情報セキュリティ管理比較問題
脆弱性(Vulnerability)と脅威(Threat)の違いについて、最も適切な説明はどれか。
A.脅威はシステムの弱点であり、脆弱性は悪意のある行為者による攻撃の可能性を指す。
✗ 説明が逆転しています。脆弱性は弱点、脅威は弱点を悪用する可能性を示す要因です。
B.脆弱性はシステムやプロセスの弱点であり、脅威は悪意のある行為者や自然災害などその弱点を悪用する可能性を指す。← 正解
✓ 正解です。脆弱性が存在し脅威が存在して初めてリスクが顕在化します。この理解がリスク評価の基本です。
C.脆弱性と脅威は同意語であり、どちらもセキュリティリスクを低減するための対策を意味する。
✗ 脆弱性と脅威は明確に異なる概念で、別々に特定・評価する必要があります。
D.脆弱性は外部からの攻撃にのみ関連し、脅威は内部不正行為にのみ関連している。
✗ 脆弱性・脅威の両方とも内部外部の両方に存在します。内外を問わないセキュリティ対策が必要です。
「情報セキュリティ管理」の他の問題
予防的統制と発見的統制の違いについて、最も適切な説明はどれか。秘密性(Confidentiality)と完全性(Integrity)の違いについて、最も適切な説明はどれか。共通鍵暗号と公開鍵暗号の違いについて、最も適切な説明はどれか。ある組織では、年間で1,200件のセキュリティインシデントが報告されています。このうち95%が正常に解決されました。解決…情報システムのセキュリティ評価では、脅威数が240、脆弱性数が30、脅威と脆弱性が同時に存在するリスク要因が18の場合、…ある組織の情報セキュリティコストは、前年度1,500万円でした。今年度は前年度比で18%削減される予定です。今年度の予算…