情報セキュリティ

基本情報技術者試験バックアップ」の問題

情報セキュリティ情報セキュリティ難易度:normal
S社は業務データのバックアップを外部記憶媒体に取得し、災害に備えて遠隔地の保管施設へ運搬・保管している。運搬中の媒体の紛失・盗難による情報漏えいに備える対策として、最も適切なものはどれか。
バックアップの取得間隔を日次から週次へ広げ、遠隔地へ運ぶ媒体の本数そのものを減らす。
運搬を担う担当者を固定したうえで、運搬経路を毎回変えて第三者に追跡されにくくする。
媒体へ書き込むデータをあらかじめ暗号化し、入手した者が内容を取り出せないようにする。
保管施設の入退室管理を厳しくし、到着後の媒体へ触れられる人員を限定する。
正解
媒体へ書き込むデータをあらかじめ暗号化し、入手した者が内容を取り出せないようにする。

リスクは『運搬中の媒体紛失・盗難による漏えい』である。媒体へ書き込むデータをあらかじめ暗号化しておけば、媒体が第三者の手に渡っても復号鍵がなければ内容を取り出せず、情報漏えいを実質的に防げる。媒体そのものを失う事態を想定した直接的な対策である。

?選択肢ごとの解説

ア ×取得頻度を減らしても運搬の機会はゼロにならず、運搬される媒体が漏えいする可能性は残るため対策にならない。
イ ×経路変更は盗難の確率をやや下げるかもしれないが、紛失や盗難が起きた場合に内容を保護できず、漏えいを防げない。
ウ ○リスクは『運搬中の媒体紛失・盗難による漏えい』である。媒体へ書き込むデータをあらかじめ暗号化しておけば、媒体が第三者の手に渡っても復号鍵がなければ内容を取り出せず、情報漏えいを実質的に防げる。媒体そのものを失う事態を想定した直接的な対策である。
エ ×保管施設の入退室管理は保管後の不正アクセス対策であり、運搬中の紛失・盗難という今回のリスクには対応しない。

くわしく

バックアップは可用性確保が主目的だが、媒体の持ち運びは機密性のリスクを伴う。媒体やデータを暗号化しておけば、紛失・盗難時にも情報漏えい(機密性侵害)を防げる。可用性対策(オフサイト保管)と機密性対策(暗号化)は両立させる必要がある。

本番での押さえどころ

試験のコツ

バックアップ媒体の運搬・持ち出しが論点なら、データの暗号化(紛失時も読めない)が正解。保管後対策とは別。

覚え方

運ぶ荷物は『落としても読まれない』ように暗号化。倉庫の鍵(入退室管理)とは別の備え。

よくある誤り

バックアップ=可用性の話と捉え、運搬中の機密性リスク(紛失・盗難)への暗号化という観点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0043

【基本情報技術者試験】バックアップの問題 — 解答・解説|ukamiru 過去問