ITパスポート過去問道場Pro

🛡️ 情報セキュリティⅠ(脅威とマネジメント)

情報セキュリティⅠ(脅威とマネジメント)の要点整理

JIS Q 27000:2019は情報セキュリティを「情報の機密性、完全性及び可用性を維持すること」と定義する。この3特性がCIA(情報セキュリティの3要素)であり、定義の注記では真正性・責任追跡性・否認防止・信頼性を加えて維持することを含めてもよいとされる(いわゆる7要素)。許可された者だけが使える=機密性、改ざんなく正確=完全性、必要なときに使える=可用性、という対応が頻出である。

脅威の中心はマルウェア。プログラムに寄生するウイルス、単独で自己増殖するワーム、有用なソフトを装って侵入するトロイの木馬、情報を盗み出すスパイウェア、ファイルを暗号化して復元と引換えに身代金を要求するランサムウェアを区別する。IPA「情報セキュリティ10大脅威 2026」の組織向け第1位は「ランサム攻撃による被害」で11年連続11回目の選出であり、データを窃取し「支払わなければ公開する」と脅す二重恐喝(ダブルエクストーション)の手口も確認されている。攻撃手法では、特定組織を狙う標的型攻撃、偽メール・偽サイトで認証情報をだまし取るフィッシング、大量アクセスでサービスを停止させるDoS/DDoS、修正プログラム提供前の脆弱性を突くゼロデイ攻撃、パスワードへの総当たり(ブルートフォース)・辞書・パスワードリスト攻撃、Webアプリを狙うSQLインジェクションとクロスサイトスクリプティング(XSS)を整理して覚える。技術を使わず人の心理の隙を突くソーシャルエンジニアリング(なりすまし電話、ショルダーハッキング、ごみ箱あさり=トラッシング)や、組織が許可していない機器・サービスを業務利用するシャドーITも脅威となる。内部不正は、クレッシーの不正のトライアングルの3要素「機会・動機(プレッシャー)・正当化」がそろったときに発生するとされる。

関連法規では、不正アクセス禁止法が他人のID・パスワードの無断入力等による不正アクセス行為を禁止し(3年以下の懲役又は100万円以下の罰金)、平成24年改正で追加された第7条がフィッシング行為を禁止する(1年以下の懲役又は50万円以下の罰金)。正当な理由のないウイルスの作成・提供は刑法第168条の2(不正指令電磁的記録に関する罪、平成23年新設)により3年以下の懲役又は50万円以下の罰金。2014年成立のサイバーセキュリティ基本法に基づき、内閣にサイバーセキュリティ戦略本部が設置されている。

組織的なマネジメントの頻出ポイントは次のとおり。

本番形式の問題を無料で演習

例題 (35)

1. 情報セキュリティの3要素(CIA)として最も適切な組合せはどれか。

  1. 機密性・完全性・可用性
  2. 機密性・保守性・効率性
  3. 真正性・信頼性・可用性
  4. 完全性・拡張性・移植性

情報セキュリティの3要素はConfidentiality(機密性)・Integrity(完全性)・Availability(可用性)で、頭文字からCIAと呼ばれる。 (JIS Q 27000:2019(ISO/IEC 27000))

2. 情報セキュリティにおける「機密性」の説明として最も適切なものはどれか。

  1. 情報が改ざんや破壊をされず、正確かつ完全である特性
  2. 認可された者だけが情報にアクセスでき、許可されていない者には非公開・使用不可にする特性
  3. 認可された者が必要なときに情報へアクセスし利用できる特性
  4. 利用者やデータが本物であることを確実にする特性

機密性は、認可された者だけが情報を扱えるようにし、それ以外の者には情報を非公開・使用不可とする特性である。 (JIS Q 27000:2019(ISO/IEC 27000))

3. 情報セキュリティにおける「完全性」の説明として最も適切なものはどれか。

  1. 必要なときにいつでも情報を利用できる特性
  2. 認可された者だけが情報にアクセスできる特性
  3. 情報が改ざん・破壊されておらず、正確かつ完全である状態を保つ特性
  4. 行った操作を後から否認できないようにする特性

