問題本文
情報資産に対するリスクは,脅威と脆弱性を基に評価する。脅威に該当するものはどれか。
選択肢
- ア.暗号化しない通信
- イ.機密文書の取扱方法の不統一
- ウ.施錠できないドア
- エ.落雷などによる予期しない停電
解説
情報セキュリティのリスク評価では脅威(Threat)と脆弱性(Vulnerability)を区別することが重要。脅威は情報セキュリティリスクの潜在的原因となる望ましくない事象や行為(落雷・地震・不正アクセス・マルウェア感染等)を指す外部起因の危険因子。脆弱性は脅威に対する情報資産側の弱点(暗号化なし・施錠なし・パッチ未適用・管理不備等)を指す内部起因の弱点。落雷による停電は外部から来る自然的脅威の典型例であり、脆弱性との区別を正確に把握することが情報セキュリティ管理の基礎となる。
選択肢ごとの解説
- ア.誤り。暗号化しない通信は情報が盗聴されやすい状態を作る資産側の弱点であり脆弱性(Vulnerability)に分類される。暗号化を怠るという管理上の不備・対策の欠如が、盗聴という脅威に対する情報システムの脆弱性を生み出す。外部から来る危険(脅威)ではなく内部の弱点(脆弱性)の典型例。
- イ.誤り。機密文書の取扱方法が統一されていないことは管理体制の不備・弱点であり脆弱性(Vulnerability)に分類される。誤った取扱いによる情報漏洩リスクを高める内部的な弱点であり、外部から来る危険を指す脅威とは区別される。
- ウ.誤り。施錠できないドアは物理的な弱点であり脆弱性(Vulnerability)に分類される。不正侵入という脅威に対して施設・設備が脆弱な状態にあることを示す内部的な弱点。脅威は不正侵入者(外部要因)、脆弱性は施錠できないドア(内部の弱点)という区別を正確に把握することが重要。
- エ.正解。落雷などによる予期しない停電は外部の自然現象が情報資産・システムに損害を与える可能性のある事象であり、脅威(Threat)に該当する。電源障害という脅威に対し、UPS(無停電電源装置)の未設置が脆弱性となるという脅威と脆弱性の組み合わせ関係を正確に理解することが重要。
ITパスポート 2018年 (平成30年 秋期) の過去問一覧へ戻る・問67