令和7年度97テクノロジ系

ITパスポート 令和7年度 問97:securityに関する問題

情報セキュリティにおいて,可用性が損なわれた事象だけを全て挙げたものはどれか。a: 関連取引先との電子決済システムがDoS攻撃を受け,処理ができなくなった。b: 顧客情報管理システムの顧客情報が誤った内容のまま運用されていた。c: 社内のサーバに不正侵入されて,社外秘の情報が漏えいした。

  • aa正答
  • ba, b
  • cb, c
  • dc
正答:Aa

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは a「a」 です。

情報セキュリティの「可用性」とは、"使いたいときにちゃんと使える"という性質のことです。

a「DoS攻撃を受けて決済システムが動かなくなった」→ 使いたいのに使えない状態。まさに可用性が損なわれた例です。

b「顧客情報が間違ったまま使われていた」→ これは"情報が正しいか"の問題(完全性)。

c「社外秘の情報が漏れた」→ これは"見せちゃいけない人に見られた"問題(機密性)。

👉 覚え方:可用性=「いつでも使える」。使えなくなったら可用性アウト。

標準試験対策の基準レベル

なぜこれが正解か

正解は a。情報セキュリティの3要素CIAのうち「可用性(Availability)」は、必要なときに情報やシステムを利用できる性質。

  • a:DoS攻撃で決済システムが処理できなくなった=利用できない状態。可用性の侵害に該当。

各選択肢の解説

  • b:顧客情報が誤った内容のまま運用=情報の正確さが損なわれた状態で「完全性(Integrity)」の侵害。
  • c:社外秘情報の漏えい=見せてはいけない相手に渡った状態で「機密性(Confidentiality)」の侵害。

よって可用性が損なわれたのはaのみ=選択肢a。

覚え方・ひっかけ注意

C=Confidentiality(機密性・漏れない)/I=Integrity(完全性・正しい)/A=Availability(可用性・使える)。「漏えい=機密性」「改ざん・誤り=完全性」「停止・使えない=可用性」とキーワードで結びつける。bとcを可用性に含めないこと。

上級誤答論破・背景理論まで深掘り

理論的背景

情報セキュリティの三大要素CIA(Confidentiality・Integrity・Availability)のうち、可用性(Availability)とは「正当な権限を持つ利用者が、必要なときに情報やシステムにアクセスできる状態を維持すること」と定義される(ISO/IEC 27000)。可用性が損なわれる原因は技術的障害・自然災害・悪意ある攻撃(DDoS/DoS)・過負荷など多岐にわたる。本問のDoS攻撃(Denial of Service Attack)は外部から大量のトラフィックを送りつけてサービスを機能不全に陥らせる攻撃で、複数の拠点から協調して攻撃するDDoS(Distributed DoS)が実際には主流である。可用性の定量指標には稼働率(Availability = MTBF/(MTBF+MTTR))が使われ、99.9%(スリーナイン)〜99.999%(ファイブナイン)という等級で要件定義に用いられる。

実務での使われ方

可用性確保の主要な対策はBCP(事業継続計画)・フォールトトレランス設計・DRサイト構築である。クラウドサービスではAWSのMulti-AZ配置やGCPのリージョン分散により可用性SLAを担保する。DoS/DDoS対策としてはCloudflare・AWS ShieldなどのCDN・WAFサービスでトラフィックを吸収・フィルタリングする手法が標準化している。金融・医療・交通インフラなど社会インフラ系システムでは「5分以上のダウンタイムが許容されない」高可用性要件が課され、ホットスタンバイ構成(即時切替可能な待機系)が必須とされる。実務上は「可用性・機密性・完全性のトレードオフ」も意識が必要で、セキュリティ強化策がかえって可用性を低下させることもある(例:強力な認証でアクセス不能になる等)。

試験での位置づけ

CIAの三要素はITパスポートで最頻出テーマの一つ。可用性・機密性・完全性をそれぞれどの事象が損なうかという「分類問題」は繰り返し出題される。本問のポイントは「DoS攻撃→サービス停止→可用性の喪失」「誤データ→完全性の喪失」「不正侵入・漏えい→機密性の喪失」という三者の明確な対応関係を整理することにある。近年は生成AI・IoTのセキュリティリスク文脈でも同じ三要素が問われ、「IoTデバイスへのDoS攻撃による制御システム停止」のような実装事例問題も登場している。基本情報技術者・情報セキュリティマネジメント試験ではISMS(ISO/IEC 27001)における可用性管理策、RTO(目標復旧時間)・RPO(目標復旧時点)との関連も出題範囲に入る。

選択肢の発展補足

選択肢b(顧客情報が誤った内容のまま運用)は完全性(Integrity)の侵害。完全性は「情報が正確かつ完全であること」を保証する要素で、改ざん・誤入力・バグによるデータ破損がこれを損なう。選択肢c(社外秘情報の漏えい)は機密性(Confidentiality)の侵害。機密性は「正当な権限なく情報が開示されない状態」を維持することで、不正侵入・内部不正・盗聴攻撃がリスク源となる。誤りやすいのはbとcを可用性と混同するパターンで、「システムが動いているかどうか」が可用性の判断軸、「情報の中身の正確さ」が完全性、「見られてはいけない人に見られないか」が機密性という三軸で整理すると応用問題にも対応できる。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和7年度97/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

テクノロジ系の他の過去問

55
security
56
database
57
database
58
technology_element
59
network

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。