問題
問68
情報セキュリティにおけるリスクアセスメントの説明として、適切なものはどれか。
- PCやサーバに侵入したウイルスを、感染拡大のリスクを抑えながら駆除する。
- 識別された資産に対するリスクを分析,評価し、基準に照らして対応が必要かどうかを判断する。
- 事前に登録された情報を使って、システムの利用者が本人であることを確認する。
- 情報システムの導入に際し、費用対効果を算出する。
[出典:ITパスポート試験 平成30年度秋期 問68]
正解
正解は「イ」です。
解説
正解は「イ」です。リスクアセスメントとは、情報セキュリティにおける脅威(情報資産への悪影響)や脆弱性(情報資産の弱点)を特定し、それらが情報資産に与える影響度や発生可能性を分析・評価する一連のプロセスのことです。これにより、どのようなリスクがどれくらい存在するのか、そしてそのリスクに対してどのような対策が必要なのかを判断します。
例えば、会社の大切な顧客情報という「資産」があったとして、それを盗まれる可能性(「脅威」)や、情報が保存されているシステムにセキュリティ上の弱点(「脆弱性」)がないかを調べ、もし盗まれたら会社にとってどれくらいの損害になるかを評価し、対策の優先順位を決めるのがリスクアセスメントです。これは家計でいうと、泥棒に入られるリスク(脅威)や鍵の脆弱性(脆弱性)を評価し、高価なものを守るために防犯カメラや警備システムが必要かを検討するようなものです。
ア(PCやサーバに侵入したウイルスを、感染拡大のリスクを抑えながら駆除する。):
これはインシデント対応やウイルス対策の活動の一部であり、リスクアセスメントの範囲とは異なります。リスクアセスメントは事前の評価プロセスです。
ウ(事前に登録された情報を使って、システムの利用者が本人であることを確認する。):
これは認証の説明です。認証は情報セキュリティ対策の一つですが、リスクを評価するリスクアセスメントとは目的が異なります。
エ(情報システムの導入に際し、費用対効果を算出する。):
これは投資対効果分析やプロジェクトの経済性評価の一部であり、情報セキュリティのリスク評価とは直接関係ありません。
難易度
この問題の難易度は中程度です。情報セキュリティの基本的なプロセスであるリスクアセスメントの定義を正確に理解しているかが問われます。各選択肢が情報セキュリティに関する別の概念(認証、インシデント対応、費用対効果など)を説明しているため、それぞれの用語とその役割をしっかり区別できる必要があります。ITパスポート試験の学習を進める上で、基礎となる重要な用語の一つですので、しっかりと意味を把握しておくことがポイントです。
用語補足
リスクアセスメント:
組織が持つ情報資産に対し、どのような危険(脅威)があり、システムにどのような弱点(脆弱性)があるかを洗い出し、それらがもたらす影響や発生する可能性を評価するプロセスです。例えば、重要な顧客データ(資産)が不正アクセス(脅威)で盗まれる可能性(脆弱性)を評価し、対策の必要性を判断することです。
認証:
システムやサービスを利用しようとしている人が、本当にその本人であるかを確認するプロセスです。パスワード入力や指紋認証などがこれにあたります。例えば、スマホのロックを解除する際にPINコードを入力したり、顔認証を使ったりする行為が認証です。
ウイルス駆除:
コンピュータウイルスなどの悪意のあるソフトウェア(マルウェア)がシステムに感染した場合に、それを除去し、システムを元の安全な状態に戻す作業です。例えば、コンピュータがウイルスに感染したときに、ウイルス対策ソフトを使って感染したファイルを削除したり、隔離したりすることです。
費用対効果:
ある投資や行動に対して、どれくらいのコストがかかり、それに見合う、あるいはそれ以上の効果が得られるかを評価することです。例えば、新しいシステムを導入する際に、そのシステムにかかる費用と、導入によって得られる業務効率化や売上増加の利益を比較検討することです。
対策
この問題を解くためのポイントは、情報セキュリティの各用語の定義を正確に理解することです。特に「リスクアセスメント」は、情報セキュリティマネジメントの最初のステップとして非常に重要です。類似する用語(認証、インシデント対応など)との違いを明確に区別できるように学習しましょう。用語集を活用したり、各プロセスの流れを意識しながら、それぞれの役割を具体例とともに覚えることが効果的です。これにより、本番試験で迷わずに正解を選べるようになります。
