情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ 問8: EDSA 認証における評価対象と評価項目について,適切な組みはどれか。
←情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ
EDSA 認証における評価対象と評価項目について,適切な組みはどれか。
| 評価対象 | 評価項目 |
|---|
| ア | 組込み機器である制御機器 | 組込み機器ロバストネス試験 |
| イ | 組込み機器である制御機器が運用されている施設 | 入退室管理の評価 |
| ウ | 複数の制御機器から構成される制御システム | 脆弱性試験 |
| エ | 複数の制御機器から構成される制御システムを管理する組織 | セキュリティポリシの評価 |
問題本文
EDSA 認証における評価対象と評価項目について,適切な組みはどれか。
選択肢
- ア.評価対象:組込み機器である制御機器,評価項目:組込み機器ロバストネス試験
- イ.評価対象:組込み機器である制御機器が運用されている施設,評価項目:入退室管理の評価
- ウ.評価対象:複数の制御機器から構成される制御システム,評価項目:脆弱性試験
- エ.評価対象:複数の制御機器から構成される制御システムを管理する組織,評価項目:セキュリティポリシの評価
正解
ア. 評価対象:組込み機器である制御機器,評価項目:組込み機器ロバストネス試験
解説
EDSAは制御システム機器のセキュリティ認証で、評価対象は組込み機器である制御機器(個々のデバイス)。評価項目には、通信スタックの耐性を見る組込み機器ロバストネス試験などが含まれる。アが評価対象と評価項目の組合せを正しく示しておりアが正解。実務では制御機器(ICS/OT)の調達基準として、機器単体のセキュリティ品質を客観的に判断する材料になる。
選択肢ごとの解説
- ア.評価対象が組込み制御機器、評価項目が組込み機器ロバストネス試験という組合せはEDSAの定義に合致し正解。
- イ.EDSAは機器を評価する認証で、施設の入退室管理は対象外。評価対象・項目の組合せが定義と異なり誤り。
- ウ.EDSAの評価対象は制御システム全体ではなく個々の組込み機器であり、システム単位とする組合せが誤り。
- エ.組織やセキュリティポリシの評価はマネジメント認証の領域で、機器を対象とするEDSAの組合せではないので誤り。
情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ の過去問一覧へ戻る・問8