問題本文
情報セキュリティの機密性を直接的に高めることになるものはどれか。
選択肢
- ア.一日の業務の終了時に機密情報のファイルの操作ログを取得し,漏えいの痕跡がないことを確認する。
- イ.機密情報のファイルにアクセスするときに,前回のアクセス日付が適正かどうかを確認する。
- ウ.機密情報のファイルはバックアップを取得し,情報が破壊や改ざんされてもバックアップから復旧できるようにする。
- エ.機密情報のファイルを暗号化し,漏えいしても解読されないようにする。
正解
エ. 機密情報のファイルを暗号化し,漏えいしても解読されないようにする。
解説
機密性(confidentiality)は許可された者だけが情報にアクセスできるようにすることで,情報セキュリティのCIA(Confidentiality・Integrity・Availability)の一つです。ファイルを暗号化することで,漏えいしても解読できないようにすることが機密性向上に直結します。操作ログの確認やアクセス日付確認は事後検知(発見的統制),バックアップは可用性・完全性向上策で,いずれも機密性向上の直接策ではありません。CIAそれぞれに対応する対策を整理することが重要で,予防的統制と発見的統制の区別も鍵です。
選択肢ごとの解説
- ア.操作ログ確認は事後の検知活動(発見的統制)であり,漏えいそのものを防ぐ機密性向上の直接策ではないため誤り。発見的統制で,予防的統制(暗号化等)ではない異なるカテゴリ。
- イ.アクセス日付の確認も検知活動(不正利用の発見)であり,機密性向上の直接策ではないため誤り。事後検知に分類される対策で,予防的に漏えいを防ぐものではない。
- ウ.バックアップは可用性(availability,データ消失時の復旧)・完全性(integrity,改ざん時の復元)向上策であり,機密性向上の直接策ではないため誤り。CIAの異なる要素に対応する対策。
- エ.正解。ファイル暗号化は漏えい時にも解読を防ぐ機密性向上の直接策。情報漏えい対策の予防的統制として最も直接的で,CIAのうち機密性を担う中核技術。
ITパスポート 2013年 (平成25年 秋期) の過去問一覧へ戻る・問75