情報セキュリティの概念
サイバー空間とサイバー攻撃
Section titled “サイバー空間とサイバー攻撃”インターネットやコンピュータネットワークが形づくる仮想的な世界をサイバー空間と呼びます。私たちは日常的にメール、SNS、オンラインショッピングなどを通じてサイバー空間を利用しています。現代社会では、企業の業務システムや行政サービスもサイバー空間上で動いており、もはや現実世界と切り離せない存在になっています。
サイバー空間が広がるにつれ、そこを狙った攻撃も増加しています。ネットワークを通じて情報を盗んだり、システムを停止させたりする行為をサイバー攻撃といいます。サイバー攻撃は企業活動に大きな損害を与えるだけでなく、個人の生活にも影響を及ぼすため、適切な対策が不可欠です。
こうした脅威から情報やシステムを守るための考え方・取り組み全般を情報セキュリティと呼びます。
情報セキュリティの三大要素(CIA)
Section titled “情報セキュリティの三大要素(CIA)”情報セキュリティを考えるうえで、最も基本となるのが機密性・完全性・可用性の3つの要素です。それぞれの英語の頭文字をとってCIAとも呼ばれます。
機密性(Confidentiality)
Section titled “機密性(Confidentiality)”機密性とは、許可された人だけが情報にアクセスできる状態を保つことです。
たとえば、社内の人事評価データに一般社員がアクセスできてしまうと問題です。アクセス制御やパスワード管理によって、情報を見てよい人だけが閲覧できるようにすることが機密性の確保にあたります。
具体的な対策例:アクセス権の設定、パスワードによる認証、データの暗号化
完全性(Integrity)
Section titled “完全性(Integrity)”完全性とは、情報が改ざんされたり破壊されたりせず、正確な状態を保っていることです。
たとえば、銀行の口座残高データが知らないうちに書き換えられてしまったら大変です。データの変更履歴を記録したり、デジタル署名で改ざんを検知したりすることで完全性を確保します。
具体的な対策例:アクセス権の設定、変更履歴の管理、デジタル署名
可用性(Availability)
Section titled “可用性(Availability)”可用性とは、許可された人が必要なときにいつでも情報やシステムを利用できる状態を保つことです。
たとえば、オンラインバンキングがシステム障害で使えなくなると、利用者は困ってしまいます。システムの二重化やバックアップの確保などによって、サービスを安定的に提供し続けることが可用性の確保です。
具体的な対策例:システムの二重化(冗長化)、定期的なバックアップ、UPS(無停電電源装置)の設置
三大要素の対比
Section titled “三大要素の対比”| 要素 | 意味 | ひとことで | 対策例 |
|---|---|---|---|
| 機密性 | 許可された人だけがアクセスできる | 「見せない」 | アクセス制御、暗号化 |
| 完全性 | 情報が正確で改ざんされていない | 「変えさせない」 | デジタル署名、変更履歴管理 |
| 可用性 | 必要なときに使える | 「止めない」 | システムの二重化、バックアップ |
試験で出るポイント
「機密性・完全性・可用性」の定義を正しく選ぶ問題が最も多く出題されます。「機密性=アクセス制御」「完全性=改ざん防止」「可用性=安定稼働」とセットで覚えましょう。機密性と完全性を混同させる選択肢が出やすいので注意してください。
機密性と可用性のトレードオフ
Section titled “機密性と可用性のトレードオフ”機密性と可用性は、互いに反する側面を持っています。
たとえば、機密性を高めるために厳しいアクセス制限をかけると、正当な利用者でもすぐに情報を利用できなくなり、可用性が下がります。逆に、可用性を高めるために誰でもアクセスしやすくすると、機密性が損なわれるおそれがあります。
情報セキュリティでは、この3つの要素をバランスよく確保することが重要です。業務内容や扱う情報の性質に応じて、どの要素をどの程度重視するかを検討する必要があります。
試験で出るポイント
「機密性と可用性はトレードオフの関係にある」という記述は過去に出題されています(2019年 問97)。両立が難しいという点を理解しておきましょう。
情報セキュリティの7要素
Section titled “情報セキュリティの7要素”CIAの三大要素に加えて、さらに4つの特性を追加した情報セキュリティの7要素という考え方があります。三大要素だけではカバーしきれない側面を補うものです。
真正性(Authenticity)
Section titled “真正性(Authenticity)”真正性とは、利用者やデータが「本物である」ことを確認できる特性です。
たとえば、ログインしてきたユーザーが本当にその人なのかを確認することが真正性の確保にあたります。IDとパスワードによる認証や、生体認証(指紋・顔認証など)がその手段です(詳しくは認証技術を参照)。
責任追跡性(Accountability)
