ホーム > 情報処理安全確保支援士試験 > 2017年 秋期
情報処理安全確保支援士試験 2017年 秋期 午前2 問12
JIS Q 270002014 (情報セキュリティマネジメントシステム用語) における情報セキュリティリスクに関する記述のうち, 適切なものはどれか。
ア:脅威とは,一つ以上の要因によって悪用される可能性がある, 資産又は管理策の弱点のことである。
イ:脆弱性とは, システム又は組織に損害を与える可能性がある, 望ましくないインシデントの潜在的な原因のことである。
ウ:リスク対応とは,リスクの大きさが, 受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセスのことである。
エ:リスク特定とは,リスクを発見, 認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。(正解)
解説
JIS Q 27000:2014 における情報セキュリティリスクの用語【午前2 解説】
要点まとめ
- 結論:リスク特定はリスク源や事象、原因、結果を認識し記述するプロセスであり、これが正しい定義です。
- 根拠:JIS Q 27000:2014は情報セキュリティマネジメントの国際標準で、用語の正確な理解が求められます。
- 差がつくポイント:脅威や脆弱性、リスク対応の定義を混同せず、用語ごとの役割を正確に区別できることが重要です。
正解の理由
選択肢エは「リスク特定」の定義として、リスク源(リスクの原因となるもの)、リスク事象(リスクが現実化する可能性のある出来事)、それらの原因や結果を発見・認識・記述するプロセスと明確に述べています。これはJIS Q 27000:2014の定義と完全に一致しており、情報セキュリティリスクマネジメントの初期段階で不可欠な作業です。
よくある誤解
脅威と脆弱性の定義を逆に覚えてしまうことが多く、脅威を弱点、脆弱性を悪用される可能性と誤認しがちです。
解法ステップ
- 各選択肢の用語(脅威、脆弱性、リスク対応、リスク特定)を確認する。
- JIS Q 27000:2014の用語定義を思い出す。
- 脅威は「損害を与える可能性のある望ましくない事象の原因」、脆弱性は「弱点」、リスク対応は「リスク分析結果に基づく対策の決定」であることを確認。
- リスク特定は「リスクの発見・認識・記述」であることを確認し、該当する選択肢を選ぶ。
選択肢別の誤答解説
- ア:脅威の定義が誤り。脅威は「悪用される可能性がある弱点」ではなく、「損害を与える可能性のある望ましくない事象の原因」です。
- イ:脆弱性の定義が誤り。脆弱性は「弱点」であり、「望ましくないインシデントの潜在的な原因」ではありません。
- ウ:リスク対応の説明が誤り。リスク対応は「リスク分析結果を基に対策を決定・実施するプロセス」であり、リスクの大きさを判断するのはリスク評価の段階です。
- エ:正解。リスク特定の定義として正確に記述されています。
補足コラム
JIS Q 27000シリーズはISO/IEC 27000シリーズを基にした日本の情報セキュリティマネジメントシステム(ISMS)の国際標準規格です。リスクマネジメントのプロセスは「リスク特定」「リスク分析」「リスク評価」「リスク対応」の4段階で構成され、各段階の用語を正確に理解することが合格の鍵となります。
FAQ
Q: 脅威と脆弱性の違いは何ですか?
A: 脅威は「損害を与える可能性のある事象の原因」、脆弱性は「資産や管理策の弱点」です。脅威が脆弱性を悪用してリスクが発生します。
A: 脅威は「損害を与える可能性のある事象の原因」、脆弱性は「資産や管理策の弱点」です。脅威が脆弱性を悪用してリスクが発生します。
Q: リスク対応とリスク評価はどう違いますか?
A: リスク評価はリスクの大きさを判断するプロセスで、リスク対応は評価結果に基づき対策を決定・実施するプロセスです。
A: リスク評価はリスクの大きさを判断するプロセスで、リスク対応は評価結果に基づき対策を決定・実施するプロセスです。
関連キーワード: 情報セキュリティリスク, JIS Q 27000, リスク特定, 脅威, 脆弱性, リスク対応, ISMS