選択肢
- ア.PCやサーバに侵入したウイルスを,感染拡大のリスクを抑えながら駆除する。
- イ.識別された資産に対するリスクを分析,評価し,基準に照らして対応が必要かどうかを判断する。
- ウ.事前に登録された情報を使って,システムの利用者が本人であることを確認する。
- エ.情報システムの導入に際し,費用対効果を算出する。
正解
イ. 識別された資産に対するリスクを分析,評価し,基準に照らして対応が必要かどうかを判断する。
解説
リスクアセスメント(Risk Assessment)はリスクの特定→リスクの分析→リスクの評価の3ステップからなる活動で、リスクマネジメントの中核プロセスとして位置づけられる。情報資産に対する脅威・脆弱性を特定し、リスクの発生可能性(確率)と影響度を分析した上でリスク対応(受容・回避・転嫁・低減)が必要かを判断する。JIS Q 27001(ISMS)・ISO 31000(リスクマネジメント全般)でもリスクアセスメントは情報セキュリティ・組織管理の基礎プロセスとして規定されている。
選択肢ごとの解説
- ア.誤り。PCやサーバに侵入したマルウェアを感染拡大リスクを抑えながら駆除・隔離することはインシデント対応(事後的対策)。既に発生したセキュリティインシデントへの対処活動であり、事前にリスクを特定・分析・評価するリスクアセスメントとは目的・タイミングが全く異なる活動となる。
- イ.正解。識別された情報資産に対するリスクを分析・評価し、基準に照らして対応が必要かどうかを判断することがリスクアセスメントの定義。脅威・脆弱性の特定、発生確率と影響度の評価、リスク対応優先度の決定が含まれる活動であり、情報セキュリティ対策の計画立案の出発点となる。
- ウ.誤り。事前登録された情報(パスワード・生体情報等)でシステム利用者が本人であることを確認することは認証(Authentication)の説明。本人確認のセキュリティ機能であり、リスクを特定・分析・評価する事前管理活動であるリスクアセスメントとは目的・概念が全く異なる。
- エ.誤り。情報システム導入に際して投資額と期待効果を計算し費用対効果を算出することはIT投資評価・費用便益分析の活動。コスト分析は投資判断の参考データだが、情報資産に対する脅威・脆弱性を識別し発生確率・影響度を評価するリスクアセスメントとは区別される活動である。
ITパスポート 2018年 (平成30年 秋期) の過去問一覧へ戻る・問68