問題
問68
資産A~Dの資産価値,脅威及び脆弱性の評価値が表のとおりであるとき、最優先でリスク対応するべきと評価される資産はどれか。ここで、リスク値は、表の各項目を重み付けせずに掛け合わせることによって算出した値とする。
- 資産A
- 資産B
- 資産C
- 資産D
[出典:ITパスポート試験 平成31年度春期 問68]
正解
正解は「ア」です。
解説
正解は「ア 資産A」です。 この問題では、リスク値を「資産価値 × 脅威 × 脆弱性」として計算するよう指示されています。各資産のリスク値を計算してみましょう。
- 資産A: 資産価値5 × 脅威2 × 脆弱性3 = 30
- 資産B: 資産価値6 × 脅威1 × 脆弱性2 = 12
- 資産C: 資産価値2 × 脅威2 × 脆弱性5 = 20
- 資産D: 資産価値1 × 脅威5 × 脆弱性3 = 15
計算の結果、資産Aのリスク値が30で最も高くなっています。リスク値は、企業にとっての潜在的な損害の大きさを示す指標ですので、この値が高いほど、より優先的に対策を講じる必要があります。
例えば、大切な情報(資産価値)が、災害(脅威)やシステムの弱点(脆弱性)によって失われる可能性(リスク)が高いと判断された場合、そこから優先的に対策をすることで、効率的に情報システムを守ることができるのです。 したがって、最優先で対応すべき資産は「ア 資産A」となります。
イ(資産B):
資産Bのリスク値は12であり、他の選択肢と比較して最もリスク値が低いため、最優先で対応すべきではありません。
ウ(資産C):
資産Cのリスク値は20であり、資産Aのリスク値30より低いため、最優先で対応すべきではありません。
エ(資産D):
資産Dのリスク値は15であり、資産Aのリスク値30より低いため、最優先で対応すべきではありません。
難易度
この問題は、ITパスポート試験におけるリスク管理の基礎知識と、基本的な計算能力を問うものです。問題文に計算式が明確に示されており、それに従って各資産のリスク値を計算するだけなので、ITの専門知識がなくても比較的解きやすい部類に入ります。落ち着いて計算すれば、誰でも正解にたどり着けるでしょう。
用語補足
資産価値:
企業が保有する情報や情報システムが持つ経済的な価値や重要度を指します。例えば、顧客リストや会社の製品設計図などは、その企業にとって非常に高い資産価値を持つ情報と言えます。
脅威:
情報資産に損害を与える可能性のある、あらゆる事象を指します。例えば、サイバー攻撃、ウイルス感染、地震や火災などの自然災害、従業員による情報漏洩などがこれにあたります。
脆弱性:
情報システムや組織の運用における、セキュリティ上の弱点や欠陥のことです。例えば、ソフトウェアの古いバージョンを使い続けることや、簡単なパスワードを設定していることなどが脆弱性にあたります。
リスク値:
情報資産が脅威にさらされ、脆弱性を突かれることによって発生する可能性のある損害の大きさを数値化したものです。この値が高いほど、その情報資産に対するセキュリティ対策の優先度が高くなります。
対策
この問題は、リスク値の計算式が問題文中に明記されているため、その指示に従って正確に計算することがポイントです。ITパスポート試験では、このように計算問題が出題されることもあります。焦らず、落ち着いて一つ一つの計算を行い、計算ミスがないかを確認する習慣をつけましょう。また、資産価値、脅威、脆弱性といったリスク管理の基本的な用語の意味を理解しておくことは、他の類似問題にも応用できるため重要です。
