問題本文
情報セキュリティにおけるリスクマネジメントに関して,次の記述中のa~cに入れる字句の適切な組合せはどれか。 情報セキュリティにおいて,組織がもつ情報資産の [a] を突く [b] によって,組織が損害を被る可能性のことを [c] という。
選択肢
- ア.a:脅威 / b:リスク / c:脆弱性
- イ.a:脆弱性 / b:脅威 / c:リスク
- ウ.a:リスク / b:脅威 / c:脆弱性
- エ.a:リスク / b:脆弱性 / c:脅威
正解
イ. a:脆弱性 / b:脅威 / c:リスク
解説
情報セキュリティのリスクマネジメントでは3つの基本用語の関係性を整理する必要がある. 脆弱性(Vulnerability)は情報資産がもつ弱点・欠陥(セキュリティホール・運用上の不備など). 脅威(Threat)はその脆弱性を突いて損害を起こしうる行為や事象(ウイルス・不正アクセス・自然災害・人的ミスなど). リスク(Risk)は脅威が脆弱性を突いて損害が発生する可能性そのものを指す概念である. つまり「情報資産の脆弱性を,脅威が突くことで損害を被る可能性=リスク」となる関係のため,本問の空欄はa=脆弱性,b=脅威,c=リスクで答えはイ. これら3用語は混同しやすいため,この相互関係を正確に押さえることが情報セキュリティ学習で重要なポイントとなる用語整理である.
選択肢ごとの解説
- ア.誤り. a=脅威,b=リスク,c=脆弱性とする組合せは3用語の対応関係が逆転しており誤りである. リスクは結果(損害発生の可能性)であり脆弱性(資産の弱点)ではなく,脅威は外的な攻撃要因という3用語の正しい関係性に反しており,本選択肢は組合せが整合せず誤った組合せである.
- イ.正しい. 情報資産の「脆弱性(弱点)」を「脅威(攻撃や事象)」が突いて損害を被る「可能性(リスク)」という関係で,a=脆弱性,b=脅威,c=リスクの組合せが本問の正解となるため. 情報セキュリティリスクマネジメントの基本用語の対応関係に正しく合致する組合せとして整理される.
- ウ.誤り. a=リスクとしているが,情報資産の脆弱性(弱点)とリスクは別概念であり,リスクは結果として発生する損害可能性の概念であって脆弱性ではない. 3用語の対応関係が誤っており,空欄aには脆弱性が入るのが正しいため,この組合せは適切な対応関係になっていない誤りである.
- エ.誤り. 3用語の対応関係が誤っており,a=リスク,b=脆弱性,c=脅威ではいずれの位置も適切ではない. 情報セキュリティの基本構図である「脅威が脆弱性を突き損害(リスク)を生む」という関係性に整合せず,3用語をすべて誤った位置に当てはめている不適切な組合せである.
ITパスポート 2016年 (平成28年 秋期) の過去問一覧へ戻る・問96