問題本文
ISMSにおける情報セキュリティリスクの特定に関する記述において,a,bに入れる字句の適切な組合せはどれか。 ISMSの a における情報の機密性, b 及び可用性の喪失に伴うリスクを特定する。
選択肢
- ア.a:適用範囲外, b:完全性
- イ.a:適用範囲外, b:脆弱性
- ウ.a:適用範囲内, b:完全性
- エ.a:適用範囲内, b:脆弱性
解説
ISMS(Information Security Management System、情報セキュリティマネジメントシステム)はISO/IEC 27001に基づく情報セキュリティの管理体制である。情報セキュリティリスクの特定は、ISMSの「適用範囲内」の情報資産を対象として、情報の「機密性・完全性・可用性」の三要素の喪失に伴うリスクを洗い出す活動である。aは「適用範囲内」が正しく(適用範囲外のリスクはISMSスコープ外)、bは「完全性」(Integrity)が正しい。脆弱性はリスクの要因の一つだが情報セキュリティの三要素ではないため、bに入る字句は完全性となる。
選択肢ごとの解説
- ア.誤り。aが「適用範囲外」とされているが、ISMSのリスク特定はISMSのスコープとして定義した「適用範囲内」の情報資産・プロセスを対象に行う。適用範囲外の情報資産についてはISMSでの管理義務が生じず、適用範囲外のリスク特定はISMSフレームワークの目的と合致しない。
- イ.誤り。aが「適用範囲外」でbが「脆弱性」という組合せはいずれも誤り。脆弱性(Vulnerability)はリスクの要因・弱点を指す概念であり、情報の三要素(CIA)の一つではない。ISMSでは脆弱性を通じてリスクが顕在化するが、リスク特定の喪失対象は機密性・完全性・可用性である。
- ウ.正しい。a=「適用範囲内」、b=「完全性」が正しい組合せ。ISMSはスコープ(適用範囲)を定義し、その範囲内の情報資産に対して機密性(C)・完全性(I)・可用性(A)の三要素(CIA)が損なわれるリスクを特定・評価・対応するISO/IEC 27001に基づくマネジメントフレームワークである。
- エ.誤り。aは「適用範囲内」で正しいが、bの「脆弱性」は誤り。情報セキュリティの三要素はCIA(機密性・完全性・可用性)であり、リスク特定で喪失を評価する対象もこの三要素である。脆弱性はリスク評価で考慮する要素だが、機密性・完全性・可用性の喪失の原因側の概念である。
ITパスポート 2017年 (平成29年 春期) の過去問一覧へ戻る・問83