リスクの基本概念
情報セキュリティマネジメント試験「リスクの構成要素」の問題
情報セキュリティにおける「脆弱性(ぜいじゃくせい)」の説明として、最も適切なものはどれか。
ア情報資産に損害を与える可能性のある外部からの攻撃や事象そのもののこと。
イ脅威に付け込まれうる、情報資産や管理策の側に内在する弱点や欠陥のこと。
ウ脅威が現実化して事故が起きたときに組織が被る損失の大きさを、金額や事業への影響度といった尺度で見積もって表したもの。
エ守るべき情報や設備など、組織にとって価値があり保護対象となるもの。
正解
イ.脅威に付け込まれうる、情報資産や管理策の側に内在する弱点や欠陥のこと。
リスクは「資産・脅威・脆弱性」の関係で生じる。脆弱性はそのうち、脅威が侵入や悪用の足掛かりにできる内在的な弱点(未修正のバグ、設定不備など)を指す。
?選択肢ごとの解説
ア ×脅威の説明。脅威は損害を与えうる原因であり、それに付け込まれる弱点である脆弱性とは区別される。
イ ○リスクは「資産・脅威・脆弱性」の関係で生じる。脆弱性はそのうち、脅威が侵入や悪用の足掛かりにできる内在的な弱点(未修正のバグ、設定不備など)を指す。
ウ ×影響度(損失)の説明。これはリスクの大きさを構成する要素だが、弱点そのものを指す脆弱性とは異なる。
エ ×情報資産の説明。資産は守る対象であって、攻撃に付け込まれる弱点である脆弱性とは概念が異なる。
リスクの基本概念の他の問題
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-0002
