情報セキュリティ

基本情報技術者試験リスクアセスメント」の問題

情報セキュリティ情報セキュリティ難易度:normal
C社では、情報セキュリティリスクの洗い出しを担当者が思いつくままに列挙していたため、部署や情報資産によって洗い出しの深さにばらつきが生じ、重要なリスクの見落としが疑われている。リスク特定の網羅性を高める進め方として、最も適切なものはどれか。
実際に被害が出た実績のあるリスクに対象を絞って一覧化する。
担当者の経験に任せ、思いついたリスクをそのつど書き足す。
他社で報告された事例を写し取り、自社資産との対応付けは省く。
資産台帳を起点に、各資産の脅威と弱点を一つずつ突き合わせて拾う。
正解
資産台帳を起点に、各資産の脅威と弱点を一つずつ突き合わせて拾う。

リスク特定では『守るべき情報資産』を起点に、それぞれが直面する脅威と内在する脆弱性を体系的に組み合わせて洗い出すことで網羅性が高まる。資産の棚卸しを土台に脅威・脆弱性を突き合わせれば、担当者の主観に依存せず見落としを減らせる。

?選択肢ごとの解説

ア ×過去に被害が出たリスクだけに絞ると、まだ顕在化していない潜在的・新規のリスクを取りこぼし、網羅性をむしろ損なう。
イ ×思いつきでの追記は担当者の経験や関心に左右され、部署や資産による深さのばらつきという現状の問題を解消できない。
ウ ×他社事例の転記は参考にはなるが、自社資産との対応付けを省けば自社固有のリスクを捉えられず、網羅性を担保できない。
エ ○リスク特定では『守るべき情報資産』を起点に、それぞれが直面する脅威と内在する脆弱性を体系的に組み合わせて洗い出すことで網羅性が高まる。資産の棚卸しを土台に脅威・脆弱性を突き合わせれば、担当者の主観に依存せず見落としを減らせる。

くわしく

リスクアセスメントは『特定→分析→評価』の順で進む。最初のリスク特定では、資産・脅威・脆弱性の三要素を体系的に組み合わせる手法(資産ベース)が網羅性確保の定石であり、主観的列挙との差が出る段階である。

本番での押さえどころ

試験のコツ

リスク特定の網羅性は『資産棚卸し→各資産の脅威・脆弱性を体系的に洗い出す』が王道。主観的列挙は不可。

覚え方

リスク特定は『資産×脅威×脆弱性』の掛け算。資産を並べてから漏れなく当てはめる。

よくある誤り

過去実績や他社事例だけに頼り、自社の全資産を起点に脅威・脆弱性を突き合わせる体系的手順を踏まない。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0135

【基本情報技術者試験】リスクアセスメントの問題 — 解答・解説|ukamiru 過去問