サンプル問題 [科目B]問50
問50
A社は,分析・計測機器などの販売及び機器を利用した試料の分析受託業務を行う分析機器メーカーである。A社では,図1の"情報セキュリティリスクアセスメント手順"に従い,年一度,情報セキュリティリスクアセスメントの結果をまとめている。
A社は,自社のWebサイトをインターネット上に公開している。A社のWebサイトは,自社が取り扱う分析機器の情報を画像付きで一覧表示する機能を有しており,主にA社で販売する分析機器に関する機能の説明や操作マニュアルを掲載している。A社で分析機器を購入した顧客は,A社のWebサイトからマニュアルをダウンロードして利用することが多い。A社のWebサイトは,製品を販売する機能を有していない。
A社は,年次の情報セキュリティリスクアセスメントの結果を,表2にまとめた。
設問 表2中のa1~a4に入れる数値の適切な組合せを,aに関する解答群から選べ。
- 情報資産の機密性,完全性,可用性の評価値は,それぞれ0~2の3段階とし,表1のとおりとする。
- 情報資産の機密性,完全性,可用性の評価値の最大値を,その情報資産の重要度とする。
- 脅威及び脆弱性の評価値は,それぞれ0~2の3段階とする。
- 情報資産ごとに,様々な脅威に対するリスク値を算出し,その最大値を当該情報資産のリスク値として情報資産管理台帳に記載する。ここで,情報資産の脅威ごとのリスク値は,次の式によって算出する。
リスク値=情報資産の重要度×脅威の評価値×脆弱性の評価値 - 情報資産のリスク値のしきい値を5とする。
- 情報資産ごとのリスク値がしきい値以下であれば受容可能なリスクとする。
- 情報資産ごとのリスク値がしきい値を超えた場合は,保有以外のリスク対応を行うことを基本とする。
A社は,年次の情報セキュリティリスクアセスメントの結果を,表2にまとめた。
設問 表2中のa1~a4に入れる数値の適切な組合せを,aに関する解答群から選べ。
分類
情報セキュリティマネジメントの計画・要求事項 » リスクアセスメント及びリスク対応
正解
エ
解説
図や表が多く解答する数値の根拠を見つけるのが大変そうに見えますが、あわてずに一つ一つ埋めていけば難易度はそれ程高くありません。解答するのは全て自社Webサイトにあるコンテンツだけで、問題文中の根拠も探しやすくなっています。
〔a1について〕
表1の機密性の項目に当てはめて考えます。自社Webサイト掲載情報は、公開情報に位置付けられているため、機密性の評価値は"0"です。
〔a2について〕
表1の完全性の項目に当てはめて考えます。顧客は、A社Webサイトに掲載されるマニュアルをダウンロードして利用するとあるので、改ざんされると顧客に大きな影響があります。したがって、完全性の評価値は"2"です。
〔a3について〕
図1中に、情報資産の重要度は、機密性、完全性、可用性の評価値の最大値とすると説明があります。各評価値は機密性が"0"、完全性が"2"、可用性が"2"ですから、情報資産の重要度は"2"となります。
〔a4について〕
図1中に、リスク値は「情報資産の重要度×脅威の評価値×脆弱性の評価値」とあります。
したがって「エ」の組合せが適切です。
〔a1について〕
表1の機密性の項目に当てはめて考えます。自社Webサイト掲載情報は、公開情報に位置付けられているため、機密性の評価値は"0"です。
〔a2について〕
表1の完全性の項目に当てはめて考えます。顧客は、A社Webサイトに掲載されるマニュアルをダウンロードして利用するとあるので、改ざんされると顧客に大きな影響があります。したがって、完全性の評価値は"2"です。
〔a3について〕
図1中に、情報資産の重要度は、機密性、完全性、可用性の評価値の最大値とすると説明があります。各評価値は機密性が"0"、完全性が"2"、可用性が"2"ですから、情報資産の重要度は"2"となります。
〔a4について〕
図1中に、リスク値は「情報資産の重要度×脅威の評価値×脆弱性の評価値」とあります。
- 情報資産の重要度 … 2
- 脅威の評価値 … 2
- 脆弱性の評価値 … 2
したがって「エ」の組合せが適切です。