平成28年度 秋期 ITパスポート試験 公開問題 問96 解説 情報セキュリティのリスク

この問題は、情報セキュリティにおける基本的な用語の定義を問うものです。以下の関係式を覚えることで、確実に正解を導くことができます。

$リスク = 脅威 \times 脆弱性$

今回の問題文の穴埋めに当てはめると、aには脆弱性、bには脅威、cにはリスクが入ります。したがって、正解は選択肢イとなります。

情報セキュリティの基本概念

情報セキュリティにおける「リスク」とは、単なる事故のことではなく、将来的に損害が発生する「可能性」を指します。このリスクを理解するために必要な3つの要素は以下の通りです。

1. 脆弱性（ぜいじゃくせい） システムや組織が持つ「弱点」のことです。ソフトウェアのプログラム上の欠陥（バグ）や、パスワード管理の甘さ、物理的なセキュリティの不備などがこれに該当します。

2. 脅威 弱点を攻撃したり、悪用したりする「原因」のことです。ウイルス、ハッカーによる攻撃、地震などの災害、従業員の操作ミスなどが含まれます。

3. リスク 「弱点（脆弱性）」が「攻撃のきっかけ（脅威）」にさらされた結果、組織が情報漏洩などの損害を被る可能性のことです。

なぜこの知識が重要なのか

ITパスポート試験において、この概念を理解しておくことは、単なる用語暗記以上の意味を持ちます。組織がセキュリティ対策を講じる際、すべてを完璧に守ることはコストや技術の面で困難です。そこで、「リスクを分析する」という工程が必要になります。

まず、自組織のどこに脆弱性があるかを見つけ出し、どのような脅威があるかを予測します。その上で、「どのリスクが最も重大か」を評価し、予算や人員を優先的に配分する「リスクマネジメント」の考え方が実務では求められます。

この問題は、セキュリティ対策の土台となる「何を相手に戦うのか」という定義を整理する、非常に本質的な教育的意図を持った問題といえます。

参考リンク

• ITパスポート試験ドットコム：リスクマネジメント
• Qiita：脆弱性・脅威・リスクの考え方をゲームに例えてみる
• IPA（情報処理推進機構）：情報セキュリティ管理基準