この記事は就活や転職にも役立つ資格、「ITパスポート」についての解説記事です。
今回はネットワークの仕組みを理解するために、試験範囲の”テクノロジー系 情報セキュリティ”に位置づけられる「情報セキュリティの要素」について、現役エンジニアの著者が分かりやすく解説していきます。
記事の後半では過去にITパスポート試験に実際に出題された問題も取り扱っていますのでぜひ最後まで目を通してみてください。
目次
情報セキュリティ管理
情報セキュリティは、リスク要因を全て完全に取り除けば解決するわけではありません。
例えば、空き巣の侵入を防ぐために玄関扉を銀行の金庫で使われる扉にすれば、堅牢にはなりますが、日々の家の出入りが大変不便になってしまいます。
これは情報システムやコンピュータも同じで、インターネットを介した不正アクセスの危険性を完全に取り除きたい時、システム自体をインターネットから遮断してしまえばリスクは取り除けますがインターネットの利便性を享受することは出来なくなってしまいます。
このように、情報セキュリティとシステムの利便性はトレードオフの関係にあり、システムを堅牢にすればする程、使いづらいものとなってしまうという問題があります。
情報セキュリティは、リスクとその影響を正しく把握し、適切な情報セキュリティ管理を行う事が重要です。
情報セキュリティの三大要素
情報セキュリティの目的を達成する為には情報の「機密性」「完全性」「可用性」の3つの要素を確保・維持する事が重要です。
これら3つの要素のバランスをうまく維持することで様々なリスクから情報資産を保護し、情報資産の信頼性を高める事ができます。
三大要素はそれぞれの頭文字を取って「CIA」と呼ばれます。
機密性 Confidentiality
機密性はConfidentiality(コンフィデンシャリティ)とも呼ばれ、認められた人だけが情報にアクセス出来る状態を機密性が確保出来る状態といいます。
機密性が確保されていないと、不正アクセスによって情報を盗まれたり、機密情報が格納されたUSBメモリ等の記録媒体を盗まれたりする等、情報漏洩の危険性が高まります。
人事情報や、顧客情報、新製品の情報、パスワード等の重要な情報は、アクセス出来る人を限定する事で情報漏えいのリスクを減らすべきです。
機密性確保のための方法
機密性を確保する為の方法として
- 情報にアクセス出来る人を限定する
- 情報を暗号化して漏洩した時に解読出来ないようにする
- パスワードを安易なものにしない
- 情報を記録媒体に保存しない
- 情報を持ち出さない
等の対策が挙げられます。
完全性 Integrity
完全性は Integrity(インテグリティ)とも呼ばれ、情報が正確であり、改竄や破壊が行われていない状態を完全性が確保されている状態といいます。
完全性が確保されていないと、企業のWebサイトが改竄されていてサイト閲覧者に誤った情報を伝えてしまい会社の社会的信用を失ってしまったり、企業経営やサービス運営において重要な情報を破損したり失ってしまい、最悪の場合、企業が継続出来ない状態に陥ってしまうような危険性が高まります。
完全性確保のための方法
完全性を確保する為の方法として
- 情報へのアクセス履歴を記録する
- 情報の変更履歴を記録する
- 情報にデジタル署名をつける
- 情報を定期的にバックアップする
等の対策が挙げられます。
可用性 Availability
可用性はAvailability(アベイラビリティ)とも呼ばれます。
必要な時に安全に情報が利用できるように保持されている状態を可用性が確保出来ている状態といいます。
自然災害や不正アクセス、システムダウンによってシステムにアクセス出来ない状態は可用性が失われた状態といい、顧客の信用を失ったり、必要な時に情報が利用出来ない等、企業にとって損失につながる危険性が高まります。
可用性確保のための方法
障害発生時にすぐに復旧出来るようシステムを二重化したり、クラウドサービスを利用することでPCやスマートフォンでいつでもどこからでも情報にアクセス出来る仕組みを作ると可用性が高まります。
可用性を確保する為の対策として
