令和5年度問95テクノロジ系

ITパスポート令和5年度問95：securityに関する問題

情報セキュリティにおける機密性，完全性及び可用性に関する記述のうち，完全性が確保されなかった例だけを全て挙げたものはどれか。a オペレーターが誤ったデータを入力し，顧客名簿に矛盾が生じた。b ショッピングサイトがシステム障害で一時的に利用できなかった。c データベースで管理していた顧客の個人情報が漏えいした。

aa正答
ba, b
cb
dc

正答：Aa

AI解説（初心者・標準・上級）

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは a「aだけ」 です。

完全性とは「データが正しく、矛盾なく保たれていること」。aは入力ミスで名簿の中身が矛盾してしまった＝正しさが崩れたので、完全性が損なわれた例です。

👉 覚え方：完全性＝「内容が“正しく・矛盾なし”」。中身がおかしくなったら完全性アウト。

ほかの記述：b サイトが一時的に使えない＝「使いたいときに使える」が崩れた（可用性）／c 個人情報が漏れた＝「秘密が守られる」が崩れた（機密性）。完全性に当てはまるのはaだけなので、答えはa。

標準試験対策の基準レベル

なぜこれが正解か

正解は a（aだけ）。情報セキュリティの3要素のうち完全性（Integrity）は、情報が正確かつ完全で、改ざん・破壊・矛盾がない状態を指す。記述aは誤入力で顧客名簿に矛盾が生じた＝データの正確性が損なわれた例で、完全性の侵害に当たる。

各選択肢（記述）の解説

a：誤データ入力による名簿の矛盾＝完全性の侵害（これが該当）。
b：システム障害でサイトが一時利用不可＝可用性（Availability）の侵害。
c：個人情報の漏えい＝機密性（Confidentiality）の侵害。

よって完全性のみは「a」だけ。

覚え方・ひっかけ注意

機密性＝漏らさない／完全性＝正しく保つ（改ざん・矛盾なし）／可用性＝使えるようにする（CIA）。「矛盾・改ざん・誤り」は完全性、「漏えい」は機密性、「使えない・停止」は可用性、と被害の言葉で振り分ける。

上級誤答論破・背景理論まで深掘り

理論的背景

情報セキュリティのCIA（機密性・完全性・可用性）の3要素はISO/IEC 27000で定義され、現代のセキュリティマネジメントの基本枠組みをなす。完全性（Integrity）は「情報が正確かつ完全であり、改ざん・破壊・消去されていない状態を維持すること」と定義される。本問の記述aは「誤入力による顧客名簿の矛盾」であり、悪意なき人的エラー（ヒューマンエラー）によるデータ品質の低下も完全性の侵害に含まれる点が重要である。完全性の脅威はマルウェアによる改ざん・不正アクセスによる書き換えといった故意のものと、操作ミス・バグ・ハードウェア障害による意図せぬデータ破損という過失のものに分類できる。記述bのシステム障害によるサービス停止は可用性（Availability：必要なときに情報・サービスにアクセスできること）の侵害であり、記述cの個人情報漏えいは機密性（Confidentiality：許可された人だけが情報にアクセスできること）の侵害である。このCIAの三分類は「事例の被害の性質」を問う問題において、「矛盾・破損・改ざん→完全性」「漏えい・盗取→機密性」「停止・利用不能→可用性」という対応付けで正確に識別することが求められる。

実務での使われ方

完全性の確保策は技術的手段・運用的手段に分類される。技術的手段として、ハッシュ関数（SHA-256等）によるデータの指紋（チェックサム）生成と比較（改ざん検知）、デジタル署名による署名者確認と完全性証明、データベース制約（主キー・外部キー・NOT NULL・ユニーク制約）によるデータ論理整合性の強制、RAID・バックアップによるデータ損失への備え、バージョン管理システム（Gitの変更履歴）が代表的な実装である。運用的手段としては、入力値の二重確認（ダブルチェック・四眼原則）、変更管理プロセス（ChangeControl）、電子的ジャーナル（監査ログ）による変更追跡、アクセス制御による不正変更の防止が挙げられる。なおCI（機密性）を守る手段（暗号化等）と完全性を守る手段（ハッシュ・署名等）は異なるため、要件に応じて適切な手段を選択する設計判断が実務で求められる。

試験での位置づけ

CIAの3要素への事例の分類はITパスポートの超頻出問題であり、「機密性＝漏らさない・完全性＝正しく保つ・可用性＝使えるようにする」という3つの概念と、それぞれの侵害事例（漏えい・改ざん・停止）の対応関係を正確に記憶することが必要である。本問のように「3記述のうち特定の概念に当てはまるものを全て選ぶ」形式は、3要素を混同させる引っかけが巧妙に配置されている。近年は「真正性（Authenticity）・責任追跡性（Accountability）・否認防止（Non-repudiation）・信頼性（Reliability）」を含めた7要素への拡張や、内部不正（悪意ある内部者による意図的な完全性侵害）の文脈での出題が増加している。情報セキュリティマネジメント試験（SG）ではCIA侵害事例の詳細分析・対策立案が問われ、完全性保護のための技術的管理策の選定基準まで踏み込んで問われる。

選択肢の発展補足

記述bの可用性侵害（システム障害によるサービス停止）は、情報セキュリティの攻撃では「DoS/DDoS攻撃（サービス妨害攻撃）」「ランサムウェアによるシステム停止」が典型例であり、事業継続計画（BCP）・ディザスタリカバリ（DR）・フォールトトレラントシステムが主要な対策となる。RTO（目標復旧時間）・RPO（目標復旧時点）という指標が可用性管理の定量化に使われ、基本情報技術者レベルで問われる。記述cの機密性侵害（個人情報漏えい）は個人情報保護法（第26条）に基づく報告・通知義務（1,000件以上・要配慮個人情報等の漏えいは個人情報保護委員会への報告と本人への通知が必要）という法的対応まで含む複合的な問題に発展している。また「ダークウェブ上での個人情報売買」という新形態の機密性侵害が近年の試験トピックとして加わっており、情報漏えい後の二次被害（なりすまし・フィッシング誘導）まで含めた被害の全体像を理解しておくことが推奨される。

出典・引用について

出典：IPA（情報処理推進機構）公式 ITパスポート試験令和5年度問95／公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。