[問題文・解答]
平成26年度4月に実施された基本情報技術者試験の午後試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[問題概要]
この問題は必須問題です。
出題分野は情報セキュリティで、問題の題材は情報資産についてのリスクアセスメントです。
情報資産のリスク評価について問われます。専門知識が無くても問題文をしっかり理解すれば解答可能な問題です。
出題分野は情報セキュリティで、問題の題材は情報資産についてのリスクアセスメントです。
情報資産のリスク評価について問われます。専門知識が無くても問題文をしっかり理解すれば解答可能な問題です。
[設問1]
情報セキュリティスペシャリスト過去問解説ブログでも紹介していますが、情報セキュリティの3要素(CIA)は以下の通りです。
[答] エ
- 機密性(Confidentiality):許可のある者だけが情報にアクセスでき、許可の無い者は使用・閲覧・変更ができないこと
- 完全性(Integrity):情報が正確であり、改ざんされていないこと
- 可用性(Availability):アクセス許可のある者が必要な時に確実に情報にアクセスできること
[答] エ
[設問2]
P.6中段に「C、I、Aごとに算出したリスク値が全て12以下ならばリスクを受容し、そうでないならば追加のリスク対策を実施することにしている。」とあります。従って、表5でCIAいずれか1つ以上のリスク値が13以上となるリスクに対しては追加の対策が必要となります。
また、P.6上段にあるようにリスク値の算出方法は「リスク値=情報資産の価値×脅威×脆弱性」なので、表5の網掛け部分のリスク値は以下のようになります。
脅威ID T3:(C)6 (I)4 (A)2
脅威ID T4:(C)18 (I)12 (A)6
脅威ID T5:(C)12 (I)8 (A)4
脅威ID T6:(C)3 (I)2 (A)1
脅威ID T7:(C)9 (I)6 (A)3
よって、脅威T1及びT4が追加対策が必要となるため「イ」が正解です。
[答] イ
また、P.6上段にあるようにリスク値の算出方法は「リスク値=情報資産の価値×脅威×脆弱性」なので、表5の網掛け部分のリスク値は以下のようになります。
脅威ID T3:(C)6 (I)4 (A)2
脅威ID T4:(C)18 (I)12 (A)6
脅威ID T5:(C)12 (I)8 (A)4
脅威ID T6:(C)3 (I)2 (A)1
脅威ID T7:(C)9 (I)6 (A)3
よって、脅威T1及びT4が追加対策が必要となるため「イ」が正解です。
[答] イ
[設問3]
解答群はいずれもデータ漏えいに対する運用面での対策です。今回追加対策のきっかけとなったのは、開発用PCに保存した顧客データの削除忘れなので、確実に削除出来るような対策が適切と考えられます。解答群の中では「イ」「カ」がデータ消去の工程やデータ消去の記録を残す工程を追加しているため、これらが正解です。
[答] a,b) イ、カ(順不同)
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
解答群はいずれもデータ漏えいに対する運用面での対策です。今回追加対策のきっかけとなったのは、開発用PCに保存した顧客データの削除忘れなので、確実に削除出来るような対策が適切と考えられます。解答群の中では「イ」「カ」がデータ消去の工程やデータ消去の記録を残す工程を追加しているため、これらが正解です。
[答] a,b) イ、カ(順不同)
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