情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度春期 午前 問6: IPA “中小企業の情報セキュリティ対策ガイドライン(第2.1版)”を参考に,次の表に基づいて,情報資産の機密性を評価した。機密性が評価値2とされた情報資産とそ
←情報セキュリティマネジメント試験 平成30年度春期 午前
IPA “中小企業の情報セキュリティ対策ガイドライン(第2.1版)”を参考に,次の表に基づいて,情報資産の機密性を評価した。機密性が評価値2とされた情報資産とその判断理由として,最も適切な組みはどれか。
| 評価値 | 評価基準 |
|---|
| 2 | 法律で安全管理が義務付けられている,又は,漏えいすると取引先や顧客への大きな影響,自社への深刻若しくは大きな影響がある。 |
| 1 | 漏えいすると自社の事業に影響がある。 |
| 0 | 漏えいしても自社の事業に影響はない。 |
問題本文
IPA “中小企業の情報セキュリティ対策ガイドライン(第2.1版)”を参考に,次の表に基づいて,情報資産の機密性を評価した。機密性が評価値2とされた情報資産とその判断理由として,最も適切な組みはどれか。
選択肢
- ア.自社ECサイト(電子データ):DDoS攻撃を受けて顧客からアクセスされなくなると,機会損失が生じて売上が減少する。
- イ.自社ECサイト(電子データ):ディレクトリリスティングされると,廃版となった商品情報がECサイト訪問者に勝手に閲覧される。
- ウ.主力製品の設計図(電子データ):責任者の承諾なく設計者によって無断で変更されると,製品の機能,品質,納期,製造工程に関する問題が生じ,損失が発生する。
- エ.主力製品の設計図(電子データ):不正アクセスによって外部に流出すると,技術やデザインによる製品の競争優位性が失われて,製品の売上が減少する。
正解
エ. 主力製品の設計図(電子データ):不正アクセスによって外部に流出すると,技術やデザインによる製品の競争優位性が失われて,製品の売上が減少する。
解説
機密性は,情報が漏えい(不正な閲覧・流出)したときの影響度で評価する観点であり,可用性(アクセスできなくなる)や完全性(無断で改ざんされる)とは区別する必要がある。評価値2は漏えいすると取引先・顧客や自社へ深刻・大きな影響がある場合を指す。主力製品の設計図が外部に流出して製品の競争優位性が失われ売上が減少するという選択肢エが,漏えいによる深刻な影響に該当し評価値2として適切である。
選択肢ごとの解説
- ア.DDoS攻撃でアクセスできなくなり売上が減少するのは可用性の問題であり,機密性(漏えい)の評価ではない。
- イ.廃版商品情報が閲覧されるのは漏えいだが影響は小さく,評価値2に相当する深刻・大きな影響とはいえない。
- ウ.設計図が無断で変更されて問題が生じるのは完全性の問題であり,機密性(漏えい)の評価ではない。
- エ.設計図が外部に流出して競争優位性が失われ売上が減少するのは漏えいによる深刻な影響であり,機密性の評価値2に該当する。
情報セキュリティマネジメント試験 平成30年度春期 午前 の過去問一覧へ戻る・問6