平成28年度 秋期 ITパスポート試験 公開問題 問87 解説 情報の完全性

情報セキュリティの基本：機密性・完全性・可用性 の理解

この問題は、情報セキュリティの三大要素である「機密性」「完全性」「可用性」の定義を理解し、それぞれの要素が侵害された場合の具体例を正しく識別できるかを問うています。

解き方のポイント:

1. 機密性（Confidentiality）：許可された者だけが情報にアクセスできること。不正なアクセスや情報漏洩を防ぐこと。
2. 完全性（Integrity）：情報が正確で、改ざんや誤りがない状態であること。
3. 可用性（Availability）：許可された者が、必要な時に情報やシステムにアクセスできること。

これらの定義を念頭に、各選択肢がどの要素の侵害に該当するかを判断します。

各選択肢の検討

• ア 暗号化して送信した電子メールが第三者に盗聴された。 これは、本来「許可された者」（送信者と受信者）のみが読むべき情報が、第三者によって不正に読み取られたケースです。これは機密性が侵害された例です。暗号化は機密性を保つための手段ですが、盗聴されてしまっては機密性が失われたことになります。

• イ オペレータが誤ってデータ入力し，顧客名簿に矛盾が生じた。 オペレータの誤入力により、顧客名簿の情報が不正確になったり、データ間に矛盾が生じたりすることは、情報が「正確で、改ざんや誤りがない状態」から外れたことを意味します。これは完全性が侵害された例です。情報そのものの正しさが損なわれています。

• ウ ショッピングサイトがシステム障害で一時的に利用できなかった。 システム障害により、ユーザーがショッピングサイトにアクセスしてサービスを利用できなくなった状態です。これは「必要な時に情報やシステムにアクセスできる」という可用性が損なわれた例です。

• エ データベースで管理していた顧客の個人情報が漏えいした。 顧客の個人情報が、許可されていない第三者の手に渡ってしまった状態です。これは、情報へのアクセスが許可された者以外にも及んでしまった、つまり機密性が侵害された例です。

これらの検討から、完全性が保たれなかった例は「イ」であることがわかります。

情報セキュリティの三大要素の重要性

ITパスポート試験では、情報セキュリティの基本となる「機密性」「完全性」「可用性」（しばしばCIAトライアドと呼ばれます）の理解は必須です。これらの要素は、情報資産を守る上で互いに連携し、バランスを取ることが重要です。

機密性 (Confidentiality)

機密性は、情報が漏洩しないように保護することです。例えば、クレジットカード情報や顧客の個人情報などは、厳重に管理されなければなりません。

• 侵害の例: パスワードの推測、不正アクセス、盗聴、紛失・盗難による情報漏洩。
• 対策の例: アクセス制御（ID/パスワード、生体認証）、暗号化、データマスキング。

完全性 (Integrity)

完全性は、情報が正確であり、不正に改ざんされたり、誤って削除・変更されたりしないことを保証することです。

• 侵害の例: データの誤入力、プログラムのバグによるデータ破損、マルウェアによる改ざん、不正なデータ更新。
• 対策の例: アクセス権限の設定、データのバックアップと復元、電子署名、ハッシュ関数によるデータ検証。

可用性 (Availability)

可用性は、許可されたユーザーが、必要な時にいつでも情報やシステムを利用できる状態を維持することです。

• 侵害の例: システム障害、DDoS攻撃によるサービス停止、ハードウェアの故障、電力供給の停止。
• 対策の例: 冗長化（RAID、サーバークラスタリング）、バックアップ電源、定期的なメンテナンス、障害復旧計画（DRP）。

この問題で問われた「オペレータの誤入力」は、完全性を損なう典型的な例として、オペレーションミスによる情報資産の劣化を示唆しています。システム運用においては、技術的な対策だけでなく、ヒューマンエラーを防ぐための教育や手順の整備も不可欠であることを理解しておきましょう。

参考リンク

• 情報セキュリティの３要素「機密性・完全性・可用性」とは？それぞれの意味と対策を解説
• 【ITパスポート】機密性・完全性・可用性 ～情報セキュリティの基本～
• 情報セキュリティ