平成26年度 春期 ITパスポート試験 公開問題 問66 解説 データの暗号化

暗号化が防げる脅威を見抜くポイント

この問題を解くためのカギは、暗号化の最大の目的である「情報の機密性の確保」という性質を理解することです。暗号化とは、データを特定のルールに基づいて第三者が解読できない形に変換する技術です。したがって、暗号化が効果を発揮するのは「データの中身を勝手に見られること（盗聴・漏洩）」を防ぐ場面に限定されます。

なぜ暗号化が有効なのか

暗号化の役割を一言でいえば、許可されていない第三者がデータを見ても、元の内容が分からない状態にすることです。

例えば、ネットワークを流れるデータは、何も対策をしなければ通過経路上の悪意ある第三者によって丸見えの状態（盗聴）になります。しかし、通信を暗号化しておけば、途中でデータを奪われたとしても、それは単なる意味のない文字列の羅列にすぎません。そのため、通信内容の盗聴を防ぐことができます。

他の選択肢が防げない理由

暗号化は万能の守り神ではありません。それぞれの選択肢がなぜ防げないのかを確認しておきましょう。

アの誤操作によるデータの削除は、ヒューマンエラーです。暗号化はデータを変換するだけであり、削除操作そのものを制限するものではありません。

イのソーシャルエンジニアリングは、人間の心理的な隙や行動のミスにつけ込んでパスワードなどの秘密情報を盗み出す行為です。暗号化とは関係なく、人の心理を突く攻撃には暗号化では対処できません。

エのDoS攻撃は、サーバに対して過剰な負荷をかけてサービスを停止させる攻撃です。暗号化をしていてもデータ処理の負荷はかかるため、むしろ攻撃対象に対して余計な計算処理を強いることで、状況が悪化することすらあります。

実務現場における暗号化の考え方

システム開発や運用の現場では、暗号化は「守りの基本」として導入されます。具体的には、Webサイトの通信を暗号化するHTTPS化、PCのハードディスク全体を暗号化して紛失時の情報漏洩に備えるディスク暗号化などが代表的です。

しかし、ITパスポート試験で問われるのは、暗号化さえすればすべてのセキュリティリスクが消えるわけではないという「限界」の認識です。セキュリティ対策には、暗号化による「機密性の確保」だけでなく、バックアップによる「可用性の確保（誤操作対策）」、パスワード管理や教育による「ソーシャルエンジニアリング対策」、ファイアウォールやWAFによる「攻撃防御」など、多層防御の考え方が不可欠であることを学び取ってください。

参考リンク

• 【ITパスポート】情報セキュリティの3要素（CIA）とは？わかりやすく解説
• 暗号化通信HTTPSの仕組みを実際にパケットキャプチャして見てみる
• 情報セキュリティマネジメントシステム（ISMS）の定義と目的（JIS Q 27001より）