ITパスポート 令和4年度 問72：情報セキュリティ・CIAに関する問題

答えは a です。

情報セキュリティの3つの柱を、身近に言いかえると——機密性＝「他人に見られない」、完全性＝「中身が正しいまま」、可用性＝「使いたいときに使える」。

(1)サイトがダウン＝使えなくなった→可用性がダメに。

(2)打ち間違いで変なデータ→中身が正しくない→完全性がダメに。

(3)個人情報が漏れた→見られた→機密性がダメに。

この順がそろうのは a だけです。

👉 覚え方：「使えない＝可用性／間違い＝完全性／漏れた＝機密性」。

なぜこれが正解か

正解は a。情報セキュリティの3要素（CIA）と各インシデントの対応は次の通り。

• (1) DDoS攻撃でWebサイトがダウン → サービスが使えない＝可用性の喪失。
• (2) 打ち間違いで不正確なデータ入力 → 情報が正確でなくなる＝完全性の喪失。
• (3) マルウェア感染で個人情報漏えい → 他者に情報が漏れる＝機密性の喪失。

この組合せ「可用性／完全性／機密性」はaのみ。

各選択肢の解説

• b・c・d：(2)や(3)の対応がずれている。たとえば打ち間違い（正確さの問題）を機密性や可用性とするのは誤り。

覚え方・ひっかけ注意

「止まった→可用性」「間違い・改ざん→完全性」「漏れた・盗まれた→機密性」。動詞で機械的に判定するとミスしない。

理論的背景

情報セキュリティのCIA三要素（Confidentiality：機密性・Integrity：完全性・Availability：可用性）と各インシデントの対応関係は、ISO/IEC 27001・ITパスポートシラバスの中核概念である。本問の正解aの対応関係を理論的に整理する。

(1) DDoS攻撃によるWebサイトダウン＝「可用性」の侵害：DDoS（Distributed Denial of Service）攻撃は大量の不正トラフィックを標的サーバに送付して処理能力を枯渇させ、正規ユーザーがサービスを利用できない状態（サービス不能：Denial of Service）にする攻撃である。「情報が必要なときに使用できる状態を確保する」という可用性の定義に反する。

(2) キーボードの打ち間違いによる不正確なデータ入力＝「完全性」の侵害：完全性は「情報が正確で完全であり、不正に改ざんされていない状態を確保する」という定義であり、打ち間違いによって正確でないデータが入力された状態はたとえ意図的な攻撃でなくても完全性が損なわれた状態に相当する。

(3) PCのマルウェア感染による個人情報の漏洩＝「機密性」の侵害：機密性は「権限のない者に情報を開示しない状態を確保する」という定義であり、マルウェアが個人情報を外部に送信して第三者が閲覧できる状態になることは機密性の直接的な侵害である。

実務での使われ方

DDoS攻撃（(1)）への可用性保護対策として、クラウドCDN（Cloudflare・AWS Shield・Azure DDoS Protection）が大量トラフィックの吸収・分散に有効であり、レートリミット・IPブラックリスト・CAPTCHA・Anycastルーティングによるトラフィック分散が組み合わせて使われる。2023年のCloudflare報告によれば、観測された最大DDoS攻撃は毎秒7100万リクエストを超えており、防御側のインフラ設計では理論最大値の余裕を持ったキャパシティ確保が重要である。

データ完全性保護（(2)）の技術的手段として、①入力値検証（バリデーション）：型・範囲・書式・必須チェックを入力時に強制。②チェックサム・ハッシュ値：データの完全性をハッシュ値で検証（SHA-256でのファイルハッシュ照合等）。③デジタル署名：送信データが改ざんされていないことを暗号学的に保証。④データベーストランザクション（ACID特性）：一連の操作を完全に実行するか全くしないかで中間状態を防ぐ。これらが複合的に使われて完全性が維持される。

試験での位置づけ

ITパスポートの情報セキュリティ・CIA三要素分野は最頻出テーマの一つで、「インシデントの内容とCIA三要素のマッピング」は毎年複数問出題されている。本問のひっかけポイントとして「打ち間違い（故意でない）でも完全性の侵害になる」という点が重要で、「故意の改ざんのみが完全性侵害」という誤解を正すことが必要である。また「DDoSが機密性や完全性に影響する」という誤解（攻撃だからすべての要素に影響しそうという直感）も誤りであり、DDoSの主目的はサービス停止（可用性侵害）であることを明確に理解することが求められる。

情報セキュリティマネジメント試験（SG）・情報処理安全確保支援士（SC）ではCIAにAuthenticity（真正性）・Non-repudiation（否認防止）・Accountability（責任追跡性）・Reliability（信頼性）を加えた「CIAAN＋α」の拡張概念が問われる。さらにDDoS攻撃の種類（Volumetric・Protocol・Application layer）・軽減技術（Scrubbing Center・ブラックホールルーティング・SYN Cookie）・インシデントレスポンス（SOC対応・フォレンジック）の詳細まで試験範囲に含まれる。

選択肢の発展補足

選択肢bの「(1):可用性 (2):機密性 (3):完全性」は(2)と(3)を入れ替えた誤答であり、「打ち間違い→情報が外部に漏れる（機密性侵害）」という誤解から導かれる可能性がある。打ち間違いは「外部への漏洩」ではなく「データの正確性が失われる（完全性侵害）」であることを明確に区別することが必要である。

選択肢cの「(1):完全性 (2):可用性 (3):機密性」では(1)と(2)のCIA要素が逆転している。DDoS攻撃で「Webサイトの内容が改ざんされた」わけではないので完全性侵害ではなく、「Webサイトにアクセスできなくなった」という可用性侵害が正確な対応関係である。このように「サービスが停止する＝可用性」「データが不正確になる＝完全性」「情報が漏洩する＝機密性」という三つの判断軸を体系的に習得することが、CIA問題の完全攻略への道筋となる。