情報セキュリティリスクの要素とは?
「情報セキュリティリスク」とは、情報システムとそのデータについて損害やマイナスの影響を生じる可能性を持ったリスクのことです。
「情報セキュリティの脅威」とは、 情報セキュリティリスクを顕在化させる望ましくないインシデントの潜在的な原因のことです。大きく「意図的脅威」・「偶発的脅威」・「環境的脅威」に分類されます。
「情報セキュリティの脆弱性」とは、 一つ以上の脅威によって付け込まれる可能性のある資産又は管理策の弱点のことです。主な例として、「ソフトウェアの脆弱性」・「管理文書・体制の不備」・「災害やトラブルに弱い立地」が挙げられます。
ここで、「意図的脅威」・「偶発的脅威」・「環境的脅威」について説明します。
- 意図的脅威 :標的型攻撃、マルウェア感染、Webサイトの改ざん等、外部の悪意ある人間の行為のことす。
- 偶発的脅威:従業員がルールに則らず外部に持ち出したPCや記録媒体が盗難にあったり、システムの操作ミスにより機密情報を漏洩されるケースのことです。
- 環境的脅威:地震や台風、落雷、火事といった自然災害の脅威のことです。災害によってサーバーなどのハードウェアや電気、建物自体などが使えず情報システムの停止を引き起こします。
なお、「ソフトウェアの脆弱性」・「管理文書・体制の不備」・「災害やトラブルに弱い立地」について説明します。
- ソフトウェアの脆弱性:ソフトウェアやOSには、潜在的不具合や時間の経過によって、発生した不具合が発見されることがあります。
- 管理文書・体制の不備:ソフトウェア仕様書や操作手順書の不備、情報管理の体制の不備が、ソフトウェア障害や誤操作、セキュリティ事故対応の遅れの原因となります。
- 災害やトラブルに弱い立地:災害に見舞われやすい、停電が起きやすい場所などにデータセンターがある場合は、サーバーの故障や破損でシステムが稼働できなくなる可能性が高くなります。
情報セキュリティリスクの要素に関する問題(平成30年秋 問67)
◆確認問題
情報資産に対するリスクは,脅威と脆弱性を基に評価する。脅威に該当するものはどれか。
出典:平成30年度 秋期 ITパスポート試験公開問題 問67
ア. 暗号化しない通信
イ. 機密文書の取扱方法の不統一
ウ. 施錠できないドア
エ. 落雷などによる予期しない停電
正しいと思う選択肢をクリックしてみてください!!!
ア. 暗号化しない通信
不正解です。
イ. 機密文書の取扱方法の不統一
不正解です。
ウ. 施錠できないドア
不正解です。
エ. 落雷などによる予期しない停電
正解です。
リスクアセスメントとは?
「リスクアセスメント」は、企業や組織においてリスクが顕在化する前に、リスクに備える行動・活動のことです。
リスクアセスメントに関する問題(平成30年秋 問68)
◆確認問題
情報セキュリティにおけるリスクアセスメントの説明として,適切なものはどれか。
出典:平成30年度 秋期 ITパスポート試験公開問題 問68
ア. PCやサーバに侵入したウイルスを,感染拡大のリスクを抑えながら駆除する。
イ. 識別された資産に対するリスクを分析,評価し,基準に照らして対応が必要かどうかを判断する。
ウ. 事前に登録された情報を使って,システムの利用者が本人であることを確認する。
エ. 情報システムの導入に際し,費用対効果を算出する。
正しいと思う選択肢をクリックしてみてください!!!
ア. PCやサーバに侵入したウイルスを,感染拡大のリスクを抑えながら駆除する。
不正解です。
イ. 識別された資産に対するリスクを分析,評価し,基準に照らして対応が必要かどうかを判断する。
正解です。
ウ. 事前に登録された情報を使って,システムの利用者が本人であることを確認する。
不正解です。
エ. 情報システムの導入に際し,費用対効果を算出する。
不正解です。
コメント