問題本文
情報セキュリティにおけるクラッキングの説明として,適切なものはどれか。
選択肢
- ア.PCなどの機器に対して,外部からの衝撃や圧力,落下,振動などの耐久テストを行う。
- イ.悪意をもってコンピュータに不正侵入し,データを盗み見たり破壊などを行う。
- ウ.システム管理者として,ファイアウォールの設定など,情報機器の設定やメンテナンスを行う。
- エ.組織のセキュリティ対策が有効に働いていることを確認するために監査を行う。
正解
イ. 悪意をもってコンピュータに不正侵入し,データを盗み見たり破壊などを行う。
解説
クラッキング(cracking)の説明を問う問題. クラッキングは情報セキュリティの文脈で,悪意を持ってコンピュータシステムに不正侵入し,データの盗み見・改ざん・破壊・サービス停止などの不正行為を行うこと,またはその実行者を指す. かつての「ハッキング」が良い意味も悪い意味も含む技術行為全般を指したのに対し,悪意を持った行為をクラッキング,健全な技術探求をハッキング(またはホワイトハッキング)と区別する用語法が一般化している. PC耐久テスト(物理試験),ファイアウォール設定(セキュリティ管理),セキュリティ監査(チェック)はいずれも正当な業務行為で,クラッキングの定義から外れる別領域の活動.
選択肢ごとの解説
- ア.誤り(物理試験). PCの機器に対する衝撃・圧力・落下・振動の耐久テストは品質保証部門が行う物理的試験(信頼性試験)で,情報セキュリティのクラッキングとは全く別領域の活動. 製品の物理耐久性を評価する目的であり,悪意のあるシステム侵入とは概念が異なる選択肢となる.
- イ.正解. 悪意を持ってコンピュータに不正侵入しデータの盗み見や破壊を行うのはクラッキング(または悪意のあるハッキング)の定義そのもの. 不正アクセス禁止法で禁止される行為であり,セキュリティ用語としてのクラッキングの本質を端的に表す選択肢として最も適切である.
- ウ.誤り(正当な業務). システム管理者としてファイアウォール等を設定・メンテナンスする業務はインフラ運用の正当な活動で,セキュリティ強化を目的とする. 悪意ある侵入を意味するクラッキングとは目的・立場が正反対であり,管理業務とクラッキングは別概念として明確に区別される.
- エ.誤り(セキュリティ監査). 組織のセキュリティ対策が有効に機能しているかを確認するための監査活動は,正当な評価業務で第三者的立場の監査人が行う. 悪意ある侵入とは異なり,組織を守る目的の活動であり,クラッキングの定義に該当しない別領域の活動として整理される.
ITパスポート 2015年 (平成27年 秋期) の過去問一覧へ戻る・問73