今回からは最後の分野「セキュリティ」に入るっす。
いよいよ最後かぁ。ここまで長かったね。
って、シラバス見たらめちゃくちゃボリューム多くね?
それだけ受験者にしっかり勉強してほしいっていうことなんすよ。もちろん、試験でも超頻出の分野っす。覚えることが多くて大変っすが、あと一踏ん張り頑張るっすよ。
| 目標 | ・ネットワーク社会において安全に活動するという観点で,情報セキュリティの基本について理解する。 ・リスクマネジメントに関する考え方を理解する。 ・情報セキュリティ対策の基本的な考え方,及び組織において必要な対策を理解する。 ・IoTシステムにおいて情報セキュリティを確保するために必要な取組を理解する。 |
| 説明 | ・情報の収集や活用を安全に行うために情報セキュリティが必要であることを理解する。 ・リスクマネジメントの必要性を理解する。 ・脅威の種類と基本的な対処法,及び脆弱性を理解する。 ・代表的な攻撃手法,及びそれらへの対策を理解する。 ・情報セキュリティへの様々な脅威に対して,必要な対処を適切に行うために,人的・技術的・物理的セキュリティの側面から基本的な対策を理解する。 |
目次 非表示
情報セキュリティの概念
情報セキュリティとは
情報セキュリティとは、情報資産を守るための取り組みや考え方のことで、具体的には、不正アクセス、改ざん、漏えい、破壊、サービス停止などの脅威から情報資産を保護することを指します。
なお、情報資産とは組織や個人にとって価値がある情報およびそれを扱うための設備や仕組みのことを指します。情報資産は「情報そのもの」だけでなく、「その情報を使う仕組み・人・物」も含めた広い概念であり、手で触れることのできる有形資産と手で触れることのできない無形資産に分類することができます。
・有形資産の例:パソコン・サーバー・USBメモリ・スマートフォンなどのハードウェア、ルーター・スイッチ・通信回線などのネットワーク設備、契約書・会議資料・手書きのメモなどの紙媒体
・無形資産の例:顧客情報・営業情報・知的財産関連情報・人事情報などのデータや情報、アプリケーション・業務システムなどのソフトウェア
社員の知識、スキル、ノウハウなどの人的資産も情報資産として考える場合もあります。
情報資産が守られないと、企業の信頼の失墜、損害賠償や法的責任の発生、業務停止などのリスクが生じるため、情報資産は守るべき対象であり、情報セキュリティ対策の中心となる概念です。
情報セキュリティの要素
情報セキュリティの基本的な考え方として、次の7つの要素がよく使われます。
従来は、以下の3つの要素を維持することが情報セキュリティといわれていました。
| 要素 | 内容 |
|---|---|
| 機密性 | 情報を許可された人だけが見られるようにする。例:パスワード管理、暗号化。 |
| 完全性 | 情報が正確で改ざんされていないこと。例:データ改ざん防止、ログの記録。 |
| 可用性 | 必要なときに情報が使える状態であること。例:システムの冗長化、バックアップ。 |
近年では、さらに次の4つの要素を含める場合もあります。
| 要素 | 内容 |
|---|---|
| 真正性 | 情報や通信の「本物性」を保証すること。例:電子署名、認証(ID/パスワード)。 |
| 責任追跡性 | 「誰が」「何をしたか」を記録し、追跡できるようにすること。例:アクセスログ管理。 |
| 否認防止 | 行った行為をあとから「やっていない」と否認できないようにすること。例:電子署名。 |
| 信頼性 | システムや情報が期待通りに安定して動作すること。例:高品質な運用設計。 |
脆弱性
脆弱性(ぜいじゃくせい)とは、攻撃や障害に対して「弱点」となる部分のことです。セキュリティ上の欠陥やミス、設計の甘さなどによって、不正アクセス・情報漏えい・改ざんなどのリスクが生じる原因になります。
| 名称 | 説明 |
|---|---|
| バグ | プログラムの誤りや不具合のこと。全てのバグが危険なわけではないが、一部のバグは脆弱性につながる。 (例:本来アクセスできない情報が条件によって表示されてしまう) |
