平成24年春期 情報セキュリティスペシャリスト 午前II 問6

JIS Q 27001:2006 における情報システムのリスクとその評価に関する記述のうち, 適切なものはどれか。

ア 脅威とは, 脆弱性が顕在化する源のことであり, 情報システムに組み込まれた技術的管理策によって脅威のレベルと発生の可能性が決まる。
イ 脆弱性とは, 情報システムに対して悪い影響を与える要因のことであり, 自然災害, システム障害, 人為的過失及び不正行為に大別される。
ウ リスクの特定では, 脅威が管理策の脆弱性に付け込むことによって情報資産に与える影響を特定する。
エ リスク評価では, リスク回避とリスク低減の二つに評価を分類し, リスクの大きさを判断して対策を決める。


こぼる
「JIS。。日本だけでしか通用しないのか。しょぼいわ~」

ジョブりんご
「世界の規格にすると、『会社がJISに適応している。認定しよう。』という手続きがきめ細やかにできないだろう?」

こぼる
「じゃあJISってしょぼくないの?」

ジョブりんご
「大切な基準だ。JIS Q 27001 とは、情報セキュリティのシステム(ISMS)がちゃんとしているかの判断材料だ。:2006 は、2006年度版のことだ。」

こぼる
「んじゃ、情報セキュリティの基本的なことが書かれているの?」

ジョブりんご
「基本的なことと言うが、会社の内部の政治的なことも含めて、遵守している会社は立派だ。」

こぼる
「ふ~ん。大人になったら考えよう。
アの脅威って、攻撃する奴のことでしょ?なんか内容がちぐはぐ。」

ジョブりんご
「そうだ。」

こぼる
「イの脆弱性って、ソフトウェアの弱点、攻撃する奴のつけいる隙のことだよね。
説明部分は、『脅威』のこと言ってるよねえ?」

ジョブりんご
「冴えてるな。」

こぼる
「それはもう…脆弱性つぶすのにどんだけ苦労してるか。。
ウは正解だね。
エは…リスク評価って、4種類だったきがす?」

ジョブりんご
「そうだな。リスク回避、リスク低減、リスク移転、リスク保有だ。」

こぼる
「ウとか、このブログのリスク特定といえばなんかある?」

ジョブりんご
「グーグル八分をくらえば、管理人の試験対策のモチベーションが下がり、試験を受けず、会社で評価されず、所得が増えず」

こぼる
「グーグルって、いろんな人の生命線なのね~。入りたいわ~」

ジョブりんご
「アップルで分散検索エンジン作ってくれよ。」

平成24年春期 情報セキュリティスペシャリスト 午前II 問5

コンティンジェンシープランにおける留意点はどれか。

ア 企業の全てのシステムを対象とするのではなく, システムの復旧の重要性と緊急性を勘案して対象を決定する。
イ 災害などへの対応のために, すぐに使用できるよう, バックアップデータをコンピュータ室内又はセンタ内に保存しておく。
ウ バックアップの対象は, 機密情報の中から機密度を勘案して選択する。
エ 被害のシナリオを作成し, これに基づく “予防策策定手順” を策定する。


ジョブりんご
「コンティンジェンシープランとは何か知っているか?」

こぼる
「オシャンティプラン?」

ジョブりんご
「…オシャンティプランだったらどういう意味になる?」

こぼる
「流行の服を買うためにおこづかいを貯めるとか。」

ジョブりんご
「コンティンジェンシーとは、予測できないという意味だ。
コンティンジェンシープランは、不測の事態に備える案だ。」

こぼる
「エは、被害のシナリオを作成してて、予測してるけど。。」

ジョブりんご
「だから、エは選外になる。
アが正解だ。システムの重要性を考慮して、不測の事態に備えている。
なにせ予測できないからな。壊れてもまだいいシステムと、万が一があったら
会社の生命に関わるシステムを選ぶ。」

こぼる
「イの、動いてるサーバと、バックアップのサーバーが同じ所にあったら、
地震とか起きたら両方おじゃんにならない?」

ジョブりんご
「冴えているな。イは間違いだ。
ウの、バックアップの対象のファイルを分けるのはどう思う?」

こぼる
「アが正解って言ってるから、ウは間違いなんだろうけど。。
これも大事な事に思えるのよね~。」

ジョブりんご
「システムの重要度勘定はするが、一つのシステムに関して重要度をはかるのは、また別の問題だ。
バックアップの容量が絡むからな。」

こぼる
「君津事項、うなぎは重要だね。うんうん。」

ジョブりんご
「うなぎのスカーフは君津でしか買えないから、重要だな。
うなぎのスカーフを売っている会社ならば、オフセットプリンタは重要だ。」

こぼる
「うなぎのスカーフなんて売ってるの?趣味悪~」

ジョブりんご
「フィクションだ。」