戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2016年 秋期 96


問題文

情報セキュリティにおけるリスクマネジメントに関して、次の記述中のa~cに入れる字句の適切な組合せはどれか。
情報セキュリティにおいて、組織がもつ情報資産の[ a ]を突く[ b ]によって、組織が損害を被る可能性のことを[ c ]という。
ITパスポート 2016年 秋期  問96の選択肢の画像

選択肢

(正解)

🔒 解説は解答すると表示されます

情報セキュリティのリスクマネジメント(a~cの語句)【ITパスポート 解説】

正解の理由

問題文「組織がもつ情報資産の[ a ]を突く[ b ]によって、組織が損害を被る可能性のことを[ c ]という。」に当てはまる語は、脆弱性(ぜいじゃくせい)、脅威(きょうい)、リスクの順になります。よって正しい組合せは です。
用語をやさしく整理します。
  • 脆弱性(vulnerability:弱点や欠陥)… 情報資産(information asset:会社のデータやシステムなど)に存在する「攻撃されやすい部分」です。例:古いソフトの未修正の穴、設定ミス、パスワードの弱さ。
  • 脅威(threat:危険をもたらす存在・出来事)… その脆弱性を突く「原因」や「行為」です。例:不正アクセスを行う攻撃者、マルウェア(悪意あるソフト)。
  • リスク(risk:損失が発生する可能性)… 脆弱性を脅威が突いた結果として「損害が発生する可能性」のこと。言い換えると「損害の起こりやすさとその大きさの組合せ」です。
文を当てはめると自然に意味が通ります: 「組織がもつ情報資産の(脆弱性)を突く(脅威)によって、組織が損害を被る可能性のことを(リスク)という。」

解法ステップ

  1. まず各単語の意味を短く確認する(脆弱性=弱点、脅威=攻撃する側や出来事、リスク=損害の可能性)。
  2. 文中の語順や文法で「〜を突く〜によって」が成立する組合せを考える(誰が何を突くのか)。
  3. 「〜を突く」の目的語は攻撃される対象(=脆弱性)で、主語側は攻撃する存在(=脅威)であると仮定する。
  4. 末尾の定義は「損害を被る可能性」なのでリスクに該当する。
  5. 以上から a=脆弱性、b=脅威、c=リスク、すなわち選択肢は
短いチェックポイント:脆弱性は「突かれる」側、脅威は「突く」側、リスクは「突かれた結果の可能性」です。

選択肢別の誤答解説

表の各行(ア〜エ)ごとに何が問題かを説明します。
  • ア(a=脅威、b=リスク、c=脆弱性)
    誤り:文の「〜を突く〜」の形にすると「情報資産の脅威を突くリスクによって…」となり意味が逆転します。脅威は突く側なので「突かれる」対象にはなりません。また最後が「脆弱性」は「損害の可能性」ではありません。
  • (a=脆弱性、b=脅威、c=リスク)
    正解:脆弱性(突かれる側)、脅威(突く側)、リスク(損害の可能性)で文意に合います。
  • ウ(a=リスク、b=脅威、c=脆弱性)
    誤り:aにリスクを入れると「情報資産のリスクを突く脅威」になり不自然です。リスクは既に「損害の可能性」であって、突かれる対象ではありません。cが脆弱性になっている点も定義と合いません。
  • エ(a=リスク、b=脆弱性、c=脅威)
    誤り:同様に語の役割が入れ替わっており文意が成立しません。脆弱性は「突かれる側」であって「突く側」ではないため、bに脆弱性を置くのは不適切です。また「脅威」を最後に置いて「損害の可能性」とするのは語義が合いません。

よくある誤解

  1. 脅威と脆弱性を取り違える
    • 脅威は「攻撃するもの・出来事」、脆弱性は「攻撃されやすい弱点」です。攻撃者(脅威)が脆弱性を悪用します。日常ではごちゃ混ぜになりやすいので「攻める側/守られる側」で分けて覚えるとよいです。
  2. リスク=脅威だと思い込む
    • 脅威が存在しても、脆弱性がなければ実害になる可能性(リスク)は低いです。リスクは「脅威+脆弱性+影響(損害)」で決まります。
  3. 脆弱性=情報資産そのものだと考える
    • 脆弱性は情報資産の「一部(弱点)」です。情報資産(例:顧客データ)は守る対象、脆弱性はその守りの穴です。

補足コラム

  • リスクの定量的な見方:よく使われる考え方に「リスク = 発生確率 × 影響度」があります。式で表すと です。ゼロに近い確率か影響が小さければリスクは小さくなります。
  • リスク対応の基本4パターン:回避(リスク源をなくす)、低減(被害や確率を下げる)、移転(保険などで負担を移す)、受容(対策せず許容する)。
  • 実務例(簡単なイメージ)
    • 状況:社内サーバのソフトに未修正の脆弱性がある(脆弱性)。
    • 脅威:外部の攻撃者がその脆弱性を利用する方法を見つける(脅威)。
    • リスク:攻撃者が侵入して顧客データが漏える可能性(リスク)。
    • 対策:ソフトを更新する(脆弱性低減)、外部からのアクセス制限を強化する(低減)など。

FAQ

Q1. 脆弱性とインシデント(incident:事象)はどう違いますか?
A1. 脆弱性は潜在的な弱点(まだ悪用されていない状態)です。インシデントは実際に問題が発生した出来事(例:不正アクセスが起きた)です。脆弱性が存在し、脅威により悪用されるとインシデントになります。
Q2. 脆弱性の例を具体的に教えてください。
A2. パスワードが簡単すぎる、ソフトのセキュリティパッチが未適用、不要なサービスが公開されている、アクセス権の設定ミスなどが典型的です。
Q3. リスクを減らす最初の一歩は何ですか?
A3. 資産の棚卸(何が重要かを把握)→ 脆弱性と脅威の把握(リスクアセスメント)→ 優先度の高いところから対策(パッチ適用、設定見直し、監視の強化)です。

関連キーワード: 情報セキュリティ、リスクマネジメント、脆弱性管理、脅威分析、リスクアセスメント、リスク対応、セキュリティ対策
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について