平成26年度 春期 ITパスポート試験 公開問題 問54 解説 ファイルサーバのセキュリティ

各選択肢をセキュリティの基本原則である「機密性」「完全性」「可用性」の観点で判断します。セキュリティ対策とは「許可された人だけが正しく情報に触れ、不正な侵入を許さない」ための仕組みづくりです。

選択肢の判断基準

a：パスワードの複雑化と長文化は、第三者による不正ログインや総当たり攻撃（ブルートフォース攻撃）を防ぐための基本です。これは有効です。

b：特定のIPアドレスからのみアクセスを許可する「IPアドレス制限」は、ネットワーク層でのアクセス制御として非常に強力です。社外からの不正アクセスを物理的に遮断できるため、有効です。

c：ゲストユーザとは、認証なしや制限された権限で誰でもアクセスできる状態を指します。不用意な権限付与は情報漏えいやウイルス感染の経路となるため、セキュリティ対策としては不適切です。

d：ログは「誰がいつ何をしたか」という証跡です。定期的に監査することで、万が一の不正侵入にいち早く気づいたり、抑止力として機能させたりできるため、有効です。

以上の判断から、a、b、dが正解となります。

なぜこの知識が重要なのか

ファイルサーバは企業の重要な情報資産が格納される場所です。もしファイルサーバが乗っ取られた場合、顧客情報や機密データが一括して流出する恐れがあります。

この問題の教育的意図は、単に「セキュリティ設定を知っているか」だけでなく、「利便性と安全性のバランスを理解しているか」を問う点にあります。例えば、cのゲストユーザ設定は利便性だけを見れば簡単ですが、セキュリティの視点からは「侵入経路を無防備に開く行為」と見なされます。ITパスポート試験では、このような「情報の安全性」を脅かす行為を即座に排除できる直感的な判断力が求められています。

セキュリティ運用の現場における視点

実務において、これらの対策は単独で完結するものではありません。

例えば、パスワードを強固にしても、そのパスワードが漏洩してしまえば意味がありません。そのため、IPアドレス制限（b）と組み合わせて「特定の場所からのみ、正しいパスワードを使ってログインできる」という多層的な防御を敷くことが重要です。また、ログ監査（d）は「性善説」に基づきつつも「いつか必ず事故は起きる」という前提に立ち、事後追跡を可能にするための「備え」として不可欠なプロセスです。

システム管理者は、このように複数の対策を掛け合わせることで、初めて組織のセキュリティを守ることができるのです。

参考リンク

• 情報セキュリティ対策の基本（IPA 独立行政法人 情報処理推進機構）
• 【初心者向け】ファイルサーバのセキュリティ対策のキホン（Qiita）
• 【ITパスポート試験対策】セキュリティ対策の考え方（YouTube動画）