情報セキュリティマネジメント平成29年秋期 午前問9
問9
情報セキュリティマネジメントにおける,脅威と脆弱性に関する記述のうち,最も適切なものはどれか。
- 管理策の欠如によって脅威が高まり,脆弱性の深刻度が低くなる。
- 脅威が存在しないと判断できる場合,脆弱性に対処する必要性は低い。
- 脅威のうち,脆弱性によってリスクが顕在化するのは環境的脅威である。
- 脆弱性の有無にかかわらず,事故の発生確率は脅威の大きさで決まる。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ
正解
イ
解説
JIS Q 27000では、情報セキュリティマネジメントにおける脅威と脆弱性を以下のように定義しています。
- 脅威
- システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因
- 脆弱性
- 一つ以上の脅威によって付け込まれる可能性のある,資産又は管理策の弱点
- リスクは損害の大きさと発生確率の組合せで表現されます。管理策の欠如は脆弱性の深刻度を大きくしリスクを高めます。
- 正しい。脅威はシステムや組織の脆弱性に付け込むことで悪い影響をもたらします。たとえ脆弱性があったとしても、そこに付け込む脅威が存在しないならばリスクはゼロです。したがって対処する必要性は低くなります。
- 脅威は、自然災害、システム障害、人為的過失及び不正行為に大別されますが、自然災害などの環境的脅威だけは脆弱性の有無にかかわらず発生します。
- 脆弱性の深刻度が大きいほど事故の発生確率は高くなります。