情報セキュリティにおけるリスクに関する次の記述を読んで,設問1,2に答えよ。
E君の所属するF社では,自社の情報セキュリティにおけるリスクを数値化して管理することになり, 基準を設定して所有する情報資産のリスク評価を行うことになった。E君はこのうち,サーバ X 及びサーバ Y の リスク評価を担当した。
なお,ここでは,試行のための仮の基準と値を扱うが,それぞれに“仮”を表す文言は用いない。
〔リスクの値の算出〕
F社では,機密性,完全性,可用性のそれぞれについて,情報資産のリスクの値を,次の式で算出する。
リスクの値=情報資産の価値×脅威×脆(ぜい)弱性
〔情報資産の価値の評価基準〕
F社では,機密性,完全性,可用性のそれぞれから見た情報資産の価値の評価基準と値を, 表1〜3のとおりに設定した。
〔脅威と脆弱性の判断基準〕
F社では,脅威と脆弱性の判断基準と値を,それぞれ表4,5のとおりに設定した。
〔サーバ X 及びサーバ Y 〕
サーバ X では,調達先一般情報のデータベースが稼動している。調達先一般情報とは,調達先コード, 調達先の正式な名称,略称,住所,電話番号などである。
サーバ Y では,取引情報のデータベースが稼動している。取引情報とは,調達先コード,購入品コード,単価, 購入履歴などである。
E君は,サーバ X 及びサーバ Y の機密性,完全性,可用性のそれぞれから見た価値を評価するために, 調達先一般情報と取引情報に関して,社内関連部門から聴取し,その内容を次のようにまとめた。
〔社内関連部門からの聴取内容〕
(1) 調達先一般情報
@ 電話帳や各社の Web ページで公開されている情報であるが,取引があることをF社の競合他社に知られたくない 調達先もあるので,社外には公開できない。
A この情報は,調達先との間で行っている EDI(電子データ交換)では利用していないので,誤りがあっても 調達業務に与える影響は小さい。
B 社員が,電話番号の確認や,挨拶状の宛先ラベルの印字に利用しているが,サーバ X が利用できない場合には, 代替手段での入手が可能である。
(2) 取引情報
@ 競合する調達先をはじめ,F社の同業他社に知られてはならない情報である。また,社内でも, 他部門には開示できない情報である。
A 情報に誤りがあれば,調達や支払いなどの業務に与える影響は大きい。
B 営業時間内の調達オンライン入力処理,及び夜間のバッチ処理で利用されており,これらを処理するシステムは, メンテナンス以外では,年間4時間以上停止することは許されない。
〔脅威と脆弱性の状況〕
E君は,各サーバがさらされている脅威とその脅威に対するF社の脆弱性を調査し,表4及び表5の 判断基準に基づいて評価した。そのうちの主なものを,表6に示す。
| 脅威 | 脆弱性 | ||
| 種類 | 値 | 種類 | 値 |
| ウイルス感染 | 3 | ウイルス対策ソフト未導入 | 3 |
| 不正アクセス | 3 | アクセスコントコールの不備 | 2 |
| 故障 | 2 | メンテナンス不足 | 3 |
| なりすまし | 2 | パスワード管理の不備 | 2 |
| 盗聴 | 2 | 最新推奨暗号の未使用 | 1 |
〔受容可能なリスク水準〕
F社では,受容可能なリスク水準を,表7のとおりに設定した。情報資産について各リスクの値が これらの値以下であれば,そのリスクを保有し,そうでなければ,リスク対応を行う。
| 機密性 | 13 |
| 安全性 | 15 |
| 可用性 | 10 |
〔サーバ X 及びサーバ Y のリスク評価〕
表1〜5の基準,聴取内容及びサーバ X とサーバ Y の状況から,E君は,サーバ X 及びサーバ Y に関する リスク評価を行った。F社では,評価に当たって,表1〜3の評価基準では,該当する基準の値のうちで 最も小さいものを選ぶことにしている。
評価結果の一部を表8に示す。
設問1 表8中の 
〜 
に入れる正しい答えを,
解答群の中から選べ。
a 〜 c に関する解答群
カ 16 キ 18 ク 24 ケ 27 コ 36
d に関する解答群
設問2 表8のサーバ X の完全性の破線で囲まれた部分に関し,F社の受容可能なリスク水準から判断される リスク対応として適切なものを,解答群の中から選べ。
解答群
ウ 公開鍵暗号を利用する。 エ 定期メンテナンスの回数を増やす。
オ パスワード管理を強化する。
[←前の問題] [次の問題→] [問題一覧表] [分野別] [基本情報技術者試験TOP ]
