問題本文
データを暗号化することによって防ぐことのできる脅威はどれか。
選択肢
- ア.誤操作によるデータの削除
- イ.ソーシャルエンジニアリング
- ウ.通信内容の盗聴
- エ.データが保管されるサーバへのDoS攻撃
解説
暗号化は通信中や保存中のデータを第三者に読み取られないようにする技術で,情報セキュリティ3要素のうち機密性(Confidentiality)を確保する代表的な対策. 通信内容の盗聴対策に直接的に有効で,鍵を持たない第三者には内容が解読できない. 誤操作削除は可用性・完全性,ソーシャルエンジニアリングは人を狙う非技術的攻撃,DoS攻撃は可用性への攻撃で,いずれも暗号化では防げない別カテゴリの脅威. 共通鍵・公開鍵の方式選択も重要となる基本技術. 共通鍵(AES等)と公開鍵(RSA等)の方式選択も実装上重要な検討事項.
選択肢ごとの解説
- ア.誤り. 誤操作によるデータ削除は完全性・可用性の脅威であり,データそのものの存在が失われる事象. 暗号化はデータの読取り防止技術なので,削除事象は防げず,バックアップやアクセス権制御で対処する別領域の脅威である. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
- イ.誤り. ソーシャルエンジニアリングは話術や盗み見で人から情報を引き出す非技術的な攻撃の説明であり,データの暗号化では人間を介した情報漏えいは防げない. 教育や手続き整備など別の対策が必要な脅威カテゴリ. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
- ウ.正しい. 通信内容を経路上で読み取られる盗聴は機密性の脅威であり,暗号化で防止できるため. 鍵がなければ内容を解読できず情報漏えいを防げる代表的な機密性対策技術として広く実装されている. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
- エ.誤り. DoS攻撃は大量リクエストで可用性を奪う攻撃の説明であり,データの読取りではなくサービス停止が被害. 暗号化では防げない別軸の脅威で,帯域確保やWAF,DDoS対策サービスで対処する領域. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
ITパスポート 2014年 (平成26年 春期) の過去問一覧へ戻る・問66