情報セキュリティ対策定義問題
リスク評価において、リスク値の基本的な計算式はどれか。
A.リスク値 = 脅威の大きさ ÷ 対策コスト
✗ リスク値とコストを除算する式ではありません。対策を実行するかどうかの判断基準ではなく、リスク値の計算式ではありません。
B.リスク値 = 脅威の大きさ × 脆弱性の深刻度 × 資産の価値← 正解
✓ 正解です。リスク値は通常、脅威、脆弱性、資産価値の3要素を掛け合わせて算出されます。
C.リスク値 = 脅威の大きさ ÷ 脆弱性の深刻度
✗ 脅威と脆弱性を除算する式は正しくありません。両要素は乗算で組み合わせるべきです。
D.リスク値 = 対策コスト × 発生頻度
✗ これは対策コストと発生頻度の関係式であり、リスク値の標準的な計算方法ではありません。
「情報セキュリティ対策」の他の問題
ファイアウォールのログ記録機能が無効化されていることが発見されました。この状況で、外部からの不正アクセス試行があった場合…多要素認証(MFA)が導入されていないシステムに対して、フィッシング攻撃で従業員のパスワードが漏洩した場合、組織が被る最…組織が暗号化されていない状態で大量の顧客個人情報を保管していたシステムで、データベースの管理画面へのアクセス制御が弱い状…マルウェア対策ソフトが最新の定義ファイルに自動更新されていない状態のまま6ヶ月間放置されていた場合、その間に発生する最大…社員が業務用ノートパソコンを駅のカフェで紛失した後、当該パソコンにはHDDの暗号化が施されていなかったことが判明しました…ある組織で、従業員全員のパスワードポリシーが「8文字以上、大文字小文字数字を含む」という単純な要件のみで、パスワード変更…