【Iパス8問】セキュリティ以外でも使えるCIAの幅広さ
CIA(機密性・完全性・可用性)は「セキュリティの3要素」。
セキュリティの問題では必ず絡んできますし、セキュリティ以外にも応用される重要な知識です。「用語(アルファベット):意味:代表的な対策」の3点セットで覚えましょう。
正直問題は簡単ですが、必ず1問出るのでまとめました。
なお、このNoteは私が専門学校で教えてきた指導経験と970点合格をした実績に基づいていますので、ちょっとでも信用してくれたら嬉しいです。
\全てのNoteへのリンク集/
CIAの基礎
CIAの3要素を「用語(アルファベット):意味:代表的な対策」で、一気に書きますね。
機密性(C):アクセスすべき人だけがアクセスできる状態にする:アクセス管理、暗号化
完全性(I):データが正しいこと:改ざん検知など
可用性(A):いつでも使えること:機器の冗長化(多重にすること)
【a】に入る語句はどれか。
情報セキュリティとは、情報の機密性・完全性・【a】を維持することである。
ア:可用性
イ:保全性
ウ:信頼性
エ:保守性
正答はア。
なお、完全性が一番分かりにくいのではないでしょうか。私もそうでした。
完全性の対策には、デジタル署名とタイムスタンプ(デジタル署名+時刻情報)があります。基本情報技術者試験の前には覚えておきましょう。>>デジタル署名の対策Note<<
CIAの3つが出そろう問題
3用語が全部でる問題は良く出ます。
ITパスポートは4択なので、4用語と相性が良いですが。3用語の場合は、「全て挙げよ」や「用語埋め」で出されますね。
情報セキュリティにおいて、完全性が確保されなかった例だけを全て挙げたものはどれか。
a:オペレータが誤ったデータを入力し、顧客名簿に矛盾が生じた
b:ショッピングサイトがシステム障害で一時的に利用できなかった
c:データベースで管理していた顧客の個人情報が漏えいした
ア:a イ:a, b ウ:b エ:c
正答はア。
aが完全性(I)、bが可用性(A)、cが機密性(C)が損なわれた事例です。
以下の1~3のインシデントによって損なわれたものの組み合わせで正しいのはどれか。
1:DDoS攻撃によって、Webサイトがダウンした
2:キーボードの打ち間違いによって、不正確なデータが入力された
3:PCがマルウェアに感染して、個人情報が漏えいした
ア:可用性、完全性、機密性
イ:可用性、機密性、完全性
ウ:完全性、可用性、機密性
エ:完全性、機密性、可用性
正答はア。
aが可用性(A)、bが完全性(I)、cが機密性(C)。
IoTデバイス群れとそれらを管理するIoTサーバで構成されるシステムにおいて。以下の1~3のインシデントによって損なわれたものの組み合わせで正しいのはどれか。
1:IoTデバイスが電池切れによって動作しなくなった
2:IoTデバイスとIoTサーバ間の通信を暗号化していなかったので、情報が漏えいした
3:システムの不具合によって誤ったデータが記録された
ア:可用性、完全性、機密性
イ:可用性、機密性、完全性
ウ:完全性、可用性、機密性
エ:機密性、可用性、完全性
正答はイ。
aが可用性(A)、bが機密性(C)cが完全性(I)。
情報セキュリティの三大要素について、正しい記述はどれか。
ア:可用性を確保すると、利用者が不用意に情報漏えいをしてしまうリスクを下げられる
イ:完全性を確保する方法として、システムや設備を二重化して利用者がいつでも利用できるような環境を維持することがある
ウ:機密性と可用性は互いに反する側面をもっているので、実際の運用では両者をバランスよく確保することが求められる
エ:機密性を確保する方法として、データの滅失を防ぐためにバックアップや誤入力を防ぐための入力チェックがある
正答はウ。
機密性を高めると「誰でも使える」わけではなくなりますし、可用性を高めると「誰でも使える」ので機密性の確保が難しいですね。
消去法で絞りましょう。
アの「情報漏えい」は機密性。イのシステムの「二重化」(冗長化)や「いつでも使える」は可用性。エはデータが正しく保てることなので完全性になります。
よって、ウにするしかないですね。
サービスマネジメント
CIAの特性は、セキュリティ以外の分野にもひょっこり顔を出します。
ホスティングサービスのSLAの内容は以下のa~cである。ITサービスマネジメントの管理との関連で適切なのはどれか。
a:サーバが稼働している時間
b:ディスクの使用量が設定した閾値に達したことを検出した後から、指定された担当者に通知するまでの時間
c:不正アクセスを検知した後から、指定された担当者に通知するまでの時間
ア:サービス可用性管理、容量・能力管理、情報セキュリティ管理
イ:サービス可用性管理、情報セキュリティ管理、容量・能力管理
ウ:容量・能力管理、サービス可用性管理、情報セキュリティ管理
エ:情報セキュリティ管理、容量・能力管理、サービス可用性管理
正答はア。
aの「稼働している時間」から可用性(A)。
cの「不正アクセス」から機密性(C)。
少し別の用語も知っておきましょう。
SLAは、サービス提供者と利用者の間で、サービス品質レベルについての合意文書です。
ホスティングサービス:サーバーを貸す
ハウジングサービス:建物やラック(電力・ネットワーク含む)を貸す
ITサービスの価値を高めるには、サービスの提供価格・サービスの機能・サービスの保証(可用性)の三つのバランスが必要である。インスタントメッセンジャのサービスにおいて、サービスの保証に当たるのはどれか。
ア:24時間365日利用可能である
イ:ゲームなどの他のソフトウェアと連携可能である
ウ:無料で利用できる
エ:文字の代わりに自分で作成したアイコンも利用できる
正答はア。
問題文より「サービスの保証(可用性)」とあるため、可用性の記述を探せば良いです。
イはサービス機能、ウはサービスの提供価値、エはサービス機能。なお、全く覚えなくてOKです。その場で解ける問題ですし、もっと重要な用語は他にたくさんあるので。
メールサービスにおけるITサービスマネジメントの可用性の要件事例はどれか。
ア:Webブラウザだけでメールサービスを使える
イ:予定されたメンテナンス時間以外は、いつでもメールサービスが使用できる
ウ:自分宛てのメールを他人が勝手に読めないようにする
エ:送信したメールが改ざんされないようにする
正答はイ。
「いつでも」「使用できる」より。
ウは機密性。「他人に見られないように」アクセス管理しています。
エは完全性。「改ざん」されないようにしています。
まとめ
かなり簡単な問題だったと思います。
CIAはセキュリティ以外でも出てくるので汎用的ですね。
>>PDCAサイクルの対策Note<< も、簡単なのに汎用的なので是非学習しておいてください。
\全てのNoteへのリンク集/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