ITパスポート 2018年 秋期 問67
問題文
情報資産に対するリスクは、脅威と脆弱性を基に評価する。脅威に該当するものはどれか。
選択肢
ア:暗号化しない通信
イ:機密文書の取扱方法の不統一
ウ:施錠できないドア
エ:落雷などによる予期しない停電(正解)
🔒 解説は解答すると表示されます
情報資産に対するリスクは、脅威と脆弱性を基に評価する。脅威に該当するものはどれか。【ITパスポート 解説】
正解の理由
正解は エ の「落雷などによる予期しない停電」です。
理由は「脅威(Threat)」が情報資産に損害を与える可能性のある外的な出来事や原因を指すためです。落雷やそれに伴う停電は、自然現象という外部の出来事であり、情報システムに障害やデータ損失を引き起こす原因になります。したがって脅威に該当します。
理由は「脅威(Threat)」が情報資産に損害を与える可能性のある外的な出来事や原因を指すためです。落雷やそれに伴う停電は、自然現象という外部の出来事であり、情報システムに障害やデータ損失を引き起こす原因になります。したがって脅威に該当します。
一方、ア〜ウは「脆弱性(Vulnerability)」、つまり攻撃や事故に対して弱点となる状態・仕組みです。脆弱性はそれ自体で被害を直接起こすものではなく、脅威(例:攻撃者や自然災害)が存在したときに被害が発生しやすくするものです。
解法ステップ
- 用語を整理する
- 脅威(Threat): 情報資産に損害を与える可能性のある出来事や原因(例:自然災害、犯罪、人的ミス)。
- 脆弱性(Vulnerability): その出来事により被害が生じやすくする弱点や不備(例:鍵がない、手順が不備)。
- 選択肢に対して「それ自体が出来事・原因か」「それは弱点・不備か」を判定する。
- 出来事や原因であれば「脅威」。
- 仕組みや状態(弱点)であれば「脆弱性」。
- 各選択肢を当てはめる
- 落雷=外的な出来事 → 脅威(正解)。
- 暗号化しない通信・取扱不統一・施錠できないドア=守りの欠如や運用の問題 → 脆弱性(不正解)。
この流れを頭に入れておくと、問題を速く正確に判断できます。
選択肢別の誤答解説
-
ア: 暗号化しない通信
→ これは「脆弱性」です。暗号化(データを読み取れない形にする仕組み)をしていないため、通信が盗聴された場合に情報が漏えいしやすくなります。暗号化しないという状態は弱点です。 -
イ: 機密文書の取扱方法の不統一
→ これも「脆弱性」です。ルールや手順が整っていないと、誤って重要情報が外部に出たり、紛失したりするリスクが高まります。運用上の不備は弱点です。 -
ウ: 施錠できないドア
→ これも「脆弱性」です。物理的に建物や部屋を保護できない状態は、侵入や盗難のリスクを高める弱点です。 -
エ: 落雷などによる予期しない停電
→ 自然現象という「出来事・原因」そのものです。これが発生するとシステム停止やデータ損失などの影響が生じるため、脅威に該当します。
よくある誤解
-
「脅威=人が攻撃するもの」と考える誤解
→ 脅威には自然災害(地震・落雷)、人的ミス、内部・外部の攻撃などが含まれます。人だけが脅威ではありません。 -
「弱点(脆弱性)=被害そのもの」と混同する誤解
→ 脆弱性は被害を招く可能性を高める状態です。脅威がなければ脆弱性があっても直ちに被害が発生するとは限りません(ただし放置は危険です)。 -
「対策(例えば鍵をかける)は脅威」と取り違える誤解
→ 対策は脆弱性を低減する手段であり、脅威ではありません。
補足コラム
リスク評価の簡単な式としては概念的に次のように表せます。
(これは数式というより関係性を示すイメージです。脅威があり、脆弱性が高く、影響が大きいほどリスクは大きくなります。)
(これは数式というより関係性を示すイメージです。脅威があり、脆弱性が高く、影響が大きいほどリスクは大きくなります。)
具体的な対策例(落雷・停電に対して)
- UPS(無停電電源装置: Uninterruptible Power Supply)を導入して短時間の停電で安全にシャットダウンする。
- サージプロテクタ(雷などの過電圧を抑える装置)で機器の損傷を防ぐ。
- データの定期バックアップとオフサイト保管(別場所保存)。
- BCP(事業継続計画: Business Continuity Plan)を作り、停電時の業務継続手順を用意する。
用語メモ:
- UPS(無停電電源装置): 停電時に一時的に電力を供給して機器を保護する装置。
- BCP(事業継続計画): 災害や障害発生時に事業を続けるための計画。
FAQ
Q1. 「人的ミス」は脅威ですか、脆弱性ですか?
A1. 人的ミス自体は「脅威」に分類されます(実際に被害をもたらす出来事)。ただし、ミスが発生しやすい仕組み(教育不足や手順の欠如)は「脆弱性」です。
A1. 人的ミス自体は「脅威」に分類されます(実際に被害をもたらす出来事)。ただし、ミスが発生しやすい仕組み(教育不足や手順の欠如)は「脆弱性」です。
Q2. 「ウイルスに感染すること」は脅威ですか?
A2. はい。ウイルス感染は脅威(悪影響を与える出来事)です。一方、脆弱性としては「未更新のOS」や「適切なウイルス対策がない状態」などがあります。
A2. はい。ウイルス感染は脅威(悪影響を与える出来事)です。一方、脆弱性としては「未更新のOS」や「適切なウイルス対策がない状態」などがあります。
Q3. 脅威と脆弱性どちらを先に対処すべきですか?
A3. 実務では「脆弱性を低減」することで脅威の影響を防ぐことが現実的です。脅威そのもの(例:地震)を防ぐのは難しいため、備え(対策)を重視します。
A3. 実務では「脆弱性を低減」することで脅威の影響を防ぐことが現実的です。脅威そのもの(例:地震)を防ぐのは難しいため、備え(対策)を重視します。
関連キーワード: リスク評価、脅威分類、脆弱性対策、物理的セキュリティ、事業継続

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

