情報セキュリティ対策定義問題
脆弱性(Vulnerability)とは何を意味するか。
A.情報システムへの不正なアクセスを試みる悪意のある行為者のこと
✗ これは脅威の担い手(脅威要因)の説明です。脆弱性ではなく、攻撃を仕掛ける主体を指しています。
B.情報システムの設計や実装の欠陥により、セキュリティ脅威から悪用される可能性のある弱点のこと← 正解
✓ 正解です。脆弱性とは、システムやプロセスの設計・実装・運用における欠陥や弱点であり、脅威によって悪用される可能性がある状態です。
C.社員の不注意やルール違反によって起こるセキュリティインシデントのこと
✗ これは内部統制の問題やヒューマンエラーですが、脆弱性の正確な定義ではありません。組織の運用面での問題を指しています。
D.外部からの攻撃によって実際に被害が発生した状態のこと
✗ これはセキュリティインシデントや被害状態の説明です。脆弱性が脅威により実際に悪用された結果を指しており、脆弱性そのものではありません。
「情報セキュリティ対策」の他の問題
ファイアウォールのログ記録機能が無効化されていることが発見されました。この状況で、外部からの不正アクセス試行があった場合…多要素認証(MFA)が導入されていないシステムに対して、フィッシング攻撃で従業員のパスワードが漏洩した場合、組織が被る最…組織が暗号化されていない状態で大量の顧客個人情報を保管していたシステムで、データベースの管理画面へのアクセス制御が弱い状…マルウェア対策ソフトが最新の定義ファイルに自動更新されていない状態のまま6ヶ月間放置されていた場合、その間に発生する最大…社員が業務用ノートパソコンを駅のカフェで紛失した後、当該パソコンにはHDDの暗号化が施されていなかったことが判明しました…ある組織で、従業員全員のパスワードポリシーが「8文字以上、大文字小文字数字を含む」という単純な要件のみで、パスワード変更…