リスクの基本概念

情報セキュリティマネジメント試験リスクの構成要素」の問題

情報セキュリティ全般リスクの基本概念難易度:normal
情報セキュリティにおける「脆弱性(ぜいじゃくせい)」の説明として、最も適切なものはどれか。
情報資産に損害を与える可能性のある外部からの攻撃や事象そのもののこと。
脅威に付け込まれうる、情報資産や管理策の側に内在する弱点や欠陥のこと。
脅威が現実化して事故が起きたときに組織が被る損失の大きさを、金額や事業への影響度といった尺度で見積もって表したもの。
守るべき情報や設備など、組織にとって価値があり保護対象となるもの。
正解
脅威に付け込まれうる、情報資産や管理策の側に内在する弱点や欠陥のこと。

リスクは「資産・脅威・脆弱性」の関係で生じる。脆弱性はそのうち、脅威が侵入や悪用の足掛かりにできる内在的な弱点(未修正のバグ、設定不備など)を指す。

?選択肢ごとの解説

ア ×脅威の説明。脅威は損害を与えうる原因であり、それに付け込まれる弱点である脆弱性とは区別される。
イ ○リスクは「資産・脅威・脆弱性」の関係で生じる。脆弱性はそのうち、脅威が侵入や悪用の足掛かりにできる内在的な弱点(未修正のバグ、設定不備など)を指す。
ウ ×影響度(損失)の説明。これはリスクの大きさを構成する要素だが、弱点そのものを指す脆弱性とは異なる。
エ ×情報資産の説明。資産は守る対象であって、攻撃に付け込まれる弱点である脆弱性とは概念が異なる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-0002

【情報セキュリティマネジメント試験】リスクの構成要素の問題と解答・解説|ukamiru 過去問