基本情報技術者試験「リスクアセスメント」の問題
C社では、情報セキュリティリスクの洗い出しを担当者が思いつくままに列挙していたため、部署や情報資産によって洗い出しの深さにばらつきが生じ、重要なリスクの見落としが疑われている。リスク特定の網羅性を高める進め方として、最も適切なものはどれか。
ア実際に被害が出た実績のあるリスクに対象を絞って一覧化する。
イ担当者の経験に任せ、思いついたリスクをそのつど書き足す。
ウ他社で報告された事例を写し取り、自社資産との対応付けは省く。
エ資産台帳を起点に、各資産の脅威と弱点を一つずつ突き合わせて拾う。
正解
エ.資産台帳を起点に、各資産の脅威と弱点を一つずつ突き合わせて拾う。
リスク特定では『守るべき情報資産』を起点に、それぞれが直面する脅威と内在する脆弱性を体系的に組み合わせて洗い出すことで網羅性が高まる。資産の棚卸しを土台に脅威・脆弱性を突き合わせれば、担当者の主観に依存せず見落としを減らせる。
?選択肢ごとの解説
ア ×過去に被害が出たリスクだけに絞ると、まだ顕在化していない潜在的・新規のリスクを取りこぼし、網羅性をむしろ損なう。
イ ×思いつきでの追記は担当者の経験や関心に左右され、部署や資産による深さのばらつきという現状の問題を解消できない。
ウ ×他社事例の転記は参考にはなるが、自社資産との対応付けを省けば自社固有のリスクを捉えられず、網羅性を担保できない。
エ ○リスク特定では『守るべき情報資産』を起点に、それぞれが直面する脅威と内在する脆弱性を体系的に組み合わせて洗い出すことで網羅性が高まる。資産の棚卸しを土台に脅威・脆弱性を突き合わせれば、担当者の主観に依存せず見落としを減らせる。
✎くわしく
リスクアセスメントは『特定→分析→評価』の順で進む。最初のリスク特定では、資産・脅威・脆弱性の三要素を体系的に組み合わせる手法(資産ベース)が網羅性確保の定石であり、主観的列挙との差が出る段階である。
✓本番での押さえどころ
試験のコツ
リスク特定の網羅性は『資産棚卸し→各資産の脅威・脆弱性を体系的に洗い出す』が王道。主観的列挙は不可。
覚え方
リスク特定は『資産×脅威×脆弱性』の掛け算。資産を並べてから漏れなく当てはめる。
よくある誤り
過去実績や他社事例だけに頼り、自社の全資産を起点に脅威・脆弱性を突き合わせる体系的手順を踏まない。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0135