この記事は就活や転職にも役立つ資格、「ITパスポート」についての解説記事です。

今回は”情報セキュリティ”を理解するために、試験範囲の”テクノロジー系 セキュリティ”に位置づけられるテーマについて、現役エンジニアの著者が分かりやすく解説していきます。

今回は、「情報セキュリティにおける物理的脅威」というテーマの記事となっています。

記事の後半では過去にITパスポートに実際に出題された問題も取り扱っていますのでぜひ最後まで目を通してみてください。

物理的脅威とは

情報セキュリティには情報資産を守るうえで、人的脅威、技術的脅威、物理的脅威、の3つのリスク要因があります。

その中で、施設やコンピュータが物理的な手段によって損害を受ける脅威を「物理的脅威」と呼びます。

物理的脅威には、大雨や地震などの自然災害や、落雷等による停電、人による意図的なデータやコンピュータの破壊・盗難などがあります。

人によるデータやコンピュータの破壊や盗難は、人によってもたらされる脅威なので「人的脅威」と思う方もいらっしゃると思います。

しかし、最終的な攻撃の実行が「直接的」か「間接的」かという違いがあります。

人であろうが災害であろうが“直接的”に脅威を与えたらそれは物理的脅威であるのがポイントです。

ショルダーハックは人が肩越しに「間接的」に情報を盗みとりますので人的脅威に分類されます。

対して、人がサーバー室に侵入しデータを盗む行為は「直接的」な行為となりますので「物理的脅威」という事になります。

試験対策用のまとめ

試験対策用にこの記事の要点を以下のようにまとめましたので確認してください。

• 物理的脅威は自然災害や停電、盗難、破壊等、物理的な手段によって行われる脅威
• 物理的脅威は「直接的」、人的脅威は「間接的」

今回はこの2点を押さえておきましょう。

ITパスポートの過去問で実践

それでは実際に過去にIパスで出題された、物理的脅威に関する問題を解いてみましょう。

平成21年秋期

セキュリティ事故の例のうち，原因が物理的脅威に分類されるものはどれか。

• ア　大雨によってサーバ室に水が入り，機器が停止する。
• イ　外部から公開サーバに大量のデータを送られて，公開サーバが停止する。
• ウ　攻撃者がネットワークを介して社内のサーバに侵入し，ファイルを破壊する。
• エ　社員がコンピュータを誤操作し，データが破壊される。

情報セキュリティの中で、自然災害や停電、人による直接的な攻撃である盗難や破壊などの脅威を物理的脅威と呼びます。

それをふまえて問題の選択肢を検討すると

ア、自然災害が原因なので、物理的脅威に分類される

イ、サイバー攻撃が原因なので、技術的脅威に分類される

ウ、サイバー攻撃が原因なので、技術的脅威に分類される

エ、人による誤操作が原因なので、人的脅威に分類される

したがって正解は「ア」となります。

平成26年秋期

物理的セキュリティ対策の不備が原因となって発生するインシデントの例として，最も適切なものはどれか。

• ア　DoS攻撃を受け，サーバが停止する。
• イ　PCがコンピュータウイルスに感染し，情報が漏えいする。
• ウ　社員の誤操作によって，PC内のデータが消去される。
• エ　第三者がサーバ室へ侵入し，データを盗み出す

ア、サイバー攻撃が原因なので、技術的脅威への対策の不備で発生したインシデント。

イ、マルウェアが原因なので、技術的脅威への対策の不備で発生したインシデント。

ウ、人によるご操作が原因なので、人的脅威への対策および技術的脅威への対策の不備により発生したインシデント。

エ、悪意のある第三者が「直接」攻撃を行った事が原因なので、物理的脅威への対策の不備で発生したインシデント。

したがって正解は「エ」です。

まとめ

この記事では、物理的脅威について解説してきました。

物理的脅威と人的脅威の違いがわかりにくく、混同されがちなので、この記事でよく確認しておきましょう。

情報セキュリティに関する問題は近年、より重要度が増しており、出題数も増えている傾向にあるのでしっかりと押さえておきましょう。

今回は以上です。

本記事の中で分からない用語があった方は関連する記事のリンクが貼ってありますのでそちらもぜひご覧になってください。