問題
問83
ISMS における情報セキュリティリスクの特定に関する記述において,a,bに入れる字句の適切な組合せはどれか。
[出典:ITパスポート試験 平成29年度春期 問83]
正解
正解は「ウ」です。
解説
正解は「ウ」です。ISMS(情報セキュリティマネジメントシステム)におけるリスク特定とは、情報セキュリティの脅威と脆弱性を考慮し、情報資産にとっての潜在的なリスクを評価するプロセスを指します。 このリスク特定を行う際には、まずISMSの「適用範囲」を明確に設定することが重要です。適用範囲とは、「どの情報やシステムをISMSで管理するのか」という対象範囲のことです。当然ながら、リスク特定はこの設定された「適用範囲内」で行われます。
また、ISMSが保護すべき情報セキュリティの三大要素として「機密性」「完全性」「可用性」があります。問題文の「機密性, b 及び可用性の喪失に伴うリスクを特定する」という記述は、この三大要素のうち「機密性」と「可用性」が挙げられており、残りの一つである「完全性」がbに入ることで、情報セキュリティの三大要素の喪失という観点からリスクを特定することになります。 したがって、「適用範囲内」で「完全性」の喪失に伴うリスクを特定する、という「ウ」の組み合わせが最も適切です。
ア(適用範囲外完全性):
ISMSのリスク特定は、設定された「適用範囲内」の情報資産に対して行われるため、「適用範囲外」であることは適切ではありません。
イ(適用範囲外脆弱性):
ISMSのリスク特定は「適用範囲内」で行われます。また、リスク特定は「脆弱性」そのものではなく、「機密性」「完全性」「可用性」の喪失という観点で行われます。
エ(適用範囲内脆弱性):
「適用範囲内」である点は正しいですが、ISMSのリスク特定は「機密性」「完全性」「可用性」の喪失を特定するものであり、単に「脆弱性」を特定するだけでは不十分です。脆弱性はリスクの一因ではありますが、リスクそのものではありません。
難易度
この問題は、ISMSの基本的な考え方と情報セキュリティの3要素(機密性、完全性、可用性)を理解しているかが問われます。ISMSの適用範囲と、リスクが「機密性・完全性・可用性の喪失」として捉えられることを知っていれば、比較的容易に正解できます。ITパスポート試験の頻出テーマであり、しっかりと学習していれば初心者でも十分解けるレベルです。
用語補足
ISMS (情報セキュリティマネジメントシステム):
組織が情報セキュリティを体系的に管理し、維持、改善するための仕組みのことです。例えば、会社が顧客情報を安全に扱うためのルール作りや、そのルールが守られているかを確認する活動などが含まれます。
機密性:
情報が、許可された人だけがアクセスできる状態に保たれていることです。例えば、社外秘の資料にパスワードをかけることで、関係者以外には見られないようにすることです。
完全性:
情報が正確で、改ざんや破壊がなく、最新の状態に保たれていることです。例えば、銀行の預金残高が勝手に書き換えられたり、誤った金額が表示されたりしないようにすることです。
可用性:
情報や情報システムを、必要なときにいつでも利用できる状態に保たれていることです。例えば、会社のシステムが故障せず、社員がいつでも仕事に使える状態であることです。
対策
ISMSの基本概念と、情報セキュリティの3要素である「機密性」「完全性」「可用性」(これらを合わせてCIAと覚えることも多いです)は、ITパスポート試験で頻出する重要なキーワードです。それぞれの意味と、ISMSにおけるリスク特定がこれらの要素の喪失を対象とすることを確実に理解しておきましょう。適用範囲の考え方も重要です。過去問演習を通じて、関連用語の定義を正確に把握することが対策のポイントになります。
