問題本文
情報セキュリティに関して,可用性が損なわれた事故の例に該当するものはどれか。
選択肢
- ア.停電によってシステムが停止した。
- イ.ファイルの読込み権限の設定を誤ったことによって,権限のない利用者にも公開された。
- ウ.不正アクセスによって,顧客との取引データが漏えいした。
- エ.プログラムのバグによって,データが誤って更新された。
解説
情報セキュリティの三大要素は機密性(Confidentiality),完全性(Integrity),可用性(Availability)で頭文字をCIAと呼ぶ.可用性は権限のある利用者が必要なときに情報・サービスを利用できる程度を指し,停電・障害・DDoS攻撃などでシステムが停止することは可用性損失の典型例.選択肢ア(停電によるシステム停止)は可用性損失,イ(権限のない者への意図しない公開)は機密性損失,ウ(取引データ漏洩)は機密性損失,エ(プログラムバグによるデータ誤更新)は完全性損失.以上から可用性が損なわれた事故に該当するのはアが正解.三要素の対応関係はインシデント分類の基本知識.
選択肢ごとの解説
- ア.正解.停電によってシステムが停止したのは,権限のある利用者が必要なときにサービスを利用できなくなる事象で,可用性(Availability)が損なわれた事故の典型例.停電・障害・DDoS攻撃などはシステム停止により可用性を損なう脅威であり,UPSや冗長化・遠隔地バックアップなどで対策する.
- イ.ファイルの読込み権限の設定を誤って権限のない利用者にも公開されたのは,本来権限のない者へ情報が利用された事象で機密性(Confidentiality)が損なわれた事故.アクセス制御の誤りで情報漏洩につながる典型例で,可用性ではなく機密性侵害のため本問の答えとしては誤り.
- ウ.不正アクセスによる顧客との取引データの漏洩は,権限のない攻撃者により機密情報が外部に流出した事象で機密性(Confidentiality)が損なわれた事故.不正アクセス・標的型攻撃・内部不正等で生じる典型的なセキュリティインシデントで,可用性ではなく機密性侵害のため本問の答えとしては誤り.
- エ.プログラムのバグによってデータが誤って更新されたのは,情報の正確さや一貫性が失われた事象で完全性(Integrity)が損なわれた事故.バグや操作ミス,改ざんなどで生じ,データの正しさが保たれなくなる典型例.可用性ではなく完全性侵害のため本問の答えとしては誤り.
ITパスポート 2013年 (平成25年 春期) の過去問一覧へ戻る・問75