完全性は、情報が改ざんや消失をされず、正確で完全な状態が維持されている特性である。 (JIS Q 27000:2019(ISO/IEC 27000))

4. 情報セキュリティにおける「可用性」の説明として最も適切なものはどれか。

  1. 情報が正確かつ完全である特性
  2. 認可された者だけがアクセスできる特性
  3. 動作からその動作主を一意に追跡できる特性
  4. 認可された者が必要なときに情報や情報システムにアクセスし利用できる特性

可用性は、認可された利用者が必要なときに情報やシステムを支障なく利用できる特性である。 (JIS Q 27000:2019(ISO/IEC 27000))

5. ランサムウェアに感染してファイルが勝手に暗号化され、業務システムが利用できなくなった。このとき最も損なわれた情報セキュリティの要素はどれか。

  1. 可用性
  2. 完全性
  3. 機密性
  4. 責任追跡性

ランサムウェアによる暗号化で正規利用者がデータやシステムを使えなくなるため、可用性が損なわれる。 (JIS Q 27000:2019(ISO/IEC 27000)/IPA ITパスポート試験シラバス)

6. Webサイトのデータが第三者に不正に書き換えられ、掲載内容が事実と異なるものになった。主に損なわれた情報セキュリティの要素はどれか。

  1. 可用性
  2. 完全性
  3. 機密性
  4. 信頼性

データが不正に書き換えられ正確さが失われているため、完全性が損なわれている。 (JIS Q 27000:2019(ISO/IEC 27000))

7. 顧客の個人情報が保存されたファイルが外部へ漏えいし、第三者に閲覧された。主に損なわれた情報セキュリティの要素はどれか。

  1. 完全性
  2. 可用性
  3. 機密性
  4. 否認防止

認可されていない第三者に情報が閲覧されたため、機密性が損なわれている。 (JIS Q 27000:2019(ISO/IEC 27000))

8. 情報セキュリティでは、3要素(CIA)に加えて維持することが望ましいとされる付加的な4つの特性がある。その組合せとして正しいものはどれか。

  1. 機密性・完全性・可用性・保守性
  2. 効率性・移植性・拡張性・信頼性
  3. 真正性・機密性・完全性・可用性
  4. 真正性・責任追跡性・否認防止・信頼性

JIS Q 27000では、3要素に加えて真正性・責任追跡性・否認防止・信頼性を維持することが含まれる場合があるとされる。 (JIS Q 27000:2019(ISO/IEC 27000))

9. 情報セキュリティの特性のうち「真正性(authenticity)」の説明として最も適切なものはどれか。

  1. あるエンティティが、主張するとおりの本人・本物であることを確実にする特性
  2. 情報が必要なときに利用できる特性
  3. 行為が後から否認されないようにする特性
  4. 意図した動作と結果に一貫性がある特性

真正性は、利用者やデータなどのエンティティが「主張するとおりのものである」ことを確実にする特性である。 (JIS Q 27000:2019(ISO/IEC 27000))

10. 情報セキュリティの特性のうち「責任追跡性(accountability)」の説明として最も適切なものはどれか。

  1. 認可された者だけが情報にアクセスできる特性
  2. エンティティの動作を、その動作主まで一意に追跡できる特性
  3. 利用者が主張どおりの本人であることを確実にする特性
  4. 情報が改ざんされていない特性

責任追跡性は、誰が何を行ったかを一意に追跡できる特性で、操作ログの記録などで確保される。 (JIS Q 27000:2019(ISO/IEC 27000))

11. 情報セキュリティの特性のうち「否認防止(non-repudiation)」の説明として最も適切なものはどれか。

  1. 認可された者が必要なときに利用できる特性
  2. 情報が正確かつ完全である特性
  3. ある活動や事象が起きた事実を、後になって否認されないように証明できる特性
  4. システムが安定して稼働し続ける特性

否認防止は、行為や事象が起きたことを後から否認できないようにする特性で、デジタル署名などで実現する。 (JIS Q 27000:2019(ISO/IEC 27000))

