平成30年秋期試験問題 問67

情報資産に対するリスクは,脅威と脆弱性を基に評価する。脅威に該当するものはどれか。

  • 暗号化しない通信
  • 機密文書の取扱方法の不統一
  • 施錠できないドア
  • 落雷などによる予期しない停電
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
解説
JIS Q 27000:2014において脅威と脆弱性は以下のように定義されています。
脅威 (threat)
システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因
脆弱性 (vulnerability)
一つ以上の脅威によって付け込まれる可能性のある,資産又は管理策の弱点
大雑把にいってしまえば、脅威は事故を起こす原因、脆弱性は弱点ということになります。
  • 盗聴などの脅威によって狙われる弱点なので脆弱性に該当します。
  • 機密情報の持出しなどにつながる弱点なので脆弱性に該当します。
  • 入室権限のないものによる不正侵入などにつながる弱点なので脆弱性に該当します。
  • 正しい。組織やシステムに危害を与える事故の潜在的原因なので脅威に該当します。

Pagetop