情報セキュリティ管理応用問題
定期的なセキュリティ監査で同じ脆弱性が繰り返し指摘される場合、根本的な改善策として最も効果的なのはどれか?
A.監査の実施頻度を増加させ、より詳細なレポートを作成する
✗ 監査頻度の増加は問題の検出頻度を上げるだけであり、根本的な改善につながりません。
B.脆弱性の修復責任を明確に定め、修復完了までの期限と責任者を設定する← 正解
✓ 正解です。責任と期限を明確化することで、修復実行の実行可能性と説明責任が確保され、繰り返しの指摘を根本的に防ぎます。
C.脆弱性の報告対象部門を拡大し、より多くのステークホルダーに通知する
✗ 報告対象の拡大は認識向上につながりますが、実際の修復行動とは別であり根本改善ではありません。
D.監査基準を緩和し、軽微な脆弱性は対象外とする
✗ 基準緩和は脆弱性を放置することを意味し、セキュリティ低下につながるため逆効果です。