| セキュリティホール | セキュリティ上のバグや設計ミスによって生じる抜け穴・欠陥のこと。悪用されると攻撃者に侵入・操作される可能性がある。 (例:古いソフトにパッチが当てられておらず、攻撃を許す穴になっている) |
| 人的脆弱性 | 人間のミスや行動が原因で生じるセキュリティの弱点。 (例:パスワードを机に貼っておく、フィッシングメールにだまされて情報を入力してしまう、機密ファイルを誤って外部に送信してしまう) |
| シャドーIT | 会社が許可していないIT機器やクラウドサービスを社員が勝手に使うこと。 (例:勝手にGoogle Drive等で社外にファイルを保存、個人スマホで社内の業務チャットを利用) |
リスクマネジメント
情報セキュリティにおけるリスクマネジメントとは、組織が保有する情報資産に対して発生しうるリスク(情報セキュリティリスク)を特定し、それらを評価・対策して、被害を最小限に抑える一連の管理プロセスを指します。情報漏洩、改ざん、サービス停止などのセキュリティ事故から組織を守り、安定した業務継続を目的として実施されます。
主なプロセス(一般的な流れ)
リスクマネジメントの一連の流れは大きくリスクアセスメント(リスク特定、リスク分析、リスク評価)とリスク対応から成ります。
① リスク特定
守るべき情報資産を洗い出し、脅威(不正アクセス、自然災害、内部不正など)と脆弱性を特定します。
② リスク分析
特定したリスク(脅威と脆弱性)に対して、それがどの程度の影響を与えるか、どのくらい発生しやすいかを評価します。リスクの重大度を定量的・定性的に評価し、優先的に対応すべきリスクを明らかにします。
③ リスク評価
リスク分析で洗い出したリスクの重大性を判断し、どのリスクにどのように対応するかを決定するための評価プロセスです。洗い出したリスクの重大性や優先度を明確にして、対策が必要なリスクと許容できるリスクを区別します。
④ リスク対応
リスク評価の結果に基づいて、どのリスクにどのように対処するかを決定・実行するプロセスです。情報セキュリティにおけるリスク対応には、以下の4つの対応方法があります。
| 対応方法 | 説明 | 具体例 |
|---|---|---|
| リスク回避 | リスクのある行動・資産・システム自体をやめることで、リスクを完全になくす | ・クラウド導入を見送り、社内での運用を継続する ・高リスクな外部業務をやめる |
| リスク共有(リスク移転・リスク分散) | リスクの一部または全部を第三者と分け合う | ・保険加入(移転) ・業務委託・アウトソーシング(移転) ・クラスタ化・冗長化(分散) |
| リスク低減 | 発生可能性や影響度を下げることで、リスクを許容可能な範囲にする | ファイアウォール導入、社員教育、アクセス制御、バックアップ実施 |
| リスク保有(リスク受容) | リスクの影響が小さく、対応コストが高いため、あえて対策を講じず保有する | ・年に1回程度の軽微な障害は受け入れる ・手動処理のまま運用を続ける |
リスクマネジメントの考え方は情報セキュリティに限った話ではないっすよ。ストラテジ系でも学習したっすよね。
リスクが社会や生活に影響を及ぼす可能性があるときに、関係者(政府、企業、専門家、住民など)同士で正確かつ透明な情報を共有し、相互理解を深めることが重要です。
リスクコミュニケーションとは、人々がリスクに関する情報や意見を相互に交換し、理解し合うプロセスのことを指し、誤解や不安の解消、リスクに対する正しい理解の促進、信頼関係の構築などを目的としています。
確認○×問題
情報セキュリティにおける「脅威」とは、情報資産に損害を与える要因となるものをいう。
(出典:令和7年度春期分 問93一部改変)
答え:〇
記述の通りです。情報セキュリティとは、情報資産を守るための取り組みや考え方のことで、具体的には、不正アクセス、改ざん、漏えい、破壊、サービス停止などの脅威から情報資産を保護することを指します。