12. 情報セキュリティの特性のうち「信頼性(reliability)」の説明として最も適切なものはどれか。

  1. エンティティが主張どおりの本物である特性
  2. 情報を認可された者だけに限定して開示する特性
  3. 動作を動作主まで一意に追跡できる特性
  4. 意図した動作及びその結果に一貫性がある特性

信頼性は、システムやプロセスが意図したとおりに一貫して動作し、期待どおりの結果を出す特性である。 (JIS Q 27000:2019(ISO/IEC 27000))

13. 電子商取引で、注文した本人が後から「その注文はしていない」と主張できないようにしたい。この目的に直接対応する情報セキュリティの特性はどれか。

  1. 否認防止
  2. 可用性
  3. 機密性
  4. 保守性

行為を後から否認させないようにする特性は否認防止であり、デジタル署名などで実現される。 (JIS Q 27000:2019(ISO/IEC 27000))

14. ソーシャルエンジニアリングの説明として最も適切なものはどれか。

  1. ソフトウェアの脆弱性を突いてシステムに侵入する手法
  2. 技術的な手段を使わず、人間の心理的な隙や行動のミスにつけ込んで情報を不正に入手する手法
  3. 通信を暗号化して盗聴を防ぐ技術
  4. 大量の通信を送りつけてサーバを停止させる攻撃

ソーシャルエンジニアリングは、技術ではなく人の心理や行動の隙につけ込んでパスワード等を不正に入手する手法である。 (IPA ITパスポート試験シラバス(人的脅威))

15. ソーシャルエンジニアリングの具体例として最も適切なものはどれか。

  1. ファイアウォールの設定ミスを探して侵入する
  2. マルウェアを添付したメールを送りつける
  3. 利用者の背後からキーボード入力をのぞき見てパスワードを盗む
  4. 通信経路上のパケットを解析して暗号を解読する

背後からの盗み見(ショルダーハッキング)は、人の行動の隙を突く典型的なソーシャルエンジニアリングである。 (IPA ITパスポート試験シラバス(人的脅威))

16. 情報システム部門の担当者になりすまして利用者に電話をかけ、「確認のためパスワードを教えてほしい」と言って聞き出す行為への対策として、最も適切なものはどれか。

  1. サーバのウイルス対策ソフトを最新化する
  2. 通信経路をSSL/TLSで暗号化する
  3. パスワードを定期的に複雑なものへ変更する
  4. 電話などで問い合わせがあってもパスワードを他者に伝えない運用を徹底する

電話でのなりすまし(プリテキスティング)対策は技術ではなく、パスワードを他者に伝えない運用ルールの徹底が有効である。 (IPA ITパスポート試験シラバス(人的脅威))

17. ゴミ箱に捨てられた書類やメモから、パスワードや機密情報を探し出す行為(トラッシング)への対策として最も適切なものはどれか。

  1. 機密情報を含む書類はシュレッダーで細断してから廃棄する
  2. サーバのOSを最新版に更新する
  3. 入退室管理に生体認証を導入する
  4. 通信を暗号化する

トラッシングは廃棄物から情報を得る手口なので、書類のシュレッダー処理など廃棄時の対策が有効である。 (IPA ITパスポート試験シラバス(人的脅威))

18. 不正のトライアングル理論において、不正行為が発生するとされる3つの要素の組合せはどれか。

  1. 脅威・脆弱性・情報資産
  2. 機会・動機・正当化
  3. 機密性・完全性・可用性
  4. 計画・実行・評価

不正のトライアングルでは「機会」「動機(プレッシャー)」「正当化」の3要素が揃ったときに不正が起こるとされる。 (不正のトライアングル理論(D.R.クレッシー)/IPA ITパスポート試験シラバス)

19. 不正のトライアングルにおける「機会」に該当する状況として最も適切なものはどれか。

  1. 高額な支払いに追われ、金銭的に困窮している状態
  2. 「自分は正当に評価されていないから当然だ」と考える心理
  3. 業務が一人に集中し、誰のチェックも受けずに情報を操作できる状態
  4. 顧客情報を暗号化して保管している状態

「機会」は不正を実行できてしまう環境的な隙で、チェック機能の欠如や権限の集中が該当する。金銭的な困窮は動機、正当に評価されていないという考えは正当化の例である。 (不正のトライアングル理論(D.R.クレッシー))

