JIS Q 27000:2019は情報セキュリティを「情報の機密性、完全性及び可用性を維持すること」と定義する。この3特性がCIA(情報セキュリティの3要素)であり、定義の注記では真正性・責任追跡性・否認防止・信頼性を加えて維持することを含めてもよいとされる(いわゆる7要素)。許可された者だけが使える=機密性、改ざんなく正確=完全性、必要なときに使える=可用性、という対応が頻出である。
脅威の中心はマルウェア。プログラムに寄生するウイルス、単独で自己増殖するワーム、有用なソフトを装って侵入するトロイの木馬、情報を盗み出すスパイウェア、ファイルを暗号化して復元と引換えに身代金を要求するランサムウェアを区別する。IPA「情報セキュリティ10大脅威 2026」の組織向け第1位は「ランサム攻撃による被害」で11年連続11回目の選出であり、データを窃取し「支払わなければ公開する」と脅す二重恐喝(ダブルエクストーション)の手口も確認されている。攻撃手法では、特定組織を狙う標的型攻撃、偽メール・偽サイトで認証情報をだまし取るフィッシング、大量アクセスでサービスを停止させるDoS/DDoS、修正プログラム提供前の脆弱性を突くゼロデイ攻撃、パスワードへの総当たり(ブルートフォース)・辞書・パスワードリスト攻撃、Webアプリを狙うSQLインジェクションとクロスサイトスクリプティング(XSS)を整理して覚える。技術を使わず人の心理の隙を突くソーシャルエンジニアリング(なりすまし電話、ショルダーハッキング、ごみ箱あさり=トラッシング)や、組織が許可していない機器・サービスを業務利用するシャドーITも脅威となる。内部不正は、クレッシーの不正のトライアングルの3要素「機会・動機(プレッシャー)・正当化」がそろったときに発生するとされる。
関連法規では、不正アクセス禁止法が他人のID・パスワードの無断入力等による不正アクセス行為を禁止し(3年以下の懲役又は100万円以下の罰金)、平成24年改正で追加された第7条がフィッシング行為を禁止する(1年以下の懲役又は50万円以下の罰金)。正当な理由のないウイルスの作成・提供は刑法第168条の2(不正指令電磁的記録に関する罪、平成23年新設)により3年以下の懲役又は50万円以下の罰金。2014年成立のサイバーセキュリティ基本法に基づき、内閣にサイバーセキュリティ戦略本部が設置されている。
組織的なマネジメントの頻出ポイントは次のとおり。
1. 情報セキュリティの3要素(CIA)として最も適切な組合せはどれか。
情報セキュリティの3要素はConfidentiality(機密性)・Integrity(完全性)・Availability(可用性)で、頭文字からCIAと呼ばれる。 (JIS Q 27000:2019(ISO/IEC 27000))
2. 情報セキュリティにおける「機密性」の説明として最も適切なものはどれか。
機密性は、認可された者だけが情報を扱えるようにし、それ以外の者には情報を非公開・使用不可とする特性である。 (JIS Q 27000:2019(ISO/IEC 27000))
3. 情報セキュリティにおける「完全性」の説明として最も適切なものはどれか。
完全性は、情報が改ざんや消失をされず、正確で完全な状態が維持されている特性である。 (JIS Q 27000:2019(ISO/IEC 27000))
4. 情報セキュリティにおける「可用性」の説明として最も適切なものはどれか。
可用性は、認可された利用者が必要なときに情報やシステムを支障なく利用できる特性である。 (JIS Q 27000:2019(ISO/IEC 27000))
5. ランサムウェアに感染してファイルが勝手に暗号化され、業務システムが利用できなくなった。このとき最も損なわれた情報セキュリティの要素はどれか。
ランサムウェアによる暗号化で正規利用者がデータやシステムを使えなくなるため、可用性が損なわれる。 (JIS Q 27000:2019(ISO/IEC 27000)/IPA ITパスポート試験シラバス)
6. Webサイトのデータが第三者に不正に書き換えられ、掲載内容が事実と異なるものになった。主に損なわれた情報セキュリティの要素はどれか。
データが不正に書き換えられ正確さが失われているため、完全性が損なわれている。 (JIS Q 27000:2019(ISO/IEC 27000))
7. 顧客の個人情報が保存されたファイルが外部へ漏えいし、第三者に閲覧された。主に損なわれた情報セキュリティの要素はどれか。
