2023年 情報セキュリティマネジメント 問13

A社は、分析・計測機器などの販売及び機器を利用した試料の分析受託業務を行う分析機器メーカーである。 A社では、図1の“情報セキュリティリスクアセスメント手順”に従い、年一度、情報セキュリティリスクアセスメントを行っている。

  • 情報資産の機密性、完全性、可用性の評価値は、それぞれ0〜2の3段階とする。
  • 情報資産の機密性、完全性、可用性の評価値の最大値を、その情報資産の重要度とする。
  • 脅威及び(ぜい)弱性の評価値は、それぞれ0〜2の3段階とする。
  • 情報資産ごとに、様々な脅威に対するリスク値を算出し、その最大値を当該情報資産のリスク値として情報資産管理台帳に記載する。 ここで、情報資産の脅威ごとのリスク値は、次の式によって算出する。
     リスク値 = 情報資産の重要度×脅威の評価値×脆弱性の評価値
  • 情報資産のリスク値のしきい値を5とする。
  • 情報資産ごとのリスク値がしきい値以下であれば受容可能なリスクとする。
  • 情報資産ごとのリスク値がしきい値を超えた場合は、保有以外のリスク対応を行う
図1 情報セキュリティリスクアセスメント手順

A社の情報セキュリティリーダーであるBさんは、年次の情報セキュリティリスクアセスメントを行い、結果を情報資産管理台帳に表1のとおり記載した。

表1 A社の情報資産管理台帳(抜粋)
情報資産 機密性の評価値 完全性の評価値 可用性の評価値 情報資産の重要度 脅威の評価値 脆弱性の評価値 リスク値
(一) 従業員の健康診断の情報 2 2 2 (省略) 2 2 (省略)
(二) 行動規範などの社内ルール 1 2 1 (省略) 1 1 (省略)
(三) 自社Webサイトに掲載している会社情報 0 2 2 (省略) 2 2 (省略)
(四) 分析結果の精度を向上させるために開発した技術 2 2 1 (省略) 2 1 (省略)

 設問  表1中の各情報資産のうち、保有以外のリスク対応を行うべきものはどれか。 該当するものだけを全て挙げた組合せを、解答群の中から選べ。

解答群
 ア  (一)、(二)  イ  (一)、(二)、(三)
 ウ  (一)、(二)、(四)  エ  (一)、(三)
 オ  (一)、(三)、(四)  カ  (一)、(四)
 キ  (二)、(三)  ク  (二)、(三)、(四)
 ケ  (二)、(四)  コ  (三)、(四)

答え エ

解説
情報資産の重要度を求め、リスク値を算出すると

情報資産 機密性の評価値 完全性の評価値 可用性の評価値 情報資産の重要度 脅威の評価値 脆弱性の評価値 リスク値
(一) 従業員の健康診断の情報 2 2 2 2 2 2 8
(二) 行動規範などの社内ルール 1 2 1 2 1 1 2
(三) 自社Webサイトに掲載している会社情報 0 2 2 2 2 2 8
(四) 分析結果の精度を向上させるために開発した技術 2 2 1 2 2 1 4

になり、リスク値が5を超えた保有以外のリスク対応を行うべきものは(一)、(三)(エ)になる。

キーワード
・スコアリングモデル

キーワードの解説
  • スコアリングモデル(scoring model)
    評価する項目に重み付けを行い、各項目を点による評価をして、重みと評価点の積和を求めることで、定量的な評価を行う手法です。
    企業が新しい取引先を評価するときなどはスコアリングモデルを利用することが多いです。

もっと、「スコアリングモデル」について調べてみよう。

戻る 一覧へ 次へ