問題本文
情報セキュリティのリスクアセスメントにおける、資産価値、脅威、脆弱性及びリスクの大きさの関係として、適切なものはどれか。
選択肢
- ア.脅威の大きさは、資産価値、脆弱性及びリスクの大きさによって決まる。
- イ.資産価値の大きさは、脅威、脆弱性及びリスクの大きさによって決まる。
- ウ.脆弱性の大きさは、資産価値、脅威及びリスクの大きさによって決まる。
- エ.リスクの大きさは、資産価値、脅威及び脆弱性の大きさによって決まる。
正解
エ. リスクの大きさは、資産価値、脅威及び脆弱性の大きさによって決まる。
解説
情報セキュリティのリスクアセスメントでは,リスクの大きさ=資産価値×脅威×脆弱性のような関係でリスクを評価する. 資産価値(守るべきものの価値),脅威(リスクの潜在的原因,ウイルスや盗聴等),脆弱性(脅威に対する弱さ,不適切なパスワード管理等)の3要素が原因側でリスクの大きさが結果側となる. 3要素から結果のリスクを導出する向きが正しい依存関係である. JIS Q 27000で定義される標準的なリスク評価モデルである. リスク値=資産価値×脅威×脆弱性の計算式で定量化が広く実装される. 3要素モデルは標準的なリスク評価手法として広く活用.
選択肢ごとの解説
- ア.誤り. 脅威は脅威源固有の事象(攻撃者・自然災害等)であり,資産価値や脆弱性・リスクの大きさから決まるものではない. 因果の向きが逆向きであり,脅威は独立変数として与えられる側の要素である. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
- イ.誤り. 資産価値は資産そのものの価値であり,脅威・脆弱性・リスクの大きさから決まるものではない. 独立した評価軸として与えられる側の要素であり,情報資産の重要度を表す指標として独立に評価される. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
- ウ.誤り. 脆弱性は資産が持つ弱点(設計・運用上の欠陥)であり,他要因の結果として決まるものではない. 独立した評価軸として識別される側の要素で,セキュリティ評価や脆弱性診断で個別に特定される変数. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
- エ.正しい. リスクの大きさは資産価値・脅威・脆弱性の3要素の組合せ(掛け算)で決まるのが正しい関係のため. 3つの原因要素から結果としてのリスクを算定する標準的なリスク値算出モデルに合致する. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
ITパスポート 2014年 (平成26年 春期) の過去問一覧へ戻る・問72