問題本文
情報セキュリティにおける脅威と脆弱性のうち,脆弱性に該当するものはどれか。
選択肢
- ア.コンピュータウイルス
- イ.ソーシャルエンジニアリング
- ウ.通信データの盗聴
- エ.不適切なパスワード管理
解説
情報セキュリティにおける脅威と脆弱性の区別が重要。脅威(Threat)はシステムや情報に損害を与える可能性のある原因・事象・行為者側の手段(コンピュータウイルス・ソーシャルエンジニアリング・盗聴等)。脆弱性(Vulnerability)は守る側の弱点・不備で、脅威が悪用する隙を作る要因(不適切なパスワード管理・ソフトのバグ・設定ミス等)。脅威×脆弱性がリスクを生む。不適切なパスワード管理は組織・利用者側の管理上の弱点であるため脆弱性に該当する。
選択肢ごとの解説
- ア.誤り。コンピュータウイルスは情報システムを攻撃・感染させる悪意のあるプログラムであり脅威の一つ。守る側の弱点ではなく攻撃手段・事象であるため脆弱性ではない。ウイルスに感染しやすい脆弱性(セキュリティパッチ未適用等)とは区別が必要。
- イ.誤り。ソーシャルエンジニアリングは話術・なりすまし・盗み見などの非技術的手段で機密情報を入手する攻撃手法であり脅威の一つ。攻撃者が行う行為・手段であるため脆弱性ではなく脅威に分類される。
- ウ.誤り。通信データの盗聴は暗号化されていない通信を傍受して情報を窃取する攻撃行為であり脅威の一つ。盗聴されるのは守る側の通信経路が無防備(脆弱性)であるためだが、盗聴行為そのものは脅威に分類される。
- エ.正しい。不適切なパスワード管理(推測しやすいパスワードの使用・使い回し・管理台帳への平文記載等)は守る側の組織・人的な管理上の弱点で脆弱性に該当する。この脆弱性を突いて不正アクセスが成立する。
ITパスポート 2017年 (平成29年 春期) の過去問一覧へ戻る・問60