ITパスポート過去問 平成30年度(2018年)問67
情報資産に対するリスクは,脅威と脆弱性(ぜいじゃくせい)を基に評価する。脅威に該当するものはどれか。
選択肢
- ア:暗号化しない通信
- イ:機密文書の取扱方法の不統一
- ウ:施錠できないドア
- エ:落雷などによる予期しない停電
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報資産のリスク評価では、損害の原因となる発生し得る出来事が脅威、脅威を受けやすくする弱点が脆弱性です。落雷などによる予期しない停電は、情報資産の利用停止や機器故障を引き起こし得る出来事なので、脅威に該当します。
Point
この問題は、情報セキュリティのリスク評価で使う「脅威」と「脆弱性」を正しく区別できるかを確認するものです。選択肢には、脅威と脆弱性が混在しているため、用語の定義に沿って分類できることが必要です。
解くために必要な知識
この問題を解くには、脅威と脆弱性の違いを理解しておく必要があります。
用語の整理
用語の意味
| 用語名 | 意味 |
|---|---|
| 脅威 | 情報資産に損害を与える原因となる出来事や要因です。例として、自然災害、停電、不正アクセス、操作ミスなどが含まれます。 |
| 脆弱性 | 情報資産や管理体制にある弱点です。例として、設定不備、暗号化の未実施、物理的な設備不備、運用ルール不備などが含まれます。 |
| 情報資産 | 組織にとって価値のある情報や、それを扱う仕組み(機器、媒体、システムなど)です。 |
| リスク | 脅威が脆弱性に付け込むなどして損害が発生する可能性です。 |
覚え方
-
脅威は、損害のきっかけになる出来事や原因です。
-
脆弱性は、損害を受けやすくする弱点です。
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| 暗号化 | データを第三者が容易に読めない形に変換することです。 |
| 機密文書 | 許可された人だけが扱えるように制限される、秘匿性が高い情報を含む文書です。 |
問題の解法手順
各選択肢の整理
| 選択肢 | 内容 | 脅威か脆弱性か | 理由 |
|---|---|---|---|
| ア | 暗号化しない通信 | 脆弱性 | 通信が盗聴・改ざんされやすい状態という弱点だからです。 |
| イ | 機密文書の取扱方法の不統一 | 脆弱性 | 管理ルールが不十分で漏えいが起きやすい弱点だからです。 |
| ウ | 施錠できないドア | 脆弱性 | 物理的に侵入を防げない弱点だからです。 |
| エ | 落雷などによる予期しない停電 | 脅威 | 自然災害によりシステム停止などを引き起こす要因だからです。 |
結論
脅威に該当するのは「エ」です。
選択肢ごとの解説
- ア:不正解
暗号化しない通信は、通信内容が盗聴・改ざんされやすくなる状態です。損害の原因となる出来事そのものではなく、脆弱性に当たるため誤りです。
- イ:不正解
機密文書の取扱方法の不統一は、誤って持ち出す、誤廃棄する、第三者に渡るなどが起きやすくなる管理上の弱点です。損害の原因となる出来事そのものではなく、脆弱性に当たるため誤りです。
- ウ:不正解
施錠できないドアは、不正侵入や盗難が起きやすくなる物理的な弱点です。損害の原因となる出来事そのものではなく、脆弱性に当たるため誤りです。
- エ:正解
落雷などによる予期しない停電は、システム停止や機器故障などの損害を引き起こし得る出来事です。そのため脅威に該当するため正解です。
まとめ
情報資産のリスク評価では、損害の原因となる発生し得る出来事が脅威、脅威を受けやすくする弱点が脆弱性です。落雷などによる予期しない停電は、情報資産の利用停止や機器故障を引き起こし得る出来事なので、脅威に該当します。
テクノロジ系 > 技術要素 > セキュリティ
暗号化しない通信は、通信内容が盗聴・改ざんされやすくなる状態です。損害の原因となる出来事そのものではなく、脆弱性に当たるため誤りです。
機密文書の取扱方法の不統一は、誤って持ち出す、誤廃棄する、第三者に渡るなどが起きやすくなる管理上の弱点です。損害の原因となる出来事そのものではなく、脆弱性に当たるため誤りです。
施錠できないドアは、不正侵入や盗難が起きやすくなる物理的な弱点です。損害の原因となる出来事そのものではなく、脆弱性に当たるため誤りです。
落雷などによる予期しない停電は、システム停止や機器故障などの損害を引き起こし得る出来事です。そのため脅威に該当するため正解です。