情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度秋期 午前 問9: 情報セキュリティマネジメントにおける，脅威と脆弱性に関する記述のうち，最も適切なものはどれか。

問題本文

情報セキュリティマネジメントにおける，脅威と脆弱性に関する記述のうち，最も適切なものはどれか。

選択肢

• ア.管理策の欠如によって脅威が高まり，脆弱性の深刻度が低くなる。
• イ.脅威が存在しないと判断できる場合，脆弱性に対処する必要性は低い。
• ウ.脅威のうち，脆弱性によってリスクが顕在化するのは環境的脅威である。
• エ.脆弱性の有無にかかわらず，事故の発生確率は脅威の大きさで決まる。

正解

イ. 脅威が存在しないと判断できる場合，脆弱性に対処する必要性は低い。

解説

リスクは、脅威が脆弱性を突くことで顕在化し損失をもたらすという関係にある。すなわち、脅威と脆弱性の双方が存在して初めてリスクとなるため、片方が存在しなければリスクは生じにくい。脅威が存在しないと判断できれば、その脆弱性を突くものがなく対処の必要性は低くなるため、イが最も適切である。

選択肢ごとの解説

• ア.誤り。管理策の欠如は脆弱性を高め深刻度を上げる方向に働くため、脆弱性の深刻度が低くなるという記述は誤りである。
• イ.正しい。脅威が存在しなければ脆弱性が突かれることもないため、対処の必要性は相対的に低くなる。
• ウ.誤り。脆弱性を突いてリスクを顕在化させるのは環境的脅威に限らず、人為的脅威など種類を問わない。
• エ.誤り。事故の発生は脅威と脆弱性の組合せで決まり、脆弱性がなければ脅威があっても顕在化しにくい。