問題
問67
情報資産に対するリスクは、脅威と脆弱性を基に評価する。脅威に該当するものはどれか。
- 暗号化しない通信
- 機密文書の取扱方法の不統一
- 施錠できないドア
- 落雷などによる予期しない停電
[出典:ITパスポート試験 平成30年度秋期 問67]
正解
正解は「エ」です。
解説
正解は「落雷などによる予期しない停電」です。情報セキュリティにおける「脅威」とは、情報資産に損害を与える可能性のある外部からの出来事や事象を指します。落雷による停電は、企業の情報システムが稼働できなくなる原因となり、事業活動に大きな影響を与える可能性があります。これは、企業やシステムのコントロール範囲外で発生する自然現象であり、情報資産の可用性(必要なときに利用できること)を損なう典型的な脅威の一つです。
例えば、会社のサーバーが停電でダウンすると、インターネットサービスが停止したり、業務システムが使えなくなったりしますよね。このように、意図せずして情報システムに悪影響を及ぼす可能性のある外部要因が「脅威」に該当します。
ア(暗号化しない通信):
暗号化しない通信は、情報漏えいの原因となる「脆弱性(システムの弱点)」に該当します。脅威ではありません。
イ(機密文書の取扱方法の不統一):
機密文書の取扱方法の不統一は、情報管理のルールや手順における「脆弱性(運用の弱点)」です。脅威ではありません。
ウ(施錠できないドア):
施錠できないドアは、物理的なセキュリティ対策における「脆弱性(物理的な弱点)」です。侵入という脅威を許す弱点に当たります。
難易度
この問題は、情報セキュリティの基本的な概念である「脅威」と「脆弱性」の違いを理解しているかが問われるため、初学者にとっては少し難しいかもしれません。しかし、それぞれの用語の意味をしっかりと把握していれば、選択肢を一つずつ吟味することで正解を導き出すことができます。特に、脅威が「外部からの出来事」であるのに対し、脆弱性が「内部に存在する弱点」であるという違いを明確に理解することが重要です。
用語補足
情報資産:
情報資産とは、企業や組織が事業活動を行う上で価値を持つ情報の集合体や、それを扱うシステム全般を指します。例えば、顧客情報、営業データ、サーバー、ネットワーク機器などが情報資産に該当します。
リスク:
リスクとは、情報資産にとって望ましくない事態が発生する可能性と、それが実際に発生した場合に情報資産に与える損害の大きさの組み合わせです。例えば、顧客情報が漏れる可能性や、それが企業に与える信用失墜の度合いなどがリスクです。
脅威:
脅威とは、情報資産に損害を与える原因となる事象や出来事のことです。例えば、地震や停電といった自然災害、サイバー攻撃、従業員による情報持ち出しなどが脅威に当たります。
脆弱性:
脆弱性とは、情報資産やシステム、運用プロセスの中に存在する弱点や欠陥のことです。例えば、ソフトウェアのセキュリティホール、パスワードの使い回し、セキュリティ対策が不十分なドアなどが脆弱性に当たります。
対策
この問題を解くためのポイントは、「脅威」と「脆弱性」という情報セキュリティの基本用語の違いを正確に理解することです。脅威は「外部から来る悪いこと」、脆弱性は「内部に存在する弱点」と考えると分かりやすいでしょう。対策としては、情報セキュリティマネジメントシステム(ISMS)の概念を学習し、リスクアセスメントのプロセス(脅威、脆弱性、リスクの関係)をしっかりと頭に入れることが重要です。過去問を繰り返し解き、各用語の定義と具体例を結びつけて覚えるようにしましょう。
