セキュリティ対策の有効性を問う問題なのですが、解答と解説に納得のいかない部分があるので質問させてください。。

セキュリティ事故C
顧客情報管理システムのDBへのログインIDとパスワードが盗まれ、APを利用せずに、"顧客基本"テーブルに対するSELECT文が不正に実行された。

この事故に対する個人情報の暗号化の有効性は「△:有効でない場合がある」となっています。
有効でない場合は「複合キーが漏洩した場合」で、複合関数の実行により個人情報が盗まれてしまう可能性があるため、となっています。

一方、セキュリティ事故B「バックアップメディアの盗難」に対する有効性は「○:有効である」となっています。
複合キーの漏洩のような追加インシデントまで考慮するのであれば、この場合の有効性は△だと思うのですが、何故○なのでしょうか？

おそらく、Cは復号関数を用いることができるケースは、利用している暗号化アルゴリズムとかが特定できている扱いで△にして、Bは暗号化アルゴリズムとかRDBMS、復号用の鍵とかが不明瞭な体でバックアップだけあってもムダだろ？という扱いなんだと思いますが、

昔もなんか思ったんですが、だったらブルートフォースでパターンを掴んで（大したパターンでもあるまい たとえば、Oracleであればパターンはたかが知れている）復号用の鍵を洗い出せば△にはなるんじゃないのかとは確かに思います。どの程度が条件付きOKなのかは、踏み込んで考えるとたしかに謎ですね。

> GinSana さん

回答ありがとうございます。

やはりある程度出題の意図を汲め、ということでしょうかね。
「いやいや、確かにCは相対的に安全ではあるけど絶対じゃねぇだろ」という不満は残ってしまいますが。