設問1 [リスクアセスメント]についいて、(2)に答えよ。
(2) 表4の中の【 b 】、【 c 】に入れる適切な字句を解答群の中から選び、記号で答えよ。
ア 管理端末の保守体制の不備
イ 推測可能なパスワード
ウ 耐震性能の不足
エ データセンタの施錠管理不良
オ 美容室の施錠管理不良
カ 防火体制の不備
【 b 】:イ
【 c 】:オ
解説
表4 顧客データに対するリスク分析の結果(抜粋)
| リスクNo. |
脅威 |
脆弱性 |
被害 |
発生確率 1) |
深刻度 2) |
対応要否 3) |
| 1 |
インターネット経由のHSSへの不正アクセス |
【 b 】 |
情報漏えい |
高 |
高 |
要 |
| 2 |
Webアプリケーションのセキュリティホール |
情報漏えい |
中 |
高 |
要 |
| 3 |
Webサーバ基板のセキュリティホール |
情報漏えい |
中 |
高 |
要 |
| 4 |
脆弱な認証とアクセス権管理の仕組み |
情報漏えい |
低 |
高 |
要 |
| 5 |
美容室従業員による物品持ち去り |
物品管理の不備 |
情報へのアクセス不能 |
低 |
中 |
不要 |
| 6 |
【 c 】 |
情報へのアクセス不能 |
低 |
中 |
不要 |
| 7 |
美容室従業員による不正アクセス |
【 b 】 |
情報漏えい |
中 |
高 |
要 |
| 8 |
脆弱な認証とアクセス権管理の仕組み |
情報漏えい |
低 |
高 |
要 |
| 9 |
不正プログラムによる管理端末からの情報窃取 |
ウイルス対策ソフトの停止 |
情報漏えい |
低 |
中 |
不要 |
| 10 |
未知のウイルスへの未対応 |
情報漏えい |
低 |
中 |
不要 |
注
1) 脅威が脆弱性を悪用し被害が発生する確率
2) 被害が発生した場合の、被害の深刻さ
3) リスクに対応するために、HSSに管理策を施す必要性の有無
脆弱性【 b 】は脅威「インターネット経由のHSSへの不正アクセス」と「美容室従業員による不正アクセス」に属します。
脆弱性【 c 】は、脅威「美容室従業員による物品持ち去り」に属します。
上記を踏まえて、それぞれの選択肢を見て行きましょう。
ア 管理端末の保守体制の不備
強いて言えば脅威「不正プログラムによる管理端末からの情報窃取」に属する脆弱性です。「管理端末のセキュリティパッチ更新が行われず、ウイルスに感染する」ようなシナリオが考えられます。
イ 推測可能なパスワード
脅威「インターネット経由のHSSへの不正アクセス」では、「辞書攻撃による不正アクセスを許してしまう」。
「美容室従業員による不正アクセス」では「顧客の誕生日や子供の名前を聞き出した従業員による不正アクセス」が考えられます。
ウ 耐震性能の不足
本文にはありませんが、脅威「災害による情報喪失」に属する脆弱性です。
エ データセンタの施錠管理不良
本文にはありませんが、脅威「H社従業員による物品持ち去り」に属する脆弱性です。
オ 美容室の施錠管理不良
脅威「美容室従業員による物品持ち去り」に属する脆弱性です。「ずさんな鍵の管理により、美容室従業員が管理端末を持ち出す」のようなシナリオが考えられます。
カ 防火体制の不備
こちらも、脅威「災害による情報喪失」に属する脆弱性です。
最終更新:2013年08月31日 00:58
