情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度春期 午前 問14: セキュリティバイデザインの説明はどれか。

問題本文

セキュリティバイデザインの説明はどれか。

選択肢

• ア.開発済みのシステムに対して，第三者の情報セキュリティ専門家が，脆弱性診断を行い，システムの品質及びセキュリティを高めることである。
• イ.開発済みのシステムに対して，リスクアセスメントを行い，リスクアセスメント結果に基づいてシステムを改修することである。
• ウ.システムの運用において，第三者による監査結果を基にシステムを改修することである。
• エ.システムの企画・設計段階からセキュリティを確保する方策のことである。

正解

エ. システムの企画・設計段階からセキュリティを確保する方策のことである。

解説

セキュリティバイデザインとは，システムやサービスの企画・設計の初期段階からセキュリティ確保を組み込んで考える方策のことである。後付けで対策するのではなく上流工程からセキュリティを作り込むという考え方であり，企画・設計段階からセキュリティを確保するとした選択肢エが正解である。

選択肢ごとの解説

• ア.開発済みシステムに脆弱性診断を行うのは後工程での検証であり，企画・設計段階から作り込むセキュリティバイデザインの説明ではない。
• イ.開発済みシステムにリスクアセスメントを行い改修するのは事後対応であり，企画・設計段階から取り組む考え方ではない。
• ウ.運用段階で監査結果を基に改修するのは事後的な改善であり，セキュリティバイデザインの説明ではない。
• エ.企画・設計段階からセキュリティを確保する方策というのは，セキュリティバイデザインの定義に合致する。