ITパスポート 令和3年度 問67:セキュリティに関する問題
ISMSにおける情報セキュリティに関する次の記述中のa,bに入れる字句の適切な組合せはどれか。 情報セキュリティとは,情報の機密性,完全性及び a を維持することである。さらに,真正性,責任追跡性,否認防止, b などの特性を維持することを含める場合もある。
- aa:可用性 b:信頼性正答
- ba:可用性 b:保守性
- ca:保全性 b:信頼性
- da:保全性 b:保守性
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは a(a:可用性 b:信頼性) です。
情報セキュリティの一番大事な3つの柱は「機密性・完全性・可用性」。それぞれ、ヒミツを守る・中身が正しいまま・使いたいときに使える、という意味です。空欄aには残りの「可用性」が入ります。
さらに余裕があると追加される性質の一つが「信頼性(思った通りにちゃんと動く)」。これが空欄bです。
👉 覚え方:3つの柱は 「き・か・か」=機密性・完全性・可用性(CIAとも呼ぶ)。
まずこの3つをセットで覚えれば、空欄aは自動で「可用性」と分かります。
なぜこれが正解か
正解は a。情報セキュリティの基本三要素は 機密性・完全性・可用性(CIA)。問題文に機密性と完全性があるので、aには残る「可用性」が入る。さらに維持が望ましい付加的特性として、真正性・責任追跡性・否認防止に加え「信頼性」があり、bには「信頼性」が入る。
用語の整理
- 機密性:許可された人だけがアクセスできる。
- 完全性:情報が正確で改ざんされていない。
- 可用性:必要なときに使える。
- 信頼性:意図した通りに動作する。
覚え方・ひっかけ注意
基本三要素はゴロで CIA(Confidentiality/Integrity/Availability)。選択肢の「保全性」「保守性」はISMSの正式な特性名ではなく、引っかけ用のダミー語。三要素+付加特性(真正性・責任追跡性・否認防止・信頼性)の枠組みを覚えておけば即答できる。
理論的背景
情報セキュリティの定義は JIS Q 27000(ISO/IEC 27000:2018) に基づき、三要素とそれを補完する付加特性が体系的に規定されている。
基本三要素(CIA トライアド):
| 要素 | 英語 | 定義 | 脅威例 |
|---|---|---|---|
| 機密性 | Confidentiality | 許可された者だけがアクセスできる | 不正アクセス・盗聴・情報漏えい |
| 完全性 | Integrity | 情報が正確で改ざんされていない | 改ざん・なりすまし |
| 可用性 | Availability | 必要なときに使える | DoS 攻撃・障害・停電 |
付加的特性(本問の b「信頼性」を含む):
- 真正性(Authenticity): 主張通りの本人・情報であること(デジタル署名・証明書で担保)
- 責任追跡性(Accountability): 行為を後から追跡できること(監査ログで担保)
- 否認防止(Non-repudiation): 後から行為を否定できないこと(タイムスタンプ・電子署名で担保)
- 信頼性(Reliability): 意図した動作と結果が一貫すること(品質管理・テストで担保)
これら7つの特性は ISO/IEC 27000 の情報セキュリティ定義として規定されており、ISMS の設計・管理において保護対象となる。
実務での使われ方
ISMS(Information Security Management System)は ISO/IEC 27001 で認証される組織的な情報セキュリティ管理の仕組みだ。リスクアセスメントでは情報資産ごとに CIA の三要素に対する脅威・脆弱性・影響度を評価し、必要な管理策を ISO/IEC 27002(実践規範・114の管理策)から選定する。
三要素と代表的な技術対策の対応:
- 機密性: 暗号化(AES・RSA・TLS)・アクセス制御(RBAC・MAC)・認証(MFA)
- 完全性: ハッシュ関数(SHA-256)・電子署名・バージョン管理・改ざん検知
- 可用性: 冗長化・バックアップ・BCP/DR・DDoS 対策・フォールトトレランス
近年の ISMS には ISMS クラウドセキュリティ(ISO/IEC 27017) や プライバシー情報マネジメント(ISO/IEC 27701) を組み合わせた拡張版が普及しており、クラウド時代の情報セキュリティ管理として重要度が増している。
試験での位置づけ
ITパスポートのセキュリティ分野での最頻出テーマが「CIA の三要素の定義穴埋め」だ。本問のように「機密性・完全性 + 空欄 a」という形で三要素の補完を問い、さらに付加特性から「信頼性」を選ばせる二段階の設問形式が定番。選択肢に登場する「保全性」「保守性」は情報セキュリティの正式特性名ではなく典型的なダミー語であり、「保全性(Protection)は物理的保護の文脈」「保守性(Maintainability)は品質工学の文脈」として別の分野に存在するが、ISO/IEC 27000 の情報セキュリティ特性ではない。基本情報技術者・情報セキュリティマネジメント試験では付加的特性の定義と担保手段まで体系的に問われる。
選択肢の発展補足
選択肢 b(a:可用性 b:保守性) は保守性(Maintainability)が ISMS の付加特性ではないため誤り。保守性はソフトウェア品質特性(ISO/IEC 25010)の一つで「修正・改善の容易さ」を意味する。情報セキュリティの特性と品質特性を混同させる典型的ひっかけ。
選択肢 c(a:保全性 b:信頼性) は a の保全性(Integrity の誤訳ではなく和製語)が JIS Q 27000 の正式語ではないため誤り。Integrity の正式訳は「完全性」であり、「保全性」という語は条文に存在しない。日本語特有の誤訳・ニュアンス混同を突く巧妙な引っかけ。
選択肢 d(a:保全性 b:保守性) は a・b 両方が誤りのため完全に除外できる。「保全性・保守性は ISMS では使わない用語」という知識があれば瞬時に排除可能。CIA の「C・I・A」のアルファベット略称と日本語対応(機密性・完全性・可用性)をセットで暗記し、三要素以外の特性(真正性・責任追跡性・否認防止・信頼性)をリストとして押さえておくのが最も確実な対策だ。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和3年度 問67/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。