ITパスポート試験 過去問解説
脆弱性とは?ITパスポート試験 2017年 (平成29年 春期) 問60を解説
ITパスポート試験 2017年 (平成29年 春期) 問60は、脆弱性に関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
情報セキュリティにおける脅威と脆弱性のうち,脆弱性に該当するものはどれか。
この問題の出題ポイント
- 脆弱性の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
- テクノロジ系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
- 関連タグ: 脆弱性、脅威。
選択肢
- アコンピュータウイルス
- イソーシャルエンジニアリング
- ウ通信データの盗聴
- エ不適切なパスワード管理正解
正解
エ: 不適切なパスワード管理
解説
情報セキュリティにおける脅威と脆弱性の区別が重要。脅威(Threat)はシステムや情報に損害を与える可能性のある原因・事象・行為者側の手段(コンピュータウイルス・ソーシャルエンジニアリング・盗聴等)。脆弱性(Vulnerability)は守る側の弱点・不備で、脅威が悪用する隙を作る要因(不適切なパスワード管理・ソフトのバグ・設定ミス等)。脅威×脆弱性がリスクを生む。不適切なパスワード管理は組織・利用者側の管理上の弱点であるため脆弱性に該当する。
なぜ他の選択肢が違うのか
ア
誤り。コンピュータウイルスは情報システムを攻撃・感染させる悪意のあるプログラムであり脅威の一つ。守る側の弱点ではなく攻撃手段・事象であるため脆弱性ではない。ウイルスに感染しやすい脆弱性(セキュリティパッチ未適用等)とは区別が必要。
イ
誤り。ソーシャルエンジニアリングは話術・なりすまし・盗み見などの非技術的手段で機密情報を入手する攻撃手法であり脅威の一つ。攻撃者が行う行為・手段であるため脆弱性ではなく脅威に分類される。
ウ
誤り。通信データの盗聴は暗号化されていない通信を傍受して情報を窃取する攻撃行為であり脅威の一つ。盗聴されるのは守る側の通信経路が無防備(脆弱性)であるためだが、盗聴行為そのものは脅威に分類される。
エ(正解)
正しい。不適切なパスワード管理(推測しやすいパスワードの使用・使い回し・管理台帳への平文記載等)は守る側の組織・人的な管理上の弱点で脆弱性に該当する。この脆弱性を突いて不正アクセスが成立する。
解き方の整理
脆弱性の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
2017年 (平成29年 春期) の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。