ITパスポート過去問 平成30年度(2018年)問68
情報セキュリティにおけるリスクアセスメントの説明として,適切なものはどれか。
選択肢
- ア:PCやサーバに侵入したウイルスを,感染拡大のリスクを抑えながら駆除する。
- イ:識別された資産に対するリスクを分析,評価し,基準に照らして対応が必要かどうかを判断する。
- ウ:事前に登録された情報を使って,システムの利用者が本人であることを確認する。
- エ:情報システムの導入に際し,費用対効果を算出する。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
リスクアセスメントとは、識別した情報資産について、リスクを分析・評価し、あらかじめ定めた基準と比較して、対応が必要かどうかを判断するプロセスです。一般に、リスク特定、リスク分析、リスク評価で構成されます。
Point
この問題は、情報セキュリティで使われるリスクアセスメントの定義を理解しているかを確認するものです。リスクアセスメントは、情報資産のリスクを分析し、基準に照らして対応の要否を判断する活動であり、ウイルス駆除、認証、費用対効果の算出とは区別して考える必要があります。
解くために必要な知識
この問題を解くには、リスクアセスメントが「対策を実施する作業」ではなく「リスクを分析・評価して対応要否を決める作業」である点を理解している必要があります。
用語の整理
リスクアセスメント
識別した情報資産に対して、リスクを分析・評価し、基準に照らして対応が必要かどうかを判断するプロセスです。
リスクアセスメントの主な段階
| 段階 | 目的 | 例 |
|---|---|---|
| リスク特定 | 脅威や脆弱性を洗い出す | 不正アクセスの脅威、パスワード管理不備の脆弱性を洗い出す |
| リスク分析 | 発生可能性と影響度を見積もる | 発生可能性を高・中・低、影響度を大・中・小で見積もる |
| リスク評価 | 基準と比較し対応要否を決める | 「一定以上のリスクは対応する」基準に照らして対応要否を決める |
問題の解法手順
各選択肢の整理
| 選択肢 | 内容 | 該当する概念 | 正誤 |
|---|---|---|---|
| ア | ウイルスの感染拡大を抑えながら駆除する | インシデント対応(マルウェア駆除) | × |
| イ | 識別された資産に対するリスクを分析・評価し、対応要否を判断する | リスクアセスメント | ○ |
| ウ | 事前登録情報で利用者が本人か確認する | 認証 | × |
| エ | 情報システム導入時に費用対効果を算出する | 投資評価 | × |
判断のポイント
リスクアセスメントに含まれること
-
資産を識別する。
-
リスクを分析する。
-
リスクを評価する。
-
基準に照らして、対応が必要かどうかを判断する。
各選択肢の結論
「イ」は、上記のうち「分析」「評価」「基準に照らした対応要否判断」を述べており、リスクアセスメントの説明として適切です。
選択肢ごとの解説
- ア:不正解
ウイルスの駆除は、主にインシデント発生後の対処にあたります。リスクを分析・評価して対応要否を判断するリスクアセスメントの説明ではありませんので誤りです。
- イ:正解
識別された資産に対するリスクを分析し、評価し、基準に照らして対応要否を判断する説明です。これはリスクアセスメントの内容に一致しますので正解です。
- ウ:不正解
事前に登録した情報で本人確認を行うのは認証です。リスクアセスメントの説明ではありませんので誤りです。
- エ:不正解
費用対効果の算出は投資判断で用いられる考え方です。情報セキュリティにおけるリスクアセスメントの説明ではありませんので誤りです。
まとめ
リスクアセスメントとは、識別した情報資産について、リスクを分析・評価し、あらかじめ定めた基準と比較して、対応が必要かどうかを判断するプロセスです。一般に、リスク特定、リスク分析、リスク評価で構成されます。
テクノロジ系 > 技術要素 > セキュリティ
ウイルスの駆除は、主にインシデント発生後の対処にあたります。リスクを分析・評価して対応要否を判断するリスクアセスメントの説明ではありませんので誤りです。
識別された資産に対するリスクを分析し、評価し、基準に照らして対応要否を判断する説明です。これはリスクアセスメントの内容に一致しますので正解です。
事前に登録した情報で本人確認を行うのは認証です。リスクアセスメントの説明ではありませんので誤りです。
費用対効果の算出は投資判断で用いられる考え方です。情報セキュリティにおけるリスクアセスメントの説明ではありませんので誤りです。