情報セキュリティマネジメント試験(SG)の「情報セキュリティ全般(CIA・脅威・脆弱性)」分野のオリジナル予想問題を5問、正解と解説つきで無料公開しています。登録なしで読めます。
※ 本サービスは各試験の実施団体とは関係のない非公式の学習サービスで、掲載問題は出題範囲に基づく独自作成(オリジナル)です。
情報セキュリティの目的と基本用語を固める、SGの土台となる分野です。何を・何から・なぜ守るのかを整理します。
情報セキュリティの目的は、情報資産の「機密性(許可された人だけが見られる)」「完全性(内容が正しく保たれる)」「可用性(使いたいときに使える)」の3つ、頭文字をとってCIAを維持することです。近年はこれに真正性・責任追跡性・否認防止・信頼性を加えて捉えます。
事故は「脅威」と「脆弱性」がかみ合ったときに起こります。脅威は資産をおびやかす原因(攻撃・災害・人的ミスなど)、脆弱性はそれを許してしまう弱点(設定漏れ・古いソフト・教育不足など)です。脅威×脆弱性×資産価値でリスクの大きさが決まる、という関係が全分野の出発点になります。
情報セキュリティの3要素のうち,「可用性」を直接損なう事象はどれか。
正解イ。可用性は「必要なときに使えること」。DoS攻撃でサービスが応答不能になると可用性が損なわれる。改ざんは完全性,盗聴・漏えいは機密性に関わる。
情報セキュリティの3要素のうち「完全性」が損なわれる事例はどれか。
正解ア。完全性は情報が正確で改ざんされていないこと。改ざんはその侵害。可用性=利用できること,機密性=盗聴・漏えいに関わる。
情報セキュリティにおける「脆弱性」に該当するものはどれか。
正解イ。脆弱性は脅威に付け込まれる弱点(未修正のセキュリティホール等)。災害・マルウェア配布・不正行為は脅威にあたる。
情報セキュリティにおける「真正性(Authenticity)」を説明したものはどれか。
正解イ。真正性は「主張どおり本物である(なりすましでない)」性質。1つ目は完全性,3つ目は可用性,4つ目は責任追跡性に関連する否認防止。CIAに加えた拡張特性として真正性・責任追跡性・否認防止・信頼性がある。
JIS Q 27000で定義される「脆弱性」の説明として,適切なものはどれか。
正解イ。脆弱性は「脅威に付け込まれる弱点」。1つ目は脅威,3つ目はインシデント(事故),4つ目はリスク(の大きさ)の説明。脅威・脆弱性・資産価値の関係を区別して押さえる。