平成30年春期試験問題 午前問14

セキュリティバイデザインの説明はどれか。

  • 開発済みのシステムに対して,第三者の情報セキュリティ専門家が,脆弱性診断を行い,システムの品質及びセキュリティを高めることである。
  • 開発済みのシステムに対して,リスクアセスメントを行い,リスクアセスメント結果に基づいてシステムを改修することである。
  • システムの運用において,第三者による監査結果を基にシステムを改修することである。
  • システムの企画・設計段階からセキュリティを確保する方策のことである。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
解説
内閣府サイバーセキュリティセンター(NISC)によれば、セキュリティバイデザイン(SBD)は、「情報セキュリティを企画・設計段階から確保するための方策」と定義されています。開発プロセスの早期段階からセキュリティを考慮することで、後付けでセキュリティ機能を追加する場合と比べて、①手戻りが少ない、②低コスト、③保守性の向上 などの利点があるとされています。
特にNISCが策定した「安全なIoTシステムのためのセキュリティに関する一般的枠組」の冒頭でも述べられているように、IoTシステムについてはセキュリティバイデザイン思想で設計、構築、運用することが推奨されています。

「エ」の記述がNISCの定義そのままです。よって「エ」が正解です。

Pagetop