Section titled “責任追跡性(Accountability)”責任追跡性とは、「誰が・いつ・何をしたか」を追跡できる特性です。
たとえば、システムへのアクセス履歴(ログ)を記録しておくことで、問題が発生したときに原因を特定し、責任の所在を明らかにできます。
否認防止(Non-repudiation)
Section titled “否認防止(Non-repudiation)”否認防止とは、ある行為を行った人が「自分はやっていない」と後から否定できないようにする特性です。
たとえば、電子契約にデジタル署名を付与しておけば、署名した本人が後から「自分は署名していない」と主張することを防げます。
信頼性(Reliability)
Section titled “信頼性(Reliability)”信頼性とは、システムやデータ処理が意図した通りに正しく動作する特性です。
たとえば、計算プログラムにバグがあり、間違った結果を出力してしまうと信頼性が損なわれます。ソフトウェアのテストを十分に行い、正しく動作することを保証することが信頼性の確保です。
7要素のまとめ
Section titled “7要素のまとめ”| 要素 | 意味 | 具体例 |
|---|---|---|
| 機密性 | 許可された人だけがアクセスできる | アクセス制御、暗号化 |
| 完全性 | 情報が正確で改ざんされていない | デジタル署名、変更履歴管理 |
| 可用性 | 必要なときに利用できる | システムの二重化、バックアップ |
| 真正性 | 利用者やデータが本物である | 本人認証、生体認証 |
| 責任追跡性 | 誰が何をしたか追跡できる | アクセスログの記録 |
| 否認防止 | 行為を後から否定できない | デジタル署名、タイムスタンプ |
| 信頼性 | システムが正しく動作する | ソフトウェアテスト、品質管理 |
試験で出るポイント
三大要素(機密性・完全性・可用性)は必須知識ですが、追加の4要素(真正性・責任追跡性・否認防止・信頼性)も出題されます。とくに「可用性」と「信頼性」を混同しないよう注意しましょう。可用性は「使えるかどうか」、信頼性は「正しく動くかどうか」という違いがあります。
情報セキュリティリスク
Section titled “情報セキュリティリスク”情報セキュリティリスクとは、脅威が情報資産の脆弱性を突くことで、組織に損害を与える可能性のことです。
ここでいう「脅威」とは、情報資産に悪影響を与えうる要因(サイバー攻撃、自然災害、人的ミスなど)を指します。「脆弱性」とは、システムや運用体制に存在する弱点のことです。脅威と脆弱性が組み合わさったとき、リスクが現実のものとなります。
たとえば、「社内ネットワークにファイアウォールが設定されていない(脆弱性)」状態で「外部からの不正アクセス(脅威)」があると、情報漏えいという損害が発生するリスクが高まります。
情報セキュリティ対策とは、このリスクを許容できるレベルまで下げるための取り組みです。
情報セキュリティインシデント
Section titled “情報セキュリティインシデント”情報セキュリティインシデントとは、情報セキュリティに関する事故や問題のことです。具体的には、情報セキュリティを脅かす事象が実際に発生した状態を指します。
情報セキュリティインシデントの例としては、次のようなものがあります。
- 不正アクセスによる個人情報の漏えい
- マルウェア(ウイルスなど)への感染
- 従業員による機密データの持ち出し
- サーバーへの攻撃によるサービス停止
- USBメモリの紛失による情報漏えい
インシデントが発生した場合、被害の拡大を防ぐために迅速な対応が求められます。そのためには、あらかじめインシデント発生時の対応手順を決めておくことが大切です。
試験で出るポイント
「情報セキュリティインシデント」は、セキュリティに関する事故や問題全般を指す用語です。不正アクセスだけでなく、USBメモリの紛失や従業員の操作ミスもインシデントに含まれることを押さえておきましょう。
過去問で実力チェック
Section titled “過去問で実力チェック”過去問に挑戦
Q. 情報セキュリティの三大要素である機密性,完全性及び可用性に関する記述のうち,最も適切なものはどれか。
- ア 可用性を確保することは,利用者が不用意に情報漏えいをしてしまうリスクを下げることになる。
- イ 完全性を確保する方法の例として,システムや設備を二重化して利用者がいつでも利用できるような環境を維持することがある。
- ウ 機密性と可用性は互いに反する側面をもっているので,実際の運用では両者をバランスよく確保することが求められる。
- エ 機密性を確保する方法の例として,データの滅失を防ぐためのバックアップや誤入力を防ぐための入力チェックがある。
解答(令和元年)
正解: ウ
Q. ISMSにおける情報セキュリティに関する次の記述中のa,bに入れる字句の適切な組合せはどれか。
情報セキュリティとは,情報の機密性, [ a ] 及び可用性を維持することである。さらに, [ b ] ,責任追跡性,否認防止,信頼性などの特性を維持することを含める場合もある。
| a | b | |
|---|---|---|
| ア | 完全性 | 真正性 |
