ホーム > 情報処理安全確保支援士試験 > 2016年 春期
情報処理安全確保支援士試験 2016年 春期 午前2 問11
JIS Q 27000 における情報セキュリティリスクに関する定義のうち、適切なものはどれか。
ア:脅威とは,一つ以上の要因によって悪用される可能性がある資産又は管理策の弱点のことである。
イ:脆弱性とは,望ましくないインシデントを引き起こし,システム又は組織に損害を与える可能性がある潜在的な原因のことである。
ウ:リスク対応とは,リスクの大きさが受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセスのことである。
エ:リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。(正解)
解説
JIS Q 27000 における情報セキュリティリスクに関する定義【午前2 解説】
要点まとめ
- 結論:リスク特定はリスク源や事象、原因、結果を認識し記述するプロセスであり、これが正しい定義です。
- 根拠:JIS Q 27000は情報セキュリティマネジメントの国際標準で、リスク管理の各用語を明確に定義しています。
- 差がつくポイント:脅威や脆弱性、リスク対応の定義と混同せず、用語の正確な意味を理解することが重要です。
正解の理由
選択肢エは「リスク特定」の定義として、リスク源(リスクの原因となるもの)、リスク事象(リスクが現実化する可能性のある出来事)、それらの原因や結果を発見・認識・記述するプロセスと正確に述べています。これはJIS Q 27000の定義に忠実であり、リスク管理の初期段階に該当します。
よくある誤解
脅威や脆弱性の定義を混同しやすく、リスク対応とリスク特定のプロセスを取り違えることが多いです。特に「脅威=弱点」や「脆弱性=インシデントの原因」と誤解されがちです。
解法ステップ
- JIS Q 27000の用語定義を確認する。
- 脅威、脆弱性、リスク対応、リスク特定の意味を整理する。
- 各選択肢の文言が標準定義に合致しているかを検証する。
- リスク特定はリスクの発見・認識・記述であることを確認し、該当する選択肢を選ぶ。
選択肢別の誤答解説
- ア:脅威は「悪用される可能性のある弱点」ではなく、「資産に損害を与える可能性のある潜在的な原因」です。弱点は脆弱性のことです。
- イ:脆弱性は「弱点や欠陥」であり、インシデントを引き起こす潜在的な原因ではありますが、説明が不正確で「望ましくないインシデントを引き起こす原因」とは言い切れません。
- ウ:リスク対応はリスクの大きさを評価するプロセスではなく、リスクを軽減、回避、受容などの対策を講じるプロセスです。
- エ:リスク特定の正しい定義であり、リスク源、事象、原因、結果の特定を含みます。
補足コラム
JIS Q 27000シリーズはISO/IEC 27000シリーズの日本版であり、情報セキュリティマネジメントシステム(ISMS)の基礎用語を定義しています。リスク管理はISMSの中核であり、正確な用語理解が運用の質を左右します。特にリスク特定はリスク管理の第一歩であり、ここでの誤認は後続のリスク評価や対応に影響を及ぼします。
FAQ
Q: 脅威と脆弱性の違いは何ですか?
A: 脅威は資産に損害を与える可能性のある潜在的な原因で、脆弱性はその脅威が悪用できる資産や管理策の弱点です。
A: 脅威は資産に損害を与える可能性のある潜在的な原因で、脆弱性はその脅威が悪用できる資産や管理策の弱点です。
Q: リスク対応とリスク特定はどう違いますか?
A: リスク特定はリスクを認識し記述する段階、リスク対応は認識したリスクに対して対策を講じる段階です。
A: リスク特定はリスクを認識し記述する段階、リスク対応は認識したリスクに対して対策を講じる段階です。
関連キーワード: JIS Q 27000, 情報セキュリティリスク, リスク特定, 脅威, 脆弱性, リスク対応, ISMS, 情報セキュリティマネジメント