ITパスポート試験 / 平成25年度 春期 ITパスポート試験 公開問題 / 問100
certification-simodake-work

平成25年度 春期 ITパスポート試験 公開問題 問100 解説 ショッピングサイトの信頼性

N社では,ショッピングサイトの売上増加には,利用者が安心してショッピングができるような配慮が大切であると考え,利用者の信頼を得るための様々な方策を検討している。インターネットを通じた商品の購入を利用者が安心して行えるように,N社が実施する方策として,適切なものはどれか。

  1. Web サイトを利用した個人情報の送受信には,第三者機関によって発行された電子証明書を用いて通信を暗号化する。 ✓ 正答
  2. 会社情報のページに,ショッピングサイトに利用しているサーバの機種や OS の名称,利用ソフトウェア,IP アドレスなどを公開し,システムの信頼性を示す。
  3. 決済手続に誤りがないよう,購入手続画面で入力された住所,氏名,クレジットカード番号を平文のメールで利用者に返送し,情報の誤りがないことを確認してもらう。
  4. 個人情報の取扱いに関する不安を与えないよう,個人情報の利用目的や問合せ方法などを明示しない。

解説

ショッピングサイトの運営において、利用者の信頼を得ることは売上増加に直結する重要な要素です。この問題は、そのための具体的な方策として何が適切かを問うもので、セキュリティと個人情報保護に関する基本的な知識が問われています。

この問題の解き方は、各選択肢が「利用者の信頼」と「安心して利用できる配慮」という観点から、セキュリティを向上させるものなのか、それともリスクを高めてしまうものなのかを評価することです。正解の選択肢は、Webサイトの通信を暗号化し、運営者の身元を保証するSSL/TLSという仕組みについて言及しており、これは現代のWebサイト運営におけるセキュリティの基本中の基本です。他の選択肢は、いずれもセキュリティ上のリスクを増大させたり、利用者の不信感を招いたりする行為であり、不適切です。

個人情報保護の要「通信の暗号化」

正解の選択肢が示す「第三者機関によって発行された電子証明書を用いて通信を暗号化する」とは、具体的にはSSL/TLS(Secure Sockets Layer/Transport Layer Security)というプロトコルを用いた通信の暗号化を指します。Webサイトのアドレスが「http://」ではなく「https://」で始まり、ブラウザのアドレスバーに鍵マークが表示されている場合がこれに該当します。

この仕組みは、利用者がWebサイトに入力する氏名、住所、クレジットカード番号といった個人情報が、インターネットを通じてサーバーに送られる途中で、第三者によって盗み見られたり、改ざんされたりするのを防ぐために不可欠です。

  • 通信の暗号化: 送受信されるデータを暗号化することで、万が一途中でデータが傍受されても、内容を解読されにくくします。これにより、個人情報の盗聴や改ざんを防ぎます。
  • 電子証明書(サーバ証明書): Webサイトの運営者が「本物」であることを証明するデジタルな身分証明書のようなものです。第三者機関(認証局)が発行することで、利用者はアクセスしているサイトが偽サイトではないことを確認でき、なりすましによる被害を防ぐことができます。この証明書は、信頼できる第三者機関が厳格な審査を経て発行するため、その信頼性が保証されます。

ショッピングサイトでは、決済情報など特に機密性の高い情報を扱うため、このSSL/TLSによる通信の暗号化は、利用者が安心してサービスを利用するための絶対条件と言えます。

不適切な選択肢が示すリスク

他の選択肢は、いずれも利用者の信頼を損ねたり、セキュリティ上の重大なリスクを招いたりする行為です。

  • 会社情報のページに,ショッピングサイトに利用しているサーバの機種や OS の名称,利用ソフトウェア,IP アドレスなどを公開し,システムの信頼性を示す。
    • システムの構成情報を詳細に公開することは、攻撃者にとって格好の手がかりとなります。特定のOSやソフトウェアのバージョンに存在する既知の脆弱性を狙った攻撃(ゼロデイ攻撃など)を受けやすくなり、かえってセキュリティリスクを高めてしまいます。信頼性は、システム構成の透明性ではなく、堅牢なセキュリティ対策で示すべきものです。
  • 決済手続に誤りがないよう,購入手続画面で入力された住所,氏名,クレジットカード番号を平文のメールで利用者に返送し,情報の誤りがないことを確認してもらう。
    • 「平文(ひらぶん)」とは、暗号化されていない、そのまま読める状態のデータを指します。メールはインターネットの途中で盗聴されやすい性質があり、特に機密性の高いクレジットカード番号などの個人情報を平文で送ることは、情報漏洩のリスクを極めて高める行為です。購入内容の確認は、暗号化されたWebページ上で行わせるか、必要な情報のみをメールで送る場合でも、クレジットカード番号の下4桁のみを表示するなど、最大限の配慮が必要です。
  • 個人情報の取扱いに関する不安を与えないよう,個人情報の利用目的や問合せ方法などを明示しない。
    • 個人情報の利用目的や、情報の開示・訂正・削除に関する問い合わせ方法などを明示しないことは、利用者に「自分の情報がどのように扱われるか分からない」という不安感や不信感を与えます。個人情報保護法などの法令でも、利用目的の明示は義務付けられています。プライバシーポリシーなどを公開し、透明性を示すことで、むしろ利用者の信頼を得られます。

ITパスポート試験におけるこの知識の重要性

この問題は、ITパスポート試験で繰り返し問われる「情報セキュリティ」の分野における基本的な考え方と実践を問うものです。現代社会において、インターネットを通じたサービスの利用は不可欠であり、企業は顧客の情報を保護する責任を負います。また、サービスを利用する側も、安全なWebサイトの識別方法(HTTPSの確認など)を知っておくことは、自身の情報を守る上で非常に重要です。

この知識は、単に試験に合格するためだけでなく、あなたが将来ITを利用するビジネスパーソンとして、あるいは一利用者として、情報社会で安全に行動するために身につけておくべき必須のリテラシーと言えるでしょう。

参考リンク

学習の記録にははてなブックマーク!

気づいたこと・覚えたことをコメントにメモしよう

このエントリーをはてなブックマークに追加