問題本文
情報システムの安定稼働を妨げる様々な脅威への事前対策に関する説明のうち,適切なものはどれか。
選択肢
- ア.外部からの不正侵入が完全に阻止できれば,不正アクセスへの事前対策としては問題ない。
- イ.自然災害に対しては予測が困難なので,人的災害に絞って事前対策を講じる。
- ウ.すべてのデータをバックアップしておけば,ほかの事前対策は不要となる。
- エ.予想損失額や対策コストとのトレードオフを考慮して,必要な事前対策を講じる。
正解
エ. 予想損失額や対策コストとのトレードオフを考慮して,必要な事前対策を講じる。
解説
情報セキュリティのリスク対策は損失額と対策コストのバランスで決定する.完全な対策はコスト的に困難なため,リスクの大きさ (発生確率×影響度) と対策費用を比較して費用対効果の高い対策を選ぶのが現実的アプローチ.リスク対応にはリスク回避・低減・移転 (保険等) ・受容 (許容) の4戦略があり,対策コストと損失予想額のトレードオフで選択する.覚え方や類似用語の区別を整理しておくと,本試験での失点を防ぐことができる重要な
選択肢ごとの解説
- ア.外部からの不正侵入を完全阻止することは現実的に不可能で,内部犯行・物理的脅威等の多様な脅威への備えも必要となる.「完全阻止できれば問題なし」は誤った前提で,多層防御の発想が必要.覚え方や類似用語の区別を整理して
- イ.自然災害は予測困難でも事前の備え (バックアップ・冗長化・BCP策定) が重要となる.「予測困難だから対策しない」は事業継続性の観点で不適切な姿勢で,BCPの考え方に反するアプローチ.覚え方や類似用語の区別を整
- ウ.バックアップは復旧対策の一つに過ぎず,これだけでは不十分である.予防 (アクセス制御) ・検知 (監視) ・対応 (インシデント対応) を含む多層防御が必要で,単独対策では穴が多い.覚え方や類似用語の区別を整理
- エ.正解.予想損失額と対策コストのトレードオフを考慮して必要な対策を選ぶのが適切なアプローチである.費用対効果分析がセキュリティ投資判断の基本となり,リスクマネジメントの原則に合致.覚え方や類似用語の区別を整理して
ITパスポート 2009年 (平成21年 秋期) の過去問一覧へ戻る・問45