- システムのクラウド化
- システムの冗長化
- ハードウェアやソフトウェアの障害を防ぐ施策の実施
等の対策が挙げられます。
試験対策用まとめ
今回の記事の要点を、試験対策用に以下のようにまとめました。
- 情報セキュリティは「機密性」「完全性」「可用性」の3つの確保・維持が重要
- 情報セキュリティ三大要素はそれぞれの頭文字を取って「CIA」という
- 機密性は、認められた人だけが情報にアクセス出来る事が確保された状態
- 完全性は、情報が正確であり改竄や破壊が行われていない事が確保された状態
- 可用性は、必要な時に安全に情報が利用できるように保持されている事が確保された状態
今回はこの5つを押さえておきましょう。
ITパスポートの過去問で実践
それでは、実際にITパスポート試験で出題された、情報セキュリティ、CIAに関する問題を解いてみましょう。
平成25年秋期
情報セキュリティの機密性を直接的に高めることになるものはどれか。
- ア 一日の業務の終了時に機密情報のファイルの操作ログを取得し,漏えいの痕跡がないことを確認する。
- イ 機密情報のファイルにアクセスするときに,前回のアクセス日付が適正かどうかを確認する。
- ウ 機密情報のファイルはバックアップを取得し,情報が破壊や改ざんされてもバックアップから復旧できるようにする。
- エ 機密情報のファイルを暗号化し,漏えいしても解読されないようにする。
情報セキュリティ管理の概念の一要素である機密性(Confidentiality)は、認められた人だけが情報にアクセス出来る状態を指します。
データを暗号化する事で、情報漏えいが発生した場合でも情報を閲覧できないようにし、機密性を確保します。
したがって正解は「エ」となります。
ちなみに「ア」「イ」「ウ」は完全性の確保のために方法です。
平成29年春期
情報セキュリティにおける完全性を維持する対策の例として,最も適切なものはどれか。
- ア データにディジタル署名を付与する。
- イ データを暗号化する。
- ウ ハードウェアを二重化する。
- エ 負荷分散装置を導入する。
情報セキュリティ管理の概念の一要素である完全性(Integrity)は、情報が正確であり改竄や破壊が行われていない状態を指します。
ディジタル署名は、データに電子的な署名を行う技術の事で、署名の内容を確認する事で暗号化した人を特定する事が可能となり受け取ったデータが改竄されていないか確認する事が出来ます。
したがって正解は「ア」となります。
ちなみに、「イ」は機密性の確保、「ウ」と「エ」は可用性の確保、の対策です。
平成28年春期
情報セキュリティにおいて,可用性が損なわれる事象はどれか。
- ア 機密情報のコピーが格納されたUSBメモリが盗難にあった。
- イ 顧客情報管理システムの顧客情報が誤った内容のまま運用されていた。
- ウ 社内のサーバに不正侵入されて,社外秘の情報が漏えいした。
- エ 取引先との電子決済システムがDoS攻撃を受け,処理ができなくなった。
情報セキュリティ管理の概念の一要素である可用性(Availability)は、必要な時に安全に情報が利用できるように保持されている状態を指します。
- ハードウェアやソフトウェアの障害を防ぐ為の施策の実施
- 障害が発生した場合にすぐに復旧出来る状態にする施策
- システムの冗長化等の障害が発生してもサービスを提供し続ける仕組みの導入
など、情報システムに障害が発生しても安定的にサービス提供が出来ることが重要です。
DoS攻撃を受けて処理が出来なくなった状態は、システムに障害が発生し情報が利用出来ないことから可用性が損なわれた状態です。
したがって正解は「エ」となります。
まとめ
情報セキュリティの三大要素のCIAと言われて、一つ一つ答えられるようになりましたでしょうか。
情報セキュリティに関する問題は近年より重要度が増していて出題数も増えている傾向にあるのでしっかりと押さえておきましょう。
今回は以上です。
本記事の中で分からない用語があった方は関連する記事のリンクが貼ってありますのでそちらもご覧になってください
