A 社は,分析・計測機器などの販売及び機器を利用した試料の分析受託業務を行う分析機器メーカーである。A 社では,図 1 の“情報セキュリティリスクアセスメント手順”に従い,年一度,情報セキュリティリスクアセスメントを行っている。
・情報資産の機密性,完全性,可用性の評価値は,それぞれ 0〜2 の 3 段階とする。
・情報資産の機密性,完全性,可用性の評価値の最大値を,その情報資産の重要度とする。
・脅威及び脆弱性の評価値は,それぞれ 0〜2 の 3 段階とする。
・情報資産ごとに,様々な脅威に対するリスク値を算出し,その最大値を当該情報資産のリスク値として情報資産管理台帳に記載する。ここで,情報資産の脅威ごとのリスク値は,次の式によって算出する。
リスク値=情報資産の重要度×脅威の評価値×脆弱性の評価値
・情報資産のリスク値のしきい値を 5 とする。
・情報資産ごとのリスク値がしきい値以下であれば受容可能なリスクとする。
・情報資産ごとのリスク値がしきい値を超えた場合は,保有以外のリスク対応を行う。
図 1 情報セキュリティリスクアセスメント手順
A 社の情報セキュリティリーダーである B さんは,年次の情報セキュリティリスクアセスメントを行い,結果を情報資産管理台帳に表 1 のとおり記載した。
情報資産 | 機密性の評価値 | 完全生の評価値 | 可用性の評価値 | 情報資産の重要度 | 脅威の評価値 | 脆弱性の評価値 | リスク値 |
(一)従業員の健康診断の情報 |
2 | 2 | 2 | (省略) | 2 | 2 | (省略) |
(二)行動規範などの社内ルール |
1 | 2 | 1 | (省略) | 1 | 1 | (省略) |
(三)自社 Web サイトに掲載して いる会社情報 |
0 | 2 | 2 | (省略) | 2 | 2 | (省略) |
(四)分析結果の精度を向上させ るために開発した技術 |
2 | 2 | 1 | (省略) | 2 | 1 | (省略) |
設問 表 1 中の各情報資産のうち,保有以外のリスク対応を行うべきものはどれか。該当するものだけを全て挙げた組合せを,解答群の中から選べ。
解答群
- (一),(二)
- (一),(二),(三)
- (一),(二),(四)
- (一),(三)
- (一),(三),(四)
- (一),(四)
- (二),(三)
- (二),(三),(四)
- (二),(四)
- (三),(四)
解答
エ
解説
まず、図1 情報セキュリティリスクアセスメント手順 にある
- 情報資産の機密性,完全性,可用性の評価値の最大値を,その情報資産の重要度とする。
- リスク値=情報資産の重要度×脅威の評価値×脆弱性の評価値
にしたがって、表1 A社の情報資産管理台帳 の省略部分を埋めると、下表の通りになります。
情報資産 | 機密性の評価値 | 完全生の評価値 | 可用性の評価値 | 情報資産の重要度 | 脅威の評価値 | 脆弱性の評価値 | リスク値 |
(一)従業員の健康診断の情報 |
2 | 2 | 2 | 2 | 2 | 2 | 8 |
(二)行動規範などの社内ルール |
1 | 2 | 1 | 2 | 1 | 1 | 2 |
(三)自社 Web サイトに掲載して いる会社情報 |
0 | 2 | 2 | 2 | 2 | 2 | 8 |
(四)分析結果の精度を向上させ るために開発した技術 |
2 | 2 | 1 | 2 | 2 | 1 | 4 |
さらに、図1 情報セキュリティリスクアセスメント手順 の
- 情報資産のリスク値のしきい値を 5 とする。
- 情報資産ごとのリスク値がしきい値を超えた場合は,保有以外のリスク対応を行う。
という条件から、保有以外のリスク対応を行うべきものは、リスク値がしきい値を超えてる(一)および(三)であると判断できます。