情報セキュリティ

基本情報技術者試験セキュリティ成熟度」の問題

情報セキュリティ情報セキュリティ難易度:hard
L社の経営層は『当社のセキュリティ対策は他社と比べてどの水準にあり、次に何へ投資すべきか分からない』と感じている。場当たり的な対策投資から脱し、計画的に水準を引き上げるための取組みとして、最も適切なものはどれか。
他社が入れている最新製品を、自社の現状を調べずに同じように導入する。
インシデントが起きるたびに、その都度必要な対策を足していく。
段階を示す物差しで今の到達点を測り、目標との差を順々に詰める。
予算の上限を先に決め、その枠で買える製品を順位を付けずに揃える。
正解
段階を示す物差しで今の到達点を測り、目標との差を順々に詰める。

計画的に水準を引き上げるには、まず自社が今どの段階にあるかを成熟度モデルで客観的に評価し、目指す目標水準とのギャップを明確にし、その差を段階的に埋めるロードマップを描く必要がある。現状の可視化と目標設定により、投資の優先順位を根拠づけられる。

?選択肢ごとの解説

ア ×自社の現状を分析せずに他社の製品をまねて導入しても、自社に必要な対策とずれる恐れがあり、場当たり的投資の域を出ない。
イ ×インシデントのつど対策を追加する事後対応の繰り返しは、まさに場当たり的な進め方であり、計画的な水準向上にならない。
ウ ○計画的に水準を引き上げるには、まず自社が今どの段階にあるかを成熟度モデルで客観的に評価し、目指す目標水準とのギャップを明確にし、その差を段階的に埋めるロードマップを描く必要がある。現状の可視化と目標設定により、投資の優先順位を根拠づけられる。
エ ×予算上限を先に決め優先順位なしに購入する手法は、何が重要かの判断を欠き、限られた資源を効果的に配分できない。

くわしく

セキュリティ成熟度モデルは、対策の取組み状況を段階(例:場当たり的→管理された→最適化された)で表し、現状評価と目標設定を可能にする。重要なのは『現在地の把握→目標水準→ギャップ分析→段階的計画』という流れであり、これが計画的投資の基盤となる。

本番での押さえどころ

試験のコツ

場当たり的投資からの脱却は『成熟度モデルで現状評価→目標とのギャップを段階的に解消』が定石の解答。

覚え方

成熟度は『今どこにいて、どこへ行くか』の地図。現在地(評価)と目的地(目標)を結ぶ道筋を描く。

よくある誤り

他社追随や予算先行で製品を導入し、自社の現状評価と目標設定(ギャップ分析)という計画の起点を欠いてしまう。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0144

【基本情報技術者試験】セキュリティ成熟度の問題 — 解答・解説|ukamiru 過去問