です。
A4: 必ずではありません。攻撃者がその脆弱性を見つけ、利用する条件が揃ったときに被害が発生します。とはいえ放置は危険です。
関連キーワード: 脆弱性、セキュリティホール、エクスプロイト、パッチ、CVE、インシデント対応、フォレンジック

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

