基本情報技術者試験「バックアップ」の問題
S社は業務データのバックアップを外部記憶媒体に取得し、災害に備えて遠隔地の保管施設へ運搬・保管している。運搬中の媒体の紛失・盗難による情報漏えいに備える対策として、最も適切なものはどれか。
アバックアップの取得間隔を日次から週次へ広げ、遠隔地へ運ぶ媒体の本数そのものを減らす。
イ運搬を担う担当者を固定したうえで、運搬経路を毎回変えて第三者に追跡されにくくする。
ウ媒体へ書き込むデータをあらかじめ暗号化し、入手した者が内容を取り出せないようにする。
エ保管施設の入退室管理を厳しくし、到着後の媒体へ触れられる人員を限定する。
正解
ウ.媒体へ書き込むデータをあらかじめ暗号化し、入手した者が内容を取り出せないようにする。
リスクは『運搬中の媒体紛失・盗難による漏えい』である。媒体へ書き込むデータをあらかじめ暗号化しておけば、媒体が第三者の手に渡っても復号鍵がなければ内容を取り出せず、情報漏えいを実質的に防げる。媒体そのものを失う事態を想定した直接的な対策である。
?選択肢ごとの解説
ア ×取得頻度を減らしても運搬の機会はゼロにならず、運搬される媒体が漏えいする可能性は残るため対策にならない。
イ ×経路変更は盗難の確率をやや下げるかもしれないが、紛失や盗難が起きた場合に内容を保護できず、漏えいを防げない。
ウ ○リスクは『運搬中の媒体紛失・盗難による漏えい』である。媒体へ書き込むデータをあらかじめ暗号化しておけば、媒体が第三者の手に渡っても復号鍵がなければ内容を取り出せず、情報漏えいを実質的に防げる。媒体そのものを失う事態を想定した直接的な対策である。
エ ×保管施設の入退室管理は保管後の不正アクセス対策であり、運搬中の紛失・盗難という今回のリスクには対応しない。
✎くわしく
バックアップは可用性確保が主目的だが、媒体の持ち運びは機密性のリスクを伴う。媒体やデータを暗号化しておけば、紛失・盗難時にも情報漏えい(機密性侵害)を防げる。可用性対策(オフサイト保管)と機密性対策(暗号化)は両立させる必要がある。
✓本番での押さえどころ
試験のコツ
バックアップ媒体の運搬・持ち出しが論点なら、データの暗号化(紛失時も読めない)が正解。保管後対策とは別。
覚え方
運ぶ荷物は『落としても読まれない』ように暗号化。倉庫の鍵(入退室管理)とは別の備え。
よくある誤り
バックアップ=可用性の話と捉え、運搬中の機密性リスク(紛失・盗難)への暗号化という観点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0043