20. 不正のトライアングルにおける「動機(プレッシャー)」の例として最も適切なものはどれか。

  1. アクセス権限が過剰に付与され、操作を隠せる状況
  2. 「みんなやっているから問題ない」と自分を納得させる考え
  3. ログが記録されず、誰の操作か追跡できない仕組み
  4. 借金の返済や過大なノルマなど、不正に駆り立てる個人的な事情や重圧

動機(プレッシャー)は、借金・ノルマ・不満など不正へ駆り立てる個人的な事情を指す。 (不正のトライアングル理論(D.R.クレッシー))

21. 不正のトライアングルの「正当化」を減らす取組みとして最も適切なものはどれか。

  1. 行動規範の周知や倫理教育を行い、不正を許さない企業風土を醸成する
  2. アクセス権限を最小化して操作できる範囲を減らす
  3. 監視カメラを増設して行動を記録する
  4. 執務室の施錠を強化して物理的に隔離する

「正当化」は本人の心理的な言い訳なので、倫理教育や行動規範の周知が有効である。他の選択肢は主に「機会」を減らす対策である。 (不正のトライアングル理論(D.R.クレッシー)/IPA ITパスポート試験シラバス)

22. 内部不正の「機会」を減らすための管理策として最も適切なものはどれか。

  1. 従業員の生活上の悩みや不満を放置する
  2. 職務分掌を行い、一人の担当者に権限を集中させない
  3. アクセスログの取得を取りやめる
  4. 不正をしても発覚しない仕組みにする

職務分掌や権限の最小化、相互牽制により「不正を実行できる機会」を減らすことができる。 (IPA「組織における内部不正防止ガイドライン」/不正のトライアングル理論)

23. 組織の情報セキュリティにおける「内部不正」に関する説明として最も適切なものはどれか。

  1. 外部の攻撃者だけが情報を盗む行為を指す
  2. 自然災害によって情報が失われることを指す
  3. 従業員や元従業員など内部の関係者が、権限を悪用して情報を持ち出すなどの不正を行うこと
  4. ソフトウェアのバグにより誤作動が起こることを指す

内部不正は、従業員や委託先など内部関係者が正規の権限を悪用して情報を持ち出す・改ざんするなどの行為を指す。 (IPA「組織における内部不正防止ガイドライン」)

24. 不正のトライアングル理論に基づく内部不正対策として、最も不適切なものはどれか。

  1. 権限の最小化と職務分掌によって不正の「機会」を減らす
  2. 倫理教育を通じて「正当化」させない意識を高める
  3. 相談窓口を設け、動機となる過度なプレッシャーを緩和する
  4. 従業員を全面的に信頼し、監視やチェックの仕組みは一切設けない

3要素のいずれかを取り除けば不正は起こりにくくなるため、監視やチェックの仕組みを一切設けないのは不適切である。 (不正のトライアングル理論(D.R.クレッシー))

25. 情報セキュリティマネジメントシステム(ISMS)の要求事項を定めた規格はどれか。

  1. JIS Q 27001(ISO/IEC 27001)
  2. JIS Q 15001
  3. JIS Q 9001
  4. JIS Q 14001

ISMSの要求事項を定めた規格はJIS Q 27001(ISO/IEC 27001)である。9001は品質、14001は環境、15001は個人情報保護マネジメントの規格である。 (JIS Q 27001(ISO/IEC 27001、ISMS—要求事項))

26. ISMSにおける継続的改善の枠組みであるPDCAサイクルの各段階の組合せとして正しいものはどれか。

  1. 計画・設計・製造・出荷
  2. 計画(Plan)・実行(Do)・点検(Check)・処置(Act)
  3. 準備・開始・監視・終了
  4. 調達・実装・運用・廃棄

PDCAはPlan(計画)・Do(実行)・Check(点検)・Act(処置)を繰り返して継続的に改善する枠組みである。 (JIS Q 27001(ISO/IEC 27001))