情報セキュリティとは、情報の機密性、完全性及び可用性を維持することである。さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含める場合もある。
(出典:令和3年度春期分 問67一部改変)
答え:〇
記述の通りです。従来は、情報の機密性、完全性及び可用性の3つの要素を維持することが情報セキュリティといわれていましたが、近年では、さらに真正性、責任追跡性、否認防止、信頼性の4つの要素を含める場合もあります。
「顧客情報管理システムの顧客情報が誤った内容のまま運用されていた」、「社内のサーバに不正侵入されて、社外秘の情報が漏えいした」、これらは情報セキュリティにおいて、可用性が損なわれた事象といえる。
(出典:令和7年度春期分 問97一部改変)
答え:×
可用性とは、必要なときに情報が使える状態であることをいいます。例としては、何らかの攻撃を受けてシステムが停止してしまう場合などが該当します。
「顧客情報管理システムの顧客情報が誤った内容のまま運用されていた」は完全性が損なわれた事象、「社内のサーバに不正侵入されて,社外秘の情報が漏えいした」は機密性が損なわれた事象に該当します。
次の情報セキュリティにおける脅威と脆弱性のうち、脆弱性に該当するものは2つある。
- コンピュータウイルス
- ソーシャルエンジニアリング
- 通信データの盗聴
- 不適切なパスワード管理
(出典:平成29年度春期分 問60部改変)
答え:×
脆弱性(ぜいじゃくせい)とは、攻撃や障害に対して「弱点」となる部分のことです。セキュリティ上の欠陥やミス、設計の甘さなどによって、不正アクセス・情報漏えい・改ざんなどのリスクが生じる原因になります。設問の記述のうち、脆弱性に該当するのは4.「不適切なパスワード管理」のみで、人的脆弱性(人間のミスや行動が原因で生じるセキュリティの弱点)にあたります。
なお、1.~3.は脅威(情報資産に損害を与える要因となるもの)に該当します。
会社が許可していないIT機器やクラウドサービスを社員が勝手に使うことをセキュリティホールという。
答え:×
設問の文章はシャドーITの説明です。シャドーITの例としては、勝手にGoogle Drive等で社外にファイルを保存する、個人スマホで社内の業務チャットを利用する、といったことなどが挙げられます。
なお、セキュリティホールとは、セキュリティ上のバグや設計ミスによって生じる抜け穴・欠陥のことです。悪用されると攻撃者に侵入・操作される可能性があります。
情報セキュリティにおけるリスクアセスメントとは、識別された資産に対するリスクを分析、評価し、基準に照らして対応が必要かどうかを判断することである。
(出典:平成30年度秋期分 問68一部改変)
答え:〇
記述の通りです。リスクマネジメントの一連の流れは、大きくリスクアセスメント(リスク特定、リスク分析、リスク評価)とリスク対応から成ります。
①リスク特定:守るべき情報資産を洗い出し、脅威(不正アクセス、自然災害、内部不正など)と脆弱性を特定します。
②リスク分析:特定したリスク(脅威と脆弱性)に対して、それがどの程度の影響を与えるか、どのくらい発生しやすいかを評価します。
③リスク評価:リスク分析で洗い出したリスクの重大性を判断し、どのリスクにどのように対応するかを決定するための評価プロセスです。
④リスク対応:リスク評価の結果に基づいて、どのリスクにどのように対処するかを決定・実行するプロセスです。
情報セキュリティのリスクマネジメントにおけるリスク対応を、リスク移転、リスク回避、リスク低減及びリスク保有の四つに分けて実施することにしたとき、管理対象としたリスクの顕在化に備えて保険をかけておくことは、リスク回避に該当する。
(出典:令和7年度春期分 問91一部改変)
答え:×
管理対象としたリスクの顕在化に備えて保険をかけておくことは、リスク共有(リスク移転)に該当します。
なお、リスク回避とは、リスクのある行動・資産・システム自体をやめることで、リスクを完全になくすことをいいます。
