平成21年度 秋期 ITパスポート試験 問66 解説 物理的脅威の分類

脅威の分類を「目に見えるか」で判断する

この問題は、セキュリティ上のトラブルが「物理的な要因」によるものか「ネットワークや人為的な操作などの論理・人的要因」によるものかを区別することで正解にたどり着けます。物理的脅威とは、自然災害や設備の破損など、ハードウェア自体に直接影響を与える出来事を指します。選択肢の中で、大雨や洪水といった「自然現象」が直接の原因となっているのはアのみであると判断します。

セキュリティ脅威の分類と特徴

情報セキュリティにおける脅威は、主に以下の3つに分類して整理すると理解が深まります。

• 物理的脅威 地震、火災、洪水、落雷などの自然災害のほか、機器の盗難、破壊、不正な立ち入りなど、「実体のあるモノ」が原因となって生じる脅威です。対策としては、サーバ室の施錠管理、免震装置の設置、バックアップデータの遠隔地保管などが挙げられます。

• 技術的（論理的）脅威 ネットワークやソフトウェアを介して行われる攻撃です。コンピュータウイルスへの感染、不正アクセス、データの盗聴や改ざんなどがこれに該当します。公開サーバへの攻撃（DoS攻撃など）も、ネットワーク上で行われるためここに分類されます。

• 人的脅威 操作ミスや設定ミス、内部不正、あるいは教育不足による情報漏洩など、「人」に起因する脅威です。システム自体に欠陥がなくても、操作する側が誤れば事故につながるため、教育訓練やアクセス権限の適切な管理が不可欠です。

脅威の種類を見分ける思考回路

試験でこの種の問題が出た際は、問題文の事象が「コンピュータの外側で起きていること」か「コンピュータの内側（ネットワークやプログラム内）で起きていること」かを分けるのがコツです。

今回のアは「大雨による浸水」であり、PCやサーバの性能や設定とは無関係に発生します。一方、イやウはネットワーク上のやり取りを悪用した攻撃であり、エは内部の人間による操作という論理的なミスです。このように、原因の発生源がどこにあるかを特定することで、混同を防ぐことができます。

実務における脅威管理の重要性

企業において物理的脅威への対策をおろそかにすることはできません。いくら強固なセキュリティソフトを導入しても、サーバ室が洪水で浸水したり、地震で機器が倒壊したりすれば、サービスは止まり、データも消滅します。

ITパスポート試験でこの知識を問う意図は、セキュリティを「ウイルス対策」のような狭い範囲で捉えず、「災害対策や設備管理を含めた広範囲なリスクマネジメント」として意識させることにあります。実務では、事業継続計画（BCP）を策定する際に、こうした物理的な脅威を想定し、いかにしてシステムを止めないか（可用性の維持）を設計することが重要なスキルとなります。

参考リンク

• 情報セキュリティの基礎知識：脅威の種類と対策
• 物理的セキュリティ対策を極める：サーバ室の設計と運用事例
• 情報セキュリティマネジメントシステム（ISMS）における物理的及び環境的セキュリティの定義