ホーム > 情報処理安全確保支援士試験 > 2010年 秋期
情報処理安全確保支援士試験 2010年 秋期 午前2 問05
JIS Q 27001:2006 における情報システムのリスクとその評価に関する記述のうち、適切なものはどれか。
ア:脅威とは、脆弱性が顕在化する確率のことであり、情報システムに組み込まれた技術的管理策によって決まる。
イ:脆弱性とは、情報システムに対して悪い影響を与える要因のことであり、自然災害、システム障害、人為的過失及び不正行為に大別される。
ウ:リスクの特定では、脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する。(正解)
エ:リスク評価では、リスク回避とリスク低減の二つに評価を分類し、リスクの大きさを判断して対策を決める。
解説
JIS Q 27001:2006 における情報システムのリスクとその評価【午前2 解説】
要点まとめ
- 結論:リスクの特定は脅威が脆弱性を突いて情報資産に影響を与える過程を明確にすることです。
- 根拠:JIS Q 27001:2006ではリスクを「脅威が脆弱性を利用して損害をもたらす可能性」と定義し、リスク特定はこの関係を把握する段階です。
- 差がつくポイント:脅威と脆弱性の定義を正確に理解し、リスク評価の段階での分類や対策決定との違いを押さえることが重要です。
正解の理由
選択肢ウは「リスクの特定では、脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する」と述べています。これはJIS Q 27001:2006のリスクマネジメントプロセスにおけるリスク特定の正しい説明です。リスク特定は、脅威(リスクをもたらす要因)が脆弱性(弱点)を利用して情報資産にどのような影響を与えるかを明らかにする段階であり、リスク評価や対策決定とは異なります。
よくある誤解
脅威と脆弱性の意味を混同しやすく、脅威を確率や管理策で決まるものと誤解するケースが多いです。また、リスク評価をリスク特定と混同し、評価段階で対策分類を行うと誤解されがちです。
解法ステップ
- 脅威と脆弱性の定義を確認する。
- リスク特定の役割を理解し、脅威が脆弱性を利用する関係を把握する。
- リスク評価との違いを明確にし、評価はリスクの大きさを判断する段階であることを認識する。
- 各選択肢の記述が定義やプロセスに合致しているかを検証する。
- 正しい記述(ウ)を選択する。
選択肢別の誤答解説
- ア:脅威は「脆弱性が顕在化する確率」ではなく、リスクをもたらす潜在的な要因です。技術的管理策は脆弱性の低減に関わりますが、脅威の確率を決めるものではありません。
- イ:脆弱性は「悪い影響を与える要因」ではなく、脅威が付け込む情報システムの弱点です。自然災害や人為的過失は脅威の例であり、脆弱性とは異なります。
- ウ:リスクの特定における脅威と脆弱性の関係を正しく説明しており、JIS Q 27001:2006の定義に合致します。
- エ:リスク評価はリスクの大きさを判断する段階ですが、「リスク回避とリスク低減の二つに評価を分類する」という表現は誤りで、リスク対応策の分類に関する説明と混同しています。
補足コラム
JIS Q 27001:2006は情報セキュリティマネジメントシステム(ISMS)の国際規格であり、リスクマネジメントのプロセスを体系的に定めています。リスク特定、リスク分析、リスク評価、リスク対応の各段階を正確に理解することが、効果的な情報セキュリティ対策の基盤となります。
FAQ
Q: 脅威と脆弱性の違いは何ですか?
A: 脅威は情報資産に損害を与える可能性のある要因で、脆弱性はその脅威が付け込む情報システムの弱点です。
A: 脅威は情報資産に損害を与える可能性のある要因で、脆弱性はその脅威が付け込む情報システムの弱点です。
Q: リスク評価とリスク特定はどう違いますか?
A: リスク特定は脅威と脆弱性の関係を明らかにする段階で、リスク評価はそのリスクの大きさや優先度を判断する段階です。
A: リスク特定は脅威と脆弱性の関係を明らかにする段階で、リスク評価はそのリスクの大きさや優先度を判断する段階です。
関連キーワード: JIS Q 27001, 情報セキュリティ, リスクマネジメント, 脅威, 脆弱性, リスク評価