| イ | 完全性 | 保守性 |
| ウ | 保全性 | 真正性 |
| エ | 保全性 | 保守性 |
- ア 完全性 / 真正性
- イ 完全性 / 保守性
- ウ 保全性 / 真正性
- エ 保全性 / 保守性
解答(令和2年)
正解: ア
Q. ハードウェアなどに対して外部から不正に行われる内部データの改ざんや解読,取出しなどがされにくくなっている性質を表すものはどれか。
- ア 可用性
- イ 信頼性
- ウ 責任追跡性
- エ 耐タンパ性
解答(令和2年)
正解: エ
Q. IoTデバイス群とそれらを管理するIoTサーバで構成されるIoTシステムがある。このシステムの情報セキュリティにおける①~③のインシデントと,それによって損なわれる,機密性,完全性及び可用性との組合せとして,適切なものはどれか。
〔インシデント〕
① IoTデバイスが,電池切れによって動作しなくなった。
② IoTデバイスとIoTサーバ間の通信を暗号化していなかったので,情報が漏えいした。
③ システムの不具合によって,誤ったデータが記録された。
| ① | ② | ③ | |
|---|---|---|---|
| ア | 可用性 | 完全性 | 機密性 |
| イ | 可用性 | 機密性 | 完全性 |
| ウ | 完全性 | 可用性 | 機密性 |
| エ | 機密性 | 可用性 | 完全性 |
- ア 可用性 / 完全性 / 機密性
- イ 可用性 / 機密性 / 完全性
- ウ 完全性 / 可用性 / 機密性
- エ 機密性 / 可用性 / 完全性
解答(令和2年)
正解: イ
Q. ISMSにおける情報セキュリティに関する次の記述中のa,bに入れる字句の適切な組合せはどれか。
情報セキュリティとは,情報の機密性,完全性及び [ a ] を維持することである。さらに,真正性,責任追跡性,否認防止, [ b ] などの特性を維持することを含める場合もある。
| a | b | |
|---|---|---|
| ア | 可用性 | 信頼性 |
| イ | 可用性 | 保守性 |
| ウ | 保全性 | 信頼性 |
| エ | 保全性 | 保守性 |
- ア 可用性 / 信頼性
- イ 可用性 / 保守性
- ウ 保全性 / 信頼性
- エ 保全性 / 保守性
解答(令和3年)
正解: ア
Q. 電子メールにデジタル署名を付与することによって得られる効果だけを全て挙げたものはどれか。
a 可用性が向上する。
b 完全性が向上する。
c 機密性が向上する。
- ア a,b
- イ a,c
- ウ b
- エ b,c
解答(令和4年)
正解: ウ
Q. 情報セキュリティにおける機密性,完全性及び可用性と,①〜③のインシデントによって損なわれたものとの組合せとして,適切なものはどれか。
① DDoS攻撃によって,Webサイトがダウンした。
② キーボードの打ち間違いによって,不正確なデータが入力された。
③ PCがマルウェアに感染したことによって,個人情報が漏えいした。
| ① | ② | ③ | |
|---|---|---|---|
| ア | 可用性 | 完全性 | 機密性 |
| イ | 可用性 | 機密性 | 完全性 |
| ウ | 完全性 | 可用性 | 機密性 |
| エ | 完全性 | 機密性 | 可用性 |
- ア 可用性 / 完全性 / 機密性
- イ 可用性 / 機密性 / 完全性
- ウ 完全性 / 可用性 / 機密性
- エ 完全性 / 機密性 / 可用性
解答(令和4年)
正解: ア
Q. 情報セキュリティにおける機密性,完全性及び可用性に関する記述のうち,完全性が確保されなかった例だけを全て挙げたものはどれか。
a オペレーターが誤ったデータを入力し,顧客名簿に矛盾が生じた。
b ショッピングサイトがシステム障害で一時的に利用できなかった。
c データベースで管理していた顧客の個人情報が漏えいした。
- ア a
- イ a,b
- ウ b
- エ c
解答(令和5年)
正解: ア
Q. 情報セキュリティの3要素である機密性,完全性及び可用性と,それらを確保するための対策の例 a〜c の適切な組合せはどれか。
a アクセス制御
b デジタル署名
c ディスクの二重化
| a | b | c | |
|---|---|---|---|
| ア | 可用性 | 完全性 | 機密性 |
| イ | 可用性 | 機密性 | 完全性 |
| ウ | 完全性 | 機密性 | 可用性 |
| エ | 機密性 | 完全性 | 可用性 |
- ア 可用性 / 完全性 / 機密性
- イ 可用性 / 機密性 / 完全性
- ウ 完全性 / 機密性 / 可用性
- エ 機密性 / 完全性 / 可用性
解答(令和6年)
正解: エ
Q. 情報セキュリティにおいて,可用性が損なわれた事象だけを全て挙げたものはどれか。
a 関連取引先との電子決済システムがDoS攻撃を受け,処理ができなくなった。
b 顧客情報管理システムの顧客情報が誤った内容のまま運用されていた。
c 社内のサーバに不正侵入されて,社外秘の情報が漏えいした。
- ア a
- イ a,b
- ウ b,c
- エ c
解答(令和7年)
正解: ア