問題
テクノロジ系
問89 情報セキュリティに関する次の記述中の a,b に入れる字句の適切な組合せはどれか。 守るべき情報資産に対して望ましくない影響を及ぼす可能性のある原因のことをaといい,情報資産自身の価値を損なう可能性をもつ弱点のことをbという。
選択肢
- アインシデント,リスク
- イ脅威,脆弱性
- ウ脆弱性,インシデント
- エリスク,脅威
解説
正解:イ
概要
この問題は,情報セキュリティの基本用語である「脅威」と「脆弱性」の意味を問うものです。リスク管理の基本的な概念を正しく理解することがポイントです。
正解の理由
・脅威(a): 守るべき情報資産に対して望ましくない影響を及ぼす可能性のある原因のこと
・脆弱性(b): 情報資産自身の価値を損なう可能性をもつ弱点のこと
したがってa=脅威,b=脆弱性,イが正解です。
各選択肢の解説
ア(×): インシデントは「実際に発生したセキュリティ上の問題」であり,リスクは「脅威が現実化する可能性」です。それぞれの意味が異なります。
イ(〇): 脅威と脆弱性の正しい組合せです。
ウ(×): 脆弱性とインシデントの説明が逆です。脆弱性は弱点,インシデントは実際に発生した問題です。
エ(×): リスクは「脅威と脆弱性が組み合わさることで発生する可能性」であり,脅威そのものではありません。
ポイント
リスク管理の基本として,リスク=脅威×脆弱性×資産価値という式で表されることがあります。
・脅威の例: 悪意ある攻撃者,自然災害,内部不正
・脆弱性の例: ソフトウェアのバグ,設定ミス,パスワードの弱さ
・インシデント: 実際に発生したセキュリティ事故(脅威と脆弱性が結びついた結果)