平成22年度 秋期 ITパスポート試験 問53 解説 情報セキュリティの完全性

情報セキュリティの3要素（CIA）の定義を暗記し、各選択肢がどの要素を侵害しているかを分類することで即座に正解を導き出せます。「完全性」とは、情報が正確で、意図せず書き換えられていないことを指すため、情報を書き換える「改ざん」が該当します。

情報セキュリティの3要素（CIA）とは

情報セキュリティの土台となる考え方にCIAがあります。試験では、この3つの定義を正確に区別できることが極めて重要です。

・機密性（Confidentiality）：許可された人だけが情報にアクセスできること ・完全性（Integrity）：情報が正確で、改ざん・破壊されていないこと ・可用性（Availability）：必要なときにいつでもシステムやデータが利用できること

これらは頭文字をとって「CIA」と呼ばれます。今回の問題は、この3つの定義のどれが損なわれたかを判断する問題です。

選択肢をCIAで分類して考える

各選択肢がCIAのどれを損なうか、あるいは無関係かを分解してみましょう。

・ア DoS 攻撃：大量のパケットを送りつけてサーバをダウンさせる行為です。これは「いつでも使える状態」を阻害するため、可用性を損なう行為です。 ・イ Web ページの改ざん：ウェブサイトの内容を勝手に書き換える行為です。情報の正確さが失われるため、完全性を損なう行為です。 ・ウ サーバの各ポートへの順次アクセス：いわゆるポートスキャンと呼ばれる行為です。攻撃の準備段階として行われることが多く、これ自体は調査段階ですが、悪用されれば機密性を狙うための情報収集となります。 ・エ ネットワークを流れるデータの盗聴：通信内容を盗み見る行為です。許可されていない第三者に中身が見られてしまうため、機密性を損なう行為です。

なぜこの知識が重要なのか

実務においてセキュリティ対策を検討する際、「何を何から守るべきか」を整理するためにCIAの概念は必須です。

例えば、銀行のシステムでは「預金残高が勝手に書き換わらないこと（完全性）」が最優先ですし、会員制サイトでは「顧客の個人情報が漏れないこと（機密性）」が最優先です。また、ネットショップでは「セール時にサイトが重くて開けない（可用性の低下）」事態を防ぐことが重要です。

ITパスポート試験において、この問題が出題される意図は、攻撃手法の名前を暗記すること以上に、その攻撃が「情報のどのような特性を脅かしているのか」という本質的な理解を問うことにあります。被害の性質をCIAの切り口で整理できるようになると、将来的にどのセキュリティ対策が有効かという判断基準を持つことにつながります。

参考リンク

• 情報セキュリティの3要素（機密性・完全性・可用性）について解説
• 【ITパスポート】情報セキュリティの3要素（CIA）を例題で攻略！
• 「改ざん検知システム」を自作して完全性を守る仕組みを体験してみた