ITパスポート講座

【ITパスポート講座⑨】過去問を解きながらセキュリティ管理問題を理解する!

こんにちは、インフラエンジニアのryuです。

今回は、ITパスポートセキュリティ管理の問題について詳しく解説していきたいと思います。

私はインフラエンジニアとして働いていますが、セキュリティのことは必ず考えながら設計、構築しています。セキュリティ管理は、リスクマネジメントや、運用に近い部分の知識になります。IT部門で働いている人は知っておいて損はない知識だと思います!ITパスポートの過去問を解説しながらセキュリティ管理問題について学びましょう。

ITパスポートで出題されるセキュリティ管理問題

まず、ITパスポートのシラバスを確認して、どのような問題が出題されるのかを知りましょう。

・リスクマネジメントの必要性を理解する。

・情報セキュリティ管理と個人情報保護の目的や基本的な考え方を理解する。

・組織内外の代表的な情報セキュリティ組織・機関,及び関連する制度を理解する。

(ITパスポートシラバスより)

シラバスには、上記のように書かれていました。つまり、どのようなリスクがあるのか、情報を扱う上で気を付けることはなにか、セキュリティに関する制度の3つを理解すればよいということです。

では、この3点について過去問を解きながら解説していきます!

1.リスクマネジメント

リスクとは、予測できない危険、損害を受ける可能性のことです。リスクマネジメントは、予測できないで危険をどのように管理するかということです。

管理するためには2つのポイントがあります。

  1. 起こりうるリスクを洗い出し、評価する→リスクアセスメント
  2. 起こりうるリスクをどう対応するか

この2点について、理解すればよいです!

リスクアセスメントとは

リスクアセスメントとは、起こりうる危険を洗い出し、評価し、どのような被害が起こるのかを分析するプロセスのことです。アセスメントには、評価、査定、分析という意味があります。では、ITパスポートでどのような問題が出題されるか見てみましょう。

次の作業a~dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。

a. リスク特定 b. リスク分析 c. リスク評価 d. リスク対応

ア. a,b

イ. a,b,c

ウ. b,c,d

エ. c,d

(ITパスポート過去問ドットコムより)

答えは”イ”ですね。 先ほど書いた文章をもう一度書くと、

リスクアセスメントとは、起こりうる危険を洗い出し(リスク特定)、評価(リスク評価)し、どのような被害が起こるのかを分析(リスク分析)するプロセスのことです。

リスク対応について

リスクアセスメントでどのようなリスクが起こるかを分析したら、その次はもしリスクが起きた場合、被害が少なくするなるように考えます。

例えば、車を購入するとき、事故が起こることに備えて、保険に加入しますよね。それは、リスクを保険会社に移転するリスク移転をしていることになります。

他にも、リスク受容、リスク回避、リスク低減、リスク共有、リスク保有、リスク分散などがあります。すべて説明すると長くなるので割愛しますが、ITパスポートで出題された場合、問題文をよく読み、意味を理解すれば、どの対応に当てはまるかわかると思います。

2. 情報セキュリティ管理

ここの分野はISMS(情報セキュリティマネジメントシステム)の考え方について出題されます。ここで良く出題されるのが情報セキュリティの3つの要素についてです。

  • 機密性
  • 完全性
  • 可用性

では、過去問を見ていきましょう。

情報セキュリティの三大要素である機密性,完全性及び可用性に関する記述のうち,最も適切なものはどれか。

ア. 可用性を確保することは,利用者が不用意に情報漏えいをしてしまうリスクを下げることになる。

イ. 完全性を確保する方法の例として,システムや設備を二重化して利用者がいつでも利用できるような環境を維持することがある。

ウ. 機密性と可用性は互いに反する側面をもっているので,実際の運用では両者をバランスよく確保することが求められる。

エ. 機密性を確保する方法の例として,データの滅失を防ぐためのバックアップや誤入力を防ぐための入力チェックがある。

(ITパスポート過去問ドットコムより)

まず、3つの要素について説明します。

  • 機密性 →許可された権限を持った人がアクセスできる
  • 完全性→情報が改ざん、破壊されていない
  • 可用性→必要な時にシステムが使える

答えは”ウ”になります。許可された権限を持った人がアクセスできるということは、許可されていない人はアクセスできません。つまり、許可されていない人は使いたいときにシステムを使えないということです。だから、機密性と可用性はバランスをとる必要があります。

情報セキュリティの3つの要素 以外にもISMSのPDCAも良く出題されます。

ISMSのPDCAは、Plan(計画)、Do(実行)、Check(評価)、Action(改善)の略で、セキュリティを日々高めていく活動を指しています。

さいごに

今回は、情報セキュリティ管理の問題について解説していきました。解説した部分以外にも個人情報保護や、セキュリティ組織についての問題があります。個人情報は常識の範囲で解けますし、セキュリティの組織はややこしいので捨てて問題ありません。効率よく勉強して合格を目指しましょう!

ABOUT ME
ryu
大手メーカのIT部門でインフラエンジニアやってます。 サーバ、ネットワーク、セキュリティ、クラウドについて投稿します。 AI、ARも勉強中です! youtubeでも技術ネタを発信していきます。↓のアイコンよりご覧ください!