ITパスポート過去問 平成31年度(2019年)問68
資産A~Dの資産価値,脅威及び脆弱(ぜいじゃく)性の評価値が表のとおりであるとき,最優先でリスク対応するべきと評価される資産はどれか。ここで,リスク値は,表の各項目を重み付けせずに掛け合わせることによって算出した値とする。
選択肢
- ア:資産A
- イ:資産B
- ウ:資産C
- エ:資産D
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
問題文の定義どおり、各資産のリスク値を「資産価値×脅威×脆弱性」で算出して比較します。表より、資産Aは5×2×3=30、資産Bは6×1×2=12、資産Cは2×2×5=20、資産Dは1×5×3=15です。最もリスク値が大きい資産Aを、最優先でリスク対応するべきと評価します。
Point
資産価値、脅威、脆弱性の評価値を表から読み取り、指定された計算方法(重み付けなしの掛け算)でリスク値を算出し、値の大小から対応の優先順位を判断できることを確認する問題です。
解くために必要な知識
この問題を解くには、表から評価値を読み取り、指定された式でリスク値を算出し、最大値を選べることが必要です。
用語の整理
| 用語 | 意味 |
|---|---|
| 資産価値 | 守る対象(情報、システムなど)の価値を数値化したものです。 |
| 脅威 | 資産に損害を与える要因(攻撃、事故、災害など)です。 |
| 脆弱性 | 脅威に悪用され得る弱点(欠陥、設定不備、運用上の弱さなど)です。 |
| リスク値 | リスクの大きさを数値化したものです。本問では積で求めます。 |
計算ルール
本問のリスク値
リスク値 = 資産価値 × 脅威 × 脆弱性
ポイント
-
設問文に「重み付けせずに掛け合わせる」とあるため、3つの値をそのまま掛け算します。
-
求めたリスク値を比較し、最大の資産を最優先とします。
問題の解法手順
図表の読み取り
表の項目
-
行は資産A〜Dです。
-
列は資産価値、脅威、脆弱性です。
表から読み取る値
-
資産A:資産価値5、脅威2、脆弱性3
-
資産B:資産価値6、脅威1、脆弱性2
-
資産C:資産価値2、脅威2、脆弱性5
-
資産D:資産価値1、脅威5、脆弱性3
解く手順
1. リスク値の計算方法を確認する
リスク値 = 資産価値 × 脅威 × 脆弱性
2. 各資産のリスク値を計算する
| 資産 | 計算 | リスク値 |
|---|---|---|
| 資産A | 5×2×3 | 30 |
| 資産B | 6×1×2 | 12 |
| 資産C | 2×2×5 | 20 |
| 資産D | 1×5×3 | 15 |
選択肢ごとの解説
- ア:正解
資産Aのリスク値は5×2×3=30で、4つの資産の中で最大です。したがって、最優先でリスク対応するのは資産Aです。
- イ:不正解
資産Bのリスク値は6×1×2=12です。資産Aの30より小さいため、最優先にはなりません。
- ウ:不正解
資産Cのリスク値は2×2×5=20です。資産Aの30より小さいため、最優先にはなりません。
- エ:不正解
資産Dのリスク値は1×5×3=15です。資産Aの30より小さいため、最優先にはなりません。
まとめ
問題文の定義どおり、各資産のリスク値を「資産価値×脅威×脆弱性」で算出して比較します。表より、資産Aは5×2×3=30、資産Bは6×1×2=12、資産Cは2×2×5=20、資産Dは1×5×3=15です。最もリスク値が大きい資産Aを、最優先でリスク対応するべきと評価します。
テクノロジ系 > 技術要素 > セキュリティ
資産Aのリスク値は5×2×3=30で、4つの資産の中で最大です。したがって、最優先でリスク対応するのは資産Aです。
資産Bのリスク値は6×1×2=12です。資産Aの30より小さいため、最優先にはなりません。
資産Cのリスク値は2×2×5=20です。資産Aの30より小さいため、最優先にはなりません。
資産Dのリスク値は1×5×3=15です。資産Aの30より小さいため、最優先にはなりません。