第22問
一般財団法人日本情報経済社会推進協会のISMS ユーザーズガイドkリスクマネ ジメント編lなどが、情報セキュリティリスクアセスメントを実施するためのアプ ローチとして、ベースラインアプローチ、非形式的アプローチ、詳細リスク分析、 組み合わせアプローチのつを紹介している。これらのアプローチに関する記述と して最も適切なものはどれか。
- ア ベースラインアプローチとは、システムの最も基本的な部分を選び、これに確 保すべき一定のセキュリティレベルを設定して、現状とのギャップをリスクとし て評価することを指す。
- イ 非形式的アプローチとは、組織や担当者の経験や判断によってリスクを評価す ることを指す。
- ウ 詳細リスク分析とは、システムをサブシステムに分解し、そのシステムごとに リスク評価を行うことを指す。
- エ 組み合わせアプローチとは、システムをサブシステムに分解し、その組み合わ せすべてについてリスク評価を行うことを指す。
▼ 解答・解説を見る
正解:イ
解答:イ
〔リスクアセスメントの4アプローチ〕定義を確認する。
- ア(×):ベースラインアプローチは、あらかじめ定めた標準的なセキュリティ対策の基準(ベースライン)に照らし、満たしているかを一律に確認する手法。「最も基本的な部分を選び現状とのギャップを評価」という説明は不正確。
- イ(○):非形式的アプローチは、組織や担当者の経験・知識・判断に基づいてリスクを評価する手法。記述は正しい。
- ウ(×):詳細リスク分析は、資産・脅威・脆弱性を個別に詳細に洗い出して評価する手法。「システムをサブシステムに分解する」という説明は不適切。
- エ(×):組み合わせアプローチは、ベースラインアプローチと詳細リスク分析など複数の手法を組み合わせて効率と精度を両立させる手法。「サブシステムの組み合わせすべてを評価」は誤り。
よって イ。