[情報処理安全確保支援士]情報セキュリティの基礎(CIA)[無料講座・例題付き]

2022年3月26日

情報処理安全確保支援士 CIA

今回は情報処理安全確保支援士で問われるセキュリティの基礎(CIA)について学習します。

アカリ
アカリ
前回、CIAって用語が出てきたと思うんだけど、どんな内容だったっけ?
トモル
トモル
アメリカ合衆国の対外情報機関?
キュー
キュー
それも確かにCIA(Central Intelligence Agency)やけども・・・

情報セキュリティの基礎

情報セキュリティのCIA

情報セキュリティの3つの特性(CIA)

情報セキュリティを学ぶ上で、主な特性として機密性(Confidentiality)完全性(Integrity)可用性(Availability)が挙げられます。

それぞれの特性について学習していきましょう。

機密性(Confidentiality)

機密性は、ある情報資産へのアクセスを許可された者に限定するといった特性です。

アカリ
アカリ
許可されていない人が情報資産にアクセスしちゃうと大変だもんね!

情報システムやネットワークにおける機密性は、アクセス制御認証暗号化などの技術を活用して実現します。

また、権限者や無権限者は人に限定されません。

トモル
トモル
ネズミとか?
チョロ
チョロ
チュ!?

権限者・無権限者の対象はコンピュータ内で実行されるプログラムや、ネットワーク上を動き回っているクローラ、悪意を持ったコンピュータウイルスなど様々です。

これらのアクセスも適切に実行されるように制御する必要があります。

完全性(Integrity)

完全性は、データの正当性正確性網羅性一貫性を維持する特性です。

アカリ
アカリ
つまり・・・どういうこと?

例えば、あるデータが発生してから処理されるまでに行われる過程(入力・編集・送信・出力・削除など)において、改ざんや欠落がない状態を保つことです。

完全性が確保されていないシステムの場合、処理結果が異常になり、矛盾や不整合が発生します。

したがって、情報システムにおいて完全性の確保も必要です。

完全性を確保するためには、データのチェック機能や改ざん検知策などをシステムに組み込んでおく必要があります。

具体的な技術としては、ハッシュ関数ディジタル署名などが挙げられます。

キュー
キュー
具体的な技術についてはまた後々説明するで!

可用性(Availability)

可用性は、情報システムを必要なときにいつでも正常なサービスとして利用できる状態を保つことです。

ラク
ラク
オンラインゲームがくっそ重いんだけど、これも可用性の問題か!?
キュー
キュー
まぁそうやけども・・・

頻繁にシステムやサーバがダウンしてしまうと、ユーザからの不満も高まります。

したがって、機密性や完全性だけでなく、可用性も非常に重要です。

可用性を確保するための仕組みとしては、ネットワークやシステムの二重化・システムリソース(メモリCPU記憶容量)の確保・データのバックアップなどが挙げられます。

キュー
キュー
これらCIAは全部大切やけど、システムや状況に応じてどれかの比重が高くなったり低くなったりすることもあるで

情報セキュリティの付加特性

CIAに加え、真正性責任追跡性否認防止性信頼性といった特性が挙げられることもあります。

真正性

真正性は、プロセス・システム・情報などが正しい手順で行われているかを確実にするといった特性です。

例えば、機密性とも関連しますが、正当な権限を持たないものが正規の利用者になりすまして情報資産にアクセスできないように、確実に本人であることを識別・認証することで真正性が確保されます。

責任追跡性

責任追跡性は、利用者やプロセスが行った動作について、その動作内容を後から追跡できるといった特性です。

情報資産をいつだれが使ったか、建物や部屋への入室記録、情報システムやネットワークへのアクセス状況や動作状況に関するログなどを確実に取得することで、責任追跡性が確保されます。

否認防止性

否認防止性は、ある事象が起こったときに後から否認されないように証明するといった特性です。

ミスをしたのが誰か、意図的に不正を行ったのが誰かを明確にし、本人に否認されないようにすることで、責任追及をできるようにします。

キュー
キュー
ところで仕事におけるオアシスって知ってるか?
ラク
ラク
オレじゃない!
チョロ
チョロ
アイツがやった
モナ
モナ
シらない
トモル
トモル
スぎたこと

