ITパスポート 2009年 秋期 問45
問題文
情報システムの安定稼働を妨げる様々な脅威への事前対策に関する説明のうち、適切なものはどれか。
選択肢
ア:外部からの不正侵入が完全に阻止できれば、不正アクセスへの事前対策としては問題ない。
イ:自然災害に対しては予測が困難なので、人的災害に絞って事前対策を講じる。
ウ:すべてのデータをバックアップしておけば、ほかの事前対策は不要となる。
エ:予想損失額や対策コストとのトレードオフを考慮して、必要な事前対策を講じる。(正解)
🔒 解説は解答すると表示されます
情報システムの安定稼働を妨げる脅威への事前対策に関する説明【ITパスポート 解説】
正解の理由
理由は、情報システムへの対策は「どれだけの損失が起きうるか」と「その対策にいくらかけるか」を比べて決めるのが合理的だからです。これを「リスク(危険)の大きさ」と「対策コスト(費用)」のトレードオフ(両立できない要素を比較して最適化する考え方)で判断します。すべてを完全に防ぐことは現実的でなく、コストと効果のバランスを取ることが重要です。
(用語)リスクマネジメント:リスク(被害や損失の可能性)を見積もり、優先順位を付けて対策を行う管理のこと。
解法ステップ
- 問題文で「事前対策に関する説明」を求めている点を確認する。
- 各選択肢が「現実的か」「合理的か」「網羅的か」を基準に評価する。
- 情報セキュリティや災害対策は完全無欠にできないため、コストと効果の観点(トレードオフ)で判断する説明が適切と判断する。
短く言うと:「現実的で実用的な判断方法」を示している選択肢を選ぶ、という流れです。
選択肢別の誤答解説
ア: 外部からの不正侵入が完全に阻止できれば、不正アクセスへの事前対策としては問題ない。
- なぜ誤りか:外部からの不正侵入(外部からの不正アクセス)を完全に阻止するのはほぼ不可能です。内部の人(従業員や委託先)による不正や設定ミス、ソフトウェアの脆弱性、物理的な盗難など、対策すべき脅威は多様です。したがって「外部のみ完全に防げば良い」は不十分です。
イ: 自然災害に対しては予測が困難なので、人的災害に絞って事前対策を講じる。
- なぜ誤りか:自然災害(地震・台風・洪水など)も発生確率や被害想定を行って対策(データセンターの分散、耐震対策、代替拠点の準備など)できます。予測困難だからと無視するのは危険です。人的災害(人為的ミスや不正)だけに絞るのは偏った対策になります。
ウ: すべてのデータをバックアップしておけば、ほかの事前対策は不要となる。
- なぜ誤りか:バックアップ(データの複製を別の場所に保存しておくこと)は重要ですが、盗難や不正利用、システム長期停止、機密情報の漏えいなどはバックアップだけでは防げません。復旧手順やアクセス制御、暗号化、予防的なセキュリティ対策も必要です。
エ: 予想損失額や対策コストとのトレードオフを考慮して、必要な事前対策を講じる。
- なぜ正しいか:損失の大きさ(例:データ損失で失う売上や再構築費用)と対策にかかる費用を比較して、優先順位を付けるのが合理的です。これにより限られた資源を最も効果的に使えます。
よくある誤解
-
「完全に防げる対策があるはずだ」という思い込み
- 現実にはコストや技術的制約で100%防御は困難です。重要なのはリスクの低減と影響の最小化です。
-
「バックアップさえあれば安心」
- バックアップはリカバリ(復旧)の一部です。バックアップの保管場所や暗号化、復元手順の確認が伴わないと意味が薄くなります。
-
「発生確率が低いものは対策不要」
- 発生確率が低くても影響が甚大(例えば重要システムの長期停止)なら、対策が必要です。確率だけで判断せず、影響の大きさも見ること。
補足コラム
・予想損失額の簡単な見積もり方法(期待値)
- 単一事象の損失額をSLE(Single Loss Expectancy:1回の損失額)とし、年に何回起きるかの確率をARO(Annual Rate of Occurrence:年間発生率)とすると、年単位の予想損失額 ALE(Annualized Loss Expectancy:年平均損失額)は次の式で表せます。 例:1回の平均損失が100万円、年に0.2回(5年に1回)であれば 円。対策費が50万円かかるなら、単年ベースでは回収しにくいが、非金銭的な影響(信用失墜等)も考慮すべきです。
・BCP(Business Continuity Plan:事業継続計画)について
- 事業を止めないための計画です。事前対策(予防)だけでなく、被害後の復旧手順や代替手段も含みます。リスク評価と対応計画の両方が重要です。
FAQ
Q1: 予想損失額が小さければ対策は不要ですか?
A1: 金銭的損失だけでなく、信用失墜や法的責任など非金銭的影響も考慮してください。小さく見えても長期的には大きなダメージになることがあります。
A1: 金銭的損失だけでなく、信用失墜や法的責任など非金銭的影響も考慮してください。小さく見えても長期的には大きなダメージになることがあります。
Q2: 小さな組織でもリスク評価は必要ですか?
A2: 必要です。規模に応じた簡易な評価でも、重要な資産や業務への影響を把握することは有益です。
A2: 必要です。規模に応じた簡易な評価でも、重要な資産や業務への影響を把握することは有益です。
Q3: トレードオフの判断は誰がするべき?
A3: 経営層と情報システム担当(または外部の専門家)が協力して行うのが一般的です。費用対効果だけでなく、事業目標や法的要件も踏まえます。
A3: 経営層と情報システム担当(または外部の専門家)が協力して行うのが一般的です。費用対効果だけでなく、事業目標や法的要件も踏まえます。
関連キーワード: リスクマネジメント、トレードオフ、バックアップ、災害対策、BCP、予想損失額、SLE、ARO、ALE、セキュリティ対策、事前対策、復旧計画

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

