問題
問24
情報セキュリティマネジメントシステム(ISMS)において、組織が情報セキュリティリスクを特定し、評価し、適切な対策を講じるための一連の活動を何と呼ぶか。
- 事業継続計画
- セキュリティ監査
- リスクアセスメント
- インシデント対応
正解
正解は「ウ」です。
解説
正解は「ウ」のリスクアセスメントです。リスクアセスメントとは、組織が保有する情報資産に対して、どのような脅威(不正アクセス、ウイルス感染など)や脆弱性(ぜいじゃくせい、弱点)が存在するのかを洗い出し(リスク特定)、それらのリスクがどの程度の影響を与える可能性があるのかを分析・評価する一連のプロセスのことです。
健康診断に例えると分かりやすいでしょう。まず、問診や検査で「どんな病気になる可能性があるか(リスク特定)」を調べ、次に「その病気になったらどれくらい大変か、発症確率はどのくらいか(リスク評価)」を判断します。リスクアセスメントの結果に基づいて、組織は「どのリスクに優先的に対応すべきか」「どのような対策を講じるか」といったリスク対応策を決定します。このように、リスクアセスメントは効果的な情報セキュリティ対策を計画・実施するための出発点となる非常に重要な活動です。
ア(事業継続計画):
災害などの緊急事態が発生した際に、重要な事業を中断させない、または早期に復旧させるための方針や手順をまとめた計画(BCP)のことです。
イ(セキュリティ監査):
組織の情報セキュリティ対策が、定められた基準や規程に沿って適切に運用されているかを、独立した第三者の視点で点検・評価することです。
エ(インシデント対応):
セキュリティ侵害やシステム障害などのインシデント(好ましくない出来事)が発生した際に、その影響を最小限に抑え、迅速に復旧するための活動のことです。
解法のポイント
情報セキュリティマネジメントに関する用語は似たものが多いため、それぞれの活動がどの段階で行われるかを理解することが重要です。「リスクアセスメント」は対策前の「特定・評価」の段階、「セキュリティ監査」は対策後の「点検」の段階、「インシデント対応」は問題発生時の「事後対応」の段階、「事業継続計画」は緊急事態への「事前準備」の段階、というように、時系列や目的で整理して覚えると区別しやすくなります。
用語補足
リスクアセスメント:
リスクを特定し、その大きさや発生確率を評価することです。旅行前に、旅先で起こりうるトラブル(スリ、病気など)を予測し、その深刻度を考えることに似ています。
ISMS (Information Security Management System):
情報セキュリティマネジメントシステム。組織が情報セキュリティを管理するための仕組みのことです。個別の技術対策だけでなく、ルール作りや教育、継続的な改善活動を含みます。
事業継続計画 (BCP):
Business Continuity Planの略。災害時でもビジネスを止めないための計画です。例えば、オフィスが使えなくなった時のために、在宅勤務のルールや代替拠点を決めておくことなどが含まれます。
インシデント:
情報セキュリティを脅かす出来事やその兆候のことです。例えば、コンピュータウイルスへの感染や、不正アクセス、機密情報の紛失などがインシデントにあたります。