認可されていない第三者に情報が閲覧されたため、機密性が損なわれている。 (JIS Q 27000:2019(ISO/IEC 27000))
8. 情報セキュリティでは、3要素(CIA)に加えて維持することが望ましいとされる付加的な4つの特性がある。その組合せとして正しいものはどれか。
JIS Q 27000では、3要素に加えて真正性・責任追跡性・否認防止・信頼性を維持することが含まれる場合があるとされる。 (JIS Q 27000:2019(ISO/IEC 27000))
9. 情報セキュリティの特性のうち「真正性(authenticity)」の説明として最も適切なものはどれか。
真正性は、利用者やデータなどのエンティティが「主張するとおりのものである」ことを確実にする特性である。 (JIS Q 27000:2019(ISO/IEC 27000))
10. 情報セキュリティの特性のうち「責任追跡性(accountability)」の説明として最も適切なものはどれか。
責任追跡性は、誰が何を行ったかを一意に追跡できる特性で、操作ログの記録などで確保される。 (JIS Q 27000:2019(ISO/IEC 27000))
11. 情報セキュリティの特性のうち「否認防止(non-repudiation)」の説明として最も適切なものはどれか。
否認防止は、行為や事象が起きたことを後から否認できないようにする特性で、デジタル署名などで実現する。 (JIS Q 27000:2019(ISO/IEC 27000))
12. 情報セキュリティの特性のうち「信頼性(reliability)」の説明として最も適切なものはどれか。
信頼性は、システムやプロセスが意図したとおりに一貫して動作し、期待どおりの結果を出す特性である。 (JIS Q 27000:2019(ISO/IEC 27000))
13. 電子商取引で、注文した本人が後から「その注文はしていない」と主張できないようにしたい。この目的に直接対応する情報セキュリティの特性はどれか。
行為を後から否認させないようにする特性は否認防止であり、デジタル署名などで実現される。 (JIS Q 27000:2019(ISO/IEC 27000))
14. ソーシャルエンジニアリングの説明として最も適切なものはどれか。
ソーシャルエンジニアリングは、技術ではなく人の心理や行動の隙につけ込んでパスワード等を不正に入手する手法である。 (IPA ITパスポート試験シラバス(人的脅威))
15. ソーシャルエンジニアリングの具体例として最も適切なものはどれか。
背後からの盗み見(ショルダーハッキング)は、人の行動の隙を突く典型的なソーシャルエンジニアリングである。 (IPA ITパスポート試験シラバス(人的脅威))
16. 情報システム部門の担当者になりすまして利用者に電話をかけ、「確認のためパスワードを教えてほしい」と言って聞き出す行為への対策として、最も適切なものはどれか。
電話でのなりすまし(プリテキスティング)対策は技術ではなく、パスワードを他者に伝えない運用ルールの徹底が有効である。 (IPA ITパスポート試験シラバス(人的脅威))
17. ゴミ箱に捨てられた書類やメモから、パスワードや機密情報を探し出す行為(トラッシング)への対策として最も適切なものはどれか。
トラッシングは廃棄物から情報を得る手口なので、書類のシュレッダー処理など廃棄時の対策が有効である。 (IPA ITパスポート試験シラバス(人的脅威))
18. 不正のトライアングル理論において、不正行為が発生するとされる3つの要素の組合せはどれか。
不正のトライアングルでは「機会」「動機(プレッシャー)」「正当化」の3要素が揃ったときに不正が起こるとされる。 (不正のトライアングル理論(D.R.クレッシー)/IPA ITパスポート試験シラバス)
19. 不正のトライアングルにおける「機会」に該当する状況として最も適切なものはどれか。
「機会」は不正を実行できてしまう環境的な隙で、チェック機能の欠如や権限の集中が該当する。金銭的な困窮は動機、正当に評価されていないという考えは正当化の例である。 (不正のトライアングル理論(D.R.クレッシー))
20. 不正のトライアングルにおける「動機(プレッシャー)」の例として最も適切なものはどれか。
動機(プレッシャー)は、借金・ノルマ・不満など不正へ駆り立てる個人的な事情を指す。 (不正のトライアングル理論(D.R.クレッシー))
21. 不正のトライアングルの「正当化」を減らす取組みとして最も適切なものはどれか。
