ITパスポート 2019年 秋期 問97
問題文
情報セキュリティの三大要素である機密性、完全性及び可用性に関する記述のうち、最も適切なものはどれか。
選択肢
ア:可用性を確保することは、利用者が不用意に情報漏えいをしてしまうリスクを下げることになる。
イ:完全性を確保する方法の例として、システムや設備を二重化して利用者がいつでも利用できるような環境を維持することがある。
ウ:機密性と可用性は互いに反する側面をもっているので、実際の運用では両者をバランスよく確保することが求められる。(正解)
エ:機密性を確保する方法の例として、データの滅失を防ぐためのバックアップや誤入力を防ぐための入力チェックがある。
🔒 解説は解答すると表示されます
情報セキュリティの三大要素(機密性、完全性及び可用性)【ITパスポート 解説】
正解の理由
情報セキュリティの三大要素は、機密性(Confidentiality:情報を許可された人だけが知ること)、完全性(Integrity:情報が正しく改ざんされていないこと)、可用性(Availability:必要なときに情報やシステムが使えること)です。これらは相互に影響し合うことがあります。例えば、強い認証や厳しいアクセス制御は機密性を高めますが、手続きが複雑になると利用者が利用しづらくなり、可用性に悪影響を与えることがあります。したがって、実際の運用では機密性と可用性の間で適切なバランスを取ることが求められます。この点を正しく述べているのが ウ です。
解法ステップ
- 三大要素の短い定義を確認する
- 機密性(Confidentiality):許可された人だけが情報にアクセスできること。
- 完全性(Integrity):情報が正確で改ざんされていないこと。
- 可用性(Availability):必要なときに情報やシステムが利用できること。
- 各選択肢がどの要素を述べているかを当てはめる。
- 述べられている対策や効果が、その要素に合っているかを検証する。
- 矛盾やすり替えがある選択肢は除外する。
この問題では「機密性と可用性が互いに反する側面を持つのでバランスが必要」という点が正しいと判断します。
選択肢別の誤答解説
-
ア: 「可用性を確保することは、利用者が不用意に情報漏えいをしてしまうリスクを下げることになる。」
可用性は「いつでも使える」ことを指します。不用意な情報漏えいのリスクを下げる対策は機密性(アクセス制御や暗号化)が中心です。よってアは誤りです。 -
イ: 「完全性を確保する方法の例として、システムや設備を二重化して利用者がいつでも利用できる環境を維持することがある。」
二重化(冗長化)は主に可用性を高める対策です。完全性はデータの正確さ・改ざん防止を指し、チェックサムやハッシュ、入力検査、電子署名などが対策になります。したがってイは誤りです。 -
ウ: 「機密性と可用性は互いに反する側面をもっているので、実際の運用では両者をバランスよく確保することが求められる。」
機密性を強めると利便性(可用性)が落ちることがある、逆もまた然り、という現実的な指摘で正しいです。よってウが適切です。 -
エ: 「機密性を確保する方法の例として、データの滅失を防ぐためのバックアップや誤入力を防ぐための入力チェックがある。」
バックアップは可用性(データ復旧)を高める対策、入力チェックは完全性(誤入力防止)の対策です。機密性とは目的が異なるためエは誤りです。
よくある誤解
-
「セキュリティ対策=機密性だけ」
機密性は重要ですが、データが正しくない(完全性が欠ける)や使えない(可用性が低い)状況も重大な問題になります。用途に応じて重点を変える必要があります。 -
「より強い制御は常に良い」
例えば認証を極端に複雑にすると利用者が手順を回避し、結果的にセキュリティ全体が低下することがあります。実務では効果と運用性のバランスが大切です。
補足コラム
- 代表的な対策の対応関係(例)
- 機密性:アクセス制御、暗号化(Encryption:データを他人に読まれないように変換すること)、多要素認証(MFA)。
- 完全性:ハッシュ関数・デジタル署名、入力チェック、ログの改ざん防止。
- 可用性:冗長化(RAIDやサーバの二重化)、バックアップ、ディザスタリカバリ(災害復旧)計画。
- 実務では1つの対策が複数の要素に寄与することがあります。例えば、暗号化は主に機密性ですが、不正改ざんの検出により完全性に寄与する場合もあります。
FAQ
Q. 機密性と可用性、どちらを優先すべきですか?
A. 業務や情報の重要性によります。例えば医療・金融は機密性が重要ですが、制御システムでは可用性が最優先になることがあります。リスク評価で決めます。
A. 業務や情報の重要性によります。例えば医療・金融は機密性が重要ですが、制御システムでは可用性が最優先になることがあります。リスク評価で決めます。
Q. 完全性を技術的にどう確認するのですか?
A. ハッシュ値やデジタル署名で改ざんを検出したり、入力チェック・トランザクション制御でデータの一貫性を保ちます。
A. ハッシュ値やデジタル署名で改ざんを検出したり、入力チェック・トランザクション制御でデータの一貫性を保ちます。
Q. 可用性を高めるとコストが上がりますか?
A. はい。冗長化やバックアップ、監視体制などが必要でコストが増えます。コストとリスクのバランスを考えて対策を選びます。
A. はい。冗長化やバックアップ、監視体制などが必要でコストが増えます。コストとリスクのバランスを考えて対策を選びます。
関連キーワード: 機密性、完全性、可用性、CIAトライアングル、アクセス制御、暗号化、バックアップ、冗長化、ハッシュ、デジタル署名、災害復旧

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