※正しくは「おはよう」「ありがとう」「失礼します」「すみません」です。

信頼性

信頼性は、情報システムにおいて実行された操作や処理の結果に矛盾を起こさないようにする特性です。

電卓で1+1を打った結果が3となっては信頼できません。

信頼性を上げるにはデバッグを徹底したり、保守点検をしたりする必要があります。

スポンサーリンク

情報セキュリティの基礎・例題

実際に例題を解いて問題に慣れていきましょう。

問1

情報セキュリティにおける”完全性”を脅かす攻撃はどれか。(FE H.26/春)

ア Webページの改ざん
イ システム内に保管されているデータの不正コピー
ウ システムを過負荷状態にするDoS攻撃
エ 通信内容の盗聴

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問1の正解を表示

問1の解説を表示

完全性は、情報セキュリティの特性の1つで、情報に矛盾なく完備され、改ざん・欠落していないといった特性のことです。

ア Webページの改ざん

→完全性を脅かす攻撃です。したがって正解です。

イ システム内に保管されているデータの不正コピー

→機密性を脅かす攻撃です。したがって誤りです。

ウ システムを過負荷状態にするDoS攻撃

→可用性を脅かす攻撃です。したがって誤りです。

エ 通信内容の盗聴

機密性を脅かす攻撃です。したがって誤りです。

これより、アが正解です。

問2

情報セキュリティ監査において,可用性を確認するチェック項目はどれか。(FE H.30/春)

ア 外部記憶媒体の無断持出しが禁止されていること
イ 中断時間を定めたSLAの水準が保たれるように管理されていること
ウ データ入力時のエラーチェックが適切に行われていること
エ データベースが暗号化されていること

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問2の正解を表示

問2の解説を表示

可用性は、障害が発生した場合でも安定したサービスを提供できる状態を保つ特性です。

後々深く学びますが、MTBFや稼働率といった用語が評価指標となります。

ア 外部記憶媒体の無断持出しが禁止されていること

→機密性のチェック項目です。したがって誤りです。

イ 中断時間を定めたSLAの水準が保たれるように管理されていること

→可用性のチェック項目です。したがって正解です。

ウ データ入力時のエラーチェックが適切に行われていること

→完全性のチェック項目です。したがって誤りです。

エ データベースが暗号化されていること

→機密性のチェック項目です。したがって誤りです。

これより、イが正解です。

問3

JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)において定義されている情報セキュリティの特性に関する記述のうち,否認防止の特性に関する記述はどれか。(R.3/秋)

ア ある利用者があるシステムを利用したという事実が証明可能である。
イ 認可された利用者が要求したときにアクセスが可能である。
ウ 認可された利用者に対してだけ,情報を使用させる又は開示する。
エ 利用者の行動と意図した結果とが一貫性をもつ。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問3の正解を表示

問3の解説を表示

否認防止は、付加要素の1つで、行った操作や発生した自称を後から否認しないように証明できる特性のことです。

ログの取得や記録を確実に残すことで、否認防止に活用します。

ア ある利用者があるシステムを利用したという事実が証明可能である。

→否認防止の説明です。したがって正解です。

イ 認可された利用者が要求したときにアクセスが可能である。

→可用性の説明です。したがって誤りです。

ウ 認可された利用者に対してだけ,情報を使用させる又は開示する。

→機密性の説明です。したがって誤りです。

エ 利用者の行動と意図した結果とが一貫性をもつ。

→信頼性の説明です。したがって誤りです。

これより、アが正解です。

情報セキュリティの基礎・まとめ

今回は情報セキュリティの基礎について学習しました。

まずはCIAについて完璧に覚えておきましょう。

キュー
キュー
余裕があれば追加特性の4つも覚えておこうな!

次回は情報セキュリティ対策について学習します。


本気で支援士を狙うなら・・・
支援士ゼミがおすすめです!
  • ベテラン講師による手厚いサポート
  • モチベーションを保てるセキュリティコラムが満載!
  • マンツーマン形式で個別相談もできる!

スポンサーリンク