ITパスポート 過去問
令和7年度
問97 (テクノロジ系 問42)

本問は情報セキュリティマネジメントの最も重要な考え方である「情報セキュリティの3要素」について、その意味を正しく理解できているかを問う問題です。

3要素とは、機密性・完全性・可用性のことで、それぞれの頭文字をとってCIAとも呼ばれます。

まず、この3要素から解説します。

機密性 (Confidentiality): 許可された人だけが情報にアクセスできる状態を保つこと。

完全性 (Integrity): 情報が正確・完全であり、改ざんされていない状態を保つこと。

可用性 (Availability): 許可された人が、必要な時にいつでも情報やシステムを利用できる状態を保つこと。

上記をふまえて各選択肢をみていきます。

a　　関連取引先との電子決済システムがDoS攻撃を受け、処理ができなくなった。

処理ができなくなった、ということはシステムを利用できなくなっているため可用性が損なわれています。

DoS攻撃は可用性を損なう目的の典型的な攻撃でもあります。

そのため本選択肢は正しいです。

b　　顧客情報管理システムの顧客情報が誤った内容のまま運用されていた。

誤った情報ということは、完全な情報ではないので、完全性が損なわれています。

可用性は損なわれていないため、本選択肢は誤っています。

c　　社内のサーバに不正侵入されて、社外秘の情報が漏えいした。

情報漏えいであるため、機密性が損なわれています。

可用性は損なわれていないため、本選択肢は誤っています。

正しい選択肢は、　a　です。

情報セキュリティ対策は、次の3点が保護されることを意識して実施します。

機密性・・・データの秘密が守られること

完全性・・・データが勝手に改ざんされないこと

可用性・・・必要、許可を得たものがアクセスできること

これらのうち、いずれかが損なわれてしまうようでは、セキュリティ対策が十分とはいえません。

なので、ペネトレーションによって脆弱性が発見された際には再度の対策を施す必要がありますが、脆弱性の種類によっても打つべき対策は異なります。

それらを踏まえ、問題文で取り上げられている事象は「機密性」「完全性」「可用性」のうち何が損なわれているのか、順にレビューしていきましょう。

（a）

「関連取引先との電子決済システムがDoS攻撃を受け、処理ができなくなった。」

DoS攻撃というのは、無意味に大量のパケットを送りつけることでネットワークの停滞やサーバーの過剰負荷を引き起こし、サービスを利用停止に追い込む攻撃手法です。

問題文のシナリオですと、自社と取引先間で決済が行えないということであり、これは可用性が損なわれている事象です。

（b）

「顧客情報管理システムの顧客情報が誤った内容のまま運用されていた。」

これは2つの可能性が考えられます。

1.オペレータの入力ミスにより、顧客情報が誤っていた

2.悪意のある第三者によって不正侵入され、データを改ざんされた

いずれにせよ、結果的に「顧客情報があるべき内容ではなかった」ということですので完全性が損なわれている事象と言えます。

（c）

「社内のサーバに不正侵入されて、社外秘の情報が漏えいした。」

いうまでもなく、「社外秘の情報＝機密情報」であり、機密性が損なわれている事象です。

よく報道でも取り上げられている情報漏洩のケースとして、

・開発中の商品に関する設計図

→漏洩するとアイディアを盗まれ、多額の売り上げ損失、ビジネスの機械消失

・顧客の個人情報

→多額の賠償請求、企業としての信頼消失

などがあり、情報セキュリティ対策の不十分さが問題視されています。

問題で問われている「可用性」が損なわれている事象はaのみとなります。

情報セキュリティにおける可用性とは、ユーザが必要な時に必要な機能を利用可能にすることです。

選択肢を確認します。

ａ．適切。システムが利用できないため、可用性が損なわれています。

ｂ．不適切。情報に誤りがあるのは、完全性が損なわれています。

ｃ．不適切。社外秘の情報が漏洩することは、機密性が損なわれています。

よって、ａのみ適切です。