リスクのマネジメント誤り発見
情報セキュリティリスクに関する以下の記述のうち、誤っているものはどれか。
A.情報セキュリティの3要素とは、機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)であり、頭文字をとってCIAと呼ばれる。
✓ この記述は正しい。情報セキュリティの3要素はCIA(機密性・完全性・可用性)であり、広く認知された概念である。
B.サイバー攻撃によるリスクは技術的対策のみで十分に管理できるため、従業員への教育・訓練はセキュリティ対策として優先度が低い。← 正解
✓ 正解です。この記述が誤りで、正しくはサイバー攻撃の多くは人的要因(フィッシング詐欺等)を起点とするため、従業員教育・訓練は技術的対策と並ぶ重要なリスク対策である。
C.情報漏洩が発生した場合、企業は法的責任を問われる可能性があるとともに、顧客や取引先からの信頼を損なうレピュテーションリスクも生じる。
✓ この記述は正しい。情報漏洩は法的責任やレピュテーションリスクを同時に引き起こす複合的なリスクとなる。
D.ゼロデイ攻撃とは、ソフトウェアの脆弱性が公表される前にその脆弱性を悪用した攻撃であり、パッチ適用による防御が間に合わないケースがある。
✓ この記述は正しい。ゼロデイ攻撃は脆弱性公表前に悪用されるため、パッチ適用が追いつかないリスクがある。