セキュリティ

情報セキュリティ全般(CIA・脅威・脆弱性)の予想問題・解説

情報セキュリティマネジメント試験(SG)の「情報セキュリティ全般(CIA・脅威・脆弱性)」分野のオリジナル予想問題を5問、正解と解説つきで無料公開しています。登録なしで読めます。

※ 本サービスは各試験の実施団体とは関係のない非公式の学習サービスで、掲載問題は出題範囲に基づく独自作成(オリジナル)です。

この分野について

情報セキュリティの目的と基本用語を固める、SGの土台となる分野です。何を・何から・なぜ守るのかを整理します。

情報セキュリティの目的は、情報資産の「機密性(許可された人だけが見られる)」「完全性(内容が正しく保たれる)」「可用性(使いたいときに使える)」の3つ、頭文字をとってCIAを維持することです。近年はこれに真正性・責任追跡性・否認防止・信頼性を加えて捉えます。

事故は「脅威」と「脆弱性」がかみ合ったときに起こります。脅威は資産をおびやかす原因(攻撃・災害・人的ミスなど)、脆弱性はそれを許してしまう弱点(設定漏れ・古いソフト・教育不足など)です。脅威×脆弱性×資産価値でリスクの大きさが決まる、という関係が全分野の出発点になります。

押さえておきたい用語

機密性
許可された人だけが情報にアクセスできる状態。
完全性
情報が改ざん・欠落なく正確に保たれている状態。
可用性
必要なときに情報やシステムを使える状態。
脅威
情報資産に損害を与える原因となる事象(攻撃・災害・過失など)。
脆弱性
脅威につけ込まれる弱点。設定不備や古いソフトなど。
リスク
脅威が脆弱性を突いて損害が生じる可能性。資産価値とあわせて評価する。

学習のポイント

  • 漏えい=機密性、改ざん=完全性、停止=可用性、と事例を各要素に結びつける。
  • 「脅威」と「脆弱性」の取り違えを狙う問題が多い。
  • 真正性・否認防止などCIA以外の要素も一言で説明できるように。

予想問題と解説(5問)

  1. 科目A・単一選択

    情報セキュリティの3要素のうち,「可用性」を直接損なう事象はどれか。

    • Webページの内容が改ざんされる
    • DoS攻撃によってサーバが応答不能になる 正解
    • 通信内容が第三者に盗聴される
    • パスワードが第三者に漏えいする
    解説

    正解イ。可用性は「必要なときに使えること」。DoS攻撃でサービスが応答不能になると可用性が損なわれる。改ざんは完全性,盗聴・漏えいは機密性に関わる。

  2. 科目A・単一選択

    情報セキュリティの3要素のうち「完全性」が損なわれる事例はどれか。

    • 送信中のデータが改ざんされ,受信内容が元と異なってしまう 正解
    • サーバがダウンしてサービスが利用できなくなる
    • パスワードが第三者に漏えいする
    • 通信内容が盗聴される
    解説

    正解ア。完全性は情報が正確で改ざんされていないこと。改ざんはその侵害。可用性=利用できること,機密性=盗聴・漏えいに関わる。

  3. 科目A・単一選択

    情報セキュリティにおける「脆弱性」に該当するものはどれか。

    • 地震や落雷などの災害
    • OSに存在する未修正のセキュリティホール 正解
    • 攻撃者によるマルウェアの配布
    • 内部関係者による不正行為
    解説

    正解イ。脆弱性は脅威に付け込まれる弱点(未修正のセキュリティホール等)。災害・マルウェア配布・不正行為は脅威にあたる。

  4. 科目A・単一選択

    情報セキュリティにおける「真正性(Authenticity)」を説明したものはどれか。

    • 情報が破壊・改ざんされていないことを保証する性質
    • 利用者やデータが本物であり,なりすましでないことを保証する性質 正解
    • 必要なときに情報資産にアクセスできる性質
    • ある行為を後から否認できないようにする性質
    解説

    正解イ。真正性は「主張どおり本物である(なりすましでない)」性質。1つ目は完全性,3つ目は可用性,4つ目は責任追跡性に関連する否認防止。CIAに加えた拡張特性として真正性・責任追跡性・否認防止・信頼性がある。

  5. 科目A・単一選択

    JIS Q 27000で定義される「脆弱性」の説明として,適切なものはどれか。

    • 情報資産に損失を与える原因となり得る潜在的な事象や行為
    • 一つ以上の脅威によって付け込まれる可能性のある資産や管理策の弱点 正解
    • 脅威が顕在化して実際に損失が発生した状態
    • 資産の価値と脅威・脆弱性から算定される損失の大きさ
    解説

    正解イ。脆弱性は「脅威に付け込まれる弱点」。1つ目は脅威,3つ目はインシデント(事故),4つ目はリスク(の大きさ)の説明。脅威・脆弱性・資産価値の関係を区別して押さえる。

続きを解いて実力チェック 無料登録で練習モード・本番モード・弱点分析が使えます →