応用情報技術者 2010年 春期 午前2 問41
問題文
JIS Q 27002 における情報資産に対する脅威の説明はどれか。
選択肢
ア:情報資産に害をもたらすおそれのある事象の原因(正解)
イ:情報資産に内在して、リスクを顕在化させる弱点
ウ:リスク対策に費用をかけないでリスクを許容する選択
エ:リスク対策を適用しても解消しきれずに残存するリスク
JIS Q 27002 における情報資産に対する脅威の説明【午前2 解説】
要点まとめ
- 結論:脅威とは「情報資産に害をもたらすおそれのある事象の原因」であり、選択肢アが正解です。
- 根拠:JIS Q 27002は情報セキュリティ管理の国際規格で、脅威はリスクの発生源として定義されています。
- 差がつくポイント:脅威と脆弱性(弱点)やリスク許容、残存リスクの違いを正確に理解することが重要です。
正解の理由
選択肢アは「情報資産に害をもたらすおそれのある事象の原因」とあり、JIS Q 27002での脅威の定義に合致します。脅威はリスクの発生源であり、攻撃者や自然災害などが該当します。
一方、イは脆弱性(弱点)、ウはリスク許容、エは残存リスクの説明であり、脅威の説明としては誤りです。
一方、イは脆弱性(弱点)、ウはリスク許容、エは残存リスクの説明であり、脅威の説明としては誤りです。
よくある誤解
脅威と脆弱性を混同しやすいですが、脅威は「害をもたらす可能性のある原因」、脆弱性は「その原因に対して弱い部分」です。
また、リスク許容や残存リスクはリスク管理の結果であり、脅威そのものではありません。
また、リスク許容や残存リスクはリスク管理の結果であり、脅威そのものではありません。
解法ステップ
- 問題文の「脅威」の定義をJIS Q 27002の用語で確認する。
- 選択肢の説明を「脅威」「脆弱性」「リスク許容」「残存リスク」と照合する。
- 脅威の定義に合致する選択肢を選ぶ。
- 他の選択肢が何を指しているかを理解し、誤りを確認する。
選択肢別の誤答解説
- ア: 情報資産に害をもたらすおそれのある事象の原因 → 正解。脅威の定義に合致。
- イ: 情報資産に内在して、リスクを顕在化させる弱点 → 脆弱性の説明であり、脅威ではない。
- ウ: リスク対策に費用をかけないでリスクを許容する選択 → リスク許容の説明で脅威とは無関係。
- エ: リスク対策を適用しても解消しきれずに残存するリスク → 残存リスクの説明で脅威ではない。
補足コラム
JIS Q 27002は情報セキュリティ管理の国際規格ISO/IEC 27002の日本版であり、情報資産の保護に関する管理策を体系的に示しています。
脅威、脆弱性、リスク、リスク許容、残存リスクはリスクマネジメントの基本用語であり、正確な理解がセキュリティ対策の基盤となります。
脅威、脆弱性、リスク、リスク許容、残存リスクはリスクマネジメントの基本用語であり、正確な理解がセキュリティ対策の基盤となります。
FAQ
Q: 脅威と脆弱性はどう違いますか?
A: 脅威は害をもたらす可能性のある原因、脆弱性はその脅威に対して弱い部分や欠陥を指します。
A: 脅威は害をもたらす可能性のある原因、脆弱性はその脅威に対して弱い部分や欠陥を指します。
Q: リスク許容とは何ですか?
A: リスク許容は、リスク対策を行わずに一定のリスクを受け入れることを意味します。
A: リスク許容は、リスク対策を行わずに一定のリスクを受け入れることを意味します。
Q: 残存リスクとは何ですか?
A: 残存リスクは、リスク対策を実施しても完全に除去できずに残るリスクのことです。
A: 残存リスクは、リスク対策を実施しても完全に除去できずに残るリスクのことです。
関連キーワード: JIS Q 27002, 脅威、脆弱性、リスク管理、情報セキュリティ
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!