問題
問96
情報セキュリティにおけるリスクマネジメントに関して、次の記述中のa~cに入れる字句の適切な組合せはどれか。
[出典:ITパスポート試験 平成28年度秋期 問96]
正解
正解は「イ」です。
解説
情報セキュリティにおけるリスクマネジメントでは、「脆弱性」「脅威」「リスク」という三つの重要な要素があります。まず、「脆弱性」とは、情報システムやデータ、あるいはそれを扱う組織や人の弱点や欠陥を指します。例えば、古いソフトウェアの利用、パスワードの管理がずさんであること、システムの設計ミスなどがこれに該当します。これは、例えるなら家にある鍵のかかっていない窓のようなものです。
次に「脅威」とは、その脆弱性を悪用して情報資産に損害を与える可能性のある事象や行動のことです。サイバー攻撃、マルウェア感染、内部不正による情報漏えい、あるいは地震や火災といった自然災害なども脅威に含まれます。これは、鍵のかかっていない窓から侵入しようとする泥棒や、窓を割る可能性のある台風のようなものです。
そして「リスク」とは、脆弱性が脅威にさらされることによって、情報資産に損害が発生する可能性と、その損害の大きさを合わせた概念です。鍵のかかっていない窓(脆弱性)があり、そこに泥棒(脅威)が現れた結果、家財が盗まれるかもしれないという状況全体がリスクに当たります。
問題文の「組織がもつ情報資産の『a』を突く『b』によって、組織が損害を被る可能性のことを『c』という」という記述は、この関係性に基づいています。 したがって、情報資産の「脆弱性」(弱点)を「脅威」(悪意のある行動や事象)が「突く」ことで、「リスク」(損害の可能性)が生じるという流れが適切です。そのため、aには「脆弱性」、bには「脅威」、cには「リスク」が入ります。
ア(脅威 リスク 脆弱性):
情報資産の「脅威」を「リスク」によって突くという表現は、用語の関係性が逆であり誤りです。また、損害の可能性が「脆弱性」であるという点も違います。
ウ(リスク 脅威 脆弱性):
情報資産の「リスク」を「脅威」によって突くという表現は誤りです。リスクは結果として発生する可能性であり、突く対象ではありません。損害の可能性が「脆弱性」であるという点も違います。
エ(リスク 脆弱性 脅威):
情報資産の「リスク」を「脆弱性」によって突くという表現は誤りです。脆弱性は弱点そのものであり、脅威がそれを突く原因となります。また、損害の可能性が「脅威」であるという点も違います。
難易度
この問題は、情報セキュリティマネジメントの基本概念である「脆弱性」「脅威」「リスク」の相互関係を問うもので、ITパスポート試験では頻出のテーマです。各用語の定義を正確に理解していれば、初学者の方でも正解にたどり着きやすいでしょう。これらの用語は混同しやすいため、具体的な例を思い浮かべながら学習すると、より理解が深まります。
用語補足
情報資産:
企業や個人が持つ情報そのもの、およびその情報を管理・利用するためのシステムや設備など、価値のあるものを指します。例えば、顧客データ、機密文書、サーバー、業務で使うパソコンなどが情報資産に当たります。
脆弱性:
情報システム、ソフトウェア、ネットワーク、または運用プロセスに存在するセキュリティ上の弱点や欠陥のことです。例えるなら、古いソフトウェアの未修正のバグや、パスワードが簡単に推測できてしまう状態などが挙げられます。
脅威:
情報資産に損害を与える可能性のある出来事や事象、または悪意のある行為のことです。例えば、ウイルス感染、ハッキング、従業員による情報漏えい、あるいは自然災害などが脅威に該当します。
リスク:
情報セキュリティにおけるリスクとは、情報資産の脆弱性が脅威によって悪用され、損害が発生する可能性と、その損害の重大性を組み合わせた概念です。例えば、鍵のかかっていない窓(脆弱性)に泥棒(脅威)が侵入し、貴重品が盗まれるかもしれない状況全体がリスクです。
対策
この問題のポイントは、「脆弱性」「脅威」「リスク」という三つの用語の関係性を正確に把握することです。脆弱性は『弱点』、脅威は『弱点を突く行為や事象』、リスクは『弱点を突かれた結果起こる可能性と損害』と覚えると整理しやすいでしょう。学習対策としては、それぞれの用語の定義を個別に覚えるだけでなく、具体的なシナリオを想定して、どの要素が何に当たるかを識別する練習をすると良いでしょう。過去問題で出題される文脈に慣れることも重要です。
