情報処理安全確保支援士 2025年春期午前2 問10

問題文

JIS Q 27000:2019 (情報セキュリティマネジメントシステムー用語) の用語に関する記述のうち、適切なものはどれか。

選択肢

ア：脅威とは、一つ以上の要因によって付け込まれる可能性がある、資産又は管理策の弱点のことである。

イ：脆弱性とは、システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因のことである。

ウ：リスク対応とは、リスクの大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセスのことである。

エ：リスク特定とは、リスクを発見、認識及び記述するプロセスのことであり、リスク源、事象、それらの原因及び起こり得る結果の特定が含まれる。（正解）

JIS Q 27000:2019 用語問題【午前2 解説】

要点まとめ

結論：リスク特定はリスク源や事象、原因、結果を明確にするプロセスであり、選択肢エが正しいです。
根拠：JIS Q 27000:2019ではリスク特定を「リスクを発見、認識及び記述するプロセス」と定義し、リスク源や事象の特定を含みます。
差がつくポイント：脅威や脆弱性、リスク対応の定義を正確に理解し、用語の混同を避けることが重要です。

正解の理由

選択肢エは、リスク特定の定義を正確に述べています。リスク特定はリスクマネジメントの初期段階で、リスク源（リスクの原因となるもの）、リスク事象（リスクが現実化する出来事）、その原因や結果を明確にするプロセスです。JIS Q 27000:2019の用語定義に忠実であり、他の選択肢の誤った用語解釈と比較して正しい内容です。

よくある誤解

脅威と脆弱性の意味を混同しやすく、脅威を弱点と誤解するケースが多いです。リスク対応はリスク評価後の意思決定プロセスであり、リスク分析の比較ではありません。

解法ステップ

JIS Q 27000:2019の用語定義を確認する。
脅威、脆弱性、リスク対応、リスク特定の意味を整理する。
各選択肢の用語の説明が定義と合致しているか検証する。
リスク特定の説明が最も正確である選択肢を選ぶ。

選択肢別の誤答解説

ア：脅威は「資産や管理策の弱点」ではなく、「損害を与える可能性のある潜在的な原因」です。弱点は脆弱性の説明に近いです。
イ：脆弱性は「弱点や欠陥」であり、「望ましくないインシデントの潜在的な原因」ではありません。インシデントの原因は脅威に該当します。
ウ：リスク対応はリスク評価後の対策決定プロセスであり、リスク分析結果をリスク基準と比較するのはリスク評価の一部です。
エ：リスク特定の定義として正確で、リスク源、事象、原因、結果の特定を含むことが明示されています。

補足コラム

JIS Q 27000シリーズは情報セキュリティマネジメントシステム（ISMS）の国際規格ISO/IEC 27000シリーズの日本版であり、用語の統一が図られています。正確な用語理解はISMS構築やリスクマネジメントの基礎となるため、試験対策だけでなく実務でも重要です。

FAQ

Q: 脅威と脆弱性の違いは何ですか？
A: 脅威は損害を与える可能性のある潜在的な原因、脆弱性はその脅威が付け込むことができる弱点や欠陥です。

Q: リスク対応とリスク評価はどう違いますか？
A: リスク評価はリスクの大きさを判断するプロセスで、リスク対応は評価結果に基づき対策を決定・実施するプロセスです。

関連キーワード: 情報セキュリティ、リスクマネジメント、JIS Q 27000, ISMS, 脅威、脆弱性、リスク特定、リスク対応

← 前の問題へ次の問題へ →

\ せっかくなら /

情報処理安全確保支援士を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！