ITパスポート試験 / 平成31年度 春期 ITパスポート試験 / 問68
certification-simodake-work

平成31年度 春期 ITパスポート試験 問68 解説 リスク値の算出

設問図

資産A~Dの資産価値, 脅威及び脆弱性の評価値が表のとおりであるとき, 最優先でリスク対応するべきと評価される資産はどれか。ここで, リスク値は, 表の各項目を重み付けせずに掛け合わせることによって算出した値とする。

  1. ア 資産A ✓ 正答
  2. イ 資産B
  3. ウ 資産C
  4. エ 資産D

解説

リスク値は、問題文の指示通り「資産価値 × 脅威 × 脆弱性」の計算式ですべての資産について算出します。

資産A: 5×2×3=305 \times 2 \times 3 = 30 資産B: 6×1×2=126 \times 1 \times 2 = 12 資産C: 2×2×5=202 \times 2 \times 5 = 20 資産D: 1×5×3=151 \times 5 \times 3 = 15

これらを比較すると、もっとも値が大きいのは資産Aの30となります。リスク値が大きいほど優先的に対応すべき対象となるため、正解はアです。

情報セキュリティ管理において、すべての資産を同等に守ることはコストや人的資源の観点から不可能です。そのため、資産の重要度(資産価値)と、それがさらされているリスク(脅威と脆弱性)を数値化し、守るべき優先順位を決める手法が重要になります。

今回用いたリスク計算は、情報セキュリティマネジメントにおける「リスク評価」の一手法です。実務ではこの数値に基づき、リスクを低減させるための対策を導入したり、あるいは許容範囲内として現状維持を選択したりといった意思決定が行われます。

この知識は、情報セキュリティ管理の基本プロセスに関する出題で頻出です。特に「リスクアセスメント(リスク特定・リスク分析・リスク評価)」の枠組みの中で、各項目の定義(資産価値、脅威、脆弱性とは何か)を理解しておくと、より広い視野で問題を解くことができます。脅威は「攻撃者や災害などの外部要因」、脆弱性は「システム側の弱点や管理上の不備」という視点を持つと、計算式の中での役割が明確になります。

  • 情報セキュリティの3要素とリスク評価(ITパスポート試験ドットコム)

学習の記録にははてなブックマーク!

気づいたこと・覚えたことをコメントにメモしよう

このエントリーをはてなブックマークに追加