問題
問70
ISMSにおけるリスク分析に関する記述として、適切なものはどれか。
- 異なる情報資産について、脅威と脆弱性のレベルが同じであれば、その資産価値が小さいほどリスク値は大きくなる。
- システムの規模や重要度にかかわらず、全てのリスクを詳細に分析しなければならない。
- 電子データは分析の対象とするが、紙媒体のデータは対象としない。
- リスクの内容は業界や業種によって異なることから、対象とする組織に適した分析手法を用いる。
[出典:ITパスポート試験 平成30年度春期 問70]
正解
正解は「エ」です。
解説
正解は「エ」です。ISMS(情報セキュリティマネジメントシステム)におけるリスク分析では、組織の置かれている状況や業種、事業内容によってリスクの性質や重要度が異なります。そのため、画一的な分析手法ではなく、組織の特性に合わせて、それぞれに適した分析手法を選択・適用することが重要です。
例えば、製造業であれば生産ラインの停止リスク、金融業であれば情報漏洩リスクなど、業界特有のリスクへの対応が求められます。リスク分析は、組織が直面する可能性のある脅威や脆弱性を特定し、それらがもたらす影響度を評価することで、効果的なセキュリティ対策を講じるための基盤となります。組織の状況に合わせた分析を行うことで、限られたリソースを最も効果的な対策に投入できるようになります。
ア(異なる情報資産について、脅威と脆弱性のレベルが同じであれば、その資産価値が小さいほどリスク値は大きくなる。):
リスク値は、脅威や脆弱性のレベルだけでなく、資産価値も考慮して算出されます。資産価値が小さいほど、たとえ同じ脅威や脆弱性であっても、リスク値は小さくなるのが一般的です。例えば、価値の低い備品が盗まれるリスクと、機密情報が漏洩するリスクでは、後者の方がはるかに大きな影響をもたらします。
イ(システムの規模や重要度にかかわらず、全てのリスクを詳細に分析しなければならない。):
全てのリスクを詳細に分析することは、リソースの観点から現実的ではありません。リスク分析においては、重要度や影響度に基づいてリスクに優先順位をつけ、重要度の高いリスクから優先的に分析・対策を行うのが効率的です。すべてのリスクを詳細に分析しようとすると、時間やコストがかかりすぎてしまい、かえって実効性のある対策を講じるのが難しくなる可能性があります。
ウ(電子データは分析の対象とするが、紙媒体のデータは対象としない。):
ISMSでは、情報資産を保護対象としており、電子データだけでなく、紙媒体の資料や書類なども分析対象に含まれます。紙媒体であっても、機密情報や個人情報が含まれる場合は、漏洩や紛失のリスクを考慮し、適切に管理する必要があります。そのため、紙媒体のデータもリスク分析の対象として検討することが重要です。
難易度
この問題は、ISMSのリスク分析に関する基本的な知識を問うものです。リスク分析の目的や、分析手法の選択について理解していれば解答できます。ただし、各選択肢がリスク分析の原則に反している理由を的確に理解する必要があるため、初学者にとってはやや難しく感じるかもしれません。過去問や参考書でISMSの基礎を学習しておくことが対策につながります。
用語補足
ISMS:
ISMS(Information Security Management System)とは、組織が情報資産を保護するための情報セキュリティマネジメントシステムのことです。組織の情報セキュリティ方針に基づき、リスクアセスメントを実施し、それに応じた対策を継続的に実施・改善していくための仕組み全体を指します。例えば、会社の顧客情報や従業員情報などを漏洩や不正アクセスから守るためのルールや管理体制などが含まれます。
リスク分析:
リスク分析とは、情報セキュリティにおいて、情報資産に存在するリスク(脅威と脆弱性の組み合わせによって発生しうる損害)を特定し、その発生可能性と影響度を評価することです。例えば、「会社の顧客リストがインターネットから不正に取得される」というリスクに対して、その「発生可能性」と「もし発生した場合の損害の大きさ」を分析し、対策の優先順位を決めます。
脅威:
脅威とは、情報資産に損害を与える可能性のある出来事や要因のことです。自然災害(地震、火災など)や、システム障害、不正アクセス、マルウェア感染、人的ミスなどが脅威にあたります。例えば、会社のパソコンがウイルスに感染してしまうことは、脅威の一つです。
脆弱性:
脆弱性とは、情報資産に損害を与える可能性のある弱点のことです。ソフトウェアのバグや、パスワード管理の甘さ、従業員のセキュリティ意識の低さなどが脆弱性にあたります。例えば、古いバージョンのOSを使っていると、それが原因で不正アクセスのリスクが高まることがあります。
対策
この問題では、ISMSにおけるリスク分析の適切な進め方や考え方を理解しているかが問われています。特に、リスク分析は組織の状況に合わせて行うべきであるという点が重要です。各選択肢がなぜ不適切なのかを、リスク分析の基本的な原則と照らし合わせて判断する練習をしましょう。過去問を解き、ISMSのリスク分析に関する知識を体系的に身につけることが効果的です。
