ホーム > システムアーキテクト試験 > 2024年
システムアーキテクト試験 2024年 午前2 問20
日本のITセキュリティ評価及び認証制度(JISEC)に関する記述のうち、適切なものはどれか。
ア:IT製品のうち、利用者ガイダンス、管理者ガイダンスを除いた部分だけが評価用提供物件である。
イ:ハードウェア、ファームウェア、システムは制度の対象外であり、ソフトウェアだけが対象である。
ウ:ファイアウォールのように、セキュリティ機能に特化したIT製品だけが制度の対象である。
エ:保護するべき資産、対抗すべき成、適用すべき環境が具体化できるIT製品だけが制度の対象である。(正解)
解説
日本のITセキュリティ評価及び認証制度(JISEC)に関する記述【午前2 解説】
要点まとめ
- 結論:JISECの評価対象は、保護すべき資産や環境が具体的に定義できるIT製品に限定されます。
- 根拠:JISECは製品のセキュリティ機能が実際の利用環境や保護対象に適合しているかを評価する制度だからです。
- 差がつくポイント:評価対象の範囲を「ソフトウェアのみ」や「特定機能製品のみ」と誤解せず、環境や資産の具体化が重要な条件である点を押さえることです。
正解の理由
選択肢エは「保護するべき資産、対抗すべき脅威、適用すべき環境が具体化できるIT製品だけが制度の対象」と述べており、JISECの評価制度の本質を正確に表しています。JISECは単に製品の機能だけでなく、その製品がどのような環境で、どのような資産を守るために使われるかを明確にした上で評価を行うため、この条件が必須です。
よくある誤解
JISECの評価対象はソフトウェアだけや特定のセキュリティ機能製品だけと誤解されがちですが、実際は製品の利用環境や保護対象の具体化が評価の前提となります。
解法ステップ
- JISECの目的を理解する(IT製品のセキュリティ評価と認証)。
- 評価対象の範囲を確認する(製品単体ではなく利用環境や資産の具体化が必要)。
- 選択肢の内容をJISECの評価基準と照合する。
- 「保護資産・脅威・環境の具体化」が明示されている選択肢を選ぶ。
- 他の選択肢の誤りを確認し、正解を確定する。
選択肢別の誤答解説
- ア: 利用者ガイダンスや管理者ガイダンスを除くという記述は誤り。これらも評価の一部となる場合があるため、評価用提供物件から除外されません。
- イ: ハードウェアやファームウェアもJISECの評価対象に含まれるため、「ソフトウェアだけが対象」というのは誤りです。
- ウ: ファイアウォールなど特定のセキュリティ機能製品だけが対象というのは限定的すぎて誤りです。JISECは幅広いIT製品を対象とします。
- エ: 保護資産や環境が具体化できる製品だけが対象とし、JISECの評価制度の本質を正しく表しています。
補足コラム
JISECは日本独自のITセキュリティ評価制度であり、製品のセキュリティ機能だけでなく、実際の運用環境や保護対象の明確化を重視します。これにより、評価結果が実際の利用シーンでの信頼性を高めることが可能です。国際的にはCommon Criteria(CC)などの評価基準もありますが、JISECは日本の実情に合わせた制度設計が特徴です。
FAQ
Q: JISECの評価対象はソフトウェアだけですか?
A: いいえ。ハードウェアやファームウェアも含め、保護資産や環境が具体化できるIT製品全般が対象です。
A: いいえ。ハードウェアやファームウェアも含め、保護資産や環境が具体化できるIT製品全般が対象です。
Q: 利用者ガイダンスや管理者ガイダンスは評価対象外ですか?
A: いいえ。これらも評価用提供物件に含まれることがあり、評価の重要な要素です。
A: いいえ。これらも評価用提供物件に含まれることがあり、評価の重要な要素です。
関連キーワード: JISEC, ITセキュリティ評価, IT製品認証, セキュリティ評価制度, 保護資産, IT環境具体化