問題本文
情報セキュリティに関する用語である可用性,完全性,機密性及び脆弱性のうち,ISMSが組織の情報資産に対して維持管理すべき特性としているものだけを全て挙げたものはどれか。
選択肢
- ア.可用性,完全性
- イ.可用性,完全性,機密性
- ウ.完全性,機密性
- エ.完全性,機密性,脆弱性
解説
正答はイ. ISMS (情報セキュリティマネジメントシステム) が組織の情報資産に対して維持管理すべき特性は, 情報セキュリティの3要素である「機密性 (Confidentiality), 完全性 (Integrity), 可用性 (Availability)」のCIA triad. 機密性=認可された者だけがアクセス可能, 完全性=情報が正確で改ざんされていない, 可用性=必要時にアクセス可能. 脆弱性は資産が持つ「弱点」であって維持管理すべき特性ではない. JIS Q 27000系の規格で定義され, 拡張版では真正性・責任追跡性・否認防止・信頼性も追加される.
選択肢ごとの解説
- ア.可用性と完全性のみだが, 機密性が抜けており不完全な組合せ. ISMSが維持管理すべき特性はCIA triad (機密性・完全性・可用性) の3つで, この選択肢には機密性が含まれていないため誤り. 3要素揃って正答となる. 用語や概念の取り違いに注意.
- イ.可用性・完全性・機密性の3要素はISMSが組織の情報資産に対して維持管理すべき情報セキュリティの基本特性 (CIA triad) で問題文に完全合致する正答. JIS Q 27000系で定義される基本3要素として中核となる. 用語の定義と適用範囲を整理して覚える.
- ウ.完全性と機密性のみだが, 可用性が抜けており不完全な組合せ. 必要時に情報資産にアクセスできる可用性もISMSの維持管理対象であるためこの選択肢は範囲不足で誤り. CIA triad全てが必要. 用語や概念の取り違いに注意. 確実に理解しておくべき頻出概念である.
- エ.完全性・機密性・脆弱性の組合せだが, 脆弱性はリスクアセスメントで識別する資産の「弱点」であってISMSが維持管理すべき特性ではない. 可用性が抜けていることもあり誤り. 脆弱性は管理対象だが特性ではない. 文脈との不一致が明らかな選択肢.
ITパスポート 2015年 (平成27年 春期) の過去問一覧へ戻る・問56