情報セキュリティマネジメント平成29年秋期 午前問9
午前問9
情報セキュリティマネジメントにおける,脅威と脆弱性に関する記述のうち,最も適切なものはどれか。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ
正解
イ
解説
JIS Q 27000では、情報セキュリティマネジメントにおける脅威と脆弱性を以下のように定義しています。
- 脅威
- システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因
- 脆弱性
- 一つ以上の脅威によって付け込まれる可能性のある,資産又は管理策の弱点
- リスクは損害の大きさと発生確率の組合せで表現されます。管理策の欠如は脆弱性の深刻度を大きくしリスクを高めます。
- 正しい。脅威はシステムや組織の脆弱性に付け込むことで悪い影響をもたらします。たとえ脆弱性があったとしても、そこに付け込む脅威が存在しないならばリスクはゼロです。したがって対処する必要性は低くなります。
- 脅威は、自然災害、システム障害、人為的過失及び不正行為に大別されますが、自然災害などの環境的脅威だけは脆弱性の有無にかかわらず発生します。
- 脆弱性の深刻度が大きいほど事故の発生確率は高くなります。