「正当化」は本人の心理的な言い訳なので、倫理教育や行動規範の周知が有効である。他の選択肢は主に「機会」を減らす対策である。 (不正のトライアングル理論(D.R.クレッシー)/IPA ITパスポート試験シラバス)
22. 内部不正の「機会」を減らすための管理策として最も適切なものはどれか。
職務分掌や権限の最小化、相互牽制により「不正を実行できる機会」を減らすことができる。 (IPA「組織における内部不正防止ガイドライン」/不正のトライアングル理論)
23. 組織の情報セキュリティにおける「内部不正」に関する説明として最も適切なものはどれか。
内部不正は、従業員や委託先など内部関係者が正規の権限を悪用して情報を持ち出す・改ざんするなどの行為を指す。 (IPA「組織における内部不正防止ガイドライン」)
24. 不正のトライアングル理論に基づく内部不正対策として、最も不適切なものはどれか。
3要素のいずれかを取り除けば不正は起こりにくくなるため、監視やチェックの仕組みを一切設けないのは不適切である。 (不正のトライアングル理論(D.R.クレッシー))
25. 情報セキュリティマネジメントシステム(ISMS)の要求事項を定めた規格はどれか。
ISMSの要求事項を定めた規格はJIS Q 27001(ISO/IEC 27001)である。9001は品質、14001は環境、15001は個人情報保護マネジメントの規格である。 (JIS Q 27001(ISO/IEC 27001、ISMS—要求事項))
26. ISMSにおける継続的改善の枠組みであるPDCAサイクルの各段階の組合せとして正しいものはどれか。
PDCAはPlan(計画)・Do(実行)・Check(点検)・Act(処置)を繰り返して継続的に改善する枠組みである。 (JIS Q 27001(ISO/IEC 27001))
27. 規格「JIS Q 27000」が主に定めている内容はどれか。
JIS Q 27000は、ISMSに関する用語や概要(オーバービュー)を定めた規格である。 (JIS Q 27000:2019(ISO/IEC 27000))
28. リスクマネジメントの原則や指針を定めた規格として最も適切なものはどれか。
リスクマネジメントの原則・枠組み・指針を定めた規格はJIS Q 31000(ISO 31000)である。 (JIS Q 31000:2019(リスクマネジメント—指針))
29. リスクアセスメントを構成するプロセスの組合せとして正しいものはどれか。
リスクアセスメントは、リスク特定→リスク分析→リスク評価の3プロセス全体を指す。回避・移転・保有はリスク対応の選択肢である。 (JIS Q 27000:2019/JIS Q 31000:2019)
30. リスク対応(リスクコントロール)の主な選択肢の組合せとして最も適切なものはどれか。
リスク対応の主な選択肢は、回避・低減(軽減)・移転(共有)・保有(受容)の4種である。 (JIS Q 27000:2019/JIS Q 31000:2019)
31. 保険に加入し、事故が起きたときの損害を保険会社に肩代わりしてもらう対応は、リスク対応のどれに当たるか。
保険加入や外部委託などで損失の負担を他者へ移す対応はリスク移転(共有)である。 (JIS Q 31000:2019/JIS Q 27000:2019)
32. 一般的な情報セキュリティポリシーの3階層構成を、上位から順に正しく並べたものはどれか。
情報セキュリティポリシーは、基本方針(ポリシー)→対策基準(スタンダード)→実施手順(プロシージャ)の3階層で構成されるのが一般的である。 (IPA ITパスポート試験シラバス(情報セキュリティ管理))
33. リスクの大きい事業やサービスそのものを取りやめ、リスクの原因を根本からなくす対応はどれか。
リスクを生む活動自体をやめてリスク要因を除去する対応がリスク回避である。低減は発生確率や影響を小さくする対応である。 (JIS Q 31000:2019/JIS Q 27000:2019)
34. 情報資産に対するリスクが顕在化する仕組みを表した記述として最も適切なものはどれか。
リスクは、守るべき情報資産に対して脅威が脆弱性を突くことで顕在化する(資産・脅威・脆弱性の関係)。 (IPA ITパスポート試験シラバス(リスクマネジメント))
35. セキュリティインシデントの発生に備え、その対応を専門に行う組織・チームを表す用語はどれか。
CSIRT(Computer Security Incident Response Team)は、セキュリティインシデントに対応するための専門チームである。 (IPA ITパスポート試験シラバス(組織体制))