問題
問83
あるデータが、ハッシュ関数によって生成されたハッシュ値と一致するかどうかを定期的に確認することで、データの改ざんを検知するセキュリティ対策はどれか。
- ファイルの完全性チェック
- アクセス制御
- 暗号化
- ファイアウォール
正解
正解は「ア」です。
解説
正解は「ア」のファイルの完全性チェックです。ハッシュ関数は、任意の長さのデータから固定長の短い文字列(ハッシュ値またはダイジェスト値)を生成する関数で、元のデータが1ビットでも異なれば、生成されるハッシュ値は全く異なるものになるという特徴があります。この性質を利用したのがファイルの完全性チェックです。まず、改ざんされていない正常な状態のファイルのハッシュ値を計算し、安全な場所に保管しておきます。その後、定期的に現在のファイルのハッシュ値を再計算し、保管しておいた元のハッシュ値と比較します。もし両者が一致すれば、ファイルは改ざんされていません(完全性が保たれている)。もし一致しなければ、ファイルが何者かによって改ざんされたか、破損したことを検知できます。
これは、文書の「指紋」を取っておき、後で本物かどうかを指紋照合で確認するのに似ています。これにより、情報セキュリティの3要素のうち「完全性」を確保することができます。
イ(アクセス制御):
利用者やプログラムの権限に応じて、情報資産へのアクセスを制限することです。改ざんの「予防」にはなりますが、改ざんを「検知」する仕組みではありません。
ウ(暗号化):
データを読めない形式に変換することで、情報の「機密性」を保護する技術です。改ざん検知が主目的ではありません。
エ(ファイアウォール):
ネットワーク間の通信を制御し、不正なアクセスを防ぐセキュリティ機器です。データの改ざんを直接検知するものではありません。
解法のポイント
この問題は、ハッシュ関数の主要な用途を理解しているかを問うています。「ハッシュ値」というキーワードが出てきたら、「改ざん検知」や「完全性の確保」と結びつけて考えることが重要です。ハッシュ関数は元に戻せない(不可逆)という特性から、暗号化(可逆)とは目的が異なります。それぞれのセキュリティ技術が、情報セキュリティの3要素(機密性、完全性、可用性)のどれを主に保護するものなのかを関連付けて覚えると、理解が深まります。
用語補足
完全性チェック:
データが正しい状態に保たれているか(改ざんされていないか)を確認することです。封筒の封印が破られていないかを確認する作業に似ています。
ハッシュ関数:
データから、そのデータを象徴する短い文字列(ハッシュ値)を作り出す関数です。文書から指紋(フィンガープリント)を取るようなもので、元に戻すことはできません。
アクセス制御:
誰が、何に、どのような操作(読み取り、書き込みなど)をできるかを制限することです。施設の入退室管理で、役職によって入れる部屋を制限するようなものです。
暗号化:
データを鍵のかかった箱に入れるように、特定の人しか読めない状態にすることです。正しい鍵がなければ中身を見ることはできません。
