平成27年度 春期 ITパスポート試験 公開問題 問56 解説 情報セキュリティの3要素

この問題は、情報セキュリティの基本概念である「情報セキュリティの3要素（CIA）」を知っているかどうかを問うています。正解の根拠は、ISMS（情報セキュリティマネジメントシステム）において維持すべき3つの特性が、機密性・完全性・可用性の3つであるという定義を覚えているかどうか、ただ一点に絞られます。

情報セキュリティの3要素（CIA）

情報セキュリティの定義として、以下の3つの頭文字をとった「CIA」という言葉が世界共通で用いられます。

機密性（Confidentiality） 許可された人だけが情報にアクセスできること。例として、IDやパスワードによる認証、データの暗号化などが挙げられます。

完全性（Integrity） 情報が改ざんや破壊されず、常に正しい状態であること。例として、デジタル署名によるデータの真正性の確認などが挙げられます。

可用性（Availability） 必要なときにいつでも情報やシステムが利用できること。例として、サーバーの冗長化やバックアップの取得などが挙げられます。

脆弱性との違い

選択肢に含まれている「脆弱性」は、システムの設計ミスやプログラムのバグなど、セキュリティ上の「弱点」のことです。ISMSでは、この脆弱性を特定し、対策を講じることで上記3要素を守ることが求められます。つまり、維持管理すべき「目的（特性）」がCIAであり、脆弱性はそれを脅かす「リスクの要因」であるため、同列に扱うことはできません。

実社会での活用

この知識は、単に試験のための暗記ではなく、実務における「何を守るべきか」という判断基準になります。

例えば、社内のファイルサーバーを運用する際、「誰でも見られる状態ではないか（機密性）」、「勝手に内容が書き換えられていないか（完全性）」、「アクセスが集中して止まってしまわないか（可用性）」という3つの視点を持つことで、セキュリティ対策の漏れを体系的にチェックできます。

また、システム開発の現場では、脆弱性診断の結果を受けて、「この脆弱性を放置すると、どの要素（CIAのどれ）が損なわれる可能性があるのか」を論理的に議論するためにこの概念が使われます。このように、情報セキュリティに関する方針を立てる際の「共通言語」として、CIAは非常に重要な役割を果たしています。

参考リンク

• 情報セキュリティの3要素とは？機密性・完全性・可用性をわかりやすく解説
• 【初心者向け】脆弱性診断ってなに？Webサイトをハッキングから守る仕組み
• 情報セキュリティマネジメントシステム（ISMS）適合性評価制度：用語解説