ホーム > 情報処理安全確保支援士試験 > 2023年 秋期
情報処理安全確保支援士試験 2023年 秋期 午前2 問11
JIS Q 27000:2019(情報セキュリティマネジメントシステム-用語)の用語に関する記述のうち、適切なものはどれか。
ア:脅威とは,一つ以上の要因によって付け込まれる可能性がある,資産又は管理策の弱点のことである。
イ:脆弱性とは,システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因のことである。
ウ:リスク対応とは,リスクの大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセスのことである。
エ:リスク特定とは,リスクを発見,認識及び記述するプロセスのことであり,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。(正解)
解説
JIS Q 27000:2019 用語問題【午前2 解説】
要点まとめ
- 結論:リスク特定はリスク源や事象、原因、結果を認識し記述するプロセスであり、選択肢エが正しいです。
- 根拠:JIS Q 27000:2019ではリスク特定を「リスクを発見、認識及び記述するプロセス」と定義し、リスク源や事象の特定を含むと明記しています。
- 差がつくポイント:脅威や脆弱性、リスク対応の定義を正確に理解し、用語の混同を避けることが重要です。
正解の理由
選択肢エはリスク特定の定義を正確に述べています。リスク特定はリスクマネジメントの初期段階で、リスク源(リスクの原因となるもの)、リスク事象(リスクが発生する可能性のある出来事)、それらの原因や結果を明確にするプロセスです。JIS Q 27000:2019の用語集に準拠しており、情報セキュリティマネジメントの基礎となる重要な用語です。
よくある誤解
脅威と脆弱性の意味を混同しやすい点が多いです。脅威はリスクの原因となる潜在的な悪影響の源であり、脆弱性はその脅威が付け込む弱点です。
解法ステップ
- 問題文の用語がJIS Q 27000:2019に基づくことを確認する。
- 各選択肢の用語定義をJIS Q 27000の公式定義と照合する。
- 脅威、脆弱性、リスク対応、リスク特定の意味を正確に理解する。
- 用語の意味が正確に記述されている選択肢を選ぶ。
- 選択肢エがリスク特定の定義として最も正確であることを確認する。
選択肢別の誤答解説
- ア:脅威は「資産や管理策の弱点」ではなく、「損害を与える可能性のある潜在的な原因」です。弱点は脆弱性の説明です。
- イ:脆弱性は「弱点や欠陥」のことであり、「望ましくないインシデントの潜在的な原因」は脅威の説明に近いです。
- ウ:リスク対応はリスクの大きさを評価するプロセスではなく、リスクを低減、回避、移転、受容するための対策を決定・実施するプロセスです。
- エ:リスク特定の定義として正確であり、リスク源、事象、原因、結果の特定を含むプロセスを正しく説明しています。
補足コラム
JIS Q 27000シリーズはISO/IEC 27000シリーズを日本向けに翻訳・適用した規格群で、情報セキュリティマネジメントシステム(ISMS)の基礎用語や管理策を定義しています。用語の正確な理解はISMS構築や運用、リスクマネジメントの実践に不可欠です。
FAQ
Q: 脅威と脆弱性の違いは何ですか?
A: 脅威は損害を与える可能性のある潜在的な原因で、脆弱性はその脅威が付け込む資産や管理策の弱点です。
A: 脅威は損害を与える可能性のある潜在的な原因で、脆弱性はその脅威が付け込む資産や管理策の弱点です。
Q: リスク対応とリスク特定はどう違いますか?
A: リスク特定はリスクの発見と記述のプロセスで、リスク対応は特定したリスクに対して対策を決定・実施するプロセスです。
A: リスク特定はリスクの発見と記述のプロセスで、リスク対応は特定したリスクに対して対策を決定・実施するプロセスです。
関連キーワード: 情報セキュリティ, リスクマネジメント, JIS Q 27000, ISMS, 脅威, 脆弱性, リスク特定, リスク対応