27. 規格「JIS Q 27000」が主に定めている内容はどれか。

  1. 品質マネジメントシステムの要求事項
  2. 環境マネジメントの監査手順
  3. 情報セキュリティマネジメントシステムに関する用語と概要
  4. 労働安全衛生の基準

JIS Q 27000は、ISMSに関する用語や概要(オーバービュー)を定めた規格である。 (JIS Q 27000:2019(ISO/IEC 27000))

28. リスクマネジメントの原則や指針を定めた規格として最も適切なものはどれか。

  1. JIS Q 27001(ISO/IEC 27001)
  2. JIS X 0208
  3. JIS Q 9001
  4. JIS Q 31000(ISO 31000)

リスクマネジメントの原則・枠組み・指針を定めた規格はJIS Q 31000(ISO 31000)である。 (JIS Q 31000:2019(リスクマネジメント—指針))

29. リスクアセスメントを構成するプロセスの組合せとして正しいものはどれか。

  1. リスク特定・リスク分析・リスク評価
  2. リスク回避・リスク移転・リスク保有
  3. 計画・実行・点検
  4. 機密性・完全性・可用性

リスクアセスメントは、リスク特定→リスク分析→リスク評価の3プロセス全体を指す。回避・移転・保有はリスク対応の選択肢である。 (JIS Q 27000:2019/JIS Q 31000:2019)

30. リスク対応(リスクコントロール)の主な選択肢の組合せとして最も適切なものはどれか。

  1. リスク特定・リスク分析・リスク評価・リスク報告
  2. リスク回避・リスク低減・リスク移転・リスク保有
  3. 機密性・完全性・可用性・真正性
  4. 計画・実行・点検・処置

リスク対応の主な選択肢は、回避・低減(軽減)・移転(共有)・保有(受容)の4種である。 (JIS Q 27000:2019/JIS Q 31000:2019)

31. 保険に加入し、事故が起きたときの損害を保険会社に肩代わりしてもらう対応は、リスク対応のどれに当たるか。

  1. リスク回避
  2. リスク保有(受容)
  3. リスク移転(共有)
  4. リスク低減

保険加入や外部委託などで損失の負担を他者へ移す対応はリスク移転(共有)である。 (JIS Q 31000:2019/JIS Q 27000:2019)

32. 一般的な情報セキュリティポリシーの3階層構成を、上位から順に正しく並べたものはどれか。

  1. 実施手順 → 対策基準 → 基本方針
  2. 対策基準 → 基本方針 → 実施手順
  3. 実施手順 → 基本方針 → 対策基準
  4. 基本方針 → 対策基準 → 実施手順

情報セキュリティポリシーは、基本方針(ポリシー)→対策基準(スタンダード)→実施手順(プロシージャ)の3階層で構成されるのが一般的である。 (IPA ITパスポート試験シラバス(情報セキュリティ管理))

33. リスクの大きい事業やサービスそのものを取りやめ、リスクの原因を根本からなくす対応はどれか。

  1. リスク回避
  2. リスク保有
  3. リスク移転
  4. リスク低減

リスクを生む活動自体をやめてリスク要因を除去する対応がリスク回避である。低減は発生確率や影響を小さくする対応である。 (JIS Q 31000:2019/JIS Q 27000:2019)

34. 情報資産に対するリスクが顕在化する仕組みを表した記述として最も適切なものはどれか。

  1. 脆弱性がなくても、脅威が存在するだけで必ず損失が発生する
  2. 脅威が脆弱性を突くことで、情報資産にリスクが顕在化する
  3. 情報資産の価値が低いほど、リスクは大きくなる
  4. リスクは脅威の有無とは無関係に発生する

リスクは、守るべき情報資産に対して脅威が脆弱性を突くことで顕在化する(資産・脅威・脆弱性の関係)。 (IPA ITパスポート試験シラバス(リスクマネジメント))

35. セキュリティインシデントの発生に備え、その対応を専門に行う組織・チームを表す用語はどれか。

  1. CPU
  2. DBMS
  3. CSIRT
  4. SSID

CSIRT(Computer Security Incident Response Team)は、セキュリティインシデントに対応するための専門チームである。 (IPA ITパスポート試験シラバス(組織体制))

無料ではじめる