平成21年度 秋期 ITパスポート試験 問45 解説 情報システムの脅威対策
情報システムの安定稼働を妨げる様々な脅威への事前対策に関する説明のうち, 適切なものはどれか。
- ア 外部からの不正侵入が完全に阻止できれば, 不正アクセスへの事前対策としては問題ない。
- イ 自然災害に対しては予測が困難なので, 人的災害に絞って事前対策を講じる。
- ウ すべてのデータをバックアップしておけば, ほかの事前対策は不要となる。
- エ 予想損失額や対策コストとのトレードオフを考慮して, 必要な事前対策を講じる。 ✓ 正答
解説
この問題は「リスクマネジメント」の考え方に基づき、対策の妥当性を判断する問題です。情報セキュリティにおいて「100%の安全」は存在しません。そのため、すべての脅威を完璧に防ごうとするのではなく、予算や業務への影響度を考え、現実的なラインで対策を講じるという判断が正解となります。
セキュリティ対策における現実的な判断基準
情報セキュリティの現場では、あらゆる脅威を完全に排除することは経済的にも技術的にも不可能です。そのため、以下の要素を天秤にかけるリスクアセスメントの考え方が不可欠です。
- 脅威が現実になった場合に発生する予想損失額(被害の大きさ)
- その脅威を防ぐための対策にかかるコスト(費用)
対策コストが被害額を大きく上回ってしまう場合、その対策は「費用対効果が悪い」と判断されます。このように、コストと効果のバランスを考慮して優先順位をつけることが、組織にとっての正解となります。
なぜ他の選択肢は誤りなのか
選択肢アについては、外部からの侵入だけでなく、内部不正やシステムの故障、自然災害など、脅威は多岐にわたります。一部の脅威を防ぐだけでは不十分です。
選択肢イについては、自然災害は発生確率こそ予測困難ですが、発生時の影響は極めて甚大です。したがって、BCP(事業継続計画)を策定し、被災時のバックアップや代替拠点の確保といった事前対策を講じることは極めて重要です。
選択肢ウについては、バックアップがあればデータは守れますが、システムがダウンしている間の業務停止までは防げません。サービスの提供を維持するためには、冗長化構成やセキュリティ設定といった別の対策を組み合わせる必要があります。
リスクベースで考える重要性
ITパスポート試験でこのテーマが問われる背景には、実際の業務における「経営的視点」を養うという目的があります。
例えば、社内システムを守るために「世界最高峰の最新鋭のセキュリティ機器」を導入するとします。しかし、それがあまりに高額で、会社の利益をすべて食いつぶしてしまっては本末転倒です。一方で、コストを抑えるためにセキュリティを軽視すれば、情報漏えいによる賠償金や社会的信用の失墜で会社が倒産するリスクもあります。
この問題は、エンジニアリングの知識だけでなく「どれくらいの予算をかけて、どのレベルまで守るか」というマネジメントの意思決定能力を問うており、実務におけるプロジェクト管理の基本となる考え方を示しています。
参考リンク
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
