[情報処理安全確保支援士]情報セキュリティの基礎(CIA)[例題付き]

2022年3月26日

セキュリティ

今回は情報処理安全確保支援士で問われるセキュリティの基礎(CIA)について学習します。

アカリ
アカリ
前回、CIAって用語が出てきたと思うんだけど、どんな内容だったっけ?
トモル
トモル
アメリカ合衆国の対外情報機関?
キュー
キュー
それも確かにCIA(Central Intelligence Agency)やけども・・・

情報セキュリティの基礎

情報セキュリティのCIA

情報セキュリティの3つの特性(CIA)

情報セキュリティを学ぶ上で、主な特性として機密性(Confidentiality)完全性(Integrity)可用性(Availability)が挙げられます。

それぞれの特性について学習していきましょう。

機密性(Confidentiality)

機密性は、ある情報資産へのアクセスを許可された者に限定するといった特性です。

アカリ
アカリ
許可されていない人が情報資産にアクセスしちゃうと大変だもんね!

情報システムやネットワークにおける機密性は、アクセス制御認証暗号化などの技術を活用して実現します。

また、権限者や無権限者は人に限定されません。

トモル
トモル
ネズミとか?
チョロ
チョロ
チュ!?

コンピュータ内で実行されるプログラムや、ネットワーク上を動き回っているクローラ、悪意を持ったコンピュータウイルスなど様々です。

これらのアクセスも適切に実行されるように制御する必要があります。

完全性(Integrity)

完全性は、データの正当性正確性網羅性一貫性を維持する特性です。

アカリ
アカリ
つまり・・・どういうこと?

例えば、あるデータが発生してから処理されるまでに行われる過程(入力・編集・送信・出力・削除など)において、改ざんや欠落がない状態を保つことです。

完全性が確保されていないシステムの場合、処理結果が異常になり、矛盾や不整合が発生します。

したがって、情報システムにおいて完全性の確保も必要です。

完全性を確保するためには、データのチェック機能や改ざん検知策などをシステムに組み込んでおく必要があります。

具体的な技術としては、ハッシュ関数ディジタル署名などが挙げられます。

キュー
キュー
具体的な技術についてはまた後々説明するで!

可用性(Availability)

可用性は、情報システムを必要なときにいつでも正常なサービスとして利用できる状態を保つことです。

ラク
ラク
オンラインゲームがくっそ重いんだけど、これも可用性の問題か!?
キュー
キュー
まぁそうやけども・・・

頻繁にシステムやサーバがダウンしてしまうと、ユーザからの不満も高まります。

したがって、機密性や完全性だけでなく、可用性も非常に重要です。

可用性を確保するための仕組みとしては、ネットワークやシステムの二重化・システムリソース(メモリCPU記憶容量)の確保・データのバックアップなどが挙げられます。

キュー
キュー
これらCIAは全部大切やけど、システムや状況に応じてどれかの比重が高くなったり低くなったりすることもあるで

情報セキュリティの付加特性

CIAに加え、真正性責任追跡性否認防止性信頼性といった特性が挙げられることもあります。

真正性

真正性は、プロセス・システム・情報などが正しい手順で行われているかを確実にするといった特性です。

例えば、機密性とも関連しますが、正当な権限を持たないものが正規の利用者になりすまして情報資産にアクセスできないように、確実に本人であることを識別・認証することで真正性が確保されます。

責任追跡性

責任追跡性は、利用者やプロセスが行った動作について、その動作内容を後から追跡できるといった特性です。

情報資産をいつだれが使ったか、建物や部屋への入室記録、情報システムやネットワークへのアクセス状況や動作状況に関するログなどを確実に取得することで、責任追跡性が確保されます。

否認防止性

否認防止性は、ある事象が起こったときに後から否認されないように証明するといった特性です。

ミスをしたのが誰か、意図的に不正を行ったのが誰かを明確にし、本人に否認されないようにすることで、責任追及をできるようにします。

キュー
キュー
ところで仕事におけるオアシスって知ってるか?
ラク
ラク
オレじゃない!
チョロ
チョロ
アイツがやった
モナ
モナ
シらない
トモル
トモル
スぎたこと

信頼性

信頼性は、情報システムにおいて実行された操作や処理の結果に矛盾を起こさないようにする特性です。

電卓で1+1を打った結果が3となっては信頼できません。

信頼性を上げるにはデバッグを徹底したり、保守点検をしたりする必要があります。

スポンサーリンク

情報セキュリティの基礎・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

情報セキュリティにおける"完全性"を脅かす攻撃はどれか。(FE H.26/春)

ア Webページの改ざん
イ システム内に保管されているデータの不正コピー
ウ システムを過負荷状態にするDoS攻撃
エ 通信内容の盗聴

問2

情報セキュリティ監査において,可用性を確認するチェック項目はどれか。(FE H.30/春)

ア 外部記憶媒体の無断持出しが禁止されていること
イ 中断時間を定めたSLAの水準が保たれるように管理されていること
ウ データ入力時のエラーチェックが適切に行われていること
エ データベースが暗号化されていること

問3

JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)において定義されている情報セキュリティの特性に関する記述のうち,否認防止の特性に関する記述はどれか。(R.3/秋)

ア ある利用者があるシステムを利用したという事実が証明可能である。
イ 認可された利用者が要求したときにアクセスが可能である。
ウ 認可された利用者に対してだけ,情報を使用させる又は開示する。
エ 利用者の行動と意図した結果とが一貫性をもつ。

解説(クリックで展開)

情報セキュリティの基礎・まとめ

今回は情報セキュリティの基礎について学習しました。

まずはCIAについて完璧に覚えておきましょう。

キュー
キュー
余裕があれば追加特性の4つも覚えておこうな!

次回は情報セキュリティ対策について学習します。


スポンサーリンク