ITパスポート過去問 令和1年度(2019年)問97
情報セキュリティの三大要素である機密性,完全性及び可用性に関する記述のうち,最も適切なものはどれか。
選択肢
- ア:可用性を確保することは,利用者が不用意に情報漏えいをしてしまうリスクを下げることになる。
- イ:完全性を確保する方法の例として,システムや設備を二重化して利用者がいつでも利用できるような環境を維持することがある。
- ウ:機密性と可用性は互いに反する側面をもっているので,実際の運用では両者をバランスよく確保することが求められる。
- エ:機密性を確保する方法の例として,データの滅失を防ぐためのバックアップや 誤入力を防ぐための入力チェックがある。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報セキュリティの三大要素は、機密性(許可されない閲覧や漏えいを防ぐこと)、完全性(改ざんや誤りを防ぎ正しい状態を保つこと)、可用性(必要なときに利用できる状態を保つこと)です。これらは同時に高めたい一方で、機密性を厳しくすると利用しにくくなり可用性が下がるなど、相反する関係になることがあります。そのため実運用では、目的やリスクに応じてバランスよく確保することが重要です。
Point
この問題は、情報セキュリティの三大要素(機密性、完全性、可用性)の定義と、代表的な対策例がどの要素に対応するかを正しく区別できるかを確認することがねらいです。
解くために必要な知識
この問題を解くには、情報セキュリティ三大要素(CIA)の定義と、代表的な対策例がどれに当たるかの理解が必要です。
用語の整理
| 用語 | 意味 | 代表的な対策例 |
|---|---|---|
| 機密性(Confidentiality) | 許可された利用者だけが情報にアクセスできるようにし、情報漏えいを防ぐことです。 | アクセス制御、認証、暗号化などです。 |
| 完全性(Integrity) | 情報が正確で、改ざんされておらず、正しい状態を保つことです。 | 入力チェック、更新権限管理、改ざん検知などです。 |
| 可用性(Availability) | 必要なときに情報やシステムを利用できる状態を保つことです。 | 二重化(冗長化)、バックアップ、障害復旧の仕組みなどです。 |
他の選択肢に出てくる用語
| 用語 | 説明 | 主に関係する要素 |
|---|---|---|
| 二重化(冗長化) | 故障や停止に備えて機器や回線などを複数用意し、サービス停止を避ける考え方です。 | 可用性 |
| バックアップ | 障害や誤操作でデータが失われた場合に備えて複製を保存し、復旧できるようにすることです。 | 可用性 |
| 入力チェック | 入力値の形式や範囲を検査して誤入力や不正な入力を防ぐことです。 | 完全性 |
問題の解法手順
各選択肢の整理
| 選択肢 | 述べている内容 | 三大要素との対応 | 判定理由 |
|---|---|---|---|
| ア | 可用性を確保すると情報漏えいリスクが下がる | 漏えい防止は機密性 | 情報漏えいの防止は機密性の目的であり、可用性の目的ではありません。 |
| イ | 二重化でいつでも利用できる環境を維持するのが完全性の例 | 二重化は可用性 | 二重化(冗長化)は停止を避け、必要なときに利用できるようにするための可用性の対策です。 |
| ウ | 機密性と可用性は反する面があり、両立の調整が必要 | 機密性と可用性 | 機密性を高めるための制限が、利用のしやすさや利用できる場面を減らし、可用性に影響する場合があります。 |
| エ | バックアップや入力チェックが機密性の例 | バックアップは可用性、入力チェックは完全性 | バックアップは滅失対策として可用性、入力チェックは誤り防止として完全性に関係します。 |
選択肢ごとの解説
- ア:不正解
情報漏えいの防止は機密性の目的です。可用性は必要なときに利用できる状態を保つことであり、可用性を確保すること自体は情報漏えい防止を直接の目的としません。
- イ:不正解
システムや設備の二重化(冗長化)は、故障時もサービスを継続し、必要なときに利用できる状態を保つ対策です。したがって可用性の例であり、完全性の例ではありません。
- ウ:正解
機密性を高めるためにアクセス制限や認証を厳しくすると、利用手順が増えたり利用できる範囲が狭くなったりして、可用性に影響する場合があります。そのため運用では機密性と可用性を両方確保できるように調整することが求められます。
- エ:不正解
バックアップは、障害やデータ消失時に復旧できるようにする対策であり、主に可用性に関係します。入力チェックは誤りを防ぐ対策であり完全性に関係します。どちらも機密性(許可されないアクセスや漏えいを防ぐこと)の例ではないため不適切です。
まとめ
情報セキュリティの三大要素は、機密性(許可されない閲覧や漏えいを防ぐこと)、完全性(改ざんや誤りを防ぎ正しい状態を保つこと)、可用性(必要なときに利用できる状態を保つこと)です。これらは同時に高めたい一方で、機密性を厳しくすると利用しにくくなり可用性が下がるなど、相反する関係になることがあります。そのため実運用では、目的やリスクに応じてバランスよく確保することが重要です。
テクノロジ系 > 技術要素 > セキュリティ
情報漏えいの防止は機密性の目的です。可用性は必要なときに利用できる状態を保つことであり、可用性を確保すること自体は情報漏えい防止を直接の目的としません。
システムや設備の二重化(冗長化)は、故障時もサービスを継続し、必要なときに利用できる状態を保つ対策です。したがって可用性の例であり、完全性の例ではありません。
機密性を高めるためにアクセス制限や認証を厳しくすると、利用手順が増えたり利用できる範囲が狭くなったりして、可用性に影響する場合があります。そのため運用では機密性と可用性を両方確保できるように調整することが求められます。
バックアップは、障害やデータ消失時に復旧できるようにする対策であり、主に可用性に関係します。入力チェックは誤りを防ぐ対策であり完全性に関係します。どちらも機密性(許可されないアクセスや漏えいを防ぐこと)の例ではないため不適切です。